Sebastian Kavalir

Aus IT-Forensik Wiki

Master Thesis, Hochschule Wismar, Oktober 2021

Autor: Sebastian Kavalir

Titel: Untersuchung von Nicht-relationalen Datenbanksystemen mit Fokus auf Härtungsmaßnahmen

Abstrakt:

Im Rahmen dieser Master-Thesis erfolgt eine sicherheitstechnische Untersuchung von NoSQL-Datenbankmanagementsystemen (DBMS) anhand von drei ausgewählten Beispiel-DBMS. Die Untersuchungen erfolgen an den DBMS OrientDB, MongoDB und Redis, um eine möglichst groÿe Variation an unterschiedlichen NoSQL-DBMS zu gewährleisten. Als Grundlage für die Härtungsuntersuchungen wird das IT-Grundschutz- Kompendium [76] des Bundesamt für Sicherheit in der Informationstechnik (BSI) herangezogen, wobei der Fokus auf dem Systembaustein "APP.4.3 - Relationale Datenbankmanagementsysteme" liegt, welcher als Checkliste zur Härtung von DBMS betrachtet werden kann. Um die Vorgehenweise beim Einsatz des IT-Grundschutz- Kompendium zur Konzeption eines Managementsystem für Informationssicherheit (ISMS) zu illustrieren, wird ein Auszug eines Informationsverbundes anhand eines Beispiels erarbeitet. Bei technisch umsetzbaren Anforderungen wird die konkrete Umsetzung der Anforderungen an den betrachteten DBMS dargestellt. Darüber hinaus wird für organi- satorische Anforderungen ein Umsetzungsvorschlag entwickelt.

Abstract:

The main aspect of this thesis is the security-related investigation of NoSQL- Database management systems (DBMS). The investigations are carried out on the DBMS OrientDB, MongoDB and Redis to provide a broad spectrum of different categories of NoSQL-DBMS. The hardening tests are carried out on the basis of the IT-Grundschutz Compendium [76], which is published by the Bundesamt für Sicherheit in der Informationstechnik (BSI). As the IT-Grundschutz-Compendium contains many different checklists for systems and processes, the checklist APP.4.3 - Relational Database management systems is picked out for the analyzes. To understand this checklist as part of an Information security management systems, the conception of an information network is demonstarted as part of the thesis. The technical implementation of the specifed requirements is shown on the examined DBMS whenever this is possible in a technical way. Otherwise an implementation proposal is given for organizational requirements.

Download PDF-Dokument

Download Folien zur Präsentation als PDF-Dokument