Serie – Access und SQL Server-Security

Mit der Ausgabe 3/2020 von Access im Unternehmen startet meine Beitragsreihe „Access und SQL Server-Security“.

Die Beitragsreihe basiert auf meinem Seminar Access und SQL Server-Security.

Sie zeigt den Weg von einem einfachen bis hin zur einem sicheren Zugriffsschutz.
Dabei werden die unterschiedlichen Möglichkeiten in SQL Server und die jeweiligen Auswirkungen in Access dargestellt.

Jeder Beitrag behandelt eine Möglichkeit des Zugriffsschutzes. Am Ende wird das erreichte Sicherheitsniveau bewertet und die noch offenen Schwachstellen gezeigt. Der nächste Beitrag zeigt dann, wie sich einige dieser Schwachstellen beseitigen lassen. Es folgt eine erneute Bewertung des Sicherheitsniveaus sowie eine Darstellung der weiterhin offenen Schwachstellen.

So geht es von Beitrag zu Beitrag weiter bis die Schwachstellen beseitigt sind und ein hohes Sicherheitsniveau erreicht ist.

Hier geht es zu den Leseproben der bereits veröffentlichten Beiträge:

Access und SQL Server-Security – Teil 1: Zugriffsschutz in Access
Access und SQL Server-Security – Teil 2: Zugriffsberechtigung per sa
Access und SQL Server-Security – Teil 3: Zugriffsberechtigung per SQL Server-Authentifizierung

Access und SQL Server-Verschlüsselung

Access und SQL Server-Verschlüsselung

Das Verschlüsseln von Daten und Datenbanken trägt zu einer höheren Datensicherheit und somit auch zu einem höheren Datenschutz bei. Während sich mit Access lediglich die Datenbank an sich verschlüsseln lässt, bietet SQL Server eine Vielzahl von Funktionen zur Verschlüsselung an.

Dieser Vortrag zeigt eine Übersicht der SQL Server-Funktionen zur Verschlüsselung von Daten sowie deren Verwendung und Auswirkungen in Access wie auch in VBA mit DAO und ADO.

• Verschlüsselungsmethoden in SQL Server
• Verschlüsseln per T-SQL und Always Encrypted
• Auswirkungen auf eingebundene Tabellen in Access
• Auswirkungen auf VBA mit DAO und ADO

September / Oktober 2019 – Access Entwickler-Konferenz (AEK) – Nürnberg und Hannover

Download

Seminartermine im Frühjahr 2019

26. + 27. März 2019SQL Server Integration Services
Entwickeln und Bereitstellen von ETL- und Datenintegrationslösungen sowie einfachen Datentransfers und Import-/Export-Routinen zum Konsolidieren, Aufbereiten, Transformieren, Importieren, Exportieren und Integrieren von Daten.
2-tägiges Seminar zum Preis von 799 Euro zzgl. MwSt. inklusive Mittagessen und Getränke.

28. März 2019 – SQL Server Reporting Services
Erstellen von interaktiven Berichten zur Anzeige von Daten unterschiedlicher Datenquellen sowie deren Bereitstellung als zentrale Informationsstelle im Unternehmen.
1-tägiges Seminar zum Preis von 399 Euro zzgl. MwSt. inklusive Mittagessen und Getränke.

9. April 2019Migration Access nach SQL Server
Tipps und Tricks zur Migration von Access-Datenbanken zum SQL Server, ergänzt mit Hinweisen zur Performancesteigerung durch den Einsatz von Gespeicherten Prozeduren und Sichten.
1-tägiges Seminar zum Preis von 399 Euro zzgl. MwSt. inklusive Mittagessen und Getränke.

10. April 2019 – Datenbankentwicklung mit SQL Server
Modellieren von SQL Server-Datenbanken sowie Erstellen und Verwenden von Sichten, Gespeicherten Prozeduren, Funktionen und Triggern.
1-tägiges Seminar zum Preis von 399 Euro zzgl. MwSt. inklusive Mittagessen und Getränke.

11. April 2019 – SQL Server Data Tools
Projektbasierte Datenbankentwicklung – unabhängig vom Produktivsystem, unterstützt mit modernen Entwicklungsmöglichkeiten und mehreren Varianten zur Bereitstellung neuer Datenbankversionen.
1-tägiges Seminar zum Preis von 399 Euro zzgl. MwSt. inklusive Mittagessen und Getränke.

7. + 8. Mai 2019 – Datenschutz mit SQL Server
Aktiver Datenschutz, realisiert mit Funktionen des SQL Servers, wie Klassifizieren von Daten, Zugriffsberechtigungen und Verschlüsselung, ergänzt mit den Möglichkeiten zur Überwachung der Maßnahmen zum Schutz personenbezogener Daten
2-tägiges Seminar zum Preis von 799 Euro zzgl. MwSt. inklusive Mittagessen und Getränke.

Die Seminare finden im Hotel Ebertor in Boppard am Rhein statt.

Die Teilnehmerzahl ist pro Seminar auf 8 Personen begrenzt.

Zur Anmeldung reicht eine kurze E-Mail an workshop@berndjungbluth.de.

DSGVO und SQL Server

Sicherheit der Verarbeitung

Artikel 32 der DSGVO behandelt die Sicherheit der Verarbeitung personenbezogener Daten. Diese ist durch technische und organisatorische Maßnahmen zu realisieren, von denen einige ebenfalls in Artikel 32 aufgeführt sind:

• Pseudonymisieren und Verschlüsseln
• Sicherstellen der Integrität und Vertraulichkeit der Systeme und Dienste
• Sicherstellen der Verfügbarkeit und Belastbarkeit der Systeme und Dienste
• Sicherstellen der schnellen Wiederherstellung von Systemen und Diensten
• Prüfen, Evaluieren und Bewerten der Wirksamkeit der getroffenen Maßnahmen

Ob und in welchem Umfang diese Maßnahmen umzusetzen sind, ist abhängig von einer Risikobewertung (Artikel 32 Abs. 1). Hier handelt es sich um das Risiko, welches den betroffenen Personen entsteht, sollte es zu einer Datenschutzpanne kommen – oder mit anderen Worten: sollte die Sicherheit der Verarbeitung dieser personenbezogenen Daten nicht gewährleistet sein.

 

Was hat SQL Server damit zu tun?
Nun, er bietet zu jedem der genannten Punkte mehrere Möglichkeiten und Funktionen.

 

Pseudonymisieren

Bei einer Pseudonymisierung werden eine oder mehrere Identifikationsmerkmale durch Pseudonyme ersetzt. Die Pseudonyme sind Ergebnis eines Algorithmus, der anhand des ursprünglichen Werts einen neuen Wert erzeugt. Dieser Algorithmus ermöglicht auch den Rückschluss vom Pseudonym zur ursprünglichen Information. Direkte Funktionen bzw. Möglichkeiten zur Pseudonymisierung von Daten gibt es im SQL Server nicht. Der zur Pseudonymisierung notwendige Algorithmus lässt sich jedoch durch entsprechende Konzepte und eigener Funktionen innerhalb der SQL Server-Datenbanken realisieren.

 

Verschlüsseln

Verschlüsselung bietet SQL Server gleich auf mehreren Ebenen an:

• Verschlüsselung der Netzwerkwerkübertragung per SSL-Zertifikat
• Verschlüsselung von Datenbanksicherungen
• Verschlüsselung kompletter Datenbanken mit Transparent Data Encryption
• Gezielte Ver- und Entschlüsselung von Daten mit T-SQL
• Automatisierte Ver- und Entschlüsselung von Daten einer oder mehrerer Spalten einer Tabelle mit Always Encrypted

Zur Verschlüsselung stehen im SQL Server folgende Methoden zur Verfügung:

• Symmetrische Schlüssel
• Asymmetrische Schlüssel
• Zertifikate

 

Sicherstellen der Integrität und Vertraulichkeit der Systeme und Dienste

SQL Server bietet eine mehrstufige Sicherheitsarchitektur, bestehend aus der Zugriffssteuerung auf Ebene der SQL Server-Instanz und der Zugriffssteuerung für jede einzelne Datenbank. Aktuell gibt es bis zu 11 verschiedene Methoden für den Zugriff auf eine Datenbank. Hinzu kommen noch die Möglichkeiten der Rechtevergabe innerhalb der Datenbanken:

• Zugriffssteuerung auf Datenbankobjekte per Datenbankrollen bzw. Schemata
• Zugriffssteuerung nach definierter Geschäftslogik per Row Level Security
• Maskieren von Daten mittels Dynamic Data Masking

Zum Thema Integrität und Vertraulichkeit gehören zudem auch

• Konfiguration der SQL Server-Dienste inklusive der dort verwendeten Dienstkonten
• Konfiguration eigens definierter Ports

 

Sicherstellen der Verfügbarkeit und Belastbarkeit der Systeme und Dienste

Auch im Thema Verfügbarkeit und Belastbarkeit ist SQL Server gut ausgestattet:

• Hochverfügbarkeit mit AlwaysOn
• Datenbankspiegelung
• Transaktionsprotokollversand

 

Sicherstellen der schnellen Wiederherstellung von Systemen und Diensten

Zur schnellen Wiederherstellung gehört eine funktionierende Datensicherung. SQL Server bietet zur Sicherung der einzelnen Datenbanken:

• Vollsicherung
• differenzielle Sicherungen
• Transaktionsprotokollsicherung

Zur Transaktionsprotokollsicherung kann man immer wieder nur betonen:
Je kürzer der Turnus, desto geringer der Datenverlust.

 

Prüfen, Evaluieren und Bewerten der Wirksamkeit der getroffenen Maßnahmen

Gerade in diesem Bereich bietet SQL Server eine Vielzahl von Funktionen.
Dabei handelt es sich um wertvolle Funktionen zur Administration eines SQL Servers, die leider viel zu selten benutzt werden.

• SQL Audit auf Server- und auf Datenbank-Ebene
• Eigene definierte Ablaufverfolgungen mit XEvents
• Sicherheitsrisikobewertung
• Anmeldeüberwachung
• Richtlinien

 

SQL Server ist also recht gut ausgestattet, um die Anforderungen des Datenschutzes und der Datensicherheit zu erfüllen. Jetzt müssen die Funktionen und Methoden nur noch entsprechend eingesetzt werden. Genau dies ist Inhalt meines Seminars Datenschutz mit SQL Server.

Access und SQL Server-Security

Access und SQL Server-Security

SQL Server bietet eine mehrstufige Sicherheitsarchitektur, mit der sich diverse Varianten von Berechtigungskonzepten umsetzen lassen. Ergänzt mit den möglichen Verschlüsselungsverfahren lassen sich bereits zwei technische Maßnahmen realisieren, die in den aktuellen Datenschutzgesetzen gefordert werden.

Doch wie verträglich sind diese technischen Maßnahmen mit Access als Frontend?

• Berechtigungskonzepte des SQL Servers
• Verschlüsselung mit SQL Server
• Empfehlungen zum Einsatz dieser SQL Server-Sicherheitsfunktionen in Access
• Praktische Verwendung in eingebundenen Tabellen und Pass Through-Abfragen

Oktober 2018 – Access Entwickler-Konferenz (AEK) – Nürnberg und Hannover

Download

DSGVO und SQL Server

DSGVO und SQL Server

Im Mai dieses Jahres tritt die Datenschutz-Grundverordnung – kurz DSGVO – in Kraft. Alle Unternehmen, die personenbezogene Daten speichern und verarbeiten, sind von den neuen Regeln dieser EU-Richtlinie betroffen.

Speichern und Verarbeiten von Daten…

Recht naheliegend, dass sich mit dem SQL Server auch Anforderungen der DSGVO umsetzen lassen und wir darüber Bescheid wissen sollten. Dieser Vortrag zeigt Möglichkeiten von SQL Server zur Realisierung einiger Anforderungen und wird folgende Punkte der DSGVO ansprechen:

• Grundsätze der DSGVO
• Einwilligung und Widerspruch
• Privacy by Default und Privacy by Design
• Sicherheit der Verarbeitung

April 2018 – SQL Server und .NET Entwickler-Konferenz – Nürnberg

Download