Microsoft-Tools zur Einhaltung der EU-DSGVO in SQL Server

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) verpflichtet Unternehmen, personenbezogene Daten von EU-Bürgern ordnungsgemäß zu schützen, ansonsten drohen hohe Geldstrafen. Aus diesem Grund müssen Unternehmen ihre Daten-Management-Praktiken anpassen, um Kundendaten besser zu schützen und ihre Verwendung zu steuern. Hierbei möchte Microsoft SQL-Server-Benutzern helfen.

Um die Einhaltung der EU-DSGVO zu erleichtern, bietet Microsoft eine Vielzahl von Tools und Funktionen, die von SQL Server und seinem Cloud-basierten Azure-SQL-Pendant unterstützt werden.

In einem Webinar stellte Frederico Pravatta Rezende, Senior Product Marketing Manager des Softwareanbieters, die verfügbaren Microsoft-Optionen zur Einhaltung der DSGVO vor und diskutierte, wie sie dazu beitragen, die Datenschutz- und Sicherheitsstandards zu erfüllen.

Die neue Verordnung, die ab 25. Mai 2018 vollständig umgesetzt sein muss, gilt für Organisationen mit Sitz in der EU und Unternehmen, die mit Bürgern in Ländern der EU geschäftlich aktiv sind. Organisationen, die sich nicht an die DSGVO halten, können mit einer Geldbuße bis zu 20 Millionen Euro oder vier Prozent ihres jährlichen weltweiten Umsatzes belegt werden – je nachdem, welcher Betrag höher ist. Außerdem ist die Wahrscheinlichkeit geringer, dass Kunden Geschäfte mit einem Unternehmen machen, das beim Umgang mit persönlichen Daten als unvorsichtig wahrgenommen wird.

Um persönliche Daten, die in SQL-Server-Systemen gespeichert sind, sicher und DSGVO-konform zu halten, schlägt Rezende im Webinar und einem zugehörigen Blog-Post einen vierstufigen Plan für Datenbank-Administratoren (DBAs) vor.

Persönlichen Daten identifizieren und herausfinden, wo sie sich in den Datenbanken befinden: Die Microsoft DSGVO-Compliance-Strategie beginnt bei der Kategorisierung persönlicher Daten über den Einsatz von SQL-Datenermittlung und -klassifizierung (SQL Data Discovery and Classification), einem in SQL Server Management Studio (SSMS) integrierten Tool. Das Tool scannt Datenbanken und identifiziert Spalten, die sensible Daten enthalten. Es empfiehlt anschließend die Klassifizierung sensibler Daten.

Dadurch sind DBAs in der Lage, personenbezogene Daten innerhalb einer Datenbank schneller und mit weniger Aufwand zu kategorisieren, als wenn sie die Daten manuell überprüfen. Spalten, die erweitertes Auditing und Schutz benötigen, können mit Labels versehen und nach der Sensibilität der darin enthaltenen Daten geordnet werden.

„Zusätzlich kann die Vertraulichkeit der Abfrageergebnisse in Echtzeit berechnet werden, was den Auditprozess effizienter macht“, sagt Rezende. Mit SQL-Datenermittlung und -klassifizierung erstellte Berichte können in einem Dashboard oder einer Excel-Tabelle angezeigt werden.

Wie man auf personenbezogene Daten zugreift und sie verwendet, muss festgelegt werden: Dynamische Datenmaskierung (Dynamic Data Masking), die in SQL Server 2016 hinzugefügt wurde, ermöglicht es DBAs zu kontrollieren, wer auf sensible Daten zugreifen kann, und was noch wichtiger ist, wer nicht. Endanwender, denen die entsprechenden Berechtigungen und Zugriffsrechte fehlen, können die maskierten Daten nicht lesen, da die Elemente vor ihnen verborgen sind. Die Datenmaskierung kann in Echtzeit erfolgen und wird ebenfalls in der Azure SQL Database unterstützt.

Auch die Sicherheit auf Zeilenebene, eine weitere in SQL Server 2016 eingeführte Funktion, gibt DBAs die Kontrolle über bestimmte Zeilen in Datenbanktabellen. Es erzwingt eine Logik, um den Zugriff auf Zeilen innerhalb der Datenbank selbst zu beschränken, als Teil des Schemas, das an eine Tabelle gebunden ist, und filtert Zeilen in Multi-Tenant-Anwendungen, um unbefugten Zugriff zu verhindern.

Persönliche Daten vor Datenpannen und anderen Sicherheitsbedrohungen schützen: Zu den Microsoft DSGVO-Tools zählt auch Always Encrypted, eine Sicherheitsfunktion, die es DBAs erlaubt, Daten zu verschlüsseln, wenn sie zum Beispiel at Rest oder im Einsatz sind – auch wenn sie aktualisiert werden. „Dies schützt die Daten vor unbefugten Benutzern, unabhängig von deren Zugriffsrechten“, sagt Rezende.

Ebenfalls in SQL Server 2016 hinzugefügt, kann Always Encrypted für einzelne Datenbankspalten konfiguriert werden, die besonders sensible Daten enthalten, und Spaltenverschlüsselungsschlüssel und Spaltenhauptschlüssel können zum Schutz wichtiger Daten verwendet werden.

Neben anderen Tools zur Implementierung von Sicherheitskontrollen hebt Rezende Azure SQL Threat Detection hervor, die ungewöhnliche und potenziell schädliche Aktivitäten in der Azure SQL-Datenbank identifiziert.

Das Tool warnt DBAs vor verdächtigen Aktionen wie SQL-Injection-Angriffen und warnt sie vor potenziellen Schwachstellen. Azure SQL Threat Detection empfiehlt außerdem Schritte, die DBAs und Security-Verantwortliche unternehmen sollten, um Bedrohungen zu untersuchen und zu entschärfen.

Alle anomalen Aktivitäten in Bezug auf personenbezogene Daten überwachen: SQL-Sicherheitsrisikobewertung (SQL Vulnerability Assessment), ein Feature des SSMS 17.4 Updates, das Microsoft Ende 2017 veröffentlicht hat, hilft Sicherheitsstandards und Compliance-Anforderungen der Datenschutz-Grundverordnung zu erfüllen, indem es die Sicherheitsmaßnahmen der Datenbank kontinuierlich verfolgt und analysiert. Das Tool scannt regelmäßig SQL-Server-Datenbankumgebungen, identifiziert Sicherheitslücken und gibt Empfehlungen zur Behebung der Probleme.

DBAs, welche die Microsoft Compliance-Tools für die DSGVO einsetzen, können auch Systemereignisse mit SQL Server Audit, ein in das Datenbank-Management-System integriertes Programm, verfolgen und protokollieren. Durch vorgefertigte Templates können benutzerdefinierte Audits von Datenbank- und Serverereignissen erstellt werden, die sich gleichzeitig ausführen lassen.

Folgen Sie SearchEnterpriseSoftware.de auch auf Twitter, Google+, Xing und Facebook!