Compliance und DSGVO: So klassifizieren und schützen Sie Dokumente und Mails mit Azure Information Protection

Microsoft-Azure-Information-ProtectionDokumente und E-Mails befinden sich im vernetzten Zeitalter im freien Fluss. Wer wann welche Informationen wohin geschickt hat, ist selten ohne Weiteres zu kontrollieren. Microsoft hat im Lauf der Jahre im Office-Umfeld einige technische Ansätze dafür entwickelt, und mit Azure Information Protection (AIP) steht inzwischen eine Cloud-basierende Lösung zur Verfügung, die einerseits das Klassifizieren von Dokumenten und andererseits auch deren Schutz ermöglicht. Das mühsame und daher oft vernachlässigte Einordnen und Klassifizieren kann mit AIP weitgehend automatisiert werden. Handlungsbedarf gibt es aufgrund von Vorschriften und Richtlinien mehr als genug, und nicht zuletzt erzwingt die Datenschutzgrundverordnung (DSGVO) heute entsprechende Aktivitäten.

Manuelle oder automatische Klassifizierung

AIP-Klassifizierung über den Windows-ExplorerBei Azure Information Protection (AIP) handelt es sich um eine Cloud-basierende Lösung zum Klassifizieren, Labeln und Schützen von Dokumenten und E-Mails. Einer der Vorteile von AIP ist, dass sie je nach Implementierung auch ohne Zutun des Anwenders automatisch arbeiten kann. Die Regeln dafür können auf Metadaten, dem Ablageort, dem Template oder dem Inhalt des Dokuments beruhen.

Benutzer können aber ebenso manuell klassifizieren. Des Weiteren ist eine Kombination aus beiden Vorgehensweisen möglich, indem beispielsweise die Benutzer zunächst Vorschläge auf Grundlage administrativer Vorgaben angezeigt bekommen, mit denen ihnen die Zuordnungen erleichtert wird.

Intuitive Benutzung über Office-Apps

Zur möglichst einfachen Benutzung integriert sich AIP in die Office-Client-Anwendungen als Funktionsleiste. Das gilt für Word, Excel und PowerPoint ab der Version 2010, und zwar in den Lizenzvarianten Enterprise und Office ProPlus. Auf diese Weise können Dokumente direkt aus den Office-Anwendungen heraus klassifiziert und geschützt werden. Die entsprechende Klassifizierung wird dabei unmittelbar angezeigt (siehe Bild). (Mehr Infos dazu bei Microsoft.)Integration von AIP in Office

Kostenloser AIP-Client auch für Formate wie PDF

Der Dokumentenschutz beschränkt sich übrigens nicht nur auf Office-Dateien, sondern kann auch zum Schutz von Formaten wie etwa PDF eingesetzt werden. Microsoft bietet dafür den kostenlosen AIP-Client an. Zum Öffnen von geschützten nicht-Office-Dateien verwendet man den AIP-Viewer. Dieses Tool steht kostenlos für die Plattformen iOS, Android, macOS und Windows zur Verfügung. Details zu unterstützten Plattformen und Office Versionen finden Sie hier.

Übersicht über die Features von AIP

AIP arbeitet im Wesentlichen mit zwei Objekten:

Labels:

  • Ein Label beschreibt eine Schutzbedarfsklasse und wird zur Klassifizierung eingesetzt, beispielsweise ‚vertraulich‘
  • Ein Label kann eine Verschlüsselung beinhalten, aber auch nur zur Klassifizierung genutzt werden
  • Folgende Rechte können beim Verschlüsseln vergeben werden: View, Open, Read (VIEW) | View Rights (VIEWRIGHTSDATA) | Edit Content, Edit (DOCEDIT) | Save (EDIT) | Print (PRINT) | Copy (EXTRACT) | Reply (REPLY) | Reply All (REPLY ALL) | Forward (FORWARD) | Change Rights (EDITRIGHTSDATA) | Save As, Export (EXPORT) | Allow Macros (OBJMODEL) | Full Control (OWNER)

Policies:

  • Policies legen fest, welchen Benutzern oder Gruppen welche Labels zur Verfügung stehen
  • Policies regeln weiter administrative Optionen wie zum Beispiel, ob ein Standard-Label vergeben wird

Outlook-Integration und Berechtigungen für Dateien

Azure Information Protection in OutlookDa sich AIP in den Outlook-Client integriert, können Labels direkt beim Schreiben einer Email vergeben werden. Die Klassifizierung wirkt sich dann auf Dokumente die als Anhang an die Mail verschickt werden und auf die E-Mail als solches aus.

Neben den Labels und Policies, die für wiederkehrenden Anwendungsfälle genutzt werden können, gibt es noch eine weitere Funktion. Um Dateien individuell zu verschlüsseln und mit expliziten Rechten für bestimmte Benutzer (auch Externe) zur Verfügung zu stellen, wird die Funktion „Mit benutzerdefinierten Berechtigungen schützen“ genutzt. Das ist sowohl im AIP-Client als auch in Office-Anwendungen möglich. Folgende individuelle Optionen können pro Datei konfiguriert werden:

Berechtigungen:

  • Anzeigender Benutzer: Nur anzeigen
  • Prüfen: Anzeigen, Bearbeiten
  • Co-Autor: Anzeigen, Bearbeiten, Kopieren, Drucken
  • Co-Besitzer: Alle Rechte
  • Nur für mich

Benutzer/Gruppe: Benutzer oder Gruppen per E-Mailadresse, die mit dem ausgewählten Recht Zugriff erhalten sollen

Ablauf des Zugriffs: Datum wie lange der Zugriff für die ausgewählten Benutzer / Gruppen mit dem konfigurierten Recht bestehen soll

Details zu den einzelnen Funktionen von AIP finden sich hier.

Typische Szenarien des AIP-Einsatzes

  • Szenario 1 – manuelle Klassifizierung: Ein Benutzer erstellt ein Dokument. Der Benutzer weiß welcher Kategorie das Dokument zugewiesen werden muss und vergibt manuell das entsprechende Label.
  • Szenario 2 – automatische Klassifizierung: Zusätzlich zu Szenario 1 kann eine automatische Klassifizierung stattfinden. Dazu müssen sogenannte Informationstypen definiert oder selbst erstellt werden. Microsoft stellt Standard-Informationstypen wie beispielsweise Kreditkartennummer, Führerschein Nummer uns so weiter zur Verfügung. Eine komplette Liste der Standard-Informationstypen findet sich hier.
    Es können auch spezifische Informationstypen, die etwa auf einer Word-Vorlage basieren, erstellt werden. Ein Beispiel dazu wäre, dass alle Dateien, die auf der Wordvorlage „Vertrag“ beruhen, automatisch das Label „Vertraulich – Vertrag“ erhalten.
  • Szenario 3: Automatische Klassifizierung nach Ablageort: Hier kommt der AIP-Scanner, der Teil des AIP-Clients ist, zum Einsatz. Der Scanner kann NTFS-Freigaben und SharePoint-Bibliotheken verschlüsseln. Ein Beispiel wäre, wenn man alle Dateien, die in einen bestimmten Fileshare-Ordnern oder in bestimmten SharePoint Bibliotheken abgelegt sind, immer das Label „Vertraulich – Vertrag“ erhalten.

Automatischer Scanner für DSGVO-Recherchen

Der AIP Scanner läuft als Dienst auf einem Windows Server. Über eine parametrisierten Aufruf in der PowerShell prüft und verschlüsselt der Scanner dann alle Inhalte der definierten Speicherorte mit dem angegebenen Label. Diese Funktion kann auch genutzt werden, um Datenbestände im Nachhinein zu klassifizieren.

Gerade auch im Hinblick auf die Datenschutzgrundverordnung stellt der AIP Scanner ein sehr mächtiges Werkzeug dar. Der Scanner ist in der Lage nach personenbezogenen Daten zu suchen und diese auch direkt mit einem Label zu versehen.

Funktionen, Pakete und Lizensierung

Wer als Anwender seine Inhalte mit AIP schützen möchte, benötigt dafür eine Lizenz. Wer hingegen als externer oder interner Benutzer nur Inhalte konsumieren möchte, benötigen dafür keine Lizenz.

Azure Information Protection steht sowohl als eigenständige Lösung, aber auch als Teil der Enterprise Mobility + Security Suite zur Verfügung. Außerdem ist es Bestandteil von Microsoft 365 Enterprise und Office 365 E5.

Funktional betrachtet gibt es AIP in drei verschiedenen Ausführungen: AIP für Office 365, AIP P1 und AIP P2. Hier gibt es bei Microsoft eine Übersichtstabelle mit den Unterschieden im Funktionsumfang.

Was genau ist AIP, RMS und IRM?

Begriffserklärung und Abhängigkeiten:

  • Azure Right Management Service (RMS) stellt die Basis für Verschlüsslung und Regeln im Office-Umfeld dar. Anwendungen wie Word, Excel, PowerPoint, Outlook sowie die Server SharePoint und Exchange bieten native Unterstützung für Azure Rights Management und ermöglichen so das schützen von Dokumenten und E-Mails.
  • Azure Information Protection (AIP) baut technologisch auf RMS auf und benötigt den RMS-Dienst im Hintergrund. Mit AIP können Dateien individuell verschlüsselt und klassifiziert werden. Eine Nachverfolgung von Dateien sowie ein ausführliches Reporting zeigen wer wann und von wo aus eine mit AIP geschützte Datei geöffnet hat.
  • Information Rights Management (IRM) wird benötigt, um RMS mit Exchange oder SharePoint zu verbinden. Im Fall der On-Premises-Versionen von SharePoint und Exchange, oder beim Einsatz eines NTFS-Fileservers wird ein RMS-Connector benötigt. IRM integriert sich dabei nahtlos in Exchange und SharePoint.

Ist IRM eine Alternative bei SharePoint und Exchange?

  • Wenn Sie Dokumente in SharePoint-Bibliotheken schützen möchten, können Sie alternativ zu AIP auch IRM nutzen. Allerdings gibt es Einschränkungen bei Flexibilität und Funktionsumfang gegenüber AIP. So werden beispielsweise Dokumente in SharePoint erst beim Herunterladen verschlüsselt. Auch stellt IRM keine Option bereit, um Dateien zu klassifizieren. Berechtigungen müssen von einem Administrator auf Ebene der Seite bzw. der Bibliothek vergeben werden.
  • Möchten Sie eine E-Mail zum Beispiel der Einschränkung „Do not forward“ schützen, benötigen Sie die IRM-Optionen für Exchange. Damit lassen sich dann auch Funktionen wie etwa Data-Loss-Prevention-(DLP-)Richtlinien bereitstellen.

Je nach Anwendungszenario kann also entweder AIP oder IRM zum Einsatz kommen. Beide Funktionen benötigen den RMS Dienst in Hintergrund.

Linksammlung zur Azure Information Protection:



— Mehr zum Thema Sicherheit und Compliance in Office 365 und Azure
Der Xperts At Work Workshop zum Thema —


2 Comments
älteste
neuste beste Bewertung
Inline Feedbacks
View all comments
Matt
5 Jahre her

Worin liegt denn der Unterschied zu DLP, bietet das nicht ähnliche Funktionen?
VG

Nicki Borell
5 Jahre her
Reply to  Matt

Die beiden Features haben Überschneidungen bzw. lassen sie sich kombinieren. DLP stützt sich auf den Suchindex um Daten zu identifizieren die geschützte werden sollen. DLP fragt den Suchindex ab und vergleicht seinen Inhalt mit den DLP-Richtlinien. Mit DLP wird verhindert, dass ein Dokument freigegeben wird oder eine E-Mail versendet wird, wenn es dafür eine DLP Richtlinien gibt. AIP ist ein Schutzmechanismus, der im Dokument selbst lebt. Ein Label wird einem Dokument oder einer E-Mail zugeordnet. Diese Eigenschaft bleibt beim Dokument, unabhängig davon, wo es gespeichert ist. Mit AIP werden Dokument verschlüsseln und bestimmte Aktionen wie Kopieren, Bearbeiten, Weiterleiten usw. verhindert.… Read more »