IT Blog

Azure Information Protection: Vertrauliche Daten richtig schützen

Fr, 29. November 2019

Unternehmen möchten und müssen sicherstellen, dass ihre vertraulichen Informationen nicht in die falschen Hände geraten. Hierfür gibt es verschiedenste Strategien, die sich in ihrer Wirksamkeit teils deutlich unterscheiden.

Ein etwas extremes Beispiel ist die „Strategie“ – in Anführungszeichen, da mehr fahrlässig als zielführend – die Nutzer im Unternehmen auf verschiedene Netzwerkfreigaben zu berechtigen, die als Ablage genutzt werden. Allein intern stellt dies nicht sicher, dass interessierte Kollegen keinesfalls an die Daten anderer Personen gelangen. Gerät ein Dokument einmal außerhalb der eigenen Umgebung, kann jeder damit tun und lassen, was er will. Man kann nur hoffen, dass dies nicht die einzige Maßnahme zum Schutz vertraulicher Daten ist.

Ohne nun also zu sehr auf Wege einzugehen, wie man gerichtet auf einen Gesetzesverstoß aufgrund nicht beachteter Vorschriften zum Datenschutz zusteuert, soll dieser Artikel einen Ansatz behandeln, der zeigt, wie Informationsschutz richtig gehen kann: mit Hilfe von Azure Information Protection (AIP).

Was ist Azure Information Protection?

Azure Information Protection (AIP) ist eine cloudbasierte Lösung zur Klassifizierung und optional auch zum Schutz von Dokumenten und Mails. Hierfür konfiguriert der Administrator Vertraulichkeitsbezeichnungen, auch Sensitivity Labels genannt. Diese Labels können vom Ersteller eines Dokuments manuell gewählt, aber ebenso inhaltsbasiert automatisch angewandt werden.

Die zugewiesenen Labels setzen für das Dokument verschiedene Berechtigungen. So wird ein Dokument nach der Klassifizierung beispielsweise verschlüsselt und nur für bestimmte Nutzer lesbar, das Drucken oder Weiterleiten per E-Mail wird verboten, oder der Inhalt ist nur für eine bestimmte Anzahl an Tagen für Externe einsehbar – sollte eine Weitergabe einer Datei gewünscht sein.

Manuelle Klassifizierung durch Endnutzer

Mit Azure Information Protection steht dem Nutzer in seinen Office-Anwendungen die Funktion „Schützen“ bzw. „Vertraulichkeit“ zur Verfügung. Hiermit können Labels manuell auf Dokumente oder Mails angewandt werden. Um ein Entfernen eines Labels von einem geschützten Dokument zu verhindern, kann für diesen Vorgang optional eine Begründung angefordert werden, oder man verbietet dies gänzlich.

Die Einrichtung von AIP kann sehr granular und auf verschiedenste Bedürfnisse zugeschnitten erfolgen. Vom Administrator werden den Nutzern verschiedene Labels zugewiesen, die sie benutzen dürfen, um ihre Dokumente zu klassifizieren.

Eine sinnvolle Konfiguration wäre beispielsweise, ein Label „Vertraulich – alle Mitarbeiter“ zu erstellen, welches jedem Mitarbeiter zur Verfügung steht und das Dokument so verschlüsselt, dass es nur Mitarbeiter der eigenen Organisation öffnen können. Zusätzlich dazu kann es dann Unterbezeichnungen, sogenannte Sublabels geben, welche abteilungsspezifisch verteilt werden, zum Beispiel „Vertraulich – HR“. Nur Mitglieder der HR-Gruppe können diese Bezeichnung in diesem Beispiel anwenden und die damit geschützten Dokumente wieder öffnen.

Es empfiehlt sich also, bei Einführung von Azure Information Protection mit den jeweiligen Abteilungen zu sprechen. Zum einen um benötigte Labels und den Zugriff auf diese zu definieren und zum anderen um den Ansprüchen der verschiedenen Prozesse an den Informationsschutz gerecht zu werden.

Inhaltsbasierte Klassifizierung

Vorgefertigte Filter für personenbezogene Daten wie Kreditkarteninformationen, Ausweisnummern oder Ähnliches werden von Microsoft zur Verfügung gestellt und erkennen diese Daten in Dokumenten und E-Mails zuverlässig.

Wird ein solches inhaltsbasiertes Label erstellt, kann festgelegt werden, ob dieses bei einer Übereinstimmung im Inhalt des Dokuments automatisch angewandt, oder aber dem User als empfohlen vorgeschlagen werden soll.

Um die Vorteile von Azure Information Protection auch mit bestehenden Daten nutzen zu können, gibt es die Möglichkeit, mit dem Azure Information Protection Scanner vorhandene Dokumente auf lokalen Ordnern, Netzwerkfreigaben und SharePoint-Servern zu scannen und mit den erstellten inhaltsbasierten Labels zu versehen. Hier wird auch ein Report-only-Modus geboten, womit man sich als Administrator ein Bild der aktuellen Lage und der Folgen des Labelings machen kann, sollte dieses letztendlich angewandt werden.

Liegen bereits Dateien in der Cloud, besteht die Möglichkeit einer Integration mit Microsoft Cloud App Security, um Bezeichnungen auf Inhalte in Box, SharePoint Online und OneDrive for Business automatisch anzuwenden.

Einsatz von Azure Information Protection auf dem Client

Um die Funktion der Klassifizierung – sowohl manuell als auch automatisch – auf einem Gerät nutzen zu können, war bis vor Kurzem entweder der sogenannte Azure Information Protection Labeling Client oder der neuere, inzwischen fast mit dem gleichen Featureumfang ausgestattete, Azure Information Protection Unified Labeling Client nötig.

Mit der vor kurzem erschienenen Office 365-Version 1910 ist das Labeling nun nativ in den Office-Anwendungen integriert – leider bietet dieser momentan nur einen deutlich reduzierten Funktionsumfang. Das wohl wichtigste fehlende Feature ist die automatische Klassifizierung. Es wird also zu diesem Zeitpunkt weiterhin empfohlen, einen der Clients als Add-On zu installieren, um AIP vollständig auszuschöpfen.

Ein zusätzlicher Grund, den (Unified) Labeling Client zu nutzen, ist die Integration mit dem Explorer. Damit lassen sich Dokumente oder ganze Ordner direkt klassifizieren, ohne die einzelnen Dokumente öffnen zu müssen. Außerdem ist es damit möglich, einige Dateitypen zu schützen, die keine Office-Dokumente sind, wie Text- oder Bilddateien.

Nachverfolgung weitergegebener Dateien

Ebenfalls direkt in die Office-Anwendungen integriert ist die Möglichkeit, das aktuelle Dokument nachzuverfolgen und den Zugriff für andere Personen zu entziehen. So lässt sich einsehen, von wem, wann und von wo versucht wurde, das Dokument zu öffnen, und ob der jeweilige Zugriff erfolgreich war oder nicht (aufgrund fehlender Berechtigung zum Entschlüsseln).

Die geteilte Datei kann zurückgezogen werden und ist anschließend für den Empfänger unbrauchbar. Sollte ein Anhang also versehentlich an eine falsche Person gesendet worden sein, ist dank Azure Information Protection kein Grund zur Panik mehr.

Behalten Sie die Kontrolle über Ihre Daten

Azure Information Protection stellt sicher, dass Ihre Daten nur von denen eingesehen werden, für deren Augen der Inhalt bestimmt ist. AIP bietet eine intuitive, nutzerfreundliche Weise, Ihre Dokumente sicher zu verschlüsseln und den Überblick zu behalten. Mit der richtigen Einschulung der Enduser können diese selbständig und zuverlässig dafür sorgen, dass Ihre Informationen geschützt bleiben – innerhalb und außerhalb Ihres Unternehmens.