Mit Microsoft 365 schneller zum Compliance-Ziel

Jede Organisation muss die rechtlichen oder behördlichen Normen einhalten. Mit der wachsenden Zahl an Vorschriften ist es nicht ungewöhnlich, dass Organisationen in mehrere Instrumente investieren, um all diesen Vorschriften zu entsprechen. Angesichts der zunehmenden Datenmengen, die in öffentlichen Clouds gespeichert werden, ist die Gewährleistung der Rechtskonformität schnell eine beträchtliche Herausforderung. Setzt Ihr Unternehmen Microsoft 365 ein, dann verfügen Sie bereits dafür über diverse Tools – Ausgangsbasis ist das Compliance Center. Es beherbergt integrierte Compliance-Lösungen für Informationsschutz, Information Governance, Insider-Risikomanagement, Discovery und vieles mehr.

Microsoft 365 Compliance Center

Das Microsoft 365 Compliance Center bietet einen bequemen Zugriff auf alle Daten und Tools, die Sie für die Verwaltung der Compliance-Anforderungen Ihres Unternehmens benötigen. Sie können darauf über das Microsoft 365 Admin Center oder direkt unter https://compliance.microsoft.com/homepage zugreifen. Dazu benötigen Sie entweder Global-Administrator- oder Compliance-Administrator-Zugriffsrechte.

Beim ersten Besuch des Microsoft 365 Compliance Centers erfahren Sie, wie es um die Daten-Compliance in Ihrem Unternehmen bestellt ist, welche Lösungsmöglichkeiten (Solutions) Ihnen zur Verfügung stehen und erhalten einen Überblick über alle aktiven Warnmeldungen.

Lassen Sie uns nun einen Blick auf einzelne Lösungsmöglichkeiten werfen, die Bestandteil des Compliance Centers sind, und deren Bedeutung für die Einhaltung der Vorschriften betrachten.

Compliance Manager

Der Compliance Manager ermöglicht Ihnen die Gesamtbewertung Ihrer aktuellen Situation und gibt Empfehlungen, wie Sie die Einhaltung branchenüblicher Vorschriften und Standards insgesamt verbessern können. Das Dashboard enthält Echtzeitdaten sowie eine Gliederung der Ergebnisse nach Kategorien.

Die Übersicht zeigt einen Gradmesser der Leistungsbewertung Ihrer Organisation sowie eine Aufstellung der erzielten Punkte, die mit den Microsoft-Standardeinstellungen bereits erreicht wurden. Ferner erhalten Sie eine Zusammenfassung der wichtigsten Verbesserungsmaßnahmen mit der möglichen Punktzahl, dem Status und dem Typ.

Im weiteren Verlauf erhalten Sie eine Übersicht über mögliche Lösungsmaßnahmen, wie sie sich auf Ihre Punktzahl auswirken, sowie die Aufschlüsselung der Compliance-Punktzahl (Compliance Score Breakdown) nach Themengebieten mit Links zu den nach Bereichen gefilterten Verbesserungsmaßnahmen.

Sie enthalten Handlungsempfehlungen, die Ihre Organisation zur Bewertung heranziehen kann. Ein detaillierter Implementierungsleitfaden informiert Sie über die zu unternehmenden Schritte und leitet Sie zu einer geeigneten Lösung weiter. Wenn Sie auf View Improvement Actions klicken, gelangen Sie zum Abschnitt Improvement Actions, gefiltert nach Bereich.

Hier finden Sie eine detaillierte Liste aller Verbesserungsmaßnahmen, die zur Umsetzung empfohlen werden, mit Gruppierungs-, Such- und Filterfunktionen.

Durch Klicken auf eine Aktion gelangen Sie zur Detailansicht mit Hinweisen zur Implementierung, Links zur offiziellen Microsoft-Dokumentation und einigen zusätzlichen Hinweisen.

Sie den Status auf „Implementiert“ setzen und der Compliance Manager dies bestätigt, werden die Punkte zu Ihrem Compliance Score hinzuaddiert. Es kann bis zu 24 Stunden dauern, bis die Änderungen wirksam werden.

Tipp: Planen Sie Ihre Compliance-in Iterationen und überprüfen Sie deren Status wöchentlich oder zweiwöchentlich.

Der Abschnitt Solutions verschafft Ihnen einen Überblick darüber, wie jede der Komponenten der Microsoft-365-Suite zur Konformität Ihres Unternehmens beiträgt, einschließlich Links zu den verbleibenden Aktionen zu jeder Lösungsmöglichkeit. Die Gruppierung nach Lösungsmöglichkeiten erleichtert es Ihnen, verschiedene Domänenexperten in Ihrer Organisation gezielt zu informieren und zu konsultieren, wie Azure-AD-Experten, Sicherheits- oder Compliance-Experten.

Der Abschnitt Assessments enthält eine Sammlung von durchführbaren Bewertungen, mit denen Sie Ihre Umgebung anhand von Kontrollen überprüfen können, die branchenübliche Vorschriften und Standards umfassen.

Durch das Anklicken der einzelnen Bewertungen gelangen Sie zu einem detaillierten Bericht mit den entsprechenden Kontrollelementen, den wichtigsten Verbesserungsmaßnahmen sowie deren Status.

Der Abschnitt Controls des Berichts zeigt ein ansprechendes Balkendiagramm, das verdeutlicht, wo Sie bereits erfolgreich sind und wo Sie sich durch die Implementierung der empfohlenen Maßnahmen verbessern können. Mit der Schaltfläche „Generate report“ können Sie die Aktionen samt Status in eine Excel-Tabelle exportieren.

Tipp: Sie können in Microsoft Listen aus einem Excel-Arbeitsblatt eine Liste generieren und mit Ihrem Team daran arbeiten sowie den Fortschritt leicht verfolgen.

Im letzten Abschnitt des Compliance Managers finden Sie die Beurteilungsvorlagen (Assessment Templates), die Sie zur Bewertung verwenden können (z. B. bzgl. DSGVO der EU oder länderspezifische Vorschriften). Die Vorlagen bestehen aus Kontrollelementen und Aktionen und sind in zwei Kategorien unterteilt: Inkludiert und Premium. Sie sehen nur solche Vorlagen, die Ihrer Organisation auf der Grundlage der von Ihnen erworbenen Lizenz zur Verfügung stehen. Microsoft hat vor kurzem eine neue Lizenzierung für Premium-Vorlagen eingeführt, sodass, auch wenn Sie einige davon nun angezeigt bekommen, diese in Kürze möglicherweise nicht mehr zugänglich sein könnten.

Datenklassifizierung

Diese Lösung bietet Ihnen die Möglichkeit, Inhalte unternehmensweit zu klassifizieren und zu schützen, indem Sie Typen vertraulicher Informationen und Vertraulichkeitsbezeichnungen verwenden.

Der Abschnitt Overview liefert eine Momentaufnahme, wie vertrauliche Informationen und Bezeichnungen an den einzelnen Standorten Ihrer Organisation verwendet werden.

Es stehen mehrere Ansätze zur Datenklassifizierung zur Verfügung: Manual, Automated sowie Classifiers.

Der manuelle Weg (Manual) verlangt menschliches Urteilsvermögen und Handeln. Ein Admin kann entweder die bereits vorhandenen Typen vertraulicher Informationen und Bezeichnungen verwenden oder eigene erstellen und diese dann veröffentlichen. Benutzer und Administratoren wenden diese dann auf Inhalte an, sobald sie mit diesen interagieren. Sie können dann den Inhalt schützen und dessen bestimmen.

Der automatische Mustervergleich (Automated) wird zum Auffinden von Inhalten verwendet, nach:

• Stichwörtern oder Metadaten (Sprache der Stichwortabfrage);
• Verwendung vorab identifizierter Muster von vertraulichen Informationen wie Sozialversicherungs-, Kreditkarten- oder Bankkontonummern (Definitionen von Entitäten des Typs „Sensible Informationen“);
• Erkennen eines Elements, weil es eine Abweichung von einer Vorlage ist (Dokument-Fingerabdruck);
• Nutzung des Vorhandenseins von exakten Zeichenketten (exakte Datenübereinstimmung).

Vertraulichkeits- und Aufbewahrungsbezeichnungen können dann automatisch hinzugefügt werden, um die Inhalte zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) zur Verfügung zu stellen und automatisch Richtlinien für Aufbewahrungsbezeichnungen anzuwenden.

Die Classifier-Methode eignet sich besonders gut für Inhalte, die sich weder mit den manuellen noch mit den automatischen Mustervergleichsmethoden leicht identifizieren lassen. Bei dieser Klassifizierungsmethode geht es eher darum, einen Klassifizierer so zu instruieren, dass er ein Objekt anhand dessen identifiziert, was das Objekt ist, und nicht anhand von Elementen, die sich in dem Objekt befinden (Mustervergleich).

Bei dem trainierbaren Klassifizierer (Trainable Classifiers) handelt es sich um ein Vorschau-Feature, das ein KI-basierter Inhaltsklassifikator ist. Beim ersten Besuch dieses Abschnitts müssen Sie sich entscheiden, ob Sie einen Scan-Vorgang starten (der 7 bis 14 Tage dauert) oder einige der integrierten Klassifizierer verwenden möchten, die Inhalte wie Quellcode, Lebensläufe, Schimpfwörter, Belästigungen und Bedrohungen erkennen. Ein Nachteil dieses Klassifizierungsmerkmals ist, dass es nur mit Dokumenten funktioniert, die nicht verschlüsselt sind und in englischer Sprache vorliegen.

Wenn Sie auf einen der Klassifizierer klicken, erhalten Sie die übereinstimmenden Elemente in Ihren Inhalten sowie einige Rückmeldungen.

Sollten die vorab trainierten Klassifikatoren nicht den Bedürfnissen Ihrer Organisation entsprechen, können Sie Ihre eigenen erstellen und trainieren. Zwar ist damit deutlich mehr Arbeit verbunden, sie werden aber viel besser auf die Bedürfnisse Ihrer Organisation zugeschnitten sein. Nachstehend eine Kurzfassung dieses Prozesses, den wir nicht weiter vertiefen werden:

Die Typen von Vertraulichkeitsinformationen ermöglichen es Ihnen, die von Microsoft erstellten Typen zu verwenden oder eigene zu erstellen.

Wenn Sie Ihre eigenen Typen von Vertraulichkeitsinformationen erstellen, geben Sie einfach Name und Beschreibung ein und konfigurieren die Anforderungen an die gewünschte Übereinstimmung. Sie können aus mehreren Bedingungen wählen, darunter die Prüfung gegen reguläre Ausdrücke, Schlüsselwörter oder Wörterbücher.

Tipp: Sie sollten das Vertrauensniveau (Confidence Level) mit Bedacht wählen. Sie können restriktivere Aktionen (z. B. Inhalte blockieren) nur bei Treffern mit höherem Vertrauen und weniger restriktive Aktionen (z.B. Benachrichtigung senden) nur auf Treffern mit niedrigerem Vertrauen verwenden.

Der Inhaltsexplorer (Content Explorer) ist ein leistungsstarkes Werkzeug, das nach klassifizierten Inhalten in Ihrer Organisation sucht. Sie können nach Typen von Vertraulichkeitsinformationen filtern, z. B. EU-Bankkartennummer, EU-Reisepassnummer IBAN oder ein Aufbewahrungsbezeichner, um zu sehen, wie viele Objekte klassifiziert sind und wo sie gespeichert sind (z. B. Exchange, SharePoint, OneDrive). Sie können diese noch weiter aufschlüsseln, um die eigentliche E-Mail oder das Dokument zu prüfen.

Hinweis: Für den Inhaltsexplorer ist entweder das Add-on Microsoft 365 E5 Compliance oder eine vollständige Microsoft 365 E5-Lizenz erforderlich.

Der Aktivitäten-Explorer ist im Grunde ein Audit-Protokollierungswerkzeug. Es gibt Ihnen einen Einblick in Datenklassifizierungsaktivitäten, z. B. wann Bezeichnungen hinzugefügt, vertrauliche Daten geändert oder Dateien gedruckt wurden. Die Bezeichnungsaktivität wird zum Zeitpunkt des Verfassens dieses Artikels über Exchange-, SharePoint-, OneDrive– und Endpunktgeräte hinweg überwacht. Sie können Ihre Suchanfragen nach Standort, Vertraulichkeitsbezeichnung oder Benutzer filtern.

Datenkonnektoren

Mit Datenkonnektoren können Sie eine Verbindung zu Third-Party-Lösungen herstellen (etwa zu Ihren LinkedIn-, Faceobok-Unternehmensseiten oder zu Slack), die Daten in Microsoft 365 importieren und im Hinblick auf Ihre Compliance-Richtlinien analysieren.

Warnmeldungen

In diesem Abschnitt Alerts finden Sie eine Liste von Warnmeldungen im Zusammenhang mit der Gesamtkonformität. Es empfiehlt sich, diese Liste häufig zu überprüfen. Die Warnmeldungen können bei Bedarf im CSV-Format exportiert werden.

Berichte

Im Abschnitt Reports können Sie Dinge wie Übereinstimmungen von DLP-Richtlinien, DLP-Vorfälle, häufige Bezeichnungen, wo Bezeichnungen verwendet werden, ob irgendwelche Bezeichnungen automatisch angewendet wurden, Benutzer, die die meisten Dateien aus Cloud-Anwendungen freigegeben haben, öffentlich freigegebene Dateien oder Anwendungen mit hohem Risiko sehen. Die meisten Karten in diesem Abschnitt führen Sie zum Microsoft Cloud App Security (MCAS), wenn Sie weitere Einzelheiten erfahren möchten.

Richtlinien

Im Abschnitt Policies konfigurieren Sie automatisierte Regeln, die Sie durchsetzen möchten, in drei Kategorien: Alert, Data und Access.

In der Kategorie Warnungen (Alerts) haben Sie zwei Optionen: Entweder Sie konfigurieren einfache Office-365-Warnungen oder Sie gehen zur erweiterten Option, dem Microsoft Cloud App Security (MCAS) Tool.

Der Abschnitt Office 365 alert führt Sie zum Security & Compliance Center. Hier können Sie Auslöser wie verdächtige E-Mail-Muster, Erhöhung der Admin-Privilegien, Aktivitäten aus seltenen Ländern usw. konfigurieren.

Wenn Sie sich für die Cloud App Security entscheiden, stehen Ihnen zahlreiche Cybersicherheitsoptionen zur Verfügung. Sie können öffentlich freigegebene vertrauliche Dateien, Anmeldungen von riskanten IP-Adressen, verdächtige E-Mail-Weiterleitungsregeln usw. überwachen.

In der Kategorie Daten lassen sich Richtlinien zur Verhinderung von Datenverlusten und zur Aufbewahrung von Daten konfigurieren.

Im Abschnitt Verhinderung von Datenverlust (Data Loss Prevention) finden Sie integrierte Richtlinien oder können Ihre eigenen erstellen. Dazu wählen Sie die Bedingungen, unter denen der Inhalt abgeglichen wird, sowie die Maßnahmen, die bei einem Treffer ausgelöst werden. Solche Maßnahmen können sein, den Zugang zu den Inhalten zu beschränken, sie zu verschlüsseln oder die Benutzer zu benachrichtigen und sie über die richtige Verwendung von Sensitivitätsinformationen aufzuklären.

Im gleichen Abschnitt finden Sie Warnungen, gefiltert nach den DLP-Kategorien. Endpoint DLP Settings ist das jüngste Feature, das sich zum Zeitpunkt des Verfassens dieses Artikels noch in der Vorschau befindet. Die Einstellungen darin enthalten unzulässige Apps (z. B. Notepad++), unzulässige Browser (z. B. Mozilla Firefox) und Service-Domains (eine Whitelist/Blocklist von Domains, die auf sensible Dateien zugreifen können). Sie können auch Dateityp-Ausschlüsse konfigurieren, bei denen die im Abschnitt „Verhinderung von Datenverlust“ konfigurierten Richtlinien nicht gelten.

Im Abschnitt Retention konfigurieren Sie Richtlinien, die für mehrere Microsoft-365-Standorte gelten, und setzen standortspezifische Richtlinien außer Kraft, die Sie möglicherweise bereits an einem , z. B. Exchange Online, konfiguriert haben.

Hier können Sie die Aufbewahrungsrichtlinien basierend auf den regulatorischen Anforderungen erstellen, die für Ihr Unternehmen gelten.

Nachdem Sie den Namen Ihrer Richtlinie gewählt haben, müssen Sie auswählen, auf welche Standorte sie angewendet werden soll.

Tipp: Sie sollten die Richtlinien mit einer kleinen Untergruppe von Benutzern/Gruppen testen, bevor Sie sie auf die gesamte Organisation anwenden.

Nach dem Standort wählen Sie die Richtlinienaktionen aus, z. B. Inhalte 7 Jahre lang aufbewahren und dann löschen.

Sie können auch Aufbewahrungsbezeichnungen erstellen und veröffentlichen. Nach der Veröffentlichung erscheinen die Aufbewahrungsbezeichnungen in den Anwendungen Ihrer Benutzer (z. B. Outlook, SharePoint oder OneDrive). Wenn eine Bezeichnung auf E-Mails oder Dokumente angewendet wird (automatisch oder durch den Benutzer), wird der Inhalt basierend auf den von Ihnen gewählten Einstellungen aufbewahrt. Sie können z. B. Bezeichnungen erstellen, die Inhalte einmalig oder für eine bestimmte Zeit aufbewahren, oder die Inhalte einfach löschen, wenn sie ein bestimmtes Alter erreichen. Bezeichnungsrichtlinien ermöglichen Ihnen die automatische Zuordnung von Bezeichnungen. So sehen die Benutzer die Bezeichnungen, die automatisch auf Inhalte angewendet werden, die Ihren Bedingungen entsprechen (z. B. Inhalte, die bestimmte sensible Informationen enthalten).

Nicht eng mit der Konformität verbunden, aber als Teil des Bereichs Information Governance steht Ihnen die Importfunktion zur Verfügung, mit der Sie Ihre E-Mails (im PST-Format) in Microsoft 365 importieren können. Es gibt auch eine Verknüpfung zur Archivfunktion von Exchange Online, über die Sie eine Liste der Postfächer erhalten, für die das Archiv aktiviert ist.

Berechtigungen

In diesem Abschnitt sehen Sie die verschiedenen Microsoft-365- und Azure-Active-Directory-Rollen, die Zugriffsebenen auf das Microsoft 365 Compliance Center bieten, sowie die Anzahl der Benutzer, die diese Rolle haben. Wenn Sie auf eine beliebige Rolle klicken, werden die zugeordneten Benutzer angezeigt. Als bewährtes Verfahren sollte Sie versuchen, dem Prinzip der geringsten Zugriffsrechte zu befolgen. Weisen Sie nur die Berechtigungen zu, die ein Benutzer zur Ausübung seiner Tätigkeit wirklich benötigt, und verwenden Sie, wenn Sie die Azure-AD-P2-Lizenz besitzen, die Azure-Privileged-Identity-Management-Lösung, um diese Berechtigungen just-in-time zuzuweisen, d. h. bei Bedarf und/oder mit einem Genehmigungsprozess.

Lösungen

Im Abschnitt Solutions Catalog finden Sie alle Lösungsmöglichkeiten, die Sie beim Compliance- und Risikomanagement in Ihrem Unternehmen unterstützen.

Durch klicken auf „View“ erhalten Sie eine detaillierte Beschreibung der jeweiligen Lösung, die Punktezahl, die Sie damit erzielen können, und die Anforderungen in Bezug auf Lizenzierung und Berechtigungen.

Audit ist eine zentrale Lösung, die es Ihnen ermöglicht, nach praktisch jeder innerhalb Ihres Microsoft-365-Mandanten stattfindenden Aktivität zu suchen. Dabei können sie nach bestimmten Daten suchen, z. B. nach der aufgerufenen Datei, bestimmten Benutzern und sogar nach bestimmten Datei-/Ordner-/Speicherorten. Es empfiehlt sich, auf kürzere Zeitintervalle einzugrenzen, damit Sie die Suchergebnisse schneller erhalten. Um Audit-Protokolle für einen Zeitraum von bis zu 10 Jahren zu halten, müssen Sie eine Richtlinie zur Aufbewahrung von Audits konfigurieren.

In Content Search können Sie die Microsoft-365-Suite nach praktisch allem durchsuchen. Jede Suchanfrage wird aufgezeichnet und die Aufzeichnung kann exportiert werden.

Data Subject Requests ist der Ort, an dem Sie Ihre Ersuche anlegen und speichern können, wenn eine betroffene Person gemäß DSGVO das Recht auf seine personenbezogenen Daten beantragt.

eDiscovery unterstützt die Rechtsabteilung bei der Implementierung von eDiscovery-Workflows. Mit eDiscovery können Sie Fälle erstellen und mehrere Suchen ausführen, die einem Fall zugeordnet sind. Mit Advanced eDiscovery können Sie die Dateneignern identifizieren und mit ihnen kommunizieren, die für den Fall relevanten Daten aufbewahren, sie zu einem Prüfdateisatz hinzufügen, sie überprüfen und Analysen anwenden, um die Datenmenge auf das für den Fall relevante zu reduzieren. Sie können Dokumente markieren, kommentieren, bearbeiten/redigieren und anschließend den Arbeitssatz zu Präsentationszwecken exportieren.

In Information Protection lassen sich Vertraulichkeitsbezeichnungen konfigurieren und für Ihre Benutzer veröffentlichen. Inhalte, die mit Bezeichnungen versehen sind, können dann von DLP-Richtlinien für Aktionen, wie etwa Beschränkung der externen Freigabe, gezielt eingesetzt werden. Wir empfehlen, zunächst die Dokumentklassifizierungen innerhalb Ihres Unternehmens zu definieren und dann dieselbe Klassifizierung im Format von Vertraulichkeitsbezeichnungen anzuwenden, Ihre Benutzer zu schulen und die Verwendung von Bezeichnungen in der gesamten Microsoft-365-Suite zu fördern.

Insider Risk Management hilft Ihnen, risikobehaftete Aktivitäten im gesamten Unternehmen aufzudecken, damit Sie Insiderrisiken und -bedrohungen schnell erkennen, untersuchen und darauf reagieren können. Sie müssen die Warnungsindikatoren (Alert Indicators) konfigurieren und bestimmen, ob die vollständigen Benutzernamen in den Warnungen sichtbar oder ob sie anonymisiert werden sollen.

Die Records-Management-Funktionen helfen Ihnen, die Einhaltung von Vorschriften und Unternehmensrichtlinien nachzuweisen, die Kontrolle über den Lebenszyklus Ihrer Inhalte durch die Klassifizierung und Aufbewahrung geschäftskritischer Aufzeichnungen zu übernehmen und die Effizienz durch die regelmäßige von Aufzeichnungen, die nicht mehr aufbewahrt werden müssen, keinen Wert mehr haben oder nicht mehr für Geschäftszwecke benötigt werden, zu steigern.

Einstellungen

Die Einstellungen des Compliance Centers ermöglichen Ihnen die Integration von ServiceNow, sofern Sie es für Ihr Ticketingsystem verwenden, sowie die Konfiguration von Device onboarding/offboarding zu/von Microsoft Defender for Endpoint (MDE).

Sie können automatisierte Tests für die Verbesserungsmaßnahmen Ihres Compliance-Managers einrichten, die ebenfalls per Sicherheitsbewertung überwacht werden.

Schlussfolgerung

Microsoft 365 bietet eine Vielzahl von Compliance- und Sicherheitsfunktionen, die wir uns bereits angesehen haben. Die Suite enthält eine Vielzahl von eingebauten und vordefinierten Vorlagen und bietet Ihnen die Gestaltungsfreiheit, Ihre eigenen Regeln zu erstellen. Wenn Sie unsicher sind, wo Sie anfangen sollen, setzen Sie einfach auf unsere langjährige Erfahrung mit Microsoft 365. Sprechen Sie mit uns über Ihre Compliance-Bemühungen und Sie können sicher sein, dass Ihre Anforderungen termingerecht erfüllt werden.