Power BI-Implementierungsplanung: Informationsschutz und Verhinderung von Datenverlust

  • Artikel

Hinweis

Dieser Artikel ist Teil der Artikelreihe zur Power BI-Implementierungsplanung. Diese Reihe konzentriert sich hauptsächlich auf den Power BI-Workload innerhalb von Microsoft Fabric. Eine Einführung in die Artikelreihe finden Sie unter Power BI-Implementierungsplanung.

In diesem Artikel werden die Artikel zum Informationsschutz und zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) in Power BI vorgestellt. Diese Artikel richten sich an mehrere Zielgruppen:

  • Power BI-Administrator*innen: Administrator*innen, die für die Überwachung von Power BI in der Organisation verantwortlich sind. Power BI-Administratoren müssen mit Informationssicherheitsteams und anderen relevanten Teams zusammenarbeiten.
  • Center of Excellence-, IT- und BI-Teams: Die Teams, die für Power BI in der Organisation verantwortlich sind. Sie müssen möglicherweise mit Power BI-Administrator*innen, Informationssicherheitsteams und anderen relevanten Teams zusammenarbeiten.

Wichtig

Informationsschutz und DLP sind eine wichtige Aufgabe für das gesamte Unternehmen. Der Umfang und die Auswirkungen sind weitaus größer als Power BI allein. Diese Art von Initiative erfordert Finanzierung, Priorisierung und Planung. Sie müssen davon ausgehen, dass Sie bei der Planung, Nutzung und Überwachung mit mehreren Teams aus unterschiedlichen Bereichen zusammenarbeiten.

Wenn Sie Power BI für Ihre Organisation verwalten, sind Sie in der Regel nicht direkt für die meisten Aspekte des Informationsschutzes und DLP verantwortlich. Wahrscheinlich fallen diese Verantwortung dem Informationssicherheitsteam und anderen Systemadministratoren zu.

Diese Artikelreihe konzentriert sich auf Folgendes:

  • Warum: Warum diese Funktionen für Compliance und Überwachung wichtig sind.
  • Was: Eine Übersicht über den End-to-End-Prozess.
  • Wer: Welche Teams am End-to-End-Prozess teilnehmen.
  • Voraussetzungen: Die Dinge, die vorhanden sein müssen, bevor die Informationsschutz- und DLP-Funktionen für Power BI aktiviert werden können.

Wichtig

Die Power BI-Administratorrolle wurde umbenannt. Der neue Name der Rolle lautet Fabric-Administrator.

Schützen von Organisationsdaten

Daten sind in vielen Anwendungen und Diensten vorhanden. Sie werden in Quelldatenbanken und -dateien gespeichert. Sie werden im Power BI-Dienst veröffentlicht. Sie sind auch außerhalb der Power BI-Dienst als Originaldateien, heruntergeladene Dateien und exportierte Daten vorhanden. Wenn Daten besser zugänglich und ressourcenübergreifend genutzt werden, wird die Art und Weise, wie Sie Daten schützen, immer wichtiger.

Kurz gesagt, beim Schutz von Daten geht es um Folgendes:

  • Schützen von Organisationsdaten.
  • Verringern des Risikos einer nicht autorisierten oder unbeabsichtigten Freigabe vertraulicher Informationen.
  • Stärkung des Compliancestatus für gesetzliche Anforderungen.

Der Schutz von Daten ist ein komplexes Thema. Zu den wichtigsten Themen, die für Power BI relevant sind, gehören:

  • Verantwortungsvolle Benutzeraktionen: Benutzer, die Anleitungen und Trainings erhalten haben und klar verstehen, was von ihnen erwartet wird, können ethisch handeln. Sie können ein Umfeld schaffen, in dem Sicherheit, Datenschutz und Compliance während des normalen Arbeitsablaufs groß geschrieben werden.
  • Richtig dimensionierte Benutzersicherheitsberechtigungen: In Power BI geschieht das Schützen von Daten und Berichten getrennt und unterscheidet sich von den in diesen Artikeln beschriebenen Informationsschutz- und DLP-Aktivitäten. Sicherheitsmethoden in Power BI umfassen Techniken wie Arbeitsbereichsrollen, Freigabe, App-Berechtigungen und zeilenbasierte Sicherheit (Row-Level Security, RLS). Sicherheitstechniken wie Arbeitsbereichsrollen, App-Berechtigungen, Freigabe pro Element und RLS werden in den Artikeln zur Sicherheitsplanung behandelt.
  • Datenlebenszyklusverwaltung: Prozesse wie Sicherungen und Versionskontrolle sind wichtig für den Schutz von Daten. Die Einrichtung von Verschlüsselungsschlüsseln und geografischen Standorten für die Datenspeicherung sind ebenfalls eine Überlegungen wert.
  • Informationsschutz: Das Bezeichnen und Klassifizieren von Inhalten mithilfe von Vertraulichkeitsbezeichnungen ist der erste Schritt, um sie schützen zu können. Der Informationsschutz wird in dieser Artikelreihe behandelt.
  • Richtlinien zur Verhinderung von Datenverlust: DLP bezieht sich auf Steuerelemente und Richtlinien, die das Risiko von Datenlecks verringern. Die Verhinderung von Datenverlust wird in dieser Artikelreihe behandelt.

Die Artikelreihe „Informationsschutz und DLP“ konzentriert sich auf die letzten beiden Aufzählungspunkte, Informationsschutz und DLP, und insbesondere auf ihren Zusammenhang mit Power BI.

Es wird empfohlen, sich auch mit dem vollständigen Framework Microsoft Purview Information Protection vertraut zu machen: kennen Sie Ihre Daten, schützen Sie Ihre Daten, verhindern Sie Datenverluste und steuern Sie Ihre Daten.

Tipp

Die IT-Abteilung Ihrer Organisation verfügt bereits über Prozesse, die zum Informationsschutz zählen, aber sie sind nicht Gegenstand dieser Artikelserie. Diese Prozesse können Hochverfügbarkeit und Notfallwiederherstellung im Zusammenhang mit Quelldatenbanksystemen umfassen. Sie könnten auch den Schutz mobiler Geräte umfassen. Stellen Sie sicher, dass Sie relevante Technologie- und Governanceteams identifizieren und in all Ihre Planungsbemühungen einbeziehen.

Gängige Anwendungsfälle

Power BI-Complianceherausforderungen und gesetzliche Berichtsanforderungen sind häufig ein treibender Faktor für die ersten Schritte mit Informationsschutz und DLP.

Tipp

Unter Datenlecks versteht man das Risiko, dass Daten von nicht autorisierten Benutzern angezeigt werden. Der Begriff wird häufig verwendet, wenn man sich auf externe Benutzer bezieht. Er kann jedoch auch auf interne Benutzer zutreffen. Die Verringerung des Risikos von Datenlecks hat in der Regel oberste Priorität beim Informationsschutz und DLP. Alle in diesem Abschnitt aufgeführten Anwendungsfälle können dazu beitragen, Datenlecks zu reduzieren.

Dieser Abschnitt enthält häufige Anwendungsfälle, die eine Organisation zwingen können, Informationsschutz und DLP zu implementieren. Die Anwendungsfälle konzentrieren sich hauptsächlich auf Power BI, obwohl die Vorteile für eine Organisation viel umfassender sind.

Klassifizieren und Bezeichnen von Daten

Organisationen haben häufig externe oder interne Anforderungen an die Klassifizierung und Bezeichnung von Inhalten. Die Verwendung von Vertraulichkeitsbezeichnungen in Power BI (und auch in anderen Organisationsanwendungen und -diensten) ist ein wichtiger Faktor zum Erfüllen von Complianceanforderungen.

Nachdem Sie Inhalten in Power BI Vertraulichkeitsbezeichnungen zugewiesen haben, können Sie Wissen und Erkenntnisse zu Folgendem gewinnen:

  • Ob vertrauliche Daten in einem Power BI-Arbeitsbereich enthalten sind.
  • Gibt an, ob ein bestimmtes Power BI-Element, z. B. ein Semantikmodell (früher als Dataset bezeichnet) als vertraulich betrachtet wird.
  • Wer auf Power BI-Elemente, die als vertraulich angesehen werden, zugreifen kann.
  • Wer auf vertrauliche Daten im Power BI-Dienst zugegriffen hat.

Mit dem End-to-End-Schutz können Vertraulichkeitsbezeichnungen (optional) automatisch von Datenquellen geerbt werden. Die Bezeichnungsvererbung verringert das Risiko, dass Benutzer auf vertrauliche Daten zugreifen und diese für nicht autorisierte Benutzer freigeben, da sie nicht bezeichnet wurden.

Beim Export aus dem Power BI-Dienst werden Vertraulichkeitsbezeichnungen beibehalten, wenn Inhalte in unterstützte Dateitypen exportiert werden. Diese Beibehaltung der Bezeichnung beim Exportieren von Inhalten ist ein weiterer wichtiger Faktor bei der Verringerung von Datenlecks.

Weitere Informationen zum Bezeichnen und Klassifizieren von Power BI-Inhalten finden Sie unter Informationsschutz für Power BI.

Schulen von Benutzern

Wie bereits erwähnt, gehört zum Schutz von Daten auch verantwortungsvolles Handeln von Benutzern.

Da Vertraulichkeitsbezeichnungen klar als Nur-Text angezeigt werden, sind sie eine nützliche Erinnerung für Benutzer. Während des normalen Arbeitsverlaufs schärfen Bezeichnungen das Bewusstsein dafür, wie Benutzer gemäß den Organisationsrichtlinien und Richtlinien mit Daten interagieren sollen.

Wenn einem Benutzer beispielsweise die Vertraulichkeitsbezeichnung Streng vertraulich angezeigt wird, sollte er dementsprechend bei seinen Entscheidungen zum Herunterladen, Speichern oder Freigeben von Inhalten für andere Personen besonders vorsichtig sein. Auf diese Weise helfen Vertraulichkeitsbezeichnungen Benutzern dabei, vertrauliche Daten verantwortungsvoll zu behandeln und das Risiko, dass sie versehentlich für nicht autorisierte Benutzer freigegeben werden, zu verringern.

Weitere Informationen finden Sie unter Informationsschutz für Power BI.

Schützen vertraulicher Daten

Die Möglichkeit, zu erkennen, wo vertrauliche Daten gespeichert werden, ist ein weiterer wichtiger Aspekt bei der Verhinderung von Datenlecks.

Wenn ein Dataset in einem Power BI-Dienst veröffentlicht wurde und es sich in einem Premium-Arbeitsbereich befindet, können Sie DLP für Power BI verwenden, um bestimmte vertrauliche Informationstypen darin zu erkennen. Diese Funktion ist hilfreich, um vertrauliche Daten (z. B. Finanzdaten oder personenbezogene Daten) zu finden, die in Power BI-Semantikmodellen gespeichert sind.

Diese Art von DLP-Richtlinie für Power BI ermöglicht es Sicherheitsadministratoren, zu überwachen und zu erkennen, wann nicht autorisierte vertrauliche Daten in die Power BI-Dienst hochgeladen werden. Sie können sich auf Warnungen verlassen, um schnell zu handeln. Richtlinientipps unterstützen Inhaltsersteller und -besitzer beim ordnungsgemäßen Umgang mit vertraulichen Daten. Weitere Informationen zu DLP in Power BI finden Sie unter Verhinderung von Datenverlust für Power BI.

Tipp

Wenn Sie Daten ordnungsgemäß klassifiziert haben, können Sie sie korrelieren, analysieren und darüber berichten. In den meisten Fällen müssen Sie Daten aus mehreren Quellen korrelieren, um ein vollständiges Bild zu erhalten. Sie können Daten mithilfe von Tools wie den Power BI-Scanner-APIs und dem Power BI-Aktivitätsprotokoll erfassen. Weitere Informationen zu diesen Themen sowie zu Überwachungsprotokollen im Microsoft Purview-Complianceportal finden Sie unter Überwachung des Informationsschutzes und der Verhinderung von Datenverlust für Power BI.

Verwenden von Datenverschlüsselung

Dateien, die mit einer Vertraulichkeitsbezeichnung klassifiziert sind, können (optional) Schutz enthalten. Wenn eine Datei mit Verschlüsselung geschützt ist, verringert dies das Risiko von Datenlecks und übermäßiger Freigabe. Die Verschlüsselungseinstellung folgt der Datei, unabhängig vom Gerät oder Benutzer. Nicht autorisierte Benutzer (intern und extern) können den Dateiinhalt nicht öffnen, entschlüsseln oder anzeigen.

Wichtig

Bei der Implementierung von Verschlüsselung sollten Sie sich über bestimmte Kompromisse im Klaren sein. Weitere Informationen, einschließlich Überlegungen zur Verschlüsselung, finden Sie unter Informationsschutz für Power BI.

Weitere Informationen zu den Steuerelementtypen, die Sie implementieren können, um Datenlecks zu reduzieren, finden Sie unter Defender for Cloud Apps für Power BI.

Steuern von Aktivitäten in Echtzeit

Um vorhandene Sicherheitseinstellungen in Power BI zu erweitern, können Sie Echtzeitsteuerelemente implementieren, um das Risiko von Datenlecks zu verringern.

Beispielsweise können Sie das Herunterladen hochsensibler Daten und Berichte aus dem Power BI-Dienst für Benutzer einschränken. Diese Art der Echtzeitsteuerung ist hilfreich, wenn eine Person Inhalte anzeigen darf, aber daran gehindert werden soll, diese herunterzuladen und für andere freizugeben.

Weitere Informationen zu den Steuerelementtypen, die Sie implementieren können, finden Sie unter Defender for Cloud Apps für Power BI.

Tipp

Weitere Überlegungen zur Stärkung der Power BI-Compliance finden Sie in den Artikeln zur Sicherheitsplanung.

Informationsschutz und DLP-Dienste

Viele Features und Dienste im Zusammenhang mit Informationsschutz und DLP wurden umbenannt und sind jetzt Teil von Microsoft Purview. Die Sicherheits- und Compliancefunktionalität von Microsoft 365 ist jetzt ebenfalls Teil von Microsoft Purview.

Zu den Features und Diensten, die für diese Artikelreihe am wichtigsten sind, gehören:

  • Microsoft Purview Information Protection (früher Microsoft Information Protection): Microsoft Purview Information Protection bietet Funktionen zum Erkennen, Klassifizieren und Schützen von Daten. Ein wichtiger Grundsatz ist, dass Daten besser geschützt werden können, wenn sie erst einmal klassifiziert worden sind. Die wichtigsten Bausteine zum Klassifizieren von Daten sind Vertraulichkeitsbezeichnungen, die im Artikel Informationsschutz für Power BI beschrieben werden.
  • Microsoft Purview-Complianceportal (früher Microsoft 365 Compliance Center): Im Portal richten Sie Vertraulichkeitsbezeichnungen ein. Hier richten Sie auch Power BI für DLP ein, was im Artikel Verhinderung von Datenverlust für Power BI beschrieben wird.
  • Microsoft Purview Verhinderung vor Datenverlust (früher Office 365 Verhinderung von Datenverlust): DLP-Aktivitäten konzentrieren sich in erster Linie auf die Verringerung von Datenlecks. Durch die Verwendung von Vertraulichkeitsbezeichnungen oder vertraulichen Informationstypen helfen Microsoft Purview Richtlinien zur Verhinderung von Datenverlust einer Organisation, vertrauliche Daten zu finden und sie zu schützen. Die für Power BI relevanten Funktionen werden im Artikel Verhinderung von Datenverlust für Power BI beschrieben.
  • Microsoft Defender for Cloud Apps (früher Microsoft Cloud App Security): Richtlinien in Microsoft Defender for Cloud Apps (die in einer separaten Anwendung definiert werden) helfen auch beim Schutz von Daten, einschließlich Echtzeitsteuerelementen. Die für Power BI relevanten Funktionen werden im Artikel Defender for Cloud Apps für Power BI beschrieben.

Die obige Liste ist nicht erschöpfend. Microsoft Purview umfasst eine breite Palette von Funktionen, die den Umfang dieser Artikelreihe bei weitem übersteigen. Beispielsweise sind die Microsoft Purview-Datenkatalogisierungs- und Governancefeatures wichtig. Sie sind jedoch nicht direkt für diese Artikelreihe verfügbar.

Tipp

Wenn Sie Fragen zu Diensten, Features oder Lizenzierung haben, wenden Sie sich an Ihr Microsoft-Kontoteam. Das Team kann am besten klären, was für Ihre Organisation verfügbar ist.

Die restlichen Inhalte zum Informationsschutz und zur Verhinderung von Datenverlust finden Sie in den folgenden Artiklen:

Zugehöriger Inhalt

Im nächsten Artikel dieser Serie erhalten Sie Informationen zu den ersten Schritten beim Informationsschutz mit Planungsaktivitäten auf Organisationsebene für Power BI.