Microsoft Purview Vertraulichkeitsbezeichnungen für kleine Unternehmen Berlin

Jedes kleine Unternehmen in Berlin verarbeitet sensible Daten: Kundenverträge, Mitarbeiterdaten, Finanzberichte und vertrauliche Projektdateien. Microsoft Purview Vertraulichkeitsbezeichnungen (Sensitivity Labels) geben Ihnen eine praktische, durchsetzbare Möglichkeit, diese Daten zu klassifizieren, Schutzrichtlinien anzuhängen und sicherzustellen, dass diese Richtlinien der Datei überallhin folgen — ob in SharePoint gespeichert, als E-Mail-Anlage weitergeleitet oder an einen externen Empfänger gesendet.

Was Vertraulichkeitsbezeichnungen bewirken

Eine Vertraulichkeitsbezeichnung ist ein Metadaten-Tag, das auf Inhalte angewendet wird — Dokumente, E-Mails, Besprechungen, Teams-Kanäle — und einen Satz von Schutzmaßnahmen trägt. Diese Maßnahmen können Verschlüsselung umfassen (sodass nur autorisierte Benutzer die Datei öffnen können), Zugriffsbeschränkungen (Nur-Lesen, kein Weiterleiten, kein Drucken), visuelle Kennzeichnungen (Kopfzeilen, Fußzeilen, Wasserzeichen) sowie automatische Aufbewahrungs- oder Löschrichtlinien.

Bezeichnungen werden einmalig im Microsoft Purview Compliance-Portal konfiguriert und anschließend an alle Benutzer im Mandanten veröffentlicht. Benutzer können Bezeichnungen manuell in Word, Excel, PowerPoint, Outlook und Teams anwenden. Zusätzlich können Sie Regeln zur automatischen Bezeichnung konfigurieren, die sensible Inhalte erkennen — Kreditkartennummern, IBAN-Codes, deutsche Sozialversicherungsnummern, Gesundheitsdaten — und die entsprechende Bezeichnung automatisch anwenden, auch auf Inhalte, die vor der Einführung von Bezeichnungen erstellt wurden.

Bezeichnungshierarchie für kleine Unternehmen

Für die meisten Berliner KMU reicht eine vierstufige Bezeichnungsstruktur aus. Öffentlich gilt für Inhalte, die frei geteilt werden können — Marketingmaterialien, veröffentlichte Blogartikel, allgemeine Produktdatenbllätter. Intern deckt alltägliche Geschäftsinhalte ab, die das Unternehmen nicht verlassen sollen, aber keine Verschlüsselung benötigen — interne Memos, Projektstatusberichte, Besprechungsagenden. Vertraulich gilt für geschäftssensible Inhalte, die nur mit bestimmten Teams oder externen Partnern unter NDA geteilt werden — Kundenverträge, Preisdaten, Finanzberichte. Streng vertraulich ist für die sensibelsten Inhalte reserviert: personenbezogene Daten gemäß DSGVO, Gesundheitsdaten, Sicherheitsanmeldeinformationen und M&A-Dokumentation.

Jede Bezeichnung kann Unterbezeichnungen für spezifische Szenarien haben. Vertraulich kann eine Unterbezeichnung für “Vertraulich / Externe Empfänger erlaubt” haben, die das verschlüsselte Teilen mit benannten Partnerorganisationen ermöglicht, während die übergeordnete Bezeichnung Vertraulich standardmäßig jede externe Weiterleitung blockiert.

Integration mit Microsoft 365-Diensten

Vertraulichkeitsbezeichnungen integrieren sich nativ in den gesamten Microsoft 365-Stack. In SharePoint und OneDrive verhindert bezeichnungsbasierte Verschlüsselung nicht autorisierte Downloads, selbst wenn Dateien über einen Gastlink geteilt werden. In Microsoft Teams können Sie einem Team bei der Erstellung eine Bezeichnung zuweisen, die automatisch die richtige SharePoint-Site-Klassifizierung, Gastzugriff-Einstellungen und Freigaberichtlinien für dieses Team anwendet.

In Exchange Online erzwingen Bezeichnungen E-Mail-Transportregeln — eine als Streng vertraulich gekennzeichnete E-Mail, die an eine externe Adresse gesendet wird, kann auf Transportebene blockiert werden, oder der Empfänger muss sich authentifizieren, bevor er die verschlüsselte Nachricht liest. Dies gilt auch, wenn der Empfänger Gmail oder einen anderen Nicht-Microsoft-Mail-Client verwendet, da der Nachrichtenschutz Microsoft’s Rights Management Service (RMS) nutzt, der ungeschützten HTML-Clients eine geschützte HTML-Hülle liefert.

Automatische Bezeichnung: Schutz für Daten, die Sie nicht kennen

Manuelle Bezeichnungen hängen von der Disziplin der Benutzer ab, was unreliabel ist. Richtlinien zur automatischen Bezeichnung scannen Inhalte serverseitig — in SharePoint, OneDrive und Exchange-Postfächern — und wenden Bezeichnungen auf vorhandene und neue Inhalte an, die Ihren Regeln für sensible Informationstypen entsprechen. Das bedeutet, dass Sie eine Dokumentbibliothek mit Legacy-Verträgen bezeichnen und schützen können, ohne Benutzer zu bitten, jede Datei anzufassen.

Die automatische Bezeichnung läuft zuerst im Simulationsmodus, der Ihnen zeigt, welche Dateien bezeichnet werden würden und warum, bevor Sie festlegen. Dadurch können Sie die Regeln anhand Ihrer tatsächlichen Inhalte validieren, bevor Schutzrichtlinien wirksam werden — und eine versehentliche Überklassifizierung routinemäßiger Geschäftsdokumente vermeiden.

DSGVO-Compliance und Vertraulichkeitsbezeichnungen

Gemäß DSGVO sind Organisationen verpflichtet, geeignete technische Maßnahmen zum Schutz personenbezogener Daten umzusetzen. Vertraulichkeitsbezeichnungen erfüllen diese Anforderung direkt: Eine Bezeichnung, die Verschlüsselung auf Dateien mit personenbezogenen Daten anwendet, stellt sicher, dass selbst wenn die Datei exfiltriert oder versehentlich geteilt wird, nicht autorisierte Empfänger sie nicht lesen können. In Kombination mit Microsoft Purview DLP-Richtlinien — die das Teilen von bezeichneten Inhalten über bestimmte Kanäle blockieren können — bilden Bezeichnungen eine zentrale technische Schutzmaßnahme für die Anforderungen gemäß DSGVO Artikel 32.

Für Berliner KMU, die mit Kunden in regulierten Branchen zusammenarbeiten oder Mitarbeiterdaten verarbeiten, ist dies ein praktischer Weg, um nachzuweisen, dass technische Datenschutzmaßnahmen implementiert sind — etwas, das sowohl Datenschutzbeauftragte als auch externe Prüfer direkt im Compliance-Portal verifizieren können.

Bereitstellung von Vertraulichkeitsbezeichnungen mit Intune

Wenn Geräte von Microsoft Intune verwaltet werden, wird der Vertraulichkeitsbezeichnungen-Client automatisch in Microsoft 365 Apps for Enterprise bereitgestellt und aktuell gehalten. Dadurch wird sichergestellt, dass auf jedem verwalteten Gerät die Bezeichnungen-Symbolleiste in Office-Anwendungen angezeigt wird, ohne manuelle Installation. Auf nicht verwalteten BYOD-Geräten kann der Azure Information Protection-Client separat installiert werden, oder Benutzer können Bezeichnungen über die Office-Web-Apps im Browser anwenden.

Bezeichnungsrichtlinien im Purview-Portal ermöglichen es Ihnen, verschiedenen Benutzergruppen unterschiedliche Bezeichnungssätze zuzuweisen — ein Finanzteam könnte alle vier Ebenen sehen, während allgemeinen Mitarbeitern nur Öffentlich und Intern angezeigt werden — sowie Standardbezeichnungen, Pflichtbezeichnungsanforderungen (Benutzer müssen eine Bezeichnung anwenden, bevor sie speichern oder senden) und Begründungsaufforderungen bei der Herabstufung einer Bezeichnungsklassifikation zu konfigurieren.

Implementierung für Berliner KMU

Eine typische Bereitstellung von Vertraulichkeitsbezeichnungen für ein kleines Berliner Unternehmen folgt vier Phasen. In der ersten Woche definieren Sie die Bezeichnungstaxonomie, konfigurieren Bezeichnungen im Purview-Portal und veröffentlichen eine Pilotrichtlinie für IT-Mitarbeiter. In der zweiten Woche führen Sie die automatische Bezeichnung im Simulationsmodus gegen SharePoint und Exchange aus, um Ihre Regeln für sensible Informationstypen zu kalibrieren. In der dritten Woche erweitern Sie die Bezeichnungsrichtlinie auf alle Benutzer mit aktivierten Standardbezeichnungen, führen Change-Management-Schulungen durch und aktivieren die Pflichtbezeichnung für E-Mails. In der vierten Woche aktivieren Sie die automatische Bezeichnung im Durchsetzungsmodus und verknüpfen Bezeichnungen mit DLP-Richtlinien, die das nicht autorisierte externe Teilen von Vertraulichen und Streng vertraulichen Inhalten blockieren.