Die Menge an Unternehmens- und persönlichen Daten in Ihrer Microsoft 365-Umgebung nimmt rapide zu, was dazu führt, dass häufig sensible Informationen versehentlich weitergegeben werden. Mitarbeiter verwenden möglicherweise öffentliche generative KI-Anwendungen zusammen mit sensiblen und veralteten Daten, was das Risiko einer Aufdeckung erhöht.
Wenn Microsoft 365 Copilot auf diese Informationen zugreift und sie verarbeitet, kann es unbeabsichtigt Daten mit nicht autorisierten Personen teilen. Dies stellt nicht nur ein erhebliches Problem für die Datensicherheit dar, sondern untergräbt auch die allgemeine Akzeptanz von Microsoft 365 Copilot im gesamten Unternehmen.
Im zweiten Teil dieser Serie konzentrieren wir uns auf die Verwaltung und Überwachung Ihrer sensiblen Daten mit Hilfe von Data Loss Prevention (DLP). Wir konzentrieren uns auf Data Loss Prevention für Microsoft 365 und Endpoint und betrachten gleichzeitig die Optionen zur Verwaltung Ihrer breiteren Informationen in M365.
In unserem vorangegangenen Artikel haben wir die Herausforderung erörtert, Finanzmittel für die Implementierung von Sensitivitätskennzeichnungen zu erhalten. Dies gilt auch für Data Loss Prevention. Wir können dieselben Geschäftsszenarien verwenden, aber dieses Mal für Data Loss Prevention skaliert.
Ihre Mitarbeiter müssen sich authentifizieren und autorisiert sein, um mit den in Microsoft 365 gespeicherten Daten zu arbeiten. Dies gilt auch für Ihre externen Partner. Nach erfolgreicher Authentifizierung können Mitarbeiter oder externe Partner sensible Daten herunterladen und mit unbefugten Personen teilen. Wir haben bereits besprochen, wie Sensibilitätskennzeichnungen eine zusätzliche Sicherheitsebene (mit Verschlüsselung) hinzufügen, um die verfügbaren Aktionen auf eine bestimmte Personengruppe zu beschränken. Auch der Schutz vor Datenverlust spielt in diesem Szenario eine wichtige Rolle. Auf der Grundlage bestimmter Bedingungen können Sie den Zugriff auf die erkannten sensiblen Daten einschränken:
Dies ist ein hilfreicher Weg, um den unbefugten Zugriff zu reduzieren, auch für sensible Daten ohne Sensibilitätskennzeichnung. Dies kann auf Endgeräte und Cloud-Apps ausgeweitet werden. Dies ist besonders nützlich, um Datenlecks und Schatten-AI zu reduzieren . Wir gehen im entsprechenden Kapitel näher auf die Überwachungsoptionen ein.
Wir haben bereits Sensitivitätskennzeichnungen zur Identifizierung sensibler Informationen in Eingabeaufforderungsergebnissen behandelt. Microsoft Purview Data Loss Prevention ist mit Microsoft 365 Copilot integriert und verfügt über eine spezielle Richtlinie: Wenn ein Inhalt eine bestimmte Sensibilitätskennzeichnung aufweist, löst er eine Aktion für Microsoft 365 Copilot aus.
Die Aktion schränkt die Verarbeitung von sensiblen Daten mit dem zugehörigen Sensibilitätskennzeichen ein. Die folgende Aussage ist sehr wichtig:
"Identifizierte Elemente erscheinen weiterhin in den Zitaten der Antwort, aber der Inhalt des Elements wird nicht in der Antwort verwendet."
Vergessen Sie nicht, dass Microsoft 365 Copilot Berechtigungen respektiert. Wenn also Ihre Kollegen nicht in den Berechtigungen für die Sensibilitätskennzeichnung enthalten sind, werden sie den Inhalt in den Ergebnissen nicht sehen.
Beide Geschäftsszenarien zeigen die Leistungsfähigkeit von Sensitivitätskennzeichnungen bei der Reduzierung des unbefugten Zugriffs auf sensible Inhalte und der Verhinderung potenzieller Datenlecks. Dies sollte Ihnen genug Munition liefern, um die Finanzierung Ihres Projekts zu sichern.
Wir werden uns hier nicht mit der detaillierten Konfiguration von Data Loss Prevention befassen. Wir müssen jedoch die Grundlage Ihrer Richtlinien zur Verhinderung von Datenverlusten erörtern: Klassifikatoren für sensible Informationen und entsprechende Richtlinien. Unsere Empfehlungen finden Sie im folgenden Abschnitt.
In unserem vorigen Artikel über Sensitivitätskennzeichnungen und automatische Kennzeichnung haben wir bereits über sensible Informationen gesprochen. Ihr Unternehmen muss seine sensiblen Informationen definieren und diese in Typen sensibler Informationen, trainierbare Klassifikatoren, Fingerabdrücke von Dokumenten oder exakte Datenübereinstimmungen übersetzen. Es gibt allgemeine und organisationsübergreifende sensible Informationen. Zum Beispiel,
Diese haben ihre eigene und einzigartige Struktur. Microsoft Purview bietet über 300 vordefinierte Typen sensibler Informationen, die Sie in Ihren Richtlinien zur Verhinderung von Datenverlusten als Bedingungen verwenden können. Die genauen Regeln und Bedingungen sollten aus Ihren Datensicherheitsrichtlinien entnommen werden. Falls diese nicht vorhanden sind, wird dringend empfohlen, diese mit den entsprechenden Interessengruppen zu besprechen. Zum Beispiel mit Informationsmanagern, CISO, Risiko- und Compliance-Beauftragten.
Die folgenden Themen sind für die effektive Verwaltung Ihrer DLP-Richtlinien unerlässlich:
Im Folgenden wird ein kurzer Überblick über diese Bereiche gegeben.
Bei der Konfiguration Ihrer Data Loss Prevention-Richtlinie gibt es eine Auswahl für einen bestimmten Standort. Ein Beispiel,
Obwohl Sie mehrere Standorte kombinieren können, empfehlen wir dies nicht. Sie werden nicht alle Aktionen nutzen können, die Sie normalerweise bei der Auswahl eines Standorts erhalten. Exchange verfügt beispielsweise über viele Aktionen, die nicht alle angezeigt werden, wenn Sie auch SharePoint und OneDrive auswählen. Wir empfehlen, SharePoint und OneDrive zu kombinieren und separate Richtlinien für die anderen Standorte zu erstellen.
Beginnen Sie für Ihre Data Loss Prevention-Richtlinie im Simulationsmodus ohne Unteroptionen. Verwenden Sie Activity Explorer und Alerts, um die Ergebnisse einige Wochen lang zu überwachen. Sind Sie mit den Ergebnissen zufrieden? Aktivieren Sie nach und nach Benachrichtigungen und aktivieren Sie dann die Richtlinie. Beginnen Sie mit einer kleinen Gruppe, bevor Sie sie auf das gesamte Unternehmen ausweiten.
Nachdem Sie mehrere Richtlinien zur Verhinderung von Datenverlusten erstellt haben, gibt es eine Prioritätsreihenfolge. Ein Beispiel:
Die Prioritätsreihenfolge steuert, welche Richtlinie zuerst in Kraft tritt, wenn mehrere Richtlinien für dieselbe Aktivität gelten könnten. Wir empfehlen das Folgende:
Denken Sie daran: Innerhalb einer einzelnen Richtlinie ist die Regelbewertung unabhängig - die Priorität gilt nur für verschiedene Richtlinien.
Jede Regel in Ihrer Data Loss Prevention-Richtlinie enthält eine Option für den Empfang von Warnungen und Benachrichtigungen. Ein Beispiel,
Abbildung 9: Anzeigen von SharePoint-Sites mit bestimmten Kennzeichnungen
Wir empfehlen, Warnungen und Benachrichtigungen nur in bestimmten Situationen zu verwenden, z. B. bei hochsensiblen Inhalten. Andernfalls können häufige Benachrichtigungen zu einer übermäßigen Anzahl von Nachrichten in Ihrem Posteingang führen. Glauben Sie uns, wir haben das schon erlebt!
Mit dem Aktivitätsexplorer können Sie überwachen, was mit Ihren gekennzeichneten Daten geschieht, indem Sie eine historische Ansicht der Aktivitäten mit Ihren gekennzeichneten Daten erhalten. Die Informationen werden aus den Microsoft 365 Unified Audit Logs gesammelt, umgewandelt und in der Benutzeroberfläche angezeigt. Leider reichen die Daten nur bis zu 30 Tage zurück. Um einen längeren Zeitrahmen zu erhalten, müssen Sie Audit-Protokolle exportieren und diese in einem speziellen Analysetool verwenden.
Bei der Einführung von Data Loss Prevention geht es darum, das Ziel und die Vorteile der durch die Richtlinien ermöglichten Aktionen und Kommunikation zu erklären. Andernfalls kommt es zu einer Vielzahl von Widerständen, die die Akzeptanz kurz- und langfristig beeinträchtigen. Wir empfehlen, mit strengen Data Loss Prevention-Richtlinien vorsichtig zu sein. Wählen Sie zum Beispiel alle folgenden Optionen aus:
Insbesondere die letzte Option verhindert, dass Mitarbeiter E-Mails versenden. Wir hatten einen Kunden, der dieses Pop-up bei jeder E-Mail erhielt. Dies schadet der Einführung von Data Loss Prevention in Ihrem Unternehmen. Verwenden Sie diese Option nur in speziellen und seltenen Fällen. Kombinieren Sie sie mit rigorosen Tests, um Fehlalarme zu reduzieren.
Für eine wirksame Schulung empfehlen wir die Organisation von Schulungssitzungen, entweder online oder vor Ort. Leider bietet Microsoft kein umfangreiches Schulungsmaterial zu diesem Thema an.
Obwohl Microsoft Purview durch den Schutz und die Verwaltung des Inhalts von Dokumenten, Nachrichten und Aufzeichnungen eine hervorragende Datensicherheit bietet, ist es begrenzt. Sie möchten den breiteren Kontext berücksichtigen, in dem sich diese Daten bewegen.
Hier setzt Rencore Governance an und bietet Transparenz und Kontrolle über die Dienste, die die Daten speichern und verarbeiten.
Um Ihr Microsoft 365- und KI-Ökosystem wirklich zu kontrollieren, brauchen Sie beides:
Unternehmen, die Daten- und Service-Governance-Tools erfolgreich kombinieren, schaffen eine Umgebung, in der der Datenschutz konsequent durchgesetzt und die Compliance über alle Systeme hinweg aufrechterhalten wird. Dieser Ansatz gewährleistet den sicheren Umgang mit sensiblen Informationen, reduziert Risiken und unterstützt die Einhaltung gesetzlicher Vorschriften.
Gleichzeitig bleiben die Dienste effizient, gut gewartet und kostengünstig. Durch die Überbrückung der Lücke zwischen diesen beiden Governance-Bereichen erhalten Unternehmen eine bessere Sichtbarkeit und Kontrolle über ihre digitalen Abläufe, was eine intelligentere Entscheidungsfindung und langfristige Nachhaltigkeit ermöglicht.
Wenn Sie mehr darüber erfahren möchten, wie Sie über alle Workloads hinweg die Kontrolle und Sicherheit behalten können, setzen Sie sich noch heute mit Rencore in Verbindung.