:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anonymisierung von Daten in Datenbanken Welche Tools bei der Anonymisierung helfen
Anonymisierung personenbezogener Daten ist der Königsweg im Datenschutz. Besonders wichtig ist die Anonymisierung der Daten, wenn Datenbanken bei Testprojekten genutzt werden. Verschiedene Datenbank-Module und spezielle Tools helfen bei der Erzeugung anonymer Daten nach Datenschutz-Grundverordnung (DSGVO / GDPR). Wir geben einen Überblick und nennen die Datenschutzforderungen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Seit Monaten schon muss die Datenschutz-Grundverordnung (DSGVO / GDPR) angewendet werden. Trotzdem stecken viele Unternehmen immer noch in der Umsetzung. Da erscheint die Anonymisierung personenbezogener Daten fast wie ein Befreiungsschlag, denn in den zur DSGVO gehörenden Erwägungsgründen findet man sinngemäß:
Die Grundsätze des Datenschutzes gelten nicht für anonyme Informationen, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.
Anonyme Informationen haben also entweder keinen direkten oder indirekten Personenbezug, oder es handelt sich um personenbezogene Daten, die so bearbeitet wurden, dass die jeweilige Person nicht mehr identifizierbar ist.
Anonymisierung sollte aber weniger als Ausweg gesehen werden, um der DSGVO zu entgehen, sondern vielmehr als Königsweg im Datenschutz. Anonymisierung ist eine der wichtigsten Maßnahmen, um personenbezogene Daten zu schützen, indem man den Daten den direkten oder indirekten Personenbezug nimmt.
Wichtiger Anwendungsfall sind Testprojekte
Wenn ein Unternehmen zum Beispiel ein neues CRM-System (Customer Relationship Management) oder HR-System (Human Resources) testen will, um sich für oder gegen die Einführung zu entscheiden, finden Testphasen statt, in denen die neue Lösung möglichst realitätsnah getestet werden soll.
Wer jetzt echte Kundendaten oder Beschäftigtendaten in die neue Lösung importiert, um einen realistischen Test durchzuführen, darf nicht vergessen, dass für Testprojekte die gleichen, hohen Anforderungen gelten wie im späteren Produktiveinsatz.
Die Aufsichtsbehörden für den Datenschutz haben dies so ausgedrückt: Personenbezogene Daten sind vor der Freigabe eines Systems nicht weniger schutzbedürftig als nach dessen Freigabe.
Da jedoch gerade im Testfall einer neuen, datenbankgestützten Anwendung oder aber eines neuen Datenbanksystems noch nicht sichergestellt ist, dass die personenbezogenen Daten in der Datenbank angemessen geschützt sind, empfiehlt es sich ausdrücklich, den Test mit anonymisierten Daten durchzuführen, also Daten, die von der Struktur und dem Aufbau her den Echtdaten entsprechen, die aber kein direkte oder indirekte Identifizierung von Personen mehr zulassen.
Viele Datenbanken bieten bereits Anonymisierungsfunktionen
Unternehmen, die Datenbanken im Einsatz haben, sollten prüfen, ob es nicht bereits Datenschutz-Module oder -Funktionen dafür gibt, die die Anonymisierung bzw. Datenmaskierung vornehmen können. Datenmaskierung bedeutet dabei, dass das Format der Daten erhalten wird, nur die Werte werden verändert, um eine Identifizierung von Personen zu verhindern.
Beispiele für solche Module sind: Dynamische Datenmaskierung bei SQL Server, IBM InfoSphere Optim Data Masking, MariaDB MaxScale und Oracle Data Masking.
Im Fall einer zu testenden Datenbank oder datenbankgestützten Anwendung jedoch sind solche Datenschutz-Module nicht der Weg der Wahl: Ohne zu wissen, wie es um die Datensicherheit einer neuen Lösung steht, sollten die Echtdaten nicht importiert werden, um sie dann im Testsystem zu anonymisieren.
Die personenbezogenen Daten sollten bereits vor dem Test anonymisiert und dann importiert werden, wobei geprüfte und zuverlässige Anonymisierungsfunktionen bei den vorhandenen Datenbanken eingesetzt werden sollten. Doch es gibt auch Alternativen.
Spezielle Tools helfen bei der Anonymisierung
Neben den Datenbank-Modulen zur Anonymisierung gibt es auch eine Reihe von Spezialwerkzeugen, die die Anonymisierung personenbezogener Daten in bestimmten Datenbanken ermöglichen. Solche Tools und Verfahren werden von Datenschützern explizit begrüßt.
„Gerade die Entwicklung von Anonymisierungs- und Pseudonymisierungsverfahren als Privacy-by-default-Lösungen stellen einen wichtigen Beitrag zur Wahrung des Datenschutzes dar“, erklärte die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.
Beispiele für Tools zur Anonymisierung sind:
- DataSunrise (unter anderem für Oracle, MS SQL Server, PostgreSQL, MySQL, IBM DB2, Amazon Aurora, Amazon Redshift, MS SQL Azure, Mongo DB, Amazon Dynamo DB, MariaDB, etc.)
- DataVeil (für SQL Server , Oracle, MySQL und Azure SQL)
- Imperva Camouflage (für Oracle, SQL Server, DB2, SAP ASE, Teradata, Netezza, MySQL, PostgreSQL, IMS etc.)
Möglichkeiten zur Anonymisierung von personenbezogenen Daten gibt es somit reichlich, der Datenschutz bei Datenbank-Tests kann also durchaus gewährleistet werden, mit Datenmaskierung, nicht um die DSGVO zu umgehen, sondern um DSGVO-Compliance zu gewährleisten.
(ID:45745029)
:quality(80)/p7i.vogel.de/wcms/37/48/3748c9e0693d76edea5c70f969410905/0113877146.jpeg "Die Open Source Pentest-Tools Legion, sqlmap, Zed Attack Proxy, OpenSCAP, Karkinos und Scapy helfen Admins bei der Schwachstellensuche. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")