Power BI-Implementierungsplanung: Informationsschutz auf Organisationsebene

  • Artikel

Hinweis

Dieser Artikel ist Teil der Artikelreihe zur Power BI-Implementierungsplanung. Diese Reihe konzentriert sich hauptsächlich auf den Power BI-Workload innerhalb von Microsoft Fabric. Eine Einführung in die Artikelreihe finden Sie unter Power BI-Implementierungsplanung.

In diesem Artikel werden die ersten Bewertungen und vorbereitenden Aufgaben für den Informationsschutz in Power BI beschrieben. Er richtet sich an folgende Personengruppen:

  • Power BI-Administrator*innen: Administrator*innen, die für die Überwachung von Power BI in der Organisation verantwortlich sind. Power BI-Administratoren müssen mit Informationssicherheitsteams und anderen relevanten Teams zusammenarbeiten.
  • Center of Excellence-, IT- und BI-Teams: Die Teams, die für Power BI in der Organisation verantwortlich sind. Sie müssen möglicherweise mit Power BI-Administratoren, Informationssicherheitsteams und anderen relevanten Teams zusammenarbeiten.

Wichtig

Informationsschutz und Verhindern von Datenverlust (Data Loss Prevention, DLP) sind eine wichtige Aufgabe für das gesamte Unternehmen. Der Umfang und die Auswirkungen gehen weit über Power BI hinaus. Diese Art von Initiative erfordert Finanzierung, Priorisierung und Planung. Sie müssen davon ausgehen, dass Sie bei der Planung, Nutzung und Überwachung mit mehreren Teams aus unterschiedlichen Bereichen zusammenarbeiten.

Bewertung des aktuellen Zustands

Bevor Sie mit der Einrichtung beginnen, bewerten Sie, was derzeit in Ihrer Organisation geschieht. Es ist wichtig, zu verstehen, inwieweit der Informationsschutz derzeit implementiert (oder geplant) wird.

Im Allgemeinen gibt es bei der Verwendung von Vertraulichkeitsbezeichnungen zwei Fälle.

  • Vertraulichkeitsbezeichnungen werden derzeit verwendet: In diesem Fall sind Vertraulichkeitsbezeichnungen eingerichtet und werden verwendet, um Microsoft Office-Dateien zu klassifizieren. In dieser Situation ist der Arbeitsaufwand, der für die Verwendung von Vertraulichkeitsbezeichnungen für Power BI erforderlich ist, erheblich geringer. Der zeitliche Ablauf wird kürzer sein, und eine schnelle Einrichtung wird vereinfacht.
  • Vertraulichkeitsbezeichnungen werden noch nicht verwendet: In diesem Fall werden keine Vertraulichkeitsbezeichnungen für Microsoft Office-Dateien verwendet. In dieser Situation ist ein organisationsweites Projekt zum Implementieren von Vertraulichkeitsbezeichnungen erforderlich. In einigen Organisationen kann ein solches Projekt einen erheblichen Arbeitsaufwand darstellen und viel Zeit kosten. Das liegt daran, dass Bezeichnungen in der gesamten Organisation für verschiedene Anwendungen verwendet werden sollen (und nicht nur von einer Anwendung wie Power BI).

Das folgende Diagramm zeigt, wie Vertraulichkeitsbezeichnungen in der gesamten Organisation verwendet werden.

Diagram shows how sensitivity labels are used. Items in the diagram are described in the table below.

Das obige Diagramm enthält die folgenden Elemente:

Element Beschreibung
Item 1. Vertraulichkeitsbezeichnungen werden im Microsoft Purview-Complianceportal eingerichtet.
Item 2. Vertraulichkeitsbezeichnungen können auf viele Arten von Elementen und Dateien angewendet werden, z. B. Microsoft Office-Dateien, Elemente im Power BI-Dienst, Power BI Desktop-Dateien und E-Mails.
Item 3. Vertraulichkeitsbezeichnungen können auf Teams-Websites, SharePoint-Websites und Microsoft 365-Gruppen angewendet werden.
Item 4. Vertraulichkeitsbezeichnungen können auf schematisierte Datenressourcen angewendet werden, die in der Microsoft Purview Data Map registriert sind.

Beachten Sie im Diagramm, dass Elemente im Power BI-Dienst und Power BI Desktop-Dateien nur einige von vielen Ressourcen sind, für die Vertraulichkeitsbezeichnungen zugewiesen werden können. Vertraulichkeitsbezeichnungen werden zentral in Microsoft Purview Information Protection definiert. Nach der Definition werden dieselben Bezeichnungen von allen unterstützten Anwendungen in der gesamten Organisation verwendet. Es ist nicht möglich, Bezeichnungen für die Verwendung in einer einzigen Anwendung wie Power BI zu definieren. Daher muss Ihr Planungsprozess eine breitere Palette von Anwendungsszenarien berücksichtigen, damit Bezeichnungen definiert werden, die in verschiedenen Kontexten verwendet werden können. Da der Informationsschutz einheitlich für Anwendungen und Dienste verwendet werden soll, ist es wichtig, mit der Bewertung der derzeit vorhandenen Vertraulichkeitsbezeichnungen zu beginnen.

Die Aktivitäten zum Implementieren von Vertraulichkeitsbezeichnungen werden im Artikel zum Informationsschutz für Power BI beschrieben.

Hinweis

Vertraulichkeitsbezeichnungen sind der erste Baustein für die Implementierung eines Informationsschutzes. DLP erfolgt nach der Einrichtung des Informationsschutzes.

Checkliste – Wichtige Entscheidungen und Aktionen bei der Bewertung des aktuellen Zustands von Informationsschutz und DLP in Ihrer Organisation:

  • Ermitteln, ob der Informationsschutz derzeit verwendet wird: Recherchieren Sie, welche Funktionen derzeit aktiviert sind, wie sie verwendet werden und welche Anwendungen und Personen sie verwenden.
  • Ermitteln, wer derzeit für den Informationsschutz verantwortlich ist: Bestimmen Sie beim Bewerten der aktuellen Funktionen, wer derzeit verantwortlich ist. Beziehen Sie das entsprechende Team in alle künftigen Aktivitäten ein.
  • Konsolidieren von Projekten zum Informationsschutz: Kombinieren Sie ggf. die derzeit verwendeten Methoden zum Schutz von Informationen. Wenn möglich, konsolidieren Sie Projekte und Teams, um effizienter und einheitlich arbeiten zu können.

Teampersonal

Wie bereits erwähnt, haben viele der Funktionen für Informationensschutz und DLP, die eingerichtet werden, Auswirkungen auf die gesamte Organisation (weit über Power BI hinaus). Deshalb ist es wichtig, ein Team zusammenzustellen, das alle relevanten Personen umfasst. Das Team wird bei der Definition der Ziele (im nächsten Abschnitt beschrieben) und bei der Leitung des Gesamtprojekts von entscheidender Bedeutung sein.

Wenn Sie Rollen und Zuständigkeiten für Ihr Team definieren, sollten Sie Personen einbeziehen, die in der Lage sind, die Anforderungen umzusetzen und gut mit den Projektbeteiligten zu kommunizieren.

Ihr Team kann relevante Beteiligte umfassen und verschiedene Personen und Gruppen in der Organisation einbeziehen, z. B.:

  • Chief Information Security Officer / Datenschutzbeauftragter
  • Team für Informationssicherheit / Cyber Security
  • Rechtliche Hinweise
  • Kompatibilität
  • Risikomanagement
  • Data Governance-Ausschuss des Unternehmens
  • Chief Data Officer / Chief Analytics Officer
  • Internes Auditteam
  • Analytics Center of Excellence (COE)
  • Team für Enterprise Analytics / Business Intelligence (BI)
  • Datenverantwortliche und Domänendatenbesitzer aus wichtigen Geschäftseinheiten

Ihr Team sollte außerdem die folgenden Systemadministratoren umfassen:

  • Microsoft Purview-Administrator
  • Microsoft 365-Administrator
  • Microsoft Entra ID-Administrator*in (ehemals Azure Active Directory)
  • Defender für Cloud Apps-Administrator
  • Power BI-Administrator

Tipp

Rechnen Sie damit, dass die Planung und Implementierung des Informationsschutzes ein gemeinschaftliches Projekt ist, das einige Zeit in Anspruch nehmen wird.

Die Planung und Umsetzung des Informationsschutzes ist in der Regel für die meisten Teilnehmer eine untergeordnete Aufgabe. Sie stellt nur eine von vielen dringenden Prioritäten dar. Wenn ein Verantwortlicher die Leitung übernimmt, hilft dies, Prioritäten zu klären, Fristen zu setzen und strategische Orientierungshilfen zu geben.

Eine klare Zuweisung der Rollen und Zuständigkeiten ist notwendig, um bei der teamübergreifenden Arbeit in verschiedenen Unternehmensbereichen Missverständnisse und Verzögerungen zu vermeiden.

Checkliste – Wichtige Entscheidungen und Aktionen bei der Zusammenstellung Ihres Informationsschutzteams:

  • Zusammenstellung des Teams: Alle relevanten Beteiligten aus dem technischen und nicht technischen Bereich müssen einbezogen werden.
  • Bestimmen der verantwortlichen Person: Es muss klar sein, wer die Planung und Implementierung leitet. Diese Person (oder Gruppe) muss in die Priorisierung, Finanzierung, Konsensfindung und in Entscheidungen einbezogen werden.
  • Klären der Rollen und Zuständigkeiten: Stellen Sie sicher, dass alle Beteiligten ihre Rolle und Verantwortlichkeiten kennen.
  • Erstellen eines Kommunikationsplans: Überlegen Sie, wie und wann Sie mit Benutzern in der gesamten Organisation kommunizieren werden.

Ziele und Anforderungen

Es ist wichtig zu überlegen, was Ihre Ziele für die Implementierung von Informationsschutz und DLP sind. Unterschiedliche Projektbeteiligte aus dem Team, das Sie zusammengestellt haben, haben wahrscheinlich unterschiedliche Standpunkte und Anliegen.

An dieser Stelle wird empfohlen, sich auf die strategischen Ziele zu konzentrieren. Wenn Ihr Team mit der Definition von Details auf Implementierungsebene begonnen hat, empfehlen wir Ihnen, einen Schritt zurückzugehen und erst die strategischen Ziele zu definieren. Klar benannte strategische Ziele helfen Ihnen bei einer reibungsloseren Umsetzung.

Ihre Anforderungen für Informationsschutz und DLP können die folgenden Ziele umfassen.

  • Ermöglichen von Self-Service-Benutzern: Sie können Self-Service-BI-Inhaltserstellern und -besitzern erlauben, zusammenzuarbeiten, Inhalte zu teilen und so produktiv wie möglich zu sein – immer innerhalb der vom Governanceteam festgelegten Grenzen. Das Ziel besteht darin, Self-Service-BI mit zentralisierter BI in Einklang zu bringen und es Self-Service-Benutzern zu erleichtern, das Richtige zu tun, ohne ihre Produktivität zu beeinträchtigen.
  • Datenkultur für den Schutz vertrauenswürdiger Daten: Implementieren Sie Informationsschutz möglichst reibungslos für die Benutzer, sodass ihre Produktivität nicht eingeschränkt wird. Bei einer entsprechend abgestimmten Implementierung arbeiten die Benutzer eher mit Ihren Systemen, als diese zu umgehen. Schulung und Support für die Benutzer sind unerlässlich.
  • Risikominderung: Schützen Sie die Organisation, indem Sie ihre Risiken reduzieren. Zu den Zielen bei der Risikominderung gehören häufig die Minimierung der Möglichkeit von Datenlecks, durch die Daten die Organisation verlassen, und der Schutz von Daten vor unbefugtem Zugriff.
  • Compliance: Unterstützen Sie Compliancemaßnahmen zu branchenspezifischen Vorgaben sowie regionalen und staatlichen Vorschriften. Darüber hinaus können in Ihrer Organisation auch interne Governance- und Sicherheitsanforderungen gelten, die als kritisch eingestuft werden.
  • Überprüfbarkeit und Sensibilisierung: Ermitteln Sie, wo sich die vertraulichen Daten in der Organisation befinden und wer sie verwendet.

Beachten Sie, dass eine Initiative zur Einführung des Informationsschutzes andere ähnliche Aktivitäten ergänzt, die Sicherheit und Datenschutz betreffen. Koordinieren Sie Initiativen zum Informationsschutz mit anderen Maßnahmen, z. B.:

  • Zugriffsrollen, Berechtigungen, Freigabe und Sicherheit auf Zeilenebene (Row-level Security, RLS) für Power BI-Inhalte
  • Anforderungen an die Datenresidenz
  • Anforderungen an die Netzwerksicherheit
  • Anforderungen für die Verschlüsselung von Daten
  • Initiativen zur Datenkatalogisierung

Weitere Informationen zum Sichern von Inhalten in Power BI finden Sie in den Artikeln zur Sicherheitsplanung.

Checkliste – Wichtige Entscheidungen und Aktionen beim Festlegen der Ziele für den Informationsschutz:

  • Identifizieren der geltenden Datenschutzbestimmungen und bestehenden Risiken: Stellen Sie sicher, dass Ihr Team die Datenschutzbestimmungen kennt, die für Ihre Organisation und Ihre Branche oder geografische Region gelten. Führen Sie bei Bedarf eine Datenschutzrisikobewertung durch.
  • Diskutieren und Definieren der Ziele: Führen Sie erste Gespräche mit relevanten Projektbeteiligten und Interessierten. Achten Sie darauf, Ihre strategischen Ziele für den Informationsschutz klar zu kommunizieren. Stellen Sie sicher, dass diese Ziele in Unternehmensanforderungen umgesetzt werden können.
  • Genehmigen, Dokumentieren und Priorisieren der Ziele: Stellen Sie sicher, dass Ihre strategischen Ziele dokumentiert und priorisiert werden. Wenn Sie komplexe Entscheidungen treffen, Aufgaben priorisieren oder Kompromisse eingehen müssen, greifen Sie auf diese Ziele zurück.
  • Überprüfen und Dokumentieren von regulatorischen und geschäftliche Anforderungen: Stellen Sie sicher, dass alle gesetzlichen und branchenspezifischen Anforderungen für den Datenschutz dokumentiert sind. Greifen Sie darauf zurück, wenn Entscheidungen zu Priorisierung und Compliance getroffen werden müssen.
  • Erstellen eines Plans: Beginnen Sie mit der Erstellung eines Projektplans anhand der priorisierten strategischen Ziele und dokumentierten Anforderungen.

Zugehöriger Inhalt

Im nächsten Artikel dieser Reihe erfahren Sie mehr über die Bezeichnung und Klassifizierung von Datenressourcen für die Verwendung mit Power BI.