Blog

Verwaltung und Überwachung Ihrer Daten mit Sensitivity Labels

5 min read
Jasper Oosterveld
Hero_banner_Managing and monitoring your data with sensitivity labels
5 min read
Jasper Oosterveld

Ihre Unternehmens- und persönlichen Daten in Microsoft 365 explodieren, und die Weitergabe sensibler Daten ist an der Tagesordnung. Ihre Kollegen verwenden öffentliche generative KI-Anwendungen in Kombination mit Ihren sensiblen und veralteten Daten.

Microsoft 365 Copilot verarbeitet und teilt diese Art von Daten mit nicht autorisierten Personen. Dies stellt nicht nur ein Datensicherheitsrisiko dar, sondern wirkt sich auch negativ auf die allgemeine Akzeptanz von Microsoft 365 Copilot in Ihrem Unternehmen aus. Diese Herausforderungen scheinen schwer zu bewältigen zu sein, aber es gibt Hoffnung am Horizont! Microsoft Purview ist hier, um zu helfen. Im ersten Teil dieser Serie konzentrieren wir uns auf die Verwaltung und Überwachung Ihrer sensiblen Daten mit Hilfe von Sensitivitätskennzeichnungen.

Business Case und Szenarien für Sensitivity Labels

Eine der Herausforderungen bei der Implementierung von Sensitivitätskennzeichnungen besteht darin, einen überzeugenden Business Case für die Stakeholder zu erstellen, die für die Finanzierung dieser Art von Projekten verantwortlich sind. Wir waren schon einmal in dieser Situation. Deshalb stellen wir Ihnen zwei Geschäftsszenarien zur Verfügung, mit denen Sie Ihre Stakeholder überzeugen können.

Übermäßiger Datenaustausch mit nicht autorisierten Personen

Ihre Mitarbeiter müssen sich authentifizieren und berechtigt sein, mit den in Microsoft 365 gespeicherten Daten zu arbeiten. Dies gilt auch für Ihre externen Partner. Nach erfolgreicher Authentifizierung können Mitarbeiter oder externe Partner sensible Daten herunterladen und mit unbefugten Personen teilen. Sensibilitätskennzeichnungen fügen eine zusätzliche Sicherheitsebene (mit Verschlüsselung) hinzu, um die verfügbaren Aktionen auf eine bestimmte Personengruppe zu beschränken. Diese Option ist im Einstellungsmenü Ihres Sensitivitätslabels verfügbar:

Intext Jasper 8
Abbildung 1: Wählen Sie die entsprechenden Berechtigungen

Klicken Sie hier, um mehr über die spezifischen Aktionen und die Auswirkungen auf Ihre gekennzeichneten Daten zu erfahren. Nachdem Sie die erforderlichen Berechtigungen ausgewählt haben, ist es an der Zeit, diese mit Benutzern oder Gruppen zu verbinden:

Intext Jasper 7
Abbildung 2: Auswahl der spezifischen Zielgruppe

Die Berechtigungen, die Sie für Ihr Sensitivitätslabel auswählen, bleiben immer bei den Daten, unabhängig vom Standort. Dies ist nicht an Microsoft 365 gebunden. Dieses System garantiert, dass nur autorisierte Personen Zugriff auf Ihre sensiblen Daten haben - egal, ob es sich um E-Mails, PDF- oder Office-Dokumente handelt - bis der Eigentümer die Kennzeichnung entfernt.

Microsoft 365 Copilot Aufforderungen und Ergebnisse

Sensibilitätskennzeichnungen sind mit Microsoft 365 Copilot integriert. Diese Integration hilft Ihren Mitarbeitern, sich der Sensibilitätsstufe der Ergebnisse bewusst zu sein, die durch ihre Eingabeaufforderungen erzeugt werden. Zum Beispiel, wenn sie eine Frage stellen, die sensible Daten beinhaltet:

Intext Jasper 9
Abbildung 3: Sensibilitätskennzeichnungen pro Quelle

Ihre Mitarbeiter können die Sensibilitätsstufe ihrer Ergebnisse sehen, was sie im Idealfall davon abhält, diese Informationen mit unbefugten Personen zu teilen. In den folgenden Artikeln gehen wir auf die Verhinderung von Datenverlusten ein und erläutern weitere Schritte zur Erkennung und Unterbindung der unbefugten Weitergabe. Ein weiterer Vorteil von Sensibilitätskennzeichnungen ist die automatische Kennzeichnungsfunktion, die in Kombination mit Microsoft 365 Copilot in Microsoft Office funktioniert. Ein Beispiel,

Intext Jasper 10
Abbildung 4: Kennzeichnungen und die Ausgabe von Microsoft 365 Copilot

Beide Geschäftsszenarien zeigen die Leistungsfähigkeit von Sensitivitätskennzeichnungen bei der Reduzierung des unbefugten Zugriffs auf sensible Inhalte und der Verhinderung potenzieller Datenlecks. Dies sollte Ihnen genügend Munition liefern, um die Finanzierung Ihres Projekts zu sichern.

Grundlage von Sensitivitätskennzeichnungen

Wir werden uns hier nicht mit der detaillierten Konfiguration von Sensitivitätskennzeichnungen befassen. Wir müssen jedoch die Grundlage Ihrer Kennzeichnungen für sensible Daten erörtern: Ihre Richtlinien zur Datenklassifizierung und zum Datenschutz. Jede Organisation, unabhängig von ihrer Art oder Größe, sollte über eine umfassende Datensicherheitspolitik verfügen, die diese Aspekte abdeckt. In den folgenden Abschnitten geben wir Ihnen unsere Empfehlungen. Halten Sie sich nicht zu sehr an den Namen und Beschreibungen auf. Die Richtlinien sollten für Ihr Unternehmen und Ihre Daten geeignet sein.

Klassifizierung der Daten

Bezeichnung Beschreibung
Contoso
  • Unternehmensdaten, die für die allgemeine Verwendung innerhalb des Unternehmens bestimmt sind.
  • Bei der externen Weitergabe kann es zu einer möglichen Verletzung der Vertraulichkeit kommen.
Extern
  • Unternehmensdaten, die speziell für externe Personen oder Organisationen bestimmt sind.
  • Die Informationen werden nur auf der Grundlage der Vertraulichkeit weitergegeben.
  • Die Verletzung der Vertraulichkeit kann der Organisation ernsthaften Schaden zufügen.

Die öffentliche Option wurde ausgeschlossen, da sie nicht häufig verwendet wird und bereits durch die Contoso-Klassifizierung abgedeckt ist. Die bereitgestellte Klassifizierung wurde nun in eine Schutzrichtlinie umgewandelt.

Schutz der Daten

Bezeichnung Beschreibung
Contoso
  • Zugänglich für alle Mitarbeiter und externe Personen oder Organisationen
  • Daten sind oder werden nicht geschützt
  • Zugänglich für autorisierte externe Personen oder Organisationen
  • Daten sind oder sind nicht geschützt
Extern
  • Zugänglich für autorisierte externe Personen oder Organisationen
  • Daten sind oder sind nicht geschützt

Vielleicht sind Sie etwas verwirrt darüber, ob die Daten im Rahmen der Schutzpolitik geschützt sind oder nicht. Aber keine Sorge! Der nächste Absatz klärt Sie auf. Dies ist die Übersetzung der beiden Richtlinien in die Sensibilitätskennzeichnungen.

Sensitivity Labels

Die nachstehende Tabelle zeigt die über- und untergeordneten Kennzeichnungen, die auf unserer Daten- und Datenschutzpolitik basieren.

Parent Child
Kontoso
  • Öffentlich (nicht geschützt)
  • Alle Mitarbeiter (nicht geschützt)
  • Alle Mitarbeiter (Geschützt)
  • Bestimmte Personen (Geschützt)
Extern
  • Extern (Geschützt)
  • Extern (Nicht geschützt)

Wir gehen nun zur allgemeinen Verwaltung und Überwachung über, sobald die Sensibilitätskennzeichnungen in Ihrem Microsoft 365-Tenant bereitgestellt wurden.

Verwalten Ihrer Sensitivity Labels

Die folgenden Themen sind für die effektive Verwaltung Ihrer Sensibilitätskennzeichnungen unerlässlich:

  • Automatisierung & sensible Informationen
  • Annahme und Schulung

Im Folgenden wird ein kurzer Überblick über diese Bereiche gegeben.

Automatisierung und sensible Informationen

Ja, Sie können Ihren Daten manuell Kennzeichnungen zuweisen. Die wahre Leistung und der Komfort für Ihre Mitarbeiter liegt in der Automatisierung der Zuweisung der richtigen Kennzeichnung mit den entsprechenden Sicherheitskontrollen. Diese fantastische Funktion steht und fällt mit der Definition Ihrer sensiblen Daten. Ein Beispiel,

  • Nummer des Führerscheins
  • Reisepassnummer
  • Physische Adresse
  • Medizinische Informationen
  • Kundeninformationen
  • Geistiges Eigentum

Nachdem Sie die Eigenschaften definiert haben, die Ihnen helfen, Ihre sensiblen Informationen zu erkennen, können Sie die automatische Kennzeichnungsfunktion des Sensibilitätsetiketts konfigurieren:

Intext Jasper 6

Abbildung 5: Verbinden Sie Ihre sensiblen Informationen

Die folgenden fünf Tipps können bei der Identifizierung sensibler Informationen helfen:

  1. Beraten Sie sich mit Beteiligten aus jeder Abteilung oder jedem Team.

  2. Beurteilen Sie die Auswirkungen eines möglichen Datenlecks für jede Art von (sensiblen) Daten.

  3. Überprüfen Sie Ihre Klassifizierungs- und Lebenszyklusrichtlinien auf Details zu sensiblen Daten.

  4. Verweisen Sie auf die Microsoft Purview-Beispiele.

Einführung und Schulung

Eine der Herausforderungen bei der Einführung und Schulung Ihrer Mitarbeiter besteht darin, die Beziehung zwischen der Berechtigungsstruktur von Microsoft 365 und den Sensibilitätskennzeichnungen zu verstehen. Einige Unternehmen möchten möglicherweise Sensibilitätskennzeichnungen als Berechtigungsmechanismus in SharePoint und Microsoft Teams verwenden. Dies ist nicht der beabsichtigte Geschäftsfall oder die richtige Verwendung. Nachfolgend finden Sie eine Zusammenfassung des Unterschieds zwischen Berechtigungen und Kennzeichnungen:

SharePoint & Teams

  • Eine Berechtigung ist erforderlich, um Daten zu lesen, zu erstellen, zu bearbeiten oder zu löschen.
  • Sobald ein Mitarbeiter oder eine externe Person Zugriff hat, kann er/sie Daten herunterladen oder für nicht autorisierte Personen freigeben.

Kennzeichnungen

  • Klassifizieren Sie Daten nach ihrer Sensibilität und Vertraulichkeit.
  • Sie sorgen für zusätzliche Sicherheit, nachdem die Daten ihren ursprünglichen Speicherort verlassen haben.
  • Labels sind nicht als Berechtigungswerkzeug gedacht!

Für eine effektive Schulung empfehlen wir die Organisation von Schulungen, entweder online oder vor Ort. Leider bietet Microsoft kein umfangreiches Schulungsmaterial zu diesem Thema an.

Überwachung Ihrer sensiblen Daten

Nachdem Sie Ihre sensiblen Kennzeichnungen bereitgestellt haben, ist es zum Schutz Ihrer sensiblen Daten von entscheidender Bedeutung, die Verwendung Ihrer Kennzeichnungen zu überwachen. Sie müssen wissen, ob Sie erfolgreich sind und wo sich derzeit Lücken befinden. Microsoft Purview bietet die folgenden Überwachungsfunktionen.

Berichte

Eine der Herausforderungen bei den Microsoft-Funktionen und -Diensten ist das Fehlen eines zentralen Berichtswesens und Dashboards. Es ist zwar nicht perfekt, aber es gibt einen Berichtsbereich. Dieser zeigt die folgenden Informationen an:

Abdeckung

  • Schutzabdeckung für M365
  • Abdeckung der Empfindlichkeitskennzeichnung für M365

Zusammenfassung der Datenüberprüfung

  • Verwendung von Sensibilitätskennzeichnungen
  • Wichtigste Sensibilitätskennzeichnungen für Objekte
  • Wichtigste Datenquellen mit Sensibilitätskennzeichnungen
  • Zusammenfassung der E-Mail-Verschlüsselung
  • Top Aktivitäten entdeckt

Informationen zur Klassifizierung

  • Wichtigste sensible Informationstypen
  • WichtigsteDatenquellen mit sensiblen Informationstypen
  • Top trainierbare Klassifikatoren

Diese Berichte sind hilfreich bei der Überwachung der Einführungsrate und des Gesamterfolgs Ihrer Sensitivitätskennzeichnungen.

Aktivitätsexplorer

Intext Jasper 5

Abbildung 6: Verwenden Sie den Aktivitätsexplorer zur Überwachung Ihrer Kennzeichnungen

Mit dem Aktivitätsexplorer können Sie überwachen, was mit Ihren gekennzeichneten Daten geschieht, indem Sie eine historische Ansicht der Aktivitäten mit Ihren gekennzeichneten Daten erhalten. Die Informationen werden aus den Microsoft 365 Unified Audit Logs gesammelt, umgewandelt und in der Benutzeroberfläche angezeigt. Leider reichen die Daten nur bis zu 30 Tage zurück. Um einen längeren Zeitrahmen zu erhalten, müssen Sie Audit-Protokolle exportieren und diese in einem speziellen Analysetool verwenden.

Datenexplorer

Intext Jasper 4

Abbildung 7: Suche nach Bezeichnungen mit dem Datenexplorer

Mit dem Datenexplorer können Sie Daten mit einer bestimmten Sensibilitätskennzeichnung finden und, je nach Ihren Berechtigungen, anzeigen.

Ein Beispiel,

Intext Jasper 3

Abbildung 8: Anzeigen des Inhalts von Daten mit dem Datenexplorer

Bitte beachten Sie: Die Möglichkeit, den Data Explorer zu nutzen, muss mit Vorsicht und Verantwortung behandelt werden. Sobald die Berechtigungen erteilt sind, können Sie auf alle Inhalte zugreifen, zu denen auch hochsensible Informationen gehören können. Die Privatsphäre muss zu jeder Zeit respektiert werden. Der Data Explorer sollte nur für bestimmte Zwecke verwendet werden, z. B. zur Untersuchung möglicher Datenlecks. Die folgenden Rollen sind entscheidend:

  • Data Explorer Listenbetrachter: Die Mitgliedschaft in dieser Rollengruppe ermöglicht es Ihnen, jedes Element und seinen Standort in der Listenansicht zu sehen. Die Rolle des Listenbetrachters für die Datenklassifizierung ist dieser Rollengruppe bereits zugewiesen worden.
  • Datenexplorer Inhaltsanzeige: Die Mitgliedschaft in dieser Rollengruppe ermöglicht es Ihnen, den Inhalt der einzelnen Elemente in der Liste zu sehen. Die Rolle Datenklassifizierungs-Inhaltsbetrachter wurde dieser Rollengruppe bereits zugewiesen. Darüber hinaus ist diese Rolle auch erforderlich, um die Namen der Elemente in der Listenansicht anzuzeigen, die sensible Daten enthalten können.

Leider funktioniert die Registerkarte "Quelle" (zum Anzeigen der Daten) auch mit den richtigen Berechtigungen nicht immer. Falls der Datenexplorer bei Ihnen nicht funktioniert, gibt es auch den Inhaltsexplorer. Er bietet ähnliche Funktionen.

SharePoint-Verwaltungszentrum

Das Menü Aktive Sites bietet einen Filter für Ihre Empfindlichkeitsbezeichnungen, die für SharePoint Sites verwendet werden. Ein Beispiel,

Intext Jasper 2

Abbildung 9: SharePoint-Websites mit bestimmten Kennzeichnungen anzeigen

So können Sie schnell Sites mit einer bestimmten Kennzeichnung oder ohne Kennzeichnung finden. Wenn Sie keine auswählen, sehen Sie, welche Sites keine Kennzeichnung haben. Zeit, Maßnahmen zu ergreifen!

Microsoft Teams Verwaltungszentrum

Zu guter Letzt bietet das Microsoft Teams Admin Center eine ähnliche Übersicht wie SharePoint. Ein Beispiel,

Intext Jasper 1 (1)

Abbildung 10: Ansicht von Teams mit spezifischen Labels

Rencore Microsoft 365 Governance-Werkzeug

Wie kann Rencore die Verwendung von Sensitivitätskennzeichnungen in Microsoft 365 und darüber hinaus überwachen?

Microsoft Purview bietet zwar eine hervorragende Datensicherheit, indem es den Inhalt von Dokumenten, Nachrichten und Datensätzen schützt und verwaltet, aber es geht nicht auf den breiteren Kontext ein, in dem diese Daten leben. Hier kommt Rencore Governance ins Spiel und bietet eine entscheidende Ebene der Service Governance, die Purview nicht abdeckt.

Rencore überwacht und verwaltet die Umgebung, in der sich Ihre Daten befinden: wie sie gespeichert, freigegeben, abgerufen und in Microsoft 365 verwendet werden. Eine saubere Compliance-Stellung in Purview bedeutet nicht unbedingt, dass Ihre Microsoft 365-Umgebung in Ordnung ist. Tatsächlich stehen große Unternehmen oft vor drei wiederkehrenden Herausforderungen:

Struktureller Wildwuchs

Tausende von Teams, SharePoint-Sites und Power-Platform-Assets sammeln sich im Laufe der Zeit an, oft mit unklaren Eigentumsverhältnissen, veralteten Inhalten oder ungenutzten Ressourcen.

Schleichende Ausweitung der Berechtigungen

Ressourcen werden nach und nach mit Gästen und externen Benutzern gemeinsam genutzt, in der Regel ohne regelmäßige Überprüfung oder Widerruf.

Unkontrolliertes Wachstum von KI-Agenten

Neue Copilot Studio- und SharePoint-Agenten entstehen ohne Sichtbarkeit oder Lebenszykluskontrolle, was zu Risiken und Komplexität führt. Diese Probleme fallen nicht in den Anwendungsbereich von Purview, haben aber direkte Auswirkungen auf Sicherheit, Kosteneffizienz, Benutzerfreundlichkeit und KI-Bereitschaft.

Rencore Governance bietet einen tiefen Einblick in die Verwendung von Sensitivitätskennzeichnungen in verschiedenen Diensten, nicht nur in Dokumenten, sondern auch in Umgebungen wie Teams, SharePoint, Copilot und Power Platform. Es hilft IT-Teams zu erkennen, wo sensible Daten aufgrund von falsch konfigurierten Diensten, übermäßigen Berechtigungen oder verwaisten Ressourcen ausgesetzt sind.

Indem Rencore die Lücke zwischen Data Governance und Service Governance schließt, stellt es sicher, dass Ihre Microsoft 365-Umgebung nicht nur konform, sondern auch sauber, sicher und für zukünftige Innovationen optimiert ist.

 

 
Blog post author image
Jasper Oosterveld
Jasper Oosterveld ist ein Microsoft MVP und Data Security Consultant bei Rubicon Cloud Advisor in den Niederlanden. Täglich arbeitet er mit Kunden zusammen, um den Modern Workplace mit Microsoft 365 zu implementieren. Jasper konzentriert sich dabei auf Zusammenarbeit, Governance und Compliance. Jasper liebt es, sein Fachwissen und seine Liebe zu Microsoft-Produkten mit allen zu teilen, die bereit sind zuzuhören.