Aktualisiert am 30. Juli 2023

Bei der Dynamic Data Masking werden Richtlinien auf der Grundlage von Attributen des Benutzers, der den Zugriff auf die Daten beantragt, der Daten selbst und des Kontexts oder der Umgebung der Anfrage definiert. Diese Richtlinien werden dann zum Zeitpunkt der Datenanforderung ausgewertet und es wird entschieden, ob der Zugriff erlaubt wird. Nach der Bewertung der Richtlinie wird die Entscheidung dort durchgesetzt, wo auf die Daten zugegriffen wird, so dass alle Daten, die maskiert werden sollten, auch maskiert werden. 

Es gibt verschiedene Möglichkeiten, wie Data Masking erreicht werden können.

• Auslöschen – Ersetzen der Originaldaten durch Platzhalter, z. B. Nullen oder Sternchen. Dieser Vorgang ist nicht umkehrbar.
• Verschlüsselung – Verschlüsseln der Daten, so dass das Original nur mit einem Schlüssel, z. B. einem Kennwort oder einem anderen Token, wiederhergestellt werden kann. Der Schlüssel muss geschützt werden, um sicherzustellen, dass er nicht kompromittiert wird.
• Substitution – Ersetzen des Originalwerts/der Originalwerte durch einen Ersatzwert. Dies kann rückgängig gemacht werden, wenn eine Nachschlagetabelle geführt wird, die jedoch geschützt werden muss.

Datenmaskierung sollte immer dann eingesetzt werden, wenn Benutzer für ihre Arbeit auf einen Teil eines Datensatzes zugreifen müssen, aber nicht berechtigt sind, einen Teil der Daten einzusehen. In diesem Fall können alle Daten, die eingeschränkt oder sensibel sind, maskiert werden. Ein Beispiel hierfür sind Mitarbeiter- oder Kundendatensätze, die Persönlich identifizierbare Informationen (PII) enthalten können. Der Zugriff auf PII kann durch Datenschutzverordnung abgedeckt sein oder muss einfach nur eingeschränkt werden, um die Haftung des Unternehmens, das diese PII besitzt, zu begrenzen. In jedem Fall ermöglicht die Data Masking dieser PII in den Mitarbeiter- oder Kundendatensätzen den Benutzern, die für diese Datensätze erforderlichen Aktionen durchzuführen, ohne dass das Risiko besteht, dass die PII gefährdet werden. 

Die Format Preserving Encyption (formatbewahrende Verschlüsselung) (FPE) ist eine Form der Datenmaskierung, bei der kontrollierte oder sensible Daten durch Daten ersetzt werden, die dasselbe Format wie die Originaldaten haben. Die Beibehaltung des gleichen Formats wie die Originaldaten ist wichtig, wenn die maskierten Daten von einer Anwendung verwendet werden, die auf ein bestimmtes Datenformat angewiesen ist. Erfolgt die Masking auf einer niedrigeren Schicht, z. B. der Datenzugriffsschicht, merkt die Applikation, die die Daten verwendet, möglicherweise nicht einmal, dass sie geändert werden. Wenn die maskierten Daten das gleiche Format wie die Originaldaten haben, wird verhindert, dass die Masking die Abhängigkeiten der Applikation unterbricht. 

Die Dynamic Data Masking wird am besten auf der Ebene des Datenzugriffs implementiert, so dass die Maskierung mit minimaler Beeinträchtigung der Applikationen oder anderer Ressourcen, die auf die Daten zugreifen, durchgeführt werden kann. Bei der Implementierung auf Datenzugriffsebene können Dynamic Data Masking-Lösungen die gleiche Schnittstelle wie die zugrunde liegende Datenbank implementieren, so dass keine Applikationen oder Integrationen, die die Datenbank nutzen, geändert werden müssen. Für die schnellstmögliche Bereitstellung einer Lösung können Produkte, die über eine Standardintegration mit vielen Datenbankprodukten verfügen, wie z. B. NextLabs‘ Data Access Enforcer (DAE), viel schneller bereitgestellt werden als solche, die kundenspezifischen Code erfordern. Produkte, die auch Format Preserving Encryption (FPE) unterstützen, reduzieren den Umfang der Anpassungen, die für die Implementierung einer Dynamic Data Masking-Lösung erforderlich sind.  

Weitere Informationen über die Dynamic Data Maskings Funktionalität von NextLabs finden Sie in unserer Data Access Security-Produktlinie, DAE.