Cyberopex

Datenklassifizierung mit Purview Sensitivity Labels und Retention Labels

Table of Content:

Sensible Datenverwaltung und langfristige Aufbewahrung

Sensible Datenverwaltung und langfristige Aufbewahrung sind in der heutigen digitalen Welt von grösster Bedeutung. Die richtige Handhabung von sensiblen Informationen und die Einhaltung von Aufbewahrungsrichtlinien sind entscheidend, nicht nur für die Sicherheit und den Datenschutz, sondern auch für die Compliance mit gesetzlichen Vorschriften. In unserem neuesten Blogbeitrag tauchen wir in das Thema “Sensitivity und Retention Labels mit Purview” ein, und wir zeigen Ihnen, wie Sie diese leistungsstarken Tools nutzen können, um Ihre sensiblen Daten effektiv zu schützen, zu organisieren und langfristig aufzubewahren. Erfahren Sie, wie Microsoft Purview Ihnen dabei hilft, die Kontrolle über Ihre Daten zu behalten und gleichzeitig die Anforderungen an Datenschutz und Compliance zu erfüllen.

Quelle: Microsoft.com

Was sind Sensitivity Labels?

Sensitivity Labels (auch als Schutzklassen oder Schutzmarkierungen bezeichnet) sind eine Methode zur Kennzeichnung von Informationen oder Daten, um deren Sicherheitsstufe oder Vertraulichkeitsstufe zu kennzeichnen. Diese Labels dienen dazu, sicherzustellen, dass sensible oder vertrauliche Informationen angemessen geschützt und behandelt werden. Mit Purview haben sie die Möglichkeit verschiedene Voreinstellungen für ein Sensitivity Label zu definieren. Hier eine Übersicht:
  • Verschlüsselung: Mails, Meeting Einladungen und Dokumente werden verschlüsselt. Bei der Erstellung des Sensitivity Label kann ausgewählt werden, ob der anwendende User definieren kann, welche Personen Zugriff haben oder ob die berechtigten Personen vordefiniert werden. Weiter kann definiert werden, welche Aktionen durch den User durchgeführt werden dürfen.
  • Markierung: Kopf- und Fusszeile können auf die gelabelten Dokumente, Meeting Einladungen und E-Mails angewendet werden. Für Dokumente können zusätzlich Wasserzeichen festgelegt werden.
  • Microsoft Teams, SharePoint und M365 Groups (Containers): Falls aktiviert, können Einstellungen für den Zugriff von Externen, nicht gemanagten Geräten und Sharing Einstellungen festgelegt werden.
  • Automatische Anwendung eines Labels: Es kann festgelegt werden welche Dokumente, E-Mails und Meeting Einladungen klassifiziert werden sollen und mit welchem Label oder dem User kann ein „Policy Tip“ angezeigt werden, welcher ein Sensitivity Label vorschlägt.
  • Scope: Beim Erstellen des Labels kann ausgewählt werden, für welchen Scope das Label Gültigkeit hat. Zur Auswahl stehen: Items: Files, Emails, Meetings Groups & Sites: Privacy, Zugriffsschutz und mehr für Teams, M365 Groups und SharePoint Seiten Schematized data assets (preview): Labels werden für schematisierte Daten angewendet in Microsoft Purview Data Map (SQL, Azure SQL, Azure Synapse, Azure Cosmos, AWS RDS etc.)
  • Priorisierung und Gruppierung: Den Labels wird eine Priorität zugewiesen, beginnend bei 0 (tiefste Priorität). Die Priorisierung wird verwendet, wenn die automatische Labeling Funktion aktiviert ist, um die bei mehreren zutreffenden Labels jeweils das Label mit der höchsten Priorität zu zuweisen. Weiter kann zu den jeweiligen Labels eines oder mehrere Sublabels kreiert werden. Die Einstellungen des Parent Label werden nicht vererbt. Der Einzige Zweck von Parent Labels ist die logische Gruppierung der Sublabels.

Wie können Sensitivity Labels angewendet werden?

Um die Sensitivity Labels verwenden zu können, müssen diese für die User publiziert werden. Dies geschieht in dem eine Label Policy erstellt wird. In der Label Policy werden folgende Einstellungen definiert:
  • Users & Groups: Die Labels können spezifischen Usern oder Gruppen zur Verfügung gestellt werden. Default Label: Festlegen eines Default Label das auf Dokumente, Emails und Meetings sowie Containers angewendet wird. Wenn Sublabels eingerichtet wurden, sollte nicht das Parent Label als Default verwendet werden.
  • Label Wechsel: Die Labels von Items können durch den User geändert werden. In der Policy kann definiert werden, ob bspw. beim Wechsel auf ein Label mit tieferer Priorität eine Begründung durch den User angeben werden muss.
  • Obligatorisches Labeling: Definiert ob immer ein Label für Items und Containers vergeben werden muss. Der User wird bei der Erstellung des Containers oder dem Erstellen eines Items aufgefordert ein Label zu vergeben.
  • Help Link: Den Usern wird ein Help Link im Labeling Kontext angezeigt, um sie bei der Zuweisung eines Labels zu unterstützen bspw. Link zu einer internen SharePoint Seite.
  • Usern und Gruppen können mehrere Policies zugewiesen werden. Wenn mehrere Policies die Konditionen erfüllen, wird jeweils die Policy mit der höchsten Priorität angewendet. Die Priorität wird nummerisch zugewiesen, beginnend bei 0 (tiefste Priorität).
Das Setzen eines Labels kann entweder direkt in der Applikation durchgeführt werden wie beispielswiese in Word (siehe Bild unten) oder das Label kann auf mehrere Files, die gewisse Bedingungen erfüllen gleichzeitig angewendet werden.
Anwenden eines Sensitivity Labels in Word
Für die automatische Anwendung von Labels wird die Einstellung „Auto-Labeling“ verwendet. In dieser Einstellung werden Sensitive Infotypen oder trainierte Klassifizierer definiert, bei deren Verwendung das Label automatisch angewendet wird. Nebst der Einstellung im Label selbst, können auch Auto-Labeling Policies erstellt werden. Es gibt noch andere Möglichkeiten wie File-Policies in Microsoft Defender for Cloud, die in einem späteren Blogpost behandelt werden.

Beispiele Sensitivity Label und Label Policy

Mit den verschiedenen Konfigurationseinstellungen, die es für Sensitivity Labels und Label Policies gibt, können verschiedenste Use Cases abgedeckt werden. So kann beispielsweise ein Label erstellt werden, mit dem E-Mails gekennzeichnet werden sollen, die nur für den Empfänger lesbar sind. Dies wird durch die Verschlüsselung der E-Mail und dem Rights Management Service sichergestellt. Weiter kann definiert werden, dass solche E-Mails nicht weitergeleitet und nicht gedruckt werden können. Ein anderes Beispiel wäre, dass ein Label erstellt wird, mit dem der Zugriff auf Files nur auf User aus der eigenen Organisation oder einem begrenzten Kreis von Usern erlaubt ist. Es kann aber auch dem User überlassen werden, der das Label anwendet, die Zugriffsberechtigungen zu vergeben. Weitere Szenarien für die Anwendung von Sensitivity Labels finden sie auf der Webseite von Microsoft.

Was sind Retention Labels und Retention Policies?

Mit den Retention Labels kann die Aufbewahrungsdauer und Aktionen, die nach Ablauf durchgeführt werden sollen, auf Stufe des Ordners, Dokuments oder E-Mail festgelegt werden. Mit Retention Policies kann dies auf Stufe SharePoint Seite oder Mailbox festgelegt werden. Die Labels können manuell oder automatisiert angewendet werden. Der Start der Aufbewahrungsdauer kann basierend auf einem Event festgelegt werden. Weiter besteht die Möglichkeit ein Dokument oder E-Mail als „Record“ zu kennzeichnen, wodurch weitere Aktionen nach Ablauf der Aufbewahrungsdauer zur Verfügung stehen wie beispielsweise ein „Disposition Review“, womit nochmals bestätigt werden muss, ob der Inhalt gelöscht werden kann. Für Retention Labels und Policies gibt es nebst der Unterscheidung auf welcher Ebene sie angewendet werden können auch Funktionale Unterschiede, so wandern beispielsweise die Aufbewahrungseinstellungen eines Labels mit dem Item mit, egal wo dieses im Unternehmen gespeichert wird.

Wie werden Retention Labels angewendet?

Um Retention Labels verwenden zu können müssen diese wie auch die Sensitivity Labels publiziert werden. In der Label Policy für Retention Labels können folgende Einstellungen festgelegt werden:
  • Administrative Units: Sind Container die Microsoft Entra Ressourcen wie Geräte, User und Gruppen beinhalten. Die Policy kann für das ganze Directory oder spezifische Admin Units publiziert werden.
  • Scope: Es wird zwischen dem statischen und dem adaptiven Scope unterschieden. Statischer Scope: Die Policy kann auf Exchange Mailboxen, SharePoint Seiten, OneDrive Accounts und Microsoft 365 Gruppen und Mailboxen angewendet werden. Ausnahmen können pro Ort festgelegt werden. Adaptive Scope: Die Policy wird wie beim statischen Scope auf verschiedene Orte angewendet. Anstatt einzelne User, Seite oder Gruppen aus- oder einzuschliessen können basierend auf Attributen von Usern, SharePoint Seiten und M365 Gruppen Kriterien festgelegt werden, anhand welcher der Scope definiert wird. Die Adaptiven Scopes unterstützen verschiedenste Attribute wie Departement, Region, Land, Site URL uvm.
Nach dem Publizieren der Labels können diese über das Kontext Menü des Files oder E-Mails angewendet werden (siehe Bild unten).
Anwenden eines Retention Label in OneDrive

Beispiel Retention Policy

Microsoft 365 hat Standard-Aufbewahrungsdauern für Items in SharePoint, OneDrive und Exchange Online:
  • Exchange Online: Löschen von Emails vom „Deleted Items“ Ordner können für bis zu 14 Tage wiederhergestellt werden. Diese Einstellung kann in Exchange Online durch den Admin auf bis zu 30 Tage erhöht werden.
  • SharePoint Online und OneDrive for Business: Gelöschte Items werden 93 Tage im Papierkorb aufbewahrt. Durch die Versionisierungsfunktionalität werden mehrere Versionen eines Items gespeichert.
Wenn ein User das Unternehmen verlässt oder die Lizenz entfernt wird, wird die Mailbox als “to be deleted” markiert und in 30 Tagen dauerhaft gelöscht. Der OneDrive Ordner wird ebenfalls nach 30 Tagen dauerhaft gelöscht. Diese Einstellung kann jedoch auf bis zu 3’650 erhöht werden. Um die Mailbox länger aufzubewahren, muss eine Retention Policy für Exchange Online definiert werden:
  • Type: Static
  • Locations: Exchange E-Mail – Included: All recipients, Excluded: None
  • Retention settings: Retain items for a specific period – 5 years, Start: When items were created, End: Delete items automatically
Mit solch einer Policy können Inaktive Mailboxen entweder einem neuen User Account oder einem bestehenden User Account zugewiesen werden. Wenn die Mailbox einem bestehenden User zugewiesen wird, wird eine Kopie erstellt und das Original als Inaktive Mailbox behalten.

Beispiel Retention Label

Mit Retention Labels können spezifische Aufbewahrungsszenarien beispielsweise aufgrund von rechtlichen oder regulatorischen Anforderungen umgesetzt werden. Mögliche Items die spezifische Aufbewahrungsdauern benötigen könnten:
  • Verträge
  • Patente
  • Meeting Minutes
  • Budget
  • HR Incidents
  • Personal Dokumente
Retention Labels für solche Dokumente könnte definiert werden, dass diese für immer aufbewahrt, werden:
  • Name: Keep forever
  • Retention settings: Retain items forever
Für Microsoft 365 Groups (bspw. MS Teams) gibt es zusätzlich noch die Möglichkeit eine Expiration Policy festzulegen. Mit dieser Policy wird definiert wie lange eine Gruppe bestehen bleiben soll und die Eigentümer der Gruppe werden vor Ablauf informiert, mit der Option zu verlängern. Weiter kann eine E-Mail-Adresse hinterlegt werden, die über „orphaned“ Gruppen informiert wird.

Fazit zu Microsoft Purview

Microsoft Purview bietet ein breites Spektrum an Lösungen, die zusammenarbeiten, um eine robuste, flexible und integrierte Plattform für Datenmanagement und Compliance zu schaffen. An der diesjährigen Microsoft Ignite wurden weitere Funktionalitäten gezeigt wie bspw. die Integration in Microsoft Copilot. In unserem nächsten Blog-Post gehen wir genauer auf die Sensitivity Labels und Retention Labels ein und zeigen, wie diese in Ihrem Unternehmen eingesetzt werden könnten.
Möchten Sie mehr zu Microsoft Purview erfahren, dann zögern Sie nicht uns zu kontaktieren.

FAQ

Mehr zum Thema Sensitivity und Retention Labels

Wo können Sensitivity Labels verwendet werden?

Die Sensitivity Labels können in verschiedenen Apps für verschiedene Items/Dokumente angewendet werden. Ein Dokument kann pro Organisation ein Sensitivity Label und ein Retention Label haben:

  • Microsoft 365 Apps (Desktop, Web & Mobile Version)
  • SharePoint Online (Sites, Libraries & Lists)
  • OneDrive for Business
  • Microsoft Teams (Files shared, Channels, Meetings)
  • Windows File Server (Files & Folders)
  • Power BI
  • Adobe PDFs
  • Other Document Formats and Apps (Microsoft Information Protection SDK / Microsoft Defender for Cloud Apps)
Wie viele Sensitivity Labels können erstellt werden?

Es gibt keine Obergrenze für unverschlüsselte Sensitivity Labels. Für Labels mit Verschlüsslung liegt die Obergrenze bei 500. Der Grundsatz ist jedoch, umso weniger, umso besser.

Welche Filetypen werden unterstützt?

Alle Office Open XML Formate wie beispielswiese .docx, .xlsx oder .pptx und PDFs werden unterstützt. Ältere Formate wie .doc, .xls oder .ppt (Office 97-2003 Format) und offene Dokumentformate wie .odt oder .ods werden nicht unterstützt.

Können einem User, Container oder Gruppe mehrere Retention Policies oder Labels zugewiesen sein?

Ransomware kann sich über verschiedene Wege verbreiten, darunter infizierte E-Mail-Anhänge, unsichere Downloads aus dem Internet oder Schwachstellen in Software und Betriebssystemen. Phishing-E-Mails und Drive-by-Downloads sind beliebte Methoden zur Verbreitung von Ransomware.

Welche Lizenz wird benötigt, um Sensitivity Labels und Retention Labels zu verwenden?

Eine Auflistung der verschiedenen Lizenzen und welche Funktionen mit der Lizenz zur Verfügung stehen finden Sie hier

WIE KÖNNEN WIR HELFEN ?

Kontaktieren Sie unsere Experten von CYBEROPEX 

Wir freuen uns auf Ihre Anfrage und werden unser Bestes tun, um sie umgehend zu beantworten.