Cookie-Einstellungen
Wir verwenden Cookies, um Ihnen ein optimales Webseiten-Erlebnis zu bieten. Dazu zählen Cookies, die für den Betrieb der Seite und für die Steuerung unserer kommerziellen Unternehmensziele notwendig sind, sowie solche, die lediglich zu anonymen Statistikzwecken, für Komforteinstellungen oder zur Anzeige personalisierter Inhalte genutzt werden. Sie können selbst entscheiden, welche Kategorien Sie zulassen möchten. Bitte beachten Sie, dass auf Basis Ihrer Einstellungen womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Essenzielle Cookies
- Session cookies
- Login cookies
Performance Cookies
- Google Analytics
Funktionelle Cookies
- Google Maps
- YouTube
- reCAPTCHA
Targeting Cookies
Alle Kunden mit Betreuungsverträgen wenden sich bitte an die im Service Level Vertrag definierte Hotlinenummer/ eMail Adresse. Danke.

Wir freuen uns auf Ihren Anruf oder Ihre E-Mail:

Tel: +43 722 987 8000
E-Mail: office@baseit.at
support-button
#baseITblogpost

Microsoft Purview -

Information Protection


  Lead Architect Forster Peter3  Autor Peter Forster (Lead Architect | Base-IT)


Viele von Ihnen werden bereits auf Papier eine Datenklassifizierung erstellt haben. Diese dient als Grundlage für die technische Umsetzung. Vor einer solchen Umsetzung muss geprüft werden, ob und wie sich die geschriebene Datenklassifizierung umsetzen lässt.


Viele unserer Kunden haben, je nach Schutzbedarf, unterschiedliche Klassen definiert. Die häufigsten Klassen sind:

  • öffentlich
  • eingeschränkt/intern
  • geheim
  • streng geheim
  • privat

Mit dieser Klassifizierung ist der erste Schritt in Richtung technischer Umsetzung gelegt. Wichtig bei der Datenklassifizierung ist nicht nur die Benennung der Klassen, sondern auch die Nennung der Dokumenttypen, welche in die jeweilige Klasse fallen. Nur so lassen sich später manuell bzw. automatisch die richtigen Klassen den jeweiligen Dokumenten zuordnen.

Beachten Sie, dass typischerweise folgende Untergliederung der Datenmengen in einem prozentualen Spiegel dargestellt werden können:

 


Hinweis: Die Kategorie Privat wird nicht in der Tabelle gezeigt, da teilweise Unternehmen die Speicherung privater Daten gemäß organisatorischer Richtline nicht erlauben.

 

 

In den wenigsten Unternehmen ist gemäß der Datenklassifizierung ein erheblicher Anteil der Daten hoch schützenswert. Streng Vertrauliche Dateien können meist auf folgende Kategorien heruntergebrochen werden:

  • Patente
  • CAD/CAM Dateien (eigene sowie jene von Kunden und Partnern)
  • gewisse Arten von Verträgen

 

Je nach Branche können sich hier eigene Datenkategorie ergeben, welche einem hohen Schutzbedarf unterliegen. Für eine Aktiengesellschaft können dies Vorgänge im Umfeld von Merger & Acquisitions bzw. Carve-In oder Carve-Out Projekte sein. Diese Vorgänge können den Aktienkurs beeinflussen und gemäß der Rechtsprechung aus der in Österreich gültigen Rechtsvorschrift für Emittenten-Compliance-Verordnung 2007 ergibt sich hier auch rechtlich ein entsprechender Schutzbedarf.

Scope einer Klassifizierung


Nachdem die genaue Definition der Datenklassifizierung vorliegt, kann mit der technischen Umsetzung begonnen werden. Hierbei ist es wichtig die unterschiedlichen Scopes von Datenklassifizierungen zu kennen (Dateien, E-Mails, Container sowie Datenassets). Wir geben Ihnen dazu einen Überblick:
1.      Dateien

Dateien bezieht sich auf alle innerhalb eines Dateisystems gespeicherten Inhalte. Aufgrund der technischen Limitierung für gewisse Dateiformate muss hier unterschieden werden, ob eine native Unterstützung des Dateiformats für Microsoft Purview Information Protection gegeben ist, oder ob mit so genannten Wrapper-Dateien gearbeitet werden muss.

2.      E-Mails

Die Schutzklassifizierung einer E-Mail bezieht sich auf den Inhalt der E-Mail (Betreff sowie Body-Text). Technisch kann eine Unterscheidung der Schutzstufe zwischen einer E-Mail und einem Anhang einer E-Mail gegeben sein.

3.     Container

Bei einem Container-Label wird eine Schutzklassifizierung auf ein Microsoft Team oder eine SharePoint-Site gelegt. Dabei lassen sich verschiedene Einstellungen später für ein Team bzw. eine SharePoint Site definieren. Beispielsweise kann mit Hilfe der Container-Labels festgelegt werden, ob Gäste in einem Team erlaubt sind oder nicht.

4.      Datenassets (Preview)

Die derzeit in Preview befindliche Funktion für Datenassets erlaubt es in verschiedenen Systemen wie beispielsweise SQL, Azure SQL, Azure Files, oder Azure Blob Storage ein Label anzuwenden. Ein Beispiel für SQL wäre, dass in einer Table der Datenbank sensitive Informationen gespeichert werden und nur diese Table mit einem Label versehen wird.

Anwendung der Klassifizierung


Nachdem die Definition der Schutzbereiche (Scopes) sowie der Datenklassifizierung durchgeführt wurde, kann mit der technischen Umsetzung begonnen werden. Hierbei werden zwei unterschiedliche Arten der Zuweisung unterschieden:

 

1.      Manuelle Zuweisung

Bei der manuellen Zuweisung von Klassifizierungen zu einem Dokument sind Ihre Benutzer im Unternehmen gefragt. Diese weisen bei der Erstellung/Bearbeitung von Dokumenten die Labels manuell zu. Hierfür ist es notwendig die Benutzer entsprechend zu schulen und ausreichend Beispiele von Dokumenttypen bereitzustellen, damit die Klassifizierung korrekt durchgeführt wird. Ein Beispiel wie das für den Anwender in Microsoft Word aussieht:

 

Zusätzlich kann im Datei-Explorer eine Klassifizierung durchgeführt werden. Dies ist notwendig, wenn Elemente bereits gespeichert sind, bzw. Dateiformate vorliegen, die nicht Microsoft Office sind.

Hier kommt, wie erwähnt, für nicht unterstützte Dateiformate ein Wrapper-File zum Tragen. Dabei wird das zu schützende Dokument in eine weitere Datei gepackt und nur diese Datei ist gemäß den Richtlinien mit Microsoft Purview Information Protection geschützt.

Wichtig zu wissen ist:

Der Schutz ist immer auf der Datei, egal an welchem Speicherort diese Datei abgelegt ist. Es ist somit irrelevant, ob diese auf einem on-premises Dateiserver, bei Microsoft in der Cloud, bei einem Drittanbieter in der Cloud, auf einem USB-Stick oder in einem Backup liegt. Die angewandte Schutzstufe wird bei jeder Verwendung der Datei geprüft.

 

2.      Automatische Zuweisung

Die automatische Zuweisung von Schutzklassifizierungen kann auf unterschiedliche Arten erfolgen. Es wird dabei unterschieden, ob die Dateien in der Cloud gespeichert sind (SharePoint, Teams), durch den Anwender soeben erstellt werden, oder auf einem on-premises Fileserver abgelegt sind.

In der Cloud gespeicherte Dateien (Microsoft Teams, SharePoint)

Wenn die Dateien bereits in der Cloud gespeichert sind, kann per Richtlinien vorgegeben werden, dass z.B. gesamte SharePoint Dokumentenbibliotheken mit der gleichen Datenschutzklassifizierung geschützt werden. Zusätzlich kann jedoch auch definiert werden, dass nur Dokumente mit gewissen Inhalten geschützt werden. Hierbei kommen die so genannten Sensitive Information Types zum Tragen, welche eine Definition der Suchkriterien innerhalb der Datei beinhalten.

 

3.      Dateien in Erstellung/Bearbeitung

Wenn neue Dateien erstellt werden, kann auf Basis des geschriebenen Textes eine Erkennung der Inhalte durchgeführt werden und der Anwender wird in der Zuteilung der korrekten Klassifizierung unterstützt. Hierbei muss über vordefinierte Kriterien festgelegt werden, welche Keywords geprüft werden und dem Benutzer wird dann ein entsprechender Vorschlag zur Klassifizierung unterbreitet. Der Benutzer kann diesen Vorschlag annehmen oder ändern.

Dateien auf einem on-premises Fileserver

Mit Hilfe des on-premises Scanners, den wir im ersten Artikel bereits erwähnt haben, lassen sich on-premises File-Repositorien scannen und wiederum gemäß den Inhalten die entsprechende Datenklassifizierung für die Dateien definieren. Auch hier kann unterschieden werden zwischen dem Speicherort und der Zuweisung einer Klassifizierung oder dem Inhalt der Dateien.

 

Kontaktieren Sie uns und wir analysieren Ihre bestehende Datenschutzklassifizierung und besprechen mit Ihnen die Möglichkeiten der technischen Umsetzung. 

Gerne erstellen wir mit Ihnen gemeinsam eine Datenschutzklassifizierung, welche sich an die aktuellen Normen gemäß ISO 27001 bzw. TiSAX® Level 2/3 orientiert. Im Rahmen eines Workshops erörtern wir, welche Feinheiten es gibt und differenzieren die technischen Umsetzungsmöglichen bei Office-Dateien, anderen Dateiformaten sowie dem Schutz von E-Mails. Zusätzlich prüfen wir mit Ihnen gemeinsam den Einsatzzweck hinsichtlich der Konfiguration innerhalb der so gennannten Container-Labels für Microsoft Teams und SharePoint.

Ja, ich bin einverstanden, dass meine Kontaktdaten über die Vertragsabwicklung hinaus für interne marketingtechnische Zwecke verwendet werden. Einwilligung jederzeit widerrufbar. Datenschutzbestimmungen