Datenskandale sind inzwischen in den Medien wieder sehr präsent. Immer wieder liest man von Datenlecks bei großen Unternehmen. Gefühlt gibt es inzwischen kaum mehr eine große Plattform die nicht schon irgendwo Daten „verloren“ hat. Vermutlich hat jeder schon einmal seine Mailadresse beim Hasso Plattner Institut (https://sec.hpi.de/ilc/) oder auf Have I been pwned (https://haveibeenpwned.com) überprüft und vermutlich auch gefunden. Wer das noch nicht gecheckt hat sollte das dringend mal nachholen und dann gegebenenfalls handeln. Jeder der einen SQL Server betreibt hat auch irgendwo Daten die so vermutlich erstmal nicht für die Öffentlichkeit bestimmt sind und ist damit gezwungen sich um die Sicherheit der Daten zu kümmern.

Wie verhindere ich, dass die Daten aus meinem Server auch mal irgendwo auftauchen wo sie nicht hingehören?

In einer kleinen Serie möchte ich euch Basics bzgl. Security zeigen. Spätestens durch die DSGVO kann es sehr teuer werden wenn Daten in falsche Hände geraten. Aber natürlich ist ein Datendiebstahl auch immer aus Image Gründen absolut fatal. Keiner will wohl, dass seine Daten offen im Netz zu finden sind oder irgendwo zum Kauf angeboten werden. Der Verlust von Daten – seien es Kundendaten oder auch andere Geschäftsdaten – kann für ein Unternehmen auch existenzbedrohend werden.

Die Security des SQL Servers kann man natürlich nicht nur isoliert betrachten. Ein perfekt abgesicherter Server hilft mir nichts wenn ein Angreifer über andere Wege an die Daten kommt. In der Praxis erlebt man leider immer wieder eklatante Sicherheitslücken bei SQL Servern und einen sehr fahrlässigen Umgang mit den Daten.

Security ist aber nicht nur die Absicherung nach außen sondern auch das Rechtesystem im SQL Server. Auch wenn in meiner Firma vielleicht viele Mitarbeiter Zugriff auf meinen Datenbank Server haben müssen, darf nicht jeder auch jede Datenbank einsehen oder bearbeiten. Der SQL Server bietet hier ein extrem umfangreiches Rechtemanagement auf verschiedenen Ebenen. Je nach Edition bzw. Version kann man das sogar bis auf die Ebene eines einzelnen Feldes in der Datenbank runterbrechen und bestimmen wer die Daten lesen darf. Auch das Design der Datenbank ist ein wichtiger Aspekt der Security. Es gibt beispielsweise immer noch Webseiten die einem bei der „Passwort vergessen“ Funktion das richtige Passwort wieder zusenden.

In Teil 1 wird es eine Einführung in die Benutzer, Logins, Rollen und Rechte im SQL Server geben. Aufbauend auf diese Basics werden wir dann verschiedene Aspekte der Security betrachten.