Microsoft Information Protection (MIP) aka Unified Labeling
Microsoft Information Protection ist der Nachfolger vom Azure Information Protection als Framework und aktuell noch nicht als einziges Produkt. Es verbindet verschiedene Security/Compliance zu einem einheitlichen System von
- Labeling
- Klassifizierung
- Verschlüsselung
- Retention
- Data Loss Prevention
- Intune (MDM, MAM)
sensitive an der Datei.
Die ersten Umsetzungen von Unified Labeling mit MIP ist heute schon zu sehen.
Präsentation von Raphael Köllner (digitallawyer) und Clemens von Blücher (Dräger). Diese Präsentation ermöglicht es euch alles zur Datensicherheit inklusive Unified Labeling aus der Praxis zu erfahren. LINK
Unified Labeling/ Sensitivity Labeling
Unified Labeling im Rahmen von MIP ist bereits heute einsetzbar. Entweder beginnt man direkt im Security und Compliance Center von Microsoft 365 oder man muss zunächst von Azure Information Protection hin zu Unified Labeling migrieren. In den nächsten Monaten wird die Funktionslücke von Unified Labeling zu Azure Information Protection geschlossen.
Auf der Ignite 2019 wurden entscheidende Erweiterungen von Unified Labeling gezeigt, so ist es mit Unified Labeling möglich in mobilen Office Apps inkl. Outlook Dateien zu schützen, zu klassifizieren, zu bearbeiten, zu sehen und zu teilen. Dies gilt seit November 2019 auch für E-Mails, unter der Nutzung von Unified Labeling und der aktuellesten Outlook App Version für iOS und Android.
Es lohnt sich die Labels sowohl mit Verschlüsselung und Klassifizierung, als auch mit Retention Policies zu belegen. Ein sinnvoller Einsatz darüber hinaus unter Nutzung von Data Loss Prevention (DLP) Regeln ist sinnvoll, auch, wenn hier die Erstellung eigener Mechanismen mehr als sinnvoll erscheint, um, sensible Daten wie Sozialdaten automatisiert zu schützen. Der automatische Schutz über DLP und den Unified Labeling Scanner für OnPremieses Daten (Filestorage/NAS, SharePoint Farm) ist ein Haupttheme auf der Ignite 2019 gewesen, so dass automatische Klassifizierung/Labeling mit AI eines der neuen Werkzeuge sein wird. Es hat das Ziel die Fehler in der manuellen Nutzung, wie auch die Schwächen der aktuellen Automatisierung auszubessern.
Neben Dateien können in Zukunft auch Groups, Microsoft Teams, SharePoint Online Sites/Collections und die Dateien in diesen automatisiert geschützt, klassifiziert und gelabelt werden. Dies wurde auf der Ignite 2019 angekündigt und seit November 2019 läuft die Public Preview hierfür.
Unified Labeling Client
Der Unified Labeling Client ermöglicht es Dateien zu verschlüsseln, zu labeln und zu klassifizieren, sowie auch mit diesen Datein zu arbeiten. In Zukunft werden diese Funktionalitäten in die Office Programme wie Word eingearbeitet, so dass ein Client überflüssig wird. Dann wird es nur den Unified Labeling Scanner geben, heute wird der Client jedoch benötigt.
Aktuelle Version: 1.153.10.0
Office Apps auf iOS und Android
Seit November können Dateien auf mobilen Geräten von iOS und Android in Verbindung mit den aktuellen Versionen der Office Apps inkl. Outlook und Unified Labeling Dateien labeln, klassifizieren, verschlüsseln, bearbeiten und natürlich ansehen.
AIP mobile Client
Microsoft Unified Labeling und die Diskussion um HYOK und BYOK
Es gibt und wird auch in Zukunft immer wieder die Diskussion geben, ob man als Unternehmen eigene Schlüssel zur Verschlüsselung einbringt und wie. Dazu gehören die Thematiken von Hold-Your-Own-Key (HYOK) bis Bring-your-own-key und dem Microsoft default Key. Die meisten Enterprise Unternehmen haben sich nach längerer Diskussion in den verschiedensten internen Gremien im Endeffekt für den default Schlüssel von Microsoft entschieden und höchstens BYOK gemacht und ihren eigenen Schlüssel in ein Azure Key Vault gegeben. Microsoft selber nutzen ihr eigenes Schlüsselsystem und lediglich für high confidential BYOK.
Microsoft Unified Labeling/ Sensitivity Labeling und der Datenschutz
Für eine Werkzeug, welches für die Sicherheit der IP und sensibler Daten im Unternehmen dienen soll, ist es wichtig, dass auch dieses datenschutzrechtlich einwandfrei ist. Hierbei ist festzustellen, dass dieses Werkzeug aus verschiedenen Funktionen besteht, die zu den Kerntools in den Microsoft Online Service Terms (OSTs) gehören und auch SOC 2, sowie zur Klasse D gehören. Letzteres ist die zwei höchste Schutzklasse innerhalb der Microsoft Werkzeuge in Richtung Verträge und Zertifikate. Eingeschlossen sind auch die Apps und angehängten Werkzeuge.
Unified Labelung/ Sensitivity Labeling und der Betriebsrat
Um dieses Werkzeug einsetzen zu können, ist die Genehmigung des Betriebsrates einzuholen. In der Regel wird ein Anhang an eine BV verfasst oder zumindestes der Betriebsrat ausführlich informiert.
Microsoft Ignite 2019 Neuigkeiten
Auf der Microsoft Ignite 2019 sind sehr viele Neuerungen angekündigt worden. Einen kleinen Überblick findet ihr in dem folgenden Artikel (LINK).
Aktuelle Blogbeiträge und Wissensdatenbank
Im Jahr 2020 habe ich zu dem Thema eine eigene Wissensdatenbank aufgebaut und angefangen noch intensiver über das Thema zu schreiben.
Wissensdatenbank (Im Aufbau): https://www.rakoellner.de/knowledge-base/