Klassi­fi­zie­rung mit Sensi­ti­vity Labels in Micro­soft Share­Point / Teams

|

Mit Sensi­ti­vity Labels / Vertrau­lich­keits­be­zeich­nungen können in Micro­soft Share­Point / Teams Daten einer Organi­sa­tion klassi­fi­ziert und geschützt werden, ohne dass Produk­ti­vität und Zusam­men­ar­beit der Benutzer beein­träch­tigt wird.

Die Klassi­fi­zie­rung ist dabei der Schlüssel, um sensi­tive Daten vor unberech­tigtem Zugriff schützen zu können. Eine Klassi­fi­zie­rung wird auch im Rahmen verschie­dener Zerti­fi­zie­rungen (wie z.B. VDA ISA/TISAX als Sicher­heits­stan­dard in der Automo­bil­in­dus­trie oder der ISO Norm ISO/IEC 27001) benötigt.

Micro­soft bietet dafür mit den neuen Sensi­ti­vity Labels / Vertrau­lich­keits­be­zeich­nungen (auch Unified Labels genannt) eine in Office 365 integrierte Lösung. Die Sensi­ti­vity Labels befinden sich im Bereich Infor­ma­tion Protec­tion im Micro­soft 365 Compli­ance Portal.

Bitte beachten! Die Sensi­ti­vity Labels lösen die Azure Infor­ma­tion Protec­tion Labels ab. Die Einstel­lungen der Azure Infor­ma­tion Protec­tion Labels müssen bis zum 01.04.2021 zu den Sensi­ti­vity Labels migriert werden.

1 Voraus­set­zung: Klassifizierungstaxonomie

Die Imple­men­tie­rung der Micro­soft Sensi­ti­vity Labels setzt voraus, dass das Unter­nehmen eine sogenannte Klassi­fi­zie­rungs­ta­xo­nomie hat, also ein gemein­sames Verständnis über Vertrau­lich­keits­be­zeich­nungen mit einem Handlungs­leit­faden, bzw. Richt­li­nien zur Umsetzung.

Eine Klassi­fi­zie­rungs­ta­xo­nomie definiert techno­lo­gie­un­ab­hängig, wie Infor­ma­tionen zu klassi­fi­zieren sind und wie die Infor­ma­tionen gemäß der Klassi­fi­zie­rung über den Infor­ma­ti­ons­le­bens­zy­klus zu behan­deln sind.

Exempla­ri­sche Infor­ma­tionen einer Klassifizierungstaxonomie:

  • Verständ­li­cher Namen, wie z.B.: Öffent­lich, Allge­mein, Vertrau­lich, Geheim
  • Beschrei­bung
  • Beispiele
  • Kennzeich­nung der Dokumente, wie Kopfzeile, Fußzeile, Wasserzeichen
  • Anfor­de­rung an den Schutz der Daten 
    • Speiche­rung der Daten
    • Umgang mit Datenträgern
    • Verschlüs­se­lung der Daten/Verhalten bei der E‑Mail-Kommu­ni­ka­tion
    • Zugriffs­wege
    • Verviel­fäl­ti­gung
    • Weiter­gabe / Versand
    • Entsor­gung

 

Wichtig ist, dass die Mitar­beiter ein gemein­sames Verständnis der Klassi­fi­zie­rungs­ta­xo­nomie haben. Nicht alle Aspekte der Klassi­fi­zie­rungs­ta­xo­nomie werden durch die Sensi­ti­vity Labels abgedeckt. Die Micro­soft Sensi­ti­vity Labels adres­sieren primär Office Dokumente und E‑Mails.

2 Einrich­tung der Micro­soft Sensi­ti­vity Labels

Die Einrich­tung erfolgt im Micro­soft 365 Compli­ance Portal.

Im ersten Schritt sind die Sensi­ti­vity Labels zu erstellen. Sensi­ti­vity Labels haben eine Reihen­folge und können hierar­chisch sein. Pro Label können grund­le­gende Infor­ma­tionen definiert werden:

  • Scope / Geltungsbereich 
    • Dateien & Emails
    • Gruppen, Sites und Teams
    • Azure Pureview Assets – noch in Preview

 

  • Einstel­lungen für Dateien & E‑Mails
    • Verschlüs­se­lung der Dateien/E‑Mails mit verschie­denen Optionen
    • Content-Marking der Dateien/E‑Mails über Kopfzeile, Fußzeile, Wasserzeichen
    • Einstel­lungen zum Auto-Labeling für Dateien/E‑Mails anhand von Bedingungen

 

  • Einstel­lung für Gruppen, Sites und Teams 
    • Privat­sphäre – Privat, Public, Öffentlich
    • Einladen von Gästen erlauben in die Gruppe, in die Site, bzw. in das Team
    • Beschrän­kungen beim Zugriff von nicht verwal­teten Geräten

 

  • Einstel­lung für Azure Pureview Assets 
    • Auto-Labeling für Datenbankspalten

3 Zuwei­sung der Micro­soft Sensi­ti­vity Labels

Im zweiten Schritt sind die Labels über Label Policies an Personen oder Gruppen zuzuweisen. Personen sehen nur die Ihnen zugewiesen Sensi­ti­vity Labels. Bei der Zuwei­sung können noch einige Optionen einge­stellt werden:

Bis die Policy greift und die Sensi­ti­vity Labels komplett zugewiesen sind und in den Micro­soft Office-Anwen­dungen angezeigt werden, können einige Stunden vergehen.

Nach Zuwei­sung der Sensi­ti­vity Labels stehen diese je nach Einstel­lung zur Klassi­fi­zie­rung von Micro­soft Teams / M365 Gruppen, bzw. von Dokumenten und E‑Mails zur Verfügung.

4 Klassi­fi­zie­rung von Sites, Gruppen und Teams

Sind einem Anwender Policies mit Einstel­lungen für Gruppen / Sites / Teams zugewiesen, dann werden diese Sensi­ti­vity Labels bei Anlage eines Teams angezeigt. Das Sensi­ti­vity Laben kann im Nachgang durch den Besitzer geändert werden.

5 Klassi­fi­zie­rung von Dokumenten

Office Dokumente können über die Office Anwen­dung, bzw. Office Online in Micro­soft Office 365 klassi­fi­ziert werden. Das Verhalten ist zwischen Word, Excel und Power­Point unter­schied­lich, ebenso gibt es Änderungen im Verhalten zwischen dem Office Client und Office/Outlook Online.

In Excel werden zum Beispiel Kopf- und Fußzeile, sowie Wasser­zei­chen nicht angezeigt.

Eine Klassi­fi­zie­rung von mehreren Dateien und Ordner­struk­turen auf einmal ist über das Datei­system möglich.

Dazu wird der Micro­soft Azure Infor­ma­tion Protec­tion Client benötigt:

6 Klassi­fi­zie­rung von E‑Mails

Die Sensi­ti­vity Labels können auch E‑Mails zugewiesen werden. Inner­halb der Organi­sa­tion wird das Label in den E‑Mails als Tag angezeigt.

Beim Versenden wird das Label zusätz­lich als Text an den E‑Mail-Body angefügt.

7 Klassi­fi­zie­rung von Daten in Azure

Über Azure Purview ist es unter­dessen auch möglich, Sensi­ti­vity Labels auf Daten in SQL-Daten­banken, bzw. Azure Blob Storages zu vergeben.

Diese Funktion befindet sich noch in der Vorschau.

8 Reports

Über das Micro­soft 365 Compli­ance Center stehen Reports zur Nutzung der Sensi­ti­vity Labels zur Verfü­gung, z.B.:

  • Wie werden die Labels zugewiesen: Manuell / Automatisch
  • Welche Labels sind am häufigsten genutzt
  • Welche Labels sind im Trend

9 Zusam­men­fas­sung

Über das Micro­soft Office 365 Security & Compli­ance Portal können schnell und einfach Sensi­ti­vity Labels erstellt und zugewiesen werden. Die Nutzung dieser Labels klappt gut für Word‑, Excel und Power­Point Dateien, sowie für E‑Mails.

Die Klassi­fi­zie­rung anderer Datei­typen (Bilder, OneNote, Code, …) ist nur einge­schränkt möglich.

Die Nutzung der Sensi­ti­vity Labels zum Schutz des Zugriffs von unmanaged Devices, bzw. Steue­rung des Gastzu­griffes bietet neue Möglich­keiten. Die Einfache Nutzung der Dokument­ver­schlüs­se­lung erlaubt es auch, sensi­tive Daten in Office 365 abzulegen.

Für weitere Auskünfte oder ein unver­bind­li­ches Gespräch stehen wir Ihnen gerne zur Verfügung.

 

Joachim von Seydewitz

Solution Archi­tect



Kontakt zur netunite AG

Ihr Anliegen. Unsere Experten. Erleben Sie netunite. Wir freuen uns auf Ihre Anfrage.
Gerne sind wir auch telefonisch unter 089/8906599-0 oder per E-Mail unter info@netunite.eu für Sie erreichbar.

netunite AG
Lindwurmstraße 97
80337 München


    Pflichtfeld

    Pflichtfeld


    Absenden
    Absenden

    Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung. Akzeptieren