Skalierbare Datensicherheit mit Access

Autor: André Minhorst, Duisburg

Die Verwendung von allgemein zugänglichen Datenbanken ist eine Sache – der Umgang mit sensiblen Daten eine andere. Datenbanken mit sensiblen Daten müssen verschiedenen Benutzern oder Benutzergruppen differenzierten Zugriff auf den Datenbestand der Datenbank ermöglichen. Zu diesem Zweck gibt es so genannte Arbeitsgruppen-Informationsdateien, in denen Sie Benutzer- und Benutzergruppen und deren Berechtigungen bezogen auf die unterschiedlichen Objekte der Datenbank festlegen können.

Es gibt zwei Wege zum Sichern einer Datenbank mit einer Arbeitsgruppen-Informationsdatei, einerseits mit Hilfe eines Assistenten und andererseits manuell. Im vorliegenden Beitrag lernen Sie den zweiten Weg kennen. Dazu legen Sie zunächst eine neue Arbeitsgruppen-Informationsdatei an und sichern diese anschließend ab, indem Sie für verschiedene Benutzergruppen die Rechte für den Zugriff auf die unterschiedlichen Datenbankobjekte festlegen.

Die Sicherheit mittels Arbeitsgruppen-Informationsdatei beruht auf zweierlei Faktoren: erstens der genannten Datei selbst, in der die Benutzergruppen, die Benutzer und die Zuweisung von Benutzern zu den Gruppen gespeichert werden, sowie der Datenbank selbst, in der Informationen über die Zugriffsrechte der Benutzergruppen und Benutzer auf die unterschiedlichen Datenbankobjekte gespeichert werden.

Die Arbeitsgruppen-Informationsdatei

Bei der Installation von Access wird automatisch eine Standard-Informationsdatei namens System.mdw mit den zwei Benutzergruppen Administratoren und Benutzer angelegt.

Solange Sie keine weitere Arbeitsgruppen-Informationsdatei erstellen oder sich einer anderen Arbeitsgruppen-Informationsdatei anschließen, greifen neu erstellte Datenbanken auf die Standarddatei zu und verwenden die dort gespeicherten Einstellungen.

Da jeder Anwender standardmäßig als Administrator ohne Passwort angemeldet wird und für diesen als Angehörigen der Gruppe Administratoren keine Einschränkungen gelten, tritt der Mechanismus zunächst nicht in Erscheinung.

Um diesen uneingeschränkten Zugriff zu verhindern, müssen Sie einige Schritte durchführen. Damit erstellen Sie zunächst eine neue Arbeitsgruppen-Informationsdatei, legen dort die gewünschten Benutzergruppen mit den gewünschten Benutzern an und erstellen dann aus der bestehenden Datenbank eine neue, die dann die neue Arbeitsgruppen-Informationsdatei berücksichtigt.

Festlegung von Berechtigungen in der Datenbank

Die individuellen Berechtigungen für die Benutzergruppen und deren Mitglieder legen Sie dann in der Datenbank selbst fest. Es ist besonders wichtig, dass die Arbeitsgruppen-Informationsdatei, mit der Sie die neue Datenbank angelegt haben, nicht versehentlich gelöscht wird, da Sie ansonsten möglicherweise nicht mehr auf die Datenbank zugreifen können.

Für die Erstellung der Arbeitsgruppen-Informationsdatei verwenden Sie die Anwendung Wrkgadm.exe. Am einfachsten starten Sie diese Anwendung, indem Sie über das Windows-Startmenü den Eintrag Ausführen… auswählen und hier den Namen der Anwendung eingeben (siehe Bild 1).

Bild 1: Aufruf der Anwendung wrkadm.exe

Daraufhin öffnet sich die Anwendung und bietet die drei Optionen Erstellen…, Anschließen… und Beenden an (siehe Bild 2).

Bild 2: Auswahl einer Arbeitsgruppen-Informationsdatei

Nach einem Mausklick auf die Schaltfläche Erstellen… erscheint ein weiteres Fenster, in das Sie Informationen wie Name, Firma und Arbeitsgruppen-Code eingeben. Notieren Sie sich diese Informationen und bewahren Sie diese an einem sicheren Ort auf.

Im nächsten Fenster werden Sie zur Eingabe von Pfad und Dateinamen der Arbeitsgruppen-Informationsdatei aufgefordert. Geben Sie hier beispielsweise c:\Beispiel.mdw ein.

Nachdem Sie im folgenden Fenster die Angaben bestätigt haben, können Sie die Anwendung beenden.

Starten Sie zunächst die Access-Datenbank, für die Sie Berechtigungen festlegen möchten.

Hinweis

Für Beispielzwecke können Sie – wie üblich – die Nordwind-Datenbank verwenden, die standardmäßig mit Access installiert wird. Die in den folgenden Kapiteln beschriebene Vorgehensweise setzt voraus, dass Sie derzeit an die Arbeitsgruppen-Informationsdatei System.mdw angeschlossen sind und dort standardmäßig als Administrator angemeldet werden.

über den Menübefehl Extras ( Zugriffsrechte ( Benutzer- und Gruppenkonten… können Sie Benutzergruppen und Benutzer anlegen sowie das Anmeldungskennwort für unterschiedliche Benutzer ändern.

Es spielt keine Rolle, ob Sie zuerst Benutzer oder Gruppen anlegen. Sie können allerdings einen Benutzer nicht einer Gruppe zuordnen, die noch nicht existiert. Daher sollten Sie zunächst die gewünschten Gruppen anlegen und anschließend die Benutzer. Sie können die neuen Benutzer dann direkt den gewünschten Gruppen zuordnen.

Anlegen vonBenutzergruppen

Zum Anlegen einer Benutzergruppe wechseln Sie in das Register Gruppen. Hier klicken Sie entweder auf die Schaltfläche Neu und geben dann den Namen der neuen Gruppe an oder Sie tragen den neuen Gruppennamen in das Feld Name: ein und klicken anschließend auf die Schaltfläche Neu. In beiden Fällen erscheint der Dialog Neue(r) Benutzer/Gruppe (siehe Bild 3), in den Sie noch eine persönliche Identifikationskennung eingeben müssen.

Bild 3: Anlegen einer neuen Benutzergruppe

Bild 4: Hinzufügen eines neuen Benutzers

Hinweis

Es gibt standardmäßig die beiden Benutzergruppen Administratoren und Benutzer. Die Gruppe Administratoren können Sie weder löschen, noch darf sie jemals weniger als ein Mitglied haben. Die Gruppe Benutzer hat die Besonderheit, dass jeder Benutzer auf jeden Fall mindestens dieser einen Gruppe zugewiesen ist. Daher sollten die Mitglieder dieser Gruppe in der Regel keine Berechtigung zum Zugriff auf kritische Daten erhalten.

Anlegen von Benutzern

Wenn Sie die gewünschten Gruppen angelegt haben, wechseln Sie zurück in das Register Benutzer des Dialoges. Im Listenfeld Verfügbare Gruppen: finden Sie nun die neu eingegebenen Gruppen (siehe Bild 4).

Nun geben Sie einen neuen Benutzer ein, indem Sie entweder den Benutzernamen in das Feld Name: eintragen und anschließend die Schaltfläche Neu betätigen oder direkt auf diese Schaltfläche klicken und dann den Benutzernamen eintragen.

Schließlich fehlt noch die bereits von den Benutzergruppen bekannte persönliche Identifikationskennung.

Hinweis

Die Kombination aus Benutzer oder Gruppe und persönlicher Identifikationskennung soll verhindern, dass unberechtigte Personen einfach eine Arbeitsgruppen-Informationsdatei mit den gleichen Benutzern und Gruppen wie in der Original-Datei erstellen. Dies funktioniert nur, wenn neben den Namen von Benutzern und Gruppen auch die persönlichen Identifikationskennungen mit dem Original übereinstimmen. Notieren Sie sich daher an einer sicheren Stelle neben den Namen auch die persönlichen Identifikationskennungen, um die .mdw-Datei im Falle eines Verlustes erneuern zu können.

Zuweisen eines Passworts

Sie haben das Ende des frei verfügbaren Textes erreicht. Möchten Sie ...

TestzugangOder bist Du bereits Abonnent? Dann logge Dich gleich hier ein. Die Zugangsdaten findest Du entweder in der aktuellen Print-Ausgabe auf Seite U2 oder beim Online-Abo in der E-Mail, die Du als Abonnent regelmäßig erhältst:

Schreibe einen Kommentar