Office 365 – Data Loss Prevention

Das Ziel von Microsoft ist es, eine gemeinsame DLP-Funktion für alle Office 365-Arbeitsplätze zu integrieren. In der ersten Einführungsphase wurden DLP-Richtlinien für die Dienste in SharePoint Online und OneDrive for Business-Sites eingeführt.

Der nächste Schritt war die Erweiterung des für SharePoint Online verwendeten Frameworks, um Exchange abzudecken und so über Richtlinien zu verfügen, die die beiden wichtigsten Office 365-Workloads verarbeiten können.

Im März 2019 wurde der Workload mit Microsoft Teams erweitert. Im Einklang mit dem allgemeinen Trend, Software für den gesamten Service zu entwickeln, liegt der Schwerpunkt innerhalb von Office 365 auf der Erweiterung der Funktionen dieser Richtlinien, so dass sie alle in Office 365 gespeicherten Daten abdecken.

Wie die anderen serviceweiten Richtlinien werden die DLP-Richtlinien über das Sicherheits- und Compliance Center unter https://protection.office.com/homepage bearbeitet.

DLP-Policy

Es ist jedoch wichtig zu erkennen, dass die DLP-Richtlinien von Office 365 im Vergleich zu ETR-basierten Richtlinien nur begrenzte Möglichkeiten zum Schutz von Lecks durch Exchange bieten. Heutzutage können Office 365 DLP-Richtlinien den Missbrauch von vertraulichen Daten und die Übertragung dieser Daten außerhalb des Unternehmens erkennen, aber das ist nicht ganz dasselbe wie das Bereitstellen der breiten Palette von Bedingungen und Ausnahmen, die von Transportregeln unterstützt werden.

Der Vorteil der Verwendung von Office 365 DLP-Richtlinien besteht darin, dass der Kunde nur einen einzigen Satz von Richtlinien verwalten muss. Der Nachteil ist, dass der Kunde einige Funktionen verliert. Bei der Verwendung von einfachen stellt dies kein großes Problem dar, aber es ist eine große Thema, wenn komplexere Szenarien untersucht werden müssen. Der einzige Weg, um sicher zu sein, ist zu testen.

Im Laufe der Zeit hat Microsoft die Lücke in der Funktionalität geschlossen, um Office 365 DLP-Richtlinien so leistungsfähig zu machen wie ihre Workload-spezifischen Gegenstücke. Obwohl dienstweite Richtlinien den Schwerpunkt für DLP innerhalb von Office 365 bilden, werden die Workloadspezifischen Versionen weiterhin verwendet, da sie für die lokalen Server benötigt werden.

Die folgenden Faktoren sollten berücksichtigt werden, wenn eine Migration von ETR-basierten Richtlinien zu Office 365 DLP-Richtlinien in Erwägung gezogen wird.

  • Office 365 DLP-Richtlinien werden mit Exchange Online synchronisiert, sind aber nicht über EAC sichtbar. Sie können nur über das Sicherheits- und Compliance Center oder PowerShell auf diese Richtlinien zugreifen.
  • Office 365 DLP-Richtlinien sind nicht auf dieselbe Weise in den Outlook Windows-Desktop-Client integriert wie die Exchange DLP-Richtlinien. Dies bedeutet, dass Outlook während der Nachrichtenerstellung keine Richtlinienverstöße erkennt. Das Exchange Online-Transportmodul blockiert jedoch alle Nachrichten beim Senden, wenn sie gegen eine Office 365 DLP-Richtlinie verstoßen. Office 365 DLP-Richtlinien sind in den Bildschirm für die OWA-Nachrichtenerstellung integriert und werden bei jedem Speichern eines Nachrichtenentwurfs durch OWA auf Richtlinienverstöße überprüft.
  • Die in ETRs implementierten Regeln haben bei der Verarbeitung von E-Mails immer Vorrang vor den Regeln in den Office 365 DLP-Richtlinien. Dies ist selbstverständlich, da ETRs explizit für die Verarbeitung von E-Mails konzipiert sind. Es bedeutet auch, dass Nachrichten, die von einem ETR blockiert werden, niemals von einer Office 365 DLP-Richtlinie überprüft werden. Nachrichten, die die ETRs durchlaufen, werden von Office 365 DLP-Richtlinien verarbeitet und könnten zu diesem Zeitpunkt blockiert werden, wenn die Regeln einen Zustand erkennen, der diese Aktion erfordert. Wenn eine „Verarbeitungsstopp“-Aktion von einem ETR aufgerufen wird, hat dies keine Auswirkungen auf die Verarbeitung von Office 365-Richtlinien.
  • Im Gegensatz zu ETRs, die eine Prioritätsreihenfolge haben, die von einem Administrator leicht manipuliert werden kann, werden die Regeln für Office 365 DLP-Richtlinien entsprechend dem Erstellungsdatum der Richtlinie ausgeführt. Mit anderen Worten, die Regeln, die zu einer am 1. Dezember 2016 erstellten Richtlinie gehören, werden vor den Regeln einer am 2. Dezember 2016 erstellten Richtlinie ausgeführt.
  • Office 365 DLP-Richtlinien unterstützen nicht die benutzerdefinierten sensiblen Datentypen, die mit dem digitalen Fingerabdruck erstellt wurden. Wenn Sie über ETRs verfügen, die von diesen Datentypen abhängen, können Office 365 DLP-Richtlinien keine ähnliche Lösung bieten. Sie können benutzerdefinierte sensible Datentypen (definiert als XML-Dokument, um die Merkmale des benutzerdefinierten Datentyps zu definieren) erstellen, um Datentypen wie Mitarbeiternummern oder Identifikatoren zur Verwendung mit Office 365 DLP-Richtlinien zu beschreiben, und die Datentypen mit Exchange, SharePoint oder OneDrive for Business verwenden. Das Erstellen eines XML-Regelpakets für einen benutzerdefinierten sensiblen Datentyp ist nicht so einfach wie das Scannen eines Dokuments zur Erstellung eines Fingerabdrucks, aber es ist eine potenzielle Lösung.

DLP ist ein Bereich, der sich ständig weiterentwickelt und neue oder geänderte Funktionen können jederzeit erscheinen. Aus diesem Grund ist es sinnvoll, die Wirksamkeit der konfigurierten Richtlinien durch eine periodische Überprüfung zu bestätigen.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.