Unternehmensdatenschutz (EDP) – Überblick

  • Artikel

[Einige Informationen beziehen sich auf die Vorabversion, die vor der kommerziellen Freigabe grundlegend geändert werden kann. Microsoft übernimmt keine Garantie, weder ausdrücklich noch stillschweigend, für die hier bereitgestellten Informationen.]

Mit der Zunahme der eigenen Geräte von Mitarbeitern in Unternehmen steigt auch das Risiko einer versehentlichen Offenlegung von Daten über Apps und Dienste, die nicht der Kontrolle des Unternehmens unterliegen, z. B. E-Mail, soziale Medien und die Public Cloud.

Bei vielen vorhandenen Lösungen wird versucht, dieses Problem zu lösen, indem Mitarbeiter zwischen persönlichen und geschäftlichen Containern und Apps umschalten müssen. Dies kann zu einer Benutzererfahrung führen, die nicht optimal ist. Das Feature mit dem Codenamen „Enterprise Data Protection (EDP)“ – also Schutz von Daten für Unternehmen – ermöglicht eine bessere Benutzererfahrung. Gleichzeitig werden die Apps und Daten des Unternehmens besser getrennt und unternehmenseigene und persönliche Geräte vor dem Risiko der Offenlegung geschützt, ohne dass Änderungen an Umgebungen oder Apps erforderlich sind. Außerdem kann EDP bei Verwendung in Verbindung mit Rights Management Services (RMS) zum lokalen Schutz von Unternehmensdaten beitragen. Der Schutz wird auch aufrechterhalten, wenn Datenroaming genutzt wird oder Daten geteilt werden.

Vorteile von EDP

EDP bietet Folgendes:

  • Zusätzlicher Schutz vor Datenlecks in Unternehmen mit minimalem Einfluss auf die normalen Arbeitsmethoden der Mitarbeiter

  • Eindeutige Trennung zwischen persönlichen Daten und Unternehmensdaten, ohne dass Mitarbeiter zwischen Umgebungen oder Apps wechseln müssen

  • Zusätzlicher Schutz von Daten für vorhandene Branchen-Apps, ohne dass die Apps aktualisiert werden müssen

  • Zurücksetzen von Unternehmensdaten auf Geräten, ohne dass persönliche Daten davon betroffen sind

  • Verwenden von Überwachungsberichten zum Nachverfolgen von Problemen und Einleiten von Gegenmaßnahmen

  • Integration in Ihr vorhandenes Verwaltungssystem (Microsoft Intune, System Center Configuration Manager, Version 1511 oder höher, oder Ihr derzeitiges System für die mobile Geräteverwaltung (MDM)) zum Konfigurieren, Bereitstellen und Verwalten von EDP für Ihr Unternehmen

  • Zusätzlicher Schutz für Ihre Daten (per RMS-Integration) während des Roamings und der Freigabe, z. B. beim Teilen von verschlüsselten Inhalten per Outlook oder Verschieben verschlüsselter Dateien auf USB-Sticks

  • Verwalten von universellen Office-Apps auf Windows 10-Geräten mit einer MDM-Lösung, um Unternehmensdaten zu schützen Die technischen Ressourcen zum Verwalten von mobilen Office-Apps für Android- und iOS-Geräte finden Sie hier.

Voraussetzungen

Sie benötigen die folgende Software, um EDP in Ihrem Unternehmen auszuführen:

Betriebssystem Verwaltungslösung
Windows 10

  • Intune

    -oder-

  • Configuration Manager (Version 1511 oder höher)

    -oder-

  • Ihre aktuelle unternehmensweite MDM-Lösung

 

Unternehmensszenarien

Mit EDP werden derzeit die folgenden Unternehmensszenarien abgedeckt:

  • Sie können Unternehmensdaten auf Geräten von Mitarbeitern und auf unternehmenseigenen Geräten verschlüsseln.

  • Sie können Unternehmensdaten per Remotezugriff auf verwalteten Computern zurücksetzen, ohne dass dies Auswirkungen auf die persönlichen Daten hat. Dies gilt auch für Computer, die Mitarbeitern gehören.

  • Sie können spezielle Apps auswählen, mit denen auf Unternehmensdaten zugegriffen werden kann. Diese Apps werden als „privilegierte Apps“ bezeichnet und sind für Mitarbeiter eindeutig erkennbar. Außerdem haben Sie die Möglichkeit, den Zugriff auf Unternehmensdaten für nicht privilegierte Apps zu blockieren.

  • Während die Richtlinien des Unternehmens aktiv sind, müssen Ihre Mitarbeiter die Arbeit nicht unterbrechen, wenn sie zwischen persönlichen Apps und Apps des Unternehmens wechseln. Es ist nicht erforderlich, die Umgebung zu wechseln oder sich mehrfach anzumelden.

Funktionsweise von EDP

EDP hilft Ihnen bei der Bewältigung der täglichen Herausforderungen im Unternehmen. Beispiele für diese Unterstützung:

  • Verhindern unerwünschter Einschränkungen der Mitarbeiter aufgrund von strengen Richtlinien für den Schutz von Daten

  • Sicherstellen des Datenschutzes für Ihre Unternehmensdaten

  • Verwalten von Apps, die keinen Richtlinien unterliegen, beispielsweise auf mobilen Geräten

  • Überwinden des Problems, dass Geräte von Mitarbeitern nicht gesperrt werden können, was zu einer versehentlichen Veröffentlichung von Unternehmensdaten führen kann

Schutzmodi

Sie können für EDP vier Schutzmodi festlegen:

  • Blockieren. EDP sucht nach unerwünschter Datenfreigabe und hindert Mitarbeiter daran, den Schritt auszuführen.

  • Außer Kraft setzen. EDP sucht nach unerwünschter Datenfreigabe und informiert Mitarbeiter darüber, ob ein Schritt unangemessen ist. Bei diesem Schutzmodus können Mitarbeiter die Richtlinie jedoch außer Kraft setzen und die Daten trotzdem teilen, während die Aktion in Ihrem Überwachungsprotokoll protokolliert wird.

  • Überwachen. EDP wird im Hintergrund ausgeführt, und die unerwünschte Datenfreigabe wird protokolliert, ohne dass etwas blockiert wird.

  • Deaktiviert. EDP ist nicht aktiv und bietet keinen Schutz für Ihre Daten.

Hervorragende Benutzerfreundlichkeit

EDP kann für eine hervorragende Benutzerfreundlichkeit sorgen, da es zum Schützen von Daten nicht unbedingt erforderlich ist, zwischen Apps zu wechseln. Es kann beispielsweise sein, dass ein Mitarbeiter beim Prüfen seiner geschäftlichen E-Mails in Microsoft Outlook eine persönliche Nachricht erhält. Anstatt Outlook verlassen zu müssen, werden sowohl die geschäftlichen Nachrichten als auch die persönlichen Nachrichten auf dem Bildschirm nebeneinander angezeigt.

Ändern des EDP-Schutzes

Mitarbeiter können als Unternehmensdaten gekennzeichnete und geschützte Dokumente wieder als persönliche Dokumente markieren, falls das Dokument fälschlicherweise gekennzeichnet wurde. Dazu müssen Mitarbeiter jedoch eine bestimmte Aktion ausführen. Dies wird überwacht und protokolliert, damit es nachprüfbar ist.

Datensicherheit in Unternehmen

Als Administrator eines Unternehmens müssen Sie für die Sicherheit und Vertraulichkeit Ihrer Unternehmensdaten sorgen. Mithilfe von EDP können Sie sicherstellen, dass die Unternehmensdaten auf den Computern Ihrer Mitarbeiter auch dann geschützt sind, wenn sie von den Mitarbeitern nicht aktiv verwendet werden. In diesem Fall werden Mitarbeiter bei der ersten Erstellung des Inhalts auf einem verwalteten Gerät gefragt, ob es sich um ein geschäftliches Dokument handelt. Falls es ein geschäftliches Dokument ist, wird es lokal geschützt, weil es Unternehmensdaten sind.

Zurücksetzen von Unternehmensdaten auf Geräten per Remotezugriff

Bei EDP haben Sie auch die Möglichkeit, Ihre Unternehmensdaten auf allen Geräten per Remotezugriff zurückzusetzen, die von Ihnen verwaltet und von einem Mitarbeiter verwendet werden, wobei die persönlichen Daten nicht betroffen sind. Dies ist ein Vorteil, wenn ein Mitarbeiter Ihr Unternehmen verlässt oder wenn ein Computer gestohlen wird.

In diesem Fall werden Dokumente lokal gespeichert und mit einer Unternehmensidentität verschlüsselt. Wenn Sie feststellen, dass Sie die Zurücksetzung auf dem Gerät durchführen müssen, können Sie über Ihr System für die mobile Geräteverwaltung einen Befehl für die Remotezurücksetzung senden. Wenn mit dem Gerät dann eine Verbindung mit dem Netzwerk hergestellt wird, werden die Verschlüsselungsschlüssel widerrufen, und die Unternehmensdaten werden entfernt. Diese Aktion wirkt sich nur auf die Geräte aus, für die der Befehl bestimmt ist. Alle anderen Geräte funktionieren weiterhin ordnungsgemäß.

Kopieren oder Herunterladen von Unternehmensdaten

Beim Herunterladen von Inhalten von einem Speicherort, z. B. SharePoint oder einer Netzwerkdateifreigabe, oder einem Webspeicherort des Unternehmens, z. B. „Office365.com“, wird automatisch ermittelt, dass es sich dabei um Unternehmensdaten handelt. Sie werden während der lokalen Speicherung dann entsprechend verschlüsselt. Dasselbe gilt für das Kopieren von Unternehmensdaten auf Speichermedien, z. B. ein USB-Laufwerk. Da die Inhalte bereits lokal als Unternehmensdaten gekennzeichnet sind, wird die Verschlüsselung auf dem neuen Gerät beibehalten.

Privilegierte Apps und Einschränkungen

Mit EDP können Sie die Gruppe von Apps steuern, die zu „privilegierten Apps“ werden sollen, also zu Apps, mit denen Ihre Unternehmensdaten zugänglich sind und genutzt werden können. Nachdem Sie eine App Ihrer Liste mit den privilegierten Apps hinzugefügt haben, wird sie als vertrauenswürdig für die Nutzung der Unternehmensdaten eingestuft. Alle Apps, die nicht in dieser Liste enthalten sind, werden als persönlich angesehen. Je nach Ihrem EDP-Schutzmodus wird das Zugreifen auf die Unternehmensdaten für diese Apps blockiert.

Beachten Sie, dass Ihre vorhandenen Branchen-Apps nicht geändert werden müssen, um als privilegierte Apps hinzugefügt zu werden. Sie müssen sie einfach in Ihre Liste einfügen.

Verwenden von privilegierten Apps

Mit privilegierten Apps kann auf Ihre Unternehmensdaten zugegriffen werden, und sie zeigen gegenüber anderen nicht privilegierten bzw. persönlichen Apps eine unterschiedliche Reaktion. Wenn Sie als EDP-Schutzmodus beispielsweise das Blockieren festgelegt haben, können Benutzer Informationen mit Ihren privilegierten Apps in bzw. aus anderen privilegierten Apps kopieren und einfügen. Für persönliche Apps ist dies jedoch nicht möglich. Angenommen, ein Mitarbeiter der Personalverwaltung möchte eine Stellenbeschreibung aus einer privilegierten App auf die Website mit den Stellenanzeigen kopieren, also an einen geschützten Speicherort des Unternehmens. Der Mitarbeiter macht aber einen Fehler und versucht, die Daten stattdessen in eine persönliche App einzufügen. Das Einfügen schlägt fehl, und es wird eine Benachrichtigung mit dem Hinweis angezeigt, dass das Einfügen aufgrund einer Richtlinieneinschränkung nicht möglich ist. Der Mitarbeiter fügt die Daten dann richtig auf der Website mit den Stellenanzeigen ein, was problemlos funktioniert.

Festlegen der Ebene für den Datenzugriff

Mit EDP können Sie festlegen, dass die Datenfreigabeaktionen Ihrer Mitarbeiter blockiert werden, Blockierungen außer Kraft gesetzt werden oder nur eine Überwachung stattfindet. Mit dem Blockieren der Aktion wird der Vorgang sofort gestoppt, während Mitarbeiter bei der zugelassenen Außerkraftsetzung informiert werden, dass ein Problem besteht, aber nicht am Teilen der Daten gehindert werden. Bei der Überwachung wird die Aktion lediglich protokolliert, ohne sie zu stoppen. So können Sie Muster unerwünschter Freigabevorgänge erkennen und mit Schulungsmaßnahmen eingreifen.

Dauerhafte Datenverschlüsselung

Mit EDP sind Ihre Unternehmensdaten auch während des Roamings geschützt. Für Apps wie Office und OneNote wird EDP eingesetzt, um für die dauerhafte Datenverschlüsselung über mehrere Speicherorte und Dienste hinweg zu sorgen. Wenn ein Mitarbeiter per EDP verschlüsselte Inhalte beispielsweise in Outlook öffnet und bearbeitet und dann versucht, die geänderte Version unter einem anderen Namen zu speichern, um die Verschlüsselung zu umgehen, funktioniert dies nicht. Outlook wendet EDP automatisch auf das neue Dokument an, um die Datenverschlüsselung aufrechtzuerhalten.

Verhindern der versehentlichen Offenlegung von Daten an öffentlichen Orten

EDP schützt Ihre Unternehmensdaten davor, dass sie an öffentlichen Orten, z. B. in der Public Cloud, versehentlich geteilt werden. Wenn ein Mitarbeiter Inhalte beispielsweise im Ordner Dokumente speichert, der automatisch mit OneDrive (einer App in Ihrer Liste der privilegierten Apps) synchronisiert wird, wird das Dokument lokal verschlüsselt und nicht mit der persönlichen Cloud des Benutzers synchronisiert. Falls andere Synchronisierungs-Apps, z. B. Dropbox™, nicht in der Liste mit den privilegierten Apps enthalten sind, können sie auch nicht verwendet werden, um verschlüsselte Dateien mit der persönlichen Cloud des Benutzers zu synchronisieren.

Verhindern der versehentlichen Offenlegung von Daten auf anderen Geräten

EDP schützt Ihre Unternehmensdaten davor, dass sie auf andere Geräte gelangen, während Daten übertragen oder verschoben werden. Angenommen, ein Mitarbeiter kopiert Unternehmensdaten auf einen USB-Stick, auf dem auch persönliche Daten enthalten sind. Die Unternehmensdaten bleiben in diesem Fall verschlüsselt, obwohl die persönlichen Informationen weiterhin offen zugänglich sind. Die Verschlüsselung wird auch aufrechterhalten, wenn der Mitarbeiter die verschlüsselten Inhalte zurück auf ein anderes vom Unternehmen verwaltetes Gerät kopiert.

Wichtig  EDP unterstützt außerdem die gezielte Verschlüsselung pro Datei auf SD-Karten sowie die Geräteverschlüsselungsrichtlinie. Zum Zugreifen auf Ihre verschlüsselten Daten müssen Sie während der Einrichtung der EDP-Richtlinie RMS einrichten.

 

Deaktivieren von EDP

Sie können den gesamten Schutz und die Einschränkungen für die Unternehmensdaten deaktivieren und zum Zustand vor EDP zurückkehren, ohne dass Daten verlorengehen. Das Deaktivieren von EDP ist jedoch nicht zu empfehlen. Wenn Sie sich für die Deaktivierung entscheiden, können Sie EDP jederzeit wieder aktivieren, aber Ihre Verschlüsselungs- und Richtlinieninformationen werden von EDP nicht beibehalten.