Henner Bendig
Master Thesis, Hochschule Wismar, Juli 2020
Author: Henner Bendig
Titel: Untersuchung von opensource Datenbanksystemen auf Härtungsmaßnahmen unter Betrachtung des BSI IT-Grundschutz-Kompendium
Abstrakt: Die Relevanz von Opensource Software (OSS) steigt immer weiter an. Laut einer Studie der Bitkom setzen heutzutage 69% aller Unternehmen, bewusst OSS ein und bis zu 75% der Unternehmen planen OSS einzusetzen [1]. Gleichzeitig steigt die Gefahr von Angriffen auf moderne Technologien [2]. Datenbanksysteme (DBS) stehen heute schon auf Platz 4 der am häufigsten angegriffenen IT-Systeme [3]. Die Wichtigkeit von Daten im heutigen Zeitalter steigt noch immer weiter man, somit ist eine noch höhere Angriffswahrscheinlichkeit auf DBS wahrscheinlich.
In dieser Arbeit wurde die Umsetzbarkeit des Bausteins „APP.4.3 – Relationale Datenbanken“ des IT-Grundschutzkompendium der Bundesagentur für Sicherheit in der Informationstechnik (BSI) in den Opensource DBS Oracle MySQL, PostgreSQL und MongoDB untersucht. Die drei gewählten Systeme sind die derzeit am meist verbreiteten Opensource Datenbanksysteme und bedürfen daher erhöhte Aufmerksamkeit [4] [5]. Organisatorische Maßnahmen wurden anhand von Empfehlungen, Vorgaben und Beispielen erarbeitet. Technische Maßnahmen wurden nach Möglichkeit direkt in den DBS umgesetzt. Sofern keine interne Umsetzung notwendig war, wurden Opensource Erweiterungen von Drittanbietern gesucht und getestet.
Anhand der vom BSI bereitgestellten Auditorencheckliste wurden die Maßnahmen bewertet. Organisatorische Maßnahmen wurden aus der Wertung herausgenommen. Es wurden die Punktekategorien 0 für gar nicht umsetzbar, 1 für teilweise umsetzbar und 2 für komplett umsetzbar vergeben. MySQL erreichte 73% der möglichen Punkte, PostgreSQL 67% und MongoDB 47%. Ein Großteil der notwendigen Funktionen wird vom Originalhersteller zwar bereitgestellt aber ist nur in der kommerziell verfügbaren Variante der Systeme aktivierbar.
Abstract: The relevance of Open Source Software (OSS) is constantly increasing. According to a study by Bitkom, 69% of all companies today use OSS consciously and up to 75% of companies plan to use OSS [1]. At the same time the danger of attacks on modern technologies is increasing [2]. Database systems (DBS) are already in 4th place among the most frequently attacked IT systems [3]. The importance of data in today's age is still increasing, so an even higher probability of attack on DBS is likely.
In this thesis the feasibility of the module ‚APP.4.3 - Relational Databases‘ of the IT basic protection compendium of the German Federal Agency for Information Security (BSI) was examined in the open source DBS Oracle MySQL, PostgreSQL and MongoDB. The three chosen systems are currently the most widespread open source database systems and therefore require special attention [4] [5].
Organisational requirements were developed on the basis of recommendations, specifications and examples. Where possible, technical requirements were implemented directly in the DBS. As far as no internal implementation was possible, open source extensions of third-party providers were searched and tested. The requirements were evaluated using the auditor checklist provided by the BSI. Organizational requirements were removed from the evaluation. The point categories 0 for not realizable at all, 1 for partially realizable and 2 for completely realizable were assigned. MySQL achieved 73% of the possible points, PostgreSQL 67% and MongoDB 47%. Most of the required functions are provided by the original manufacturer but can only be activated in the commercially available version of the systems.