Microsoft Purview: Ihre Mitarbeiter als Security Beauftragte in der Cloud

Digitale Infrastruktur
Jürgen Sadleder, MA

Die Gefahr der Cyberkriminalität wächst und allein in Österreich wurden laut einer Studie der Unternehmensberatung Ernst & Young in den letzten fünf Jahren rund 23 Prozent der österreichischen Unternehmen Opfer eines Cyberangriffs. Der Umzug in die Cloud birgt dabei viele neue Herausforderungen, aber auch die Chance Datenschutz und Security systematisch im ganzen Unternehmen zu etablieren. In diesem Artikel lesen Sie, wie Sie mit Microsoft Purview jeden Mitarbeiter in einen Security-Beauftragten verwandeln und das Unternehmen vor Datenverlust, Compliance Problemen und Diebstahl schützen.

IT-Security ist eine Teamaufgabe

IT-Sicherheit ist nicht nur eine Frage der Technik, sondern auch der richtigen Kultur. Wenn Mitarbeiter kein Bewusstsein über die konkreten Risiken des Unternehmens haben, können sie die zur Verfügung stehende Technik im Zweifel nicht richtig nutzen. IT-Sicherheit ist eine Querschnittsaufgabe, die jeden im Unternehmen betrifft und je mehr „Sicherheitsbeauftragte“ es gibt, desto tiefer dringt das Bewusstsein in die Unternehmenskultur ein.

Damit die Einbindung der Belegschaft gelingt, müssen Unternehmen zunächst Überzeugungsarbeit leisten und Aufmerksamkeit generieren. Jeder Mitarbeiter muss erkennen, welche Rolle sein Handeln und seine Entscheidungen für die Sicherheit des Unternehmens spielen.

5 Basiselemente für effektive IT-Sicherheit

Die Gewährleistung einer sicheren Unternehmens-IT erfordert Know How und Commitment. Mit den folgenden fünf Maßnahmen schaffen Sie die wesentlichen Grundlagen für den wirksamen Schutz Ihrer Daten und Systeme:

1. Sicherheitsarchitektur aufbauen: Mitarbeiter bewegen sich in einem durch Regeln und Technologien vom Unternehmen abgesteckten Rahmen. Die Sicherheitsarchitektur bildet dementsprechend die Grundlage für die Erkennung potenzieller Risiken sowie für die Formulierung wirksamer Gegenstrategien. Ein klares Zugriffsmanagement mit eindeutig geregelten Benutzerberechtigungen beugt Sicherheitsverletzungen im Unternehmen vor, da alle Angestellten nur auf für sie relevante Bereiche des Gesamtsystems zugreifen können. Durch die Implementierung von Automatismen in zentrale Programme (z.B. Word) lassen sich bestimmte Begriffe, wie Kreditkartendaten oder Versicherungsnummern, automatisch erkennen und als sensibel kennzeichnen. Durch hinterlegte Regeln können dann beispielsweise sensitiv eingestufte Dokumente nicht mehr per Mail versendet oder die Unveränderlichkeit von archivierten Daten aufgehoben werden.

2. Kontinuierliche Trainingsprozesse entwickeln: Das einmal geweckte Sicherheitsbewusstsein im Team muss regelmäßig wieder aufgefrischt werden, weil Mitarbeiter ansonsten zur Betriebsblindheit tendieren. Zudem gibt es immer wieder neue relevante Bedrohungen, die Mitarbeiter kennen sollten, um eine Gefahr im Zweifel zu erkennen und adäquat zu handeln.

3. Regelmäßige Updates organisieren: Damit die technischen Geräte im Unternehmen den aktuellen Sicherheitsstandards entsprechen, müssen die IT-Administratoren regelmäßig den Sicherheitsstatus von Hard- und Software prüfen sowie die nötigen Updates durchführen. Zusätzlich sind Backups der Technik notwendig, um einen lückenlosen Schutz der unternehmenseigenen Daten zu gewährleisten.

4. Sichere Passwörter vergeben: Passwörter sind ein wesentlicher Schlüssel zu einem effektiven Sicherheitskonzept, denn die besten Abwehrmaßnahmen sind wirkungslos, wenn der Angreifer das Passwort eines Nutzers kennt. Auch Datenträger und die Übertragung der Daten sind mit solchen Passwörtern vor eventuellen Angriffen abzusichern. Um vertrauliche Daten zu schützen, sollten Sie Ihre Mitarbeiter nicht nur in der Erstellung sicherer Passwörter schulen. Implementieren Sie zusätzlich eine Multi-Faktor-Authentifizierung, welche das Passwort um einen weiteren Sicherheitsfaktor ergänzt und Angreifern den Zugriff auf sensible Daten erschwert.

5. Externe Audits nutzen: Der professionelle Blick eines externen Profis liefert wertvolle Einsichten in bestehende Schwächen der Sicherheitsstrategie und sollte daher mindestens einmal im Jahr durchgeführt werden. Bei einem professionellen Security Audit handelt die beauftragte Firma wie ein echter Angreifer, der auf verschiedensten Wegen versucht, sich Zugang zu Ihrem System zu verschaffen. Ein solches Audit stellt Sicherheitsmaßnahmen und Mitarbeiter auf die Probe und macht Verbesserungspotenziale sichtbar.

Effektiver Datenschutz in der Cloud: Microsoft Purview

Daten sind das Zentrum von langfristigem unternehmerischen Erfolg, aber ihre sichere und datenschutzkonforme Aufbewahrung ist in vielen Unternehmen eine große Herausforderung. Mit Purview (ehemals Microsoft 365 Compliance Center) bietet Microsoft eine Cloud Lösung für effektiven Datenschutz, welche die folgenden Bereiche abdeckt:

  • Mit Microsoft Purview Information Protection können Unternehmen sensible Daten klassifizieren und mit Labels sowie individuellen Policies umfassend vor versehentlicher Löschung schützen.
  • Microsoft Purview Data Loss Prevention erlaubt die Einrichtung von DLP-Richtlinien, die dem Austausch sensibler Daten einen verbindlichen Rahmen geben und dadurch das Potenzial für Fehler oder Missbrauch minimieren.
  • Mit Purview Data Lifecycle Management organisieren Unternehmen die Archivierung und Löschung von Inhalten im Einklang mit den internen Compliance-Regeln sowie den rechtlichen Bestimmungen.
  • Das Purview Insider Risk Management erlaubt die Definition von Dienst- und Drittanbieter-Indikatoren, um riskante Benutzeraktivitäten im Unternehmen sichtbar zu machen.
  • Purview Communication Compliance ist ein Tool zur Identifizierung unangemessener Kommunikation am Arbeitsplatz, zum Beispiel in Form von Belästigung oder der Preisgabe sensibler Informationen.
  • Mit Microsoft Purview Information Barriers schränken Sie die wechselseitige Kommunikation und Zusammenarbeit zwischen Gruppen und Benutzern in Teams, SharePoint und OneDrive ein.
  • Mit Purview Records Management halten Sie rechtliche Vorschriften ein, weisen Compliance nach und steigern die Effizienz durch das Löschen nicht benötigter Daten.
  • Purview Audit Solution beinhaltet Werkzeuge, um adäquat auf Sicherheitsereignisse zu reagieren und forensische oder interne Untersuchungen sowie Compliance-Verpflichtungen effektiv umzusetzen.
  • Purview eDiscovery ist eine Sammlung aus drei Tools zum Suchen und Exportieren von Inhalten aus Exchange Online, OneDrive for Business, SharePoint Online, Microsoft Teams, Microsoft 365-Gruppen sowie Yammer Teams.

Mit Purview sicher in der Cloud

Rund um die Cloud kursieren gerade im Hinblick auf Sicherheit und Datenschutz nach wie vor falsche Vorstellungen und Mythen, die eine sachliche Abwägung der Vor- und Nachteile erschweren. Dabei bietet Microsoft mit Purview eine Lösung zur optimalen Abdeckung der folgenden drei Anforderungen:

  • Archivierung: Der Gesetzgeber stellt hohe Anforderungen an die elektronische Archivierung von Geschäftsdokumenten, die Microsoft mit M365 Compliance noch nicht vollständig abdecken konnte. Denn Administratoren waren theoretisch dazu in der Lage, archivierte Daten zu löschen. Mittlerweile nutzt Microsoft Purview allerdings Regulatory Labels, mit denen die Unveränderbarkeit archivierter Daten gewährleistet ist.
  • Sicherheit in der Cloud vs. On-Premise: Bei einer On-Premise-Infrastruktur bleibt die physische Kontrolle über Hardware und Software im Unternehmen. Ein Umzug in die Cloud ist demgegenüber jedoch nicht automatisch unsicherer, im Gegenteil: Microsoft investiert Milliarden in die Weiterentwicklung der Cloud-Security und beschäftigt unter anderem eine dedizierte Digital Crime Unit, die sich ausschließlich mit der Bekämpfung von Cyberkriminalität beschäftigt. Da die Gefahr für IT-Systeme vor allem aus der digitalen Welt kommt, spielt der physische Standort darüber hinaus ohnehin nur eine untergeordnete Rolle.
  • Rechtsprechung folgt Akzeptanz: Klassische On-Premise-Systeme haben sich in den letzten zehn Jahren etabliert und der Gesetzgeber hat mittlerweile eindeutige Regeln für den Umgang mit elektronischen Daten erlassen. Die Implikationen der Nutzung einer Cloud Lösung wurden in diesen Regeln allerdings nicht bedacht. Unternehmen bewegen sich daher beim Einsatz der Microsoft Cloud heute noch in einer Grauzone. Ein Blick in die Vergangenheit stimmt allerdings positiv, da die rechtliche Kodifizierung der digitalen Welt meist einer bereits etablierten Geschäftspraxis folgt. So wurden Rechnungen per E-Mail beispielsweise bereits versendet, noch lange bevor der Gesetzgeber einen verbindlichen Rahmen für den elektronischen Rechnungsversand geschaffen hat.

Da die Akzeptanz der Anwender und Unternehmen gegenüber Cloud Lösungen stetig steigt, ist also in naher Zukunft mit neuen Regeln für Cloud Services zu rechnen, die Unternehmen eine stabile Handlungs- und Entscheidungsgrundlage bieten.

Fazit: Mit Purview und geschultem Personal zur einfachen Einhaltung von Security Guidelines

Laut KPMG Cloud Monitor planen österreichische Unternehmen bis 2025, durchschnittlich zwei von drei produktiven Anwendungen in die Cloud zu verlegen. Mit Purview bietet Microsoft eine Antwort auf die sich daraus ergebenden Herausforderungen sowie Datenschutz im ganzen Unternehmen. Diese technische Basis muss jedoch von der Awareness und dem Sicherheitsbewusstsein der Belegschaft getragen werden, damit die Mechanismen zum Schutz sensibler Daten auch wirklich greifen. Durch stetige Förderung sowie regelmäßige Schulungen aktivieren und sensibilisieren Sie Mitarbeiter für konkrete Risiken und effektive Abwehrstrategien.

Sie wollen wissen, wie Sie Ihren Weg in die Cloud so einfach und sicher wie möglich gestalten? Dann laden Sie jetzt unser Whitepaper herunter.

Jürgen Sadleder, MA
Jürgen Sadleder, MA

Jürgen Sadleder ist seit März 2016 Geschäftsführer bei corner4. Mit jahrelanger Erfahrung als Projektmanager und breit gefächertem Prozesswissen unterstützt Jürgen Kunden in den Bereichen Softwareentwicklung, Business Intelligence und Microsoft 365.

icon LinkedIn     Icon Xing





Das könnte Sie auch interessieren: