Home | Community Forum | Blog

Was ist Dynamic Data Masking (DDM)?

Dynamic Data Masking (dynamische Datenmaskierung) bezieht sich auf die Maskierung von Daten, bei der die Entscheidung, ob die fraglichen Daten maskiert werden sollen, zum Zeitpunkt der Datenzugriffsanfrage getroffen wird und auf den Attributwerten des Benutzers, der den Zugriff beantragt, den Daten selbst und der Umgebung oder dem Kontext, in dem die Anfrage gestellt wird, basiert. Andere Begriffe, die häufig im Zusammenhang mit Data Masking verwendet werden, sind Anonymisierung, Verschleierung und Tokenisierung, wobei diese Begriffe je nach Kontext manchmal leicht unterschiedlich definiert werden.  Siehe Gartners Definition von Dynamic Data Masking (DDM).

Wie funktioniert die Dynamic Data Masking (DDM)? 

Bei der Dynamic Data Masking werden Richtlinien auf der Grundlage von Attributen des Benutzers, der den Zugriff auf die Daten beantragt, der Daten selbst und des Kontexts oder der Umgebung der Anfrage definiert. Diese Richtlinien werden dann zum Zeitpunkt der Datenanforderung ausgewertet und es wird entschieden, ob der Zugriff erlaubt wird. Nach der Bewertung der Richtlinie wird die Entscheidung dort durchgesetzt, wo auf die Daten zugegriffen wird, so dass alle Daten, die maskiert werden sollten, auch maskiert werden. 

Was sind die Techniken für DDM?

Es gibt verschiedene Möglichkeiten, wie Data Masking erreicht werden können.

  • Auslöschen – Ersetzen der Originaldaten durch Platzhalter, z. B. Nullen oder Sternchen. Dieser Vorgang ist nicht umkehrbar.
  • Verschlüsselung – Verschlüsseln der Daten, so dass das Original nur mit einem Schlüssel, z. B. einem Kennwort oder einem anderen Token, wiederhergestellt werden kann. Der Schlüssel muss geschützt werden, um sicherzustellen, dass er nicht kompromittiert wird.
  • Substitution – Ersetzen des Originalwerts/der Originalwerte durch einen Ersatzwert. Dies kann rückgängig gemacht werden, wenn eine Nachschlagetabelle geführt wird, die jedoch geschützt werden muss.

Warum sollten Sie Dynamic Data Masking verwenden? 

Datenmaskierung sollte immer dann eingesetzt werden, wenn Benutzer für ihre Arbeit auf einen Teil eines Datensatzes zugreifen müssen, aber nicht berechtigt sind, einen Teil der Daten einzusehen. In diesem Fall können alle Daten, die eingeschränkt oder sensibel sind, maskiert werden. Ein Beispiel hierfür sind Mitarbeiter- oder Kundendatensätze, die Persönlich identifizierbare Informationen (PII) enthalten können. Der Zugriff auf PII kann durch Datenschutzverordnung abgedeckt sein oder muss einfach nur eingeschränkt werden, um die Haftung des Unternehmens, das diese PII besitzt, zu begrenzen. In jedem Fall ermöglicht die Data Masking dieser PII in den Mitarbeiter- oder Kundendatensätzen den Benutzern, die für diese Datensätze erforderlichen Aktionen durchzuführen, ohne dass das Risiko besteht, dass die PII gefährdet werden. 

Wann brauchen Sie Dynamic Data Masking mit FPE? 

Die Format Preserving Encyption (formatbewahrende Verschlüsselung) (FPE) ist eine Form der Datenmaskierung, bei der kontrollierte oder sensible Daten durch Daten ersetzt werden, die dasselbe Format wie die Originaldaten haben. Die Beibehaltung des gleichen Formats wie die Originaldaten ist wichtig, wenn die maskierten Daten von einer Anwendung verwendet werden, die auf ein bestimmtes Datenformat angewiesen ist. Erfolgt die Masking auf einer niedrigeren Schicht, z. B. der Datenzugriffsschicht, merkt die Applikation, die die Daten verwendet, möglicherweise nicht einmal, dass sie geändert werden. Wenn die maskierten Daten das gleiche Format wie die Originaldaten haben, wird verhindert, dass die Masking die Abhängigkeiten der Applikation unterbricht. 

Wie können Organisationen DDM implementieren? 

Die Dynamic Data Masking wird am besten auf der Ebene des Datenzugriffs implementiert, so dass die Maskierung mit minimaler Beeinträchtigung der Applikationen oder anderer Ressourcen, die auf die Daten zugreifen, durchgeführt werden kann. Bei der Implementierung auf Datenzugriffsebene können Dynamic Data Masking-Lösungen die gleiche Schnittstelle wie die zugrunde liegende Datenbank implementieren, so dass keine Applikationen oder Integrationen, die die Datenbank nutzen, geändert werden müssen. Für die schnellstmögliche Bereitstellung einer Lösung können Produkte, die über eine Standardintegration mit vielen Datenbankprodukten verfügen, wie z. B. NextLabs‘ Data Access Enforcer (DAE), viel schneller bereitgestellt werden als solche, die kundenspezifischen Code erfordern. Produkte, die auch Format Preserving Encryption (FPE) unterstützen, reduzieren den Umfang der Anpassungen, die für die Implementierung einer Dynamic Data Masking-Lösung erforderlich sind.  

Weitere Informationen über die Dynamic Data Maskings Funktionalität von NextLabs finden Sie in unserer Data Access Security-Produktlinie, DAE. 

To comment on this post
Login to NextLabs Community

NextLabs seeks to provide helpful resources and easy to digest information on data-centric security related topics. To discuss and share insights on this resource with peers in the data security field, join the NextLabs community.