SharePoint-Sharing in regulierten Umgebungen: Der Konfigurations-Leitfaden
Default-Sharing in SharePoint Online erlaubt Mitarbeitenden, jedes Dokument mit jeder externen Person zu teilen. Ohne Genehmigung, ohne Ablaufdatum, ohne Logging-Kontext. In regulierten Umgebungen ein systemisches Risiko, das mit Copilot zur akuten Bedrohung wird. Dieser Artikel zeigt die fünf Konfigurationsstufen für ein audit-prüfbares Sharing-Setup.
Warum Default-Sharing in regulierten Umgebungen ein Problem ist
In den meisten Tenants steht das SharePoint-Sharing auf "Anyone" oder "New and existing guests". Diese Defaults haben einen Grund: Microsoft optimiert für Collaboration und niedrige Reibung. Für Mittelstand-IT ohne regulatorischen Druck ist das vertretbar.
Für Banken, Versicherungen, KRITIS und andere regulierte Unternehmen ist es ein Problem. Erstens, weil jedes geteilte Dokument einen Compliance-Tatbestand schaffen kann (DSGVO, BDSG, branchenspezifische Aufsichten). Zweitens, weil Copilot aktiv durch Inhalte sucht und damit findet, was niemand mehr finden sollte: Gehaltslisten in alten Projektordnern, Vertragsentwürfe von 2019, Bewerbungsunterlagen, die nie gelöscht wurden.
Die Lösung ist nicht "Sharing abschalten". Die Lösung ist eine kontrollierte Sharing-Konfiguration, die externe Zusammenarbeit erlaubt, aber überwachbar und revisionsfähig macht.
Sharing-Default umstellen
Im SharePoint Admin Center unter Policies > Sharing finden Sie die Tenant-weiten Sharing-Einstellungen. Default ist "Anyone". Stellen Sie auf "New and existing guests" um. Damit werden anonyme Links unterbunden, aber externe Zusammenarbeit über Gast-Accounts bleibt möglich.
Setzen Sie zusätzlich den Default-Sharing-Link auf "Specific people". Damit wird beim Teilen nicht mehr automatisch ein Link generiert, der für jeden in der Empfänger-Domäne funktioniert, sondern nur für die explizit benannten Personen.
Aktion: Tenant-Sharing auf "New and existing guests" setzen, Default-Link auf "Specific people", Konfiguration im Tenant-Dokumentations-Register hinterlegen.
Anonyme Links eliminieren oder zeitlich begrenzen
Anonyme Links sind die häufigste Quelle ungewollter Datenabflüsse. Ein Mitarbeiter teilt ein Dokument "Anyone-Link" mit einem externen Partner, der Link landet später in einer Mail-Weiterleitung, in einem Slack-Channel oder in einer Phishing-Datenbank.
Wenn anonyme Links erlaubt bleiben müssen, beschränken Sie sie auf maximal 30 Tage Gültigkeit und auf Lese-Rechte. Schreibrechte über anonyme Links sollten in regulierten Umgebungen grundsätzlich deaktiviert werden.
Aktion: Anonyme Links deaktivieren oder auf 30 Tage Read-Only begrenzen, bestehende anonyme Links über Sharing Reports identifizieren und revidieren.
Domain-Whitelisting für externe Partner
Nicht jede externe Domain ist gleich vertrauenswürdig. Banken arbeiten mit definierten Wirtschaftsprüfern, Versicherungen mit Rückversicherern, KRITIS-Betreiber mit BSI-akkreditierten Auditoren. Die Liste der Geschäftspartner-Domains ist endlich.
Über die Domain-Allow-List lässt sich externes Sharing auf eine definierte Whitelist beschränken. Ergänzend kann eine Block-List bekannte freemail-Provider und High-Risk-Domains ausschließen. Für Branchen mit besonderen Anforderungen (Pharma, Defense) ist das Pflicht.
Aktion: Geschäftspartner-Domain-Liste mit Compliance abstimmen, in den SharePoint Sharing Settings hinterlegen, Review-Zyklus quartalsweise mit Compliance und Einkauf.
Quarterly Access Reviews etablieren
Selbst die beste Initial-Konfiguration veraltet, wenn Berechtigungen nicht regelmäßig geprüft werden. Externe Mitarbeiter wechseln den Arbeitgeber, Projekte enden, Beziehungen lösen sich. Die Berechtigungen bleiben.
Mit Microsoft Entra ID Access Reviews lassen sich Quarterly Reviews automatisieren. Site-Owner werden quartalsweise per Mail aufgefordert, die externen Mitglieder ihrer Sites zu bestätigen. Wer nicht bestätigt wird, verliert automatisch den Zugriff.
Aktion: Access Reviews für externe Site-Mitglieder konfigurieren, Quartals-Rhythmus aktivieren, Site-Owner schulen, Auto-Removal für nicht bestätigte Berechtigungen aktivieren.
DLP-Integration für sensible Inhalte
Conditional Access am Sharing-Vorgang verhindert die meisten ungewollten Datenabflüsse, aber nicht alle. Wenn ein Mitarbeiter ein vertrauliches Dokument bewusst nach extern teilt, hilft nur eine inhaltsbezogene Kontrolle: Data Loss Prevention.
DLP-Regeln in Microsoft Purview prüfen Inhalte auf sensible Pattern (Personalausweis, IBAN, Patientenidentifikatoren) und blockieren externes Sharing, wenn diese Pattern enthalten sind. In regulierten Umgebungen sollten mindestens drei DLP-Policies aktiv sein: für Personaldaten, Finanzdaten und branchenspezifische Identifikatoren.
Aktion: DLP-Policies für die drei Hauptkategorien aktivieren, im Audit-Mode für 4 Wochen testen, danach in den Block-Mode für externe Sharing-Vorgänge migrieren.
Faustregel: Sharing-Konfiguration ist eine Kombination aus Tenant-Setting, Berechtigungs-Hygiene und inhaltsbezogener Kontrolle. Wer nur das Tenant-Setting umstellt, hat 30 Prozent gemacht. Erst die Kombination ist audit-prüfbar.
Die fünf Stufen lassen sich in 4 bis 8 Wochen umsetzen. Der größte Aufwand liegt nicht in der Konfiguration, sondern in der Diskussion mit den Fachbereichen. Wer Sharing eng zieht, ohne mit Vertrieb, Marketing und Einkauf zu sprechen, bekommt Workarounds. Wer im Vorfeld erklärt, warum, bekommt Akzeptanz.
Microsoft 365 Governance Blueprint
Wir bauen mit Ihnen ein vollständiges Governance-Modell für SharePoint, Teams und OneDrive: Sharing-Policies, Berechtigungen, Access Reviews, DLP. Audit-prüfbar dokumentiert.
Zum Governance Blueprint