Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Technologische Kontrolle

A.8.11 — Datenmaskierung

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.8.11 ISO 27001ISO 27002BSI CON.2

Die Testdatenbank enthält echte Kundendaten — Namen, Adressen, Kreditkartennummern. Der Entwickler braucht realistische Daten zum Testen, aber die Testumgebung hat weder die gleichen Zugriffskontrollen noch die gleiche Überwachung wie die Produktion. A.8.11 verlangt, dass sensible Daten durch Maskierung, Pseudonymisierung oder Anonymisierung geschützt werden, bevor sie in weniger gesicherte Umgebungen gelangen.

Die Kontrolle ist besonders relevant für den Datenschutz (DSGVO), aber ihre Reichweite geht weiter: Auch Geschäftsgeheimnisse und andere vertrauliche Informationen fallen darunter.

Was verlangt die Norm?

  • Sensible Daten identifizieren. Welche Daten erfordern Maskierung? Personenbezogene Daten, Finanzdaten, Geschäftsgeheimnisse, medizinische Daten.
  • Geeignete Technik wählen. Maskierung (Zeichenersetzung), Pseudonymisierung (Schlüsselzuordnung), Anonymisierung (irreversible Entfernung), Tokenisierung, Generalisierung.
  • Zugriff auf maskierte Daten beschränken. Auch maskierte Daten sollten nur denjenigen zugänglich sein, die sie benötigen.
  • Re-Identifikation verhindern. Besondere Sorgfalt, dass maskierte Daten nicht durch Kombination mit anderen Quellen re-identifizierbar werden.
  • Regelmäßige Überprüfung. Die Wirksamkeit der Maskierung wird periodisch geprüft.

In der Praxis

Maskierungsrichtlinie definieren. Die Richtlinie legt fest, welche Datenfelder in welchen Umgebungen maskiert werden müssen und welche Methode zum Einsatz kommt. Beispiel: Kundennamen werden pseudonymisiert, Kreditkartennummern tokenisiert, Geburtsdaten auf das Jahr generalisiert.

Automatisierte Maskierung in der Datenpipeline. Wenn Daten von der Produktion in Test- oder Analyseumgebungen kopiert werden, durchlaufen sie eine automatisierte Maskierungspipeline. Manuelle Maskierung ist fehleranfällig und skaliert nicht.

Zugriff auf Originaldaten minimieren. In der Testumgebung dürfen nur maskierte Daten vorhanden sein. Der Zugriff auf die Zuordnungstabelle (bei Pseudonymisierung) ist auf ein Minimum beschränkt und protokolliert.

Re-Identifikationsrisiko bewerten. Prüfe regelmäßig, ob die Kombination maskierter Felder mit anderen verfügbaren Daten eine Re-Identifikation ermöglicht. Besonders bei kleinen Datensätzen (z.B. Führungskräfte einer kleinen Organisation) ist dieses Risiko hoch.

Typische Audit-Nachweise

Auditoren erwarten bei A.8.11 typischerweise diese Nachweise:

  • Maskierungsrichtlinie — welche Daten in welchen Umgebungen wie maskiert werden (→ Datenlöschung und DLP im Starter Kit)
  • Maskierungskonfiguration — technische Dokumentation der eingesetzten Methoden
  • Testumgebungs-Stichprobe — Nachweis, dass in Testumgebungen keine Echtdaten vorhanden sind
  • Zugriffsprotokolle — wer hat Zugang zur Zuordnungstabelle oder zu unmaskierten Daten
  • Re-Identifikations-Assessment — dokumentierte Risikobewertung

KPI

Anteil der Umgebungen mit richtliniengemäß maskierten sensiblen Daten

Gemessen als Prozentsatz: Wie viele deiner Nicht-Produktionsumgebungen verwenden ausschließlich maskierte oder synthetische Daten? Ziel: 100%.

Ergänzende KPIs:

  • Anteil der Datenkopien in Testumgebungen, die über die automatisierte Pipeline maskiert wurden
  • Anzahl der Vorfälle mit unmaskierten Echtdaten in Nicht-Produktionsumgebungen (Ziel: 0)
  • Anteil der Anwendungen mit implementierter Log-Maskierung

BSI IT-Grundschutz

A.8.11 mappt auf den BSI-Baustein für Datenschutz:

  • CON.2 (Datenschutz) — Anforderungen an Pseudonymisierung und Anonymisierung als technisch-organisatorische Maßnahmen zum Schutz personenbezogener Daten.
  • OPS.1.1.6 (Software-Tests und -Freigaben) — Anforderung, Testdaten zu maskieren oder synthetisch zu erzeugen.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Was ist der Unterschied zwischen Maskierung, Pseudonymisierung und Anonymisierung?

Maskierung ersetzt sensible Daten durch Platzhalter (z.B. ****1234). Pseudonymisierung ersetzt identifizierende Merkmale durch Pseudonyme, die mit einem Schlüssel rückführbar sind. Anonymisierung entfernt den Personenbezug unwiderruflich. Die Wahl hängt vom Einsatzzweck und den rechtlichen Anforderungen ab.

Wann ist Datenmaskierung Pflicht?

Immer wenn sensible Daten in Umgebungen verwendet werden, die ein geringeres Schutzniveau haben als die Produktionsumgebung — typischerweise in Test-, Entwicklungs- und Schulungsumgebungen. Auch bei der Weitergabe an Dritte oder bei Datenanalysen kann Maskierung erforderlich sein.

Kann man maskierte Daten re-identifizieren?

Bei Pseudonymisierung ja, wenn der Schlüssel bekannt ist. Bei Anonymisierung im Idealfall nicht — allerdings zeigt die Forschung, dass Re-Identifikation durch Kombination mit anderen Datenquellen oft möglich ist. Prüfe deshalb regelmäßig, ob deine Anonymisierung tatsächlich wirksam ist.