Dokumente automatisiert verschlüsseln: So verwenden Sie Sensitivity Labels in Microsoft 365-Diensten
Mit dem wachsenden Einsatz von Microsoft Teams in geschäftlichen Umgebungen taucht auch immer öfter die Frage auf, ob und wie sensible Daten sicher verarbeitet und gespeichert werden können. Microsoft bietet dafür einige Sicherheitsfunktionen an, zu denen auch ein automatisiertes, regelbasierendes Verschlüsseln von Dateien gehört.
Die Anforderung zum Schutz sensibler Dokumente ergibt sich einerseits aus allgemeinen Datenschutzaspekten wie der DSGVO. Oft sind aber auch unternehmens- oder branchenspezifische Compliance-Regeln zu beachten, die dann von den Anwendungen unterstützt werden sollten.
Schutzstatus von Inhalten mit Vertraulichkeitsbezeichnungen festlegen
Microsoft stellt mit Microsoft Information Protection (MIP) ein Paket an Funktionen bereit, mit denen Sie vertrauliche Informationen in den verschiedensten Szenarien schützen und verwalten können. Eine zentrale Funktion sind die Sensitivity Labels, auf Deutsch Vertraulichkeitsbezeichnungen. Damit können Sie Inhalte nach ihrem Schutzstaus kennzeichnen und zusätzlich auch verschlüsseln. Diese Option ist insbesondere dann gefragt, wenn sensible Daten in der Cloud abgelegt verarbeiten werden sollen.
Automatisiertes Labeling erst ab E5-Lizenz
Die Vertraulichkeitsbezeichnungen sind ab der Office 365-Lizenz E3 enthalten. Allerdings müssen die Labels hier manuell vergeben werden, was einen erhöhten Aufwand für die Anwender bedeutet. Um das Kennzeichnen zu automatisieren, ist eine erweiterte Lizenz mit Auto-Labeling erforderlich, also eine Office 365 E5-Lizenz oder ein Lizenz Add-On wie Microsoft 365 E5 Security & Compliance. Damit lassen sich dann Szenarien realisieren wie: „Alle Dateien, die im Team der Geschäftsleitung abgelegt werden, automatisch mit dem Label Internal Only versehen.“
Die Aktivierung von Auto-Labeling erfolgt über das Microsoft 365 Compliance Center:
Sie können hier zunächst die Orte für das automatische, regelbasierende Vergeben von Labels festlegen, also Exchange, SharePoint, OneDrive – und damit auch Teams:
Zu beachten ist, dass sich der automatische Schutz nur auf bestimmte Dateitypen beschränkt. Eingeschlossen sind Office Dateien vom Typ DOCX, PPTX und XSLX in SharePoint und OneDrive. Bei Exchange Online gilt, dass PDF-Anhänge und Office-Dateien anhand der festgelegten Auto-Labeling-Richtlinie überprüft werden. Trifft die Richtlinie zu, wird die E-Mail als zu schützend gekennzeichnet, allerdings nicht der Anhang. Weitere Details dazu finden Sie hier: Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf Inhalte.
Besonderheiten beim Schützen von Nicht-Office-Dateien
Sensible Inhalte finden sich oft auch in Dateien außerhalb des Office-Spektrums. Hier ist vor allem das PDF-Format zu nennen, verbreitet sind zudem JPG, PNG, Visio (VSDX) und etliche andere. Eine komplette Liste der von MIP unterstützten Formatefinden Sie in folgendem Artikel: Unterstützte Dateitypen für Klassifizierung und Schutz.
Auch diese Formate können Sie automatisch mit einem Label versehen. Dazu müssen Sie in der Microsoft Defender for Cloud Apps eine Dateirichtlinie erstellen:
Weitere Informationen dazu finden Sie hier: Tutorial: Automatisches Anwenden von Azure Information Protection-Klassifizierungsbezeichnungen
Der abgebildete Dienst Microsoft Defender for Cloud Apps ist übrigens nicht Bestandteil des E5-Pakets. Die Lizenz ist über unterschiedliche Pakete zu erwerben: Erste Schritte mit Microsoft Defender für Cloud-Apps.
Schützen weiterer Dateitypen mit dem AIP-Client
Falls Sie Dateien verschlüsseln wollen, die nicht in der Liste der Unterstützte Dateitypen für Klassifizierung und Schutz aufgeführt sind, können Sie den Azure Information Protection (AIP)-Client nutzen. Mit dieser Anwendung können Sie jedes beliebige Dateiformat verschlüsseln und wieder entschlüsseln.
Sofern sich ein Format nicht auf der Liste befindet, eignet sich der Information Protection Viewer allerdings nicht zur Dateianzeige. Eine solche Datei muss dann erst entschlüsselt abgespeichert werden, um sie anschließend mit der zugehörigen Client-Anwendung zu öffnen. Diese Lücke betrifft zum Beispiel auch noch Videoformate.
Nicht unterstützte Dateitypen ver- und entschlüsseln
Um auch solche nicht unterstützten Dateien mittels automatischem Labeling zu schützen, können Sie folgendermaßen vorgehen:
- Synchronisieren Sie den Ordner mit den Video-Dateien, die verschlüsselt werden sollen, mit OneDrive for Business.
- Verschlüsseln Sie die Video-Dateien am lokalen Rechner mit folgendem PowerShell-Skript:
Set-AIPFileLabel -Path C:\Project Videos\ -LabelId d9f23ae3-1324-1234-1234-f515f824c57b
- Anschließend synchronisiert OneDrive for Business die verschlüsselten Video-Dateien wieder nach SharePoint Online.
Ausblick:
Microsoft hat dazu nun eine neue Funktion angekündigt, die zum gleichen Ergebnis führt. Damit kann einer SharePoint Online Dokumentenbibliothek ein Label zugewiesen werden, dass dann automatisch auf alle Dateien in dieser Bibliothek angewendet wird. Mehr Infos dazu gibt es hier: https://www.microsoft.com/en-us/microsoft-365/roadmap?filters=&searchterms=85621
- Gefährliche Microsoft 365-Lücke: Wie Sie illegale Zugriffe über Power-Platform-Gastkonten verhindern - 11. September 2023
- Eigene Daten im ChatGPT-Stil erforschen: So nutzen Sie Azure OpenAI und Azure Cognitiv Search für interne KI-Lösungen - 17. Juli 2023
- Mit dem Security Copilot führt Microsoft einen KI-Assistenten für IT-Sicherheit ein - 30. März 2023