Sicherheit & Keychain-Integration

Willkommen zum HarborDB-Sicherheitsleitfaden. Diese umfassende Ressource erklärt, wie HarborDB macOS-Sicherheitsfunktionen – insbesondere Keychain – nutzt, um Ihre Datenbank-Anmeldedaten und Daten sicher zu halten. Egal, ob Sie mit lokalen Entwicklungsdatenbanken oder Produktionsservern arbeiten – das Verständnis dieser Sicherheitsfunktionen ist wesentlich für den Schutz sensibler Informationen.

Warum Sicherheit wichtig ist

Datenbankverbindungen enthalten oft sensible Informationen:

• Benutzernamen und Passwörter für PostgreSQL-Server
• Verbindungsdetails inklusive Hostnamen und Ports
• Abfrageergebnisse, die vertrauliche Daten enthalten können
• Exportdateien mit geschäftskritischen Informationen

HarborDB ist mit Sicherheit als Kernprinzip entwickelt und verwendet native macOS-Technologien, um Enterprise-Schutz ohne Kompromisse bei der Benutzerfreundlichkeit zu bieten.

macOS Keychain: Ihr digitales Safe

Was ist Keychain?

Keychain ist das integrierte Passwortverwaltungssystem von macOS. Stellen Sie es sich als digitales Safe vor, in dem macOS speichert:

• Passwörter für Anwendungen und Websites
• Verschlüsselungsschlüssel für sichere Kommunikation
• Zertifikate zur Identitätsüberprüfung
• Sichere Notizen für sensible Informationen

Wie Keychain Ihre Daten schützt

1. Verschlüsselung im Ruhezustand: Alle Keychain-Daten werden mit AES-256-Verschlüsselung verschlüsselt
2. Zugriffskontrollen: Jede Anwendung muss Berechtigung für den Zugriff auf Keychain-Elemente anfordern
3. Benutzerisolierung: Keychain-Elemente sind an Ihr Benutzerkonto gebunden
4. Automatische Sperrung: Keychain sperrt sich, wenn Ihr Mac schläft oder gesperrt wird

HarborDB und Keychain-Integration

Automatische Passwortspeicherung

Wenn Sie eine Verbindung in HarborDB speichern:

1. Passwort wird extrahiert aus den Verbindungseinstellungen
2. Verschlüsselt und gespeichert im Keychain Ihres Benutzers
3. Verbindungsdatei speichert nur nicht-sensitive Informationen
4. Bei nächster Verbindung holt HarborDB das Passwort aus dem Keychain

Was wird wo gespeichert

| Speicherort | Was gespeichert wird | Sicherheitsstufe | | -------------------------- | ----------------------------------- | ------------------------------- | | macOS Keychain | Nur Passwörter | 🔒 Maximal (AES-256) | | Verbindungsdatei | Host, Port, Datenbank, Benutzername | 🔐 Mittel (Dateiberechtigungen) | | Anwendungsspeicher | Entschlüsselte Passwörter während der Sitzung | 🔐 Hoch (RAM-Verschlüsselung) | | Festplatten-Cache | Abfrageergebnisse, temporäre Dateien | 🔐 Mittel (FileVault) |

Keychain-Element-Struktur

Jede HarborDB-Verbindung erstellt ein Keychain-Element mit:

• Service-Name: HarborDB
• Kontoname: connection:[Verbindungsname]
• Passwort: Ihr verschlüsseltes PostgreSQL-Passwort
• Zugriffsgruppe: Begrenzt auf HarborDB-Anwendung

Sicherheitsbest Practices

1. Passwortverwaltung

Empfohlen:

• ✅ Verwenden Sie starke, eindeutige Passwörter für jede Datenbank
• ✅ Ändern Sie Passwörter regelmäßig (alle 90 Tage)
• ✅ Verwenden Sie Passwort-Manager für zusätzliche Sicherheit
• ✅ Aktivieren Sie Zwei-Faktor-Authentifizierung wo möglich

Nicht empfohlen:

• ❌ Wiederverwendung von Passwörtern über verschiedene Server
• ❌ Speichern von Passwörtern in Klartextdateien
• ❌ Teilen von Keychain-Passwörtern mit anderen
• ❌ Verwenden einfacher oder Standardpasswörter

2. Verbindungssicherheit

Lokale Datenbanken:

Host: localhost oder 127.0.0.1
SSL: Optional (Loopback ist sicher)
Keychain: Empfohlen

Entwicklungsserver:

Host: dev-db.internal
SSL: Prefer oder Require
Keychain: Erforderlich
Firewall: Auf internes Netzwerk beschränken

Produktionsserver:

Host: prod-db.example.com
SSL: Require oder Verify-Full
Keychain: Erforderlich
VPN: Für Zugang empfohlen

3. Dateisicherheit

1. Speichern Sie Verbindungsdateien an sicheren Orten
2. Verwenden Sie FileVault für Vollplattenverschlüsselung
3. Backup Keychain regelmäßig (über Time Machine)
4. Sichern Sie Exportordner mit angemessenen Berechtigungen

Touch ID und biometrische Integration

Touch ID mit HarborDB verwenden

Wenn Ihr Mac Touch ID (oder Face ID bei neueren Modellen) hat, können Sie die Sicherheit erhöhen:

1. Aktivieren Sie Touch ID für Keychain in Systemeinstellungen
2. HarborDB fordert Fingerabdruck beim Zugriff auf Passwörter an
3. Fallback auf Passwort falls Biometrie fehlschlägt

Biometrische Authentifizierung einrichten

1. Öffnen Sie Systemeinstellungen → Touch ID & Passwort
2. Fügen Sie Ihre Fingerabdrücke hinzu (bis zu 3)
3. Aktivieren Sie "Keychain" in der Liste der Verwendungen
4. Starten Sie HarborDB neu, damit Änderungen wirksam werden

Vorteile biometrischer Integration

• Komfort: Keine Eingabe des Master-Passworts erforderlich
• Sicherheit: Einzigartig für Sie (kann nicht geteilt werden)
• Geschwindigkeit: Schneller als Passworteingabe
• Audit-Trail: Jeder Zugriff ist eindeutig identifiziert

FileVault und Festplattenverschlüsselung

Was ist FileVault?

FileVault ist die Vollplattenverschlüsselungsfunktion von macOS:

• Verschlüsselt die gesamte Startfestplatte
• Schützt Daten im Ruhezustand
• Transparent für Anwendungen
• Erforderlich für einige Compliance-Standards

FileVault aktivieren

1. Öffnen Sie Systemeinstellungen → Datenschutz & Sicherheit
2. Klicken Sie auf FileVault
3. Klicken Sie auf Einschalten
4. Wählen Sie Wiederherstellungsmethode (iCloud oder Wiederherstellungsschlüssel)
5. Warten Sie auf Abschluss der Verschlüsselung (Hintergrundprozess)

Wie FileVault HarborDB-Daten schützt

Mit aktiviertem FileVault:

• Verbindungsdateien sind auf der Festplatte verschlüsselt
• Exportdateien sind geschützt
• Temporäre Dateien können nicht wiederhergestellt werden
• Cache-Dateien sind sicher, selbst wenn der Mac gestohlen wird

Netzwerksicherheit (SSL/TLS)

SSL/TLS verstehen

SSL (Secure Sockets Layer) und TLS (Transport Layer Security) verschlüsseln Daten während der Übertragung:

HarborDB (macOS) → Verschlüsselter Tunnel → PostgreSQL Server

SSL-Modi in HarborDB

| Modus | Sicherheitsstufe | Anwendungsfall | | --------------- | ---------------- | ----------------------------- | | Disable | ❌ Keine | Nur lokale Entwicklung | | Allow | ⚠️ Niedrig | Bevorzuge unverschlüsselt | | Prefer | ✅ Mittel | Standard für die meisten Fälle | | Require | ✅ Hoch | Remote-Server | | Verify-CA | ✅✅ Hoch | Zertifizierungsstelle überprüfen | | Verify-Full | ✅✅✅ Höchste | Vollständige Zertifikatsvalidierung |

SSL in HarborDB konfigurieren

1. Verbindung bearbeiten in HarborDB
2. SSL-Modus auswählen aus Dropdown
3. Zertifikate importieren falls Verify-Full verwendet wird
4. Verbindung testen um SSL-Handshake zu überprüfen

Zertifikatsverwaltung

Für Enterprise-Umgebungen:

• CA-Zertifikate importieren in Keychain-Zugriff
• Client-Zertifikate verwenden für gegenseitiges TLS
• Ablaufwarnungen für Zertifikate einrichten
• Widerrufene Zertifikate regelmäßig aktualisieren

Fehlerbehebung häufiger Probleme

Keychain-Zugriffsprobleme

"HarborDB kann nicht auf Keychain zugreifen"

1. Berechtigungen überprüfen:

   # Keychain-Zugriff öffnen
   open /Applications/Utilities/Keychain\ Access.app
   

2. HarborDB-Berechtigungen zurücksetzen:

   • Verbindung löschen und neu hinzufügen
   • Berechtigung erteilen, wenn dazu aufgefordert

3. Keychain reparieren:

   • Keychain-Zugriff öffnen
   • "Login"-Keychain auswählen
   • Ablage → "Keychain First Aid"

"Passwort nicht in Keychain gefunden"

1. Verbindungsnamen überprüfen (ob er sich geändert hat)
2. Mehrere Keychains prüfen (Login, System, iCloud)
3. Keychain-Index neu aufbauen:

   security delete-keychain ~/Library/Keychains/login.keychain-db
   # Wird beim nächsten Login neu erstellt
   

SSL-Verbindungsprobleme

"SSL-Handshake fehlgeschlagen"

1. PostgreSQL-SSL-Konfiguration überprüfen:

   # In postgresql.conf
   ssl = on
   ssl_cert_file = 'server.crt'
   ssl_key_file = 'server.key'
   

2. Zertifikatsgültigkeit überprüfen:

   openssl x509 -in server.crt -text -noout
   

3. Verschiedene SSL-Modi probieren (Require → Prefer)

Allgemeine Sicherheitsprobleme

"Berechtigung verweigert"-Fehler

1. Dateiberechtigungen überprüfen:

   ls -la ~/Library/Application\ Support/HarborDB/
   

2. HarborDB-Berechtigungen zurücksetzen:

   • Voreinstellungsdatei verschieben
   • HarborDB neu starten

3. Festplattenberechtigungen überprüfen:

   diskutil verifyVolume /
   

Erweiterte Sicherheitsfunktionen

Benutzerdefinierte Keychain-Konfiguration

Für fortgeschrittene Benutzer:

1. Dedizierten Keychain für HarborDB erstellen:

   security create-keychain -P harbor.keychain
   security set-keychain-settings harbor.keychain
   

2. Kürzeren Timeout für sensible Verbindungen setzen:

   security set-keychain-settings -t 300 harbor.keychain
   

3. Keychain sperren wenn nicht in Benutzung:

   security lock-keychain harbor.keychain
   

Audit und Überwachung

1. Verbindungsprotokollierung in Einstellungen aktivieren

2. Keychain-Zugriffsprotokolle überprüfen:

   log show --predicate 'subsystem == "com.apple.security"'
   

3. Benachrichtigungen für fehlgeschlagene Verbindungen einrichten

4. Exportierte Dateizugriffsprotokolle regelmäßig überprüfen

Compliance-Überlegungen

GDPR/CCPA-Compliance:

• Persönliche Datenverschlüsselung im Ruhezustand und während der Übertragung
• Zugriffsprotokollierung und Audit-Trails
• Datenaufbewahrungsrichtlinien für Exporte

HIPAA-Compliance:

• Vollplattenverschlüsselung (FileVault)
• Sitzungs-Timeout für inaktive Verbindungen
• Sichere Löschung temporärer Dateien

PCI DSS-Compliance:

• Niemals Kreditkartennummern in Abfragen speichern
• Sensible Daten in Exporten maskieren
• Regelmäßige Sicherheitsbewertungen

Sicherheits-Checkliste

Tägliche Praktiken

• [ ] Mac sperren, wenn Sie weggehen
• [ ] Verbindungssicherheit vor Gebrauch überprüfen
• [ ] Auf macOS-Sicherheitsupdates prüfen
• [ ] Kürzliche Verbindungsversuche überprüfen

Wöchentliche Praktiken

• [ ] Exportierte Dateiorte überprüfen
• [ ] Keychain auf veraltete Einträge prüfen
• [ ] Überprüfen, ob FileVault aktiv ist
• [ ] Sicherheitskonfigurationen sichern

Monatliche Praktiken

• [ ] Datenbankpasswörter rotieren
• [ ] SSL-Zertifikate überprüfen
• [ ] Verbindungsberechtigungen auditieren
• [ ] Disaster-Recovery-Prozeduren testen

Hilfe erhalten

Sicherheitsvorfälle

Wenn Sie einen Sicherheitsvorfall vermuten:

1. Sofortige Maßnahmen:

   • Betroffene Datenbankpasswörter ändern
   • Kompromittierte Zertifikate widerrufen
   • Zusätzliche Protokollierung aktivieren

2. Support kontaktieren mit:

   • Zeitraum des Vorfalls
   • Betroffene Verbindungen
   • Eventuelle Fehlermeldungen
   • Bereits durchgeführte Schritte

Sicherheitsberatung

Für Enterprise-Sicherheitsbedürfnisse:

• Benutzerdefinierte Sicherheitsbewertungen
• Compliance-Beratung (GDPR, HIPAA, PCI DSS)
• Integration mit Unternehmenssicherheitssystemen
• Schulung für Teammitglieder

Zusätzliche Ressourcen

• Apple Platform Security Guide
• PostgreSQL-Sicherheitsdokumentation
• HarborDB-Support-Leitfaden
• macOS-Sicherheitsfunktionen

---

Sicherheit ist eine gemeinsame Verantwortung. Indem Sie macOS-Sicherheitsfunktionen mit HarborDB verstehen und richtig nutzen, schaffen Sie eine robuste Abwehr gegen Datenverletzungen und unbefugten Zugriff. Denken Sie daran: Gute Sicherheitspraktiken werden zu Gewohnheiten, die Ihre Daten jeden Tag schützen.

Letzte Aktualisierung: {{current_date}}