Tisch mit einem Notebook darauf, auf dem Bildschirm ist eine Tabelle zu sehen, eine Person deutet mit dem Zeigefinger auf einen Eintrag
Security

Datenmaskierung im Unternehmen: Tipps und Best Practices

Kriminelle versuchen immer häufiger, an sensible Unternehmensdaten zu gelangen. Der Datenschutz ist eine der wichtigsten Pflichten von Unternehmen, doch trotz aller Sicherheitsvorkehrungen kommt es immer wieder zu Datenpannen. Sie können Ihre Daten von vornherein unbrauchbar für Hacker:innen und andere unbefugte Personen machen: Mittels Datenmaskierung, häufig auch als Data Masking bezeichnet, verwandeln Sie sensible in unverfängliche Informationen und machen sie unbrauchbar für Dritte.

Compliance-Regeln und gesetzliche Richtlinien regeln streng den Umgang mit sensiblen Daten. Unternehmen müssen dafür eine Reihe an Verfahren nutzen. Zu diesen Instrumenten gehört die Datenmaskierung. Die Methode schützt vertrauliche Informationen in weniger sicheren Umgebungen. Data Masking ist nützlich, wenn Sie Daten intern und extern zu unterschiedlichen Zwecken verwenden möchten.

Hier erfahren Sie, wie Datenmaskierung funktioniert, welche Arten es gibt und in welchen Bereichen Sie die unterschiedlichen Methoden in Ihrem Unternehmen am besten einsetzen.

Inhaltsverzeichnis

Was ist Datenmaskierung?

Datenmaskierung sichert persönliche und vertrauliche Informationen innerhalb Ihres Unternehmens ab. Das Verfahren ist unter anderem als Data Masking, Data Sanitization oder Data Scrambling bekannt. Die Maskierung von Daten gehört zum Komplex der sogenannten Data Obfuscation, in dem Daten auf unterschiedliche Arten verschleiert werden. Die Maskierung tauscht dafür in beliebigen Datensätzen originale gegen verfälschte Informationen aus.
So lässt sich Data Masking z. B. für Compliance-Zwecke und allgemeine Regeln zum Datenschutz einsetzen, etwa zur Einhaltung der Datenschutz-Grundverordnung (DSGVO). Das Verfahren kann beispielsweise das unbeabsichtigte Ändern von Daten aufgrund von menschlichem Versagen verhindern oder Ihre Geschäftsgeheimnisse bewahren. Diese Verfremdung von Daten empfiehlt sich für viele interne und externe Prozesse sowie für Aufgaben, für die echte Informationen nicht zwingend erforderlich sind.
Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

Whitepaper: Cyber Security

Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

  • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
  • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
  • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen

Wie funktioniert Data Masking in Ihrem Unternehmen?

Das Verfahren ersetzt teilweise oder vollständig echte sensible Daten durch fiktive und anonymisierte Informationen. Dabei bleibt das Format Ihrer Daten gleich, doch die Werte ändern sich – und sind somit unverfänglich. Kurz gesagt: Indem Sie Ihre Daten maskieren, erstellen Sie eine verfälschte Kopie eines Datensatzes, eine Art Dummy.
Der digitale Dummy bietet sich vor allem in Nicht-Produktionsumgebungen an. Beispielsweise für:
  • Schulungen und Fortbildung: Für reine Lerninhalte und Übungen sind echte Daten nicht notwendig.
  • Entwicklung und Tests von Software: Hier erlaubt Data Masking den sicheren Zugriff auf Daten, ohne etwa private Informationen zu offenbaren.
  • Outsourcing und Offshoring: Lagern Sie Dienstleistungen aus, sollten Sie sensible Daten bei Bedarf maskieren, bevor Sie sie an Dritte weitergeben. So stellen eventuell unsichere Schnittstellen zu Systemen von anderen Unternehmen keine Gefahr für Ihre Daten dar.
Ein wesentlicher Vorteil der Datenmaskierung: Die ursprünglichen, korrekten Angaben lassen sich aus der verfälschten Version nicht wiederherstellen. Cyberkriminelle und andere Unbefugte haben deshalb keine Chance, über die umgewandelten Datensätze an Ihre authentischen Daten heranzukommen. Damit ist Data Masking eng mit Verfahren verwandt, die Informationen verschlüsseln.
Wichtig ist in diesem Zusammenhang: In Ihrem Unternehmen haben autorisierte Personen weiter den vollen Zugriff auf die originalen, sicher und separat abgelegten Daten.
Eine Frau steht vor einem großen Bildschirm mit einer bunten Grafik . Sie deutet auf Details in der Grafik.
Für Fort- und Weiterbildungszwecke verfälscht die Datenmaskierung sensible Informationen, behält aber deren ursprüngliche Datenformate bei.
Die Datenmaskierung bietet sich unter anderem für folgende Datentypen an:
  • Persönlich identifizierbare Informationen: Dazu gehören Angaben wie der vollständige Name, die Passnummer, die Führerscheinnummer und die Sozialversicherungsnummer von Personen.
  • Geschützte Gesundheitsinformationen: Das betrifft Daten, die Gesundheitsdienstleister erfassen, beispielsweise Versicherungsinformationen, demografische Informationen, Test- und Laborergebnisse, Krankengeschichten und Gesundheitszustände.
  • Zahlungskarteninformationen nach dem Payment Card Industry Data Security Standard: Händler müssen die Kredit- und Debitkarten-Transaktionen ihrer Kundschaft angemessen schützen.
  • Geistiges Eigentum: Internes Wissen sowie eigene geistige Schöpfungen, einschließlich Erfindungen, Geschäftspläne, Designs und Spezifikationen, sind wertvoll.
Einer erfolgreichen Datenmaskierung geht ein komplexer Prozess voraus. Deshalb sollten Sie das Verfahren strukturiert und etappenweise in Ihre Geschäftsprozesse implementieren.
  • Ziele festlegen: Bestimmen Sie, für welche Szenarien (z. B. Datenschutz, Compliance) und Bereiche (z. B. Entwicklungs-, Test-, Schulungsumgebungen) Sie die Datenmaskierung einsetzen wollen. Zu berücksichtigen sind auch die rechtlichen und regulatorischen Anforderungen, denen Ihr Betrieb unterliegt.
  • Daten erfassen: Ermitteln Sie alle relevanten sensiblen Daten in Ihrer Organisation (z. B. personenbezogene Daten, Finanzdaten, vertrauliche Unternehmensinformationen). Kategorisieren Sie diese nach ihrer Sensibilität (z. B. hochsensibel, mittel, niedrig), um zu bestimmen, welche Daten wie stark maskiert werden müssen.
  • Maskierungsart und -technik auswählen: Abhängig von den Daten und deren Schutzbedarf legen Sie die Art und Weise der Datenmaskierung fest.
  • Tools evaluieren: Analysieren Sie, welche Data-Masking-Lösungen Ihren Anforderungen entsprechen (z. B. kommerzielle Software, Open-Source-Tools). Achten Sie darauf, dass das ausgewählte Tool mit den vorhandenen Datenbanken, Anwendungen und IT-Systemen in Ihrem Unternehmen kompatibel ist.
  • Pilotprojekt starten: Probieren Sie die gewünschte Maskierungslösung in einer begrenzten Umgebung aus. Das hilft gefahrlos dabei, potenzielle Probleme zu identifizieren und den Implementierungsprozess zu optimieren. Holen Sie außerdem Feedback des Testteams ein. So können Sie sehen, ob sich die Lösung im Arbeitsalltag bewährt, und sicherstellen, dass sie sich nicht negativ auf die Produktivität auswirkt.
Bei der Umsetzung kann die Zertifizierung nach DIN EN ISO 27001 hilfreich sein. Das ist ein internationaler Standard für Information-Security-Management-Systeme (ISMS). Er umfasst Richtlinien, Verfahren und Maßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. An diesen Vorgaben entlang können Sie Data Masking in Ihrem Unternehmen realisieren.
Das ist nicht nur für interne Zwecke sinnvoll. Mit einer Zertifizierung gemäß DIN EN ISO 27001 zeigen Sie auch nach außen, dass Sie beim Schutz sensibler Daten internationale Standards einhalten. Das betrifft unter anderem ein spezielles Risikomanagement, Kontrollen und Compliance-Vereinbarungen.

Diese Arten der Datenmaskierung gibt es

Je nach Anwendungsfall und Sicherheitsanforderungen gibt es unterschiedliche Arten von Data Masking. Hier ein Überblick über die gebräuchlichsten Methoden.

Statische Datenmaskierung (Static Data Masking, SDM)

Die statische Datenmaskierung tarnt und kopiert sensible Informationen dauerhaft in einer eigenen Datenbank. Das Verfahren bietet einen starken Schutz, da die Originaldaten abgeschottet und unverändert an ihrem ursprünglichen Platz bleiben und nicht offengelegt werden. Static Data Masking ist ideal für Testdatenbanken und zur Schulung von Angestellten, in deren Arbeitsbereich der Datenschutz besonders wichtig ist.

Dynamische Datenmaskierung (Dynamic Data Masking, DDM)

Die dynamische Datenmaskierung arbeitet in Echtzeit, sobald eine Anfrage in einer Datenbank eingeht. Die Daten in dieser Datenbank bleiben im Original erhalten, werden aber bei der Übermittlung je nach Anwendungsprofil und Berechtigung maskiert. Die Methode ist flexibel, da sie keine Kopien von Daten erfordert und sensible Informationen auf der Grundlage von Benutzerrollen steuert. Dynamic Data Masking empfiehlt sich, wenn unterschiedlich autorisierte Personen Zugriff auf die gleichen Daten haben, aber nicht alle von ihnen sämtliche Daten sehen dürfen.

Deterministische Datenmaskierung

Die deterministische Maskierung verwandelt Daten konsistent in vorhersehbare Pseudowerte. Dabei bleibt der Datentyp erhalten. Diese Art der Maskierung überschreibt beispielsweise einen bestimmten, wiederkehrenden Namen immer mit derselben Ersatzangabe: Aus „Andreas Schulz“ macht sie stets „Thomas Meier“. Das bietet sich an für Analysen und Reportings, bei denen die Verknüpfung maskierter Daten über mehrere Datensätze hinweg erforderlich ist.

Nichtdeterministische Datenmaskierung

Die nichtdeterministische Maskierung ersetzt ursprüngliche durch zufällige Werte, die keine beständige Beziehung zum Original haben. Dieses willkürliche Vorgehen führt zu einem sehr hohen Grad an Anonymität und eignet sich besonders, wenn etwa der vollständige Schutz privater Daten gewährleistet sein muss.

Formaterhaltende Maskierung (Format-Preserving Masking)

Wie der Name schon nahelegt: Diese Methode ändert nur den Inhalt der Daten, das Format behält sie bei (Anzahl der Zeichen oder nummerische Werte). Beispielsweise substituiert sie eine Kreditkartennummer durch eine andere Nummer mit derselben Länge und Struktur. Das ist nützlich in Systemen, die auf bestimmte Datenformate angewiesen sind, etwa in der Anwendungsentwicklung und in Testumgebungen.
Offenes Vorhängeschloss vor Zahlenmuster

Vodafone Cyber-Security-Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

Data Masking: Techniken und Beispiele für Ihr Unternehmen

Die Arten von Datenmaskierung bilden den konzeptionellen, übergeordneten Rahmen zum Schutz vertraulicher Informationen. Die Techniken hingegen bezeichnen die Instrumente und Verfahren für die Maskierung von Daten in der IT-Praxis. Allerdings sind beide Aspekte eng miteinander verwandt, weshalb sie sich teilweise in Funktion und Definition überschneiden.
Das sind die wichtigsten Techniken von Data Masking:

Substitution

Dieses Verfahren tauscht Originalwerte gegen ähnliche, aber bedeutungslose Werte aus. Die Substitution kommt häufig für Datenfelder wie Namen, Adressen oder Telefonnummern zum Einsatz. Das Datenformat und die -struktur behält sie bei. Das macht sie nützlich für Tests und Analysen.

Mischen (Shuffling)

Shuffling oder Mischen ersetzt sensible Daten durch andere Werte aus demselben Datensatz oder derselben Datenbank. So behalten die Informationen zwar ihre Echtheit und ihr Format, aber der Zusammenhang zwischen ihnen ist aufgelöst. Trotzdem: Es sind dabei weiter Originaldaten im Spiel, was die Sicherheit von Shuffling beeinträchtigt.

Maskierung mit bestimmten Mustern (Pattern Masking)

Diese Data-Masking-Technik überschreibt Originaldaten teilweise nach einem bestimmten Muster. Beispielsweise können Sie damit manche Ziffern einer Kreditkartennummer maskieren und andere sichtbar lassen (z. B. 1234 56XX XXXX 7890). Zu finden ist diese Methode daher oft in der Zahlungsabwicklung und der Kundendatenverwaltung.

Nullifizierung (Nulling Out)

Nullifizierung ersetzt sensible Datenfelder durch Nullwerte oder leere Werte. Damit sind diese Informationen für Unbefugte völlig unbrauchbar. Nullifizierung wird verwendet, wenn der Zugriff auf die Daten selbst nicht nötig ist, sondern nur auf die Datenstruktur. Allerdings ist sie deshalb nicht für Tests oder Analysen geeignet, die echte Daten brauchen.

Reduktion (Data Reduction)

Sie maskiert nur bestimmte Datenfelder oder -sätze. Andere Daten lässt sie unberührt. Beispielsweise können Sie damit das Geburtsdatum von Kund:innen verschleiern, während der Name sichtbar bleibt. Die Reduktion ist damit eine flexible Methode, die nur die wirklich sensiblen Daten maskiert. Das macht sie möglicherweise weniger sicher, da sie nicht alle sensiblen Datenfelder verschleiert.

Pseudonymisierung

Die Pseudonymisierung verwandelt echte Daten auf Basis eines Codes in künstliche Daten. Diese sind jedoch rückverfolgbar, solange ein passender Schlüssel oder eine Referenzdatenbank verfügbar ist. Beispielsweise lässt sich ein Name durch eine Chiffre ersetzen und bei Bedarf in die Originalinformation zurückwandeln. Sinnvoll ist das etwa für medizinische Studien, bei denen einerseits der Datenschutz, andererseits eine spätere Re-Identifizierung der Daten wichtig ist. Die Rückverfolgbarkeit macht die Pseudonymisierung weniger sicher als andere Techniken der Datenmaskierung.

Maskierung durch Generalisierung (Generalization)

Die Generalisierung tauscht spezifische Werte gegen allgemeinere oder unscharfe Werte aus. Beispielsweise können Sie damit ein genaues Geburtsdatum durch das Geburtsjahr ersetzen.
Diese Variante bietet eine Balance zwischen Datenschutz und Datennützlichkeit. Allerdings geht hier der Detailgrad der Daten verloren, was für bestimmte Analysen problematisch ist.
Microsoft Defender für Unternehmen

Microsoft Defender für Unternehmen

Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.

  • Schutz vor Ransomware, Phishing und anderen Bedrohungen
  • Optimal für IT-Admins in kleinen und mittleren Unternehmen
  • In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten

Das Wichtigste zu Data Masking in Kürze

  • Die digitale Maskierung von Daten schützt sensible Informationen vor unbefugtem Zugriff.
  • Data Masking verfälscht echte Daten und macht sie so unbrauchbar für Dritte.
  • Nur autorisierte Benutzergruppen dürfen mit den originalen Daten arbeiten.
  • Mit dem Verfahren lassen sich interne Compliance-Richtlinien einhalten, aber auch allgemein vorgeschriebene datenschutzrechtliche Vorgaben.
  • Die Datenmaskierung bietet sich vor allem für nicht-produktive Umgebungen wie Schulungen, Tests und den Austausch mit externen Geschäftspartnern an.
  • Wollen Sie Datenmaskierung in Ihrem Unternehmen implementieren, sollten Sie das gut vorbereiten. Eine Zertifizierung nach DIN EN ISO 27001 kann diesen komplexen Prozess unterstützen.
  • Es gibt unterschiedliche Arten und Techniken der Datenmaskierung – manche sind äußerst sicher, andere weniger. Welche Art für Ihre Geschäftsprozesse am besten geeignet ist, kommt auf den konkreten Einsatzzweck an.
Das könnte Sie auch interessieren:
Security
Ein Mann sitzt an einem Arbeitsplatz mit einem Bildschirm und einem Laptop. Auf beiden Bildschirmen ein Vorhängeschloss und der Text „Your personal files are encrypted“.

Ransomware: So können Sie Ihr Unternehmen schützen

Das Szenario ist der Albtraum in jedem Unternehmen: Eines Morgens schalten die Mitarbeiter:innen ihre Computer ein. Doch statt des Startbildschirms erscheint nur ein Textfeld – mit der Aufforderung, umgehend einen großen Geldbetrag zu überweisen. Alle Firmendaten sind durch eine Schadsoftware verschlüsselt worden. Erst nach Zahlung des Lösegelds wollen die Erpresser:innen eine Anleitung für deren Entschlüsselung geben. Das Unternehmen wurde Opfer eines sogenannten Ransomware-Angriffs. Was nun? Angriffe mit Ransomware sind aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine der größten Gefahren für die Cybersicherheit von Unternehmen. Sie richten sich häufig gegen kleine und mittlere Unternehmen, die unzureichend geschützt sind. Weltweit konnten Kriminelle nach Angaben des BSI rund 1,1 Milliarden US-Dollar durch Ransomware-Erpressungen erbeuten. Die Dunkelziffer dürfte jedoch deutlich höher liegen. Was Ransomware ist, wie sie im Einzelnen funktioniert und wie Sie Ihr Unternehmen wirksam dagegen schützen, erfahren Sie in diesem Beitrag.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-18 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort