Identifizieren und schützen Sie sensible Geschäftsdaten
Als Teil der Anleitung zur Einführung von Zero Trust beschreibt dieser Artikel das Geschäftsszenario zum Schutz Ihrer wichtigsten Datenbestände. In diesem Szenario geht es darum, wie sensible Geschäftsdaten identifiziert und geschützt werden.
Die digitale Transformation hat dazu geführt, dass Unternehmen mit zunehmenden Datenmengen umgehen müssen. Allerdings greifen externe Mitarbeiter wie Partner, Lieferanten und Kunden auf einen Großteil dieser gemeinsam genutzten Daten außerhalb des Unternehmensnetzwerks zu. Dieser Wandel hat eine komplexe Datenlandschaft geschaffen, insbesondere wenn man die zunehmende Verbreitung hybrider Arbeitskräfte und Cloud-Migrationen, wachsende Cyberbedrohungen, sich weiterentwickelnde Sicherheit und sich ändernde regulatorische Anforderungen an die Verwaltung und den Schutz von Daten berücksichtigt.
Bei hybriden Arbeitsmodellen sind Unternehmensressourcen und -daten in Bewegung. Ihre Organisation muss kontrollieren, wo die Daten auf Geräten, in Apps und mit Partnern gespeichert und übertragen werden. Für die moderne Sicherheit können Sie sich jedoch nicht mehr auf herkömmliche Netzwerkschutzkontrollen verlassen.
| Traditioneller Datenschutz mit Netzwerkkontrollen | Moderner Datenschutz mit Zero Trust |
|---|---|
| In herkömmlichen Netzwerken regelt die Netzwerkperimeterkontrolle den kritischen Datenzugriff und nicht die Datenvertraulichkeit. In der Regel werden vertrauliche Daten manuell mit Etiketten versehen, was zu einer inkonsistenten Datenklassifizierung führen kann. | Ein Zero Trust-Modell wendet eine starke Authentifizierung auf Datenzugriffsanfragen an, verwendet Richtlinien zur Überprüfung jeder Identität und stellt sicher, dass Identitäten Zugriff auf Apps und Daten haben. Ein Zero Trust-Modell umfasst die Identifizierung sensibler Daten und die Anwendung von Klassifizierung und Schutz, einschließlich Verhinderung von Datenverlust (DLP). Zero Trust umfasst Abwehrmaßnahmen, die Ihre Daten auch dann schützen, wenn sie Ihre kontrollierte Umgebung verlassen haben. Es umfasst auch einen adaptiven Schutz, um Insiderrisiken zu reduzieren. Zusätzlich zu diesen Schutzmaßnahmen umfasst Zero Trust kontinuierliche Überwachung und Bedrohungsschutz, um das Ausmaß einer Datenschutzverletzung zu verhindern und zu begrenzen. |
Das folgende Diagramm veranschaulicht den Wandel vom traditionellen Schutz mit Netzwerkkontrollen auf der linken Seite (von begrenzten bekannten Standorten) zum modernen Schutz mit Zero Trust auf der rechten Seite (zu unbekannten Standorten), bei dem der Schutz unabhängig davon angewendet wird, wo sich Benutzer und Geräte befinden.
Die Anleitung in diesem Artikel beschreibt, wie Sie mit Ihrer Strategie zur Identifizierung und zum Schutz sensibler Daten beginnen und diese weiterentwickeln können. Wenn Ihre Organisation Vorschriften zum Schutz von Daten unterliegt, erfahren Sie im Artikel „Erfüllung gesetzlicher Vorschriften und Compliance-Anforderungen“ in dieser Reihe, wie Sie das Gelernte in diesem Artikel auf den Schutz regulierter Daten anwenden können.
Was Führungskräfte über den Schutz vertraulicher Daten denken
Bevor Sie mit technischen Arbeiten beginnen, ist es wichtig, die unterschiedlichen Beweggründe für Investitionen in den Schutz von Geschäftsdaten zu verstehen, da diese bei der Festlegung der Strategie, Ziele und Erfolgsmaßnahmen hilfreich sind.
In der folgenden Tabelle finden Sie Gründe, warum Führungskräfte in der gesamten Organisation in den auf Zero Trust basierenden Datenschutz investieren sollten.
| Role | Warum der Schutz sensibler Daten wichtig ist |
|---|---|
| Chief Executive Officer (CEO) | Geistiges Eigentum ist das Rückgrat der Geschäftsmodelle vieler Organisationen. Für das Unternehmen ist es von entscheidender Bedeutung, zu verhindern, dass Daten nach außen dringen, und gleichzeitig eine nahtlose Zusammenarbeit mit autorisierten Parteien zu ermöglichen.. In Organisationen, die mit personenbezogenen Daten (PII) von Kunden arbeiten, kann das Risiko einer Offenlegung nicht nur zu finanziellen Strafen führen, sondern auch den Ruf des Unternehmens schädigen. Schließlich können sensible Geschäftsgespräche (wie Fusionen und Übernahmen, Unternehmensumstrukturierungen, Strategie und rechtliche Angelegenheiten) einer Organisation ernsthaften Schaden zufügen, wenn sie durchsickern. |
| Chief Marketing Officer (CMO) | Produktplanung, Nachrichtenübermittlung, Branding und bevorstehende Produktankündigungen müssen zum richtigen Zeitpunkt und auf die richtige Art und Weise veröffentlicht werden, um eine maximale Wirkung zu erzielen. Ein vorzeitiges Durchsickern kann die Investitionsrendite verringern und Konkurrenten auf bevorstehende Pläne aufmerksam machen. |
| Chief Information Officer (CIO) | Während herkömmliche Ansätze zum Schutz von Informationen auf der Beschränkung des Zugriffs darauf beruhten, ermöglicht der angemessene Schutz sensibler Daten durch den Einsatz moderner Technologien bei Bedarf eine flexiblere Zusammenarbeit mit externen Parteien, ohne das Risiko zu erhöhen. Ihre IT-Abteilungen können ihren Auftrag erfüllen, die Produktivität sicherzustellen und gleichzeitig Risiken zu minimieren. |
| Chief Information Security Officer (CISO) | Als Hauptaufgabe dieser Rolle ist der Schutz sensibler Geschäftsdaten ein integraler Bestandteil der Informationssicherheit. Dieses Ergebnis wirkt sich direkt auf die umfassendere Cybersicherheitsstrategie der Organisation aus. Fortschrittliche Sicherheitstechnologien und -tools bieten die Möglichkeit, Daten zu überwachen und Leckagen und Verluste zu verhindern. |
| Chief Technology Officer (CTO) | Geistiges Eigentum kann ein erfolgreiches Unternehmen von einem scheiternden unterscheiden. Der Schutz dieser Daten vor übermäßiger Weitergabe, unbefugtem Zugriff und Diebstahl ist von entscheidender Bedeutung, um das zukünftige Wachstum der Organisation sicherzustellen. |
| Chief Operations Officer (COO) | Betriebsdaten, Verfahren und Produktionspläne sind ein entscheidender strategischer Vorteil für eine Organisation. Diese Pläne können auch strategische Schwachstellen aufdecken, die von Wettbewerbern ausgenutzt werden können. Der Schutz dieser Daten vor Diebstahl, übermäßiger Weitergabe und Missbrauch ist für den anhaltenden Erfolg des Unternehmens von entscheidender Bedeutung. |
| Chief Financial Officer (CFO) | Börsennotierte Unternehmen sind verpflichtet, bestimmte Finanzdaten zu schützen, bevor sie veröffentlicht werden. Andere Finanzdaten können Pläne und strategische Stärken oder Schwächen offenbaren. Diese Daten müssen alle geschützt werden, um sowohl die Einhaltung bestehender Vorschriften sicherzustellen als auch strategische Vorteile zu wahren. |
| Chief Compliance Officer (CCO) | Vorschriften auf der ganzen Welt schreiben den Schutz personenbezogener Daten von Kunden oder Mitarbeitern sowie anderer sensibler Daten vor. Der CCO ist dafür verantwortlich, sicherzustellen, dass die Organisation diese Vorschriften einhält. Eine umfassende Informationsschutzstrategie ist der Schlüssel zum Erreichen dieses Ziels. |
| Chief Privacy Officer (CPO) | Ein CPO ist in der Regel für die Gewährleistung des Schutzes personenbezogener Daten verantwortlich. In Organisationen, die mit großen Mengen personenbezogener Kundendaten umgehen, und in Organisationen, die in Regionen mit strengen Datenschutzbestimmungen tätig sind, kann ein Versäumnis, sensible Daten zu schützen, hohe Geldstrafen nach sich ziehen. Diese Organisationen laufen dadurch auch Gefahr, das Vertrauen ihrer Kunden zu verlieren. CPOs müssen außerdem verhindern, dass personenbezogene Daten auf eine Art und Weise missbraucht werden, die gegen Kundenvereinbarungen oder Gesetze verstößt, wozu auch die missbräuchliche Weitergabe der Daten innerhalb der Organisation und mit Partnern gehören kann. |
Der Einführungszyklus zum Schutz kritischer Geschäftsdaten
In diesem Artikel wird dieses Geschäftsszenario anhand der gleichen Lebenszyklusphasen beschrieben wie beim Cloud Adoption Framework für Azure– Strategie definieren, planen, vorbereiten, übernehmen sowie steuern und verwalten –, jedoch für Zero Trust angepasst.
Die folgende Tabelle ist eine barrierefreie Version der Abbildung.
| Definieren der Strategie | Planen | Bereit | Übernehmen | Steuern und Verwalten |
|---|---|---|---|---|
| Ergebnisse Organisatorische Ausrichtung Strategische Ziele |
Stakeholder-Team Technische Pläne Qualifikationsbereitschaft |
Beurteilen Testen von Pilotphase |
Führen Sie die schrittweise Implementierung in Ihrem gesamten digitalen Bestand durch | Verfolgen und messen Überwachen und erkennen Iterieren für die Reife |
Weitere Informationen zum Zero-Trust-Einführungszyklus finden Sie in der Übersicht über das Zero Trust-Einführungsframework.
Strategiephase festlegen
Die Phase „Strategie definieren“ ist entscheidend für die Definition und Formalisierung unserer Bemühungen – sie formalisiert das „Warum?“ dieses Szenarios. In dieser Phase verstehen Sie das Szenario aus geschäftlicher, IT-, operativer und strategischer Perspektive. Sie definieren die Ergebnisse, anhand derer der Erfolg im Szenario gemessen werden soll, und sind sich darüber im Klaren, dass Sicherheit eine inkrementelle und iterative Reise ist.
Dieser Artikel schlägt Motivationen und Ergebnisse vor, die für viele Organisationen relevant sind. Nutzen Sie diese Vorschläge, um die Strategie für Ihre Organisation auf der Grundlage Ihrer individuellen Bedürfnisse zu verfeinern.
Datenschutzmotivationen
Die Beweggründe für die Identifizierung und den Schutz sensibler Geschäftsdaten sind klar, aber verschiedene Teile Ihrer Organisation haben unterschiedliche Anreize, diese Arbeit zu erledigen. Die folgende Tabelle fasst einige dieser Motivationen zusammen.
| Bereich | Beweggründe |
|---|---|
| Geschäftliche Anforderungen | Schützen sensibler Geschäftsdaten, insbesondere bei der Weitergabe an Partner. |
| IT-Bedürfnisse | Ein standardisiertes Datenklassifizierungsschema, das im gesamten digitalen Bestand einheitlich angewendet werden kann. |
| Operative Bedürfnisse | Implementieren Sie den Datenschutz konsistent und standardisiert und nutzen Sie nach Möglichkeit Automatisierung. |
| Strategische Bedürfnisse | Reduzieren Sie den Schaden, den ein Insider (absichtlich oder unabsichtlich) oder ein schlechter Akteur verursachen kann, der sich Zugang zur Umgebung verschafft. |
Beachten Sie, dass die Erfüllung gesetzlicher Anforderungen für einige Organisationen die primäre Motivation sein kann. Wenn dies auf Sie zutrifft, fügen Sie es Ihrer Unternehmensstrategie hinzu und verwenden Sie dieses Geschäftsszenario zusammen mit dem Artikel „Erfüllung gesetzlicher Vorschriften und Compliance-Anforderungen“ in dieser Reihe.
Datenschutzergebnisse
Die Anwendung des übergeordneten Ziels von Zero Trust, „niemals vertrauen, immer überprüfen“, auf Ihre Daten, fügt Ihrer Umgebung einen erheblichen Schutz hinzu. Es ist wichtig, sich darüber im Klaren zu sein, welche Ergebnisse Sie erzielen möchten, damit Sie das richtige Gleichgewicht zwischen Schutz und Benutzerfreundlichkeit für alle beteiligten Teams, einschließlich Ihrer Benutzer, finden können. Die folgende Tabelle enthält empfohlene Ziele und Ergebnisse.
| Ziel | Ergebnis |
|---|---|
| Produktivität | Benutzer können problemlos bei der Erstellung von Geschäftsdaten zusammenarbeiten oder ihre Aufgaben mithilfe von Geschäftsdaten ausführen. |
| Sicherer Zugriff | Der Zugriff auf Daten und Apps ist auf der entsprechenden Ebene gesichert. Für hochsensible Daten sind strengere Schutzmaßnahmen erforderlich. Diese Schutzmaßnahmen sollten jedoch keine Benutzer belasten, von denen erwartet wird, dass sie zu diesen Daten beitragen oder diese verwenden. Sensible Geschäftsdaten sind auf diejenigen beschränkt, die sie verwenden müssen, und Sie haben Kontrollen eingerichtet, um Benutzer daran zu hindern, diese Daten außerhalb der vorgesehenen Nutzungsgruppe weiterzugeben oder zu replizieren. |
| Support für Endbenutzer | Kontrollen zur Datensicherung wurden in die gesamte Zero Trust-Architektur integriert. Zu diesen Kontrollen gehören Single Sign-On, Multifaktor-Authentifizierung (MFA) und Microsoft Entra Conditional Access, sodass Benutzer nicht ständig mit Authentifizierungs- und Autorisierungsanfragen konfrontiert werden. Benutzer erhalten Schulungen zur sicheren Klassifizierung und Weitergabe von Daten. Benutzer haben die Möglichkeit, die Kontrolle über ihre wichtigen Daten zu übernehmen, den Zugriff im Bedarfsfall zu widerrufen oder die Nutzung der Informationen nach der Weitergabe zu verfolgen. Datenschutzrichtlinien werden nach Möglichkeit automatisiert, um die Belastung für die Benutzer zu verringern. |
| Erhöhen Sie die Sicherheit | Der zusätzliche Datenschutz im gesamten digitalen Bestand schützt diese kritischen Unternehmenswerte und trägt dazu bei, den potenziellen Schaden durch eine Datenschutzverletzung zu reduzieren. Der Datenschutz umfasst Schutzmaßnahmen zum Schutz vor vorsätzlichen, unbeabsichtigten oder fahrlässigen Datenschutzverletzungen durch aktuelle oder ehemalige Mitarbeiter und Partner. |
| Stärken Sie die IT | Ihr IT-Team verfügt über ein klares Verständnis darüber, welche Daten als vertrauliche Geschäftsdaten gelten. Sie verfügen über ein gut begründetes Schema, an dem sie sich orientieren können, sowie über die Technologietools und -fähigkeiten, um sowohl die Pläne umzusetzen als auch den Status und den Erfolg zu überwachen. |
Planphase
Einführungspläne wandeln die Prinzipien der Zero Trust-Strategie in einen umsetzbaren Plan um. Ihre gemeinsamen Teams können den Einführungsplan nutzen, um ihre technischen Bemühungen zu leiten und diese an der Geschäftsstrategie Ihrer Organisation auszurichten.
Die Motivationen und Ergebnisse, die Sie gemeinsam mit Ihren Führungskräften und Teams definieren, unterstützen das „Warum?“ Finden Sie die beste Lösung für die aktuelle Strategie Ihrer Organisation. Als nächstes folgt die technische Planung zur Zielerreichung.
Die technische Umsetzung zur Identifizierung und zum Schutz sensibler Geschäftsdaten umfasst Folgendes:
- Entdecken und identifizieren Sie sensible Daten in Ihrem gesamten digitalen Bestand.
- Kuratieren eines Klassifizierungs- und Schutzschemas, einschließlich DLP.
- Führen Sie das Schema in Ihrem gesamten digitalen Bestand ein, beginnend mit Daten in Microsoft 365 und erweitern Sie den Schutz auf alle SaaS-Apps, Ihre Cloud-Infrastruktur und Daten in lokalen Repositorys. SaaS-Apps sind Apps, die sich außerhalb Ihres Microsoft 365-Abonnements befinden, aber in Ihren Microsoft Entra-Mandanten integriert sind.
Der Schutz Ihrer sensiblen Geschäftsdaten umfasst auch einige damit verbundene Aktivitäten, darunter:
- Verschlüsselte Netzwerkkommunikation.
- Verwalten des externen Zugriffs auf Teams und Projekte, in denen sensible Daten geteilt werden.
- Einrichtung und Einsatz dedizierter und isolierter Teams in Microsoft Teams für Projekte, die hochsensible Geschäftsdaten beinhalten, was selten vorkommen dürfte. Die meisten Organisationen benötigen dieses Maß an Datensicherheit und -isolierung nicht.
Viele Organisationen können diese Bereitstellungsziele mit einem vierstufigen Ansatz erreichen, der in der folgenden Tabelle zusammengefasst ist.
| Phase 1 | Phase 2 | Phase 3 | Phase 4 |
|---|---|---|---|
| Erkennen und identifizieren Sie sensible Geschäftsdaten Erkennen Sie nicht genehmigte SaaS-Apps Verschlüsseln Sie die Netzwerkkommunikation |
Entwickeln und testen Sie ein Klassifizierungsschema Wenden Sie Etiketten auf Daten in Microsoft 365 an Führen Sie grundlegende DLP-Richtlinien ein Richten Sie sichere Microsoft Teams ein, um Daten intern und extern mit Geschäftspartnern zu teilen |
Fügen Sie Schutz für bestimmte Labels hinzu (Verschlüsselung und andere Schutzeinstellungen) Führen Sie automatische und empfohlene Kennzeichnungen in Office-Apps und -Diensten ein Erweitern Sie DLP-Richtlinien auf alle Microsoft 365-Dienste Implementieren Sie wichtige Insider-Risikomanagementrichtlinien |
Erweitern Sie Labels und Schutz auf Daten in SaaS-Apps, einschließlich DLP Erweitern Sie die automatisierte Klassifizierung auf alle Dienste Erweitern Sie Etiketten und Schutz auf ruhende Daten in lokalen Repositorys Schützen Sie Organisationsdaten in Ihrer Cloud-Infrastruktur |
Wenn dieser mehrstufige Ansatz für Ihre Organisation funktioniert, können Sie Folgendes verwenden:
Diesen herunterladbaren PowerPoint-Foliensatz zum Präsentieren und Nachverfolgen Ihres Fortschritts durch diese Phasen und Ziele für Führungskräfte und andere Projektbeteiligte. Dies ist die Folie für dieses Geschäftsszenario.
Diese Excel-Arbeitsmappe, um Besitzer zuzuweisen und Ihren Fortschritt für diese Phasen, Ziele und deren Aufgaben nachzuverfolgen. Hier sehen Sie das Arbeitsblatt für dieses Geschäftsszenario.
Verstehen Sie Ihre Organisation
Dieser empfohlene stufenweise Ansatz für die technische Implementierung kann dazu beitragen, den Kontext für das Verständnis Ihrer Organisation zu schaffen. Die Anforderungen jedes Unternehmens an den Schutz sensibler Geschäftsdaten sowie die Zusammensetzung und Menge der Daten sind unterschiedlich.
Ein grundlegender Schritt im Zero Trust-Einführungslebenszyklus für jedes Geschäftsszenario ist die Bestandsaufnahme. Für dieses Geschäftsszenario führen Sie eine Bestandsaufnahme der Daten Ihrer Organisation durch.
Es gelten folgende Aktionen:
Inventarisieren Sie Ihre Daten.
Machen Sie zunächst eine Bestandsaufnahme darüber, wo sich alle Ihre Daten befinden. Dies kann so einfach sein wie das Auflisten der Apps und Repositorys mit Ihren Daten. Nach der Einführung von Technologien wie der Vertraulichkeitskennzeichnung entdecken Sie möglicherweise andere Orte, an denen sensible Daten gespeichert werden. Diese Orte werden manchmal als Dark- oder Grey-IT bezeichnet.
Es ist auch hilfreich, abzuschätzen, wie viele Daten Sie inventarisieren möchten (das Volumen). Während des gesamten empfohlenen technischen Prozesses verwenden Sie das Toolset, um Geschäftsdaten zu ermitteln und zu identifizieren. You’ll learn what kinds of data you have and where this data resides across services and cloud apps, enabling you to correlate the sensitivity of the data with the level of exposure of the locations in which it's present.
Beispielsweise hilft Ihnen Microsoft Defender für Cloud Apps dabei, SaaS-Apps zu identifizieren, die Ihnen vielleicht noch nicht bekannt waren. Die Arbeit, herauszufinden, wo sich Ihre sensiblen Daten befinden, beginnt in Phase 1 der technischen Implementierung und durchläuft alle vier Phasen.
Dokumentieren Sie die Ziele und planen Sie eine schrittweise Einführung basierend auf Prioritäten.
Die vier empfohlenen Phasen stellen einen schrittweisen Einführungsplan dar. Passen Sie diesen Plan an die Prioritäten Ihrer Organisation und die Zusammensetzung Ihres digitalen Bestands an. Berücksichtigen Sie unbedingt alle zeitlichen Meilensteine oder Verpflichtungen für die Fertigstellung dieser Arbeit.
Inventarisieren Sie alle Datensätze oder dedizierten Projekte, die einen unterteilten Schutz erfordern (z. B. Zelt- oder Spezialprojekte).
Nicht jede Organisation benötigt einen abgegrenzten Schutz.
Organisatorische Planung und Ausrichtung
Die technische Arbeit zum Schutz sensibler Geschäftsdaten umfasst mehrere sich überschneidende Bereiche und Rollen:
- Daten
- Apps
- Endpunkte
- Network
- Identities
Diese Tabelle fasst die Rollen zusammen, die beim Aufbau eines Sponsoringprogramms und einer Projektmanagementhierarchie empfohlen werden, um Ergebnisse zu ermitteln und voranzutreiben.
| Programmleiter und technische Eigentümer | Verantwortlichkeit |
|---|---|
| CISO, CIO oder Direktor für Datensicherheit | Führungskräfte-Sponsorship |
| Programmlead aus dem Bereich Datensicherheit | Fördern von Ergebnissen und teamübergreifender Zusammenarbeit |
| Sicherheitsarchitekt | Beratung zu Konfiguration und Standards, insbesondere in Bezug auf Verschlüsselung, Schlüsselverwaltung und andere grundlegende Technologien |
| Compliance Officers | Ordnen Sie Compliance-Anforderungen und -Risiken spezifischen Kontrollen und verfügbaren Technologien zu |
| Microsoft 365 Admins | Implementieren Sie Änderungen an Ihrem Microsoft 365-Mandanten für OneDrive und geschützte Ordner |
| Anwendungsbesitzer | Identifizieren Sie kritische Unternehmensressourcen und stellen Sie die Kompatibilität von Anwendungen mit gekennzeichneten, geschützten und verschlüsselten Daten sicher |
| Datenschutz-Admin | Implementieren von Konfigurationsänderungen |
| IT-Administrator | Aktualisieren von Standards und Richtliniendokumenten |
| Security Governance und/oder IT-Admin | Überwachung zur Gewährleistung der Compliance |
| Team „Benutzerschulung“ | Stellen Sie sicher, dass die Anleitung für Benutzer Richtlinienaktualisierungen widerspiegelt und Einblicke in die Benutzerakzeptanz der Kennzeichnungstaxonomie bietet |
Das PowerPoint-Ressourcendeck für diesen Einführungsinhalt enthält die folgende Folie mit einer Stakeholder-Ansicht, die Sie für Ihre eigene Organisation anpassen können.
Technische Planung und Fertigkeitenbereitschaft
Bevor Sie mit der technischen Arbeit beginnen, empfiehlt Microsoft, sich mit den Funktionen, ihrer Zusammenarbeit und den Best Practices für die Herangehensweise an diese Arbeit vertraut zu machen. Die folgende Tabelle enthält mehrere Ressourcen, die Ihren Teams beim Erwerb von Fähigkeiten helfen sollen.
| Resource | Beschreibung |
|---|---|
| Leitfaden zur Bereitstellungsbeschleunigung –Informationsschutz und Verhinderung von Datenverlust | Erfahren Sie mehr über die Best Practices von den Microsoft Customer Engagement-Teams. Dieser Leitfaden führt Organisationen durch ein Crawl-, Walk-, Run-Modell zur Reife, das mit den empfohlenen Phasen in diesem Einführungsleitfaden übereinstimmt. |
RaMP-Checkliste: Datenschutz  |
Eine weitere Ressource zum Auflisten und Priorisieren der empfohlenen Arbeiten, einschließlich Stakeholdern. |
| Einführung in Microsoft Purview Data Loss Prevention (Anfänger) | In dieser Ressource erfahren Sie mehr über DLP in Microsoft Purview Information Protection. |
Learn-Modul: Symbol für die Einführung in Datenschutz und Lebenszyklusverwaltung in Microsoft Purview – Microsoft Learn-Modul (Fortgeschrittene) |
Erfahren Sie, wie Microsoft 365-Lösungen für den Informationsschutz und das Datenlebenszyklusmanagement Ihnen dabei helfen, Ihre Daten während ihres gesamten Lebenszyklus zu schützen und zu verwalten – wo auch immer sie gerade sind. |
Zertifizierungen: Symbol für die Microsoft-Zertifizierung: Information Protection Administrator Associate – Zertifizierung |
Empfohlene Lernpfade für die Ausbildung zum Certified Information Protection Administrator Associate. |
Phase 1
Zu den Bereitstellungszielen der Stufe 1 gehört die Bestandsaufnahme Ihrer Daten. Dazu gehört die Identifizierung nicht genehmigter SaaS-Apps, die Ihre Organisation zum Speichern, Verarbeiten und Teilen von Daten verwendet. Sie können diese nicht genehmigten Apps entweder in Ihren App-Verwaltungsprozess integrieren und Schutzmaßnahmen anwenden oder Sie können verhindern, dass Ihre Geschäftsdaten mit diesen Apps verwendet werden.
Erkennen und identifizieren Sie sensible Geschäftsdaten
Ab Microsoft 365 sind vertrauliche Informationstypen (SITs) und andere Klassifikatoren, einschließlich trainierbarer Klassifikatoren und Fingerabdrücke, einige der wichtigsten Tools, mit denen Sie vertrauliche Informationen identifizieren, die geschützt werden müssen. Diese Identifikatoren helfen dabei, gängige sensible Datentypen wie Kreditkartennummern oder behördliche Identifikationsnummern zu finden und sensible Dokumente und E-Mails mithilfe von maschinellem Lernen und anderen Methoden zu identifizieren. Sie können auch benutzerdefinierte SITs erstellen, um Daten zu identifizieren, die für Ihre Umgebung einzigartig sind, einschließlich der Verwendung eines exakten Datenabgleichs, um Daten zu bestimmten Personen – zum Beispiel Kunden-PII – zu unterscheiden, die besonderen Schutz benötigen.
Wenn Daten zu Ihrer Microsoft 365-Umgebung hinzugefügt oder geändert werden, werden sie mithilfe aller SITs, die derzeit in Ihrem Mandanten definiert sind, automatisch auf vertrauliche Inhalte analysiert.
Sie können den Inhalts-Explorer im Compliance-Portal von Microsoft Purview verwenden, um alle Vorkommen erkannter vertraulicher Daten in der gesamten Umgebung anzuzeigen. Anhand der Ergebnisse können Sie erkennen, ob Sie die SITs für eine höhere Genauigkeit an Ihre Umgebung anpassen oder optimieren müssen. Die Ergebnisse geben Ihnen zudem ein erstes Bild über Ihren Datenbestand und Ihren Informationsschutzstatus. Wenn Sie beispielsweise zu viele Fehlalarme für einen SIT erhalten oder keine bekannten Daten finden, können Sie benutzerdefinierte Kopien der Standard-SITs erstellen und diese ändern, damit sie besser für Ihre Umgebung funktionieren. Sie können diese auch durch einen exakten Datenabgleich verfeinern.
Darüber hinaus können Sie integrierte trainierbare Klassifikatoren verwenden, um Dokumente zu identifizieren, die zu bestimmten Kategorien gehören, z. B. Verträge oder Frachtdokumente. Wenn Sie über bestimmte Dokumentenklassen verfügen, von denen Sie wissen, dass Sie sie identifizieren und möglicherweise schützen müssen, können Sie Beispiele im Microsoft Purview-Compliance-Portal verwenden, um Ihre eigenen Klassifikatoren zu trainieren. Diese Beispiele können verwendet werden, um das Vorhandensein anderer Dokumente mit ähnlichen Inhaltsmustern festzustellen.
Zusätzlich zum Inhalts-Explorer haben Organisationen Zugriff auf die Inhaltssuchfunktion, um benutzerdefinierte Suchen nach Daten in der Umgebung durchzuführen, einschließlich der Verwendung erweiterter Suchkriterien und benutzerdefinierter Filter.
In der folgenden Tabelle sind Ressourcen zum Erkennen sensibler Geschäftsdaten aufgeführt.
| Resource | Beschreibung |
|---|---|
| Stellen Sie eine Informationsschutzlösung mit Microsoft 365 Purview bereit | Stellt ein Framework, einen Prozess und Funktionen vor, mit denen Sie Ihre spezifischen Geschäftsziele für den Informationsschutz erreichen können. |
| Typen vertraulicher Informationen | Beginnen Sie hier, um mit vertraulichen Informationstypen zu beginnen. Diese Bibliothek enthält viele Artikel zum Experimentieren mit und Optimieren von SITs. |
| Inhalts-Explorer | Scannen Sie Ihre Microsoft 365-Umgebung auf das Auftreten von SITs und sehen Sie sich die Ergebnisse im Inhalts-Explorer-Tool an. |
| Trainierbare Klassifizierer | Mit trainierbaren Klassifikatoren können Sie Beispiele der Art von Inhalten bereitstellen, die Sie entdecken möchten (Seeding), und dann die Maschine für maschinelles Lernen lernen lassen, weitere dieser Daten zu entdecken. Sie nehmen am Klassifikatortraining teil, indem Sie die Ergebnisse validieren, bis die Genauigkeit verbessert ist. |
| Exakter Datenabgleich | Durch den exakten Datenabgleich können Sie sensible Daten finden, die mit vorhandenen Datensätzen übereinstimmen – zum Beispiel die PII Ihrer Kunden, wie sie in Ihren Branchen-Apps aufgezeichnet wurden – wodurch Sie diese Daten mit Informationsschutzrichtlinien gezielt einsetzen können, wodurch Fehlalarme praktisch ausgeschlossen werden. |
| Inhaltssuche | Verwenden Sie die Inhaltssuche für erweiterte Suchen, einschließlich benutzerdefinierter Filter. Sie können Schlüsselwörter und boolesche Suchoperatoren verwenden. Sie können Suchanfragen auch mit der Keyword Query Language (KQL) erstellen. |
| RaMP-Checkliste: Datenschutz: Kennen Sie Ihre Daten | Eine Checkliste der Implementierungsschritte mit Schrittbesitzern und Links zur Dokumentation. |
Erkennen Sie nicht genehmigte SaaS-Apps
Ihre Organisation abonniert wahrscheinlich viele SaaS-Anwendungen wie Salesforce oder Anwendungen, die speziell für Ihre Branche gelten. Die SaaS-Apps, die Sie kennen und verwalten, gelten als sanktioniert. In späteren Phasen erweitern Sie das Datenschutzschema und die DLP-Richtlinien, die Sie mit Microsoft 365 erstellen, um Daten in diesen sanktionierten SaaS-Apps zu schützen.
In dieser Phase ist es jedoch wichtig, nicht genehmigte SaaS-Apps zu entdecken, die Ihr Unternehmen verwendet. Dadurch können Sie den Datenverkehr zu und von diesen Apps überwachen, um festzustellen, ob die Geschäftsdaten Ihrer Organisation an diese Apps weitergegeben werden. Wenn ja, können Sie diese Apps in die Verwaltung übernehmen und Schutz auf diese Daten anwenden, indem Sie zunächst Single Sign-On mit Microsoft Entra ID aktivieren.
Das Tool zum Erkennen von SaaS-Apps, die Ihre Organisation verwendet, ist Microsoft Defender für Cloud Apps.
| Resource | Beschreibung |
|---|---|
| Integrieren Sie SaaS-Apps für Zero Trust mit Microsoft 365 | Dieser Lösungsleitfaden führt Sie durch den Prozess des Schutzes von SaaS-Apps mit Zero-Trust-Prinzipien. Der erste Schritt dieser Lösung besteht darin, Ihre SaaS-Apps zur Microsoft Entra ID und zu den Richtlinienbereichen hinzuzufügen. Dies sollte Priorität haben. |
| Bewerten Sie Microsoft Defender for Cloud Apps | Dieser Leitfaden hilft Ihnen, Microsoft Defender für Cloud Apps so schnell wie möglich zum Laufen zu bringen. Sie können nicht genehmigte SaaS-Apps bereits in der Test- und Pilotphase entdecken. |
Verschlüsseln Sie die Netzwerkkommunikation
Bei diesem Ziel handelt es sich eher um eine Überprüfung, um sicherzustellen, dass Ihr Netzwerkverkehr verschlüsselt ist. Wenden Sie sich an Ihr Netzwerkteam, um sicherzustellen, dass diese Empfehlungen erfüllt werden.
| Resource | Beschreibung |
|---|---|
| Sichere Netzwerke mit Zero Trust-Ziel 3: Der interne Datenverkehr vom Benutzer zur App wird verschlüsselt | Stellen Sie sicher, dass der interne Datenverkehr vom Benutzer zur App verschlüsselt ist:
|
| Sichere Netzwerke mit Zero Trust-Ziel 6: Der gesamte Datenverkehr ist verschlüsselt | Verschlüsseln Sie den Backend-Datenverkehr der Anwendung zwischen virtuellen Netzwerken. Verschlüsseln Sie den Datenverkehr zwischen On-Premises und der Cloud. |
| Vernetzung (bis zur Cloud) aus der Sicht eines Architekten | Netzwerkarchitekten hilft dieser Artikel dabei, empfohlene Netzwerkkonzepte ins rechte Licht zu rücken. Ed Fisher, Security & Compliance Architect bei Microsoft, erklärt, wie Sie Ihr Netzwerk für Cloudkonnektivität optimieren, indem sie die häufigsten Fallstricke vermeiden. |
Phase 2
Nachdem Sie eine Bestandsaufnahme durchgeführt und herausgefunden haben, wo sich Ihre sensiblen Daten befinden, fahren Sie mit Phase 2 fort, in der Sie ein Klassifizierungsschema entwickeln und beginnen, dieses mit Ihren Unternehmensdaten zu testen. In dieser Phase wird auch ermittelt, wo Daten oder Projekte einen erhöhten Schutz erfordern.
Bei der Entwicklung eines Klassifizierungsschemas ist es verlockend, viele Kategorien und Ebenen zu erstellen. Die erfolgreichsten Organisationen beschränken die Anzahl der Klassifizierungsstufen jedoch auf eine kleine Zahl, z. B. 3–5. Weniger ist besser.
Bevor Sie das Klassifizierungsschema Ihrer Organisation in Etiketten übersetzen und den Etiketten Schutz hinzufügen, ist es hilfreich, über das Gesamtbild nachzudenken. Es ist am besten, bei der Anwendung jeglicher Art von Schutz in der gesamten Organisation und insbesondere bei großen digitalen Beständen so einheitlich wie möglich vorzugehen. Dies gilt auch für Daten.
So sind viele Organisationen beispielsweise mit einem dreistufigen Schutzmodell für Daten, Geräte und Identitäten gut bedient. In diesem Modell können die meisten Daten auf einer Basisebene geschützt werden. Eine kleinere Datenmenge erfordert möglicherweise einen erhöhten Schutz. Einige Organisationen verfügen über eine sehr kleine Datenmenge, die einen viel höheren Schutz erfordert. Beispiele hierfür sind Geschäftsgeheimnisse oder Daten, die aufgrund der äußerst sensiblen Natur der Daten oder Projekte stark reguliert sind.
Wenn für Ihre Organisation drei Schutzstufen funktionieren, erleichtert dies die Umsetzung dieser Elemente in Etiketten und den Schutz, den Sie auf Etiketten anwenden.
Entwickeln Sie in dieser Phase Ihre Sensibilitätsetiketten und beginnen Sie mit der datenübergreifenden Verwendung in Microsoft 365. Machen Sie sich noch keine Sorgen darüber, den Etiketten Schutz hinzuzufügen. Dies geschieht vorzugsweise zu einem späteren Zeitpunkt, wenn sich die Benutzer mit den Etiketten vertraut gemacht haben und diese bereits seit einiger Zeit ohne Bedenken hinsichtlich ihrer Einschränkungen anwenden. Das Hinzufügen von Schutz zu Etiketten ist in der nächsten Stufe enthalten. Es wird jedoch empfohlen, auch mit grundlegenden DLP-Richtlinien zu beginnen. Schließlich wenden Sie in dieser Phase einen spezifischen Schutz auf Projekte oder Datensätze an, die einen hochsensiblen Schutz erfordern.
Entwickeln und testen Sie ein Klassifizierungsschema
| Resource | Beschreibung |
|---|---|
| Vertraulichkeitsbezeichnungen | Erfahren Sie mehr über Sensibilitätsetiketten und legen Sie los. Die wichtigste Überlegung in dieser Phase besteht darin, sicherzustellen, dass die Etiketten sowohl die Bedürfnisse des Unternehmens als auch die von den Benutzern verwendete Sprache widerspiegeln. Wenn die Namen der Etiketten bei den Benutzern nicht intuitiv Anklang finden oder ihre Bedeutung nicht konsistent mit der beabsichtigten Verwendung übereinstimmt, kann die Einführung der Kennzeichnung erschwert werden und die Genauigkeit der Etikettenanwendung wird wahrscheinlich darunter leiden. |
Wenden Sie Etiketten auf Daten in Microsoft 365 an
| Resource | Beschreibung |
|---|---|
| Aktivieren von Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive | Aktivieren Sie die integrierte Bezeichnung für unterstützte Office-Dateien in SharePoint und OneDrive, damit Benutzer Ihre Vertraulichkeitsbezeichnungen in Office für das Web anwenden können. |
| Verwalten Sie Sensibilitätsetikettierungen in Office-Apps | Beginnen Sie als Nächstes mit der Einführung von Etiketten für Benutzer, damit sie diese sehen und anwenden können. Wenn Sie Vertraulichkeitsbezeichnungen über das Compliance-Portal von Microsoft Purview veröffentlicht haben, werden sie in Office-Apps angezeigt, damit Benutzer Daten klassifizieren und schützen können, während sie erstellt oder bearbeitet werden. |
| Wenden Sie Etiketten auf Microsoft Teams- und Microsoft 365-Gruppen an | Wenn Sie bereit sind, beziehen Sie Microsoft Teams- und Microsoft 365-Gruppen in den Umfang Ihrer Etikettierungsbereitstellung ein. |
Führen Sie grundlegende DLP-Richtlinien ein
| Resource | Beschreibung |
|---|---|
| Verhindern von Datenverlust | Beginnen Sie mit DLP-Richtlinien. Es wird empfohlen, mit „sanften“ DLP-Richtlinien zu beginnen, die Warnungen bereitstellen, aber keine Aktionen blockieren oder höchstens Aktionen blockieren, während Benutzer die Richtlinie außer Kraft setzen können. Auf diese Weise können Sie die Auswirkungen dieser Richtlinien einschätzen, ohne die Produktivität zu beeinträchtigen. Sie können die Richtlinien so anpassen, dass sie strenger werden, wenn Sie Vertrauen in ihre Genauigkeit und Kompatibilität mit den Geschäftsanforderungen gewinnen. |
Richten Sie sichere Teams für den internen und externen Datenaustausch mit Geschäftspartnern ein
Wenn Sie Projekte oder Daten identifiziert haben, die einen hochsensiblen Schutz erfordern, wird in diesen Ressourcen beschrieben, wie Sie diesen in Microsoft Teams einrichten. Wenn die Daten in SharePoint ohne zugehöriges Team gespeichert sind, verwenden Sie die Anweisungen in diesen Ressourcen für SharePoint-Einstellungen.
| Resource | Beschreibung |
|---|---|
| Konfigurieren Sie Teams mit Schutz für hochsensible Daten | Bietet präskriptive Empfehlungen zur Sicherung von Projekten mit hochsensiblen Daten, einschließlich der Sicherung und Verwaltung des Gastzugriffs (Ihrer Partner, die bei diesen Projekten möglicherweise mit Ihnen zusammenarbeiten). |
Phase 3
In dieser Phase fahren Sie mit der Einführung des von Ihnen verfeinerten Datenklassifizierungsschemas fort. Sie wenden auch die von Ihnen geplanten Schutzmaßnahmen an.
Sobald Sie einem Etikett Schutz hinzufügen (z. B. Verschlüsselung und Rechteverwaltung):
- Alle Dokumente, die neu das Etikett erhalten, beinhalten den Schutz.
- Für jedes in SharePoint Online oder OneDrive gespeicherte Dokument, das die Bezeichnung erhalten hat, bevor der Schutz hinzugefügt wurde, wird der Schutz angewandt, wenn das Dokument geöffnet oder heruntergeladen wird.
Dateien, die im Dienst ruhen oder sich auf dem Computer eines Benutzers befinden, erhalten nicht den Schutz, der dem Etikett hinzugefügt wurde, NACHDEM diese Dateien das Etikett erhalten haben. Mit anderen Worten: Wenn die Datei zuvor mit einem Etikett versehen wurde und Sie später einen Schutz zum Etikett hinzufügen, wird der Schutz nicht auf diese Dateien angewendet.
Fügen Sie Etiketten Schutz hinzu
| Resource | Beschreibung |
|---|---|
| Informationen zu Vertraulichkeitsbezeichnungen | In diesem Artikel finden Sie viele Möglichkeiten, wie Sie bestimmte Bezeichnungen konfigurieren können, um Schutz anzuwenden. Es wird empfohlen, mit grundlegenden Richtlinien wie „Nur verschlüsseln“ für E-Mails und „Alle Mitarbeiter – volle Kontrolle“ für Dokumente zu beginnen. Diese Richtlinien bieten ein hohes Maß an Schutz und bieten Benutzern gleichzeitig einfache Auswege, wenn sie auf Situationen stoßen, in denen die Einführung der Verschlüsselung zu Kompatibilitätsproblemen oder Konflikten mit Geschäftsanforderungen führt. Sie können die Beschränkungen später schrittweise verschärfen, wenn Sie Vertrauen und Verständnis dafür gewinnen, wie Benutzer die sensiblen Daten nutzen müssen. |
| Gängige Szenarien für sensitive Etiketten | Sehen Sie sich diese Liste der Szenarien an, die von sensitiven Etiketten unterstützt werden. |
Führen Sie automatische Etikettierungen in Office-Apps ein
| Resource | Beschreibung |
|---|---|
| Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf Inhalte | Weisen Sie Dateien und E-Mails automatisch eine Etikette zu, wenn sie den von Ihnen angegebenen Bedingungen entsprechen. Es wird empfohlen, die Beschriftungen zunächst zu konfigurieren, um Benutzern eine interaktive Etikettierungsempfehlung bereitzustellen. Sobald Sie bestätigt haben, dass diese allgemein akzeptiert sind, stellen Sie sie auf die automatische Anbringung des Etiketts um. |
Erweitern Sie DLP-Richtlinien auf Microsoft 365
| Resource | Beschreibung |
|---|---|
| Verhindern von Datenverlust | Führen Sie diese Schritte weiterhin aus, um DLP in Ihrer gesamten Microsoft 365-Umgebung anzuwenden, indem Sie die Richtlinien auf mehr Standorte und Dienste ausweiten und die Regelaktionen verschärfen, indem Sie unnötige Ausnahmen entfernen. |
Implementieren Sie grundlegende Insider-Risikomanagementrichtlinien
| Resource | Beschreibung |
|---|---|
| Insider-Risikomanagement | Beginnen Sie mit den empfohlenen Aktionen. Sie können mit der Verwendung von Richtlinienvorlagen beginnen, um schnell loszulegen und Datendiebstahl durch ausscheidende Benutzer einzudämmen. |
Phase 4
In dieser Phase erweitern Sie den Schutz, den Sie in Microsoft 365 entwickelt haben, auf Daten in Ihren SaaS-Apps. Sie stellen außerdem einen möglichst großen Teil der Datenklassifizierung und -verwaltung auf die Automatisierung um.
Erweitern Sie Labels und Schutz auf Daten in SaaS-Apps, einschließlich DLP
| Resource | Beschreibung |
|---|---|
| Stellen Sie Informationsschutz für SaaS-Apps bereit | Mit Microsoft Defender für Cloud Apps erweitern Sie das von Ihnen entwickelte Klassifizierungsschema um Microsoft 365-Funktionen, um Daten in Ihren SaaS-Apps zu schützen. |
Erweitern Sie die automatisierte Klassifizierung
| Resource | Beschreibung |
|---|---|
| Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf Inhalte | Führen Sie weiterhin die automatisierten Methoden zum Anwenden von Etiketten auf Ihre Daten ein. Erweitern Sie sie auf ruhende Dokumente in SharePoint, OneDrive und Teams sowie auf E-Mails, die von Benutzern gesendet oder empfangen werden. |
Erweitern Sie Etiketten und Schutz auf Daten in lokalen Repositorys
| Resource | Beschreibung |
|---|---|
| Microsoft 365 Purview Information Protection Scanner | Scannen Sie Daten in lokalen Repositorys, einschließlich Microsoft Windows-Dateifreigaben und SharePoint Server. Der Informationsschutzscanner kann alle Dateien überprüfen, die Windows indizieren kann. Wenn Sie Vertraulichkeitsbezeichnungen für die Anwendung der automatischen Klassifizierung konfiguriert haben, kann der Scanner ermittelte Dateien bezeichnen, um diese Klassifizierung anzuwenden und optional den Schutz anzuwenden oder zu entfernen. |
Schützen Sie Organisationsdaten in Ihrer Cloud-Infrastruktur
| Resource | Beschreibung |
|---|---|
| Dokumentation zur Datengovernance von Microsoft Purview | Hier wird beschrieben, wie Sie das Microsoft Purview-Governanceportal verwenden, damit Ihre Organisation Datenquellen finden, verstehen, steuern und nutzen kann. Tutorials, REST-API-Referenzen und andere Dokumentation zeigen Ihnen, wie Sie Ihr Datenrepository planen und konfigurieren, in dem Sie verfügbare Datenquellen entdecken und die Rechtenutzung verwalten können. |
Cloudeinführungsplan
Ein Einführungsplan ist eine wesentliche Voraussetzung für eine erfolgreiche Cloud-Einführung. Zu den wichtigsten Merkmalen eines erfolgreichen Einführungsplans zum Schutz von Daten gehören:
- Strategie und Planung sind aufeinander abgestimmt: Wenn Sie Ihre Pläne für Tests, Pilotversuche und die Einführung von Datenklassifizierungs- und Schutzfunktionen in Ihrem gesamten digitalen Bestand entwerfen, sollten Sie Ihre Strategie und Ziele noch einmal überdenken, um sicherzustellen, dass Ihre Pläne aufeinander abgestimmt sind. Dazu gehören die Priorität der Datensätze, Ziele für den Datenschutz und angestrebte Meilensteine.
- Der Plan ist iterativ Wenn Sie mit der Einführung Ihres Plans beginnen, erfahren Sie viele Dinge über Ihre Umgebung und den von Ihnen verwendeten Funktionsumfang. Überprüfen Sie in jeder Phase Ihrer Einführung Ihre Ergebnisse im Vergleich zu den Zielen und optimieren Sie die Pläne. Dies kann beispielsweise die Überprüfung früherer Arbeiten zur Feinabstimmung von Richtlinien umfassen.
- Die Schulung Ihrer Mitarbeiter und Benutzer ist gut geplant: Von Ihren Verwaltungsmitarbeitern über den Helpdesk bis hin zu Ihren Benutzern wird jeder darin geschult, seine Aufgaben bei der Datenidentifizierung und dem Datenschutz erfolgreich wahrzunehmen.
Weitere Informationen zum Cloud Adoption Framework für Azure finden Sie unter: Plan für die Cloud-Einführung.
Bereitschaftsphase
Nutzen Sie die zuvor aufgeführten Ressourcen, um Ihren Plan zur Identifizierung und zum Schutz sensibler Daten zu priorisieren. Der Schutz sensibler Geschäftsdaten stellt eine der Ebenen Ihrer mehrschichtigen Zero Trust-Bereitstellungsstrategie dar.
Der in diesem Artikel empfohlene stufenweise Ansatz umfasst die methodische Kaskadierung der Arbeit in Ihrem digitalen Bestand. Sehen Sie sich in dieser Bereitschaftsphase diese Elemente des Plans noch einmal an, um sicherzustellen, dass alles einsatzbereit ist:
- Die sensiblen Daten für Ihre Organisation sind genau definiert. Sie werden diese Definitionen wahrscheinlich anpassen, während Sie nach Daten suchen und die Ergebnisse analysieren.
- Sie haben eine klare Übersicht darüber, mit welchen Datensätzen und Apps Sie beginnen sollen, und einen priorisierten Plan für die Ausweitung des Umfangs Ihrer Arbeit, bis diese Ihren gesamten digitalen Bestand umfasst.
- Anpassungen der vorgeschriebenen technischen Leitlinien, die für Ihre Organisation und Umgebung geeignet sind, wurden identifiziert und dokumentiert.
Diese Liste fasst den allgemeinen methodischen Prozess zur Durchführung dieser Arbeit zusammen:
- Lernen Sie die Datenklassifizierungsfunktionen kennen, z. B. vertrauliche Informationstypen, trainierbare Klassifizierer, Vertraulichkeitsetikettierungen und DLP-Richtlinien.
- Beginnen Sie mit der Nutzung dieser Funktionen mit Daten in Microsoft 365-Diensten. Diese Erfahrung hilft Ihnen, Ihr Schema zu verfeinern.
- Führen Sie die Klassifizierung in Office-Apps ein.
- Gehen Sie zum Schutz der Daten auf Geräten über, indem Sie mit Endpunkt-DLP experimentieren und es dann einführen.
- Erweitern Sie die Funktionen, die Sie in Ihrem Microsoft 365-Bestand verfeinert haben, auf Daten in Cloud-Apps, indem Sie Defender für Cloud Apps verwenden.
- Entdecken und schützen Sie Daten lokal mithilfe des Microsoft Purview Information Protection-Scanners
- Verwenden Sie Microsoft Purview Data Governance, um Daten in Cloud-Datenspeicherdiensten zu erkennen und zu schützen, einschließlich Azure Blobs, Cosmos DB, SQL-Datenbanken und Amazon Web Services S3-Repositorys.
Im folgenden Diagramm wird der Prozess veranschaulicht.
Ihre Prioritäten für die Datenerkennung und den Schutz können unterschiedlich sein.
Beachten Sie die folgenden Abhängigkeiten zu anderen Geschäftsszenarien:
- Die Ausweitung des Informationsschutzes auf Endpunktgeräte erfordert eine Koordination mit Intune (im Artikel Sicheres Remote- und Hybrid-Arbeiten enthalten).
- Für die Ausweitung des Informationsschutzes auf Daten in SaaS-Apps ist Microsoft Defender für Cloud Apps erforderlich. Die Pilotierung und Bereitstellung von Defender for Cloud-Apps ist im Geschäftsszenario Verhindern oder Reduzieren von Unternehmensschäden durch eine Sicherheitsverletzung enthalten.
Wenn Sie Ihre Einführungspläne fertigstellen, sollten Sie unbedingt noch einmal den Informationsschutz und Verhinderung von Datenverlust-Leitfaden zur Bereitstellungsbeschleunigung lesen, um die Empfehlungen durchzugehen und Ihre Strategie zu verfeinern.
Übernahmephase
Microsoft empfiehlt einen kaskadierenden, iterativen Ansatz zur Erkennung und zum Schutz sensibler Daten. Auf diese Weise können Sie Ihre Strategie und Richtlinien im Laufe der Zeit verfeinern, um die Genauigkeit der Ergebnisse zu erhöhen. Beginnen Sie beispielsweise mit der Arbeit an einem Klassifizierungs- und Schutzschema, während Sie sensible Daten entdecken und identifizieren. Die von Ihnen ermittelten Daten fließen in das Schema ein und das Schema hilft Ihnen, die Tools und Methoden zu verbessern, die Sie zum Erkennen sensibler Daten verwenden. Ebenso helfen Ihnen die Ergebnisse beim Testen und Pilotieren des Schemas dabei, die zuvor erstellten Schutzrichtlinien zu verbessern. Sie müssen nicht warten, bis eine Phase abgeschlossen ist, bevor Sie mit der nächsten beginnen. Ihre Ergebnisse sind effektiver, wenn Sie dabei iterieren.
Steuerung und Management von Phasen
Die Verwaltung der Daten Ihrer Organisation ist ein iterativer Prozess. Durch die sorgfältige Erstellung Ihres Klassifizierungsschemas und dessen Einführung in Ihrem gesamten digitalen Bestand haben Sie eine Grundlage geschaffen. Nutzen Sie die folgenden Übungen, um mit der Erstellung Ihres ersten Governance-Plans für diese Stiftung zu beginnen:
- Legen Sie Ihre Methodik fest: Legen Sie eine grundlegende Methodik zur Überprüfung Ihres Schemas, seiner Anwendung in Ihrem gesamten digitalen Bestand und des Erfolgs der Ergebnisse fest. Entscheiden Sie, wie Sie den Erfolg Ihres Informationsschutzprotokolls überwachen und bewerten, einschließlich Ihres aktuellen und zukünftigen Zustands.
- Einrichten einer ersten Grundlage für die Governance: Beschränken Sie sich bei Ihrer Governance Journey zunächst auf eine geringe Anzahl von Governancetools, die leicht implementiert werden können. Diese anfängliche Governancegrundlage wird als MVP (Minimum Viable Product) bezeichnet.
- Verbessern Sie Ihre anfängliche Governance-Grundlage: Fügen Sie iterativ Governance-Kontrollen hinzu, um konkrete Risiken anzugehen, während Sie sich dem Endzustand nähern.
Microsoft Purview bietet mehrere Funktionen, die Sie bei der Verwaltung Ihrer Daten unterstützen, einschließlich:
- Aufbewahrungsrichtlinien
- Aufbewahrungs- und Archivierungsfunktionen für Postfächer
- Datensatzverwaltung für ausgefeiltere Aufbewahrungs- und Löschrichtlinien und -pläne
Siehe: Verwalten Sie Ihre Daten mit Microsoft Purview Darüber hinaus bietet Ihnen der Aktivitäts-Explorer Einblick in die Inhalte, die entdeckt und gekennzeichnet wurden und wo sich diese Inhalte befinden. Für SaaS-Apps bietet Microsoft Defender für Cloud Apps umfassende Berichte für vertrauliche Daten, die in SaaS-Apps hinein und aus diesen heraus verschoben werden. Sehen Sie sich die zahlreichen Tutorials in der Inhaltsbibliothek von Microsoft Defender für Cloud Apps an.
Nächste Schritte
- Übersicht über das Zero Trust-Einführungsframework
- Modernisieren Sie schnell Ihren Sicherheitsstatus
- Sicheres Remote- und Hybrid-Arbeiten
- Verhindern oder Reduzieren von Unternehmensschäden durch eine Sicherheitsverletzung
- Erfüllen regulatorischer und Compliance-Anforderungen
Ressourcen zur Fortschrittsnachverfolgung
Für jedes der Zero Trust-Geschäftsszenarien können Sie die folgenden Fortschrittsverfolgungsressourcen verwenden.
| Ressource zur Fortschrittsnachverfolgung | Dies hilft Ihnen bei Folgendem… | Entwickelt für |
|---|---|---|
Planungsraster mit Phasen für das Übernahmeszenario zum Herunterladen Visio-Datei oder PDF 
|
Verstehen Sie mühelos die Sicherheitsverbesserungen für jedes Geschäftsszenario und den Aufwand für die Phasen und Ziele der „Planen“-Phase. | Projektleiter für Geschäftsszenarios, Führungskräfte und andere Projektbeteiligte. |
Zero Trust Einführungstracker als PowerPoint-Präsentation zum Herunterladen 
|
Verfolgen Sie Ihren Fortschritt durch die Phasen und Ziele der „Planen“-Phase. | Projektleiter für Geschäftsszenarios, Führungskräfte und andere Projektbeteiligte. |
Ziele und Aufgaben des Geschäftsszenarios als Excel-Arbeitsmappe zum Herunterladen 
|
Weisen Sie Verantwortung zu, und verfolgen Sie Ihren Fortschritt über die Phasen, Ziele und Aufgaben der „Planen“-Phase hinweg. | Projektleiter für Geschäftsszenarios, IT-Führungskräfte und IT-Implementierende. |
Weitere Ressourcen finden Sie unter Zero Trust-Bewertungs- und Fortschrittsverfolgungsressourcen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für