SQL Express Daten schützen

Question

Hallo Leute,

ich kann ein vermutlich eher banales Problem nicht lösen und hoffe darauf in die richtige Richtung gestoßen zu werden.

Ich entwickle zur Zeit eine Anwendung, die SQL Express als Backend nutzt. Diese Anwendung soll mit Datenbank in Linzenz weitergegeben werden. So weit so gut, aber der Aufbau der Tabellen sowie die Daten an sich sind mehr als nur die halbe Miete.

Ich möchte die Datenbank so schützen, daß man nicht mal eben als sa die mdf im Management Studio anfügen, sichten, sichern, exportieren etc. kann. Geht das in irgendeiner Weise?

Grüße,

Karsten Greb

Answer 1

Kurze Antwort: Nein. Nicht so, wie du es dir wohl vorstellst. Ein Adminstrator muss ja jederzeit genau das machen, um z.B. ein Desaster Recovery durchzuführen.

Du kannst einen Schritt in diese Rechtung mit TDE gehen:

http://msdn.microsoft.com/de-de/library/bb934049.aspx

Damit reduziert sich die Menge der Angriffsvektoren nur noch auf diejenigen Benutzer (Administratoren), welche Zugriff auf die Schlüssel haben.

---

Microsoft MVP Office Access
https://mvp.support.microsoft.com/profile/Stefan.Hoffmann

Answer 2

Hallo Karsten,

Objektarten wie Stored Procedures und UDFs kann man verschlüsselt in der Datenbank ablegen, so dass niemand den Entwurf einsehen kann, auch nicht ein SysAdmin.

Aber wie Stefan schon sagt, sonst gibt es da keine Chance, Tabellen & Daten können von jedem SysAdmin uneingeschränkt eingesehen werden.

Das Absichern einer Datenbank per Passwort geht nur bei der SQL Server Compact Edition.

[Edit 2011-03-24 20:36] Eigentlich hatte ich Stefans Antwort vorgeschlagen, nicht meine. Entweder treffe ich Links nicht mehr oder ... Sorry. [/Edit]

---

Olaf Helper
* cogito ergo sum * errare humanum est * quote erat demonstrandum *
Wenn ich denke, ist das ein Fehler und das beweise ich täglich
Blog Xing

Answer 3

Stefan, vielen Dank, etwas in dieser Art habe ich befürchtet.

Ich werde dann wohl mein Projekt auf  SQL Compact umstellen...

 

Answer 4

Ich werde dann wohl mein Projekt auf  SQL Compact umstellen...

Das setzt dann aber voraus, das Dein Programm für den Einzel-User Betrieb (Data Provider for CE => Provider Limitations) gedacht ist, den auf ein Compact Edition Datenbank kann immer nur einer zugreifen.

Zudem musst Du Dir bewust sein, dass das auch einige DB Änderungen mit sich zieht, den die Compact Edition unterstützt nur ein Subset der Features von der Express Edition. Das geht schon bei den Datentypen los, varchar gibt es nicht, es muss Nvarchar sein, es gibt keine Trigger usw..

---

Olaf Helper
* cogito ergo sum * errare humanum est * quote erat demonstrandum *
Wenn ich denke, ist das ein Fehler und das beweise ich täglich
Blog Xing

Answer 5

Ja, das ist mir leider alles bewußt.

Danke Olaf, danke Stefan.

Answer 6

Hallo!

Ich habe ziemlich das gleiche Problem. Darf ich das dem Verständnis wegen nochmals konkretisieren?
Unsere Endkunden sind, naja, wirkliche Endkunden. D.h. ohne SysAdmin-Abteilung o.ä. Die Software kommt per DVD, wird vom Kunden aufgespielt und wenn was nicht klappt, ruft er an und man hilft ihm in den meisten Fällen per Telefon. D.h. Backups etc. sollen von unserer SW erledigt werden. Wir haben kein Interesse, dass irgendwer auf anderem Wege als über unsere SW an den Daten herum manipuliert.

Unser Installationsscript würde eine benannte Instanz des MSSQL-Expr-Servers silent installieren und damit wären die sa-Infos dem Endkunden nicht bekannt. Soweit so gut.
Wenn die DB-Files jedoch mit einem anderen SQL-Server geöffnet würden, hätte dieser SA die volle Kontrolle und könnte mit beliebigen Tools an den Daten herum spielen?

Wenn das so ist (was ich befürchte), wie stellen andere Softwarehäuser (gegenüber Behörden, etc) sicher, dass die Daten genauso aus ihrer Applikation generiert wurden und nachträglich nicht verändert wurden?

Danke im Voraus.

LG, Thomas

 

Answer 7

Hi Thomas,

 

da Single-Environment habe ich für meine Lösung auf Server-Power und Mehrbenutzerumgebung verzichten können und nutze eine mit einem 255 Byte langen String verschlüsselte .sdf (MS-Compact) für meine Lösung.

 

Ich denke das ist datentechnisch ziemlich sicher, die Performance ist auch ok, leider kann man keine Stored Procedures etc. nutzen, na ok.

 

Gruß Karsten

Answer 8

Servus, Karten!

Das ist für uns leider keine Lösung. Wir benötigen den Mehrbenutzerbetrieb. ZZt. haben wir eine mehrplatzfähige Peer-To-Peer-Datenbank im Einsatz, wollen aber auf eine echte Client-Server-Umgebung umstellen. Trotzdem ist mir aber wichtig, dass der Kunde nicht in den Daten "herumfuhrwerkt". Außerdem will ich es meinem Mitbewerb auch nicht allzu einfach machen, in unsere Datenstruktur Einsicht zu nehmen.

LG, Thomas

Answer 9

Du kannst einen Schritt in diese Rechtung mit TDE gehen:

http://msdn.microsoft.com/de-de/library/bb934049.aspx

Damit reduziert sich die Menge der Angriffsvektoren nur noch auf diejenigen Benutzer (Administratoren), welche Zugriff auf die Schlüssel haben.

---

Aber ist die TDE (Transparente Datenverschlüsselung) nicht nur auf Enterprise und Datacenter verfügbar? D.h. in Express ohnehin keine Option?
Danke.
LG, Thomas

Answer 10

Wenn die DB-Files jedoch mit einem anderen SQL-Server geöffnet würden, hätte dieser SA die volle Kontrolle und könnte mit beliebigen Tools an den Daten herum spielen?

....

Trotzdem ist mir aber wichtig, dass der Kunde nicht in den Daten "herumfuhrwerkt". Außerdem will ich es meinem Mitbewerb auch nicht allzu einfach machen, in unsere Datenstruktur Einsicht zu nehmen 

Hallo Thomas,

genau so ist es.

Das setzt natürlich voraus, das jemand überhaupt an die Datenbank-Dateien oder einer Sicherung davon heran kommt. Und das heisst, das die Sicherheit nicht beim SQL Server beginnt, sondern bereits Systemseitig. Kommt ein Notebook mit der Datenbank "abhanden", kann man die Festplatte raus bauen und kommt so an die Dateien; sofern die HD selbst nicht geschützt ist.

Wenn ein Mitbewerber es nötig haben sollte, Dein DB Design abzukupfern, dann brauchst Du den als Konkurenz nicht fürchten.

Und das ein Endanwender Daten auf Umwegen ändern, kann man fast ausschließen. Zum einen ist es zu unbequem / aufwendig und wer immerhin das kann, wird wohl auch noch gerade so viel Kenntnisse über DBs haben, das er eher Schaden anrichten wird, deren Behebung viel Geld kostet.

Dann solltest Du auch den Punkt der Kundenakzeptanz nicht aus den Augen verlieren. In fast jedem Betrieb findet sich einer, der zumindest einfache Abfragen erstellen kann und ggf eigene Berichte auf den Daten erstellen will; wenn Du dem erzählst "Nö, ist nicht" dann wird das Interesse an Deinem Produkt eher schwinden.

Bei uns bräuchtest Du mit so einem "geschütztem" Produkt gar nicht erst vorstellig werden; ich als Kunde werde bei Dir nie "Bitte, bitte, darf ich an meine Daten ran?" machen. Denn es sind die Daten des Kunden, nicht Deine.

TDE = Transparent Data Encryption gibt es nur in der Enterprise Edition und aufwärts; in der Express Edition gibt es die Option nicht. Du könntest die Daten nur selbst verschlüsselt in der Datenbank ablegen, was aber einen entsprechenden Aufwand bedeutet ... und dann noch mal das Thema Kundenakzeptanz.

---

Olaf Helper
* cogito ergo sum * errare humanum est * quote erat demonstrandum *
Wenn ich denke, ist das ein Fehler und das beweise ich täglich
Blog Xing

Answer 11

Wenn ein Mitbewerber es nötig haben sollte, Dein DB Design abzukupfern, dann brauchst Du den als Konkurenz nicht fürchten.

Doch falls der Mitbewerber versucht ein Konvertierungsprogramm zu schreiben um Diese kompfortabel in seine eigene zu Importieren.

Bei uns bräuchtest Du mit so einem "geschütztem" Produkt gar nicht erst vorstellig werden; ich als Kunde werde bei Dir nie "Bitte, bitte, darf ich an meine Daten ran?" machen. Denn es sind die Daten des Kunden, nicht Deine.

Es gibt aber leider Berufsgruppen wo es lt.Gesetz vorgeschrieben ist ("Die unveränderlichkeit der Daten") Bsw. Arztpraxen , was kaum umgesetzt werden kann, da die Bezahlbaren DB-Systeme so etwas nicht bieten. Oder würdest du dich wohlfühlen einer kleinen Allgemein-Praxis mit 3 Arbeitsplätzen, einen SQL-Server in der Entpr.Edition verkaufen zu müssen + den Kosten für Hardware + Wartung und Backupkonzept. 

Ich will damit nur sagen, man kann nicht immer nur aus der Sicht von IT- und Db Profis die Sache sehen.

Ich kann die Gedanken von TommyG teilen und denke er sollte sich vielleicht mit einem Zertifikat auseinander setzen. Es hilft zwar nicht wenn irgend jemand vor dem Server sitzt, der das "SA" - Passwort hat. Aber die Daten wären bei einer Datensicherung ohne das Zertifikat auf einem anderen Server nicht sichtbar. Oder irre ich mich da jetzt ?

Gruß Thomas

Answer 12

Hae?

Was ist an einem hochfrequentem Backup auf ein WORM-Medium so teuer?

Answer 13

TDE = Transparent Data Encryption gibt es nur in der Enterprise Edition und aufwärts; in der Express Edition gibt es die Option nicht. Du könntest die Daten nur selbst verschlüsselt in der Datenbank ablegen, was aber einen entsprechenden Aufwand bedeutet ... und dann noch mal das Thema Kundenakzeptanz.

Die Verschlüsselung selbst zu machen ist ja keine wirkliche Option, oder? Wie soll eine Suche in einem verschlüsselten Feld erfolgen, wie kann ein Index funktionieren? Da könnte ich ja nur "unwichtige" Spalten verschlüsseln.

Danke, tommytom. Genau das sind meine Gedanken. Unsere Kunden sind nun einmal typischerweise Kleinbetriebe mit 3-5 Arbeitsplätzen, ohne eigener Admin-Abteilung, etc. mit Umfang der DB von ca. 100-300MB. Abgesehen von Lizenzgebühren scheint mir auch technisch gesehen, eine Enterprise Ed ein klein wenig zu hoch gegriffen.

Aber wie ist das mit dem Zertifikat gemeint? tommytom, kannst du mir dazu noch einen Tip geben? Danke.

Ich geb ja zu, dass das Argument "Daten sind Eigentum des Kunden" nicht einfach vom Tisch zu wischen ist. Aber auch zum Schutze des Kunden gegenüber seinen Vertragspartnern bzw. Behörden muss doch die einfache Manipulationssicherheit gegeben sein. Wie könnte ein Kunde beweisen, dass die Daten nicht nachträglich "geschönt" wurden, wenn er zwar unsere saubere Verwaltungssoftware verwendet, aber Alle wissen, wie leicht man mit jeder beliebigen Standard-SW den Datenbestand in beliebige Richtungen "verbiegen" kann?
Wie kann der "Chef" sicher sein, dass seine Mitarbeiter nicht "Korrekturen" durchgeführt haben? Bei Kleinbetrieben ist es meist undurchführbar, dass sich der Server in einem versperrten Datenraum mit Zutrittssystem befindet.
Auch für einen kleinen Kegelverein gilt, dass er, wenn er EDV einsetzt, ein gewisses Maß an Manipulationssicherheit bietet, vor Allem wenn Mitgliederbeiträge erfasst werden. Ein Excel-Spreadsheet ist definitiv zu wenig. Eine ungeschützte SQL-DB ist zwar strukturierter, aber aus der Sicht der Behörden manipulierbar bzw. in einem Streitfall genauso anzuzweifeln.

Mir ist schon klar, dass man den 100%igen Schutz nie haben wird (wie immer...), aber soo offensichtlich sollte es nicht sein.

LG, Thomas

 

 

Answer 14

Das Verfahren ist im Grunde simpel:

Du sicherst deine Daten auf ein WORM inklusive einem Fingerprint. Der Fingerprint geht über die aktuell gesicherten Daten plus den Fingerprint der vorhergegangenen Sicherung. Damit ist nachweisbar, ob ein Satz Sicherungen lückenlos ist. Wenn du den Fingerprint noch digital zertifizierst hast du damit deine Schäfchen im trockenen.

Und letztlich gilt in vielen Fällen ja doch noch der Papierzwang.

Apropos "ungeschützte SQL-DB", eine "geschützte SQL-DB" leistet noch nicht die Manipulationssicherheit.

Answer 15

Hallo Olaf,

ich verstehe absolut den Wunsch nach einer performanten aber vor Zugriff gesicherten DB.

Es müssen nicht zwangsläufig die Daten einem Kunden gehören, nur weil eine lizensierte Anwendung mit Datenbank beim ihm installiert ist.

In meinem Fall geht es um eine Projektsimulation, ein Trainingsprogramm mit hunderten von Parametern auf Projekt-, Task-, Mitarbeiter- und weiteren Ebenen.

Wenn jemand Zugriff auf Daten und Struktur erlangen würde, wäre schon durch die Analyse der DB ein großer Schritt für einen Nachbau der gesamten Anwendung getan.

Gruß,

Karsten

Answer 16

Wenn du ein solches Schutzbedürfnis hast, gibt es im Grunde nur eine Lösung: Gib die Daten nicht aus der Hand.

Arbeite mit einem Middle-Tier auf deinen Servern und übertrage die Daten per WebService oder ein anderes dir genehmes Verfahren. Nur so kannst du wirksam diesen Schutzlevel erreichen.

Answer 17

Hallo zusammen,

um kurz mal ein-zwei Schritte zurück zu gehen: Das für den "sa" SQL Account eine strenges Passwort gesetzt und dieses niemand mitteilt, ist schön und gut; aber abgesichert gegenüber dem Kunden ist der SQL Server damit gar nicht.
Als lokaler Admin kann man sich immer über die Windows Authentifizierung an den SQL Server anmelden und das natürlich mit SysAdmin Rechten.

 

Man könnte Trigger auf alle Tabellen, die über den Kontext (wie Context_Info http://msdn.microsoft.com/de-de/library/ms189252.aspx) entscheiden, ob eine Datenänderung erlaubt ist oder nicht; wenn nicht, dann führe ein Rollback aus.
Hat jemand Kenntnisse vom SQL Server und die Möglichkeit & Rechte (siehe zuvor), kann der die Trigger deaktivieren oder löschen.

Man könnte je Tabelle eine Spalte mit dem Hash-Wert/CheckSum (z.B. BINARY_CHECKSUM => http://msdn.microsoft.com/en-us/library/ms173784.aspx) anlegen, der von der Applikation mit den Werten bestimmter Spalten und ggf. einem zusätzlichen Applikationspezifischen Wert (analog zu einem Salt) gesetzt wird.
Ändert jemand an der Applikation vorbei Daten, stimmt diese Wert nicht mehr und man kann manipulierte Zeilen erkennen; vor einer Änderung selbst schützt es aber nicht.

TDE arbeitet mit einem Zertifikat und wenn man das nicht hat, kann man nicht auf die Daten zugreifen; aber eben TDE aus der Enterprise und auch ein Zertifikat kann gestohlen werden.

Nicht nur bestimmte Berufsgruppen sind an gesetzliche Bestimmungen gebunden, das ist auch jede Buchhaltung mit der GoB so.
Rechnungen in elektronischer Form die zum Vorsteuerabzug berechtigen müssen ebenfalls versionssicher / "unveränderbar" gespeichert werden.
Auch das kann eigentlich nur dadurch sicher gestellt werden, das die Daten digital mit Zertifikat signiert werden. Dabei wird das Timestamp von einem (zertifizierten) Zeitserver abgerufen und mit in der Signatur gespeichert; denn sonst könnte man selbst das Dokument abändern und neu signieren.

Und was den Datenexport betrifft: Selbst da gibt es in bestimmten Bereich Vorschrift, wie eben bei einer Buchhaltung.
Kommt es zur Betriebsprüfungen, will das Finanzamt die "steuerlich relevante Daten" haben und das heisst entweder ein (IDEA) Export in elektronischer Form oder ein Backup der Datenbank, wenn es sich um ein Standardsystem handelt.
Kannst Du das nicht liefern, wird vor Ort geprüft ... oder sie nehmen gleich den Server mit, um in Ruhe auf dem Amt zu prüfen; da kommt dann wenig Freude beim Kunden auf.

Das ist in vielen Bereich genaus so. Auch ein Arzt wird zuweilen geprüft, ob alles korrekt abgerechnet, im öffentlichem Bereich kommt der Wirtschaftsprüfer vorbei und so weiter. Und heutzutage geht keiner mehr riesige Aktenberge durch, da werden elektronische Daten gesichtet & analysiert.

Und auch hier wieder Thema Kundenakzeptanz:
Wer oder was garantiert mir als Kunde, das Du als Hersteller das Produkt auch noch in 10 Jahren pflegst und Du verfügbar bist, um bei einer Prüfung die Daten hierzu extrahierst? Nicht das womöglich morgen an Deinem Briefkasten ein Zettel klebt: "Meine neue Adresse: Karibik, dritte Insel von links".
Wenn ich als Kunde unter diesem Gesichtspunkten zwei Produkt zur Auswahl habe, eine abgeschottete und ein offenes System, rate mal welches Produkt ich kaufen werde. Denn ich als Kunde will Planungssicherheit und wenn es mal zu dem Fall kommt und ich auf ein anderes System wechseln musss, dann werde ich nicht alle Altdaten der letzten 10 Jahre (Zeitraum der Aufbewahrungspflicht) manuell nacherfassen.

Karsten, wenn ich Dich richtig verstehe, geht es bei Dir aber mehr um die Dateninhalte und die sind wohl aber Auslieferung statisch; sowas wie Regelwerke und ähnlich. Wie Thomas anmerkte ist eine Freitext-Suche in verschlüsselt Daten nicht so optimal, ein Index könnte nie verwendet werden (Suche geht selbst schon). Bei einem Regelwerk sucht man aber eigentlich nie nach Texten, sondern arbeitet nur mit IDs, da könntest Du den textuellen Inhalt schon verschlüsseln.
Hängt aber zugegeben sehr vom Konstrukt ab, wieweit das umsetzbar wäre.

 

---

Olaf Helper
* cogito ergo sum * errare humanum est * quote erat demonstrandum *
Wenn ich denke, ist das ein Fehler und das beweise ich täglich
Blog Xing

Answer 18

Lieber Olaf Helper!

Herzlichen Dank für deine wirklich ausführlichen Anmerkungen. Das Kriterium, dass der Anbieter plötzlich von der Bildfläche verschwindet, ist natürlich ein Gewichtiges. Schon klar.
Es ist ja auch nichts dagegen zu sagen, dass der Kunde ein "Export-Passwort" bekommt, damit er ohne große Probleme zu einem Mitbewerber wechseln kann. Ich bin da natürlich auch der Meinung, dass sich Kundenbindung über Qualität und Support definiert und nicht über Knebelung.

Der Aufwand um die externe Manipulation nachzuweisen können (bzw. noch besser "die nicht vorhandene Manipulation") ist nicht ganz unbeträchtlich (Hash über die gesamte Row + über Hashwert der vorigen row für den Nachweis der Lückenlosigkeit + "zertifizierter" Zeitstempel).
Ehrlich gesagt, ich glaub gar nicht, dass alle unsere Kunden ständig Internet zur Verfügung haben. D.h. es braucht dann den Zeitstempel aus zertifizierter Hardware.

Muss wirklich jede mickrige Vereinsverwaltung für 20 Mitglieder, die auch jährlich eine Minirechnung über den Unkostenbeitrag an ihre Mitglieder verschicken kann, diesen Aufwand treiben?
Oder jeder Kleinbetrieb, der 3PCs betreibt und eine Datenbank für seine Kalkulation oder Postbuch betreibt (die laut Finanz auch zu den relevanten, manipulationssicheren Daten gehören, weil Grundlage für Geschäftsfälle)?
Das kommt mir irgendwie mit Kanonen auf Spatzen schießen vor.

Aber wie es scheint muss man sich damit abfinden.
Danke jedenfalls

Liebe Grüße, Thomas