5 Herausforderungen bei der Implementierung von Microsoft Information Protection

Zu wissen, was Sie besitzen, ist der erste Schritt, um es zu schützen. Zu wissen, wo es sich befindet, ist der zweite. Auf Ihrem Weg zur Datensicherheit werden Sie zahlreiche Möglichkeiten entdecken, Daten zu identifizieren, zu kennzeichnen und zu sichern. Haben Sie zum Beispiel ein Verzeichnis dessen, was Sie Ihrer Meinung nach besitzen? Selbst wenn ja, ist dies – möglicherweise – nur ein Bruchteil dessen, was tatsächlich in Ihrer Umgebung existiert.

In einem anderen Szenario endet ein Projekt und das Team verlässt Ihr Unternehmen; es gibt ein OneDrive mit allen Daten, aber Sie haben keine Ahnung über die Art der Inhalte oder wohin diese gehören. Dieses Problem kann für das Unternehmen noch gravierender sein, wenn sich Informationen in einem Cloud-Speicher befinden, für den es keinen aktiven Besitzer gibt.

Ein etabliertes Rahmenwerk zur Kennzeichnung sensibler Informationen kann Ihnen helfen, Ihre Datenlandschaft zu verstehen und daraus wertvolle Erkenntnisse zu gewinnen, wie zum Beispiel das Aufdecken von Informationsverlusten oder -ausnutzungen, um effektivere Richtlinien und Sicherheitskontrollen zu ermöglichen.

Wie ist der Stand der Datenkennzeichnung

Ihr Unternehmen verfügt über riesige Mengen an Daten, von denen ein Großteil wahrscheinlich MS Office-Dateien, PDFs und andere leicht übertragbare Formate sind. Diese Dateitypen sind im Vergleich zu Datenbanken und Transaktionsverarbeitern unstrukturiert und daher oft schwer zu verfolgen und zu schützen. Viele Organisationen haben entweder ihre Daten nicht in großem Umfang gekennzeichnet oder im Laufe der Jahre so viele Kennzeichnungssysteme eingeführt, dass jegliche Konsistenz im Nebel der Zeit verloren gegangen ist. Solche Prozesse sind schwer teamübergreifend zu starten und müssen kontinuierlich gepflegt werden.

Die Risikobewertung wird dadurch zu einem nie endenden Prozess, bei dem Daten gefunden, identifiziert und gekennzeichnet werden müssen, nur um akzeptable Bedingungen für Zugriff, Offenlegung und ordnungsgemäße Nutzung festzulegen.

Sie benötigen Details darüber, wo sich Daten befinden und in welchem Zustand sie sind, müssen bestimmen, um welche Art von Daten es sich handelt, und Nutzungswissen auf Grundlage festgelegter Definitionen und Protokolle anwenden (z. B. ob das Wort „vertraulich“ enthalten ist; falls ja, eine Sensibilitätsstufe markieren und Regeln durchsetzen, um Kopieren/Drucken zu verhindern).

Als Nächstes benötigen Sie eine Strategie, um all diese Daten zu dokumentieren, zu überprüfen, zu scannen und zu verarbeiten – das bildet Ihre Data-Governance-Strategie. Danach und nach ein paar Litern Kaffee sind Sie bereit, sich an den eigentlichen Prozess der Dateikennzeichnung zu machen.

Was ist Microsoft Information Protection (MIP)

Wenn Ihr Unternehmen hauptsächlich auf Microsoft setzt (stark in Teams, SharePoint und OneDrive investiert ist), sind Sie wahrscheinlich bereits auf Microsoft Information Protection (MIP) gestoßen.

Beachten Sie, dass ab 2021 die MIP-Funktionen erweitert wurden, um Daten zu klassifizieren. Einige Personen, die MIP in verschiedenen Jahren eingeführt haben, kennen es als Azure Information Protection oder Purview Information Protection. Seit Sommer 2023 ist MIP unter dem Namen Microsoft Purview Information Protection bekannt. Für unsere Zwecke konzentrieren wir uns hier auf den gebräuchlichsten Namen und Anwendungsfall von MIP – MIP für Sensitivitätskennzeichnung.

MIP ist ein von Microsoft entwickeltes Framework und eine Lösung zur Kennzeichnung von Daten nach Sensitivitätsstufen. Die Labels können durch regelbasierte Richtlinien, die von Administratoren festgelegt werden, angewendet werden, wobei viele Benutzer die MIP-Labels jedoch auch manuell direkt auf Dateien anwenden.

Windows-Dateien und -Objekte sowie solche, die in Azure gespeichert sind, unterstützen Mechanismen zum Anbringen wichtiger Labels als Teil der Dateimetadaten selbst (wie z. B. Sensitivität), als Eigenschaften, die mit der Datei mitwandern (obwohl es möglich ist, sie zu entfernen). Sie können diese Metadaten erweitern, indem Sie MIP nutzen, um identifizierende Labels einzubetten und diese Details weiter zu verwenden, um fundierte Entscheidungen (automatisiert oder manuell) über Inhaltsbeschränkungen, Datenresidenz usw. zu treffen.

Große Unternehmen sind rechtlichen und regulatorischen Risiken ausgesetzt, weil es Inkonsistenzen in ihren Systemen zur Datenspeicherung und -verarbeitung gibt: Alter, Umfang und Art der Daten sind oft weitgehend unbekannt. Die Daten können doppelt vorhanden, unverwaltet, veraltet, unzuverlässig oder sogar unbrauchbar sein. Sind die notwendigen Metadaten bekannt, vollständig und korrekt sowie richtig zugeordnet?

Wie wird MIP verwendet?

Für viele Microsoft-Anwender kann MIP die Grundlage für die Umsetzung von Datensicherheits- und Compliance-Programmen bilden:

• Data Loss Prevention (DLP)-Richtlinien lösen das Blockieren oder die Quarantäne sensibler Informationen aus. Die Richtlinien werden auf gekennzeichnete Daten angewendet und lösen je nach Sensibilitätsstufe bestimmte Aktionen aus.
• Richtlinien zur Steuerung des Datenzugriffs (DAG) regeln den Zugriff und verschlüsseln gekennzeichnete Daten basierend auf deren Sensibilität.
• Daten-Compliance-Richtlinien legen fest, wie Daten erhoben, gespeichert und verarbeitet werden sollen. Für als hochsensibel eingestufte Daten kann beispielsweise eine Richtlinie vorgeben, dass diese nicht in einem SharePoint gespeichert werden dürfen, auf den Dritte zugreifen können. Dadurch wird das Prinzip der minimalen Rechtevergabe durchgesetzt und der Zugriff auf diejenigen beschränkt, die die Daten zur Erfüllung vertraglicher Verpflichtungen benötigen.

Die korrekte Kennzeichnung mit MIP-Tags ermöglicht es Daten­sicherheits- und Compliance-Programmen, wie vorgesehen zu funktionieren, indem sie die Daten entsprechend dem Risiko schützen, das bei einem Leck, einer Offenlegung oder unsachgemäßen Speicherung entsteht.

Was sind die Herausforderungen bei der Implementierung von MIP

Obwohl MIP Ihnen beim Einstieg in die Kennzeichnung Ihrer Daten helfen kann, ist es aus folgenden Gründen nicht als skalierbares System bekannt:

• Inkonsistentes Kennzeichnungsschema – Ob Sie es wissen oder nicht, jedes Unternehmen hat ein eigenes System zur Datenkennzeichnung. Häufig gibt es sogar innerhalb eines Unternehmens mehr als ein System, mit unterschiedlichen Detailgraden und Validierungsstufen (falls überhaupt vorhanden) zwischen den Abteilungen. Vielleicht hat jede Datei 3 Labels, oder 10, oder bestimmte Arten haben 5, während andere gar keine haben.
• Anfällig für Fehlalarme – Musterbasierte Regeln und ein interpretationsoffener menschlicher Prozess zur Anwendung von MIP-Tags führen dazu, dass das Vertrauen in die MIP-Kennzeichnung abteilungsübergreifend gering ist. Daher ist es wichtig, eine zentrale Instanz zu benennen, die überprüft und validiert, ob die Kennzeichnungen korrekt angewendet werden. Aber wer hat dafür schon Zeit?
• Erfordert aktive Durchsetzung – In der Regel sind diese Schemata darauf angewiesen, dass Benutzer ihre Dateien manuell kennzeichnen, was jedoch nahezu unmöglich durchzusetzen ist. Es ist schwierig, die Genauigkeit zu überprüfen, die Umsetzung nachzuverfolgen oder das gesamte Ausmaß der Inhalte und Prozesse vollständig zu erfassen.
• Fehleranfällig durch Menschen – Selbst wenn ein klares Kennzeichnungsschema vorhanden ist, verstehen Nutzer nicht immer oder sind sich nicht einig darüber, was als intern bzw. öffentlich betrachtet werden sollte.
• Leicht zu umgehen – Ein Benutzer könnte Richtlinien sogar umgehen, indem er die MIP-Tags einer Datei nachträglich ändert. Wenn der Benutzer das MIP-Tag beispielsweise von „sehr sensibel“ auf „nicht sensibel“ ändert, kann er DLP-Richtlinien umgehen, die das MIP-Label zur Auslösung von Schutzmaßnahmen verwenden.

Wie Cyera Ihnen bei der Operationalisierung Ihrer MIP-Implementierung helfen kann

Cyera hilft Unternehmen dabei, ihre Datenschutzprogramme zu entwerfen und umzusetzen, wodurch sie einen größeren Nutzen aus ihren Microsoft-Unternehmenslizenzen ziehen.

Cyera klassifiziert und kontextualisiert Daten präzise, ohne dass benutzerdefinierte reguläre Ausdrücke oder manuelles Training erforderlich sind. Unsere Hunderte von sofort einsatzbereiten Klassifizierern und die Fähigkeit, neue, speziell auf Ihre Umgebung zugeschnittene Klassifizierungen zu erlernen, reduzieren den manuellen Aufwand für die Einrichtung der Datenklassifizierung in Purview erheblich.

Sie können Cyera verwenden, um MIP-Labels von Erstanbietern und Drittanbietern aus Dateien in Ihrer Umgebung zu extrahieren. Cyera erstellt Berichte, die Ihnen helfen, zu verstehen, welche Arten von MIP-geschützten Daten Sie von Partnern oder anderen Dritten aufnehmen. Dies unterstützt Sie dabei, vertragliche Datenschutzverpflichtungen nachzuweisen, wenn Sie Daten im Auftrag von Dritten verarbeiten.

Mit Cyera können Sie genau visualisieren, wo Ihre sensiblen Datenklassen gespeichert sind, wie viele sensible Datensätze Sie haben und in welchem Kontext sie stehen. Dies hilft Ihnen, ein DLP-Programm aufzubauen, das Ihre wichtigsten Datenklassen schützt – ohne störende Warnmeldungen oder negative Auswirkungen auf die Produktivität Ihres Unternehmens.

Cyera hilft Ihnen, DLP-Designfragen mit Zuversicht zu beantworten:

• Wie viele Datenspeicher enthalten Dateien mit der Datenklassifizierung X?
• Können wir diese Daten mit Richtlinienhinweisen und Schulungen schützen, oder ist eine Blockierung erforderlich?
• Wo müssen wir DLP implementieren, um diese Daten zu schützen (z. B. Endpoint-DLP, M365-native DLP, Cloud-DLP)?
• Wie viele Nutzer sind betroffen, wenn wir diese Regel umsetzen?

Wenn Sie nicht übereinstimmende MIP-Labels haben, kann Cyera das Problem erkennen, einen Alarm auslösen und Korrekturmaßnahmen ergreifen. Cyera überwacht Ihre Umgebung, um festzustellen, wann MIP-Labels nicht genau mit den in einer Datei enthaltenen Daten übereinstimmen. Zum Beispiel: Hat ein Endbenutzer ein „Internal-All Employees“-Label auf eine Datei angewendet, die sensible, nicht öffentliche Finanzinformationen enthält? Das Erkennen von nicht übereinstimmenden MIP-Labels bietet außerdem die Möglichkeit, gezielte Schulungen für Endbenutzer durchzuführen, die wiederholt falsche MIP-Labels anwenden.

Wenn MIP nicht implementiert ist oder Unternehmen sich entscheiden, von MIP wegzugehen, können sie sich für einen stärker automatisierten Ansatz mit Cyera entscheiden. Cyeras fortschrittliche PII-Klassifizierung wendet automatisch Sensitivitätslabels und -klassen auf Daten an, sodass viele der Herausforderungen einer manuellen MIP-Implementierung umgangen werden können. Der Vorteil genauerer Klassifizierungen ist die Zeitersparnis durch weniger manuellen Abstimmungsaufwand; der Vorteil, mehr Datensätze zu klassifizieren, ist eine größere Abdeckung für Ihre Datensicherheitsprogramme.

Fazit

Angesichts der Herausforderungen bei der Implementierung von MIP ist es entscheidend, dass Sie über eine Lösung verfügen, die die Datenkennzeichnung automatisieren und den manuellen Aufwand verringern kann. Ihre Organisation hat vermutlich jahrelang versucht, ein effektives DLP-Programm zu entwickeln, und hatte Schwierigkeiten, MIP-Labels effektiv in Ihren Umgebungen einzusetzen. Cyera wird den Status der Datenkennzeichnung prüfen und verbessern, um eine genauere Einschätzung des Verständnisses Ihrer Organisation für Daten und deren Sensibilität zu ermöglichen.

Cyera's Datensicherheitsplattform bietet umfassenden Kontext zu Ihren Daten und wendet die richtigen, kontinuierlichen Kontrollen an, um Cyber-Resilienz und Compliance zu gewährleisten.

Cyera verfolgt einen datenzentrierten Ansatz für Sicherheit, indem die Gefährdung Ihrer ruhenden und genutzten Daten bewertet und mehrere Verteidigungsschichten angewendet werden. Da Cyera tiefgehenden Datenkontext ganzheitlich über Ihre gesamte Datenlandschaft hinweg anwendet, sind wir die einzige Lösung, die Sicherheitsteams in die Lage versetzt, zu wissen, wo sich ihre Daten befinden, was sie Risiken aussetzt, und sofortige Maßnahmen zu ergreifen, um Gefährdungen zu beheben und die Einhaltung von Vorschriften sicherzustellen – ohne den Geschäftsbetrieb zu stören.

Erfahren Sie mehr darüber, wie Cyera Ihnen dabei helfen kann, die Wirksamkeit Ihrer MIP-Implementierung zu überprüfen, und vereinbaren Sie noch heute eine Demo.