MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

Purview für Admins

Um über den Einsatz von Purview entscheiden zu können, müssen wir nicht nur das Produkt Purview kennen, sondern viel mehr die Risiken der heutigen Datenverarbeitung, den Umgang mit Daten und rechtliche Vorgaben kennen. Es ist ja nicht so, dass wir Exchange, Teams, Microsoft 35 Administratoren nicht schon genug zu tun hätten. Aber bin ich durch Purview betroffen?

Ich bin doch sicher!

Wenn Sie etwas zu Purview recherchieren, dann finden sie ganz schnell Begriffe wie Datensicherheit, Compliance, Schutz u.a. aber für viele Administratoren ist das nicht konkret genug. Wir betreiben doch schon Jahrzehnte unsere Server und Dienste und sind doch eigentlich sicher. Das stimmt auch, wenn Sie die folgenden Aspekte ihrer Schutzlösungen betrachten.

  • Berechtigungen
    Natürlich haben Sie alle Dateifreigaben, Postfächer, Datenbanken etc. korrekt
  • Produktupdates
    Um keine bekannte Lücken in Produkten offen zu lassen, installieren sie natürlich regelmäßig vom Hersteller veröffentlichte Sicherheitsupdates aber auch Produktupdates und ersetzen nicht mehr aktualisierte Produkte durch Nachfolger.
  • Firewall und Proxy
    Diese aktiven Schutzkomponenten unterbinden nicht explizit erlaubte Kommunikationsverbindungen und überprüfen, soweit möglich, die übermittelten Daten, um einen unerwünschten Abfluss oder Zufluss zu unterbinden.
  • Virenscanner
    Niemand sollte heute ein System ohne Scanlösung gegen bekannte Schadkomponenten betreiben. Auch wenn Virenscanner sicher nicht perfekt sind und viele Versprechen zu "Verhaltenserkennung" nicht gehalten werden, so halten Sie doch viele schon lange bekannte Malware ab.
  • AppLocker
    Ein Schritt weiter gehen Einstellungen, die sogar die Ausführung von Programmen auf eine "Allow-List" beschränken, indem Sie den Hashwert, den Speicherort oder den Signierer eines Codes erzwingen.
  • Spamfilter
    Viel Malware und Angriffe kommen immer noch per Mail und ohne Spamfilter werden sie keinen eigenen Mailserver mehr betreiben.
  • Backup
    Ein Backup soll mir möglichst wenig Belastung eine Kopie der Daten in einen sicheren Ort überführen und die letzte Version beim Verlust diese möglichst schnell zurückholen.
  • Monitoring
    Ein Ausfall ist erst dann ein Ausfall, wenn ihre Kunden, ihre Lieferanten oder Mitarbeiter , Lieferanten oder Mitarbeiter etwas merken? Das würde ich so nicht sehen und stattdessen selbst als Administrator meine Systeme und deren Funktion überwachen.

Ich bin sicher, dass nicht alle Administratoren all diese Faktoren in ihrer Umgebung zu 100% umgesetzt haben. Das zeigen Audits, die wir bei Firmen machen immer wieder. Es gibt immer noch etwas zu verbessern. All das reicht aber selbst mit 100% Zielerreichung nicht aus, denn es gibt Gefahren und Risiken, bei denen diese Bausteine keine Hilfe sind. 

Risikobetrachtung

Dazu möchte ich ihnen ein paar Beispiele geben, die durch bestehende Lösungen nicht abgedeckt sind. Das bedeutet nicht dass es nicht schon länger auch hierfür entsprechende Lösungen gibt, die aber auch umgesetzt werden müssen. Ein Teil der Lösung kann hier Purview sein

Am einfachsten ist aus meiner Sicht ein Einstieg über die Datenverarbeitung und möglicher Risiken:

  • Mindesthaltedauer und Unveränderlichkeit von Daten
    Jede Firma speichert Informationen, für die es organisatorische als auch rechtliche Vorhaben zur Haltedauer gibt, z.B. Rechnungen der Buchhaltung, Garantieunterlagen etc. Ein klassisches Backup erfüllt diese Anforderungen nicht, denn es sichert aktuelle Daten , um diese bei Verlust durch Defekte, Ausfälle etc. möglichst schnell und aktuell wieder herzustellen. Eine Archivlösung mit Schutz gegen Löschen und Überschreiben oder Versionierung kann eine Lösung sein. Mit Daten in der Cloud sind die Funktionen aber ggfls. eingeschränkt. Hier kann Purview die Informationen sichern.
  • Maximalhalterdauer von Daten
    Es gibt aber auch Informationen, die sie nicht länger als notwendig aufbewahren dürfen oder wollen. Dazu gehören z.B. Bewerbungsunterlagen letztlich nicht akzeptierter Bewerber. Auch bei Produkthaftung und Buchhaltung kann es nicht erst seit Dieselskandal oder Cum-Ex sinnvoll sein, Daten nicht länger als erforderlich zu halten. Dies spart nicht nur Speicherplatz und damit insbesondere in der Cloud auch Kosten, sondern verhindert oder erschwert auch Ermittlungen und Schadenforderungen aufgrund solcher Unterlagen.
  • Fremdzugriff unterbinden
    Die Mitarbeiter müssen mit Firmendaten arbeiten und diese auch mit Partnern austauschen. Es gibt war heute Wege der Verschlüsselung, z.B. SMIME, Kennwortschutz auf Office-Dokumente aber der Empfänger kann dann die Dokumente dennoch weitergeben, drucken etc. Natürlich ist ein korrekt umgesetztes Berechtigungskonzept der erste Schutzlevel, um unerlaubte Zugriff zu unterbinden. Dies schränkt aber noch nicht den Umgang durch berechtigte Benutzer ein. Hier helfen Lösungen zu „Rights Management“ und „Information Protection“, welche auf Informationen, z.B. Office Dokument, Mails etc., einen Schutzlevel nach Benutzer und deren Verwendung umsetzen. So kann z.B. das Ausdrucken und Weitergeben von Informationen unterbunden als auch die zeitliche Nutzung eingeschränkt werden. Auch der Versand
  • Klassifizierung
    Damit die Schutzmaßnahmen durchgängig greifen, müssen die verschiedenen Schutzstufen möglichst automatische ohne Mithilfe des Anwender umgesetzt werden. Neben der Anwendung auf Dateibereich, z.B. SharePoint-Bibliotheken, können moderne Produkte auch Erkennen, welchen Schutz eine Informationen benötigt. Dies erfolgt z.B. anhand allgemein erkennbaren Kriterien wie Personalnummer, IBANs, Sozialversicherungsnummern als auch selbst konfigurierbaren Ausdrücken, z.B. um Bestellnummer, Lieferscheine, Produktunterlagen etc. automatisch zu klassifizieren. Das Verfahren eignet sich auf zum Erkennen und Verhindern von Kommunikationen mit besonderen Texten, z.B.: zukünftiger Produktnamen oder Codenamen.
  •  AI/KI
    Die Klassifizierung und der Schutz von Informationen wird mit dem Einsatz von KI/AI/Copilot och wichtiger, damit z.B. Anwender oder im Auftrag von Anwendern ausgeführte Programme keine schützenswerte Informationen zur Verarbeitung in eine KI/Copilot hochladen oder im Hintergrund lernende KIs nicht an solche Informationen kommen.

Das sind nur ein paar Beispiele. Für eine weitergehende Betrachtung verweise ich auf meine Kollegen bei Net at Work oder andere Dienstleister. Juristen und Anwälte sind in eine Betrachtung ebenso einzubinden, aber stehen selten an erster Stelle zur Aufstellung der OIT-Risiken.

Purview Beispiele

Für all diese und weitere Einsatzmöglichkeiten kann Purview die Lösung sein. Die Einsatzbereiche von Purview sind z.B.:  Hier sind Beispiele aus der Praxis für die fünf Einsatzmöglichkeiten von Microsoft Purview:

  • Datensicherheit
    Ein Unternehmen entdeckt, dass Mitarbeiter sensible Daten wie Kreditkartennummern per E-Mail versenden. Mit Purview's Data Loss Prevention (DLP) Richtlinien können solche E-Mails blockiert oder verschlüsselt werden, um Datenlecks zu verhindern.
  • Datenverwaltung
    Ein multinationales Unternehmen nutzt Purview, um Daten aus verschiedenen Quellen wie Azure, AWS und lokalen Servern zu kartieren und zu verwalten. Dies ermöglicht eine zentrale Übersicht und Verwaltung aller Datenbestände.
  • Compliance
    Eine Bank muss sicherstellen, dass sie die DSGVO einhält. Purview hilft dabei, personenbezogene Daten zu identifizieren und zu schützen, sowie Berichte zu erstellen, die die Einhaltung der Vorschriften nachweise.
  •  Risiko-Management
    Ein Unternehmen verwendet Purview, um Insider-Risiken zu überwachen. Beispielsweise kann es ungewöhnliche Aktivitäten wie das Herunterladen großer Datenmengen durch einen Mitarbeiter erkennen und entsprechende Maßnahmen ergreifen.
  •  Datenklassifizierung
    Ein Gesundheitsdienstleister klassifiziert Patientendaten mit Purview, um sicherzustellen, dass nur autorisierte Personen Zugriff auf sensible Informationen wie medizinische Berichte haben

Auch diese Liste ist alles andere als vollständig.

Weitere Links