Sensitivity Labels in Microsoft 365: 4 Stufen statt 14 für die Praxis
Sensitivity Labels sind eines der mächtigsten Werkzeuge in Microsoft Purview. Und eines der am häufigsten überdesignten. Häufig sehen wir Konzepte mit 14 Labels, drei Hierarchie-Ebenen und zweistelligen Auto-Labeling-Regeln. Adoption nach 3 Monaten: 4 Prozent. Dieser Artikel zeigt das 4-Stufen-Modell, das in der Praxis funktioniert.
Warum komplexe Label-Konzepte scheitern
Mitarbeiter sollen Inhalte beim Erstellen klassifizieren. Damit das funktioniert, muss die Klassifikation in 5 Sekunden entscheidbar sein, ohne Schulungs-Material zu konsultieren. Bei 14 Labels mit drei Hierarchie-Ebenen ist das unmöglich.
Das übliche Ergebnis: User wählen das Default-Label, weil das die einfachste Option ist. Wenn das Default "Intern" ist, sind alle Inhalte "Intern", auch die vertraulichen. Wenn das Default "Öffentlich" ist, fließen sensible Daten unklassifiziert nach extern.
Vier Stufen sind das Maximum, das Mitarbeiter zuverlässig in der Praxis anwenden. Mehr ist Theorie. Diese Erkenntnis ist branchenübergreifend, von Mittelstand bis KRITIS. Was branchenspezifisch differenziert wird, sind die DLP-Regeln dahinter, nicht die Label-Anzahl.
Label "Öffentlich"
Inhalte für externe Veröffentlichung: Pressetexte, Marketing-Material, öffentliche Präsentationen, Webseiten-Inhalte, Stellenausschreibungen. Keine technischen Restriktionen, kein Wasserzeichen, keine Verschlüsselung.
Wichtig: "Öffentlich" wird nicht als Default verwendet. Default ist immer "Intern". Wer einen Inhalt als "Öffentlich" labelt, trifft eine bewusste Entscheidung. In der Praxis betrifft das pro Mitarbeiter wenige Dokumente pro Jahr.
Aktion: Label "Öffentlich" anlegen, ohne technische Restriktionen, im Schulungs-Material klar als "bewusste Entscheidung" beschreiben.
Label "Intern" als Default
Standardlabel für alle nicht-öffentlichen Inhalte. Externes Teilen blockiert oder mit Warnung verbunden. Keine Verschlüsselung, weil das den Workflow für interne Zusammenarbeit zu sehr stört.
Etwa 80 bis 90 Prozent aller Inhalte in einem Unternehmen fallen unter "Intern". Genau deswegen ist es das Default. User müssen nichts tun, das richtige Label ist bereits gesetzt. Erst wenn ein Inhalt höher (vertraulich) oder niedriger (öffentlich) klassifiziert werden muss, ist eine Aktion erforderlich.
Aktion: Label "Intern" als Default für alle neuen Inhalte konfigurieren, externes Teilen mit User-Warnung versehen, Konfiguration in Tenant-Doku festhalten.
Label "Vertraulich"
Geschäftskritische Daten mit eingeschränktem Empfängerkreis: Verträge, Personalakten, Kundendaten, Finanz-Reports vor Veröffentlichung, Strategie-Dokumente unterhalb der Geschäftsführungs-Ebene. Verschlüsselung wird durchgesetzt, Wasserzeichen sichtbar.
DLP-Regeln greifen aktiv. Externes Teilen wird blockiert oder mit Override-Begründung erlaubt. Mail-Weiterleitung an externe Empfänger blockiert. Druck mit Wasserzeichen.
Pro Branche werden DLP-Pattern angepasst: bei Banken zusätzlich auf IBAN und BIC, bei Versicherungen auf Versicherungsnummern, bei Pharma auf Studien-Identifikatoren, bei Krankenhäusern auf Patientenidentifikatoren.
Aktion: Label "Vertraulich" mit Verschlüsselung und Wasserzeichen aktivieren, DLP-Pattern branchenspezifisch konfigurieren, Override-Reports im SOC-Workflow eingerichtet.
Label "Streng vertraulich"
Höchste Stufe: M&A-Dokumente, Vorstandsprotokolle, Geschäftsführungs-Strategiedokumente, juristische Korrespondenz mit externen Anwälten. Nur namentlich definierte Empfänger, kein Druck, kein Kopieren, kein Forward.
Implementierung über Microsoft Purview Information Protection mit Rights Management Service. Die Entschlüsselung ist an die Identität gebunden, nicht an das Dokument. Selbst wenn das Dokument exportiert wird, bleibt es ohne berechtigte Identität nicht lesbar.
Aktion: Label "Streng vertraulich" mit personenbezogenen Schutzrechten aktivieren, namentliche Empfänger-Listen pflegen, Schutz auch bei Export erhalten.
Bestehende Daten nachlabeln
Ein Label-Konzept gilt nicht nur für neue Dokumente. Microsoft Purview Auto-Labeling scannt SharePoint, OneDrive und Exchange auf Pattern und vergibt Labels automatisch. Pattern-basierte Klassifikation für Vertraulich (z.B. enthält IBAN), Stichwort-Listen für Streng vertraulich (z.B. Projektnamen für M&A-Vorhaben).
Auto-Labeling läuft initial im Simulations-Modus. Die Treffer werden geprüft, False Positives werden über Pattern-Tuning reduziert. Erst nach 4 Wochen Tuning wird Auto-Labeling produktiv geschaltet.
Aktion: Auto-Labeling-Regeln pro Label definieren, im Simulations-Modus starten, nach 4 Wochen Tuning produktiv schalten, Trefferquoten quartalsweise reviewen.
Einführung in 8 Wochen
Woche 1 bis 2: Label-Definition und Tenant-Konfiguration. Woche 3 bis 4: Pilot mit 30 bis 50 Personen aus drei Abteilungen. Woche 5 bis 6: Rollout auf gesamten Tenant, parallel Auto-Labeling im Simulations-Modus. Woche 7 bis 8: Auto-Labeling produktiv, DLP-Regeln vom Audit- in den Block-Mode.
Schulung pro User dauert 30 Minuten. Mehr verträgt das Konzept nicht. Wer eine 90-Minuten-Schulung für ein 4-Label-Modell braucht, hat das Konzept zu kompliziert gemacht.
Aktion: Rollout-Plan in 8-Wochen-Phasen, Pilot vor Tenant-Wide, 30-Minuten-Schulung pro User, Adoptions-KPIs nach 4 und 8 Wochen messen.
Faustregel: Vier Labels sind das Maximum, das User in der Praxis konsistent anwenden. Die Differenzierung passiert nicht über mehr Labels, sondern über mehr DLP-Regeln hinter den Labels.
Die 4-Stufen-Klassifikation funktioniert in Mittelstand, KRITIS, Banken und Versicherungen gleichermaßen. Was sich unterscheidet, sind die DLP-Regeln, die unter dem Label "Vertraulich" konfiguriert sind. Banken haben dort IBAN-Pattern, Pharma hat dort Studien-Identifikatoren. Aber das User-Erlebnis bleibt gleich: vier Labels, in 5 Sekunden entscheidbar.
Purview Potenzial Analyse
In 5 Tagen bekommen Sie eine vollständige Bewertung Ihrer Information-Protection-Strategie: Sensitivity Labels, DLP, Auto-Labeling, Rights Management. Plus: Rollout-Plan in 8-Wochen-Phasen.
Zur Purview Analyse