Serie – Access und SQL Server-Security

Mit der Ausgabe 3/2020 von Access im Unternehmen startet meine Beitragsreihe „Access und SQL Server-Security“.

Die Beitragsreihe basiert auf meinem Seminar Access und SQL Server-Security.

Sie zeigt den Weg von einem einfachen bis hin zur einem sicheren Zugriffsschutz.
Dabei werden die unterschiedlichen Möglichkeiten in SQL Server und die jeweiligen Auswirkungen in Access dargestellt.

Jeder Beitrag behandelt eine Möglichkeit des Zugriffsschutzes. Am Ende wird das erreichte Sicherheitsniveau bewertet und die noch offenen Schwachstellen gezeigt. Der nächste Beitrag zeigt dann, wie sich einige dieser Schwachstellen beseitigen lassen. Es folgt eine erneute Bewertung des Sicherheitsniveaus sowie eine Darstellung der weiterhin offenen Schwachstellen.

So geht es von Beitrag zu Beitrag weiter bis die Schwachstellen beseitigt sind und ein hohes Sicherheitsniveau erreicht ist.

Hier geht es zu den Leseproben der bereits veröffentlichten Beiträge:

Access und SQL Server-Security – Teil 1: Zugriffsschutz in Access
Access und SQL Server-Security – Teil 2: Zugriffsberechtigung per sa

Access und SQL Server-Verschlüsselung

Access und SQL Server-Verschlüsselung

Das Verschlüsseln von Daten und Datenbanken trägt zu einer höheren Datensicherheit und somit auch zu einem höheren Datenschutz bei. Während sich mit Access lediglich die Datenbank an sich verschlüsseln lässt, bietet SQL Server eine Vielzahl von Funktionen zur Verschlüsselung an.

Dieser Vortrag zeigt eine Übersicht der SQL Server-Funktionen zur Verschlüsselung von Daten sowie deren Verwendung und Auswirkungen in Access wie auch in VBA mit DAO und ADO.

• Verschlüsselungsmethoden in SQL Server
• Verschlüsseln per T-SQL und Always Encrypted
• Auswirkungen auf eingebundene Tabellen in Access
• Auswirkungen auf VBA mit DAO und ADO

September / Oktober 2019 – Access Entwickler-Konferenz (AEK) – Nürnberg und Hannover

Download

Seminartermine im Frühjahr 2019

26. + 27. März 2019SQL Server Integration Services
Entwickeln und Bereitstellen von ETL- und Datenintegrationslösungen sowie einfachen Datentransfers und Import-/Export-Routinen zum Konsolidieren, Aufbereiten, Transformieren, Importieren, Exportieren und Integrieren von Daten.
2-tägiges Seminar zum Preis von 799 Euro zzgl. MwSt. inklusive Mittagessen und Getränke.

28. März 2019 – SQL Server Reporting Services
Erstellen von interaktiven Berichten zur Anzeige von Daten unterschiedlicher Datenquellen sowie deren Bereitstellung als zentrale Informationsstelle im Unternehmen.
1-tägiges Seminar zum Preis von 399 Euro zzgl. MwSt. inklusive Mittagessen und Getränke.

9. April 2019Migration Access nach SQL Server
Tipps und Tricks zur Migration von Access-Datenbanken zum SQL Server, ergänzt mit Hinweisen zur Performancesteigerung durch den Einsatz von Gespeicherten Prozeduren und Sichten.
1-tägiges Seminar zum Preis von 399 Euro zzgl. MwSt. inklusive Mittagessen und Getränke.

10. April 2019 – Datenbankentwicklung mit SQL Server
Modellieren von SQL Server-Datenbanken sowie Erstellen und Verwenden von Sichten, Gespeicherten Prozeduren, Funktionen und Triggern.
1-tägiges Seminar zum Preis von 399 Euro zzgl. MwSt. inklusive Mittagessen und Getränke.

11. April 2019 – SQL Server Data Tools
Projektbasierte Datenbankentwicklung – unabhängig vom Produktivsystem, unterstützt mit modernen Entwicklungsmöglichkeiten und mehreren Varianten zur Bereitstellung neuer Datenbankversionen.
1-tägiges Seminar zum Preis von 399 Euro zzgl. MwSt. inklusive Mittagessen und Getränke.

7. + 8. Mai 2019 – Datenschutz mit SQL Server
Aktiver Datenschutz, realisiert mit Funktionen des SQL Servers, wie Klassifizieren von Daten, Zugriffsberechtigungen und Verschlüsselung, ergänzt mit den Möglichkeiten zur Überwachung der Maßnahmen zum Schutz personenbezogener Daten
2-tägiges Seminar zum Preis von 799 Euro zzgl. MwSt. inklusive Mittagessen und Getränke.

Die Seminare finden im Hotel Ebertor in Boppard am Rhein statt.

Die Teilnehmerzahl ist pro Seminar auf 8 Personen begrenzt.

Zur Anmeldung reicht eine kurze E-Mail an workshop@berndjungbluth.de.

Datenschutz mit SQL Server – Seminar am 27./28.11.2018 – noch 3 freie Plätze

Der Termin rückt näher und die Plätze werden knapp …

Am 27. – 28. November 2018 findet bereits zum dritten Mal das Seminar Datenschutz mit SQL Server statt.

Inhalt des Seminars sind die Funktionen und Methoden von SQL Server, mit denen sich einige der in Artikel 32 DSGVO geforderten Maßnahmen zur Sicherheit der Verarbeitung umsetzen lassen. Diese Funktionen und Methoden habe ich im Beitrag DSGVO und SQL Server beschrieben.

Das Seminar zeigt und behandelt diese Funktionen und Methoden. Neben einem theoretischen Teil gibt es eine Vielzahl von Aufgaben, um die gelernte Theorie direkt in die Praxis umzusetzen.

Eine detaillierte Beschreibung des Seminars gibt es hier.

Das Seminar kostet 799 Euro zzgl. MwSt. und findet im Hotel Ebertor in Boppard am Rhein statt.

Aktuell sind nur noch 3 Plätze frei.

DSGVO und SQL Server

Sicherheit der Verarbeitung

Artikel 32 der DSGVO behandelt die Sicherheit der Verarbeitung personenbezogener Daten. Diese ist durch technische und organisatorische Maßnahmen zu realisieren, von denen einige ebenfalls in Artikel 32 aufgeführt sind:

• Pseudonymisieren und Verschlüsseln
• Sicherstellen der Integrität und Vertraulichkeit der Systeme und Dienste
• Sicherstellen der Verfügbarkeit und Belastbarkeit der Systeme und Dienste
• Sicherstellen der schnellen Wiederherstellung von Systemen und Diensten
• Prüfen, Evaluieren und Bewerten der Wirksamkeit der getroffenen Maßnahmen

Ob und in welchem Umfang diese Maßnahmen umzusetzen sind, ist abhängig von einer Risikobewertung (Artikel 32 Abs. 1). Hier handelt es sich um das Risiko, welches den betroffenen Personen entsteht, sollte es zu einer Datenschutzpanne kommen – oder mit anderen Worten: sollte die Sicherheit der Verarbeitung dieser personenbezogenen Daten nicht gewährleistet sein.

 

Was hat SQL Server damit zu tun?
Nun, er bietet zu jedem der genannten Punkte mehrere Möglichkeiten und Funktionen.

 

Pseudonymisieren

Bei einer Pseudonymisierung werden eine oder mehrere Identifikationsmerkmale durch Pseudonyme ersetzt. Die Pseudonyme sind Ergebnis eines Algorithmus, der anhand des ursprünglichen Werts einen neuen Wert erzeugt. Dieser Algorithmus ermöglicht auch den Rückschluss vom Pseudonym zur ursprünglichen Information. Direkte Funktionen bzw. Möglichkeiten zur Pseudonymisierung von Daten gibt es im SQL Server nicht. Der zur Pseudonymisierung notwendige Algorithmus lässt sich jedoch durch entsprechende Konzepte und eigener Funktionen innerhalb der SQL Server-Datenbanken realisieren.

 

Verschlüsseln

Verschlüsselung bietet SQL Server gleich auf mehreren Ebenen an:

• Verschlüsselung der Netzwerkwerkübertragung per SSL-Zertifikat
• Verschlüsselung von Datenbanksicherungen
• Verschlüsselung kompletter Datenbanken mit Transparent Data Encryption
• Gezielte Ver- und Entschlüsselung von Daten mit T-SQL
• Automatisierte Ver- und Entschlüsselung von Daten einer oder mehrerer Spalten einer Tabelle mit Always Encrypted

Zur Verschlüsselung stehen im SQL Server folgende Methoden zur Verfügung:

• Symmetrische Schlüssel
• Asymmetrische Schlüssel
• Zertifikate

 

Sicherstellen der Integrität und Vertraulichkeit der Systeme und Dienste

SQL Server bietet eine mehrstufige Sicherheitsarchitektur, bestehend aus der Zugriffssteuerung auf Ebene der SQL Server-Instanz und der Zugriffssteuerung für jede einzelne Datenbank. Aktuell gibt es bis zu 11 verschiedene Methoden für den Zugriff auf eine Datenbank. Hinzu kommen noch die Möglichkeiten der Rechtevergabe innerhalb der Datenbanken:

• Zugriffssteuerung auf Datenbankobjekte per Datenbankrollen bzw. Schemata
• Zugriffssteuerung nach definierter Geschäftslogik per Row Level Security
• Maskieren von Daten mittels Dynamic Data Masking

Zum Thema Integrität und Vertraulichkeit gehören zudem auch

• Konfiguration der SQL Server-Dienste inklusive der dort verwendeten Dienstkonten
• Konfiguration eigens definierter Ports

 

Sicherstellen der Verfügbarkeit und Belastbarkeit der Systeme und Dienste

Auch im Thema Verfügbarkeit und Belastbarkeit ist SQL Server gut ausgestattet:

• Hochverfügbarkeit mit AlwaysOn
• Datenbankspiegelung
• Transaktionsprotokollversand

 

Sicherstellen der schnellen Wiederherstellung von Systemen und Diensten

Zur schnellen Wiederherstellung gehört eine funktionierende Datensicherung. SQL Server bietet zur Sicherung der einzelnen Datenbanken:

• Vollsicherung
• differenzielle Sicherungen
• Transaktionsprotokollsicherung

Zur Transaktionsprotokollsicherung kann man immer wieder nur betonen:
Je kürzer der Turnus, desto geringer der Datenverlust.

 

Prüfen, Evaluieren und Bewerten der Wirksamkeit der getroffenen Maßnahmen

Gerade in diesem Bereich bietet SQL Server eine Vielzahl von Funktionen.
Dabei handelt es sich um wertvolle Funktionen zur Administration eines SQL Servers, die leider viel zu selten benutzt werden.

• SQL Audit auf Server- und auf Datenbank-Ebene
• Eigene definierte Ablaufverfolgungen mit XEvents
• Sicherheitsrisikobewertung
• Anmeldeüberwachung
• Richtlinien

 

SQL Server ist also recht gut ausgestattet, um die Anforderungen des Datenschutzes und der Datensicherheit zu erfüllen. Jetzt müssen die Funktionen und Methoden nur noch entsprechend eingesetzt werden. Genau dies ist Inhalt meines Seminars Datenschutz mit SQL Server.

Access und SQL Server-Security

Access und SQL Server-Security

SQL Server bietet eine mehrstufige Sicherheitsarchitektur, mit der sich diverse Varianten von Berechtigungskonzepten umsetzen lassen. Ergänzt mit den möglichen Verschlüsselungsverfahren lassen sich bereits zwei technische Maßnahmen realisieren, die in den aktuellen Datenschutzgesetzen gefordert werden.

Doch wie verträglich sind diese technischen Maßnahmen mit Access als Frontend?

• Berechtigungskonzepte des SQL Servers
• Verschlüsselung mit SQL Server
• Empfehlungen zum Einsatz dieser SQL Server-Sicherheitsfunktionen in Access
• Praktische Verwendung in eingebundenen Tabellen und Pass Through-Abfragen

Oktober 2018 – Access Entwickler-Konferenz (AEK) – Nürnberg und Hannover

Download

Seminartermine im November 2018

Die Seminartermine für den Herbst 2018 stehen fest:

6. November 2018Migration Access nach SQL Server
Tipps und Tricks zur Migration von Access-Datenbanken zum SQL Server, ergänzt mit Hinweisen zur Performancesteigerung durch den Einsatz von Gespeicherten Prozeduren und Sichten.
1-tägiges Seminar zum Preis von 399 Euro zzgl. MwSt. inklusive Mittagessen und Getränke.

7. November 2018Datenbankentwicklung mit SQL Server
Modellieren von SQL Server-Datenbanken sowie Erstellen und Verwenden von Sichten, Gespeicherten Prozeduren, Funktionen und Triggern.
1-tägiges Seminar zum Preis von 399 Euro zzgl. MwSt. inklusive Mittagessen und Getränke.

8. November 2018SQL Server Data Tools
Projektbasierte Datenbankentwicklung – unabhängig vom Produktivsystem, unterstützt mit modernen Entwicklungsmöglichkeiten und mehreren Varianten zur Bereitstellung neuer Datenbankversionen.
1-tägiges Seminar zum Preis von 399 Euro zzgl. MwSt. inklusive Mittagessen und Getränke.

13. + 14. November 2018SQL Server Integration Services
Entwickeln und Bereitstellen von ETL- und Datenintegrationslösungen sowie einfachen Datentransfers und Import-/Export-Routinen zum Konsolidieren, Aufbereiten, Transformieren, Importieren, Exportieren und Integrieren von Daten.
2-tägiges Seminar zum Preis von 799 Euro zzgl. MwSt. inklusive Mittagessen und Getränke.

15. November 2018SQL Server Reporting Services
Erstellen von interaktiven Berichten zur Anzeige von Daten unterschiedlicher Datenquellen sowie deren Bereitstellung als zentrale Informationsstelle im Unternehmen.
1-tägiges Seminar zum Preis von 399 Euro zzgl. MwSt. inklusive Mittagessen und Getränke.

27. + 28. November 2018Datenschutz mit SQL Server
Aktiver Datenschutz, realisiert mit Funktionen des SQL Servers, wie Klassifizieren von Daten, Zugriffsberechtigungen und Verschlüsselung, ergänzt mit den Möglichkeiten zur Überwachung der Maßnahmen zum Schutz personenbezogener Daten
2-tägiges Seminar zum Preis von 799 Euro zzgl. MwSt. inklusive Mittagessen und Getränke.

Die Seminare finden im Hotel Ebertor in Boppard am Rhein statt.

Die Teilnehmerzahl ist pro Seminar auf 8 Personen begrenzt.

Zur Anmeldung reicht eine kurze E-Mail an workshop@berndjungbluth.de.

Datenschutz mit SQL Server – Neues Seminar am 27./28.6.2018

Am 27. und 28. Juni 2018 findet das Seminar „Datenschutz mit SQL Server“ im Hotel Ebertor in Boppard am Rhein statt.

Der Schutz personenbezogener Daten ist durch die Einführung der Datenschutz-Grundverordnung mit höheren Anforderungen verbunden.

SQL Server bietet zur Sicherheit wie auch zum Schutz von Daten auf mehreren Ebenen bewährte Funktionen – von der Konfiguration der Netzwerkprotokolle und SQL Server-Dienste über den Datenzugriff per Anmeldungen, Benutzer und Rollen bis hin zum Verschlüsseln von Daten. Mit SQL Server Audit und der Richtlinienverwaltung lässt sich auch die geforderte Überwachung der Maßnahmen zur sicheren Verarbeitung personenbezogener Daten realisieren.

Die Teilnehmerzahl ist auf 8 Personen begrenzt.

Zur Anmeldung reicht eine kurze E-Mail an workshop@berndjungbluth.de.

Vielen Dank für das Interesse.

DSGVO und SQL Server

DSGVO und SQL Server

Im Mai dieses Jahres tritt die Datenschutz-Grundverordnung – kurz DSGVO – in Kraft. Alle Unternehmen, die personenbezogene Daten speichern und verarbeiten, sind von den neuen Regeln dieser EU-Richtlinie betroffen.

Speichern und Verarbeiten von Daten…

Recht naheliegend, dass sich mit dem SQL Server auch Anforderungen der DSGVO umsetzen lassen und wir darüber Bescheid wissen sollten. Dieser Vortrag zeigt Möglichkeiten von SQL Server zur Realisierung einiger Anforderungen und wird folgende Punkte der DSGVO ansprechen:

• Grundsätze der DSGVO
• Einwilligung und Widerspruch
• Privacy by Default und Privacy by Design
• Sicherheit der Verarbeitung

April 2018 – SQL Server und .NET Entwickler-Konferenz – Nürnberg

Download

6. SQL Server und .NET-Entwickler-Konferenz – SNEK

Vom 21. – 22. April 2018 findet in Nürnberg die 6. SNEK statt.
2 Tage lang gibt es Vorträge rund um SQL Server und .NET.

Mein Vortrag dieses Jahr zeigt einige Anforderungen der neuen EU-Datenschutzgrundverordnung und welche Funktionen SQL Server zur Umsetzung dieser Anforderungen anbietet.

Die weiteren Themen in diesem Jahr:
Analyse und Konfiguration von SQL Server gem. Best Practice
Temporal Tables – Ein Blick hinter die Kulissen
Power BI – Cloud, hybrid oder on premise?
Praxisbericht: Table-Valued Parameters
.NET, C#, VS Rundumblick
Docker – Wozu und wie?
IoT & Azure – ein Überblick
Mehr dazu unter: www.donkarl.com/snek/agenda.htm

Die Konferenz findet wie immer in Nürnberg statt.
Weitere Informationen zu Preisen, Veranstaltungsort und Anmeldung unter www.donkarl.com/snek.