5. März 2026

So wird deine Fabric-Datenplattform zur Festung

Security by Design

Von: Emil Vinčazović

Microsoft Fabric hat sich schnell als die zentrale SaaS-Plattform für Daten und Analytics etabliert. Die Verlockung ist groß: Alle Daten an einem Ort, einheitliche Tools und eine nahtlose Benutzererfahrung für alle, vom Data Engineer bis zum Business-Anwender. Doch gerade diese Zentralisierung und die damit verbundene Ansammlung geschäftskritischer Daten machen Fabric zu einem extrem schützenswerten Gut. Ein unzureichend gesichertes Fabric-System ist wie ein offener Tresorraum im digitalen Herzen deines Unternehmens. Es reicht hier bei Weitem nicht, Sicherheit als Checkliste zu betrachten, die man zwischendurch mal abarbeitet. Du musst Sicherheit von Grund auf in deine Architektur integrieren. Dieses Prinzip nennt sich Security by Design. In diesem Beitrag zeige ich dir, wie du Fabric im Zusammenspiel mit Microsoft Entra ID, Azure Key Vault und Microsoft Defender for Cloud zu einer wahren Festung ausbaust, die den höchsten Ansprüchen an Authentifizierung, Verschlüsselung und Compliance genügt, ohne dabei den Spaß an der Entwicklung zu nehmen.

Das Fundament: Identität und Zugriff mit Microsoft Entra ID

Jede ernsthafte Sicherheitsstrategie beginnt mit der fundamentalen Frage: „Wer darf was?“ In der Microsoft-Cloud ist der Schlüssel zu dieser Frage immer Microsoft Entra ID (früher Azure Active Directory). Entra ID ist nicht nur ein Anmeldedienst, sondern das zentrale Fundament deiner gesamten Fabric-Sicherheitsarchitektur.

Authentifizierung: Wer bist du und wie beweist du es?

Die Anmeldung an Fabric erfolgt ausschließlich über Entra ID. Das bedeutet, du kannst und solltest alle modernen und robusten Authentifizierungsmethoden nutzen, die Entra ID bietet. Die wichtigste Maßnahme ist die Aktivierung der Multi-Faktor-Authentifizierung (MFA). Dies ist keine Option, sondern eine absolute Notwendigkeit für jeden Benutzer, der auf Fabric zugreift. Ein gestohlenes Passwort allein darf niemals ausreichen, um Zugriff auf deine sensibelsten Daten zu erhalten. Um die Sicherheit weiter zu erhöhen, könntest du Conditional Access Policies in Entra ID konfigurieren. Damit kannst du den Zugriff kontextabhängig steuern. Definiere zum Beispiel, dass ein Zugriff auf Fabric nur von bekannten Unternehmensnetzwerken oder von als konform markierten Geräten (via Intune) ohne erneute MFA-Abfrage erlaubt ist. Greift ein Benutzer jedoch von einem unbekannten Standort oder einem privaten Gerät zu, wird eine MFA-Abfrage zwingend erforderlich. Nutze hierfür am besten die Microsoft Authenticator App mit passwortlosem Login oder noch sicherere FIDO2-Sicherheitsschlüssel.

Autorisierung: Was genau darfst du tun?

Nach der erfolgreichen Authentifizierung stellt sich die Frage der Autorisierung. Hier glänzt Fabric mit einem granularen Rollen-basierten Zugriffskontrollmodell (RBAC), das tief in Entra ID verankert ist. Anstatt einzelne Benutzer direkt zu berechtigen, was schnell unübersichtlich wird, solltest du immer mit Entra ID-Sicherheitsgruppen arbeiten. Erstelle logische Gruppen wie „Fabric-Admins“, „Finance-Datenanalysten“ oder „Marketing-Berichtsleser“. Weise diesen Gruppen dann die entsprechenden Rollen innerhalb der Fabric-Workspaces zu. Kurz zu den Rollen: Die Rolle des Admins hat die volle Kontrolle, während ein Member Inhalte veröffentlichen und teilen kann. Ein Contributor kann Inhalte erstellen und bearbeiten, aber keine Apps veröffentlichen. Die Viewer-Rolle hat reinen Lesezugriff auf Berichte. Dieser Ansatz vereinfacht die Verwaltung enorm. Wenn ein Mitarbeiter das Team wechselt, entfernst du ihn einfach aus der alten Gruppe und fügst ihn zur neuen hinzu – seine Berechtigungen in Fabric werden automatisch und konsistent angepasst.

Für den programmatischen Zugriff auf die Daten selbst, insbesondere im Lakehouse oder Warehouse, solltest du niemals auf unsichere Service-Konten mit statischen Passwörtern oder Secrets zurückgreifen. Verwende stattdessen Service Principals oder, noch besser, Managed Identities. Wenn eine Azure Function oder eine Web-App auf Daten in Fabric zugreifen muss, gib ihr eine eigene, in Entra ID verwaltete Identität. Diese Identität kann dann gezielt berechtigt werden, ohne dass du dich um die Speicherung und Rotation von Anmeldeinformationen kümmern musst. Ein praktisches Feature im Zusammenspiel zwischen Azure und Fabric.

Der Tresor: Datenverschlüsselung mit Azure Key Vault

Daten in Fabric sind standardmäßig sowohl bei der Übertragung (in transit) via TLS 1.2+ als auch im Ruhezustand (at rest) mit von Microsoft verwalteten Schlüsseln verschlüsselt. Für die meisten Anwendungsfälle bietet dies bereits ein hohes Schutzniveau. In stark regulierten Branchen wie dem Finanz- oder Gesundheitswesen oder bei besonders hohen internen Sicherheitsanforderungen möchtest du die Kontrolle über die Verschlüsselungsschlüssel jedoch selbst behalten. Dieses Konzept nennt sich Bring Your Own Key (BYOK).

Hier kommt der Azure Key Vault ins Spiel. Der Key Vault ist ein gehärteter, cloudbasierter Dienst zur sicheren Speicherung und Verwaltung von kryptografischen Schlüsseln, Geheimnissen und Zertifikaten. Für maximale Sicherheit werden die Schlüssel in FIPS 140-2 validierten Hardware-Sicherheitsmodulen (HSMs) gespeichert. Du kannst Fabric anweisen, nicht die von Microsoft verwalteten Schlüssel, sondern einen Schlüssel aus deinem eigenen Key Vault für die Verschlüsselung der ruhenden Daten im OneLake zu verwenden.

Der Prozess hierfür ist ein klar definierter Ablauf. Zuerst erstellst du einen Azure Key Vault und einen RSA-Schlüssel darin. Anschließend erteilst du dem Fabric-Dienst, der durch einen eigenen Service Principal repräsentiert wird, die Berechtigung, diesen Schlüssel zu verwenden. Hierfür sind speziell die Operationen get, wrapKey und unwrapKey notwendig. Schließlich aktivierst du in den Fabric-Admin-Einstellungen die BYOK-Funktion und verweist auf den spezifischen Schlüssel in deinem Key Vault. Von nun an werden alle Daten in deinem Mandanten mit deinem Schlüssel verschlüsselt. Der große Vorteil ist die volle Kontrolle. Du kannst den Schlüssel nach deinen eigenen Richtlinien rotieren oder im Notfall den Zugriff darauf widerrufen, was die Daten für den Fabric-Dienst augenblicklich unlesbar macht. Dies gibt dir ein Höchstmaß an Souveränität und ist oft eine Kernanforderung von Compliance-Prüfern. Hier sollte natürlich beachtet werden: Wer hat Zugriff auf den Key Vault? Alle Personen mit den nötigen Berechtigungen könnten natürlich die Fabric-Daten durch das Löschen des Keys unlesbar machen.

Der Wächter: Überwachung und Compliance mit Defender for Cloud

Eine sichere Konfiguration aufzusetzen ist gut, aber du musst auch sicherstellen, dass sie sicher bleibt und du auf Bedrohungen und Abweichungen schnell reagieren kannst. Hier schlägt die Stunde von Microsoft Defender for Cloud*. Defender for Cloud bietet eine umfassende Cloud Security Posture Management-Lösung (CSPM), die deine gesamte Azure-Umgebung, einschließlich deiner Fabric-Instanz, kontinuierlich überwacht. Er prüft deine Konfigurationen gegen bewährte Sicherheits-Benchmarks und wichtige Compliance-Standards wie ISO 27001, PCI-DSS oder HIPAA.

Die Integration ist tiefgreifend und kontextbezogen. Defender for Cloud kann zum Beispiel erkennen, ob MFA für Benutzer mit Admin-Rechten in Fabric-Workspaces durchgängig aktiviert ist. Er kann auch verdächtige Aktivitäten identifizieren, wie den massenhaften Export von Daten durch einen einzelnen Benutzer oder Anmeldeversuche von geografisch untypischen Standorten. Ebenso werden Netzwerksicherheitseinstellungen, wie die Beschränkung des öffentlichen Zugriffs auf das Lakehouse, permanent auf korrekte Konfiguration überprüft. Wenn der Defender eine Abweichung oder eine potenzielle Bedrohung feststellt, löst er eine detaillierte Warnung aus. Diese Warnungen sind angereichert mit Kontextinformationen und konkreten Handlungsempfehlungen. Du siehst nicht nur, was das Problem ist, sondern auch, wie du es beheben kannst. In Kombination mit einem SIEM-System wie Microsoft Sentinel kannst du auf diese Warnungen sogar automatisierte Reaktionen, sogenannte SOAR-Playbooks, auslösen, um Bedrohungen in Echtzeit einzudämmen, etwa durch das Sperren eines kompromittierten Benutzerkontos.

Ein unschlagbares Trio

Microsoft Fabric allein ist bereits eine mächtige Plattform. Seine wahre Stärke im Bereich der Enterprise-Sicherheit entfaltet Fabric aber erst im intelligenten Zusammenspiel mit den spezialisierten Diensten der Microsoft Security-Plattform. Die drei Säulen dieser Architektur sind klar definiert. Microsoft Entra ID bildet das Fundament für eine sichere Identität und einen granularen, rollenbasierten Zugriff nach dem Least-Privilege-Prinzip. Der Azure Key Vault gibt dir die ultimative Kontrolle und Souveränität über die Verschlüsselung deiner sensibelsten Daten im Ruhezustand. Schließlich agiert Microsoft Defender for Cloud als wachsamer Beobachter, der deine Sicherheits- und Compliance-Haltung kontinuierlich überwacht und dich proaktiv auf Risiken hinweist.

Indem du diese drei Dienste von Anfang an in deine Fabric-Architektur integrierst, verfolgst du einen echten „Security by Design“-Ansatz. Du schaffst eine robuste, mehrschichtige Verteidigung, die nicht nur den heutigen, sondern auch den zukünftigen Bedrohungen und Compliance-Anforderungen gewachsen ist. Dies ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess, der Sicherheit zu einem integralen Bestandteil des gesamten Datenlebenszyklus macht.

Quellen

Microsoft Fabric Security Whitepaper: https://learn.microsoft.com/de-de/fabric/get-started/security-whitepaper-overview
Bring Your Own Key (BYOK) in Fabric: https://learn.microsoft.com/de-de/fabric/admin/encryption-pbi-data-bring-your-own-key
Microsoft Defender for Cloud Dokumentation: https://docs.microsoft.com/de-de/azure/defender-for-cloud/

Zero Trust – Identity für Administratoren in Entra ID.

Der Kurs vermittelt die Bedeutung der Zero-Trust-Strategie für den Schutz moderner IT-Infrastruktur und wie diese mit den Tools von Microsoft Entra ID implementiert wird. IT-Experte Klaus Bierschenk zeigt in seinem Videokurs alle Inhalte Schritt für Schritt und anhand praxisnaher Beispielszenarien. Der Kurs lädt zum direkten Mitmachen ein und das erworbene Wissen lässt sich in Quizfragen überprüfen.

Jetzt Videokurs entdecken

Über den Autor: Emil Vincazovic

Emil Vinčazović ist als Data Engineer bei der arelium GmbH tätig. Seine Schwerpunkte liegen im Bereich der Ökonometrie und der Künstlichen Intelligenz. Er gibt auch Kurse bei der heise academy.

Diese Beiträge könnten dich auch interessieren:

		[{"id":9026,"link":"https:\/\/blog.heise-academy.de\/so-wird-deine-fabric-datenplattform-zur-festung\/","name":"so-wird-deine-fabric-datenplattform-zur-festung","thumbnail":{"url":"https:\/\/blog.heise-academy.de\/wp-content\/uploads\/2026\/02\/security-by-design-academy-blog-beitragsheader-1920x550px.png","alt":""},"title":"So wird deine Fabric-Datenplattform zur Festung","postMeta":[],"author":{"name":"Emil Vin\u010dazovi\u0107","link":"https:\/\/blog.heise-academy.de\/author\/emil-vincazovic\/"},"date":"M\u00e4rz 5, 2026","dateGMT":"2026-03-05 08:00:00","modifiedDate":"2026-03-04 14:57:33","modifiedDateGMT":"2026-03-04 14:57:33","commentCount":"0","commentStatus":"closed","categories":{"coma":"<a href=\"https:\/\/blog.heise-academy.de\/category\/kuenstliche-intelligenz-data-science\/\" rel=\"category tag\">K\u00fcnstliche Intelligenz & Data Science<\/a>","space":"<a href=\"https:\/\/blog.heise-academy.de\/category\/kuenstliche-intelligenz-data-science\/\" rel=\"category tag\">K\u00fcnstliche Intelligenz & Data Science<\/a>"},"taxonomies":{"post_tag":"<a href='https:\/\/blog.heise-academy.de\/tag\/27001\/' rel='post_tag'>27001<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/azure\/' rel='post_tag'>Azure<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/byok\/' rel='post_tag'>BYOK<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/compliance\/' rel='post_tag'>Compliance<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/cyber-security\/' rel='post_tag'>Cyber Security<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/datenschutz\/' rel='post_tag'>Datenschutz<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/datensicherheit\/' rel='post_tag'>Datensicherheit<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/defencer-for-cloud\/' rel='post_tag'>Defencer for Cloud<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/entra-id\/' rel='post_tag'>Entra ID<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/fabric\/' rel='post_tag'>Fabric<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/iso27001\/' rel='post_tag'>ISO27001<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/key-vault\/' rel='post_tag'>Key Vault<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/microsoft\/' rel='post_tag'>Microsoft<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/microsoft-defender\/' rel='post_tag'>Microsoft Defender<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/rbac\/' rel='post_tag'>RBAC<\/a>"},"readTime":{"min":6,"sec":36},"status":"publish","content":"So wird deine Fabric-Datenplattform zur Festung Security by Design Von: Emil Vin\u010dazovi\u0107 Microsoft Fabric hat sich schnell als die zentrale SaaS-Plattform f\u00fcr Daten und Analytics etabliert. Die Verlockung ist gro\u00df: Alle"},{"id":8992,"link":"https:\/\/blog.heise-academy.de\/so-schaffst-du-eine-sichere-datenkultur\/","name":"so-schaffst-du-eine-sichere-datenkultur","thumbnail":{"url":"https:\/\/blog.heise-academy.de\/wp-content\/uploads\/2026\/01\/automatisierte-data-classification-academy-blog-beitragsheader-1920x550px.png","alt":""},"title":"So schaffst du eine sichere Datenkultur","postMeta":[],"author":{"name":"Emil Vin\u010dazovi\u0107","link":"https:\/\/blog.heise-academy.de\/author\/emil-vincazovic\/"},"date":"Jan. 13, 2026","dateGMT":"2026-01-13 15:14:46","modifiedDate":"2026-01-13 15:14:52","modifiedDateGMT":"2026-01-13 15:14:52","commentCount":"0","commentStatus":"closed","categories":{"coma":"<a href=\"https:\/\/blog.heise-academy.de\/category\/kuenstliche-intelligenz-data-science\/\" rel=\"category tag\">K\u00fcnstliche Intelligenz & Data Science<\/a>","space":"<a href=\"https:\/\/blog.heise-academy.de\/category\/kuenstliche-intelligenz-data-science\/\" rel=\"category tag\">K\u00fcnstliche Intelligenz & Data Science<\/a>"},"taxonomies":{"post_tag":"<a href='https:\/\/blog.heise-academy.de\/tag\/27001\/' rel='post_tag'>27001<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/auto-labeling\/' rel='post_tag'>Auto-Labeling<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/client-side\/' rel='post_tag'>Client-side<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/compliance\/' rel='post_tag'>Compliance<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/data-governance\/' rel='post_tag'>Data Governance<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/data-lineage\/' rel='post_tag'>Data Lineage<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/datenschutz\/' rel='post_tag'>Datenschutz<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/dsgvo\/' rel='post_tag'>DSGVO<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/eu-ai-act\/' rel='post_tag'>EU AI Act<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/exact-data-match\/' rel='post_tag'>Exact Data Match<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/iso27001\/' rel='post_tag'>ISO27001<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/microsoft\/' rel='post_tag'>Microsoft<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/purview\/' rel='post_tag'>Purview<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/sensitive-information-types\/' rel='post_tag'>Sensitive Information Types<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/service-side\/' rel='post_tag'>Service-side<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/synapse\/' rel='post_tag'>Synapse<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/trainable-classifiers\/' rel='post_tag'>Trainable Classifiers<\/a>"},"readTime":{"min":7,"sec":19},"status":"publish","content":"So schaffst du eine sichere Datenkultur Data Classification und Sensitivity Labels mit Microsoft Purview Von: Emil Vin\u010dazovi\u0107 In einer Welt, in der Daten das neue Gold sind, stehen inbesondere Unternehmen in"},{"id":8899,"link":"https:\/\/blog.heise-academy.de\/fabric-und-purview-das-dream-team-fuer-deine-datenplattform\/","name":"fabric-und-purview-das-dream-team-fuer-deine-datenplattform","thumbnail":{"url":"https:\/\/blog.heise-academy.de\/wp-content\/uploads\/2025\/11\/fabric-und-purview-academy-blog-beitragsheader-1920x550px.png","alt":"Auf schwarzem Hintergrund greifen von links blaue und von rechts gr\u00fcne Wellen ineinander."},"title":"Fabric und Purview: Das Dream-Team f\u00fcr deine Datenplattform","postMeta":[],"author":{"name":"Emil Vin\u010dazovi\u0107","link":"https:\/\/blog.heise-academy.de\/author\/emil-vincazovic\/"},"date":"Nov. 13, 2025","dateGMT":"2025-11-13 09:59:06","modifiedDate":"2026-01-09 10:26:48","modifiedDateGMT":"2026-01-09 10:26:48","commentCount":"0","commentStatus":"closed","categories":{"coma":"<a href=\"https:\/\/blog.heise-academy.de\/category\/kuenstliche-intelligenz-data-science\/\" rel=\"category tag\">K\u00fcnstliche Intelligenz & Data Science<\/a>","space":"<a href=\"https:\/\/blog.heise-academy.de\/category\/kuenstliche-intelligenz-data-science\/\" rel=\"category tag\">K\u00fcnstliche Intelligenz & Data Science<\/a>"},"taxonomies":{"post_tag":"<a href='https:\/\/blog.heise-academy.de\/tag\/data-engineering\/' rel='post_tag'>Data Engineering<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/data-factory\/' rel='post_tag'>Data Factory<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/data-governance\/' rel='post_tag'>Data Governance<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/data-lake\/' rel='post_tag'>Data Lake<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/data-lineage\/' rel='post_tag'>Data Lineage<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/data-ownership\/' rel='post_tag'>Data Ownership<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/data-swamp\/' rel='post_tag'>Data Swamp<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/data-warehouse\/' rel='post_tag'>Data Warehouse<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/fabric\/' rel='post_tag'>Fabric<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/microsoft\/' rel='post_tag'>Microsoft<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/power-bi\/' rel='post_tag'>Power BI<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/purview\/' rel='post_tag'>Purview<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/real-time-analytics\/' rel='post_tag'>Real-Time Analytics<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/real-time-intelligence\/' rel='post_tag'>Real-Time Intelligence<\/a><a href='https:\/\/blog.heise-academy.de\/tag\/synapse\/' rel='post_tag'>Synapse<\/a>"},"readTime":{"min":6,"sec":23},"status":"publish","content":"Fabric und Purview Das Dream-Team f\u00fcr deine Datenplattform Von: Emil Vin\u010dazovi\u0107 Die Herausforderung der modernen Datenlandschaft In der heutigen datengetriebenen Welt ist eine moderne Datenplattform unerl\u00e4sslich. Immer mehr Unternehmen wollen \u201edata-driven\u201c"}]