• English
Shop

| | Allgemein Comments Off on So Schützen Sie Ihre Firmendaten mit dem Microsoft Purview Information Protection Framework!

So Schützen Sie Ihre Firmendaten mit dem Microsoft Purview Information Protection Framework!

Hintergrund: Zero Trust Sicherheit

Was bedeutet “Zero Trust”?

Einfach gesagt: Nie vertrauen, immer prüfen. Das heißt, es wird beim Zero Trust-Modell standardmäßig von einer Sicherheitsverletzung ausgegangen, und jede Anforderung wird so überprüft, als stamme sie von einem nicht kontrollierten Netzwerk.

Zero Trust ModellQuelle: https://learn.microsoft.com/en-us/security/zero-trust/zero-trust-overview

Wie man auf diesem Foto sehen kann, umfasst das Zero-Trust-Sicherheitsmodell verschiedene wichtige technologische Säulen: Identität, Endpunkt, Daten, Anwendungen, Infrastruktur und Netzwerk. Dieser Blogbeitrag konzentriert sich auf den Schutz von Daten mit Zero Trust.

Wie kann der Schutz von Daten mit Zero Trust erreicht werden?

Mit Microsoft Purview Information Protection (MPIP) kann der Schutz Ihrer Daten erreicht werden: Durch die Klassifizierung, Kennzeichnung und Verschlüsselung von Daten sowie die Beschränkung des Zugriffs auf der Grundlage dieser Attribute bleiben die Daten auch dann sicher, wenn sie die von der Organisation kontrollierten Geräte, Anwendungen, Infrastrukturen und Netzwerke verlassen. Damit setzt MPIP das Zero Trust Konzept für Daten um.

Microsoft Purview Information Protection

Was ist Microsoft Purview Information Protection?

Microsoft Purview Information ProtectionQuelle: https://techcommunity.microsoft.com/t5/security-compliance-and-identity/the-microsoft-purview-information-protection-ninja-training-is/ba-p/2887478

Es ist wichtig zu verstehen, dass Microsoft Purview Information Protection (abgekürzt als MPIP) kein Produkt an sich ist, sondern ein Framework darstellt. Es ist wie ein Schirm und darunter befinden sich die Produkte, die von Microsoft für den Informationsschutz zur Verfügung gestellt werden. Einer dieser Produkte ist Azure Information Protection, welches uns ermöglicht wie oben angesprochen Ihre Firmendaten zu schützen. Und wie genau das geht werde ich nun im Folgenden erklären.

Azure Information Protection

Was ist Azure Information Protection?

Azure Information Protection (abgekürzt als AIP) ist eine Cloud-basierte Lösung von Microsoft, die die Klassifizierung und den Schutz von Assets, wie z. B. Dokumenten und E-Mails, durch die Anwendung von Labels anhand von Unternehmensrichtlinien ermöglicht.

Warum ist die Implementierung von AIP wichtig und was ist das Hauptproblem?

Hauptsächlich geht es um unbefugten Zugriff auf vertrauliche Daten. Das bedeutet, dass wichtige Daten von Benutzern, die keine Rechte haben, gelesen oder bearbeitet werden können. Dieser unbefugte Zugriff führt zu Datenlecks. Mit AIP können wir den unerlaubten Zugriff verhindern.

Beispiele für Datenlecks durch unbefugten Zugriff:

Das Kopieren auf USB-Sticks:

Der Sekretär kopiert vertrauliche Dokumente vom Rechner seiner Chefin auf einen USB-Stick. Dann öffnet er diese Dokumente über den USB-Stick auf seinem eigenen Rechner und hat Zugriff darauf.

E-Mail-Weiterleitung an Unbefugte:

Ein autorisierter Benutzer leitet eine E-Mail, die ein vertrauliches Dokument enthält, absichtlich oder aus Versehen an einen unautorisierten Benutzer weiter. wenn der unbefugte Empfänger die E-Mail bekommt, wäre er in der Lage, das vertrauliche Dokument zu öffnen und Zugriff darauf zu erhalten.

Ausdrucken von vertraulichen Dokumenten:

Ein autorisierter Benutzer druckt ein vertrauliches Dokument. Dann findet eine unautorisierte Person (z.B. Reinigungskraft) dieses schützenswerte Dokument und hat Zugriff darauf.

Externe in privaten M365 Teams-Gruppen:

Eine Gruppeneigentümerin in MS 365 Teams fügt aus Versehen einen externen Gast zu einer privaten Gruppe hinzu. Dies hat zur Folge, dass der unbefugte Externe Zugriff auf alle vertraulichen Daten in der privaten Gruppe hat.

Was sind die Folgen von Datenlecks und warum ist es wichtig, dieses Risiko zu vermeiden?

Datenlecks führen zu Datenverlusten, die verschiedene Arten von Daten betreffen (z. B. personenbezogene Daten, gewerbliche Schutzrechte, Kreditkartennummern usw.). Diese Datenverluste haben Folgen wie direkte finanzielle Verluste, Verstöße gegen die Compliance und den Verlust des Kundenvertrauens. Das alles bedeutet, dass das Unternehmen Geld verliert. Die Lösung für dieses Problem zur Vermeidung dieser Risiken ist die Anwendung von AIP zur Klassifizierung und zum Schutz der Ressourcen Ihrer Daten.

Was sind die Ziele von Azure Information Protection und wie werden diese Ziele erfüllt?

Ziele Von Azure Information ProtectionQuelle: https://softwarekeep.com/help-center/microsoft-365-cybersecurity-protection

Die Ziele von AIP sind die folgenden:

  1. Die Klassifizierung und Kennzeichnung von Daten: Das Klassifizierungsziel wird durch die Erstellung der Labels und Richtlinien von einem Administrator erreicht. Danach wenden die Benutzer diese Labels manuell oder automatisch auf ihre Assets an. Damit wird das Kennzeichnungsziel auch erfüllt.
  2. Der Schutz von Daten: Der Schutz von Daten mit AIP erfolgt durch die Verschlüsselung, die Zugriffskontrolle und die Durchsetzung von Richtlinien.
  3. Datenkontrolle und -überwachung: Die Überwachung von Daten erfolgt durch die Reports und Zugriffslogs.

Schützen Sie Ihre Daten mit den Sensitivity Labels

Wie können wir den Schutz für unsere Daten implementieren?

Der Schutz von Daten mit AIP erfolgt durch die Verschlüsselung und die Zugriffskontrolle. Deswegen sollte man die Sensitivity Labels anwenden, um den Schutz zu implementieren.
Bei der Konfiguration der Sensitivity Labels gibt es zwei Anwendungsbereiche:

  1. Items: Um Dateien und E-Mails zu schützen, muss die Verschlüsselungsfunktion konfiguriert werden.
  2. Groups and Sites: Hier muss für den Schutz von Gruppen und Sites die Privatsphäre konfiguriert und der Zugriff kontrolliert werden.

Warum sollten wir die Verschlüsselungsfunktion auf unsere Daten anwenden?

Weil wir mit dieser Verschlüsselung die Vertraulichkeit sicherstellen können, so dass nur autorisierte Personen Zugriff auf die gekennzeichneten Daten erhalten. Außerdem können wir festlegen, wer die autorisierten Personen sind und welche Berechtigung sie haben.

Welche Anwendungsfälle gibt es für die Verschlüsselungsfunktion?

Im Folgenden werden drei verschiedene Anwendungsfälle für die Verschlüsselungsfunktion vorgestellt, die eine Lösung für die in den obigen Abschnitten erwähnten Probleme mit Datenlecks bieten.

Das Kopieren auf USB-Sticks:

Microsoft Usb Stick

Ein autorisierter Benutzer (z. B. der Chef) hat ein vertrauliches Dokument auf seinem Rechner. Eine unbefugte Benutzerin (z.B. die Sekretärin) kommt und kopiert dieses vertrauliche Dokument vom Computer ihres Chefs auf ihren USB-Stick. Die Sekretärin versucht dann, dieses vertrauliche Dokument auf ihrem eigenen Computer zu öffnen, aber dieses Mal ist AIP in der Firma implementiert, und vertrauliche Daten sind mit Sensitivity Labels klassifiziert und die Verschlüsselungsfunktion wird darauf angewendet, so dass die Daten geschützt sind, egal wo sie liegen. Wenn die Sekretärin also versucht, dieses Dokument auf ihrem eigenen Rechner zu öffnen, muss sie die Zugangsdaten des Chefs eingeben, um das Dokument öffnen zu können. Wenn sie diese Zugangsdaten nicht hat, kann sie das Dokument nicht öffnen, obwohl sie es hat.

E-Mail-Weiterleitung an Unbefugte:

Microsoft E Mail

In dieser User Story gibt es eine Benutzerin namens Cynthia. Cynthia erstellt ein vertrauliches Dokument und klassifiziert es mit der Empfindlichkeitsstufe “Confidential \ Trusted People “. Dann weist Cynthia der Benutzerin “Bonnie” Co-Owner-Rechte zu. Danach sendet Cynthia die E-Mail aus Versehen an den falschen Empfänger “Harry”. Als Harry die E-Mail erhält, versucht er aus Neugierde, das angehängte Dokument zu öffnen. Da jedoch AIP implementiert ist und die Zugriffsrechte für dieses Dokument nur der Benutzerin Bonnie zugewiesen sind, kann Harry das vertrauliche Dokument nicht öffnen, obwohl er es erhalten hat.

Ausdrucken von vertraulichen Dokumenten

Microsoft Drucken Von Vertraulichen Dokumenten

Eine autorisierte Benutzerin namens “Bonnie” erhält ein vertrauliches Dokument per E-Mail von Cynthia. Bonnie entscheidet sich, dieses Dokument in Papierform auszudrucken. Cynthia hat ihr jedoch nur Lese- und Bearbeitungsrechte zugewiesen, jedoch keine Druckrechte, um das Risiko zu vermeiden, dass Unbefugte auf das Dokument zugreifen oder es stehlen könnten. Daher kann Bonnie dieses Dokument nicht ausdrucken.

Schützen Sie Ihre M365 Teams Gruppen

Wie kann man seine M365 Teams Gruppen schützen?

Dies kann mit AIP durch die Kontrolle des Zugriffs auf die gelabelten Teams von M365 Teams erfolgen.

Warum ist es empfehlenswert, Ihre hochvertraulichen M365 Teams mit AIP zu schützen?

Zwar ist es auch ohne AIP möglich, private Teams zu erstellen, aber der Gruppenbesitzer kann trotzdem Gäste zur Teamgruppe hinzufügen. Wenn man ein M365 Teams Team mit einem Label kennzeichnet, kann man den Zugang für Gäste sperren. Dadurch ist es nicht mehr möglich Gäste hinzuzufügen.

Welchen Anwendungsfall gibt es für den Schutz von M365 Teams Gruppen und Teams mit AIP?

Ein gekennzeichnetes M365-Teams-Team wird mit einem streng vertraulichen Label gekennzeichnet ist. Dieses Label ist so konfiguriert, dass die M365 Teams Teamgruppen privat sind und der Zugang für Gäste gesperrt ist. Daher können weder der Gruppenbesitzer noch die Gruppenmitglieder Gäste zu diesem privaten Team hinzufügen.

Fazit

Microsoft Purview Information Protection sollte implementiert werden, um Ihre Daten mit Zero Trust vor unbefugtem Zugriff durch die Klassifizierung, Kennzeichnung und (automatischer) Verschlüsselung der Dokumente und Teams Kommunikation zu schützen.

Zero Trust Day Zoulfa Al Khatib

Zoe Zoulfa Al-Khatib
IT-Sicherheit und Compliance Beraterin
Fokusthemen: Microsoft Purview Information Protection
LinkedIn