logo

Einstellungen für die Verhinderung von Datenverlust in Office 365 (DLP)

Die Verhinderung von Datenverlust (Data Loss Prevention, DLP) ist ein intelligenter Dienst, der Teil von Microsoft Information Protection (MIP) in Microsoft 365 ist. Er sucht nach Nachrichten, Dateien und anderen Dokumenten, die sensible Informationen enthalten. Anschließend wendet er Richtlinien an, in denen Sie festgelegt haben, wie diese Daten genutzt werden können. Mit dem Dienst möchten Unternehmen vor allem sensible Informationen wie Kreditkartennummern, Versicherungsnummern und andere personenbezogene Informationen identifizieren. In DLP sind zahlreiche Typen sensibler Informationen bereits integriert und Sie haben die Möglichkeit, weitere benutzerdefinierte Typen zu erstellen, wenn Sie aus Sicherheitsgründen oder zur Einhaltung gesetzlicher Vorschriften bestimmte Inhalte identifizieren und schützen möchten.

 

Anhand von DLP-Regeln und -Richtlinien bestimmt der Dienst die Wahrscheinlichkeit, dass ein Text sensible Informationen enthält. Wenn Benutzer versuchen, mit diesen Daten zu interagieren, wendet der Dienst die konfigurierten Richtlinien an. Versucht ein Benutzer beispielsweise, eine kritische Datei an eine E-Mail anzuhängen, wird die Aktion entweder blockiert oder ein Warnhinweis angezeigt, dass die angehängte Datei offenbar sensible Informationen enthält.

Einrichten von Office 365 DLP-Richtlinien

In einer Office 365-Umgebung empfiehlt es sich, mandantenweite DLP-Richtlinien zu konfigurieren, die nicht nur auf E-Mails angewendet werden, sondern auch auf Dateien und Text auf SharePoint- und OneDrive for Business-Websites sowie in anderen Diensten. Wenn Sie DLP-Richtlinien im Exchange Admin Center konfigurieren, gelten diese nur für E-Mails. Durch die Konfiguration an der richtigen Stelle hingegen profitieren Sie ohne Zusatzkosten von zuverlässigem Schutz für mehrere Dienste. Gehen Sie wie folgt vor, um mandantenweite DLP-Richtlinien zu konfigurieren:

  1. Wechseln Sie zum Security and Compliance Center im Verwaltungsportal unter https://protection.office.com/?rfr=AdminCenter#/homepage.
  2. Klicken Sie links auf Data Loss Prevention und anschließend im rechten Fenster auf Create a new policy.

Managing Office 365 DLP Starting New DLP PolicyAbbildung 1: Definieren einer neuen DLP-Richtlinie

Office 365 stellt eine Reihe bereits ausgefüllter DLP-Richtlinienvorlagen bereit. Beispielsweise gibt es für US-Unternehmen Vorlagen, die folgende Daten und Informationen auffinden:

  • Daten, die dem Gramm-Leach-Bliley Act (GLBA) unterliegen
  • Daten, die dem Payment Card Industry Data Security Standard (PCI-DSS) unterliegen
  • Personenbezogene Informationen von US-Bürgern
  • Daten, die dem Health Insurance Portability and Accountability Act von 1996 (HIPAA) unterliegen
  1. Klicken Sie in diesem Beispiel auf Financial und dann auf Financial Data. Klicken Sie auf Next.
  2. Geben Sie einen Namen und eine Beschreibung für die Richtlinie ein. Klicken Sie auf Next.
  3. Legen Sie auf der Seite Choose locations fest, für welche Bereiche von Office 365 diese DLP-Richtlinie gelten soll. Wählen Sie für unser Beispiel die Option All locations. Klicken Sie anschließend auf Next.
  4. Im nächsten Fenster können Sie die Informationstypen anpassen, für die diese Richtlinie gelten soll. In den meisten Fällen genügt es, zumindest anfangs die Standardeinstellungen zu übernehmen. Für unser Beispiel suchen wir nach Finanzinformationen wie Kreditkartennummern, US-Kontonummern und Bankleitzahlen. Wir möchten darüber informiert werden, wenn jemand versucht, diese Inhalte an Personen außerhalb des Unternehmens weiterzugeben. Klicken Sie auf Next.

Managing Office 365 DLP Specifying the Type of ContentAbbildung 2: Festlegen der Inhaltstypen, die mit einer DLP-Richtlinie geschützt werden sollen

  1. Im nächsten Schritt werden Sie gefragt, welche Methoden zur Durchsetzung der Richtlinie Sie verwenden möchten. Sie können festlegen, dass den Benutzern lediglich Richtlinientipps angezeigt werden, die sie darauf hinweisen, dass sie mit sensiblen Informationen arbeiten. Alternativ können Sie bestimmen, dass bestimmte Mitarbeiter informiert oder die entsprechenden Aktionen blockiert werden. Ändern Sie für unser Beispiel die Zahl der erforderlichen Instanzen zu 1 – bereits eine preisgegebene Kreditkartennummer ist eine zu viel – und legen Sie mit der Option Block people from sharing and restrict access to shared content fest, dass die Weitergabe der Inhalte blockiert wird. (Wenn Sie diese Art von sensiblen Daten aus geschäftlichen Gründen austauschen müssen, können Sie mithilfe der DLP-Richtlinie festlegen, dass die Daten vor dem Versenden automatisch verschlüsselt werden. Wählen Sie hierfür die letzte Option auf dieser Seite.) Klicken Sie auf Next.

Managing Office 365 DLP Configuring Actions Upon Triggering a DLP PolicyAbbildung 3: Konfigurieren der von einer DLP-Richtlinie ausgelösten Aktionen

  1. Auf der nächsten Seite können Sie bestimmen, dass der Zugriff bestimmter Personen auf SharePoint- und OneDrive for Business-Inhalte blockiert wird. Sie können außerdem festlegen, ob und wie Benutzer die DLP-Richtlinie außer Kraft setzen können.

Office 365 DLP Customizing access and override permissionsAbbildung 4: Anpassen der Zugriffsrechte und Einstellungen für das Außerkraftsetzen der Richtlinie

  1. Abschließend können Sie festlegen, ob die Richtlinie im Testmodus ausgeführt oder umgehend angewendet werden soll. Es empfiehlt sich, zunächst im Testmodus zu überprüfen, ob es keine negativen Auswirkungen auf die Workflows der Benutzer gibt. Im Testmodus werden Richtlinienübereinstimmungen gekennzeichnet, das Versenden von Inhalten wird jedoch nicht verhindert. Dieser „Was-wäre-wenn-Modus“ zeigt somit, welche Inhalte die Durchsetzung einer Richtlinie auslösen würden. Sie können Office auch anweisen, zur Schulung von Benutzern im Testmodus Tipps in Outlook anzuzeigen.

Managing Office 365 DLP Activating the PolicyAbbildung 5: Aktivieren der Richtlinie

  1. Überprüfen Sie Ihre Einstellungen und schließen Sie den Assistenten.

Anzeigen von DLP-Berichten

Um die Auswirkungen von DLP-Richtlinien auf Ihr Unternehmen zu verstehen, sollten Sie überprüfen, wie häufig Benutzer versucht haben, Inhalte zu versenden, die unter eine DLP-Richtlinie fallen. Im Office 365 Security and Compliance Center stehen Berichte bereit, die Aufschluss darüber geben, wie viele Übereinstimmungen mit DLP-Richtlinien es in einem bestimmten Zeitraum gab, wie viele falsch positive Ergebnisse darunter waren und wie häufig Richtlinien außer Kraft gesetzt wurden. Mithilfe von Filtern können Sie die Ergebnisse auf Richtlinienübereinstimmungen in Exchange Online, OneDrive for Business und SharePoint Online eingrenzen. Sie können die Ergebnisse außerdem nach Schweregrad, nach dem Benutzer, der gegen die Richtlinie verstoßen hat, sowie nach den ergriffenen Maßnahmen filtern.

Managing Office 365 DLP Reporting on DLP Policy MatchesAbbildung 6: Bericht zu DLP-Richtlinienübereinstimmungen

Lösungen von Netwrix unterstützen Sie bei der Vermeidung von Datenverlust

Wie effektiv Ihr DLP-Programm ist, hängt sehr stark von einer präzisen Datenklassifizierung und einem umfassenden Datenlebenszyklusmanagement ab. Zwar stellt Microsoft grundlegende Funktionen für die Datenklassifizierung bereit, doch sind diese mit verschiedenen Einschränkungen verbunden. Insbesondere lassen sie sich nicht flexibel anpassen, geben keinen Aufschluss über die Ursachen für die Klassifizierung und unterstützen nur bestimmte Dateiformate. Ihre Verwendung kann daher zu einer Vielzahl falsch positiver und falsch negativer Ergebnisse führen, was wiederum zur Folge hat, dass sensible Daten nicht ausreichend und unwichtige Daten möglicherweise zu sehr geschützt werden. Dies beeinträchtigt nicht nur die Sicherheit und Compliance, sondern kann auch Unterbrechungen und Verzögerungen bei Geschäftsprozessen nach sich ziehen. Aus diesen Gründen verwenden viele Unternehmen die Klassifizierung in Office 365 als Grundlage und nutzen Lösungen von Drittanbietern, um Daten und Inhalte noch genauer zu klassifizieren.

Netwrix Data Classification ermöglicht eine hochpräzise Klassifizierung, die in Microsoft Information Protection integriert ist. Die Lösung von Netwrix führt statistische Analysen durch, analysiert und klassifiziert Inhalte und wendet die entsprechenden MIP-Bezeichnungen darauf an. Die mit diesen Bezeichnungen verknüpften Sicherheitsrichtlinien werden automatisch auf die Inhalte angewendet. Die Bezeichnungen können als Bedingung in Microsoft DLP-Richtlinien für folgende Inhalte verwendet werden:

  • Exchange Online-E-Mails
  • SharePoint Online
  • OneDrive for Business-Websites
  • Windows 10-Geräte

Netwrix Data Classification verringert die Anzahl falsch negativer und falsch positiver Ergebnisse deutlich und minimiert so das Risiko, dass sensible Dateien mit externen Personen ausgetauscht werden oder für Akteure mit böswilliger Absicht zugänglich sind. Da nicht sensible Dateien nicht unnötigerweise blockiert werden, hilft die Lösung auch, Unterbrechungen der Geschäftsprozesse zu vermeiden.

Zusammenfassung

Bei der Migration von Inhalten in die Cloud muss Ihr Unternehmen sicherstellen, dass alle dort gespeicherten sensiblen Informationen präzise klassifiziert und ausreichend geschützt werden. Ein wichtiger erster Schritt ist dabei die Verhinderung von Datenverlust mit Office 365 DLP. Um Ihr Information-Governance-Programm weiter zu verbessern und effektiver zu gestalten, können Sie eine Drittanbieterlösung nutzen, die Funktionen für eine präzisere und automatisierte Datenklassifizierung enthält.

 

Office 365 Administrator’s Guide