Microsoft Purview Insider Risk Management: Datendiebstahl durch ausscheidende Mitarbeiter erkennen
Die meisten gravierenden Datenverluste bei kleinen und mittelständischen Unternehmen werden nicht durch externe Angreifer verursacht — sondern durch Mitarbeiter. Nicht unbedingt böswillige Mitarbeiter; häufiger unachtsame. Der ausscheidende Mitarbeiter, der “nur zur Sicherheit” das gesamte CRM auf einen persönlichen USB-Stick kopiert. Das frustrierte Teammitglied, das sensible Kundendaten an eine persönliche Gmail-Adresse weiterleitet. Der Auftragnehmer eines Drittanbieters, dessen Berechtigungen nie vollständig eingegrenzt wurden und der weiterhin auf Dateien zugreift, die er vor sechs Monaten nicht mehr benötigte. Microsoft Purview Insider Risk Management (IRM) wurde speziell entwickelt, um diese Risikokategorie zu erkennen und darauf zu reagieren — und es ist im Rahmen der Microsoft 365 E5 Compliance Suite verfügbar, die über das Compliance-Add-on in Microsoft 365 Business Premium enthalten ist.
Wie sich IRM von DLP unterscheidet
Purview DLP blockiert spezifische Datenmuster — Kreditkartennummern, Sozialversicherungsnummern, Inhalte die einem Typ sensibler Informationen entsprechen — am Exfiltrationspunkt. IRM betrachtet Verhaltenssequenzen über Zeit. Ein einzelner Dateidownload ist kein Risikosignal. Ein Nutzer, der in den 30 Tagen vor seinem Kündigungsdatum 200 Dateien herunterllädt, kombiniert mit drei USB-Kopierereignissen und einer weitergeleiteten E-Mail an ein persönliches Konto, ist ein Risikosignal. IRM korreliert diese Ereignisse, bewertet den Risikolevel des Nutzers und zeigt die aggregierte Aktivität für Ermittler auf — ohne einzelne Aktionen in Echtzeit zu blockieren (es sei denn, Sie konfigurieren Adaptive Protection entsprechend).
DLP und IRM ergänzen sich, konkurrieren nicht. DLP behandelt bekannte Musterverletzungen auf Inhaltsebene. IRM behandelt unbekannte Verhaltensmuster auf Nutzerebene. Eine ausgereifte Datenschutzstrategie benötigt beides.
Richtlinienvorlagen
IRM wird mit vorgefertigten Richtlinienvorlagen geliefert, die die häufigsten Insider-Risikoszenarien abdecken:
| Vorlage | Auslöser | Wichtige Indikatoren |
|---|---|---|
| Datendiebstahl durch ausscheidende Nutzer | Kündigungsdatum im HR-System über HR-Connector | Massendownload von Dateien, USB-Kopie, persönlicher Cloud-Upload, E-Mail an externe Domäne |
| Datenverluste (allgemein) | DLP-Richtlinientreffer | Nachfolgende Exfiltrations-Aktivität nach einem DLP-Alert — Eskalationserkennung |
| Datenverluste durch Prioritätsnutzer | Zugehörigkeit zu einer Prioritätsnutzergruppe | Wie Datenverluste, aber höhere Risikobewertung für Führungskräfte, Finanzmitarbeiter, IP-Inhaber |
| Sicherheitsrichtlinienverletzungen | Microsoft Defender for Endpoint-Alert | Deaktivierung von Sicherheitssoftware, Privilegienerhöhung, anomale Prozessausführung |
| Datendiebstahl durch unzufriedene Nutzer | HR-Performance-Review-Ereignis über HR-Connector | Ungewohnte Zugriffsmuster korreliert mit negativem HR-Ereignis |
| Missbrauch von Patientendaten | Gesundheitsspezifisch — EHR-Connector erforderlich | Unangemessener Zugriff auf Akten außerhalb der Pflegebeziehung |
Für die meisten kleinen Unternehmen sind die zwei wertvollsten Vorlagen Datendiebstahl durch ausscheidende Nutzer und Datenverluste (allgemein). Beide erfordern minimale Konfiguration und zeigen sofort die häufigsten Insider-Risikoszenarien auf.
Der HR-Connector — entscheidend für die Erkennung ausscheidender Nutzer
Die Vorlage “Datendiebstahl durch ausscheidende Nutzer” löst ihren Auslöser aus, wenn IRM ein Kündigungs- oder Kündigungsereignis für einen Nutzer empfängt. Dieses Ereignis stammt vom HR-Datenconnector, der eine CSV-Datei verarbeitet, die Sie planmäßig (typischerweise täglich) an einen von Microsoft bereitgestellten Azure Blob Storage-Endpunkt übertragen. Die CSV muss mindestens enthalten: Nutzer-E-Mail, Kündigungsdatum und optional Beendigungsdatum sowie letzten Arbeitstag.
Ohne den HR-Connector kann die Richtlinie nicht feststellen, welche Nutzer das Unternehmen verlassen — sie müsste auf alle Nutzer jederzeit angewendet werden, was übermäßiges Rauschen erzeugen würde. Der HR-Connector ermöglicht eine chirurgische, auslöserbasierte Aktivierung: IRM beginnt, die Aktivität des Nutzers zu bewerten, sobald die Kündigungs-CSV-Zeile verarbeitet wird, und hört nach einem konfigurierbaren Nachaustrittsfenster auf (typischerweise 7–90 Tage).
Einrichtung des HR-Connectors: navigieren Sie zu Microsoft Purview Compliance Portal → Datenconnectors → HR. Folgen Sie dem Setup-Assistenten, um eine Azure-App-Registrierung mit der erforderlichen API-Berechtigung (InformationProtectionPolicy.Read.All) zu erstellen, eine Job-ID zu generieren und Ihren CSV-Upload-Endpunkt zu konfigurieren. Der Connector bezieht Daten aus einer SharePoint-Liste oder Azure Blob; Microsoft stellt PowerShell-Skripte zur Verfügung, um die CSV-Generierung aus Ihrem HR-System-Export zu automatisieren.
Risikoindikatoren und Sequenzerkennung
Jede IRM-Richtlinie bewertet Nutzer anhand konfigurierbarer Risikoindikatoren. Indikatoren sind in Kategorien gruppiert:
- Dateiaktivitäten — SharePoint/OneDrive-Downloads, Dateikopien auf USB, Uploads in Nicht-Microsoft-Cloud-Speicher (Dropbox, Google Drive, Box)
- E-Mail-Aktivitäten — Versenden von Anhängen an externe Domänen, Versenden an persönliche E-Mail-Adressen, große Anhangvolumen
- Browser-Aktivitäten — Uploads auf Filesharing-Sites, Besuche von Jobbörsen (verfügbar über Edge/Chromium mit Purview-Erweiterung)
- Microsoft Teams — Dateifreigabe mit externen Nutzern, Posting sensibler Inhalte
- Defender for Endpoint-Signale — Deaktivierung von AV, Privilegienerhöhung, Zugriff auf eingeschränkte Prozesse
Sequenzerkennung ist besonders wertvoll: IRM kann erkennen, wenn ein Nutzer innerhalb eines definierten Zeitfensters eine spezifische Aktivitätssequenz ausführt — zum Beispiel ein DLP-Richtlinientreffer gefolgt von einer USB-Kopie innerhalb von 24 Stunden. Ein einzelnes Ereignis erhält eine niedrige Bewertung; die Sequenz erhöht den Risiko-Score erheblich und zeigt den Fall für eine Untersuchung auf.
Datenschutzarchitektur — Pseudonymisierung als Standard
IRM ist darauf ausgelegt, den Datenminimirungs- und Zweckbindungsgrundsätzen der DSGVO zu entsprechen. Standardmäßig werden Nutzerdisplaynamen im IRM-Dashboard pseudonymisiert — Ermittler sehen anonymisierte Identifikatoren (z.B. “Nutzer A”, “Nutzer B”), bis sie einen Fall explizit de-anonymisieren. Die De-Anonymisierung erfordert entweder globale Adminrechte oder eine spezifische IRM-Analyst-Rolle, und die Aktion wird im Prüfpfad protokolliert.
Diese zweistufige Architektur — pseudonymisierte Risikobewertungen, explizite De-Anonymisierung für Untersuchungen — erfüllt die Datenminimirungs-Anforderungen des DSGVO-Artikels 5(1)(c) und liefert einen Prüfpfad, der nachweist, dass auf persönliche Daten nur bei betrieblicher Notwendigkeit zugegriffen wurde. Dokumentieren Sie diesen Workflow in Ihrem Verarbeitungsverzeichnis (VVT) als Privacy-by-Design-Maßnahme.
Adaptive Protection — IRM führt Informationen in Conditional Access und DLP ein
Adaptive Protection ist die Integrationsschicht, die IRM-Risikobewertungen in Echtzeit-Durchsetzungskontrollen umwandelt. Wenn der Risiko-Score eines Nutzers einen konfigurierbaren Schwellenwert überschreitet (Geringes, Mittleres oder Erhöhtes Risikoniveau), kann Adaptive Protection automatisch:
- Eine Conditional Access-Richtlinie anwenden, die Step-up-MFA erfordert oder nicht konforme Geräte blockiert
- Eine strengere DLP-Richtlinie anwenden, die Aktionen blockiert, die die Basisrichtlinie nur warnen würde
- Zusätzliche Begründung für den Zugriff auf sensible Daten in Vertraulichkeitsbeschriftungsrichtlinien erfordern
Konfiguration: im Purview Compliance Portal → Insider Risk Management → Adaptive Protection, aktivieren Sie Adaptive Protection und ordnen Sie jedes Risikoniveau einer Conditional Access-Richtlinie und/oder einer DLP-Richtlinie zu. Adaptive Protection weist Nutzer dynamisch dem entsprechenden CA-Richtlinienbereich zu, wenn sich ihr Risikoniveau ändert — kein IT-Eingriff erforderlich. Die Zuweisung bleibt bestehen, bis der Risiko-Score unter den Schwellenwert fällt oder der IRM-Fall geschlossen wird.
Der Alert- und Fall-Workflow
Wenn die Aktivität eines Nutzers ausreichend Risikopunkte erzeugt, erstellt IRM einen Alert. Analysten prüfen Alerts und entscheiden, ob sie ihn ablehnen (Falsch-Positiv — keine Maßnahme) oder bestätigen (Fall eröffnen). Fälle enthalten eine Aktivitätszeitlinie, ein Dateizugriffsprotokoll, Kommunikationsfragmente (nur E-Mail-Betreffzeilen und Metadaten — kein Textinhalt, es sei denn, eDiscovery wird ausgelöst) und die Risikoindikatoren, die zur Bewertung beigetragen haben. Die Evidence Locker-Funktion (erfordert IRM-Add-on) erfasst Inhalts-Snapshots — tatsächliche Dateikopien und E-Mail-Texte — zum Zeitpunkt der riskanten Aktivität und bewahrt forensische Beweise, bevor der Nutzer sie löschen kann.
Fälle können an eDiscovery (Premium) für Legal Hold und Sammlung eskaliert oder mit einem Hinweis an den Nutzer über den integrierten Notice-Workflow geschlossen werden — eine vorlagenbasierte HR-Abmahnung, die direkt aus dem IRM-Portal gesendet werden kann, ohne die Untersuchung bis zu diesem Zeitpunkt dem Nutzer gegenüber offenzulegen.
Deployment-Checkliste
- IRM Admin-, Analyst- und Ermittlerrollen über Rollengruppen im Purview Compliance Portal zuweisen — keine globale Admin-Rolle für den täglichen IRM-Betrieb verwenden
- Audit-Protokollierung aktivieren, falls noch nicht geschehen (Purview Compliance Portal → Audit → Aufzeichnung starten) — IRM hängt vom einheitlichen Audit-Log ab
- HR-Connector mit einer CSV konfigurieren, die mindestens enthält: Nutzer-UPN, Kündigungsdatum
- Mindestens zwei Richtlinienvorlagen aktivieren: “Datendiebstahl durch ausscheidende Nutzer” und “Datenverluste (allgemein)”
- Adaptive Protection-Zuordnungen für Mittleres und Erhöhtes Risikoniveau konfigurieren
- IRM-Alert-E-Mail-Benachrichtigungen an Ihr Sicherheitsteam einrichten
- Pseudonymisierungs- und De-Anonymisierungs-Workflow im DSGVO-Verarbeitungsverzeichnis dokumentieren
Insider Risk Management ist kein Allheilmittel und kein Überwachungstool. Es ist eine Verhaltensanalyseschicht, die Muster aufdeckt, die ein menschlicher Prüfer bei Tausenden täglichen Datei- und E-Mail-Ereignissen nie manuell erkennen würde. Für kleine Unternehmen in Berlin, bei denen das IT-Team aus einer oder zwei Personen besteht, automatisiert IRM die Erkennungsarbeit und liefert umsetzbare Fälle — das Team entscheidet, was damit zu tun ist.
Weiterfuehrende Artikel
- Microsoft Purview DLP: Adaptive Protection verknüpft IRM-Risikobewertungen mit DLP-Durchsetzungsrichtlinien
- Sensitivity Labels: IRM-Risikosignale lösen strengere Vertraulichkeitsbeschriftungsrichtlinien aus
- Purview Compliance Manager: IRM-Richtlinien als scorerelevante Verbesserungsmaßnahmen im Compliance-Score
Auch zu diesem Thema
Weiterfuehrende Artikel
- Microsoft Purview Vertraulichkeitsbezeichnungen: Bezeichnungen klassifizieren sensible Inhalte, Insider Risk Management überwacht riskantes Verhalten bei bezeichneten Dateien – zusammen vollständige Datenschutzabdeckung
- Microsoft Purview Compliance Manager: IRM-Kontrollen als Verbesserungsmaßnahmen einsetzen und den Compliance-Score durch Insider-Risiko-Richtlinien gezielt verbessern
- Microsoft Sentinel: Insider Risk Management-Signale über den Microsoft Purview-Konnektor in Sentinel einbinden – Insider-Bedrohungen und externe Angriffe in einem SIEM-Dashboard korrelieren