Organisationen sind heutzutage mit immer höheren Anforderungen im Bereich der Informationssicherheit und des Datenschutzes konfrontiert. Die NIS2-Richtlinie tritt auf EU-Ebene in Kraft, und Finanzakteure sind ab Anfang nächsten Jahres von DORA betroffen. Darüber hinaus könnten Pläne zur Einführung von Copilot in Organisationen Bedenken aufwerfen, ob die Daten innerhalb der Organisation geschützt und bedarfsgerecht eingeschränkt sind.
Microsoft Purview bietet vielseitige Tools für den Datenschutz und die Überwachung, die Organisationen dabei unterstützen, den Anforderungen an den Datenschutz gerecht zu werden. Die Nutzung der Purview-Dienste wurde in Organisationen oft weniger beachtet. Es muss jedoch festgestellt werden, dass viele seiner Funktionen eine stärkere Lizenzierung erfordern, was dies teilweise erklärt. Es ist auch zu beachten, dass das Produkt entwickelt wurde, um den Datenschutzanforderungen der Vereinigten Staaten gerecht zu werden, weshalb bei einigen Funktionen in Finnland Vorsicht geboten ist. Einschränkungen können jedoch klar vorgenommen werden.
Was ist Microsoft Purview und wie kann es genutzt werden?
Microsoft Purview ist ein Datenmanagementdienst, der Organisationen dabei unterstützt, ihre Daten aus verschiedenen Quellen zu verstehen, zu klassifizieren, zu schützen und zu verwalten. Zusammenfassend ermöglicht Purview die Verwaltung des gesamten Datenlebenszyklus, den Schutz von Daten und die Einhaltung von Regeln und Vorschriften bezüglich der Datenverwaltung. Purview besteht aus mehreren verschiedenen Funktionsbereichen, die in einer einzigen Verwaltungsportalansicht zusammengefasst sind. Der Zugriff auf die verschiedenen Teilbereiche hängt von den verfügbaren Lizenzstufen ab.
Ich habe in den folgenden Abschnitten einige verschiedene Funktionen des Dienstes aus der Perspektive von M365 zusammengestellt, mit denen Organisationen typischerweise begonnen haben. Darüber hinaus habe ich versucht, anhand von Anwendungsbeispielen zu beschreiben, wie diese genutzt werden können. Dabei ist natürlich zu beachten, dass nicht alle von Purview angebotenen Funktionen sinnvoll in einem einzigen Blogbeitrag zusammengefasst werden können.
Compliance-Management und -Überwachung
Mit dem Compliance-Management- und Überwachungstool (Compliance Manager) von Purview können Sie Ihre eigenen Aktivitäten an verschiedenen Anforderungen wie GDPR und NIS2 spiegeln. Der Dienst bietet verschiedene Bewertungskriterien und bewertet Risikobereiche, wobei Vorschläge zu deren Reduzierung gemacht werden. Anhand der vom Dienst bereitgestellten Scorecard lässt sich verfolgen, wie die Organisation die verschiedenen Bewertungskriterien erfüllt. Für jedes Bewertungskriterium gibt es gemäß dem Shared-Responsibility-Modell Aspekte, die die Organisation betreffen, sowie Aspekte, die Microsoft als Cloud-Dienstanbieter betreffen. Der Dienst kann beispielsweise für Audits genutzt werden, um die eigenen Aktivitäten an die Anforderungen der Organisation anzupassen. Wir bei Above IT nutzen beispielsweise die verschiedenen vom Dienst angebotenen Bewertungskriterien, um unsere eigenen Aktivitäten an die uns betreffenden Anforderungen anzupassen.
Datenklassifizierung als Unterstützung für Datenmanagement und Lebenszyklus
Mit den verschiedenen Funktionen von Purview können Daten nach Verwendungszweck und Sensibilität in verschiedene Kategorien identifiziert und klassifiziert werden. Für Klassifizierungen können verschiedene Schutzstufen und Aufbewahrungsrichtlinien definiert werden. Beispielsweise können Dokumente, die für den internen Gebrauch einer Organisation bestimmt sind, so geschützt werden, dass sie von keiner externen Person geöffnet werden können, selbst wenn das Dokument unbeabsichtigt oder absichtlich an Dritte gelangt ist. Einschränkungen können auch innerhalb der Organisation vorgenommen werden. Zum Beispiel können sensible Daten des Personalwesens so geschützt werden, dass nur HR-Mitarbeiter darauf zugreifen können und niemand außerhalb der HR-Abteilung sie öffnen kann. Der Schutz kann auch für Teams-Teams, SharePoint-Websites und M365-Gruppen implementiert werden. Wir haben beispielsweise die Klassifizierungen für Teams-Teams so vorgenommen, dass es nicht möglich ist, externe Gäste in Teams mit unserer internen Klassifizierung einzuladen oder Material daraus an Externe weiterzugeben.
Funktionen zur Verhinderung von Datenverlust
Als dritten Punkt möchte ich die Funktionen zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) hervorheben, mit denen das Leaken oder der Missbrauch sensibler oder vertraulicher Daten verhindert werden kann. DLP bietet eine Reihe von Tools und Richtlinien, die auf der Klassifizierung und Überwachung von Daten basieren. Mit DLP kann beispielsweise erkannt werden, ob personenbezogene Daten wie Sozialversicherungsnummern unverschlüsselt per E-Mail versendet oder auf andere Weise aus dem M365-Dienst an Externe weitergegeben werden sollen. DLP-Funktionen können solche Aktionen auch verhindern oder beispielsweise beim E-Mail-Versand die Nachricht automatisch im Namen des Benutzers verschlüsseln.
Zusammenfassung
Purview ist ein äußerst vielseitiger Dienst, der uns hilft, uns vor Bedrohungen zu schützen und die an Daten gestellten Anforderungen zu erfüllen. Es bietet Transparenz über Daten, hilft bei der Aufklärung potenzieller Sicherheits- und Datenschutzverletzungen und ermöglicht verschiedene Schutzmaßnahmen basierend auf unterschiedlichen Kriterien.
Dieser Artikel ist nur ein kleiner Einblick in die Funktionen von Purview. Ich empfehle dringend, sich damit vertraut zu machen und es zu nutzen, insbesondere wenn es um die Unterstützung bei den Anforderungen an Organisationen oder die Einführung von Copilot geht. Zur Lizenzierung sei noch erwähnt, dass die im Artikel genannten Funktionen weitgehend mit einer M365 Business Premium-Lizenz verfügbar sind. Sollten Sie Fragen haben oder Unterstützung zu diesem Thema benötigen, nehmen Sie bitte Kontakt mit uns auf, und wir besprechen dies gerne.
Lesen Sie auch: Microsoft 365 Purview: Datenklassifizierung und Lebenszyklusmanagement