Datenlecks in Microsoft Teams mit Purview DLP verhindern

Microsoft MVP Jasper Oosterveld befasst sich mit Microsoft Purview Data Loss Prevention und teilt Erkenntnisse über die Kombination mit Microsoft Purview Information Protection sowie Empfehlungen für die Implementierung. 

Obwohl Microsoft Teams über einen standardmäßigen Authentifizierungs- und Autorisierungsprozess zum Schutz Ihrer Daten verfügt, besteht dennoch die Möglichkeit, dass die Daten Ihres Unternehmens internen und externen Benutzern zugänglich gemacht werden könnten, die Zugriff erhalten.  

Dies ist ein Grund zur Sorge, da es zu unbefugtem Zugriff und Datenlecks führen könnte. 

In einem vorherigen Artikel habe ich darüber gesprochen, wie Microsoft Purview Information Protection dabei hilft, sensible Daten in Teams zu schützen. Eine weitere Lösung, die dabei helfen kann, zu verhindern, dass Daten in die falschen Hände geraten, ist Microsoft Purview Data Loss Prevention (DLP).  

Lassen Sie uns eintauchen! 

Was ist Microsoft Purview Data Loss Prevention? 

Microsoft Purview Data Loss Prevention ist eine Lösung, die dabei hilft, das unsichere oder unbefugte Teilen, Übertragen oder Verwenden sensibler Daten in Ihrem Unternehmen zu verhindern.

Damit können Sie sensible Daten identifizieren und überwachen, was es Ihrem Unternehmen ermöglicht, Ihre Datenschutzrichtlinien durchzusetzen und Ihre Informationen sicher zu halten sowie die Einhaltung gesetzlicher Vorschriften wie HIPAA und GDPR sicherzustellen.

Microsoft Purview DLP ist eine einheitliche Lösung mit breitem Anwendungsbereich, die sich nicht nur auf Microsoft 365 konzentriert, sondern es Ihrem Unternehmen auch ermöglicht, Ihre sensiblen Daten in den folgenden Bereichen zu schützen:

• Microsoft 365-Dienste: Microsoft Teams, Exchange, SharePoint und OneDrive. 
• Geräte: Prüfung und Verwaltung von Aktivitäten, die Mitarbeiter mit sensiblen Elementen durchführen, die physisch auf Windows 10-, Windows 11- oder macOS-Geräten gespeichert sind. 
• Instanzen: Überwachung, Erkennung und Maßnahmen, wenn sensible Elemente über Nicht-Microsoft-Cloud-Apps verwendet und geteilt werden. ‍
• Lokale Repositories: Anwendung von DLP-Richtlinien auf lokal gespeicherte Daten. ‍
• Fabric- und Power BI-Arbeitsbereiche: Erkennung des Hochladens sensibler Daten in einen Datensatz innerhalb von Fabric und Power BI. 
• Copilot (Vorschau): Blockierung der Verarbeitung von Dokumenten mit bestimmten Vertraulichkeitskennzeichnungen für Eingabeaufforderungen.

Der Fokus dieses Artikels liegt auf Microsoft 365-Apps, insbesondere auf der Arbeit mit Dokumenten und dem Chatten in Teams. Wenn Sie Microsoft Purview DLP bereits für Microsoft 365-Dienste implementiert haben, empfehle ich, einen Schritt weiter zu gehen und sich Endpoint DLP anzusehen. 

Für noch erweiterte Sicherheit stellt das Microsoft Compliance Center sicher, dass IT-Administratoren die umfassenden verfügbaren Tools nutzen, um Datensicherheit zu gewährleisten und Branchenstandards effektiv zu erfüllen.

Stellen Sie sicher, dass Ihr Unternehmen über die ordnungsgemäße Lizenzierung für Microsoft Purview DLP verfügt

Um die volle Power von Microsoft Purview DLP zu nutzen, müssen Sie sicherstellen, dass Ihre Geschäftsanwender über die entsprechenden Lizenzen verfügen. Um also DLP für Exchange Online, SharePoint Online und OneDrive for Business zu verwenden, ist eine dieser Lizenzen erforderlich:  

• Microsoft 365 E5/A5/G5/E3/A3/G3, Microsoft 365 Business Premium, SharePoint Online Plan 2, OneDrive for Business (Plan 2), Exchange Online Plan 2 
• Office 365 E5/A5/G5/E3/A3/G3 
• Microsoft 365 E5/A5/G5/F5 Compliance und F5 Security & Compliance 
• Microsoft 365 E5/A5/F5/G5 Information Protection and Governance 

Es ist erwähnenswert, dass die Lizenzstruktur für Teams etwas anders ist. Um also DLP für Teams zu verwenden, benötigen Sie eine der folgenden Lizenzen: 

• Microsoft 365 E5/A5/G5 
• Microsoft 365 E5/A5/G5/F5 Compliance und F5 Security & Compliance 
• Microsoft 365 E5/A5/F5/G5 Information Protection and Governance 
• Office 365 E5/A5/G5 

Microsoft Purview Administration Center 

Purview DLP bietet einheitliches, flexibles Richtlinienmanagement und -durchsetzung über Geräte, Apps und Dienste hinweg vom Purview Administration Center aus. Dies ist der Ort, an dem Sie Ihre Purview DLP-Lösung verwalten und überwachen. 

Sie können damit beginnen, Ihre erste Richtlinie zu konfigurieren: 

Bevor Sie jedoch mit der Konfiguration beginnen, ist es wichtig, Ihre Informationsschutzrichtlinie zu überprüfen. Diese Richtlinie sollte die Vorschriften oder internen Prozesse im Zusammenhang mit dem internen und externen Zugriff auf Ihre sensiblen Daten umreißen.

Microsoft bietet verschiedene vordefinierte DLP-Vorlagen, die auf bestimmte Länder und Regionen zugeschnitten sind, wie den US Patriot Act, den UK Data Protection Act oder die GDPR. Diese Vorlagen enthalten vorkonfigurierte Typen sensibler Informationen und Regeln bestehend aus Bedingungen und Aktionen. Sie müssen nur die Vorlage einem oder mehreren Microsoft 365-Standorten zuweisen. Nach meiner Erfahrung mit der Implementierung von DLP für die Daten jeder Organisation werden oft benutzerdefinierte Richtlinien verwendet.  

Wie Microsoft Purview Data Loss Prevention und Microsoft Purview Information Protection zusammenarbeiten können

Microsoft Purview DLP ergänzt Microsoft Purview Information Protection. Zusammen bieten diese Dienste eine Lösung für den Schutz und die Verwaltung von Daten in Ihrem gesamten Unternehmen.

In einem vorherigen Artikel sprachen wir über die Wichtigkeit der Verwendung von Purview Information Protection zum Schutz sensibler Daten. Jetzt können Sie mit Purview DLP sensible Daten identifizieren und überwachen, und zwar von Anfang an. Dies ermöglicht es Ihrem Unternehmen, Ihre Datenschutzrichtlinien durchzusetzen und Ihre Informationen sicher zu halten.  

Anwendungsfall für die Kombination beider Dienste 

Ein Anwendungsfall für die Kombination beider Dienste besteht darin, eine zusätzliche Schutzebene für die Daten Ihres Unternehmens zu bieten.

Angenommen, Sie haben geistiges Eigentum (IP), das Sie nicht außerhalb Ihres Unternehmens teilen können. Mit Microsoft Purview DLP können Sie erkennen, ob Ihr IP extern geteilt wird, entweder durch einen speziellen Typ sensibler Informationen oder eine Vertraulichkeitskennzeichnung, die an das IP angehängt ist.  

Um den Microsoft Purview DLP-Dienst und den Microsoft Purview Information Protection-Dienst zusammenarbeiten zu lassen, können Sie eine Regel innerhalb einer Purview DLP-Richtlinie konfigurieren: 

Sie können die Bedingung Ihrer Richtlinie basierend auf Ihrem Typ sensibler Informationen oder einer Vertraulichkeitskennzeichnung auslösen. Die Option der Vertraulichkeitskennzeichnung ist nur für die folgenden Standorte verfügbar, die innerhalb Ihrer Richtlinie angewendet werden: 

• Exchange Online E-Mail-Nachrichten 

• SharePoint Online 
• OneDrive for Business-Websites 
• Windows 10/11-Geräte 

Das bedeutet, Sie müssen eine zusätzliche Purview DLP-Richtlinie für Chat- und Kanalnachrichten in Microsoft Teams erstellen.  

Erkundung der Endbenutzer-Erfahrung von Microsoft Purview Data Loss Prevention

Wir haben über die Konfiguration und Wichtigkeit von Microsoft Purview DLP gesprochen. Jetzt verlagern wir unseren Fokus auf die Erfahrung Ihrer Benutzer damit. Dies ist ein wichtiger Aspekt, der zu berücksichtigen ist, da er Ihnen hilft, Ihre Einführungs- und Change-Management-Strategie zu gestalten.

Ihre Geschäftsanwender könnten Fragen haben wie: 

• Warum ist das wichtig für unser Unternehmen? 
• Welche Auswirkungen hat das auf meine Arbeit? 
• Wo kann ich weitere Informationen finden, falls ich Fragen habe? 
• Was wird von mir als Mitarbeiter erwartet? 

Bevor Sie mit der Implementierung von Purview DLP beginnen, ist es wichtig, diese Fragen zu beantworten.

Um Ihnen eine Vorstellung von der Benutzererfahrung mit Purview DLP zu geben, betrachten wir nun, wie das Tool funktioniert für:

1. Dateien (SharePoint)
2. Chat (Microsoft Teams)
3. Berichterstattung und Warnungen

Dateien (SharePoint)

In diesem Beispiel erkennen wir Dateien und Chats, die IBAN (International Bank Account Number) enthalten. Die durch die Richtlinie ausgelösten Dateien werden mit einem roten Symbol angezeigt: