Cookie-Einstellungen
Wir verwenden Cookies, um Ihnen ein optimales Webseiten-Erlebnis zu bieten. Dazu zählen Cookies, die für den Betrieb der Seite und für die Steuerung unserer kommerziellen Unternehmensziele notwendig sind, sowie solche, die lediglich zu anonymen Statistikzwecken, für Komforteinstellungen oder zur Anzeige personalisierter Inhalte genutzt werden. Sie können selbst entscheiden, welche Kategorien Sie zulassen möchten. Bitte beachten Sie, dass auf Basis Ihrer Einstellungen womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Essenzielle Cookies
- Session cookies
- Login cookies
Performance Cookies
- Google Analytics
Funktionelle Cookies
- Google Maps
- YouTube
- reCAPTCHA
Targeting Cookies
Alle Kunden mit Betreuungsverträgen wenden sich bitte an die im Service Level Vertrag definierte Hotlinenummer/ eMail Adresse. Danke.

Wir freuen uns auf Ihren Anruf oder Ihre E-Mail:

Tel: +43 722 987 8000
E-Mail: office@baseit.at
support-button
#baseITblogpost

Microsoft Purview -

Data Loss Prevention


  Lead Architect Forster Peter3  Autor Peter Forster (Lead Architect | Base-IT)


In den ersten Artikeln haben wir uns einen grundsätzlichen Überblick über die Datenerkennung bzw. Klassifizierung im Unternehmen verschafft. Durch die von Information Protection sehr wertvolle Information, welche Daten im Unternehmen schützenswert sind, können wir aufbauend darauf mit der Dataloss Prevention (nachfolgend „DLP“) weiterführende Maßnahmen setzen.

Dataloss Prevention kann im Unternehmen auch ohne Information Protection eingesetzt werden, das Regelwerk dazu ist jedoch um einiges komplexer, da wir die zu schützenden Daten erst definieren müssen.

Die Dataloss-Prevention schützt uns davor, dass Daten die Unternehmensgrenze nicht überschreiten dürfen.

Im Zuge der Implementierung einer DLP-Lösung muss ähnlich wie in einem Information Protection Projekt definiert werden, welche Daten im Zuge der DLP identifiziert werden sollen und welche Beschränkungen darauf liegen. Es schließt sich somit rasch der Kreis, warum die Identifizierung von Daten gemäß einer Datenschutzklassifizierung enorm hilfreich ist.

Dataloss Prevention Richtlinien definieren einerseits allgemein, welche Inhalte in Dokumenten bzw. E-Mails zu suchen sind und ob Maßnahmen ergriffen werden müssen, damit diese Daten im eigenen Unternehmen bleiben.

Dabei können wir wieder auf die bekannten Sensitive Information Types bzw. selbst erstellte Regular Expressions zurückgreifen. Je genauer diese Definition vorliegt, umso genauer können Daten später geschützt werden.

 


   

Wirkungsbereich der Dataloss Prevention (DLP)

Wichtiger Aspekt bei der technischen Funktionalität von DLP ist, dass diese nur innerhalb der eigenen Unternehmensgrenzen aktiv ist. Sollten Daten wegen fehlerhaften Regeln oder wegen nicht korrekt eingestellter Suchkriterien die Unternehmensgrenze überschreiten, besteht mit DLP keine Möglichkeit mehr die Daten zu schützen.

Enorm wichtig für das Verständnis von Dataloss Prevention ist zusätzlich auch, dass DLP die Daten nicht durch Aufbringen einer Dokumenteigenschaft (Label) oder ähnliches schützt, sondern die Systeme so konfiguriert sind, dass die Inhalte an die Empfänger nicht zugestellt werden. Dataloss Prevention verändert also in keiner Form Daten, sondern blockiert diese an der Unternehmensgrenze.

Der Schutz von Daten über die Unternehmensgrenze hinaus besteht nur über die Funktionalitäten von Microsoft Purview Information Protection.

 

Eine Dataloss Prevention kann grundsätzlich auf folgenden Systemen aktiviert werden:

 

  • Microsoft 365 Dienste: Teams, Exchange, SharePoint, und OneDrive
  • Office Anwendungen: Word, Excel, and PowerPoint (Outlook ist bei Exchange enthalten)
  • Windows 10, Windows 11 and macOS (für MacOS nur für aktuelle Versionen)
  • Nicht-Microsoft Cloud Apps über Defender for Cloud Apps
  • On-Premises Fileshared und On-premises SharePoint

 


Beispielhaftes Konfigurationsszenario

Ein mögliches Szenario wäre die Daten in Microsoft Teams, SharePoint Online, OneDrive sowie Exchange mit einer DLP Policy zu schützen. Bei Exchange bezieht sich der Schutz der Dataloss Prevention auf den Inhalt einer E-Mail bzw. das angehängte Dokument. In der Abbildung (rechts) sehen Sie ein mögliches Konfigurationsszenario:

 

 

Dabei ist per DLP definiert, dass gewisse Informationen sehr wohl zu einem berechtigten Geschäftspartner übermittelt werden dürfen. Andere Empfänger sind jedoch nicht berechtigt und die Dataloss Prevention würde diese Nachrichten dann auch blockieren.

 


 

 

Endpoint Dataloss Prevention

Ab Windows 10 steht uns mit der Endpoint Dataloss Prevention eine umfangreiche Methodik zum Schutz von Daten zur Verfügung. Dabei wird über den Endpunkt selbst die Prüfung der DLP-Richtlinien durchgeführt und direkt hier entschieden, ob diese Aktion erlaubt ist oder nicht.

 

Beispiel für diese Aktionen sind:

  • In einen Clouddienst hochladen oder über nicht zugelassene Browser zugreifen
  • Auf einen USB-Wechseldatenträger kopieren
  • Dokument drucken
  • etc.

 

Vor allem der Punkt Daten auf einen USB-Wechseldatenträger zu kopieren bzw. der Upload zu Clouddiensten stellt einen einfachen Weg dar, Daten aus dem Unternehmen abzuziehen. Wenn Sie bereits Defender for Endpoint mit Device Control aktiv haben, sind Sie vor der unberechtigten Verwendung von USB-Geräten gut geschützt. Allerdings können Mitarbeiter dann wiederum alle Daten auf diesen Wechseldatenträger kopieren.

Hier kommt die Endpoint Dataloss Prevention zum Tragen und verhindert den Kopiervorgang von zu schützenden Elementen.

 


 

Teams Dataloss Prevention

Während bei Exchange = Outlook der E-Mail-Inhalt geprüft wird und auch per DLP-Richtlinie blockiert werden kann, muss bei Teams noch auf die Chat-Kommunikation geachtet werden. Hierbei wäre es möglich durch simples Kopieren von Text als Chatnachricht schützenswerte Informationen an Dritte zu übermitteln.

Die Dataloss Prevention von Microsoft liefert aber auch hierfür entsprechende Richtlinien und kann den Chatverkehr mit dritten kontrollieren und im Bedarfsfall direkt noch bei der Übermittlung einer Chatnachricht eingreifen. Ein Empfänger würde hierbei nur den Hinweis erhalten, dass die Nachricht aufgrund von zu schützendem Inhalt nicht übermittelt wurde.

 

Microsoft DLP Message blocked

 


 

Projektstart

Ein Projektstart im Umfeld der Dataloss Prevention beginnt mit der Identifikation der zu schützenden Daten und dem Ausmaß einer DLP-Implementierung. Die Richtlinien können auch nur auf einzelne Dienste angewandt werden. Ähnlich wie bei der Implementierung einer Information Protection Richtlinie muss auch für die Dataloss Prevention ein Datenschutzklassifizierungskonzept vorhanden sein.

Wichtig in einem DLP-Projekt ist es, dass zu Beginn an die Regeln im Audit-Modus betrieben werden. So kann über das Reporting erkannt werden, welche Inhalte im Zuge der Aktivierung der Richtlinien blockiert werden und somit möglicherweise auch einen Incident am Servicedesk auslösen.

Nach und nach werden die Richtlinien im Zuge eines Projektes aktiviert.

Auch bei einem DLP-Projekt ist die Einbindung der MitarbeiterInnen über eine proaktive Kommunikation wichtig, damit diese die Notwendigkeit der Maßnahme verstehen und Maßnahmen ergreifen können, falls es zu einer False/Positive Erkennung kommt.

Ja, ich bin einverstanden, dass meine Kontaktdaten über die Vertragsabwicklung hinaus für interne marketingtechnische Zwecke verwendet werden. Einwilligung jederzeit widerrufbar. Datenschutzbestimmungen