Verschlüsselung von Dokumenten in MS Teams, Teil 2: Vertraulichkeitsbezeichnungen

Sensible Dateien in Teams müssen verschlüsselt werden

Mit Vertraulichkeitsbezeichnungen werden Office-Dateien nach ihrem Schutzstatus gekennzeichnet und verschlüsselt

Wie wir im ersten Teil unserer Mini-Verschlüsselungsserie erläutert haben, enthalten über 25 % der in der Cloud gespeicherten und ausgetauschten Dokumente sensible Daten. Um zu verhindern, dass Ihre vertraulichen Dateien in Teams versehentlich zerstört werden oder unbefugte Mitarbeiter darauf zugreifen, wird häufig Verschlüsselung eingesetzt. Im ersten Teil haben wir uns bereits mit den verschiedenen Typen der Verschlüsselung befasst. In diesem Teil nehmen wir eine weitere Möglichkeit der Verschlüsselung unter die Lupe – die Vertraulichkeitsbezeichnungen.

Vertraulichkeitsbezeichnungen

Jedes Microsoft Office-Dokument, z. B. ein Word-Dokument oder eine Excel-Tabelle, kann manuell verschlüsselt werden. Dazu gibt es in Microsoft Word oder Microsoft Excel die Option „Verschlüsseln mit Passwort“, welche im Datei-Menü zu finden ist. Darüberhinaus bietet Microsoft 365 die Möglichkeit an, Dokumente in den verschiedenen Anwendungen manuell oder automatisch verschlüsseln zu lassen. Dazu werden sogenannte Vertraulichkeitsbezeichnungen verwendet.

Mit Vertraulichkeitsbezeichnungen (manuelle ab der Office 365-Lizenz E3 oder automstische ab E5) werden Office-Dateien nach ihrem Schutzstatus gekennzeichnet und verschlüsselt. Sie können durch den Globalen Administrator, Sicherheits-Administrator, Compliance-Administrator oder dem Compliance-Daten-Administrator verwaltet werden. Alternativ kann die Rolle „Administrator für Vertraulichkeitsbezeichnungen“ einem Anwender zugewiesen werden. Diese Anwender können im Compliance Admin Center neue Vertraulichkeitsbezeichnungen erstellen und bestimmen, dass diese für Dateien und E-Mails angewendet werden sollen. Dazu können unter anderem Berechtigungen und eine automatische Zuordnung der Bezeichnung definiert, die Erlaubnis eines Offlinezugriffs angegeben oder eine Doppelverschlüsselung angewendet werden.

Ferner können Bedingungen definiert werden, um beispielsweise die Bezeichnung auf alle Dateien anzuwenden, welche eine Reisepassnummer oder eine Personalausweisnummer enthalten. Microsoft stellt für eine Vielzahl solcher Kennzeichen Templates zur Verfügung, die definieren, wie solche Kennzeichen erkannt werden können. Nachdem eine Vertraulichkeitsbezeichnung erstellt wurde, muss diese über eine Bezeichnungsrichtlinie veröffentlicht werden.
Vertraulichkeitsbezeichnungen

Nutzung der Vertraulichkeits bezeichnungen

Neue in Microsoft Teams erstellte Microsoft Office Dokumente zeigen dem Anwender in der Aktionsgruppe „Vertraulichkeit“ die verfügbaren Vertraulichkeitsbezeichnungen an. Ist die Bezeichnung dem Dokument zugewiesen, erfolgt die Verschlüsselung beim Speichern. Dadurch kann der Speicherprozess jedoch zeitlich verzögert werden.

Eine weitere Anwendungsmöglichkeit besteht darin, das Dokument über den lokal installierbaren Microsoft Azure Information Protection Client für einheitliche Bezeichnungen zu öffnen, anstatt in einem lokalen Office 365-Client. Dieser Client muss manuell installiert werden und ist über die Microsoft-Download-Seite.

PDF-Dateien lassen sich ebenso schützen. Sie werden zwar standardmäßig nicht über eine Bezeichnung verschlüsselt,jedoch kann der Anwender lokale PDF-Dateien über die Option „Klassifizieren und schützen“ zuweisen. Wird nun versucht diese PDF-Datei in einem Nicht-Microsoft-Browser zu öffnen, erscheint eine Anzeige, dass die Datei geschützt ist und der Anwender sie nur über ein paar Anwendungen öffnen kann. Falls die PDF-Datei jedoch in einem Microsoft Edge-Browser geöffnet wird, erscheint sofort ein Hinweis, über den sich der Anwender anmelden kann. Nach erfolgreicher Anmeldung ist die PDF-Datei über den Microsoft Edge-Browser einsehbar.

Ebenfalls kann die PDF-Datei auch über den lokalen Microsoft Azure Information Protection Viewer geöffnet werden. Dieser Viewer wird mit Microsoft Azure Information Protection Client für einheitliche Bezeichnungen installiert. Nachdem die PDF-Datei lokal erstellt und verschlüsselt wurde, kann die Datei natürlich in den Teams-Kanal hochgeladen werden. Nun kann die PDF-Datei durch Anklicken des Dateinamens geöffnet werden.

Für die Nutzung von Vertraulichkeitsbezeichnungen für Grafik- oder auch XML-Dateien gibt es eine Besonderheit. Wenn diese Dateien durch den Unified Label Client mit einer Bezeichnung versehen werden, wird die Dateiendung umbenannt. Im Regelfall wird ein „p“ vor der eigentlichen Dateiendung gesetzt. Auch der Dateityp wird geändert und „Protected“ wird vor dem eigentlichen Dateityp gesetzt. Die Dateien können anschließend nicht mehr von anderen Grafikprogrammen gelesen werden. Auch von Webbrowsern können sie nicht geöffnet werden. Dafür kann der Azure Information Protection Viewer verwendet werden.

In einem Microsoft Teams-Kanal lässt sich außerdem eine neue Spalte „Vertraulichkeit“ hinzufügen. In dieser Spalte wird dann die zugewiesene Bezeichnung angezeigt. Dies funktioniert jedoch nur für die Office-Dateien und nicht für andere, die über den Unified Labeling Client mit einer Bezeichnung versehen und darüber verschlüsselt wurden. Es gibt auch einige Dateitypen, welche von der Zuordung von Bezeichnungen und damit der Verschlüsselung ausgeschlossen sind.

Vertraulichkeitsbezeichnungen

Produktlizenzen

Für die manuellen Vertraulichkeitsbezeichnungen wird eine Office 365 E3 bzw. E5 oder eine Microsoft 365 Business Premium bzw. E3 oder E5-Lizenz benötigt. Alternativ ist auch ein AIP Plan 1 oder Plan 2 möglich. Falls eine automatische Zuordnung der Vertraulichkeitsbezeichnungen erfolgen soll, bedarf es einer  Office 365 E5 oder Microsoft 365 E5-Lizenz . Diese Lizenzen werden ebenfalls für die Verwendung von Doppelverschlüsselung erforderlich. Weitere Informationen zur Lizensierung können auf der Microsoft Seite gefunden werden.

Die Nutzung zusammengefasst

Mit den Vertraulichkeitsbezeichnungen steht eine leistungsfähige Möglichkeit bereit, in Microsoft 365 verwaltete Dokumente zu verschlüsseln. Wie bei Microsoft Produkten üblich, werden alle Microsoft Office-Produkte gut unterstützt. Dokumente aus anderen Dateitypen können über Azure Information Protection Unified Labeling Client, der separat installiert werden kann, mit den Vertraulichkeitsbezeichnungen versehen werden.

Die optionale Doppelverschlüsselung stellt sicher, dass die Dokumente nur vom einzelnen Unternehmen eingesehen werden können, sofern es die Hoheitsrechte über den zweiten Schlüssel nicht aus der Hand gegeben werden. Wichtig ist, dass die Verwendung der Vertraulichkeitsbezeichnung immer von einem Einführungs- und Schulungskonzept begleitet werden sollte. Anderenfalls wird die Nutzung der Bezeichnungen nicht konsequent verfolgt oder könnte zu Verwirrung und Frust auf Seiten der Anwender führen.

Erfahren Sie, wie Sie mit iQ.Suite 360 Document Encryption die Dokumente, die Sie auf Ihren Collaboration-Plattformen speichern und austauschen, mit einer einfachen und automatisierten Verschlüsselung schützen, die jeder Mitarbeiter nutzen kann.

Als Experte für E-Mail-Sicherheit bietet GBS mit der iQ.Suite auch erweiterte Funktionen zur zentralisierten und benutzerfreundlichen Verschlüsselung Ihrer E-Mail-Kommunikation.

Falls Sie Fragen haben oder weitere Information zur Verschlüsselung ihrer Daten und Dokumente in Microsoft Teams benötigen, kontaktieren Sie uns sales@gbs.com. Wir helfen ihnen gerne weiter.

Autor: Dr. Rolf Kremer

Abonnieren Sie den GBS Newsletter und erhalten Sie neue Artikel sofort in Ihre Mailbox!

Posted in:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.