Freigeben über

Power BI-Implementierungsplanung: Informationsschutz auf Organisationsebene

Hinweis

Dieser Artikel ist Teil der Power BI-Implementierungsplanungsreihe von Artikeln. Die Serie konzentriert sich auf die Planung einer Power BI-Erfahrung in Microsoft Fabric. Weitere Informationen finden Sie in der Einführung der Reihe.

In diesem Artikel werden die ersten Bewertungen und vorbereitenden Aufgaben für den Informationsschutz in Power BI beschrieben. Er richtet sich an folgende Personengruppen:

  • Power BI-Administratoren: Die Administratoren, die für die Überwachung von Power BI in der Organisation verantwortlich sind. Power BI-Administratoren müssen mit Informationssicherheitsteams und anderen relevanten Teams zusammenarbeiten.
  • Center of Excellence, IT und BI-Teams: Die Teams, die für die Überwachung von Power BI in der Organisation verantwortlich sind. Sie müssen möglicherweise mit Power BI-Administratoren, Informationssicherheitsteams und anderen relevanten Teams zusammenarbeiten.

Wichtig

Informationsschutz und Verhindern von Datenverlust (Data Loss Prevention, DLP) sind eine wichtige Aufgabe für das gesamte Unternehmen. Der Umfang und die Auswirkungen gehen weit über Power BI hinaus. Diese Art von Initiative erfordert Finanzierung, Priorisierung und Planung. Sie müssen davon ausgehen, dass Sie bei der Planung, Nutzung und Überwachung mit mehreren Teams aus unterschiedlichen Bereichen zusammenarbeiten.

Bewertung des aktuellen Zustands

Bevor Sie mit der Einrichtung beginnen, bewerten Sie, was derzeit in Ihrer Organisation geschieht. Es ist wichtig, zu verstehen, inwieweit der Informationsschutz derzeit implementiert (oder geplant) wird.

Im Allgemeinen gibt es bei der Verwendung von Vertraulichkeitsbezeichnungen zwei Fälle.

  • Vertraulichkeitsbezeichnungen werden derzeit verwendet: In diesem Fall werden Vertraulichkeitsbezeichnungen eingerichtet und zum Klassifizieren von Microsoft Office-Dateien verwendet. In dieser Situation ist der Arbeitsaufwand, der für die Verwendung von Vertraulichkeitsbezeichnungen für Power BI erforderlich ist, erheblich geringer. Der zeitliche Ablauf wird kürzer sein, und eine schnelle Einrichtung wird vereinfacht.
  • Vertraulichkeitsbezeichnungen werden noch nicht verwendet: In diesem Fall werden Vertraulichkeitsbezeichnungen nicht für Microsoft Office-Dateien verwendet. In dieser Situation ist ein organisationsweites Projekt zum Implementieren von Vertraulichkeitsbezeichnungen erforderlich. In einigen Organisationen kann ein solches Projekt einen erheblichen Arbeitsaufwand darstellen und viel Zeit kosten. Das liegt daran, dass Bezeichnungen in der gesamten Organisation für verschiedene Anwendungen verwendet werden sollen (und nicht nur von einer Anwendung wie Power BI).

Das folgende Diagramm zeigt, wie Vertraulichkeitsbezeichnungen in der gesamten Organisation verwendet werden.

Diagramm zur Verwendung von Vertraulichkeitsbezeichnungen. Die Diagrammelemente sind in der Tabelle unten beschrieben.

Das obige Diagramm enthält die folgenden Elemente:

Gegenstand BESCHREIBUNG
Element 1 Vertraulichkeitsbezeichnungen werden im Microsoft Purview-Complianceportal eingerichtet.
Element 2 Vertraulichkeitsbezeichnungen können auf viele Arten von Elementen und Dateien angewendet werden, z. B. Microsoft Office-Dateien, Elemente im Power BI-Dienst, Power BI Desktop-Dateien und E-Mails.
Element 3 Vertraulichkeitsbezeichnungen können auf Teams-Websites, SharePoint-Websites und Microsoft 365-Gruppen angewendet werden.
Element 4 Vertraulichkeitsbezeichnungen können auf schematisierte Datenressourcen angewendet werden, die in der Microsoft Purview Data Map registriert sind.

Beachten Sie im Diagramm, dass Elemente im Power BI-Dienst und Power BI Desktop-Dateien nur einige von vielen Ressourcen sind, für die Vertraulichkeitsbezeichnungen zugewiesen werden können. Vertraulichkeitsbezeichnungen werden zentral in Microsoft Purview Information Protection definiert. Nach der Definition werden dieselben Bezeichnungen von allen unterstützten Anwendungen in der gesamten Organisation verwendet. Es ist nicht möglich, Bezeichnungen für die Verwendung in einer einzigen Anwendung wie Power BI zu definieren. Daher muss Ihr Planungsprozess eine breitere Palette von Anwendungsszenarien berücksichtigen, damit Bezeichnungen definiert werden, die in verschiedenen Kontexten verwendet werden können. Da der Informationsschutz einheitlich für Anwendungen und Dienste verwendet werden soll, ist es wichtig, mit der Bewertung der derzeit vorhandenen Vertraulichkeitsbezeichnungen zu beginnen.

Die Aktivitäten zum Implementieren von Vertraulichkeitsbezeichnungen werden im Artikel zum Informationsschutz für Power BI beschrieben.

Hinweis

Vertraulichkeitsbezeichnungen sind der erste Baustein für die Implementierung eines Informationsschutzes. DLP erfolgt nach der Einrichtung des Informationsschutzes.

Checkliste – Wichtige Entscheidungen und Aktionen bei der Bewertung des aktuellen Zustands von Informationsschutz und DLP in Ihrer Organisation:

  • Ermitteln Sie, ob der Informationsschutz derzeit verwendet wird: Ermitteln Sie, welche Funktionen derzeit aktiviert sind, wie sie verwendet werden, von welchen Anwendungen und von wem.
  • Ermitteln Sie, wer derzeit für den Informationsschutz verantwortlich ist: Ermitteln Sie bei der Bewertung der aktuellen Funktionen, wer derzeit verantwortlich ist. Beziehen Sie das entsprechende Team in alle künftigen Aktivitäten ein.
  • Konsolidieren Von Projekten zum Schutz von Informationen: Kombinieren Sie ggf. die derzeit verwendeten Informationsschutzmethoden. Wenn möglich, konsolidieren Sie Projekte und Teams, um effizienter und einheitlich arbeiten zu können.

Teampersonal

Wie bereits erwähnt, haben viele der Funktionen für Informationensschutz und DLP, die eingerichtet werden, Auswirkungen auf die gesamte Organisation (weit über Power BI hinaus). Deshalb ist es wichtig, ein Team zusammenzustellen, das alle relevanten Personen umfasst. Das Team wird bei der Definition der Ziele (im nächsten Abschnitt beschrieben) und bei der Leitung des Gesamtprojekts von entscheidender Bedeutung sein.

Wenn Sie Rollen und Zuständigkeiten für Ihr Team definieren, sollten Sie Personen einbeziehen, die in der Lage sind, die Anforderungen umzusetzen und gut mit den Projektbeteiligten zu kommunizieren.

Ihr Team kann relevante Beteiligte umfassen und verschiedene Personen und Gruppen in der Organisation einbeziehen, z. B.:

  • Chief Information Security Officer / Datenschutzbeauftragter
  • Team für Informationssicherheit / Cyber Security
  • Rechtliche Hinweise
  • Kompatibilität
  • Risikomanagement
  • Data Governance-Ausschuss des Unternehmens
  • Chief Data Officer / Chief Analytics Officer
  • Internes Auditteam
  • Analytics Center of Excellence (COE)
  • Team für Enterprise Analytics / Business Intelligence (BI)
  • Datenverantwortliche und Domänendatenbesitzer aus wichtigen Geschäftseinheiten

Ihr Team sollte außerdem die folgenden Systemadministratoren umfassen:

  • Microsoft Purview-Administrator
  • Microsoft 365-Administrator
  • Microsoft Entra ID-Administrator
  • Defender für Cloud Apps-Administrator
  • Power BI-Administrator

Tipp

Rechnen Sie damit, dass die Planung und Implementierung des Informationsschutzes ein gemeinschaftliches Projekt ist, das einige Zeit in Anspruch nehmen wird.

Die Planung und Umsetzung des Informationsschutzes ist in der Regel für die meisten Teilnehmer eine untergeordnete Aufgabe. Sie stellt nur eine von vielen dringenden Prioritäten dar. Wenn ein Verantwortlicher die Leitung übernimmt, hilft dies, Prioritäten zu klären, Fristen zu setzen und strategische Orientierungshilfen zu geben.

Eine klare Zuweisung der Rollen und Zuständigkeiten ist notwendig, um bei der teamübergreifenden Arbeit in verschiedenen Unternehmensbereichen Missverständnisse und Verzögerungen zu vermeiden.

Checkliste – Wichtige Entscheidungen und Aktionen bei der Zusammenstellung Ihres Informationsschutzteams:

  • Zusammenstellen sie das Team: Alle relevanten technischen und nicht technischen Projektbeteiligten einbeziehen.
  • Bestimmen Sie, wer der Leitende Sponsor ist: Stellen Sie sicher, dass Sie klar sind, wer der Leiter der Planungs- und Implementierungsanstrengung ist. Diese Person (oder Gruppe) muss in die Priorisierung, Finanzierung, Konsensfindung und in Entscheidungen einbezogen werden.
  • Klarstellen von Rollen und Verantwortlichkeiten: Stellen Sie sicher, dass alle Beteiligten klar in ihrer Rolle und Verantwortung sind.
  • Erstellen Sie einen Kommunikationsplan: Überlegen Sie, wie und wann Sie mit Benutzern in der gesamten Organisation kommunizieren.

Ziele und Anforderungen

Es ist wichtig zu überlegen, was Ihre Ziele für die Implementierung von Informationsschutz und DLP sind. Unterschiedliche Projektbeteiligte aus dem Team, das Sie zusammengestellt haben, haben wahrscheinlich unterschiedliche Standpunkte und Anliegen.

An dieser Stelle wird empfohlen, sich auf die strategischen Ziele zu konzentrieren. Wenn Ihr Team mit der Definition von Details auf Implementierungsebene begonnen hat, empfehlen wir Ihnen, einen Schritt zurückzugehen und erst die strategischen Ziele zu definieren. Klar benannte strategische Ziele helfen Ihnen bei einer reibungsloseren Umsetzung.

Ihre Anforderungen für Informationsschutz und DLP können die folgenden Ziele umfassen.

  • Self-Service User Enablement: Ermöglichen Sie Self-Service BI-Inhaltserstellern und -besitzern, zusammenarbeiten, teilen und so produktiv wie möglich zu sein – alles innerhalb der vom Governanceteam eingerichteten Guardrails. Das Ziel besteht darin, Self-Service-BI mit zentralisierter BI in Einklang zu bringen und es Self-Service-Benutzern zu erleichtern, das Richtige zu tun, ohne ihre Produktivität zu beeinträchtigen.
  • Datenkultur, die vertrauenswürdige Daten schützt: Implementieren Sie den Informationsschutz so, dass die Reibung gering ist und die Benutzerproduktivität nicht beeinträchtigt wird. Bei einer entsprechend abgestimmten Implementierung arbeiten die Benutzer eher mit Ihren Systemen, als diese zu umgehen. Schulung und Support für die Benutzer sind unerlässlich.
  • Risikominderung: Schützen Sie die Organisation, indem Sie ihre Risiken reduzieren. Zu den Zielen bei der Risikominderung gehören häufig die Minimierung der Möglichkeit von Datenlecks, durch die Daten die Organisation verlassen, und der Schutz von Daten vor unbefugtem Zugriff.
  • Compliance: Unterstützung der Compliance-Bemühungen für Industrie-, regional- und regierungsrechtliche Vorschriften. Darüber hinaus können in Ihrer Organisation auch interne Governance- und Sicherheitsanforderungen gelten, die als kritisch eingestuft werden.
  • Auditierbarkeit und Bewusstsein: Verstehen Sie, wo sich die vertraulichen Daten in der gesamten Organisation befinden und wer sie verwendet.

Beachten Sie, dass eine Initiative zur Einführung des Informationsschutzes andere ähnliche Aktivitäten ergänzt, die Sicherheit und Datenschutz betreffen. Koordinieren Sie Initiativen zum Informationsschutz mit anderen Maßnahmen, z. B.:

  • Zugriffsrollen, Berechtigungen, Freigabe und Sicherheit auf Zeilenebene (Row-level Security, RLS) für Power BI-Inhalte
  • Anforderungen an die Datenresidenz
  • Anforderungen an die Netzwerksicherheit
  • Anforderungen für die Verschlüsselung von Daten
  • Initiativen zur Datenkatalogisierung

Weitere Informationen zum Sichern von Inhalten in Power BI finden Sie in den Artikeln zur Sicherheitsplanung.

Checkliste – Wichtige Entscheidungen und Aktionen beim Festlegen der Ziele für den Informationsschutz:

  • Identifizieren Sie die geltenden Datenschutzbestimmungen und -risiken: Stellen Sie sicher, dass Ihr Team die Datenschutzbestimmungen kennen, die Ihre Organisation für Ihre Branche oder Geografische Region unterliegt. Führen Sie bei Bedarf eine Datenschutzrisikobewertung durch.
  • Diskutieren und klären Sie Ihre Ziele: Führen Sie erste Diskussionen mit relevanten Projektbeteiligten und interessierten Personen durch. Achten Sie darauf, Ihre strategischen Ziele für den Informationsschutz klar zu kommunizieren. Stellen Sie sicher, dass diese Ziele in Unternehmensanforderungen umgesetzt werden können.
  • Genehmigen, dokumentieren und priorisieren Sie Ihre Ziele: Stellen Sie sicher, dass Ihre strategischen Ziele dokumentiert und priorisiert werden. Wenn Sie komplexe Entscheidungen treffen, Aufgaben priorisieren oder Kompromisse eingehen müssen, greifen Sie auf diese Ziele zurück.
  • Überprüfen und dokumentieren Sie behördliche und geschäftliche Anforderungen: Stellen Sie sicher, dass alle gesetzlichen und geschäftlichen Anforderungen für den Datenschutz dokumentiert sind. Greifen Sie darauf zurück, wenn Entscheidungen zu Priorisierung und Compliance getroffen werden müssen.
  • Beginnen Sie mit dem Erstellen eines Plans: Beginnen Sie mit dem Erstellen eines Projektplans, indem Sie die priorisierten strategischen Ziele und dokumentierten Anforderungen verwenden.

Zugehöriger Inhalt

Im nächsten Artikel dieser Reihe erfahren Sie mehr über die Bezeichnung und Klassifizierung von Datenressourcen für die Verwendung mit Power BI.