Entscheidungshilfe für die Verwendung von Labels
Warum sollte man Dateien verschlüsseln verschlüsseln? Macht das Sinn?
Wenn auf Dokumentenebene Labels gesetzt werden, bleibt der Schutz der Informationen auf dem Dokument bestehen. Dabei kommt es nicht darauf an, wohin das Dokument verschoben wird. Mit dieser Vorgehensweise kann ein Unternehmen die Datenintegrität sicherstellen und die Vertraulichkeit durch Zugriffsberechtigungen steuern.
- Beispiel: Bei einem Ransomware-Angriff bei dem Dokumente gestohlen werden, sind die Dokumente dank der Verschlüsselungen für die Angreifer nicht einsehbar.
- Beispiel: Wenn ein Mitarbeiter vom Unternehmen freigestellt wird und sich bereits im Vorfeld Daten auf den Computer runtergeladen hat, kann er diese nicht mehr öffnen da er kein authentifiziertes Microsoft-Konto mehr besitzt. Die Labels sind ein Microsoft-Produkt und somit technisch mit Microsoft verknüpft.
Was sind Labels und für was benötige ich Klassifizierungen?
Die Labels (Vertraulichkeitsbezeichner) in Microsoft Lösungen dienen der Klassifizierung und dem Schutz von Dokumenten und E-Mails auf der Grundlage ihrer Vertraulichkeitsstufe.
Sie werden verwendet, um spezifische Richtlinien auf Dokumente oder E-Mails anzuwenden, die vertrauliche Informationen enthalten, wie z. B. vertrauliche Geschäftsdaten, Finanzinformationen oder personenbezogene Informationen. Mit Hilfe der Labels kann eingeschränkt werden, wer auf das Dokument zugreifen darf, wo es gespeichert werden darf und welche Aktionen mit dem Dokument durchgeführt werden können (z. B. Drucken oder Weiterleiten).
Durch die Verwendung von Sensibilitätskennzeichnungen können Unternehmen ihre vertraulichen Daten besser schützen und sicherstellen, dass nur autorisierte Benutzer darauf zugreifen können, wodurch das Risiko von Datenschutzverletzungen oder Datenlecks verringert wird. Dadurch das andere Mitarbeiter ihre Dokumente richtig kennzeichnen, kann ich direkt erkennen wie vertraulich das Dokument ist und wie ich selbst diese Informationen einordnen muss.
Inwiefern helfen mir Labels? In welchen Situation untersützen sie mich? Konkretes Beispiel!
Samantha ist Buchhalterin und arbeitet für ein großes Finanzunternehmen. Bei ihrer Arbeit hat sie mit vielen sensiblen Finanzdaten zu tun, z. B. mit Gehaltslisten und Steuerunterlagen. Sie war schon immer vorsichtig im Umgang mit diesen Daten, aber sie macht sich Sorgen über die Risiken einer Datenverletzung oder eines Datenlecks.
Eines Tages erfährt Samantha von den Sensibilitätskennzeichnungen in Azure Information Protection. Sie beschließt, diese zu verwenden, um zu sehen, ob sie ihr helfen können, ihre sensiblen Daten besser zu schützen.
Zunächst kennzeichnet sie alle ihre sensiblen Dokumente mit der entsprechenden Sensibilitätsstufe, z. B. "Vertraulich" oder "Nur für den internen Gebrauch". So kann sie leichter erkennen, welche Dokumente sensibel sind, und entsprechende Vorkehrungen zu deren Schutz treffen.
Als Nächstes legt sie für jede Vertraulichkeitsstufe Richtlinien fest, wie z. B. die Beschränkung des Zugriffs auf "vertrauliche" Dokumente auf autorisierte Benutzer oder das Verbot des Drucks oder der Weiterleitung von nur für den internen Gebrauch bestimmten Dokumenten. Auf diese Weise wird sichergestellt, dass nur die Personen Zugang zu den Dokumenten haben, die sie benötigen, und das Risiko einer Datenpanne verringert.
Schließlich gibt sie einige der gekennzeichneten Dokumente an ihre Kollegen weiter, die ebenfalls Zugriff auf die Azure Information Protection haben. Da die Dokumente mit der entsprechenden Sensibilitätsstufe gekennzeichnet sind, wissen ihre Kollegen, wie sie mit ihnen umgehen sollen, und können sicherstellen, dass sie bei Bedarf geschützt werden.
Dank der Sensibilitätskennzeichnungen hat Samantha mehr Vertrauen in ihre Fähigkeit, ihre sensiblen Daten zu schützen. Sie weiß, dass ihre Dokumente richtig gekennzeichnet sind und dass die entsprechenden Richtlinien zu ihrem Schutz vorhanden sind. So kann sie effizienter arbeiten und hat die Gewissheit, dass ihre sensiblen Daten sicher sind.
Wie verwende ich die Labels und klassifiziere und schütze Dokumente richtig?
Bei der Klassifizierung von Dokumenten mit Hilfe von Sensitivitätskennzeichnungen sind mehrere Faktoren zu berücksichtigen, um sicherzustellen, dass die Klassifizierung korrekt ist:
Sensibilität der Daten: Berücksichtigen Sie den Grad der Vertraulichkeit der Daten im Dokument. Dokumente, die finanzielle oder personenbezogene Daten enthalten, können beispielsweise eine höhere Vertraulichkeit erfordern als allgemeine Geschäftsdokumente.
Datenvorschriften: Berücksichtigen Sie alle Datenschutzbestimmungen oder Compliance-Anforderungen, die für die Daten im Dokument gelten, z. B. DSGVO, GDPR oder HIPAA. Stellen Sie sicher, dass Sie das Dokument entsprechend der von der Vorschrift geforderten Vertraulichkeitsstufen klassifizieren.
Adressaten: Überlegen Sie, wer Zugang zu dem Dokument haben wird und ob es auf eine bestimmte Personengruppe beschränkt werden muss. So kann es beispielsweise erforderlich sein, dass Dokumente mit vertraulichen Informationen über die Personalabteilung nur den Mitarbeitern der Personalabteilung zugänglich gemacht werden.
Zweck: Berücksichtigen Sie den Zweck des Dokuments und ob es Informationen enthält, die vertraulich behandelt werden sollten. So kann beispielsweise ein Vertrag mit sensiblen Geschäftsinformationen eine höhere Sensibilitätskennzeichnung erfordern als eine Tagesordnung für eine allgemeine Sitzung.
Risiken: Berücksichtigen Sie die potenziellen Risiken, die mit den Daten in dem Dokument verbunden sind, z. B. das Risiko einer Datenverletzung oder eines Datenlecks. Klassifizieren Sie das Dokument entsprechend, um sicherzustellen, dass geeignete Richtlinien zur Minderung dieser Risiken vorhanden sind.
Welche Klassifizierungen gibt es und welche Dokumente fallen in die Klassifizierungsstufen?
Die Klassifizierungsstufen wurden so einfach wie möglich gehalten, um die Komplexität gering zu halten und die Klassifizierung verständlich zu machen. In der folgenden Tabelle wird beschrieben, welche Klassifizierungen es gibt und welche Dokumente in diese fallen.
| Klassifizierung | Beschreibung | Beispiele |
|---|---|---|
| öffentliche Daten 🌐 | Bei öffentlichen Daten handelt es sich um Dokumente, die jedem öffentlich zugänglich sein können, ohne dass es ein Risiko für das Unternehmen darstellt. Zu den öffentlichen Daten können auch Informationen gehören, die bereits öffentlich zugänglich sind. |
|
| generelle Daten | Hierbei handelt es sich um Daten, die nicht für die Öffentlichkeit bestimmt sind, aber auch nicht hochsensibel oder vertraulich sind. Zu den allgemeinen Daten können Informationen gehören, die für den internen Gebrauch innerhalb einer Organisation oder für die Weitergabe an vertrauenswürdige Partner oder Interessengruppen bestimmt sind. Die Veröffentlichung der Daten birgt ein Risiko und kann zu einem finanziellen Schaden oder Imageverlust führen. |
|
| vertrauliche Daten 🔒 | Hierbei handelt es sich um sensible Daten, die besonders sorgfältig vor unbefugtem Zugriff oder Offenlegung geschützt werden müssen. Vertrauliche Daten können geschützte Informationen, Geschäftsgeheimnisse oder persönlich identifizierbare Informationen (PII) sein, die für Identitätsdiebstahl verwendet werden könnten. |
|
| sehr vertrauliche Daten 🔒 | Hierbei handelt es sich um äußerst sensible Daten, deren Offenlegung ernsthafte finanzielle, rechtliche oder rufschädigende Folgen haben könnte. Streng vertrauliche Daten können Informationen über die nationale Sicherheit, Finanzbetrug oder andere kriminelle Aktivitäten enthalten. |
|
Welche Schutzfunktionien bringen die Label mit sich?
Neben der Klassifizierung bringen die Labels auch Schutzfunktionen mit sich. Im Folgenden wird aufgezeigt, wie bestimmte Labels die Daten schützen. Die Emojis geben dabei eine schnelle Orientierung, um die Auswirkungen beim Anwenden der Labels erkennen zu können.
| Schutzfunktion | Beschreibung |
|---|---|
| Öffentliche Daten 🌐 | Dokumente sind nicht verschlüsselt und werden nicht geschützt. Das bedeutet, dass jeder diese Daten öffnen kann. |
| Externes Teilen erlaubt 🌐 | Dokumente sind nicht verschlüsselt und werden nicht geschützt. Das bedeutet, dass jeder diese Daten öffnen kann. |
| Externes Teilen mit anderen Microsoft Nutzern 🔒🤝 | Dokumente sind verschlüsselt und ein Zugriff ist nur möglich, wenn man mit einem Microsoft Account angemeldet ist. Hinweis: Für das Öffnen des Dokuments ist ein Microsoft Account notwendig. Daher sollte überlegt werden, ob dieses Label verwendet werden kann, wenn die Daten mit Externen geteilt werden müssen. |
| Externes Teilen verboten 🔒❌ | Daten sind verschlüsselt und ein Zugriff ist nur möglich, wenn man einen Account des Unternehmens hat oder als Gast zum Microsoft 365 Mandanten hinzugefügt wurde. Hinweis: Externe, die nicht als Gäste hinzugefügt wurden, können diese Dokumente nicht öffnen. Wird eine Mail mit diesem Label an Externe versandt, kann der Externe diese Mail nicht öffnen. |
| Zugriff nur für bestimmte Nutzer 🔒👨 | Daten sind verschlüsselt. Der Zugriff ist nur für bestimmte User möglich, die bei der Anwendung des Labels definiert wurden. Der Personenkreis kann auch im Nachgang vom Dateneigentümer geändert werden. Hinweis: Dokumente können nicht im Browser angezeigt werden. Das Öffnen ist nur mit den Desktop Office Apps möglich. |
| Sehr vertrauliche Daten 🔒👨 | Daten sind verschlüsselt und werden aufgrund der hohen Vertraulichkeit auch entsprechend markiert. Der Zugriff ist nur für bestimmte User möglich, die bei der Anwendung des Labels definiert wurden. Der Personenkreis kann auch im Nachgang vom Dateneigentümer geändert werden. Hinweis: Dokumente können nicht im Browser angezeigt werden. Das Öffnen ist nur mit den Desktop Office Apps möglich. |
🔒👨 Zugriff nur für bestimmte Nutzer
In diesem Fall werden die Schutzeinstellungen selbst gewählt. Wählt man "Zugriff nur für bestimmte Nutzer" oder "sehr vertrauliche Daten" aus, erscheint ein Popup und man kann die Berechtigungen für das Dokument einschränken:
Nachdem man den Haken gestetzt hat, kann man Emailadressen von Usern und Gruppen sowie Domains (z.B. @dinotronic.ch) eintragen, um den Zugriff auf das Dokument nur auf diese Personen zu beschränken.
In diesem Fall kann Max das Dokument nur lesen und Maria kann das Dokument selbst auch bearbeiten. Keiner von beiden kann weiteren Personen Zugriff auf das Dokument geben oder die erweiterteten Einschränkungen bearbeiten. Dazu wird das Recht "Vollzugriff" benötigt. Das lässt sich über den Button "Weitere Einstellungen" tun:
Hier kann man für Maria nun das Recht für den "Vollzugriff" erteilen:
Das ermöglicht es ihr das Label zu ändern und damit ggf. auch die Verschlüsselung zu entfernen oder die erweiterten Schutzeinstellungen zu ändern, um z.B zu erlauben, dass der Inhalt gedruckt werden kann.
Erweiterte Schutzeinstellungen:
- Auslaufsdatum des Dokument: Nach Ablauf dieses Datums können nur noch Nutzer mit Vollzugriff das Dokument öffnen und bearbeiten.
- Inhalt drucken: Wenn deaktiviert, können User mit Lese- oder Bearbeitungsrechten nicht mehr drucken, keine Screenshots vom Dokument machen und auch nicht das Dokument während Meetings teilen.
- Nutzer mit Leseberechtigung erlauben den Inhalt zu kopieren: Wenn deaktiviert, können Nutzer mit Leseberechtigung den Inhalt aus dem Dokument nicht mehr kopieren.
- Zugriff für Programme erlauben: Wenn deaktiviert, kann nicht programmatisch, z.B. mit Hilfe von Markos, auf das Dokument zugegriffen werden.
- Nutzer können eine Anfrage für den Zugriff auf das Dokument an diese Email senden: Hier kann die Email bzw. die Person hinterlegt werden, die Zugriff auf das Dokument geben kann.
Sollte eine Anfrage gesendet werden, dann empfiehlt es sich das Dokument an die Email anzuhängen oder den Link zu dem Dokument zu teilen, da es sonst für die Person schwierig für den Verantwortlichen sein kann, das richtige Dokument zu identifizieren. - Beim Zugriff auf das Dokument muss eine Internetverbindung bestehen: Das bedeutet, dass der User nicht auf das Dokument zugreifen kann, wenn er offline ist.
FAQ - Häufige Fragen
- Etwas funktioniert nicht wie erwartet oder wie in der Schulung kommuniziert. Was kann ich tun?
Antwort: Updaten Sie die Office 365 Apps auf die für Sie aktuell verfügbare Version. In einer der Office Apps (Word, Excel, PowerPoint) - Ich möchte ein verschlüsseltes Dokument an einen Externen senden. Woher weiss ich, ob der Externe einen Microsoft Account hat und auf die Daten zugreifen kann?
Antwort: Das einfachste ist es den Externen zu fragen und so sicherzustellen, dass er darauf zugreifen kann.
Anderen falls kann man versuchen sich mit seiner Emailadresse einzuloggen:
https://login.microsoftonline.com/ (geschäftlich) oder
https://login.live.com/ (privat)
Falls ein Microsoft Account besteht, wird nach einem Passwort gefragt, ansonsten erscheint ein Fehler. - Im Outlook in the Web (OWA) werde ich beim Senden einer Mail immer aufgefordert ein Label zu setzen. Warum ist das so?
Antwort: Die Empfehlung ist die Desktop Applikation von Outlook zu verwenden. Hier tritt das Problem nicht auf.
Grundsätzlich sollte aber auch im OWA auch das Standardlabel "Generelle Daten / Externes Teilen erlaubt" gesetzt werden.
Die Ursache für dieses Problem ist nicht klar und daher noch nicht gelöst. Falls dieses Problem auftauchen sollte, melden Sie sich bitte bei uns. - Ich möchte aus einem geschützten Dokument (Word, Excel, PowerPoint) ein PDF erstellen. Das Label wird aber nicht übernommen. Woran liegt das?
Antwort: Damit das Label übernommen wird, muss das Dokument mit Hilfe von "Speichern als" gespeichert werden. Dort muss PDF ausgewählt werden. Dann wird das Label auch im PDF mit gespeichert.
Es kann sein, dass das auch noch nicht funktioniert, falls die Office Version niedriger als 2208 ist. Die aktuelle Version kann in Word, Excel, PowerPoint unter Datei (links oben) / Account (links unten) und dann in der Mitte unter "Über Word/Excel/PowerPoint" eingesehen werden. - Kann ich Office 365 Dokumente (Word, Excel, PowerPoint), die mit "Zugriff nur für bestimmte Nutzer🔒👨" oder als "vertrauliche Daten🔒👨" gelabelt wurden im Browser / SharePoint anzeigen?
Antwort: Nein, das wird von Microsoft nicht unterstützt. -
Kann ich Office 365 Dokumente (Word, Excel, PowerPoint), die mit "Zugriff nur für bestimmte Nutzer🔒👨" oder als "vertrauliche Daten🔒👨" gelabelt gleichzeitig mit anderen bearbeiten?
Antwort: Nein, das wird von Microsoft nicht unterstützt. -
Ich habe eine Mail / Dokument an einen Externen / Internen gesendet und die Mail / Dokument kann nicht geöffnet werden. Was kann ich tun?
Antwort: Falls das Label nicht von Ihnen gesetzt wurde, klären Sie mit dem Besitzer des Dokuments, ob das Dokument mit weiteren Personen geteilt werden darf.
Falls das Label von Ihnen gesetzt wurde, können Sie die Mail einfach nochmal erneut senden. Genauso auch beim Dokument ist das einfachste das Dokument umzulabeln und nochmal zu senden.
Sollte das passieren können Sie folgenden Hinweis ergänzen:
Durch die Implementierung und die Erhöhung unserer Sicherheitsrichtlinien wurde der Zugriff auf die Mail / das Dokument für Sie eingeschränkt. Die Freigabe wurde nun erteilt und Sie können auf die Mail / das Dokument zugreifen. - Kann eine andere Person als der Besitzer des Dokuments das Label ändern? Beispiel: Ein Mitarbeiter kündigt und Zugriff auf die Daten wird benötigt.
Antwort: Ja, als Administratoren können wir alle Labels für Sie entfernen bzw. ändern. Bitte einfach den Servicedesk kontaktieren und wir entfernen das Label. - Ich muss ganze Ordner mit Dateien für externe Personen freigeben, die nicht auf die Dateien zugreifen können. Kann ich das Label für mehrere Dateien auf einmal ändern?
Antwort: Ja, dazu muss der Information Protection Unified Labeling Client verwendet werden. Falls die Dateien in SharePoint liegen, muss der Ordner zunächst auf dem System synchronisiert werden, damit das Programm verwendet werden kann. Dann kann der Ordner, in dem die zu ändernden Dateien liegen, mit Rechtsklick ausgewählt werden und der Menüpunkt "Klassifizieren und Schützen" geklickt werden. Im Programm kann dann das Label ausgewählt werden und es wird das gleiche Label für alle Dateien im Ordner angewandt.