Klassifizierung mit Sensitivity Labels
in Microsoft SharePoint / Teams
Mit den integrierten Sensitivity Labels / Vertraulichkeitsbezeichnungen können in Microsoft SharePoint und in Microsoft Teams Daten einer Organisation klassifiziert und geschützt werden, ohne dass Produktivität und Zusammenarbeit der Benutzer beeinträchtigt wird.
Die Klassifizierung ist dabei der Schlüssel, um sensitive Daten vor unberechtigtem Zugriff schützen zu können. Eine Klassifizierung wird auch im Rahmen verschiedener Zertifizierungen (wie z.B. VDA ISA/TISAX als Sicherheitsstandard in der Automobilindustrie oder der ISO Norm ISO/IEC 27001) benötigt.
Microsoft bietet dafür mit den neuen Sensitivity Labels / Vertraulichkeitsbezeichnungen (auch Unified Labels genannt) eine in Office 365 integrierte Lösung. Die Sensitivity Labels befinden sich im Bereich Information Protection im Microsoft 365 Compliance Portal.
Bitte beachten! Die Sensitivity Labels haben die Azure Information Protection Labels abgelöst.
Voraussetzung: Klassifizierungstaxonomie
Die Implementierung der Microsoft Sensitivity Labels setzt voraus, dass das Unternehmen eine sogenannte Klassifizierungstaxonomie hat, also ein gemeinsames Verständnis über Vertraulichkeitsbezeichnungen mit einem Handlungsleitfaden, bzw. Richtlinien zur Umsetzung.
Eine Klassifizierungstaxonomie definiert technologieunabhängig, wie Informationen zu klassifizieren sind und wie die Informationen gemäß der Klassifizierung über den Informationslebenszyklus zu behandeln sind.
Exemplarische Informationen einer Klassifizierungstaxonomie:
- Verständlicher Namen, wie z.B.: Öffentlich, Allgemein, Vertraulich, Geheim
- Beschreibung
- Beispiele
- Kennzeichnung der Dokumente, wie Kopfzeile, Fußzeile, Wasserzeichen
- Anforderung an den Schutz der Daten
- Speicherung der Daten
- Umgang mit Datenträgern
- Verschlüsselung der Daten/Verhalten bei der E-Mail-Kommunikation
- Zugriffswege
- Vervielfältigung
- Weitergabe / Versand
- Entsorgung
Wichtig ist, dass die Mitarbeiter ein gemeinsames Verständnis der Klassifizierungstaxonomie haben. Nicht alle Aspekte der Klassifizierungstaxonomie werden durch die Sensitivity Labels abgedeckt. Die Microsoft Sensitivity Labels adressieren primär Office Dokumente und E-Mails.
Einrichtung der Microsoft Sensitivity Labels
Die Einrichtung erfolgt im Microsoft 365 Compliance Portal.
Im ersten Schritt sind die Sensitivity Labels zu erstellen. Sensitivity Labels haben eine Reihenfolge und können hierarchisch sein. Pro Label können grundlegende Informationen definiert werden:
- Scope / Geltungsbereich
- Dateien & Emails
- Gruppen, Sites und Teams
- Azure Pureview Assets – noch in Preview
- Einstellungen für Dateien & E-Mails
- Verschlüsselung der Dateien/E-Mails mit verschiedenen Optionen
- Content-Marking der Dateien/E-Mails über Kopfzeile, Fußzeile, Wasserzeichen
- Einstellungen zum Auto-Labeling für Dateien/E-Mails anhand von Bedingungen
- Einstellung für Gruppen, Sites und Teams
- Privatsphäre – Privat, Public, Öffentlich
- Einladen von Gästen erlauben in die Gruppe, in die Site, bzw. in das Team
- Beschränkungen beim Zugriff von nicht verwalteten Geräten
- Einstellung für Azure Purview Assets
- Auto-Labeling für Datenbankspalten
Zuweisung der Microsoft Sensitivity Labels
Im zweiten Schritt sind die Labels über Label Policies an Personen oder Gruppen zuzuweisen. Personen sehen nur die Ihnen zugewiesen Sensitivity Labels.
Bis die Policy greift und die Sensitivity Labels komplett zugewiesen sind und in den Microsoft Office-Anwendungen angezeigt werden, können einige Stunden vergehen.
Nach Zuweisung der Sensitivity Labels stehen diese je nach Einstellung zur Klassifizierung von Microsoft Teams / M365 Gruppen, bzw. von Dokumenten und E-Mails zur Verfügung.
Klassifizierung von Sites, Gruppen und Teams
Sind einem Anwender Policies mit Einstellungen für Gruppen / Sites / Teams zugewiesen, dann werden diese Sensitivity Labels bei Anlage eines Teams angezeigt. Das Sensitivity Label kann im Nachgang durch den Besitzer geändert werden.
Klassifizierung von Dokumenten
Office Dokumente können über die Office Anwendung, bzw. Office Online in Microsoft Office 365 klassifiziert werden. Das Verhalten ist zwischen Word, Excel und PowerPoint unterschiedlich, ebenso gibt es Änderungen im Verhalten zwischen dem Office Client und Office/Outlook Online.
In Excel werden zum Beispiel Kopf- und Fußzeile, sowie Wasserzeichen nicht angezeigt.
Eine Klassifizierung von mehreren Dateien und Ordnerstrukturen auf einmal ist über das Dateisystem möglich.
Dazu wird der Microsoft Azure Information Protection Client benötigt.
Klassifizierung von E-Mails
Die Sensitivity Labels können auch E-Mails zugewiesen werden. Innerhalb der Organisation wird das Label in den E-Mails als Tag angezeigt.
Beim Versenden wird das Label zusätzlich als Text an den E-Mail-Body angefügt.
Klassifizierung von Daten in Azure
Über Azure Purview ist es unterdessen auch möglich, Sensitivity Labels auf Daten in SQL-Datenbanken, bzw. Azure Blob Storages zu vergeben.
Reports
Über das Microsoft 365 Compliance Center stehen Reports zur Nutzung der Sensitivity Labels zur Verfügung, z.B.:
- Wie werden die Labels zugewiesen: Manuell / Automatisch
- Welche Labels sind am häufigsten genutzt
- Welche Labels sind im Trend
Zusammenfassung
Über das Microsoft Office 365 Security & Compliance Portal können schnell und einfach Sensitivity Labels erstellt und zugewiesen werden. Die Nutzung dieser Labels ist für Microsoft Word-, Excel und PowerPoint Dateien, sowie für E-Mails sehr hilfreich.
Die Klassifizierung anderer Dateitypen (Bilder, OneNote, Code, …) ist nur eingeschränkt möglich.
Die Nutzung der Sensitivity Labels zum Schutz des Zugriffs von unmanaged Devices, bzw. Steuerung des Gastzugriffes bietet neue Möglichkeiten. Die Einfache Nutzung der Dokumentverschlüsselung erlaubt es auch, sensitive Daten in Office 365 abzulegen.
Für weitere Auskünfte oder ein unverbindliches Gespräch stehen wir Ihnen gerne zur Verfügung.