Seit 25 Jahren beschäftige ich mich intensiv mit MySQL und habe in über 15 Jahren zahlreiche Projekte im Bankenumfeld begleitet. Dabei stoße ich immer wieder auf Vorurteile, was die Leistungsfähigkeit und Einsatzmöglichkeiten von MySQL oder Open Source Datenbanken betrifft – insbesondere in stark regulierten und unternehmenskritischen Bereichen wie der Finanzbranche.

Viele skeptische Stimmen behaupten, dass Open-Source-Datenbanken nicht den Sicherheits- und Compliance-Anforderungen solcher Branchen genügen könnten. In diesem Beitrag möchte ich diesen Vorurteilen entgegenwirken und anhand der PCI DSS 4.0-Anforderungen aufzeigen, dass MySQL – sowohl in der Community Edition (CE) als auch in der Enterprise Edition (EE) – eine vollwertige, sichere und leistungsstarke Option für den Schutz von Zahlungsdaten ist. Inspiriert wurde ich dazu von dem folgenden Beitrag von Mike Frank (https://blogs.oracle.com/mysql/post/pci-dss-40-compliance-and-mysql), der dieses Thema auch aus der Perspektive der Oracle Cloud (OCI) betrachtet.

Was ist der Payment Card Industry Data Security Standard​

Werfen wir zunächste gemeinsam einen detaillierten Blick darauf, wie MySQL die verschiedenen Aspekte der PCI DSS 4.0-Standards erfüllt und wie es Unternehmen ermöglicht, auch in hochregulierten Umgebungen erfolgreich zu operieren.

Die Einhaltung des Payment Card Industry Data Security Standards (PCI DSS) 4.0 ist für Unternehmen, die Zahlungsdaten speichern, verarbeiten oder übertragen, von zentraler Bedeutung. Der Standard umfasst strenge Sicherheitsanforderungen, die Unternehmen helfen sollen, Karteninhaberdaten zu schützen und Sicherheitsvorfälle zu verhindern. MySQL, eine der am häufigsten genutzten relationalen Datenbanken, bietet sowohl in der Community Edition (CE) als auch in der Enterprise Edition (EE) Lösungen, um diese Anforderungen zu erfüllen – allerdings mit unterschiedlichem Funktionsumfang.

In diesem Beitrag werfen wir einen Blick darauf, wie MySQL die PCI DSS 4.0-Anforderungen adressiert und welche Optionen sowohl die Community als auch die Enterprise Edition bieten, um eine sichere und konforme Datenverwaltung zu gewährleisten. 

Schutz von Karteninhaberdaten

Ein zentraler Bestandteil der PCI DSS 4.0 ist der Schutz von Karteninhaberdaten – sowohl im Ruhezustand (Data-at-Rest) als auch bei der Übertragung (Data-in-Transit). MySQL bietet hier in beiden Editionen Unterstützung, allerdings unterscheidet sich der Grad der Automatisierung und die Integration externer Systeme.

Die MySQL Enterprise Edition ermöglicht eine automatische Verschlüsselung aller Daten in InnoDB-Tabellen und Logs mithilfe von Transparent Data Encryption (TDE). Diese Lösung erfordert keine Anpassungen auf Anwendungsebene und ist vollständig integriert. Zusätzlich bietet die Enterprise Edition eine Unterstützung für externe Schlüsselmanagementsysteme (Key Management Systems, KMS), was den Schutz der Verschlüsselungsschlüssel weiter erhöht.

Die MySQL Community Edition hingegen unterstützt ebenfalls die Verschlüsselung im Ruhezustand, allerdings ist diese weniger komfortabel und nicht automatisiert. Seit Version 5.7.11 kann mithilfe des Keyring-File-Plugins eine grundlegende Verschlüsselung für einzelne Tabellen aktiviert werden. Der Schlüssel wird dabei lokal auf dem Server gespeichert, was zwar für grundlegende Sicherheitsanforderungen ausreicht, jedoch nicht für streng regulierte Umgebungen geeignet ist. Verschlüsselung bei der Übertragung wird in beiden Editionen durch TLS/SSL gewährleistet, sodass sensible Daten sicher zwischen Client und Server übertragen werden können. 

Zugriffskontrolle und Berechtigungsmanagement

Ein weiterer kritischer Aspekt des Standards ist die Zugriffskontrolle. Nur autorisierte Benutzer:innen dürfen auf sensible Daten zugreifen, und die Verwaltung dieser Berechtigungen muss effizient und nachvollziehbar erfolgen. Hier bieten beide Editionen ab MySQL 8.0 rollenbasierte Zugriffskontrolle (RBAC), ein leistungsstarkes Feature, mit dem Berechtigungen zentral verwaltet und Benutzer:innen zugewiesen werden können. Dies erleichtert insbesondere in großen Organisationen die Einhaltung von Prinzipien wie „Least Privilege" (minimale Rechtevergabe).

In der Praxis bedeutet dies, dass ihr beispielsweise eine Rolle „Datenanalyst" erstellen und dieser nur Lesezugriff auf bestimmte Datenbanken gewähren könnt. Änderungen an den Rollen wirken sich sofort auf alle zugeordneten Benutzer:innen aus, was die Verwaltung deutlich vereinfacht.

https://blog.ordix.de/rollenspiele-mit-mysql

Protokollierung und Überwachung​

Die Überwachung sicherheitsrelevanter Ereignisse ist entscheidend, um potenzielle Sicherheitsvorfälle zu erkennen und zu analysieren. In der Enterprise Edition ermöglicht das MySQL Enterprise Audit-Feature eine anpassbare und detaillierte Protokollierung von Aktivitäten, einschließlich Zugriffsversuchen und Datenänderungen. Diese Funktion hilft nicht nur bei der Einhaltung der PCI DSS-Vorgaben, sondern unterstützt auch interne Sicherheitsanalysen und die Forensik nach Vorfällen.

Die Community Edition bietet keine dedizierte Audit-Funktion, jedoch kann die allgemeine Protokollierung über das General Query Log genutzt werden. Dieses erfasst grundlegende Informationen zu ausgeführten SQL-Statements, ist jedoch weniger flexibel und detailliert als die Audit-Funktion der Enterprise Edition.

https://blog.ordix.de/eine-neue-fehlerkultur-die-mysql-error-log-tabelle

https://blog.ordix.de/kurz-und-gut-episode-05-mysql-failed-login-tracking

https://blog.ordix.de/kurz-und-gut-episode-03-mysql-password-history

Sichere Authentifizierung

Eine sichere Authentifizierung ist ein weiterer zentraler Bestandteil der PCI DSS 4.0. In der Enterprise Edition können Sie LDAP- oder PAM-basierte Authentifizierung nutzen, um Benutzer:innen sicher und zentral zu verwalten. Zudem können Passwort-Richtlinien über das validate_password-Plugin durchgesetzt werden, welches in beiden Editionen verfügbar ist. Dieses Plugin sorgt dafür, dass Passwörter den Mindestanforderungen an Länge, Komplexität und Zeichenklassen entsprechen.

Die Community Edition unterstützt keine externen Authentifizierungsmethoden, kann jedoch mit dem validate_password-Plugin grundlegende Sicherheitsanforderungen an Passwörter erfüllen. 

Schwachstellenmanagement und Schutz vor Malware

Die regelmäßige Prüfung und Behebung von Schwachstellen ist ein essenzieller Bestandteil der PCI DSS. Die Enterprise Edition bietet mit dem MySQL Enterprise Monitor ein leistungsstarkes Tool, das nicht nur Schwachstellen identifiziert, sondern auch Performance- und Konfigurationsprobleme erkennt. In der Community Edition fehlen solche integrierten Funktionen, weshalb externe Tools oder manuelle Überwachungsmethoden notwendig sind.

Während MySQL keine direkte Malware-Abwehr bietet, helfen Maßnahmen wie Verschlüsselung, rollenbasierte Zugriffskontrolle und Protokollierung, die Angriffsfläche zu minimieren und Manipulationsversuche zu erkennen. 

Fazit

Sowohl die MySQL Community Edition als auch die Enterprise Edition bieten solide Grundlagen, um die Anforderungen der PCI DSS 4.0 zu erfüllen. Die Enterprise Edition überzeugt mit erweiterten Sicherheitsfunktionen wie Transparent Data Encryption, externem Schlüsselmanagement und detaillierter Audit-Protokollierung, was sie zur idealen Wahl für Unternehmen mit strengen Compliance- und Sicherheitsanforderungen macht.

Die Community Edition ist jedoch eine leistungsfähige und kosteneffiziente Alternative, die mit rollenbasierter Zugriffskontrolle, TLS/SSL-Verschlüsselung und Passwort-Policies eine solide Basis bietet. Für weniger komplexe Umgebungen oder Organisationen mit kleineren Budgets kann sie eine geeignete Lösung sein.

Mit MySQL könnt ihr eure Zahlungsdaten effektiv schützen und sicherstellen, dass ihr die Anforderungen der PCI DSS 4.0 zuverlässig erfüllt – unabhängig davon, welche Edition ihr nutzt.

Ihr wollt mehr über den Einsatz von MySQL & Co., auch in kritischen Geschäftsbereichen wissen? Sprecht mit uns! 

Seminarempfehlung