Dokumente automatisiert verschlüsseln: So verwenden Sie Sensitivity Labels in Microsoft 365-Diensten

Microsoft-Azure-Information-ProtectionMit dem wachsenden Einsatz von Microsoft Teams in geschäftlichen Umgebungen taucht auch immer öfter die Frage auf, ob und wie sensible Daten sicher verarbeitet und gespeichert werden können. Microsoft bietet dafür einige Sicherheitsfunktionen an, zu denen auch ein automatisiertes, regelbasierendes Verschlüsseln von Dateien gehört.

Die Anforderung zum Schutz sensibler Dokumente ergibt sich einerseits aus allgemeinen Datenschutzaspekten wie der DSGVO. Oft sind aber auch unternehmens- oder branchenspezifische Compliance-Regeln zu beachten, die dann von den Anwendungen unterstützt werden sollten.

Schutzstatus von Inhalten mit Vertraulichkeitsbezeichnungen festlegen

Microsoft stellt mit Microsoft Information Protection (MIP) ein Paket an Funktionen bereit, mit denen Sie vertrauliche Informationen in den verschiedensten Szenarien schützen und verwalten können. Eine zentrale Funktion sind die Sensitivity Labels, auf Deutsch Vertraulichkeitsbezeichnungen. Damit können Sie Inhalte nach ihrem Schutzstaus kennzeichnen und zusätzlich auch verschlüsseln. Diese Option ist insbesondere dann gefragt, wenn sensible Daten in der Cloud abgelegt verarbeiten werden sollen.

Einfache Bedienung: Den Vertraulichkeitsstatus können Sie in Office-Apps wie Word per Klick festlegen.

Automatisiertes Labeling erst ab E5-Lizenz

Die Vertraulichkeitsbezeichnungen sind ab der Office 365-Lizenz E3 enthalten. Allerdings müssen die Labels hier manuell vergeben werden, was einen erhöhten Aufwand für die Anwender bedeutet. Um das Kennzeichnen zu automatisieren, ist eine erweiterte Lizenz mit Auto-Labeling erforderlich, also eine Office 365 E5-Lizenz oder ein Lizenz Add-On wie Microsoft 365 E5 Security & Compliance. Damit lassen sich dann Szenarien realisieren wie: „Alle Dateien, die im Team der Geschäftsleitung abgelegt werden, automatisch mit dem Label Internal Only versehen.“

Die Aktivierung von Auto-Labeling erfolgt über das Microsoft 365 Compliance Center:

Unter Information Protection im Compliance Center lassen sich Richtlinien für die automatische Vergabe von Vertraulichkeitsbezeichnungen anlegen.

Sie können hier zunächst die Orte für das automatische, regelbasierende Vergeben von Labels festlegen, also Exchange, SharePoint, OneDrive – und damit auch Teams:

Als Bereiche zur Vergabe von Labels können Exchange, SharePoint und OneDrive ausgewählt werden.

Zu beachten ist, dass sich der automatische Schutz nur auf bestimmte Dateitypen beschränkt. Eingeschlossen sind Office Dateien vom Typ DOCX, PPTX und XSLX in SharePoint und OneDrive. Bei Exchange Online gilt, dass PDF-Anhänge und Office-Dateien anhand der festgelegten Auto-Labeling-Richtlinie überprüft werden. Trifft die Richtlinie zu, wird die E-Mail als zu schützend gekennzeichnet, allerdings nicht der Anhang. Weitere Details dazu finden Sie hier: Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf Inhalte.

Besonderheiten beim Schützen von Nicht-Office-Dateien

Sensible Inhalte finden sich oft auch in Dateien außerhalb des Office-Spektrums. Hier ist vor allem das PDF-Format zu nennen, verbreitet sind zudem JPG, PNG, Visio (VSDX) und etliche andere. Eine komplette Liste der von MIP unterstützten Formatefinden Sie in folgendem Artikel: Unterstützte Dateitypen für Klassifizierung und Schutz.

Auch diese Formate können Sie automatisch mit einem Label versehen. Dazu müssen Sie in der Microsoft Defender for Cloud Apps eine Dateirichtlinie erstellen:

Wenn die Verschlüsselung auch auf Nicht-Office-Dateien ausgeweitet werden soll, lässt sich das in Microsoft Defender for Cloud Apps konfigurieren.

Weitere Informationen dazu finden Sie hier: Tutorial: Automatisches Anwenden von Azure Information Protection-Klassifizierungsbezeichnungen

Der abgebildete Dienst Microsoft Defender for Cloud Apps ist übrigens nicht Bestandteil des E5-Pakets. Die Lizenz ist über unterschiedliche Pakete zu erwerben: Erste Schritte mit Microsoft Defender für Cloud-Apps.

Schützen weiterer Dateitypen mit dem AIP-Client

Dateischutz aktivieren über den Windows Explorer – eine Zusatzfunktion des AIP-Clients.

Falls Sie Dateien verschlüsseln wollen, die nicht in der Liste der Unterstützte Dateitypen für Klassifizierung und Schutz aufgeführt sind, können Sie den Azure Information Protection (AIP)-Client nutzen. Mit dieser Anwendung können Sie jedes beliebige Dateiformat verschlüsseln und wieder entschlüsseln.

Sofern sich ein Format nicht auf der Liste befindet, eignet sich der Information Protection Viewer allerdings nicht zur Dateianzeige. Eine solche Datei muss dann erst entschlüsselt abgespeichert werden, um sie anschließend mit der zugehörigen Client-Anwendung zu öffnen. Diese Lücke betrifft zum Beispiel auch noch Videoformate.

Nicht unterstützte Dateitypen ver- und entschlüsseln

Um auch solche nicht unterstützten Dateien mittels automatischem Labeling zu schützen, können Sie folgendermaßen vorgehen:

  1. Synchronisieren Sie den Ordner mit den Video-Dateien, die verschlüsselt werden sollen, mit OneDrive for Business.
  2. Verschlüsseln Sie die Video-Dateien am lokalen Rechner mit folgendem PowerShell-Skript:
    Set-AIPFileLabel -Path C:\Project Videos\ -LabelId d9f23ae3-1324-1234-1234-f515f824c57b
  3. Anschließend synchronisiert OneDrive for Business die verschlüsselten Video-Dateien wieder nach SharePoint Online.

Ausblick:

Microsoft hat dazu nun eine neue Funktion angekündigt, die zum gleichen Ergebnis führt. Damit kann einer SharePoint Online Dokumentenbibliothek ein Label zugewiesen werden, dass dann automatisch auf alle Dateien in dieser Bibliothek angewendet wird.  Mehr Infos dazu gibt es hier: https://www.microsoft.com/en-us/microsoft-365/roadmap?filters=&searchterms=85621

0 Comments
Inline Feedbacks
View all comments