Wie Sensitivity Labels und Microsoft 365 Copilot zusammenarbeiten, um Datenlecks zu verhindern
Sensitivity Labels gibt es schon seit vielen Jahren, aber nicht jedem Microsoft Cloud Kunden sind die Möglichkeiten dieses mächtigen Tools bewusst. Insbesondere jetzt, wo Kunden mit KI-gestützten Services, wie z.B. mit Microsoft 365 Copilot ihre Daten verarbeiten, ist es umso wichtiger, die Daten besser zu schützen.
Was sind Sensitivity Labels?
Sensitivity Labels markieren ein Dokument mit einer Art Stempel. Der Stempel kann verschiedene Dinge für ein Dokument definieren. Die vermutlich wichtigste Funktion eines Labels ist die Festlegung des sensiblen Inhalts und den damit einhergehenden Zugriff auf ein Dokument. Darf der Inhalt von einer breiten Öffentlichkeit gelesen werden oder ist der Inhalt nur für interne Mitarbeitende gedacht? Oder ist es sogar so sensibel, dass ausschließlich die Geschäftsführung darauf Zugriff haben darf? Es können aber noch weitere Dinge mit dem Stempel bzw. dem Label definiert werden wie z.B. die Verschlüsselung, Zugriffsmöglichkeiten (bspw. Dauer eines Dokumentenzugriffs) oder weitere Einstellungen (darf das Dokument bspw. ausgedruckt werden?).
Das Besondere an den Labels: Der Schutz wirkt unabhängig davon, wo sich die Datei befindet, da der Schutz in den Metadaten der Datei festgehalten wird.
Neben Dokumenten können Labels auch auf verschiedene andere Items und Container angewendet werden (Office-Dateien, PDFs, E-Mails, Meetings, Microsoft 365-Gruppen oder sogar Assets in relationalen Datenbanken wie AWS RDS):
Sensitivity Label können also auf verschiedenste Arten dabei helfen, Ihre Daten zu schützen und den Zugriff darauf zu kontrollieren.
Wie hängen Sensitivity Label und Microsoft Copilot zusammen?
Stellen Sie sich folgendes Szenario vor:
Sie verfügen über eine Microsoft 365 Copilot Lizenz und möchten sich als Projektleiter mit wenigen Prompts eine Projektübersicht erstellen. Sie als Projektleiter sind selbstverständlich auf den gesamten Projektordner (inkl. Budgetplanung) in der Cloud berechtigt und entsprechend ist Copilot in der Lage, alle Projektdaten zu verarbeiten (Hinweis: Microsoft Copilot verwertet immer nur die Daten, auf die ein User Zugriff hat, siehe hier). Die nun von Copilot erzeugte Zusammenfassung enthält möglicherweise vertrauliche Informationen zu Budgets, strategischen Prioritäten oder Partnern. Möglicherweise überfliegen Sie die Übersicht nur und sind sich nicht im Klaren darüber, welche Daten Copilot im Detail verarbeitet hat. Sie teilen die Informationen mit Teammitgliedern und haben nun ungewollt vertrauliche Informationen geteilt, mit möglicherweise geschäftsschädigenden Folgen.
Wären Sensitivity Label konfiguriert gewesen, hätte dieses Datenleck verhindert werden können.
Sobald Copilot in der Ausgabe ein Dokument verarbeitet und referenziert, welches mit einem Sensitivity Label markiert ist, kann es automatisch das am höchsten priorisierte Label anwenden und nur User mit entsprechender Berechtigung auf das Label hätten auch Zugriff auf das Dokument. Das folgende Video von Microsoft zeigt, wie sich das Label automatisch ändert.
Welche Lizenz benötige ich?
Unabhängig von den KI-Lizenzen wie bspw. Microsoft 365 Copilot, die für die KI-Fähigkeiten benötigt werden, gibt es verschiedene Lizensierungsmöglichkeiten, um Sensitivity Labels zu nutzen.
Dokumente können entweder manuell oder automatisch gelabelt werden. Für ersteres benötigen Sie eine der folgenden Lizenzen:
- Microsoft 365: E5, A5, G5, E3, A3, G3, F1, F3, Business Premium, und OneDrive for Business (Plan 2)
- Enterprise Mobility + Security: E3, E5
- Office 365: E5, A5, E3, A3
- Azure Information Protection (AIP): Plan 1, Plan 2
Für die automatische Erstellung von Labels, ist für den User eine Azure Information Protection (AIP) P2 Lizenz notwendig. Diese ist in folgenden Lizenzen mit enthalten:
- Enterprise Mobility + Security: E5, A5, G5
- Microsoft 365: E5, A5, G5
- Microsoft 365 Compliance: E5, A5, G5, F5
- Microsoft 365 Security & Compliance: F5
- Microsoft 365 Information Protection and Governance: E5, F5, G5
So können die Möglichkeiten, Daten mit Sensitivity Labels zu schützen, je nach Microsoft 365-Lizenz, unterschiedlich ausfallen.
Microsoft selbst empfiehlt für einen sicheren Umgang mit Microsoft 365 Copilot eine Microsoft 365 E3-Lizenz. Neben den hier beschriebenen Sensitivity Labels können damit zusätzliche Data Loss Prevention Richtlinien umgesetzt werden, die verschiedene trainierbare Sensitive Information Types (SITs) identifizieren können. Zusätzlich bietet die E3-Lizenz weitere Schutzmaßnahmen, um Ihre Cloud-Umgebung besser zu schützen, wie bspw. Conditional Access Regeln oder eine sichere Endgeräte-Verwaltung.
Aber auch kleine Unternehmen können mit einer Business Premium Lizenz bereits effektive Maßnahmen treffen. Gerne beraten wir Sie bei der Auswahl der richtigen Lizenz, beim Ausrollen von Microsoft 365 Copilot und zugehöriger Datensicherheitsmaßnahmen wie den hier beschriebenen Sensitivity Labels.