Firmen geben bedingt durch Home Office und die verteilte Arbeitsweise viel Geld aus, um Gefahren abzuwehren und die Vertraulichkeit von Daten sicherzustellen. Dies hat auch Microsoft erkannt und bietet neben Endpoint Protection in Microsoft 365 ein umfassendes Compliance Center an, das durch Data Loss Prevention den Abfluss vertraulicher Daten verhindern soll. Wir beleuchten die Möglichkeiten des Datenfilters.
Das Microsoft Compliance Center gibt es schon etwas länger, doch wurde es im April 2022 in Microsoft Purview umbenannt. Mit Microsoft Purview fasst das Unternehmen Compliance und Data Governance zusammen. Dies soll vor allem der neuen hybriden Arbeitswelt Rechnung tragen, in der jederzeit und überall eine Konnektivität besteht. Dokumente werden flexibel ausgetauscht und nicht mehr nur per E-Mail, sondern auch über Instant-Messaging-Tools wie Teams oder OneDrive übermittelt. Dies führt auch zu einer Fragmentierung von Daten und einem Wachstum dieser in den verschiedenen Anwendungen und Geräten. Purview bietet eine Reihe von Ansätzen, die dem Schutz und der Verwaltung der Daten dienen. Es kombiniert dabei die Funktionen von Azure Purview und von Microsoft 365 Compliance.
Der Umfang von Purview ist sehr groß und umfasst die Bereiche "Information Protection und Governance", "Datenschutz", "Insider-Risikomanagement" sowie "Ermittlung und Reaktionen". "Information Protection und Governance" enthält die Aufgaben "Datensatzverwaltung", "Informationsschutz", "Verwaltung des Datenlebenszyklus" sowie die "Verhinderung von Datenverlust". Auf die Verhinderung von Datenverlust werfen wir in diesem Beitrag einen genaueren Blick. Einen Überblick über die verschiedenen Dienste in Microsoft Purview erhalten Sie in der Microsoft-Dokumentation [1].
Vertrauliche Daten im Blick
Das Modul "Verhinderung von Datenverlust", kurz Data Loss Prevention (DLP), soll den Abfluss von vertraulichen Daten verhindern. Administratoren von Exchange ist DLP in den meisten Fällen bereits ein Begriff. Diese Zusammenführung in Microsoft Purview führt auch dazu, dass DLP aus Exchange Online in das neue Compliance Center gewandert und im aktuellen Exchange Administration Center nicht mehr zu finden ist. In der alten Ansicht ist der Link noch vorhanden, aber werden Sie hier direkt zu Microsoft Purview umgeleitet.
Das Microsoft Compliance Center gibt es schon etwas länger, doch wurde es im April 2022 in Microsoft Purview umbenannt. Mit Microsoft Purview fasst das Unternehmen Compliance und Data Governance zusammen. Dies soll vor allem der neuen hybriden Arbeitswelt Rechnung tragen, in der jederzeit und überall eine Konnektivität besteht. Dokumente werden flexibel ausgetauscht und nicht mehr nur per E-Mail, sondern auch über Instant-Messaging-Tools wie Teams oder OneDrive übermittelt. Dies führt auch zu einer Fragmentierung von Daten und einem Wachstum dieser in den verschiedenen Anwendungen und Geräten. Purview bietet eine Reihe von Ansätzen, die dem Schutz und der Verwaltung der Daten dienen. Es kombiniert dabei die Funktionen von Azure Purview und von Microsoft 365 Compliance.
Der Umfang von Purview ist sehr groß und umfasst die Bereiche "Information Protection und Governance", "Datenschutz", "Insider-Risikomanagement" sowie "Ermittlung und Reaktionen". "Information Protection und Governance" enthält die Aufgaben "Datensatzverwaltung", "Informationsschutz", "Verwaltung des Datenlebenszyklus" sowie die "Verhinderung von Datenverlust". Auf die Verhinderung von Datenverlust werfen wir in diesem Beitrag einen genaueren Blick. Einen Überblick über die verschiedenen Dienste in Microsoft Purview erhalten Sie in der Microsoft-Dokumentation [1].
Vertrauliche Daten im Blick
Das Modul "Verhinderung von Datenverlust", kurz Data Loss Prevention (DLP), soll den Abfluss von vertraulichen Daten verhindern. Administratoren von Exchange ist DLP in den meisten Fällen bereits ein Begriff. Diese Zusammenführung in Microsoft Purview führt auch dazu, dass DLP aus Exchange Online in das neue Compliance Center gewandert und im aktuellen Exchange Administration Center nicht mehr zu finden ist. In der alten Ansicht ist der Link noch vorhanden, aber werden Sie hier direkt zu Microsoft Purview umgeleitet.
Neben Exchange überwacht die DLP-Funktion aber auch weitere Dienste. Bei Microsoft 365 zählen dazu Teams, SharePoint und OneDrive. Hinzu kommen die Office-Anwendungen wie Word, Excel und PowerPoint. Neben der Überwachung von Windows-10- und Windows-11-Endpunkten bleibt auch macOS ab Catalina 10.15 nicht außen vor, Gleiches gilt für lokale Freigaben und lokale SharePoint-Instanzen. Für das Erkennen der Daten nehmen umfangreiche Inhaltsanalysen diese unter die Lupe und nicht nur einfache Textprüfung. Das schließt Algorithmen für maschinelles Lernen ein.
Für die verschiedenen Bereiche, die mit vertraulichen Daten arbeiten, gibt es vordefinierte DLP-Richtlinienvorlagen, die die Datenschutzgesetzte, personenbezogene Daten oder die Finanzdaten verschiedener Länder berücksichtigen. Zur Verfügung stehen mehr als 250 vordefinierte, vertrauliche Datentypen, die sich auf 38 Länder herunterbrechen lassen. Eigene Datentypen lassen sich ebenfalls in Microsoft Purview erstellen, das Vorgehen hierzu ist in der Dokumentation beschrieben. Einen Ausschnitt der von Microsoft zur Verfügung gestellten Vorlagen finden Sie in der Tabelle "In Purview integrierte DLP-Vorlagen" und eine ausführliche Übersicht der DLP-Richtlinienvorlagen unter [2].
Das DLP-Cockpit im Überblick
Die Konfiguration seitens DLP findet im Browser in Microsoft Purview statt. Die Seite erreichen Sie über das Microsoft 365 Admin Center oder direkt über die Compliance-URL "https://compliance.microsoft.com/homepage". In Purview gibt es links das Menü zu den verschiedenen Diensten, wo auch der Bereich "Verhinderung von Datenverlust" zu finden ist. In diesem nehmen Sie die Konfiguration vor (Bild 1). Die DLP-Toolbar im oberen Bereich setzt sich aus den Einträgen "Übersicht", "Richtlinien", "Warnungen", "Endpunkt-DLP-Einstellungen" und "Aktivitäten-Explorer" zusammen.
In der "Übersicht" finden Sie einige Informationen und Ressourcen zu DLP vor. Im Bereich "Richtlinien" lassen sich vorhandene Richtlinien bearbeiten, neue Richtlinien erstellen oder löschen. Im Bereich der "Warnungen" werden Benachrichtigungen aufgelistet, die von DLP-Aktionen stammen. Hier zeigen Sie sich ausführliche Informationen zu einem Ereignis an. Unter dem Eintrag "Endpunkt-DLP-Einstellungen" sind Detaileinstellungen zur Überwachung von Inhalten auf Windows- und Mac-Geräten aufgeführt. Der "Aktivitäten-Explorer" bietet einen historischen Blick auf die Aktivitäten bezüglich der Daten.
Im Bereich "Richtlinien" sehen Sie alle vorhandenen Richtlinien. Dabei werden Ihnen zunächst Name, Reihenfolge, Änderungsdatum sowie der Status ausgegeben. Die Reihenfolge ist wichtig, da sich eine weitere Prüfung nachfolgender Regeln deaktivieren lässt, sobald eine Regel gegriffen hat. Beim Status ist darauf zu achten, ob eine Regel überhaupt eingeschaltet ist. Eine Policy lässt sich beim Erstellen "Sofort aktivieren", "Deaktiviert lassen" oder "Zuerst testen", wobei dies mit oder ohne Richtlinientipps geschehen kann. Das Testen ist sinnvoll, um eine Richtlinie in der ersten Implementierungsphase nicht direkt aktivieren zu müssen. Auf diesem Weg testen Sie die Policy vor einem Echtbetrieb ausgiebig.
Aufbau und Einrichten von Richtlinien
Möchte Sie eine neue Richtlinie anlegen, klicken Sie in der Toolbar auf das "+". Es öffnet sich der Assistent zum Erstellen einer neuen Richtlinie. Zunächst wählen Sie die zu schützenden Daten aus. Hier können Sie Richtlinien aus einem vorhandenen Vorlagensatz erzeugen. Eine DLP-Richtlinie besteht aus Regeln und diese wiederum aus "Bedingungen", die die vertraulichen Daten beschreiben, "Aktionen" und "Ausnahmen". Die Vorlagen definieren die Details der Richtlinien vorab. Alternativ generieren Sie eine benutzerdefinierte DLP-Richtlinie über den Eintrag "Benutzerdefiniert", um während der weiteren Einrichtung eigene Regeln festzulegen (Bild 3).
In unserem Beispiel beschränken wir uns auf deutsche Finanzdaten und wählen die entsprechende Vorlage aus. Im nächsten Schritt des Assistenten müssen wir den Namen und eine kurze Beschreibung hinterlegen. Standardmäßig werden dabei automatisch Name und Beschreibung der Vorlage übernommen. Im Anschluss findet die Auswahl der Orte statt, bei denen die Richtlinie anzuwenden ist. Hier stehen die verschiedenen Bereiche wie Exchange, OneDrive, Endgeräte mit Windows 10/11 und macOS sowie lokale Dateifreigaben zur Wahl. Dabei ist zu beachten, dass einige Orte nach der Auswahl direkt überwacht werden, andere aber noch Voraussetzungen haben, die zunächst zu erfüllen sind. So benötigt das Überwachen lokaler Shares den "Azure Information Protection (AIP)-Scanner" und auch bei den Endgeräten bedarf es etwas Vorarbeit. Auf die Voraussetzungen gehen wir im Laufe des Artikels noch ausführlicher ein.
Überblick behalten bei der Lizenzierung
Wie bei allem Clouddiensten setzt die Nutzung der Funktionen eine entsprechende Lizenz voraus – und hier steckt der Teufel im Detail. Denn je nachdem, welcher Ort überwacht werden soll, sind andere Lizenzen nötig. Office 365 und Microsoft 365 E3 enthalten bereits den DLP-Schutz für SharePoint Online, OneDrive und Exchange Online. Zur Überwachung von Teams-Chats wird aber eine E5 Lizenz benötigt. Gegebenenfalls lassen sich auch Add-ons zu vorhandenen Lizenzen buchen, um alle Funktionen nutzen zu können. Bei der Überwachung lokaler Dienste müssen Sie darauf achten, dass alle Nutzer des Speicherorts eine Lizenz benötigen und nicht nur der Benutzer des Scanners. Eine genaue Prüfung ist nötig und Microsoft bietet eine Lizenzübersicht der benötigten Compliance-Dienste unter [3].
Nach der Wahl der Orte werden die Einstellungen der Richtlinie definiert. Hierbei gibt es zwei Wege, die Konfiguration durchzuführen: Im einfacheren Fall übernehmen Sie die Standardeinstellungen der Vorlage. Hierbei fragt der Assistent noch einmal kurz die zu schützenden Daten sowie Schutzmaßnahmen und Zugriffseinstellungen ab. Die Definition der Richtlinie ist auf diesem Weg schnell abgeschlossen. Alternativ können Sie über den Punkt "Erweiterte DLP-Regeln erstellen und anpassen" Regeln detaillierter angleichen. Über einen Assistenten werden dann Bedingungen, Ausnahmen, Aktionen, Benachrichtigungen, Außerkraftsetzungsregeln und Schadensberichte konfiguriert.
In den meisten Fällen legen Sie zwei Regeln zur Prüfung des Inhalts an, die basierend auf der Schwere einer Datenverletzung (niedrige oder hohe Anzahl) bestimmte Aktionen ausführen. Eine niedrige Anzahl ist standardmäßig erreicht, wenn ein bis neun positive Treffer eines Datentyps (zum Beispiel Kreditkarten- oder Sozialversicherungsnummern) zu finden sind, während bei einer hohen Anzahl mehr als zehn Treffer vorliegen. In unserem Beispiel bereiten wir zwei DLP-Regeln – einmal für geringe Mengen und einmal für große Mengen erkannter Inhalte – vor, die wir dann weiter anpassen (Bild 3).
Im letzten Schritt ist noch festzulegen, ob eine Regel automatisch aktiviert werden, zuerst in einem Testmodus starten oder deaktiviert bleiben soll. Danach erhalten wir eine Zusammenfassung und können die DLP-Richtlinie prüfen und speichern. Nach dem Speichern ist die Richtlinie bereit.
Mehraufwand für Endgeräte und lokale Scanner
Der große Vorteil der Microsoft-DLP-Funktion ist, dass diese an einer Stelle für verschiedenste Orte konfiguriert wird. Dazu zählen auch lokale Endgeräte. Eine gesonderte Lizenz ist hierfür, wie bereits im Kasten beschrieben, gegebenenfalls nötig. Damit ist es aber nicht getan, denn die Endgeräte müssen zunächst eingebunden werden. Hierfür stehen verschiedene Wege wie Gruppenrichtlinien, Intune, Endpoint Configuration Manager, ein VDI-Onboardingskript oder ein lokales Skript zur Verfügung. Wir führen das Onboarding über ein lokales Skript, das in Purview unter "Einstellungen" zur Verfügung steht, durch.
Das Gerät ist nach einiger Zeit in der Geräteübersicht zu finden. Details zu den Endpoint-DLP-Einstellungen sind in dem entsprechenden Reiter unter Verhinderung von Datenverlust zu finden. Hier lässt sich "Erweiterte Klassifizierungsüberprüfung und -schutz" aktivieren. Da Inhalte vom lokalen Gerät an Clouddienste zum Scannen und Klassifizieren gesendet werden, lässt sich hier eine Bandbreitenbeschränkung konfigurieren. Darüber hinaus legen Sie Dateipfadausschlüsse und Detailbeschränkungen fest.
Das Einrichten des Scannens lokaler Verzeichnisse gestaltet sich noch etwas aufwendiger. Zunächst muss der Azure Information Protection Unified Labeling Client installiert und konfiguriert werden. Im Anschluss wird eine Verbindung zur Azure-Information-Protection-Erweiterung im Azure-Portal hergestellt und die Repositorys dem Inhaltsscanauftrag hinzugefügt. Das Vorgehen ist in der Dokumentation unter [4] ausführlich beschrieben.
Richtlinien im Einsatz
Bevor Sie eine DLP-Richtlinie aktivieren, testen Sie diese vorab mit den oben genannten Modi. Auf diesem Weg prüfen Sie die Richtlinie über die Richtlinientipps, Warnungen und Aktivitäten. Outlook im Web und Outlook ab Version 2013 zeigen Ihnen direkt einen Hinweis auf die Regelverletzung an (Bild 5). Zum einen sehen Sie den nicht berechtigten Empfänger und zum anderen Hinweise auf die vertraulichen Informationen.
Versucht ein Mitarbeiter, eine sensible E-Mail mit einem älteren Outlook-Client zu senden, wird die E-Mail von Exchange Online, je nach Konfiguration und Intensität des Verstoßes, mit einem Unzustellbarkeitsbericht quittiert oder zumindest dokumentiert. Bei Dokumenten in OneDrive und SharePoint tauchen Richtlinientipps über ein Warnsymbol am Eintrag auf. Teams versieht die Nachricht direkt mit einem Hinweis. Nicht nur in Anwendungen, sondern auch am Endgerät lassen sich bei verschiedenen Dateiaktionen Hinweise anzeigen.
Der Compliance-Manager lässt sich, wie bereits erwähnt, direkt über den Vorfall per E-Mail informieren. Den Umfang der Informationen in einer Statusbenachrichtigung definieren Sie in den Einstellungen einer Regel. Bei Bedarf kann auch die originale E-Mail mitgesendet werden. Warnungen laufen dabei auch in der DLP-Warnungsverwaltung auf. Klicken Sie hier eine Warnung an, öffnet sich rechts ein Bereich, in dem sich sehr einfach nachvollziehen lässt, was passiert ist, wer die Aktion ausgeführt hat und welche Richtlinie angeschlagen hat.
Über den Eintrag "Details anzeigen" öffnet sich die Warnung komplett und zeigt den Inhalt etwas übersichtlicher an. Darüber hinaus werden hier auch detaillierte Informationen zum Ereignis dargestellt und es lassen sich je nach Ereignis Aktionen ausführen. In OneDrive gefundene Daten können zum Beispiel gelöscht oder deren Freigabe entfernt werden. Die DLP-Warnungsübersicht dient auch als kleines Case Management und Warnungen lassen sich einem Benutzer zuweisen. Über die Status "Aktiv", "Untersuchung läuft", "Verworfen" und "Gelöst" verwalten Sie die Einträge.
In Microsoft Purview gibt es darüber hinaus noch einen Bereich für Berichte. Hier sind im Organisationsbereich die vier Reports "DLP-Vorfälle", "DLP-Richtlinienübereinstimmungen", "Falsch positive DLP-Ergebnisse und DLP-Außerkraftsetzungen" und "DLP-Richtlinienübereinstimmungen" verfügbar. Die Berichte lassen sich per E-Mail anfordern und als Excel-Datei exportieren. Weiter können Sie einen Zeitplan erstellen und sich Berichte wöchentlich oder monatlich zusenden lassen.
In Purview integrierte DLP-Vorlagen
Vorlage
Beschreibung
Datenschutzgesetz – Frankreich
Erkennt Informationen, die in Frankreich üblicherweise unter das Datenschutzgesetz fallen, wie die französische Carte nationale d'identité (CNI) oder die französische Sozialversicherungsnummer (INSEE).
Personenbezogene Daten in Saudi-Arabien, wie Informationen der nationalen IDs.
Access to Medical Reports Act – Vereinigtes Königreich
Informationen, die im Vereinigten Königreich unter den Access to Medical Reports Act fallen, wie die britische National Health Service-Nummer sowie die britische Nationale Versicherungsnummer (NINO).
Datenschutzgesetz – Vereinigtes Königreich
Erkennt Daten, die im Vereinigten Königreich unter das Datenschutzgesetz fallen, wie die britische Reisepassnummer.
Online-Verhaltenskodex für persönliche Informationen – U.K.
Informationen, die im Vereinigten Königreich unter den Online-Verhaltenskodex für persönliche Informationen (Personal Information Online Code of Practice) fallen, wie die britische nationale Versicherungsnummer (NINO) und die Britische National Health Service-Nummer.
USA: Health Insurance Act (HIPAA)
Informationen, die in den USA zum Health Insurance Portability and Accountability Act (HIPAA) zählen, so etwa Informationen zu U.S. Sozialversicherungsnummer (SSN) und der DEA-Nummer (Drug Enforcement Agency).
Patriot Act – USA
Daten, die in den USA unter den Patriot Act fallen, wie Kreditkartennummer, US-Bankkontonummer, US-Steueridentifikationsnummer (ITIN) und US-Sozialversicherungsnummer (SSN).
USA: State Social Security Number Confidentiality Laws
Erkennt Informationen, die in den USA unter die Gesetze zur Vertraulichkeit von Sozialversicherungsnummern (State Social Security Number Confidentiality Laws) fallen, wie US-Sozialversicherungsnummer (SSN).
PowerShell als Alternative
Verwalten und konfigurieren können Sie die DLP-Richtlinien ebenfalls mit der PowerShell. Nötig für die Administration ist das "Exchange Online PowerShell V2 Modul", das Sie mit den folgenden Befehlen installieren und importieren:
Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
Im Anschluss lassen sich über den beispielhaften Befehl Connect-IPPSSession -UserPrincipalNamechristian@schulenburg.co eine Verbindung zu Microsoft Online herstellen und die DLP-Befehle nutzen. Mit Get-DlpCompliancePolicy erhalten Sie etwa alle Informationen zu den Richtlinien auf einen Blick. Get-DlpComplianceRule verrät mehr zu den vorhandenen Regeln. Mit den entsprechenden "New"-Befehlen erstellen Sie neue Richtlinien und Regeln: New-DlpCompliancePolicy und New-DlpComplianceRule. Weitere Kommandos zum Verwalten von DLP-Richtlinien mit der PowerShell finden Sie in der Tabelle "PowerShell-Befehle für DLP-Richtlinien".
PowerShell-Befehle für DLP-Richtlinien
Cmdlet
Funktion
Get-DlpCompliancePolicy
Das Cmdlet zeigt Informationen zu vorhandenen Richtlinien zur Verhinderung von Datenverlust an.
Get-DlpPolicyTemplate
Zeigt vorhandene DLP-Richtlinienvorlagen in Ihrer Exchange-Organisation an.
Get-DlpDetailReport
Listet Details zu Übereinstimmungen mit DLP-Regeln für Exchange Online, SharePoint Online und OneDrive for Business für die letzten 30 Tage auf.
Get-DlpDetectionReport
Zeigt eine Zusammenfassung der Übereinstimmungen von DLP-Regeln für Exchange Online, SharePoint Online und OneDrive for Business für die letzten 30 Tage auf.
New-DlpCompliancePolicy
Erstellt eine DLP-Richtlinie in Ihrer Exchange-Organisation.
Remove-DlpCompliancePolicy
Entfernt eine vorhandene DLP-Richtlinie.
Remove-DlpComplianceRule
Entfernt eine vorhandene DLP-Regel.
Set-DlpPolicy
Ändert eine Richtlinie zur Verhinderung von Datenverlust (DLP) in Ihrer Organisation.
Ausnahmen schaffen
Nicht jede E-Mail mit vertraulichen Informationen sollte direkt blockiert werden. Um Mitarbeitern das Senden von Nachrichten oder Ablegen von Daten dennoch zu ermöglichen, gibt es verschiedene Wege. Zunächst lässt sich für die Orte in einer Richtlinie festlegen, für wen diese gelten beziehungsweise nicht gelten sollen. Dabei wirken die Filter je nach Ort unterschiedlich. So werden bei Exchange über Verteilergruppen das Hinzufügen und Ausschließen gesteuert, während bei SharePoint Sites zur Unterscheidung herhalten.
Daneben lassen sich auch in einer Regel direkt Ausnahmen schaffen. Zu beachten ist, dass jeder Ort unterschiedliche Ausnahmen bietet. Sofern mehrere Orte ausgewählt sind, lassen sich nur Ausnahmen konfigurieren, die für alle Orte gelten. Zur Wahl stehen hier zum Beispiel Empfänger, Dateierweiterungen und Dokumentenname. Haben Sie alle Orte zur Überwachung ausgewählt, wundern Sie sich nicht, dass die Option zum Hinzufügen von Ausnahmen ausgegraut ist.
Sollte es von vornherein keine komplette Ausnahme geben, lässt sich ein Außerkraftsetzen beim Endbenutzer konfigurieren. Dafür aktivieren Sie in den Regeleigenschaften den Punkt "Überschreibungen von M365-Diensten zulassen". Optional kann dabei eine geschäftliche Begründung abgefragt werden. Weiter lässt sich eine Richtlinie außer Kraft setzen, wenn ein Mitarbeiter diese als falsch positiv gemeldet hat. Das Außerkraftsetzen erfolgt über den Richtlinientipp am Client.
o besteht in Outlook und Teams beim Verfassen einer Nachricht die Möglichkeit, die Richtlinie zu umgehen. Im zugehörigen Fenster geben Sie den Grund für die Außerkraftsetzung an und im Anschluss wird das Senden ermöglicht (Bild 5). Auf diesem Weg können Benutzer in Exchange, SharePoint, OneDrive und Teams sich bei Bedarf über DLP-Richtlinien hinwegsetzen. Der Compliance-Manager wird natürlich über den Punkt "Rechtfertigungstext" im Statusbericht über die Ausnahme informiert. Dem höheren Management oder den Fachbereichen, die permanent mit sensiblen Daten arbeiten müssen, bieten DLP-Richtlinien ausreichend Ausnahmen, damit sie bei der täglichen Arbeit nicht behindert werden.
Fazit
DLP-Richtlinien bieten eine schnelle Möglichkeit, die tägliche Datenflut der verschiedenen Microsoft-Dienste mit Bordmitteln auf Compliance zu prüfen. Positiv ist die Vielzahl von Orten, die sich in eine einzige Richtlinie einbinden lässt, wodurch die Einrichtung sehr übersichtlich und schnell vonstattengeht.