Microsoft Purview Information Protection für kleine Unternehmen in Berlin

Jedes Berliner Unternehmen verarbeitet vertrauliche Informationen: Kundenverträge, Finanzdaten, Mitarbeiterdaten, strategische Pläne. Diese Informationen sind ständig in Bewegung – als E-Mail-Anhänge, in Teams-Chats, in SharePoint-Bibliotheken, auf Endgeräten. Ohne Klassifizierung erhält jedes Dokument denselben Schutz unabhängig von seinem Inhalt. Microsoft Purview Information Protection (ehemals Microsoft Information Protection / AIP) löst dieses Problem durch Vertraulichkeitsbezeichnungen – persistente Metadatenmarkierungen, die Dokumente und E-Mails begleiten und Verschlüsselung, visuelle Markierungen sowie Einschränkungen für Datenverkehr durchsetzen können.

Für kleine Unternehmen, die Microsoft 365 Business Premium betreiben, ist die vollständige Vertraulichkeitsbezeichnungsfunktionalität bereits enthalten. Die Konfiguration eines praxistauglichen Bezeichnungsschemas ist in den meisten Umgebungen innerhalb weniger Stunden möglich und zahlt sich weit über die Compliance-Anforderungen hinaus aus – Benutzer erhalten ein strukturiertes Vokabular für den Umgang mit sensiblen Daten, und das Unternehmen gewinnt Prüfpfade für den Umgang mit seinen vertraulichsten Inhalten.

Was Vertraulichkeitsbezeichnungen leisten

Eine Vertraulichkeitsbezeichnung ist ein Metadatenelement, das einem Dokument oder einer E-Mail zugewiesen wird und unabhängig davon bestehen bleibt, wohin die Datei weitergegeben wird. Bezeichnungen werden im Microsoft Purview Compliance-Portal erstellt und über Bezeichnungsrichtlinien an Benutzer veröffentlicht. Jede Bezeichnung kann einen oder mehrere Schutzmaßnahmen erzwingen:

• Verschlüsselung: Rights-Management-Verschlüsselung bindet spezifische Berechtigungen (Anzeigen, Bearbeiten, Drucken, Kopieren, Weiterleiten) an das Dokument selbst. Ein verschlüsseltes Dokument bleibt auch dann verschlüsselt, wenn es außerhalb der Organisation weitergeleitet oder aus SharePoint exportiert wird. Nur in der Bezeichnung autorisierte Benutzer können es öffnen.
• Visuelle Markierungen: Kopf- und Fußzeilen sowie Wasserzeichen, die in den Dokumentinhalt eingefügt werden und den Klassifizierungsgrad für menschliche Leser anzeigen.
• DLP-Integration: Bezeichnungen dienen als Bedingungen in DLP-Richtlinien – eine Regel kann die externe Freigabe aller als „Vertraulich“ bezeichneten Dokumente blockieren.
• Conditional-Access-Integration: Sitzungssteuerungen in Conditional Access können Download- oder Druckaktionen für bezeichneten Inhalt einschränken, auf den von nicht verwalteten Geräten zugegriffen wird.

Bezeichnungstaxonomie für KMU

Das häufigste Problem bei Informationsschutzprogrammen ist eine zu komplexe Bezeichnungstaxonomie. Eine praxistaugliche Vier-Bezeichnungs-Struktur für kleine Unternehmen:

• Öffentlich: Inhalte für externe Zielgruppen – Marketingmaterial, öffentliche Website-Inhalte. Keine Verschlüsselung, keine Freigabeeinschränkungen.
• Intern: Standardinhalte für den internen Gebrauch. Keine Verschlüsselung, nur visuelle Markierung.
• Vertraulich: Geschäftlich sensible Informationen: Kundendaten, Finanzunterlagen, HR-Daten, Verträge. Verschlüsselung, externe Freigabe durch DLP blockiert, Wasserzeichen.
• Streng vertraulich: Inhalte mit den höchsten Anforderungen: Führungskommunikation, Sicherheitskonfigurationen, regulatorische Compliance-Dokumentation. Verschlüsselung, Download auf nicht verwalteten Geräten blockiert.

Bereitstellung in Microsoft 365 Business Premium

Navigieren Sie zu Microsoft Purview Compliance-Portal › Informationsschutz › Bezeichnungen. Erstellen Sie Bezeichnungen in der oben genannten Reihenfolge. Konfigurieren Sie für jede Bezeichnung Geltungsbereich, Verschlüsselungseinstellungen und Inhaltsmarkierungen. Veröffentlichen Sie die Bezeichnungen anschließend über eine Bezeichnungsrichtlinie, die festlegt, welche Benutzer welche Bezeichnungen sehen, eine Standardbezeichnung setzt („Intern“ ist für die meisten Umgebungen geeignet) und eine Begründung erfordert, wenn eine Bezeichnung heruntergestuft wird.

Automatische Bezeichnung

Manuelle Bezeichnung hängt von der Benutzer-Compliance ab. Automatische Bezeichnungsrichtlinien klassifizieren Inhalte basierend auf ihrem Inhalt, unabhängig vom Benutzerverhalten. Microsofts integrierte Typen für sensible Informationen (SITs) erkennen Muster wie IBAN-Nummern, EU-Passformaten, Personalausweisnummern und über 200 weiteren. Für ein Berliner Unternehmen ist ein sinnvoller Ausgangspunkt eine Auto-Bezeichnungsrichtlinie, die die Bezeichnung „Vertraulich“ auf alle Dokumente oder E-Mails anwendet, die EU-Finanzkontonummern, deutsche Personalausweismuster oder DSGVO-relevante Kategorien enthalten.

DSGVO-Relevanz für Berliner Unternehmen

Vertraulichkeitsbezeichnungen unterstützen direkt die DSGVO-Anforderungen nach Artikel 25 (Datenschutz durch Technikgestaltung) und Artikel 32 (Sicherheit der Verarbeitung). Personenbezogene Daten mit Verschlüsselung zu klassifizieren und ihre Weitergabe über DLP-Richtlinien einzuschränken, ist eine vertretbare technische Maßnahme, um angemessene Schutzmaßnahmen für personenbezogene Daten nachzuweisen. Für jedes Berliner Unternehmen, das der DSGVO unterliegt – also alle – ist ein dokumentiertes Informationsklassifizierungsschema mit durchgesetzten Kontrollen erheblich stärker als informelle Datenhandhabungspraktiken bei einer Aufsichtsbehördenanfrage.

Aktivitäten-Explorer und Inhalts-Explorer

Der Aktivitäten-Explorer im Purview Compliance-Portal bietet einen Prüfpfad für bezeichnete Inhalte: welche Dokumente wurden bezeichnet, von wem, wann und ob Bezeichnungen geändert oder entfernt wurden. Der Inhalts-Explorer zeigt, wo sich bezeichneter Inhalt derzeit in SharePoint, OneDrive und Exchange befindet. Diese Ansichten sind die primären Betriebswerkzeuge, um zu verstehen, wie das Bezeichnungsschema in der Praxis angewendet wird.