BLEIBEN SIE INFORMIERT
mit den ORDIX Newslettern!

Melden Sie sich für unsere Newsletter an und erhalten Sie exklusive Updates zu IT-Trends, spannenden Seminaren und Neuigkeiten der ORIDX AG.

BLEIBEN SIE INFORMIERT
mit den ORDIX Newslettern!

Melden Sie sich für unsere Newsletter an und erhalten Sie exklusive Updates zu IT-Trends, spannenden Seminaren und Neuigkeiten der ORIDX AG.

ORDIX blog
4 Minuten Lesezeit (796 Worte)

DORA-Konformität mit MySQL – Ist eure Datenbank zukunftssicher?

Die Einhaltung regulatorischer Vorgaben ist für viele Unternehmen im Finanzsektor und anderen hochsensiblen Bereichen längst keine Option mehr, sondern eine zentrale Pflicht. Insbesondere der Digital Operational Resilience Act (DORA) stellt neue Anforderungen an die Stabilität, Sicherheit und Belastbarkeit von IT-Systemen und damit auch an Datenbanken.

Mit über 25 Jahren Erfahrung mit MySQL und mehr als 15 Jahren in Projekten des Bankensektors höre ich oft die Frage: „Kann eine Open-Source-Datenbank wie MySQL den strengen Anforderungen von DORA gerecht werden?" In diesem Beitrag möchte ich darauf eingehen, wie MySQL – in seiner Community und Enterprise Edition – eine robuste Grundlage für DORA-Konformität bieten kann.

Was ist der Digital Operational Resilience Act (DORA)?

DORA, ein rechtlicher Rahmen der Europäischen Union, zielt darauf ab, die operative Widerstandsfähigkeit von Unternehmen im Finanzsektor zu verbessern. Im Kern geht es darum, sicherzustellen, dass Unternehmen:

  • Störungen und Angriffe auf IT-Systeme bewältigen können,
  • sensible Daten schützen,
  • und eine kontinuierliche Verfügbarkeit kritischer IT-Dienste gewährleisten.

Zu den zentralen DORA-Vorgaben gehören:

  1. IT-Risikomanagement: Proaktive Identifizierung und Minimierung von Risiken
  2. Sicherheitsvorfälle überwachen und melden: Transparenz und Meldepflichten bei IT-Vorfällen
  3. Kontinuitätsplanung: Notfallstrategien und Tests zur Aufrechterhaltung des Betriebs
  4. Sicherstellung von Verfügbarkeit und Integrität der Daten: Hochverfügbarkeit und Backups
  5. Sicherheitsprüfungen: Regelmäßige Tests und Audits zur Schwachstellenidentifikation

MySQL und die Herausforderungen von DORA

MySQL ist eine der beliebtesten relationalen (Open-Source-)Datenbanken weltweit und wird sowohl in einer kostenlosen Community Edition (CE) als auch in einer kommerziellen Enterprise Edition (EE) angeboten (es gibt noch weitere kommerzielle Editionen, die hier aber keine Rolle spielen sollen).

Beide Editionen bieten zahlreiche Funktionen, die bei der Umsetzung von DORA-Anforderungen helfen können. Doch während die CE eine solide Basis bietet, punktet die EE mit zusätzlichen Tools und Funktionalitäten, die speziell auf die Bedürfnisse stark regulierter Branchen zugeschnitten sind. 

Wie erfüllt MySQL die Anforderungen von DORA?

IT-Risikomanagement

MySQL EE bietet ein integriertes Enterprise Monitoring-Tool, das Unternehmen helfen kann, potenzielle Risiken wie Konfigurationsfehler, Leistungseinbrüche und Schwachstellen frühzeitig zu erkennen. Durch proaktive Überwachung können Unternehmen Risiken minimieren, bevor sie zu Problemen werden.

Die Community Edition erlaubt ebenfalls die Überwachung, allerdings über externe Tools wie Prometheus und Grafana, was in den meisten Fällen. zusätzlichen Konfigurationsaufwand bedeutet. 

Sicherheitsvorfälle überwachen und melden

Die MySQL EE verfügt über ein Enterprise Audit-Plugin, das sicherstellt, dass sicherheitsrelevante Aktivitäten detailliert protokolliert werden können. Administrator:innen können individuell festlegen, welche Ereignisse erfasst werden – ein entscheidender Aspekt bei der Einhaltung von DORA.

In der CE gibt es keine dedizierte Audit-Funktion. Grundlegende Protokollierungen sind jedoch über die generischen Log-Dateien (z. B. General-Query-Log) denkbar. Eine Umsetzung ist jedoch deutlich weniger flexibel und bedeutet zusätzlichen Aufwand. 

Kontinuitätsplanung

Beide MySQL-Editionen unterstützen Cluster-Lösungen zur Hochverfügbarkeit:

  • MySQL InnoDB Cluster: Verfügbar in der Community Edition, bietet automatische Failover-Mechanismen und ermöglicht, dass bei Ausfall eines Knotens der Betrieb ohne Unterbrechung fortgesetzt wird.
  • MySQL Group Replication: Eine weitere Lösung, die in beiden Editionen verfügbar ist und für synchrone Replikation sorgt.

Die Enterprise Edition ergänzt diese Lösungen durch die zusätzlichen Monitoring-Tools (siehe oben) und den entsprechenden Support für die gerade beschriebenen Lösungen. 

Sicherstellung von Verfügbarkeit und Integrität der Daten

Ein regelmäßiges Backup ist ein Kernbestandteil von DORA. MySQL EE bietet mit MySQL Enterprise Backup ein leistungsstarkes Tool, das inkrementelle Backups und verschlüsselte Sicherungen ermöglicht. Die MySQL Community Edition bietet ebenfalls zahlreiche Möglichkeiten, Backups effektiv einzurichten. Tools wie Percona XtraBackup erlauben inkrementelle Backups und sind ideal für produktive Umgebungen. Zusätzlich können Unternehmen auf Snapshot-basierte Backups moderner Dateisysteme oder Virtualisierungslösungen setzen, um schnelle und konsistente Sicherungen zu erstellen. Auch die Verwendung von Replikationsservern ermöglicht es, Backups ohne Beeinträchtigung der primären Datenbankperformance durchzuführen. Für kleinere Anwendungen oder nicht-kritische Daten sind mysqldump und mysqlpump praktische native Alternativen.  

Sicherheitsprüfungen

Sowohl die Community als auch die Enterprise Edition unterstützen Sicherheitsprüfungen durch Drittanbieter-Tools. Die EE erleichtert diesen Prozess jedoch durch das integrierte Enterprise Security Plugin, das Schwachstellenberichte direkt liefert. 

Fazit: Ist MySQL DORA-konform?

Die Antwort lautet: Ja, aber mit Einschränkungen. Die MySQL Community Edition bietet viele grundlegende Funktionen, die bei der Einhaltung von DORA helfen können. Für Unternehmen mit hohen Sicherheitsanforderungen, wie sie im Finanzsektor üblich sind, ist die Enterprise Edition sicherlich die bessere Wahl. Die erweiterten Sicherheits-, Backup- und Monitoring-Funktionen erleichtern nicht nur die Einhaltung der Vorschriften, sondern erhöhen auch die operative Effizienz.

Das Thema Support dürfte ebenfalls für viele Kunden ein relevantes Thema sein, da laut DORA Unternehmen sicherstellen sollen, dass ihre IT-Lösungen von Support-Dienstleistungen abgedeckt sind, um die Betriebsfähigkeit und Resilienz der Systeme zu gewährleisten. Es ist jedoch nicht zwingend erforderlich, dass dieser Support direkt vom Hersteller der Software kommt; auch Drittanbieter oder spezialisierte Dienstleister können die notwendige Unterstützung und Wartungsleistungen erbringen, solange sie die entsprechenden Anforderungen erfüllen.

Seid ihr bereit, eure Datenbanklandschaft auf die Anforderungen von DORA auszurichten? Lasset uns gemeinsam eure Optionen mit MySQL evaluieren!

Falls ihr weitere Fragen zu MySQL oder DORA habt, freuen wir uns auf eure Nachricht. 

Seminarempfehlung

Matthias Jung
Alle Beiträge anzeigen

Principal Consultant bei ORDIX

Markiert in:
MySQL (PDO)
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Freitag, 28. März 2025

Sicherheitscode (Captcha)

×
Informiert bleiben!

Bei Updates im Blog, informieren wir per E-Mail.

Weitere Artikel in der Kategorie

Auf der sicheren Seite? PCI DSS 4.0 Compliance mit MySQL?
Auf der sicheren Seite? PCI DSS 4.0 Compliance mit MySQL?
Weiterlesen...
Quo Vadis? Was passiert mit der Community Edition von Oracle MySQL?
Quo Vadis? Was passiert mit der Community Edition von Oracle MySQL?
Weiterlesen...
Manchmal ist es ok, aus dem Takt zu geraten! – Backup eines Galera Clusters
Manchmal ist es ok, aus dem Takt zu geraten! – Backup eines Galera Clusters
Weiterlesen...