In Verbindung mit der Datenschutz Grundverordnung haben sich viele Unternehmen Gedanken darüber gemacht, wie man Dokumente und Firmeninformationen schützen kann. Viele wertvolle Diskussionen konnte ich zu diesem Thema führen, und nicht nur Kunden konnten viel hierzu mitnehmen, sondern auch ich selbst. Dokumenten Labeling ist technisch recht schnell aufgesetzt, sollte aber in der Planung, Ausführung und Handhabung so simpel wie möglich sein.

Azure Information Protection (AIP) von Microsoft ist in Sachen Dokumenten-Klassifizierung das Schlagwort. Ein mächtiges Werkzeug, dass es einem erlaubt, verschiedene Rights-Management-Klassen zu erstellen und an die User auszurollen. Um es kurz auf den Punkt zu bringen, was AIP tut:

  • Verschlüsselung der Dateien
  • Steuern von Zugriffsberechtigungen
  • nachträgliches Entziehen von Berechtigungen
  • Kontrolle über Veränderungen an der Datei
  • u.v.m.

Klingt aufwendig und kompliziert? Das habe ich schon oft gehört. Wenn ich erzähle, dass man genau steuern kann, wer auf welche Datei zugreifen kann, baut sich im Kopf oft ein komplexes Gebilde von Hierarchien und Berechtigungsstrukturen auf. Mein Tipp an dieser Stelle: Halte es so einfach wie möglich. Warum?

Je umfangreicher man seine Compliance-Strategie schnürt, desto schwieriger und fehleranfälliger ist es für die Endanwender.

Dokumenten Labeling für den Endanwender

Azure Information Protection ist nicht nur ein Backend-Tool, welches der IT-Compliance-Admin nutzt und so Zugriffsberechtigungen steuert. Vor allem der Mitarbeiter hat hier ein Werkzeug an der Hand, um Daten zielgerichtet zu schützen. Der folgende Screenshot zeigt das Plugin, welches in der Office Suite zu finden und eine Auswahl der definierten Label zur Verfügung stellt.

Office Plugin für Azure Information Protection

Und hier zeigt sich schon, dass einfach einfach einfach sein sollte. Je mehr Label es gibt, desto unklarer wird dem User, was er wann nutzen sollte. Und wenn man dann als Unternehmen mal so durch die Abteilungen geht, stellt sich meist heraus: so umfangreich muss das Thema auch gar nicht sein. Hier vielleicht ein erster Ansatz:

  • Sollte es dem Mitarbeiter gestattet sein, auf seinem Firmen PC und in seinem OneDrive persönliche Dateien abzulegen, dann könnte es ein Label Privat geben.
  • Wenn es sich um Dateien handelt, die für die Öffentlichkeit gedacht sind (Flyer, Prospekte u.s.w.), ganz klar, dass diese ein Label Public erhalten.
  • Wirklich vertrauliche Dateien tauchen auch nicht selten auf. Deshalb sollte jedem Mitarbeiter auch ein solches Label zur Verfügung stehen. Generiert man das Label Vertraulich, kann man auch gleich definieren, dass automatisch entsprechende Wasserzeichen in das Dokument eingefügt werden. Das macht einen äußerst professionellen Eindruck.
  • Ob man ein Label Standard definiert, bleibt dir überlassen. Das könnten auch Dokumente sein, die kein Label bekommen.

Mit diesen drei oder vier Klassifizierungen sollte man in der Regel die absolute Mehrheit der Dokumente abgedeckt haben. Nichts desto trotz sollte es Überlegungen geben, ob nicht bestimmte Abteilungen in der Firma besondere Label erhalten – zum Beispiel die Geschäftsführung oder die Personalabteilung. Hier könnte man sich überlegen, ob es besondere Vertraulichkeitsstufen mit im Vorfeld festgelegtem Personenkreis mit Zugriffsrechten gibt.

Mit drei oder vier einfach gestalteten Klassifizierungslabel deckt man einen überwiegenden Anteil der Dokumente im Unternehmen ab.

Automatisierte User-Unterstützung

Möchte man dem Mitarbeiter zusätzlich noch Hilfe an die Hand geben, um das „perfekte Label“ für ein Dokument zu finden, bietet Azure Information Protection im Plan 2 ein weiteres Feature an. Auf Basis der konfigurierten Labeling-Policies erkennt AIP in einem Dokumente automatisch bestimmte Datentypen. Das könnten Finanzinformationen (Kreditkarten, IBAN-Nummern u.s.w.), personenbezogene Daten oder medizinische Informationen sein. Man kann auch komplett eigene Kriterien erstellen. Werden solche Informationen von der KI hinter Azure Information Protection erkannt, gibt es zwei Reaktionen vom System:

  1. Dem User wird empfohlen, ein bestimmtes Label zu verwenden.
  2. Das Label wird automatisch auf das Dokument gelegt, ohne das der Mitarbeiter die Möglichkeit hat, dieses zu ändern.

Wie stringent man das System aufsetzt, hängt sicherlich von der Brisanz der Information ab, die man schützen möchte. Prinzipiell sind hier keine Grenzen gesetzt.

Fazit

Der Schutz von Unternehmensdaten ist wichtig. Nur darf das System nicht so aufgebläht sein, dass es den User verwirrt. Denn dann nutzt er es nicht, und das einführte System ist komplett sinnfrei. Deswegen:

  • Dem Gros der Mitarbeiter drei bis vier einfach zu verstehende Klassifizierungen an die Hand geben.
  • Für bestimmte Abteilungen vielleicht zusätzliche Vertraulichkeitsstufen erstellen.
  • Mit AIP Plan 2 gibt es zusätzliche Hilfestellung in Sachen Klassifizierung, indem Inhalte automatisch erkannt und Vorschläge für ein bestimmtes Label gemacht werden.
  • Unbedingt entsprechende Schulung vornehmen. Nicht nur, was die Bedienung von AIP angeht, sondern auch zur Sensibilisierung des Themas Datenschutz und Compliance.

Und dann macht Datenschutz auch vielleicht ein bisschen Spaß.