http://devops.straight8.de/index.php?action=history&feed=atom&title=Transparent_Data_Encryption_%28TDE%29Transparent Data Encryption (TDE) - Versionsgeschichte2026-05-26T05:20:53ZVersionsgeschichte dieser Seite in devops.straight8.deMediaWiki 1.41.1http://devops.straight8.de/index.php?title=Transparent_Data_Encryption_(TDE)&diff=79&oldid=prev89.247.173.51: Die Seite wurde neu angelegt: „== Transparent Data Encryption (TDE) == '''Transparent Data Encryption (TDE)''' ist eine Technologie, die von großen Datenbankherstellern (wie Microsoft SQL Server, Oracle und Azure SQL) eingesetzt wird, um ruhende Daten (Data-at-Rest) automatisch zu verschlüsseln. Der Name „transparent“ leitet sich daraus ab, dass die Anwendung, die auf die Datenbank zugreift, von der Verschlüsselung nichts bemerkt. === 1. Funktionsweise === TDE arbeitet auf d…“2026-02-05T15:08:05Z<p>Die Seite wurde neu angelegt: „== Transparent Data Encryption (TDE) == '''Transparent Data Encryption (TDE)''' ist eine Technologie, die von großen Datenbankherstellern (wie Microsoft SQL Server, Oracle und Azure SQL) eingesetzt wird, um ruhende Daten (Data-at-Rest) automatisch zu verschlüsseln. Der Name „transparent“ leitet sich daraus ab, dass die Anwendung, die auf die Datenbank zugreift, von der Verschlüsselung nichts bemerkt. === 1. Funktionsweise === TDE arbeitet auf d…“</p>
<p><b>Neue Seite</b></p><div>== Transparent Data Encryption (TDE) ==<br />
<br />
'''Transparent Data Encryption (TDE)''' ist eine Technologie, die von großen Datenbankherstellern (wie Microsoft SQL Server, Oracle und Azure SQL) eingesetzt wird, um ruhende Daten (Data-at-Rest) automatisch zu verschlüsseln. Der Name „transparent“ leitet sich daraus ab, dass die Anwendung, die auf die Datenbank zugreift, von der Verschlüsselung nichts bemerkt.<br />
<br />
<br />
<br />
=== 1. Funktionsweise ===<br />
TDE arbeitet auf der Dateisystemebene. Die Verschlüsselung erfolgt in Echtzeit beim Schreiben der Daten auf die Festplatte und die Entschlüsselung beim Lesen in den Arbeitsspeicher.<br />
* Wenn die Datenbank-Engine eine Seite vom Datenträger liest, wird sie entschlüsselt.<br />
* Wenn eine Seite zurück auf den Datenträger geschrieben wird, wird sie verschlüsselt.<br />
Da dieser Prozess innerhalb der Datenbank-Engine abläuft, bleiben Indizes, Sortierungen und Suchfunktionen voll funktionsfähig.<br />
<br />
=== 2. Die Schlüsselhierarchie ===<br />
TDE nutzt in der Regel eine mehrstufige Hierarchie, um die Sicherheit zu erhöhen:<br />
# '''Data Encryption Key (DEK):''' Ein symmetrischer Schlüssel, der die eigentlichen Daten in der Datenbankdatei verschlüsselt.<br />
# '''Key Encryption Key (KEK) / Master Key:''' Der DEK wird wiederum mit einem Master-Key verschlüsselt. Dieser Master-Key wird oft in einem externen Key Management Service (KMS) oder einem Hardware Security Module (HSM) gespeichert.<br />
<br />
<br />
<br />
=== 3. Vorteile von TDE ===<br />
<br />
* '''Keine Code-Änderungen:''' Da die Verschlüsselung auf Datenbankebene stattfindet, muss die Anwendung nicht angepasst werden.<br />
* '''Umfassender Schutz:''' Nicht nur die Datenbankdateien (.mdf, .dbf), sondern auch Log-Dateien und Backups werden automatisch mit verschlüsselt.<br />
* '''Geringer Verwaltungsaufwand:''' TDE lässt sich in modernen Cloud-Umgebungen oft per Mausklick aktivieren.<br />
* '''Performance:''' Moderne CPUs verfügen über Befehlssatzerweiterungen (wie AES-NI), wodurch der Performance-Verlust oft im vernachlässigbaren Bereich (unter 3-5%) liegt.<br />
<br />
=== 4. Grenzen von TDE ===<br />
<br />
* '''Schutz endet an der Datenbank:''' Sobald ein berechtigter Nutzer oder eine kompromittierte Anwendung Daten abfragt, liegen diese im RAM und auf dem Übertragungsweg im Klartext vor (sofern nicht zusätzlich TLS genutzt wird).<br />
* '''Kein Schutz vor DBAs:''' Ein Datenbankadministrator mit entsprechenden Berechtigungen kann die Daten im Klartext sehen, da die Datenbank sie für ihn automatisch entschlüsselt.<br />
<br />
=== 5. TDE vs. Application Level Encryption (ALE) ===<br />
<br />
{| class="wikitable"<br />
! Merkmal !! Transparent Data Encryption (TDE) !! Application Level Encryption (ALE)<br />
|-<br />
| '''Transparenz''' || Vollständig transparent für die App || App muss Ver-/Entschlüsselung steuern<br />
|-<br />
| '''Suche/Indizes''' || Funktionieren uneingeschränkt || Stark eingeschränkt<br />
|-<br />
| '''Schutzbereich''' || Nur die physische Speicherschicht || Ende-zu-Ende (App bis Speicher)<br />
|-<br />
| '''Komplexität''' || Sehr gering || Hoch<br />
|}<br />
<br />
'''Zusammenfassend:''' TDE ist die ideale Basissicherung für Unternehmen, die Compliance-Anforderungen erfüllen müssen, ohne ihre bestehenden Anwendungen umbauen zu wollen. Es schützt effektiv gegen den Diebstahl von Backup-Medien oder Festplatten aus dem Rechenzentrum.</div>89.247.173.51