Was ist Datenmaskierung?

Datenmaskierung, auch als Datenverschleierung bekannt, ist der Prozess, sensible Informationen durch realistische, aber unauthentische Daten zu ersetzen. Der Hauptzweck besteht darin, vertrauliche Informationen, wie personenbezogene Daten, die in unternehmenseigenen Datenbanken gespeichert sind, zu schützen. Dennoch stellt effektive Datenmaskierung einen Ausgleich zwischen Sicherheit und Nutzbarkeit sicher, so dass die verschleierten Daten weiterhin für wesentliche Unternehmensaktivitäten wie Softwaretests und Anwendungsentwicklung geeignet bleiben.

Maskierung erweist sich in Szenarien wie folgenden als unschätzbar:

Ein Unternehmen muss IT-Firmen im Ausland und Dritte Zugang zu seinen Datenbanken geben. Wenn Sie Daten maskieren, ist es sehr wichtig, dass sie konsistent aussehen und erscheinen, damit Hacker und andere böswillige Akteure denken, dass sie mit echten Daten zu tun haben.
Ein Unternehmen muss Bedienungsfehler mindern. Unternehmen vertrauen normalerweise darauf, dass ihre Mitarbeiter gute und sichere Entscheidungen treffen, doch viele Datenschutzverletzungen sind das Ergebnis von Bedienungsfehlern. Wenn Daten maskiert sind, sind die Folgen solcher Fehler nicht so katastrophal. Es ist auch erwähnenswert, dass nicht alle Operationen in Datenbanken die Verwendung von vollständig realen, genauen Daten erfordern.
Ein Unternehmen führt datengesteuerte Tests durch.

Die Maskierung kann für alle Unternehmen nützlich sein, die mit den folgenden Arten von Daten umgehen:

Persönlich identifizierbare Informationen (PII)
Geschützte Gesundheitsinformationen (ePHI)
Zahlungskarteninformationen (PCI-DSS)
Geistiges Eigentum

All diese Daten müssen in Übereinstimmung mit den nationalen und internationalen Vorschriften zum Schutz sensibler Daten geschützt werden.

In diesem Artikel werden wir uns genauer mit statischer Maskierung, dynamischer Maskierungund In-Place-Maskierung befassen.

Beispiele für maskierte Daten

Im folgenden Beispiel sehen Sie, wie die Spalte “Kartennummer” vor der Maskierung aussah:

SQL> select * from scott.emp;

    EMPNO ENAME     JOB            MGR  HIREDATE CARD      
--------- --------- ---------- ------- --------- -------------------
        1 SMITH     CLERK            0 17-DEC-80 4024-0071-8423-6700
        2 SCOTT     SALESMAN         0 20-FEB-01 4485-4392-7160-9980
        3 JONES     ANALYST          0 08-JUN-95 6011-0551-9875-8094
        4 ADAMS     MANAGER          1 23-MAY-87 5340-8760-4225-7182

4 rows selected.

Und nach der Maskierung:

SQL> select * from scott.emp;

    EMPNO ENAME     JOB            MGR  HIREDATE CARD      
--------- --------- ---------- ------- --------- -------------------
        1 SMITH     CLERK            0 17-DEC-80 XXXX-XXXX-XXXX-6700
        2 SCOTT     SALESMAN         0 20-FEB-01 XXXX-XXXX-XXXX-9980
        3 JONES     ANALYST          0 08-JUN-95 XXXX-XXXX-XXXX-8094
        4 ADAMS     MANAGER          1 23-MAY-87 XXXX-XXXX-XXXX-7182

4 rows selected.

Sie können verschiedene Felder mit verschiedenen Methoden maskieren. Mit DataSunrise können Sie beispielsweise folgende Methoden verwenden:

Maskierungsmethode	Ursprüngliche Daten	Maskierte Daten
Kreditkartenmaskierung	4111 1111 1111 1111	4111 ** ** 1111
E-Mail-Maskierung	[email protected]	j*e@e***e.com
URL-Maskierung	https://www.example.com/user/profile	https://www.****.com//****
Telefonnummern-Maskierung	+1 (555) 123-4567	+1 (*) *-4567
Zufällige IPv4-Adressmaskierung	192.168.1.1	203.45.169.78
Zufällige Datum/Uhrzeit-Maskierung mit konstantem Jahr für Zeichenkettensäulentypen	2023-05-15	2023-11-28
Zufällige Datum/Uhrzeit- und Zeitmaskierung aus dem Intervall für den Zeichenkettensäulentyp	2023-05-15 14:30:00	2024-02-19 09:45:32
Maskierung durch leeren, NULL, Teilzeichenwerte	Empfindliche Informationen	NULL
Maskierung durch feste und zufällige Werte	John Doe	Anonymer Benutzer 7392
Maskierung mit einer benutzerdefinierten Funktion	Secret123!	S**t1!
Die ersten und letzten Zeichen von Zeichenketten maskieren	Passwort	asswor
Maskierung aller sensiblen Daten in einem Klartext	Meine SSN ist 123-45-6789 und mein Geburtsdatum ist 15.01.1980	Meine SSN ist XXX-XX-XXXX und mein Geburtsdatum ist XX/XX/XXXX
Maskierung durch Werte aus vordefinierten Wörterbüchern	John Smith, Software-Ingenieur, New York	Ahmet Yılmaz, Datenanalytiker, Chicago

Schritte der Datenmaskierung

Wenn es um die praktische Umsetzung geht, benötigen Sie die beste Strategie, die in Ihrem Unternehmen funktioniert. Nachfolgend finden Sie die Schritte, die Sie durchführen müssen, um die Maskierung wirksam zu gestalten:

Finden Sie Ihre sensiblen Daten. Der erste Schritt besteht darin, Daten wiederherzustellen und zu identifizieren, die möglicherweise sensibel sind und Schutz benötigen. Es ist besser, dafür eine spezielle automatisierte Software zu verwenden, wie die DataSunrise-Entdeckung sensibler Daten unter Verwendung von Tabellenbeziehungen.
Analyse der Situation. In diesem Stadium sollte das Datensicherheitsteam verstehen, wo sich die sensiblen Daten befinden, wer Zugang dazu benötigt und wer nicht. Sie können rollenbasierten Zugriff verwenden. Jeder, der eine bestimmte Rolle hat, kann ursprüngliche oder maskierte sensible Daten sehen.
Anwendung der Maskierung. Man sollte bedenken, dass es in sehr großen Organisationen nicht machbar ist anzunehmen, dass nur ein einziges Maskierungstool im gesamten Unternehmen verwendet werden kann. Stattdessen benötigen Sie möglicherweise verschiedene Maskierungsarten.
Ergebnisse der Maskierung testen. Dies ist der letzte Schritt im Prozess. Qualitätssicherung und Tests sind erforderlich, um sicherzustellen, dass die Maskierungskonfigurationen die erforderlichen Ergebnisse liefern.

Datenmaskierungstypen

Für detailliertere Informationen über die Maskierungstypen und ihre Implementierung sowohl mit nativen als auch Drittanbieterlösungen, besuchen Sie bitte unseren YouTube-Kanal und erkunden Sie unsere umfassende Maskierungs-Playlist.

Dynamische Maskierung

Dynamische Maskierung ist ein Prozess der Maskierung von Daten zum Zeitpunkt einer Abfrage an eine Datenbank mit echten privaten Daten. Dies geschieht durch Modifizierung der Abfrage oder der Antwort. In diesem Fall werden die Daten “on the fly” maskiert, d.h. ohne sie in einem Übergangsspeicher zu speichern.

Statische Maskierung

Wie der Name schon sagt, müssen Datenbankadministratoren bei der statischen Maskierung von Daten eine Kopie der Originaldaten erstellen, sie an einem sicheren Ort aufbewahren und sie durch einen gefälschten Datensatz ersetzen. Dieser Prozess beinhaltet das Duplizieren des Inhalts einer Datenbank in eine Testumgebung, die dann mit Dritten und anderen externen Parteien geteilt werden kann. Als Ergebnis bleiben die ursprünglichen sensiblen Daten, die Schutz benötigen, in der Produktionsdatenbank, und eine maskierte Kopie wird in die Testumgebung verschoben. So perfekt es auch erscheinen mag, mit Drittanbietern unter Verwendung statischer Maskierung zu arbeiten, für Anwendungen, die echte Daten aus Produktionsdatenbanken benötigen, kann statisch maskiertes Daten ein großes Problem darstellen.

In-Place-Maskierung

In-Place-Maskierung erzeugt wie statische Maskierung auch Testdaten auf Basis von realen Produktionsdaten. Dieser Prozess besteht in der Regel aus 3 Hauptstufen:

Kopieren der Produktionsdaten wie sie sind in eine Testdatenbank.
Entfernen von redundanten Testdaten, um das Datenspeichervolumen zu verringern und die Testprozesse zu beschleunigen.
Ersetzen aller PII-Daten in einer Testdatenbank mit maskierten Werten – dieser Schritt wird als In-Place-Maskierung bezeichnet.

Die Methode des Kopierens von Produktionsdaten bleibt außerhalb des Geltungsbereichs der In-Place-Datenmaskierung selbst. Zum Beispiel kann es sich um ein ETL-Verfahren handeln oder ein Backup-Wiederherstellung einer Produktionsdatenbank oder etwas anderes. Das Wichtigste hier ist, dass die In-Place-Maskierung auf eine Kopie einer Produktionsdatenbank angewendet wird, um die darin enthaltenen PII-Daten zu maskieren.

Bedingungen, die die Datenmaskierung erfüllen sollte

Wie bereits erwähnt, müssen alle in der Maskierung involvierten Daten auf mehreren Ebenen bedeutungsvoll bleiben:

Die Daten müssen für die Anwendungslogik bedeutungsvoll und valide bleiben.
Die Daten müssen so verändert werden, dass sie nicht rückentwickelt werden können.
Die verschleierten Daten sollten innerhalb mehrerer Datenbanken in einer Organisation konsistent bleiben, wenn jede Datenbank das spezifische Datenelement enthält, das maskiert wird.

Datenmaskierung mit DataSunrise

Die Maskierung ist eine entscheidende Funktion jeder Datenschutzlösung. Wir sind stolz darauf, die Datenmaskierungsfunktionen von DataSunrise anbieten zu können, die eine der am einfachsten zu verwendenden, aber dennoch robustesten und umfassendsten Maskierungslösungen auf dem Markt bietet. Im Bild unten können Sie die Maskierungseinstellung für ein E-Mail-Feld sehen. Es stehen Dutzende von Maskierungstypen zur Verfügung. Sie wählen einfach die Datenbank und die zu maskierenden Daten (oder den Standort der unstrukturierten Daten) aus, legen den Maskierungstyp fest und Ihre Daten sind bereit, regulatorische Compliance-Prüfungen zu bestehen.

Schlussfolgerung

DataSunrise bietet Ihnen die Möglichkeit der statischen und dynamischen Datenmaskierung, um Ihre Daten zu schützen (auch Maskierung von XML, JSON, CSV und unstrukturiertem Text auf Amazon S3). Darüber hinaus wird die Datenentdeckung mit Tabellenbeziehungen ein unverzichtbares zusätzliches Werkzeug beim Schutz Ihrer Daten sein. Unser Sicherheitssuite garantiert den Schutz der Daten in Ihren Datenbanken in der Cloud und On-Premises. Probieren Sie es jetzt aus, um sicherzustellen, dass alles unter Ihrer Kontrolle ist.