Klassi­fi­zie­rung mit Sensi­ti­vity Labels in Micro­soft Share­Point / Teams

|

Mit Sensi­ti­vity Labels / Vertrau­lich­keits­be­zeich­nungen können in Micro­soft Share­Point / Teams Daten einer Organi­sa­tion klassi­fi­ziert und geschützt werden, ohne dass Produk­ti­vität und Zusam­men­ar­beit der Benutzer beein­träch­tigt wird.

Die Klassi­fi­zie­rung ist dabei der Schlüssel, um sensi­tive Daten vor unberech­tigtem Zugriff schützen zu können. Eine Klassi­fi­zie­rung wird auch im Rahmen verschie­dener Zerti­fi­zie­rungen (wie z.B. VDA ISA/TISAX als Sicher­heits­stan­dard in der Automo­bil­in­dus­trie oder der ISO Norm ISO/IEC 27001) benötigt.

Micro­soft bietet dafür mit den neuen Sensi­ti­vity Labels / Vertrau­lich­keits­be­zeich­nungen (auch Unified Labels genannt) eine in Office 365 integrierte Lösung. Die Sensi­ti­vity Labels befinden sich im Bereich Infor­ma­tion Protec­tion im Micro­soft 365 Compli­ance Portal.

Bitte beachten! Die Sensi­ti­vity Labels lösen die Azure Infor­ma­tion Protec­tion Labels ab. Die Einstel­lungen der Azure Infor­ma­tion Protec­tion Labels müssen bis zum 01.04.2021 zu den Sensi­ti­vity Labels migriert werden.

1 Voraus­set­zung: Klassifizierungstaxonomie

Die Imple­men­tie­rung der Micro­soft Sensi­ti­vity Labels setzt voraus, dass das Unter­nehmen eine sogenannte Klassi­fi­zie­rungs­ta­xo­nomie hat, also ein gemein­sames Verständnis über Vertrau­lich­keits­be­zeich­nungen mit einem Handlungs­leit­faden, bzw. Richt­li­nien zur Umsetzung.

Eine Klassi­fi­zie­rungs­ta­xo­nomie definiert techno­lo­gie­un­ab­hängig, wie Infor­ma­tionen zu klassi­fi­zieren sind und wie die Infor­ma­tionen gemäß der Klassi­fi­zie­rung über den Infor­ma­ti­ons­le­bens­zy­klus zu behan­deln sind.

Exempla­ri­sche Infor­ma­tionen einer Klassifizierungstaxonomie:

  • Verständ­li­cher Namen, wie z.B.: Öffent­lich, Allge­mein, Vertrau­lich, Geheim
  • Beschrei­bung
  • Beispiele
  • Kennzeich­nung der Dokumente, wie Kopfzeile, Fußzeile, Wasserzeichen
  • Anfor­de­rung an den Schutz der Daten 
    • Speiche­rung der Daten
    • Umgang mit Datenträgern
    • Verschlüs­se­lung der Daten/Verhalten bei der E‑Mail-Kommu­ni­ka­tion
    • Zugriffs­wege
    • Verviel­fäl­ti­gung
    • Weiter­gabe / Versand
    • Entsor­gung

 

Wichtig ist, dass die Mitar­beiter ein gemein­sames Verständnis der Klassi­fi­zie­rungs­ta­xo­nomie haben. Nicht alle Aspekte der Klassi­fi­zie­rungs­ta­xo­nomie werden durch die Sensi­ti­vity Labels abgedeckt. Die Micro­soft Sensi­ti­vity Labels adres­sieren primär Office Dokumente und E‑Mails.

2 Einrich­tung der Micro­soft Sensi­ti­vity Labels

Die Einrich­tung erfolgt im Micro­soft 365 Compli­ance Portal.

Im ersten Schritt sind die Sensi­ti­vity Labels zu erstellen. Sensi­ti­vity Labels haben eine Reihen­folge und können hierar­chisch sein. Pro Label können grund­le­gende Infor­ma­tionen definiert werden:

  • Scope / Geltungsbereich 
    • Dateien & Emails
    • Gruppen, Sites und Teams
    • Azure Pureview Assets – noch in Preview

 

  • Einstel­lungen für Dateien & E‑Mails
    • Verschlüs­se­lung der Dateien/E‑Mails mit verschie­denen Optionen
    • Content-Marking der Dateien/E‑Mails über Kopfzeile, Fußzeile, Wasserzeichen
    • Einstel­lungen zum Auto-Labeling für Dateien/E‑Mails anhand von Bedingungen

 

  • Einstel­lung für Gruppen, Sites und Teams 
    • Privat­sphäre – Privat, Public, Öffentlich
    • Einladen von Gästen erlauben in die Gruppe, in die Site, bzw. in das Team
    • Beschrän­kungen beim Zugriff von nicht verwal­teten Geräten

 

  • Einstel­lung für Azure Pureview Assets 
    • Auto-Labeling für Datenbankspalten

3 Zuwei­sung der Micro­soft Sensi­ti­vity Labels

Im zweiten Schritt sind die Labels über Label Policies an Personen oder Gruppen zuzuweisen. Personen sehen nur die Ihnen zugewiesen Sensi­ti­vity Labels. Bei der Zuwei­sung können noch einige Optionen einge­stellt werden:

Bis die Policy greift und die Sensi­ti­vity Labels komplett zugewiesen sind und in den Micro­soft Office-Anwen­dungen angezeigt werden, können einige Stunden vergehen.

Nach Zuwei­sung der Sensi­ti­vity Labels stehen diese je nach Einstel­lung zur Klassi­fi­zie­rung von Micro­soft Teams / M365 Gruppen, bzw. von Dokumenten und E‑Mails zur Verfügung.

4 Klassi­fi­zie­rung von Sites, Gruppen und Teams

Sind einem Anwender Policies mit Einstel­lungen für Gruppen / Sites / Teams zugewiesen, dann werden diese Sensi­ti­vity Labels bei Anlage eines Teams angezeigt. Das Sensi­ti­vity Laben kann im Nachgang durch den Besitzer geändert werden.

5 Klassi­fi­zie­rung von Dokumenten

Office Dokumente können über die Office Anwen­dung, bzw. Office Online in Micro­soft Office 365 klassi­fi­ziert werden. Das Verhalten ist zwischen Word, Excel und Power­Point unter­schied­lich, ebenso gibt es Änderungen im Verhalten zwischen dem Office Client und Office/Outlook Online.

In Excel werden zum Beispiel Kopf- und Fußzeile, sowie Wasser­zei­chen nicht angezeigt.

Eine Klassi­fi­zie­rung von mehreren Dateien und Ordner­struk­turen auf einmal ist über das Datei­system möglich.

Dazu wird der Micro­soft Azure Infor­ma­tion Protec­tion Client benötigt:

6 Klassi­fi­zie­rung von E‑Mails

Die Sensi­ti­vity Labels können auch E‑Mails zugewiesen werden. Inner­halb der Organi­sa­tion wird das Label in den E‑Mails als Tag angezeigt.

Beim Versenden wird das Label zusätz­lich als Text an den E‑Mail-Body angefügt.

7 Klassi­fi­zie­rung von Daten in Azure

Über Azure Purview ist es unter­dessen auch möglich, Sensi­ti­vity Labels auf Daten in SQL-Daten­banken, bzw. Azure Blob Storages zu vergeben.

Diese Funktion befindet sich noch in der Vorschau.

8 Reports

Über das Micro­soft 365 Compli­ance Center stehen Reports zur Nutzung der Sensi­ti­vity Labels zur Verfü­gung, z.B.:

  • Wie werden die Labels zugewiesen: Manuell / Automatisch
  • Welche Labels sind am häufigsten genutzt
  • Welche Labels sind im Trend

9 Zusam­men­fas­sung

Über das Micro­soft Office 365 Security & Compli­ance Portal können schnell und einfach Sensi­ti­vity Labels erstellt und zugewiesen werden. Die Nutzung dieser Labels klappt gut für Word‑, Excel und Power­Point Dateien, sowie für E‑Mails.

Die Klassi­fi­zie­rung anderer Datei­typen (Bilder, OneNote, Code, …) ist nur einge­schränkt möglich.

Die Nutzung der Sensi­ti­vity Labels zum Schutz des Zugriffs von unmanaged Devices, bzw. Steue­rung des Gastzu­griffes bietet neue Möglich­keiten. Die Einfache Nutzung der Dokument­ver­schlüs­se­lung erlaubt es auch, sensi­tive Daten in Office 365 abzulegen.

Für weitere Auskünfte oder ein unver­bind­li­ches Gespräch stehen wir Ihnen gerne zur Verfügung.

 

Joachim von Seydewitz

Solution Archi­tect



Kontakt zur netunite AG

Ihr Anliegen. Unsere Experten. Erleben Sie netunite. Wir freuen uns auf Ihre Anfrage.
Gerne sind wir auch telefonisch unter 089/8906599-0 oder per E-Mail unter info@netunite.eu für Sie erreichbar.

netunite AG
Lindwurmstraße 97
80337 München

    Pflichtfeld
    Pflichtfeld
     
    Pflichtfeld
     
    Pflichtfeld