Microsoft Purview · Compliance

Warum E5-Lizenzen ohne Purview-Strategie Geldverschwendung sind

Von · · 8 Min. Lesezeit

Microsoft 365 E5 ist die teuerste Lizenz im Microsoft-Universum – und in den meisten Tenants die am schlechtesten genutzte. Wer E5 kauft, um „sicher zu sein“, aber Purview nicht konfiguriert, zahlt jeden Monat für Funktionen, die niemand einschaltet. Dieser Artikel zeigt, warum das passiert, was es konkret kostet und wie eine Purview-Strategie aussieht, die den Aufpreis rechtfertigt.

Das 30-Euro-Problem, über das niemand spricht

Der Aufpreis von Microsoft 365 E3 auf E5 liegt – je nach Vertrag und CSP – bei rund 30 Euro pro Nutzer und Monat. In einem Unternehmen mit 500 Mitarbeitenden sind das 180.000 Euro pro Jahr. Für ein reguliertes Unternehmen mit 2.500 Nutzern schnell eine Million Euro jährlich.

Die Rechnung geht nur dann auf, wenn die E5-exklusiven Funktionen tatsächlich genutzt werden. Und das bedeutet in der Praxis vor allem eines: Microsoft Purview – Information Protection, DLP, Insider Risk Management, Records Management und Advanced Audit.

< 20 % der E5-Kunden nutzen Purview produktiv – in unseren Tenant-Reviews ein wiederkehrendes Bild

Warum E5 ohne Purview nichts bringt

Der Denkfehler beginnt oft im Einkauf: E5 wird als „Sicherheitspaket“ gekauft, als wäre Compliance ein Produkt, das man aktiviert. Ist sie aber nicht. Purview ist keine Funktion, die man einschaltet – es ist ein Framework, das konfiguriert, gepflegt und in Prozesse eingebettet werden muss.

1. Sensitivity Labels ohne Datenklassifizierung

Ohne vorherige Datenklassifizierung sind Labels reine Dekoration. Wer nicht weiß, welche Daten im Tenant liegen, kann sie auch nicht sinnvoll labeln – weder manuell noch automatisch. Das Ergebnis: Labels werden definiert, aber nicht angewendet.

2. DLP-Policies im Audit-Modus – für immer

Viele Unternehmen aktivieren DLP-Richtlinien testweise, fangen zu viele False Positives ab und belassen alles auf „Audit“. Eine DLP-Policy, die niemand durchsetzt, verhindert keinen einzigen Datenabfluss. Sie produziert nur Reports, die niemand liest.

3. Insider Risk Management ohne HR-Integration

Insider Risk Management ist eines der mächtigsten Features in E5. Es funktioniert aber nur, wenn es mit HR-Daten verknüpft ist und klare Eskalationswege existieren. Ohne Prozess bleibt es ein Dashboard ohne Konsequenz.

4. Advanced Audit – aktiviert, aber nicht ausgewertet

Die 1-Jahres-Retention des Unified Audit Log ist für regulierte Unternehmen ein echter Vorteil. Nur: Wenn die Logs nicht an Sentinel oder ein SIEM angebunden werden, sind sie im Ernstfall nicht auffindbar. Bezahlt, aber nicht nutzbar.

Kurz gesagt: E5 liefert die Werkzeugkiste. Purview ist das Handwerk. Ohne das Handwerk ist die Werkzeugkiste nur ein teures Regal.

Was Copilot mit dem Problem zu tun hat

Spätestens mit der Einführung von Microsoft 365 Copilot wird der Unterschied zwischen „E5 gekauft“ und „E5 konfiguriert“ geschäftskritisch. Copilot durchsucht alles, worauf ein Nutzer Zugriff hat – SharePoint, OneDrive, Teams, E-Mails. Wenn Berechtigungen überall „Alle außer externe Benutzer“ stehen und Sensitivity Labels fehlen, macht Copilot Daten sichtbar, die bisher nur theoretisch erreichbar waren.

Purview ist die einzige Schicht, die das kontrolliert. Ohne konfigurierte Labels, DLP und Oversharing-Kontrollen ist ein Copilot-Rollout in regulierten Umgebungen ein unkalkulierbares Risiko – unabhängig davon, wie viele E5-Lizenzen gekauft wurden.

Eine Purview-Strategie, die funktioniert

Nach mehreren Purview-Projekten in KRITIS-, Pharma- und Finanzumgebungen hat sich bei uns ein Vorgehen bewährt, das Purview nicht als Produkt, sondern als schrittweises Programm behandelt:

  • Phase 0 – Aufräumen: SharePoint-Berechtigungen bereinigen, Oversharing reduzieren, externe Zugriffe inventarisieren. Ohne diesen Schritt verstärkt Purview nur das bestehende Chaos.
  • Phase 1 – Klassifizierung: Maximal 4 Sensitivity Labels definieren (Öffentlich, Intern, Vertraulich, Streng vertraulich). Weniger ist mehr.
  • Phase 2 – Pilot: Labels in einem klar abgegrenzten Bereich einführen (z. B. HR oder Legal) – inkl. Schulung und Feedback-Schleife.
  • Phase 3 – DLP im Stufenmodell: Audit → Warn → Block. Niemals direkt blocken.
  • Phase 4 – Automatisierung: Auto-Labeling auf Basis von trainierten Klassifikatoren, sobald die Datenlandschaft verstanden ist.
  • Phase 5 – Betrieb: Monatliche Reviews, Policy-Tuning, Integration mit Sentinel und HR.

Dieses Vorgehen dauert je nach Größe drei bis neun Monate. Aber am Ende steht eine E5-Lizenz, die tatsächlich das tut, wofür sie bezahlt wird – und ein Tenant, der Audit-fest, Copilot-ready und regulatorisch belastbar ist.

Die ehrliche Frage an den Einkauf

Bevor Sie die nächste E5-Rechnung freigeben, beantworten Sie bitte drei Fragen:

  • Wie viele Sensitivity Labels sind in Ihrem Tenant aktiv – und wie viele Dokumente tragen tatsächlich eines?
  • Wie viele DLP-Richtlinien sind im Enforce-Modus – und wann wurden sie zuletzt getunt?
  • Wann wurde Ihr Unified Audit Log das letzte Mal für eine Sicherheits-Untersuchung ausgewertet?

Wenn die Antwort auf zwei dieser Fragen „weiß ich nicht“ oder „gar nicht“ lautet, verbrennen Sie gerade Geld. Die gute Nachricht: Es lässt sich innerhalb weniger Wochen ändern.

M365 Compliance Quick Check

In 3–5 Tagen zeigen wir Ihnen, welche E5-Funktionen in Ihrem Tenant wirklich aktiv sind – und wo Sie gerade Geld liegen lassen. Festpreis ab 2.900 €.

Quick Check anfragen

Häufige Fragen zu Microsoft 365 E5 und Purview

Lohnt sich E5 überhaupt für mittelständische Unternehmen?

Ja – aber nur, wenn mindestens zwei der E5-Kernbereiche (Purview, Defender, Advanced Audit) aktiv genutzt werden. Andernfalls ist E3 + gezielte Add-ons meist günstiger.

Kann man Purview auch mit E3 nutzen?

Teilweise. Grundlegende DLP- und Labeling-Funktionen sind in E3 enthalten. Auto-Labeling, Insider Risk Management, Records Management und Advanced Audit setzen jedoch E5 oder das Compliance-Add-on voraus.

Wie lange dauert die Einführung von Purview realistisch?

Eine belastbare Erst-Konfiguration mit 4 Labels, DLP im Audit-Modus und Basis-Retention ist in 6–8 Wochen möglich. Vollständige Automatisierung und Insider Risk Management brauchen deutlich länger – meist 6–12 Monate.

Ist Purview Voraussetzung für Microsoft 365 Copilot?

Technisch nicht, praktisch ja. In regulierten Umgebungen ist ein Copilot-Rollout ohne konfigurierte Sensitivity Labels, bereinigte SharePoint-Berechtigungen und DLP-Kontrollen ein erhebliches Datenschutz-Risiko.