Windows Information Protection erkunden

Abgeschlossen

In modernen Unternehmen hat die zunehmende Zusammenarbeit zwischen internen und externen Benutzern und die Verbreitung von Geräten im Besitz von Mitarbeitern, die als BYOD bezeichnet werden, das Risiko versehentlicher oder bösartiger Datenlecks erhöht. Dieses Risiko ist mit der erweiterten Nutzung mobiler Apps, cloudbasierter Dienste und sozialer Medien gestiegen.

Traditionell haben Unternehmen den Zugriff auf Daten kontrolliert, indem sie Benutzern Anmeldeinformationen zuweisen und Berechtigungen und Zugriffslisten für Ressourcen konfigurieren. Die Benutzerzugriffssteuerung verhindert jedoch nicht, dass autorisierte Benutzer versehentlich Dateien freigeben oder Daten in E-Mails senden, was zu neuen Schutzsystemen geführt hat. Außerdem sind die meisten Technologien, die auf der Authentifizierung/Autorisierung zum Schutz basieren, standortabhängig, was bedeutet, dass sie in der Regel nur funktionieren, während sich Daten in einer vom Unternehmen kontrollierten Umgebung befinden.

Verhinderung von Datenverlust

Organisationen verwenden DLP-Systeme (Data Loss Prevention, Verhinderung von Datenverlust), um die Einschränkungen von Systemen zu überwinden, die auf Authentifizierung und Autorisierung basieren. Ein DLP-System erkennt und steuert automatisch Daten, die geschützt werden sollen, und bietet eine Möglichkeit, Daten trotz des Standorts zu schützen. Ein DLP-System erfordert:

• Regeln, mit denen Daten, die geschützt werden müssen, identifiziert und kategorisiert werden.
• Softwareanwendungen wie Microsoft Exchange oder Microsoft SharePoint, um Daten zu überprüfen und festzustellen, ob sie den Regeln entsprechen.
• Eine Möglichkeit, zu definieren, welche Aktionen Anwendungen ausführen müssen, wenn sie Daten finden, die einer Regel entsprechen.

Die Herausforderung eines DLP-Systems besteht darin, dass je mehr Regeln Sie erstellen, desto wahrscheinlicher, dass die Mitarbeiter das Gefühl haben, dass das System sie daran hindert, Ihre Arbeit zu erledigen, und diese somit Möglichkeiten finden, das System zu umgehen. Beispielsweise können sie Daten einfach freigeben, indem sie Links zu einem ungeschützten System per E-Mail senden, anstatt Dateien an ein E-Mail-System anzufügen, das DLP-Schutz enthält. Trotz der Verbesserungen an DLP in Microsoft Office SharePoint Online und Microsoft Exchange Online, wie z. B. die Fähigkeit, einem Benutzer das Außerkraftsetzen der Regeln zu ermöglichen, kann die Benutzererfahrung für Benutzer störend sein und deren natürlichen Workflow unterbrechen.

Verwaltung von Informationsrechten

Wie bereits erwähnt, müssen Unternehmen Daten schützen, nachdem diese das Unternehmen verlassen. Um diesem Bedarf gerecht zu werden, werden Systeme, die auf Information Rights Management (IRM) basieren, verwendet, um den Schutz zu einem inhärenten Bestandteil von Dokumenten zu machen. Ein Mitarbeiter kann ein Dokument erstellen und dann die Schutzebene festlegen, die für das Dokument gelten soll, z. B. nicht autorisierte Benutzer daran hindern das Dokument zu öffnen. In einigen Szenarien kann der Schutz auch automatisch angewendet werden, basierend auf Bedingungen, die der Administrator definiert.

IRM-Systeme erfordern das Einrichten von Client- und Serverumgebungen. Die Client-App, die ein Dokument öffnet, ist für die Verarbeitung von Schutzregeln verantwortlich, nachdem sie die Serverkomponente des Systems überprüft hat, um nach Autorisierungsupdates zu suchen.

Weder IRM noch DLP reichen in dem Szenario aus, in dem ein Mitarbeiter die Organisation mit einem persönlichen Gerät verlässt oder einfach entscheidet, dass er der Organisation nicht mehr die Verwaltung seines persönlichen Geräts erlauben möchte. Die beste Möglichkeit besteht in diesem Fall darin, Organisationsdaten vom persönlichen Gerät zu löschen. Schutzsysteme, die in Microsoft 365 Plattform implementiert sind, ermöglichen ihnen dies. Mit diesen Systemen können Sie Regeln erstellen, die darauf basieren, welche Apps auf Organisationsdaten zugreifen können. Außerdem können Sie entscheiden, auf welche Daten diese Apps zugreifen können.

Azure Rights Management (Azure RMS) stellt als wichtiger Bestandteil von Azure Information Protection ein IRM-System bereit, das mit WIP arbeitet, um den Schutz zu erweitern, nachdem Daten das Gerät eines Benutzers verlassen. Bei der Arbeit mit Azure Information Protection kann Intune steuern, welche Aktionen Benutzer mit geschützten Daten ausführen, auch außerhalb der Organisationsumgebung.

Darüber hinaus können Sie mit Apps, die den Unterschied zwischen Organisations- oder personenbezogenen Daten erkennen können, die als optimierte Apps bezeichnet werden, WIP-Regeln nur auf unternehmenseigene Daten anwenden, während personenbezogene Daten intakt bleiben. Dies bedeutet beispielsweise, dass ein Mitarbeiter Microsoft Word auf einem persönlichen Gerät sowohl für geschäftliche als auch für persönliche Dokumente sicher verwenden kann, ohne Angst haben zu müssen, dass seine persönlichen Daten verloren gehen, wenn er die Organisation verlässt.