5 Herausforderungen bei der Implementierung von Microsoft Information Protection

Zu wissen, was man hat, ist der erste Schritt zu dessen Schutz. Zu wissen, wo es sich befindet, der zweite. Auf Ihrem Weg zu mehr Datensicherheit werden Sie zahlreiche Möglichkeiten entdecken, Daten zu identifizieren, zu kennzeichnen und zu schützen. Haben Sie beispielsweise eine Bestandsaufnahme Ihrer Daten? Selbst wenn ja, umfasst diese möglicherweise nur einen Bruchteil dessen, was sich tatsächlich in Ihrer Umgebung befindet.
In einem anderen Szenario endet ein Projekt und das Team verlässt das Unternehmen. Es existiert zwar ein OneDrive mit allen Daten, aber Sie wissen weder, was sich darin befindet, noch wohin die Daten verschoben werden sollen. Dieses Problem kann sich für das Unternehmen noch verschärfen, wenn sich die Informationen in einem Cloud-Speicher ohne aktiven Besitzer befinden.
Ein etabliertes Rahmenwerk zur Kennzeichnung sensibler Informationen kann Ihnen helfen, Ihre Datenlandschaft zu verstehen und daraus aussagekräftige Erkenntnisse zu gewinnen, wie z. B. die Aufdeckung von Datenverlusten oder Sicherheitslücken, um effektivere Richtlinien und Sicherheitskontrollen zu ermöglichen.
Wie ist der Stand der Datenkennzeichnung?
Ihr Unternehmen verfügt über riesige Datenmengen, die größtenteils aus MS-Office-Dateien, PDFs und anderen leicht übertragbaren Formaten bestehen. Da diese Dateitypen im Vergleich zu Datenbanken und Transaktionsverarbeitungssystemen unstrukturiert sind, kann ihre Nachverfolgung und der Schutz problematisch sein. Viele Organisationen haben ihre Daten entweder nicht flächendeckend gekennzeichnet oder im Laufe der Jahre so viele Kennzeichnungssysteme implementiert, dass jegliche Konsistenz verloren gegangen ist. Solche Prozesse sind teamübergreifend schwer zu initiieren und müssen kontinuierlich gepflegt werden.
Die Risikobewertung wird somit zu einem nie endenden Prozess, Daten zu finden, zu identifizieren und zu kennzeichnen, nur um akzeptable Bedingungen für Zugang, Exposition und sachgemäße VerwendungDie
Sie benötigen genaue Angaben darüber, wo sich die Daten befinden und in welchem Zustand sie vorliegen, um festzustellen, um welche Art von Daten es sich handelt, und Ihr Nutzungswissen auf der Grundlage etablierter Definitionen und Protokolle anzuwenden (z. B. ob die Daten das Wort „vertraulich“ enthalten, und falls ja, eine Vertraulichkeitsstufe festzulegen und Regeln durchzusetzen, um das Kopieren/Drucken zu verhindern).
Als Nächstes benötigen Sie eine Strategie zur Dokumentation, Überprüfung, zum Scannen und zur Verarbeitung all dieser Daten. Dies bildet Ihre Daten-Governance-Strategie. Danach, und nach ein paar Litern Kaffee, sind Sie bereit für den eigentlichen Prozess des Taggens von Dateien.
Was ist Microsoft Information Protection (MIP)?
Wenn Ihr Unternehmen hauptsächlich auf Microsoft-Produkte setzt (und stark in Teams, SharePoint und OneDrive investiert ist), dann sind Sie wahrscheinlich schon einmal auf Microsoft Information Protection (MIP) gestoßen.
Beachten Sie, dass dies ab 2021 gilt. Die MIP-Fähigkeiten wurden erweitert zur Klassifizierung von Daten. Einige Anwender, die MIP in verschiedenen Jahren eingeführt haben, kennen es unter den Namen Azure Information Protection oder Purview Information Protection. Seit Sommer 2023 ist MIP unter folgendem Namen bekannt: Microsoft Purview InformationsschutzFür unsere Zwecke hier konzentrieren wir uns auf die gebräuchlichste Bezeichnung und den häufigsten Anwendungsfall für MIP – MIP zur Sensitivitätskennzeichnung.
MIP ist ein von Microsoft entwickeltes Framework und eine Lösung zur Kennzeichnung von Daten anhand von Vertraulichkeitsstufen. Die Kennzeichnungen können mithilfe von regelbasierten Richtlinien, die von Administratoren festgelegt werden, angewendet werden; viele Benutzer wenden die MIP-Kennzeichnungen jedoch manuell direkt auf Dateien an.
Windows-Dateien und -Objekte sowie in Azure gespeicherte Dateien und Objekte unterstützen Mechanismen zum Hinzufügen wichtiger Kennzeichnungen (z. B. Vertraulichkeitsangaben) als Teil der Dateimetadaten. Diese Kennzeichnungen werden mit der Datei übertragen (können aber entfernt werden). Mithilfe von MIP lassen sich diese Metadaten erweitern, um identifizierende Kennzeichnungen einzubetten und diese Details anschließend für fundierte Entscheidungen (automatisiert oder manuell) zu Inhaltsbeschränkungen, Datenspeicherort usw. zu nutzen.
Große Unternehmen sind aufgrund von Inkonsistenzen in ihren Datenspeicher- und -verarbeitungssystemen rechtlichen und regulatorischen Risiken ausgesetzt: Alter, Umfang und Art der Daten sind oft weitgehend unbekannt. Sie können redundant, unstrukturiert, veraltet, unzuverlässig oder sogar unbrauchbar sein. Sind die Metadaten notwendig/bekannt, vollständig und korrekt und richtig zugeordnet?
Wozu dient MIP?
Für viele Microsoft-Unternehmen kann MIP als Grundlage für die Aktivierung von Datensicherheits- und Compliance-Programmen dienen:
- Datenverlustprävention DLP-Richtlinien (Data Loss Protection) führen zur Blockierung oder Quarantäne sensibler Informationen. Die Richtlinien werden auf gekennzeichnete Daten angewendet und lösen je nach Sensibilitätsgrad spezifische Aktionen aus.
- Richtlinien zur Datenzugriffssteuerung (DAG) Zugangstor und die gekennzeichneten Daten entsprechend ihrer Sensibilität zu verschlüsseln.
- Datenschutzrichtlinien legen fest, wie Daten erfasst, gespeichert und verarbeitet werden sollen. Beispielsweise kann eine Richtlinie vorschreiben, dass als hochsensibel gekennzeichnete Daten nicht in einem SharePoint-System gespeichert werden dürfen, auf das Dritte Zugriff haben. Prinzip der geringsten Privilegierung und den Zugriff auf diejenigen zu beschränken, die die Daten zur Erfüllung vertraglicher Verpflichtungen benötigen.
Durch die korrekte Kennzeichnung mit MIP-Tags können Datensicherheits- und Compliance-Programme wie vorgesehen funktionieren und die Daten entsprechend dem Risiko schützen, das sie bei einem Datenleck, einer Offenlegung oder einer unsachgemäßen Speicherung darstellen.
Welche Herausforderungen ergeben sich bei der Implementierung von MIP?
MIP kann zwar beim Einstieg in die Datenkennzeichnung helfen, gilt aber aus folgenden Gründen nicht als skalierbares System:
- Inkonsistentes Beschriftungsschema Ob Sie es wissen oder nicht: Jedes Unternehmen verwendet ein anderes Datenkennzeichnungssystem. Oftmals existieren innerhalb eines Unternehmens sogar mehrere Systeme mit unterschiedlichem Detaillierungsgrad und Validierungsmaßnahmen (sofern überhaupt vorhanden) zwischen den einzelnen Abteilungen. So kann jede Datei beispielsweise drei oder zehn Kennzeichnungen haben, manche fünf, andere gar keine.
- Anfällig für falsch positive Ergebnisse – Musterbasierte Regeln und ein interpretationsbedürftiger, menschlicher Prozess zur Anwendung von MIP-Tags führen zu geringer Gewissheit, dass die MIP-Kennzeichnung abteilungsübergreifend als allgemein gültig akzeptiert wird. Daher ist es wichtig, eine zentrale Instanz zu benennen, die die korrekte Anwendung der Labels überprüft und bestätigt. Aber wer hat dafür schon Zeit?
- Erfordert aktive Durchsetzung – Üblicherweise basieren diese Schemata darauf, dass Benutzer ihre Dateien manuell verschlagworten, was jedoch kaum durchsetzbar ist. Es ist schwierig, die Genauigkeit zu überprüfen, die Implementierung nachzuverfolgen oder den Umfang der Inhalte und Prozesse vollständig zu erfassen.
- Anfällig für menschliche Fehler – Selbst wenn ein klares Kennzeichnungsschema vorhanden ist, verstehen oder stimmen die Benutzer nicht immer darüber überein, was als intern und was als öffentlich zu betrachten ist.
- Leicht zu umgehen Ein Benutzer könnte Richtlinien sogar umgehen, indem er die MIP-Tags einer Datei nachträglich ändert. Durch Ändern des MIP-Tags, beispielsweise von „hochsensibel“ zu „nicht sensibel“, können Benutzer DLP-Richtlinien umgehen, die das MIP-Label verwenden, um Schutzmaßnahmen auszulösen.
Wie Cyera Sie bei der Umsetzung Ihrer MIP-Implementierung unterstützen kann
Cyera unterstützt Unternehmen bei der Konzeption und Implementierung ihrer Datenschutzprogramme, wodurch sie einen höheren Nutzen aus ihren Microsoft-Unternehmenslizenzen ziehen.
Cyera klassifiziert und kontextualisiert Daten präzise, ohne dass benutzerdefinierte reguläre Ausdrücke oder manuelles Training erforderlich sind. Unsere Hunderten von sofort einsatzbereiten Klassifikatoren und die Fähigkeit, neue, umgebungsspezifische Klassifizierungen zu erlernen, reduzieren den manuellen Aufwand für die Einrichtung der Datenklassifizierung in Purview drastisch.
Mit Cyera können Sie MIP-Labels von Erst- und Drittanbietern aus Dateien in Ihrer Umgebung extrahieren. Cyera generiert Berichte, die Ihnen helfen zu verstehen, welche Arten von MIP-geschützten Daten Sie von Partnern oder anderen Dritten verarbeiten. Dies unterstützt Sie bei der Einhaltung vertraglicher Datenschutzverpflichtungen bei der Datenverarbeitung im Auftrag Dritter.
Mit Cyera visualisieren Sie präzise, wo Ihre sensiblen Datenklassen gespeichert sind, wie viele sensible Datensätze vorhanden sind und welchen Kontext diese haben. So entwickeln Sie ein DLP-Programm, das Ihre wichtigsten Datenklassen schützt, ohne unnötige Warnmeldungen auszulösen oder die Geschäftsproduktivität zu beeinträchtigen.
Cyera hilft Ihnen, Fragen zum DLP-Design sicher zu beantworten:
- Wie viele Datenspeicher enthalten Dateien, die die Datenklassifizierung X enthalten?
- Können wir diese Daten durch Richtlinienhinweise und Aufklärung schützen, oder ist eine Sperrung erforderlich?
- Wo müssen wir DLP implementieren, um diese Daten zu schützen (z. B. Endpoint-DLP, natives M365-DLP, Cloud-DLP)?
- Wie viele Nutzer sind von der Umsetzung dieser Regel betroffen?
Bei nicht übereinstimmenden MIP-Labels erkennt Cyera das Problem, generiert eine Warnung und ergreift Korrekturmaßnahmen. Cyera überwacht Ihre Umgebung, um festzustellen, wenn MIP-Labels nicht korrekt mit den Daten in einer Datei übereinstimmen. Hat beispielsweise ein Endbenutzer einer Datei mit sensiblen, nicht-öffentlichen Finanzinformationen das Label „Intern – Alle Mitarbeiter“ zugewiesen? Die Erkennung nicht übereinstimmender MIP-Labels bietet zudem die Möglichkeit, gezielte Schulungen für Endbenutzer durchzuführen, die wiederholt falsche MIP-Labels verwenden.
Wenn MIP nicht implementiert wird oder Unternehmen sich gegen MIP entscheiden, können sie mit Cyera einen stärker automatisierten Ansatz wählen. fortgeschrittene PII-Klassifizierung Die automatische Zuweisung von Sensitivitätsbezeichnungen und -klassen zu Daten ermöglicht es Ihnen, viele Herausforderungen einer manuellen MIP-Implementierung zu umgehen. Der Vorteil präziserer Klassifizierungen liegt in der Zeitersparnis durch den Wegfall manueller Anpassungsarbeiten; die Klassifizierung von mehr Datensätzen erweitert den Schutz Ihrer Datensicherheitsprogramme.
Abschluss
Angesichts der Herausforderungen bei der Implementierung von MIP ist eine Lösung unerlässlich, die die Datenkennzeichnung automatisiert und den manuellen Aufwand reduziert. Ihr Unternehmen hat wahrscheinlich jahrelang versucht, ein effektives DLP-Programm zu entwickeln und hatte Schwierigkeiten, MIP-Labels in Ihren Umgebungen effektiv zu nutzen. Cyera prüft und optimiert Ihre Datenkennzeichnung, um Ihnen eine genauere Einschätzung des Datenverständnisses und der Sensibilität Ihrer Daten zu ermöglichen.
Die Datensicherheitsplattform von Cyera bietet umfassenden Kontext zu Ihren Daten und wendet korrekte, kontinuierliche Kontrollen an, um Cybersicherheit und Compliance zu gewährleisten.
Cyera verfolgt einen datenzentrierten Sicherheitsansatz, indem es die Gefährdung Ihrer ruhenden und genutzten Daten analysiert und mehrere Verteidigungsebenen implementiert. Da Cyera den Datenkontext ganzheitlich auf Ihre gesamte Datenlandschaft ausweitet, sind wir die einzige Lösung, die Sicherheitsteams in die Lage versetzt, den Speicherort ihrer Daten zu kennen, Risiken zu erkennen und umgehend Maßnahmen zur Behebung von Schwachstellen und zur Sicherstellung der Compliance zu ergreifen, ohne den Geschäftsbetrieb zu beeinträchtigen.
Um mehr darüber zu erfahren, wie Cyera Sie bei der Überprüfung der Effektivität Ihrer MIP-Implementierung unterstützen kann, Demo vereinbaren Heute.

.jpg)

