Die digitale Transformation oder Large Language Models (LLMs) sowie digitale Assistenten zur Informationssuche bringen ein Thema in Unternehmen unvermeidlich auf den Tisch: Welche Daten und Informationen besitzt mein Unternehmen? Wo sind die abgelegt? Wie sind die Daten zu behandeln, und im Bestfall zu klassifizieren? Wie sind sie zu schützen? Ein nützlicher Helfer für das Beantworten dieser Fragen kann Microsoft Purview [1] sein – eine Produktfamilie für Datenkontrolle, Datensicherheit und Regelwerke für Datenhandhabung (Data Governance, Data Security und Risk and Compliance).

Der Clouddienst vereint dabei zwei Schwerpunkte, die wir im Microsoft-Umfeld noch als getrennte Werkzeuge kennen: zum einen Azure Purview, das sich um Datensuche, Katalogisierung sowie Klassifizierung in der Cloud (Microsoft-Cloud, AWS oder andere Clouds) und lokal kümmert und ein umfassendes Dateninventar zu schaffen versucht. Zum anderen kommen die Risiko- und Compliance-Funktionen aus Microsoft 365 hinzu, die sich um den Schutz von Informationen durch Labeling und Verschlüsselung sowie dem Verhindern von Datenabfluss durch Data Loss Prevention (DLP) und Insider-Risiken kümmern. Parallel sorgen die Features für Informationsgrenzen innerhalb von Unternehmen.

Dabei lässt sich Purview als Ganzes, oder fokussiert auf einzelne Komponenten nutzen. Wer den Lebenszyklus von Daten und deren Schutz in einem langen Projekt aufbauen will, greift auf einige ausgewählte Bestandteile zurück und wer sich nur für Audits oder Datenschutz durch Verschlüsselung interessiert, pickt sich diese Teile heraus. Vielerorts sind Teams auch auf einzelne Teile des Pakets bedacht, während die Security sowie die Risikoabteilung das Gesamtthema beackert wissen will.

Für die Datensicherheit ist Purview mit mehreren Pferden im Rennen. Gut bekannt durch eine längere Historie – auch aus der On-Premises-Welt – ist Information Protection, das vormals "Rights Management Services" hieß. Die Idee dabei: Dokumenten- und Informationsverschlüsselung, gepaart mit wählbaren Restriktionen, um Weiterverbreitung zu unterbinden. Die gewünschten Berechtigungen und Verschlüsselungen steuern IT-Verantwortliche über zentral verwaltete Labels wie "Geheim", "Sehr geheim" oder auch "Interne und Externe Mitarbeiter" bei. Label-Namen und Restriktionen sind dabei frei wählbar und sollten den Geschäftsprozessen und den Geheimhaltungsstufen des Unternehmens entsprechen. Diese Labels legen Endanwender bei der Dokumentenbearbeitung manuell fest oder sie entstehen automatisch durch Mustererkennung wie bei Kreditkarten oder Sozialversicherungsnummern oder ebenfalls automatisch durch Klassifizierer, die einen Dokumenttyp beschreiben.

Interessant ist auch, dass sich Unternehmensdaten jenseits der klassischen Dokumente aus der Textverarbeitung oder Tabellenkalkulation schützen lassen. Und in Microsoft Teams lässt sich ein Label setzen, das die Nutzung mit externen Benutzern anderer Unternehmen einschränkt. Zudem sind auch Video- und Audiodaten bei Meetings auf diese Weise schützbar. Die Funktion erstreckt sich auch auf Container wie Sharepoint Sites und deren Document Libraries.

Das Erzwingen der Dokumentberechtigungen wird von Microsoft Office vorangetrieben. Ist ein Dokument dergestalt freigegeben, dass Copy und Paste, Drucken oder Bildschirmteilen verboten sind, sorgt Office dafür, dass die entsprechenden Funktionen nicht zur Verfügung stehen. In Outlook verhindern Sie etwa Massen-E-Mails sowie Antwortstürme und sorgen dafür, dass brisante Informationen im Hause bleiben, indem Sie Berechtigungen wie "Reply All" und "Forward" untersagen. Und selbst wenn einmal ein wichtiges Dokument unerwünscht die Firma verlässt, wandern die Berechtigungen als Teil des Dokuments mit und verhindern so deren Öffnen durch Unbefugte.

Manchmal müssen Geschäftsbereiche voneinander getrennt werden, um Geschäftsgeheimnisse oder sensible Projekte temporär abzuschirmen oder regulatorische Anforderungen zu erfüllen. Purview Information Barriers erlauben per Richtliniensatz die Definition von Mitarbeitersegmenten, die entweder exklusiv miteinander oder gar nicht kollaborieren oder Daten teilen dürfen. Damit lassen sich etwa Grenzen zwischen Marktforschung und Entwicklung ziehen oder ein Teil des Unternehmens, das ausgelagert und woanders integriert wird, von anderen kritischen Bereichen schützen. Die Kollaboration zäunen Sie dabei in Office 365 via Exchange, SharePoint, OneDrive und Teams ein. Die Suche im Adressbuch, das Teilen von Daten in SharePoint oder OneDrive sowie Direktnachrichten und Anrufe via Teams unterbinden Sie dabei per Policy.

Diese Richtlinien beschreiben dabei eine Segmentierung von Benutzern und folgen Allow- und Deny-Listen. Entweder Sie erlauben jegliche Kollaboration, müssen aber zwei Mitarbeitersegmente voneinander trennen (Deny), oder Sie schränken ein Mitarbeitersegment bis auf explizit erlaubte weitere Segmente für die Kollaboration ein (Allow). Die Segmente definieren Sie allerdings nicht ausschließlich über Office-365-Gruppen, sondern auf Attributbasis in Entra ID. So erstellen Sie Segmente basierend auf Kostenstelle, Abteilung oder Bürolokation, inklusive der Erweiterungsattribute in Exchange, wie etwa "Department -eq R&D Marktanalyse", was bekannten PowerShell-Filterdefinitionen entspricht. Auch komplexere Segmentdefinitionen sind denkbar, wie etwa "Department -eq Retail Italy -and MemberOf -eq RetailItalyDivestiture@ groups.contoso.com".

Wollen Sie Segmente voneinander trennen, kappen Sie stets die direkte, bi-direktionale Kollaboration und Kommunikation. Beide Teile können aber weiterhin über Drittsegmente Daten und Informationen einsehen. Für Fälle, in denen Kollaboration und Chat wie etwa in Teams zwischen Mitarbeitern verschiedener Segmente stattfand, später aber durch eine Information Barrier blockiert wird, sind alte Chats und Nachrichtenverläufe weiterhin sichtbar, neue Gespräche oder Dateifreigaben aber untersagt.

Datenabfluss und falsche Handhabung von Daten erkennt und verhindert Data Loss Prevention (DLP) in Purview. Auch hier definieren Sie per Regelwerk, wie mit Dokumenten umzugehen ist, die per Klassifizierung und Inhaltsanalyse durchleuchtet wurden. Sollte ein Dokument mit Kreditkarteninformationen, Sourcecode, Anmel-deinformationen oder eigens definierten Metadaten auftauchen, können Sie via Of-fice und dem DLP-Regelwerk Mitarbeitern untersagen, die Dokumente zu teilen – intern wie extern. Dabei ziehen Sie die Daumenschrauben in unterschiedlicher Stärke an, angefangen mit einem Warnhinweis an Mitarbeiter für Dokumente mit sensitiven Informationen. Der nächste Schritt wäre das Sperren des Teilens mit der Option, dem Mitarbeiter aber das Überschreiben der Blockade zu erlauben oder aber ein verbindliches Verbot auszusprechen. Für stille Nachforschungen können Alarme per definierten Triggern auslösen, die Sie über Nutzung heikler und sensibler Daten informieren. Damit werden Sie informiert, wenn Geschäftsgeheimnisse, die Entwurfsversion eines Vertragswerks oder die aktualisierte Gehaltsliste geöffnet oder geteilt wird, obwohl das nicht vorgesehen ist.

Das Modul "Insider Risk Management” weist Administratoren auf potentielle Datenabflüsse durch interne Mitarbeiter hin. Durch verschiedene Signale wie etwa das mehrfache Teilen von kritischen Daten, Massen-Downloads vieler Dokumente von zentralen Plätzen wie SharePoint oder angebundenen Clouddiensten wie DropBox oder Box erkennt das System, wenn Mitarbeiter atypisch viele Informationen sammeln, herunterladen oder auf OneDrive zwischenlagern. Wer in Purview zusätzlich den "HR Connector" nutzt, kann aus seinem HR-System Informationen von ausscheidenden Kollegen importieren und deren Aktivitäten als "Departing User" besonders beleuchten. Zusätzlich erlaubt das System neben dem maschinellen Lernen von atypischem Verhalten die Definition von Regeln, deren Bruch zu Alarmen im Admin-Dashboard führt.

Über das Privileged Access Management unterwerfen Sie kritische Berechtigungen im RBAC-System von Exchange Online einem Approval-Modus, der verhindert, dass Mitarbeiter zu viele ständige Berechtigungen besitzen, die zu Unfällen oder Problemen bei Accountdiebstahl führen können. Während sich der Exchange-Service-Admin via "Entra ID Privileged Identity Management" schützen lässt, sind delegierte Admins in Exchange weniger abgesichert. Diese haben teils ebenfalls weitreichende und kritische Rollen bei Mailboxen und Informationsfluss des Mailverkehrs und Sie sollten diese ähnlich schützen.

Vor dem Ausführen kritischer RBAC-Funktionen können Sie anfordern, dass ein Approval-Workflow abläuft, der das Abnicken der Berechtigungsnutzung genehmigen muss – andernfalls erlaubt Exchange die Ausführung der Aktion oder das Absetzen des betreffenden privilegierten PowerShell-Befehls nicht. Im Moment ist Purview Privileged Access Management nur für Exchange Online verfügbar.

In "Risk and Compliance" bietet Purview fünf Ansätze für unterschiedliche Szenarien. Als Erstes unterstützt das eDiscovery Unternehmen bei der Suche von Evidenzen für Gerichtsprozesse und Rechtsfälle. Das System dient als konzernweite Suche über Exchange, OneDrive, SharePoint sowie Teams und Gruppen hinweg, um in Frage kommende Dokumente, Kommunikationsschnipsel und Memos zu Suchanfragen von Rechtsabteilungen zu beantworten. Die gefundenen Artefakte, meist in zeitlichen Suchgrenzen definiert, lassen sich dann für die Weiterverarbeitung exportieren. Das System unterstützt dabei die Handhabung dieser Suchen als Fallmanagement, mit dem Sie Suchanfragen und deren Bearbeitung verfolgen und einem Berechtigungssystem unterziehen.

Bei Bedarf können Administratoren bestimmte Dateiablagen wie Mailboxen oder SharePoint Sites per "Legal Hold" daran hindern, Inhalte und Dokumente potentiell wichtiger Daten für die Fallbearbeitung zu löschen. Als erweiterte Funktionen weist das System zu den gefundenen Informationen aus der Suche Konversationsstränge aus, gefundene Inhalte können Sie mit Tags versehen und bei komplexen Suchanfragen vormarkieren. Dies erlaubt das Zentralisieren der Kommunikation zwischen Suchteam, Anwälten und den Datenverwaltern, die bei den Fallanfragen helfen und zu deren Aufklärung beitragen müssen.

Der "Communication Compliance"-Teil knüpft an die Data Loss-Funktionen an, indem das System nach grenzüberschreitender oder fragwürdiger Kommunikation via E-Mail, Teams oder mit dem Microsoft Copilot Ausschau hält. Das Ziel: Nachrichten, die verletzen, zu Datenmissbrauch und Datendiebstahl anstiften, Drohungen an andere Mitarbeiter darstellen oder Hassnachrichten beinhalten, zu finden und in eine Review-Queue aufzulisten. Die Nachrichten werden dabei an den Adressaten gesendet. Sie lassen sich jedoch vom Compliance-Personal, sollte das System sie als grenzüberschreitend erkennen, überprüfen und im Nachgang weiterverarbeiten. Für das Review existieren zwei dedizierte RBAC-Rollen, die Zugriff auf die Liste der gefundenen Nachrichten, E-Mails und Chats erhalten.

Mit Purview Audit schaffen Sie ein zentrales Suchsystem für alle Audit-Logs und deren Einträge, die Endbenutzer sowie privilegierte Benutzer und Admins über alle M365-Dienste hinweg erstellen. Damit können Sie Änderungen an der Konfiguration des Cloudsystems über Benutzer und Änderungszeiträume hinweg nachvollziehen, einsehen und exportieren. Die einzelnen Events sind dabei – länger als viele der M365-Logspeicherzeiträume – 180 Tage gespeichert oder bis zu zehn Jahren archiviert.

Unterliegt ein Unternehmen regulatorischen Auflagen und muss sich um die Einhaltung der Compliance kümmern, kommt der Purview Compliance Manager ins Spiel. Nach der Auswahl der relevanten Region und den Regularien, denen der Tenant unterliegen soll, prüft Purview Tenant-Einstellungen und die Konfiguration täglich auf Einhaltung der Vorgaben. Ändern sich die regulatorischen Vorgaben, auch auf Grund von Änderungen in M365, werden die Admins informiert. Damit können Sie verändernde Anforderungen erkennen, einplanen und nachführen, um das Compliance-Tracking dauerhaft "grün" zu halten.

Data Lifecycle Management rundet die Gruppe der "Risk and Compliance"-Funktionen ab. Das Modul gibt Administratoren Richtlinien für Datenhaltung an die Hand, die auf Inhalte aus Teams, Exchange, SharePoint, OneDrive und Viva Engage (vormals Yammer) stammen. Da nicht alle Inhalte eine unbegrenzte Lebensdauer haben müssen, einige Inhalte aus regulatorischen Gründen aber eine Mindestlebenszeit aufweisen, erlaubt das Tool die Definition von Mindesthalte- sowie Löschrichtlinien. Damit minimieren Unternehmen das Risiko von Compliance-Verstößen, stellen aber zeitgleich sicher, dass sich Daten, die die Mindesthaltedauer überschritten haben, auch zeitnah löschen lassen.

Die Data-Governance-Funktionen richten sich an Datenanalysten, Data Engineers und Data Architects – und an all jene, die sich um Verwaltung und Lebenszyklus von Datenquellen kümmern. Die fünf Module sollen dabei helfen, ein möglichst vollständiges Bild des Dokument- und Informationsinventars per Ausweisung des Speicherorts, potentieller Klassifizierung und der Datennutzung zu zeichnen. Die vollständige Kartierung aller Datenlager umfasst dabei die Cloud von Microsoft sowie lokale Dateifreigaben und -quellen per Connector, andere Software-as-a-Service-Angebote sowie SQL und weitere Clouddienste wie Amazon S3.

Das Inventar soll dabei nicht nur Einblicke darüber geben, welche Daten wo existieren, sondern auch, wie die Daten zu klassifizieren und zu schützen sind und wie viele unterschiedliche Datentypen existieren. Neben dem Schutz der Daten wird gerade im Zeitalter von generativer KI zur effizienten und kontextfokussierten Nutzung das Wissen zu Art und Ort der wertvollen Daten im Unternehmen kostbar. Denn nur was bekannt, erreichbar und integrierbar ist, kann auch für AI-Zwecke zur Verfügung stehen.

Das System funktioniert in groben Zügen so: Purview registriert Datenquellen mit Referenz zu Anmeldedaten und Datenquelle. Daraufhin scannt das System anhand einer zuvor hinterlegten Konfiguration alle Datenquellen, um Metadaten in die "Data Map" zu schreiben. Die Data Map wird dann auf Wunsch einer automatischen Klassifizierung vordefinierter oder manuell erstellter Klassifizierer unterzogen, mit einer Beschreibung angereichert und auf Wunsch visuell in frei definierbaren "Collections" gruppiert und dargestellt. Anmeldeinformationen hinterlegen Sie dabei zentral in der Data Map, die je nach Credential unter anderem einfache Benutzername-Passwort-Kombinationen, Service Principals, SQL-Anmeldedaten oder Anmeldeschlüssel aus einem Key Vault entsperrt und für den Metadata-Scan nutzt.

Der Data Catalog baut anschließend auf der Datenkarte auf, die erlaubt, Datenquellen über die Browse- und Suchfunktionen zu finden. So finden Datenexperten per Stichwortsuche Datenquellen, Tabellen oder Transformations- oder Änderungsregeln, die Aufschluss über Daten und ihre Zusammenhänge geben. Nützlich ist auch die "Lineage"-Funktion, die Abhängigkeiten und Datenflüsse erzeugt. Stehen mehrere Datenbanken in einem Verhältnis, etwa wenn sich eine DB aus mehreren Datenquellen per Stored Procedures füllt oder ein Feld wie etwa "Vorwahl" aus einem Feld einer anderen DB-Tabelle abgeleitet und aktualisiert wird, zeigt das System die Beziehungen und Datenflüsse grafisch an.

Microsoft Purview bietet ein breites Spektrum an Funktionen für Data Security, Compliance und Data Governance. Die verschiedenen Module sprechen unterschiedliche Rollen und Personen im Unternehmen an, die ihre Funktionen dann in den jeweiligen Microsoft-Portalen verwalten – eine Zusammenführung der verschiedenen Purview-Funktionen hat noch nicht stattgefunden. Dennoch etabliert Purview einige grundlegende Funktionen über die Plattform hinweg: Richtliniendefinition, Definition von Klassifizierungen und Integration via Entra ID und einer eindeutigen Identität. Das fördert, dass alle Disziplinen an einem gemeinsamen Governance- und Security-Modell arbeiten und dieses dann unternehmensweit abbilden.

Wer sich mit Microsoft Copilot oder LLMs zur sprachunterstützten Informationsverarbeitung auseinandersetzt, braucht ein gutes Governance-Modell für seine Daten. Denn Copilot kann zwar nur Daten nutzen, auf die ein Benutzer auch selbst Zugriff hat – jedoch fördert die kontextgestützte Suche des Assistenten oft Dokumente zu Tage, die andernfalls potentiell im Verborgenen geblieben wären. Die richtige Klassifizierung- und Schutzkonfiguration hilft, auch diese Daten korrekt zu behandeln.