Für viele Arbeitnehmer gehört Remote-Arbeit mittlerweile zur „neuen Normalität“. Was zu Beginn der Pandemie als Notlösung gedacht war, wird in immer mehr Unternehmen zu einem festen Bestandteil der genutzten Arbeitsmodelle. Damit Mitarbeiter aber von überall arbeiten können, müssen sich IT-Abteilungen mit neuen und komplexen Anforderungen auseinandersetzen – das gilt besonders für das Einhalten von Sicherheits- und Compliance-Richtlinien auf mobilen Endgeräten.

Microsoft reagiert auf Sicherheitsbedenken

Als Antwort auf die gestiegenen Sicherheitsanforderungen stellte Microsoft Ende 2020 die Microsoft 365 Endpoint Data Loss Prevention (Endpunkt-DLP) vor. Diese Erweiterung für Microsoft 365 Data Loss Prevention (DLP) erkennt und schützt sensible Daten auf mobilen Windows 10-Geräten. Sicherheitsexperten können darüber beispielsweise bestimmte Vorgänge überwachen und bei Bedarf einschränken:

• Kopieren von Dateien auf externe USB-Sticks oder das Teilen von Dateien mit anderen
• Per Edge Chromium Browser Dateien drucken oder sie in nicht freigegebene Cloud-Anwendungen kopieren
• Zugriff auf Dateien über nicht zulässige Browser und/oder Anwendungen
• Erstellen oder Umbenennen von Dateien

Wollen Nutzer eine unzulässige Aktion ausführen und zum Beispiel eine Datei auf einen USB-Stick kopieren, erscheint auf dem Display nicht nur ein entsprechender Warnhinweis, sondern auch verschiedene Tipps für den korrekten bzw. erlaubten Umgang mit Unternehmensdaten.

Endpunkt-DLP – einfache Implementierung

Endpunkt-DLP setzt auf den nativen Windows 10-Schutz und den Edge Chromium Browser auf und benötigt keine zusätzliche Client-Software-Installation. Die ersten Schritte:

• Über ein Onboarding-Skript lassen sich Windows 10-Geräte im Microsoft 365 Compliance Center hinzufügen. Noch einfacher geht es, wenn Unternehmen bereits den Microsoft Defender für Endpunkte (ehemals Microsoft Defender ATP) verwenden: Alle für den Defender registrierten Geräte erhalten automatisch die Endpunkt-DLP-Erweiterung.
• Für die Verwaltung von Endpunkt-DLP ist kein eigenes Interface nötig, DLP-Richtlinien lassen sich von den Administratoren einfach über den Microsoft Compliance-Manager festlegen und steuern. Das sorgt für konsistente Regeln in der Cloud und auf mobilen Endgeräten. Um neue Richtlinien für sensible Daten zu erstellen, können Administratoren aus über 100 vordefinierten Datentypen und 40 DLP-Vorlagen wählen. Zudem lassen sich die bereits bestehenden DLP-Richtlinien einfach per Klick auf weitere Endgeräte übertragen.
• Der Aktivitäten-Explorer im Compliance-Manager zeigt, wo und wie Unternehmensdaten verwendet werden und meldet Verstöße gegen Richtlinien. Die Endpunkt-DLP-Erweiterung lässt sich zudem mit weiteren Microsoft-Sicherheits- und Compliance-Lösungen wie Microsoft Information Protection, Microsoft Defender oder Insider Risikomanagement integrieren und vereinfacht so das Einhalten von Branchenstandards und gesetzlichen Vorgaben. Das hilft dabei, mehr Transparenz in Nutzeraktivitäten und den Status der Endgeräte zu bringen und einen umfassenderen Schutz für Daten zu ermöglichen.
• Kunden, die bereits die Lizenz-Pakete Microsoft 365 E5/A5, Microsoft 365 E5/A5 Compliance oder Microsoft 365 E5/A5 Information Protection and Governance besitzen, benötigen keine weiteren Lizenzen und können Endpunkt-DLP direkt nutzen.

Ein wesentlicher Bestandteil der Sicherheitsstrategie

Wir empfehlen Unternehmen, die auf Remote-Arbeit setzen oder sich mitten im digitalen Transformationsprozess befinden, Microsoft Endpunkt-DLP zu einem Baustein in ihrer Arbeitsplatz-Sicherheitsstrategie zu machen. Und wer Microsoft 365 DLP bereits für die Sicherheit von Daten in der Cloud nutzt, sollte diese im Sinne eines durchgängigen Schutzes auch auf Endgeräte erweitern.

Um einen ersten Überblick zu erhalten, können Unternehmen die Endpunkt-DLP-Richtlinien im Audit-Modus umsetzen. Dieser sorgt dafür, dass Ihre Mitarbeiter unbeeinträchtigt von Warnhinweisen arbeiten können, Sie aber bereits wichtige Einblicke gewinnen, wie die Daten in Ihrem Unternehmen verwendet werden, und wo Verstöße auftreten. Sobald ein Unternehmen die Endpunkt-DLP-Richtlinien dann verbindlich einführen möchte, kann es zwischen den Optionen „Blockieren“ sowie „Blockieren/außer Kraft setzen“ wählen. Zweitere erlaubt es Nutzern, in bestimmten Fällen eine Warnung zu ignorieren.

Wir bei Avanade sind Experten für die Einführung und das Management von Microsoft Sicherheitslösungen. Erfahren Sie mehr über die Avanade-Lösungen zum Thema Sicherheit.

Weitere Artikel zum Thema Compliance & Governance:

• Compliance & Governance für Microsoft 365 (Teil 1): Das Avanade Compliance Radar
• Compliance & Governance für Microsoft 365 (Teil 2): Gesetze, regulatorische Anforderungen und Unternehmensrichtlinien
• Compliance & Governance für Microsoft 365 (Teil 3): Auf der sicheren Seite - Datenzugriff und Kommunikation
• Compliance & Governance für Microsoft 365 (Teil 4): Data & Operations Management