Dynamic Data Masking in Microsoft Fabric – Sensible Daten schützen ohne komplexe Berechtigungskonzepte

4 Min. LesezeitMicrosoft Fabric

Was ist Dynamic Data Masking und kann es in Power BI genutzt werden?

Dynamic Data Masking in Microsoft Fabric – Sensible Daten schützen ohne komplexe Berechtigungskonzepte

Dynamic Data Masking in Microsoft Fabric: Datenschutz direkt auf Datenebene

Unternehmen stehen heute vor der Herausforderung, Daten einer breiten Nutzergruppe zur Verfügung zu stellen und gleichzeitig sensible Informationen zu schützen. Besonders bei personenbezogenen Daten wie E-Mail-Adressen, Telefonnummern, Kreditkartendaten oder Gehaltsinformationen ist eine granulare Zugriffskontrolle erforderlich.

Eine Möglichkeit, dieses Problem zu lösen, bietet Dynamic Data Masking (DDM) in Microsoft Fabric. Mit dieser Funktion können sensible Daten für bestimmte Benutzergruppen automatisch maskiert werden, ohne dass die eigentlichen Daten verändert oder dupliziert werden müssen.

Was ist Dynamic Data Masking?

Dynamic Data Masking ist eine Sicherheitsfunktion, die Daten während der Abfrage dynamisch verschleiert. Die Originaldaten bleiben unverändert in der Datenbank gespeichert, während Benutzer ohne entsprechende Berechtigungen lediglich maskierte Werte sehen.

Beispiel:

OriginalwertMaskierter Wert
max.mustermann@firma.deXXXX@XXXX.com
0171 1234567XXXX
75.000 €0

Der entscheidende Vorteil: Die Maskierung erfolgt erst bei der Abfrage der Daten. Dadurch müssen keine zusätzlichen Tabellen, Views oder ETL-Prozesse aufgebaut werden.

Einsatzbereiche von Dynamic Data Masking

Dynamic Data Masking eignet sich insbesondere für folgende Szenarien:

1. Schutz personenbezogener Daten

Fachbereiche benötigen häufig Zugriff auf Kundendaten, sollen jedoch keine vollständigen personenbezogenen Informationen einsehen können.

Beispiele:

  • E-Mail-Adressen
  • Telefonnummern
  • Sozialversicherungsnummern
  • Adressdaten

2. Entwicklungs- und Testumgebungen

Entwickler benötigen produktionsnahe Daten für Tests. Gleichzeitig sollen sensible Informationen nicht offengelegt werden.

Durch Dynamic Data Masking können produktive Datensätze genutzt werden, ohne vertrauliche Inhalte sichtbar zu machen.

3. Self-Service Analytics

Im Rahmen von Data Democratization erhalten immer mehr Benutzer direkten Zugriff auf Datenplattformen.

DDM ermöglicht es, Daten für eine größere Benutzergruppe bereitzustellen, ohne sämtliche sensiblen Informationen freizugeben.

4. Compliance-Anforderungen

Organisationen können Anforderungen aus Datenschutzrichtlinien wie der DSGVO unterstützen, indem personenbezogene Informationen nur autorisierten Benutzern vollständig angezeigt werden.

Dynamic Data Masking in Microsoft Fabric umsetzen

In Microsoft Fabric wird Dynamic Data Masking aktuell auf Ebene des SQL-Endpunkts eines Lakehouse oder Data Warehouse definiert.

Die Maskierung wird direkt auf Spaltenebene konfiguriert.

Beispiel: Maskierung einer E-Mail-Adresse

ALTER TABLE dbo.Customers
ALTER COLUMN Email
ADD MASKED WITH (FUNCTION = 'email()');

Beispiel: Standardmaskierung

ALTER TABLE dbo.Customers
ALTER COLUMN PhoneNumber
ADD MASKED WITH (FUNCTION = 'default()');

Beispiel: Benutzerdefinierte Teilmaskierung

ALTER TABLE dbo.Customers
ALTER COLUMN CreditCard
ADD MASKED WITH (
    FUNCTION = 'partial(0,"XXXX-XXXX-XXXX-",4)'
);

In diesem Beispiel bleiben lediglich die letzten vier Stellen der Kreditkartennummer sichtbar.

Berechtigungen für unmaskierte Daten

Die Maskierung greift nur für Benutzer, die keine Berechtigung zum Anzeigen der Originalwerte besitzen.

Benutzer mit entsprechender Berechtigung können weiterhin die vollständigen Daten einsehen.

Beispiel:

GRANT UNMASK TO [DataSteward];

Dadurch erhält der Benutzer oder die Rolle „DataSteward“ Zugriff auf die Originalwerte.

Vorteile von Dynamic Data Masking

Die Einführung von DDM bietet mehrere Vorteile:

  • Schutz sensibler Daten ohne Datenkopien
  • Einfache Implementierung auf Datenbankebene
  • Geringer Administrationsaufwand
  • Unterstützung von Compliance-Anforderungen
  • Verbesserte Sicherheit in Self-Service-Szenarien
  • Keine Änderungen an bestehenden Anwendungen notwendig

Auswirkungen auf Power BI Berichte

Eine häufig gestellte Frage lautet: "Werden maskierte Daten auch in Power BI angezeigt?"

Die Antwort lautet: Ja – abhängig von der verwendeten Identität und dem Verbindungsmodus.

Import-Modus

Beim Import-Modus liest Power BI die Daten während des Refreshs aus dem Fabric Warehouse oder Lakehouse.

Entscheidend ist hierbei die Identität, unter der der Refresh ausgeführt wird:

  • Besitzt diese Identität die Berechtigung UNMASK, werden die Originalwerte importiert.
  • Besitzt sie keine Berechtigung, werden bereits maskierte Werte in das semantische Modell übernommen.

Nach dem Import enthält das Dataset genau die Werte, die während des Refreshs gelesen wurden.

Direct Lake

Bei Direct Lake erfolgt der Zugriff direkt auf die Daten im OneLake.

Hier kommt es darauf an, welche Sicherheitsmechanismen auf der Datenplattform greifen und unter welcher Identität die Daten gelesen werden. In vielen Szenarien werden Benutzerberechtigungen berücksichtigt, wodurch unterschiedliche Anwender unterschiedliche Ergebnisse sehen können.

Eine sorgfältige Prüfung der Sicherheitsarchitektur ist daher empfehlenswert.

DirectQuery

Bei DirectQuery wird jede Benutzeranfrage direkt an den SQL-Endpunkt weitergeleitet.

Dadurch wird Dynamic Data Masking bei jeder Abfrage erneut ausgewertet.

Das bedeutet:

  • Benutzer mit Berechtigung sehen die Originaldaten.
  • Benutzer ohne Berechtigung sehen die maskierten Werte.

Dieses Verhalten macht DirectQuery häufig zur bevorzugten Option, wenn Dynamic Data Masking konsequent bis in die Berichtsebene durchgesetzt werden soll.

Dynamic Data Masking ersetzt keine Row-Level Security

Ein wichtiger Hinweis:

Dynamic Data Masking steuert nicht, welche Datensätze ein Benutzer sehen darf. Es steuert lediglich, welche Inhalte innerhalb eines Datensatzes sichtbar sind.

Für die Einschränkung von Zeilen müssen weiterhin Mechanismen wie:

  • Row-Level Security (RLS)
  • Object-Level Security (OLS)
  • Workspace-Berechtigungen

eingesetzt werden.

DDM sollte daher als ergänzende Sicherheitsmaßnahme betrachtet werden.

Fazit

Dynamic Data Masking in Microsoft Fabric ermöglicht einen schnellen und effektiven Schutz sensibler Informationen direkt auf Datenbankebene. Die Funktion ist besonders interessant für Self-Service-Analytics, Entwicklungsumgebungen und Compliance-Anforderungen.

Wichtig ist jedoch das Verständnis der Auswirkungen auf Power BI. Je nach Verbindungsmodus und verwendeter Identität können maskierte oder unmaskierte Werte im Bericht erscheinen. Deshalb sollte Dynamic Data Masking stets als Bestandteil eines ganzheitlichen Sicherheitskonzepts betrachtet werden – gemeinsam mit Row-Level Security, Object-Level Security und einem klaren Berechtigungsmodell.

Wer sensible Daten in Fabric bereitstellen möchte, ohne für jeden Anwendungsfall separate Datenmodelle aufzubauen, erhält mit Dynamic Data Masking ein leistungsfähiges und vergleichsweise einfach umsetzbares Werkzeug.

image 1

Teilen:

Weitere Artikel