Microsoft Information Protection: Digitale Sicherheit in all ihren Facetten

Das Thema IT-Sicherheit stand im Jahr 2021 besonders stark im Vordergrund, da sich eine Vielzahl an namhaften Unternehmen und Einrichtungen einer Reihe an Hacker-Angriffen ausgesetzt sah. Neben international agierenden Großkonzernen wie der Telekom AG oder BioNTech war auch der Deutsche Bundestag das Ziel von Cyber-Attacken. Dabei nutzen die Täter gleich zwei Gelegenheiten, um Zugriff auf vertrauliche Informationen von Abgeordneten zu erlangen. Solche Situationen sind keine Einzelfälle: Der letzte große Angriff im Jahr 2015 hatte einen erheblichen Datenverlust zur Folge. In der Konsequenz musste die IT des Bundestags neu aufgesetzt werden mit dem Ziel, sensible Daten und Dokumente zukünftig besser schützen zu können.

Abseits der prominenten Schlagzeilen können auch kleine und mittelständische Unternehmen Opfer von unbefugten Zugriffen werden. Gut aufgestellte Security-Tools und Governance Maßnahmen sind in Zeiten von Homeoffice und Crowdworking daher essenziell, um die Aufrechterhaltung des modernen Arbeitsalltags zu gewähren. Damit Sie digitale Vorzüge wie Cloud Computing, Videochats und Intranet weiterhin sicher nutzen können, bietet Ihnen Microsoft Information Protection eine etablierte und stetig wachsende Rundumlösung für die geschützte Kollaboration Ihrer Teams. In diesem Artikel lernen Sie die umfassenden Anwendungen, Funktionalitäten und Vorteile von Microsoft Information Protection kennen.

Azure Information Protection (AIP) ist eine cloudbasierte Anwendung, deren Aufgabe im Erkennen, Klassifizieren und Schützen Ihrer unternehmensinternen Dokumente liegt. Um das zu gewährleisten, erweitert AIP die bestehenden Bezeichnungs- und Klassifizierungsfunktionen von Microsoft 365 um weitere Funktionalitäten. Das Angebot von Azure Information Protection umfasst die folgenden Tools:

AIP-Client

Der AIP-Client legt die Vertraulichkeiten eines Dokuments direkt in Ihrem Datei-Explorer fest. Der Schutz ist auf verschiedene Dateitypen aus Ihrer Dokumentenablage anwendbar – von Text- und Bilddateien bis PDF-Dokumenten sichern Sie so Ihre sensiblen Daten.

AIP-Scanner

Der lokale AIP-Scanner richtet sich primär an die Administratoren Ihres Unternehmens. Admins prüfen die SharePoint-Dateiablagen auf vertrauliche Inhalte, die Schutz und Klassifizierungen benötigen. Dabei listet das Tool die Inhalte im zugehörigen Azure-Portal auf und bietet eine strukturierte Übersicht. Mit dem AIP-Scanner finden Sie Ihre sensiblen Daten im Handumdrehen und verwalten die Dokumente einzeln oder in Clustern.

Microsoft Information Protection SDK

Das Microsoft Information Protection-SDK (Software Development Kit) ist eine Sammlung von Programmierwerkzeugen und Programmbibliotheken. MIP SDK bietet Ihnen die Möglichkeit, Anwendungen von Drittanbietern schon während ihrer Entwicklung spezifisch auf die Vertraulichkeitsbezeichnungen von Azure Information Protection abzustimmen. Dadurch können Sie Third-Party-Lösungen oder eigenentwickelten Programmen im selben Umfang wie Ihre Office-Anwendungen klassifizieren und schützen.

Die Verwaltung großer Datenmengen führt im Laufe der Zeit oft zu abweichenden und unübersichtlichen Strukturen. Um eine langfristige Einheitlichkeit zu gewährleisten, stellt Microsoft Information Protection deshalb Unified Labeling bereit. Mit dem Tool etablieren Sie eine gleichmäßige Klassifizierung und Verschlüsselung für Dokumente aus Ihren Office-Anwendungen Word, Excel, PowerPoint und Outlook. Diese Einstellungen bleiben auch auf anderen Benutzeroberflächen und Geräten bestehen. Somit entstehen unternehmensweite Standards, die den täglichen Umgang mit Security und Governance spürbar vereinfachen.

 
Unified Sensitivity Labeling ist der Nachfolger des mittlerweile eingestellten Tools Azure Information Protection Labels. Die Vorzüge der Aktualisierung liegen vor allem darin, dass nun auch der Schutz von Dokumenten auf Geräten mit Android und iOS möglich ist. Obendrein ist Unified Sensitivity Labeling auch in der Browser-basierten Office-Variante nutzbar. Die jeweilige Klassifizierung einer vertraulichen Datei erscheint dabei direkt im Dokument. An diese Einstellung ist auch das individuelle Zugriffs- und Bearbeitungsrecht der autorisierten Nutzer gebunden.

Cloud-Dienste gestatten Ihnen ein hohes Maß an Flexibilität für Ihren Arbeitsalltag, da Sie relevante Ressourcen zeit-, geräte- und ortsunabhängig abrufen können. Damit Sie zuverlässig und sicher auf Ihre Dateiablagen zurückgreifen, ist auch an dieser Stelle ein umfassender Schutz der abgelegten Inhalte notwendig. Dafür bietet Microsoft Defender für Cloud-Apps ein flexibles Verhältnis zwischen der Unterstützung und der Kontrolle von Zugriffen.

 
Für Ihre optimale Cloud-Sicherheit kommen hierbei verschiedene Funktionen zum Einsatz. Dazu zählen verhältnismäßig sanfte Maßnahmen wie eine automatisierte Protokollsammlung, die den Zugriff auf eine Dateiablage dokumentiert. Aber auch ein umfangreiches Reverse Proxy ist möglich, das als Schnittstelle zwischen Ihrer Cloud und dem frei zugänglichen Internet fungiert.

In einigen Anwendungsbereichen gelten besonders hohe Sicherheitsansprüche, da unternehmensinterne Daten entweder einer hohen Vertraulichkeitsstufe unterstehen oder über externe Kommunikationswege mit Nutzern außerhalb Ihres Unternehmens geteilt werden. Für diese Fälle bietet Microsoft Information Protection die folgenden Tools an:

Office 365 Message Encryption

Die Anwendung dient der Verschlüsselung von E-Mails, in denen vertrauliche Daten enthalten sind. Neben Outlook ist der Dienst auch mit anderen Mail-Anbietern wie Yahoo oder Gmail kompatibel. Erkennt das Tool ein Dokument, das zuvor als sensibel klassifiziert wurde, erscheint eine Warnung, weshalb die Mail nur verschlüsselt oder in manchen Fällen überhaupt nicht verschickt werden kann.

Double Key Encryption

Das Tool ist für die sensibelsten Daten vorbehalten, sodass der Zugriff nur für Sie bzw. über Sie möglich ist. Dabei werden zwei Schlüssel generiert, von denen sich der erste bei Microsoft Azure und der zweite bei Ihnen befindet. Da sich ein Dokument nur durch die Zusammenführung beider Schlüssel entschlüsseln lässt, ist unter allen Umständen Ihre Freigabe erforderlich.

Service Encryption

Weiterhin ist es ebenso möglich, Daten auch ohne eine Verbindung zu den Microsoft-Diensten zu verschlüsseln. Dafür verwalten sie den jeweiligen Root Key innerhalb von Azure Key Vault und können auf diese Weise eine Verschlüsselung über ein zusätzliches Hardware-Sicherheitsmodul vornehmen.

Werden Daten hingegen in externen Dateiablagen zugänglich gemacht, dann braucht es abermals spezialisierte Schutzmaßnahmen, um unbefugte Zugriffe zu verhindern. Dafür stellt Microsoft Information Protection die folgenden Tools bereit:

Information Rights Management

Dieser Dienst aus dem Portfolio von Microsoft Information Protection dient dem Schutz von Dokumenten, die SharePoint-Listen oder -Bibliotheken entstammen. Über die zugehörigen Einstellungen können Sie festlegen, welche Zugriffsrechte nach einem Download verfügbar sind. Somit können Sie auch zum Download bereitstehende Dokumente entsprechend klassifizieren.

Rights Management Connector

Der Rights Management Connector ermöglicht den Schutz von Dateiablagen innerhalb einer On-Premise-Lösung, welche Microsoft Exchange Server, SharePoint Server oder einen übrigen Dateiserver auf Basis von Windows Server als Grundlage nutzt. Mithilfe dieses Tools lassen sich die in Information Rights Management aufgestellten Sicherheitseinstellungen auf das On-Premise-System übertragen, ohne vorher eine zusätzliche digitale Infrastruktur einrichten zu müssen.

Service Encryption

Weiterhin ist es ebenso möglich, Daten auch ohne eine Verbindung zu den Microsoft-Diensten zu verschlüsseln. Dafür verwalten sie den jeweiligen Root Key innerhalb von Azure Key Vault und können auf diese Weise eine Verschlüsselung über ein zusätzliches Hardware-Sicherheitsmodul vornehmen.