Microsoft Purview · Governance · Compliance

Microsoft Purview ist
kein Security Portal

Der kleine USB-Stick, der ein großes Zuständigkeitsproblem zeigt. Warum Datenverantwortung mehr ist als Blockieren.

Lesedauer: ca. 12 Minuten
·
Microsoft 365 Compliance
·
Data Governance

Almighty USB Stick

SECURITY

„Blockieren.“

COMPLIANCE

„Kommt darauf an, welche Daten drauf sind.“

LEGAL

„Warum müssen die Daten überhaupt raus?“

IT

„Über welches Gerät reden wir genau?“

FACHBEREICH

„Ich muss nur kurz diese Datei an den externen Anwalt bekommen.“

MICROSOFT PURVIEW

„Endlich fragt mal jemand nach der Information — und nicht nur nach dem Stick.“

01

Der Kanal ist nicht das Problem: die Information ist es

Ein USB-Stick ist nur ein Kanal. Die eigentliche Frage lautet: Welche Information bewegt sich darüber?

Eine öffentliche Broschüre? Wahrscheinlich egal. Eine interne Projektunterlage? Schon anders. Ein Arbeitsvertrag? Vertraulich, aber vielleicht trotzdem legitim extern notwendig. Ein Vorstandsdokument? Bitte nicht einfach per „Almighty USB-Stick“ durch die Welt tragen.

Zwei Denkweisen: Security fragt nach dem Kanal, Purview nach der Information
Grafik 1: Zwei Denkweisen im Vergleich

Purview ist schwierig, weil es eine Frage stellt, die viele Unternehmen nicht sauber beantworten können: Wer übernimmt eigentlich Verantwortung für Daten?

Nicht für Server. Nicht für Firewalls. Nicht für Richtlinien in PowerPoint. Sondern für echte Daten im echten Alltag: für Dateien, die jemand auf einen USB-Stick kopiert, für vertrauliche Dokumente, die an externe Anwälte gehen müssen, für alte Projektordner, die seit acht Jahren niemand geöffnet hat.

Zur Einordnung: Microsoft Purview entstand 2022 aus der Zusammenführung von Azure Purview und dem Microsoft 365 Compliance Center. Seither ist es die zentrale Plattform für Information Protection, DLP, Data Lifecycle, Insider Risk und eDiscovery im Microsoft-Ökosystem.

02

Niemand will allein verantwortlich sein

Purview passt nicht sauber in eine klassische Schublade. Genau darin liegt das eigentliche Zuständigkeitsproblem.

Was Security sagt

„Da steht Compliance. Nicht unser Thema.“

Kanäle blockieren, Daten nicht verstehen

Labels als Verschlüsselungsschalter

DLP-Regeln zu hart gebaut

Was Legal sagt

„Das ist ein Admin-Portal. Nicht unser Thema.“

Gute Anforderungen, keine Umsetzung

Fristen definiert, nicht operationalisiert

Klassifizierung ohne funktionierende Labels

Wer ist Eigentümer von Purview?

Microsoft Purview

Security / SOC

Kontrollmechanismen

IT / Administration

Betrieb, Konfiguration

Legal

Rechtliche Anforderungen

Datenschutz

Zweckbindung

Compliance

Governance, Richtlinien

Fachbereiche

Echte Prozesse

03

Sensitivity Labels sind kein Verschlüsselungstool

Viele Unternehmen starten bei Labels mit der Frage: „Welche Labels sollen verschlüsseln?“ Das ist verständlich, aber es ist der falsche Startpunkt.

Sensitivity Labels sind nicht in erster Linie ein Verschlüsselungstool. Sie sind ein Mittel, um die geschäftliche Bedeutung einer Information auszudrücken.

Allgemein
Intern
Vertraulich
Streng Vertraulich
Label Bedeutung Verschlüsselung Extern möglich
Allgemein Keine Einschränkung Nein Ja
Intern Nur für Mitarbeitende Optional Nein / kontrolliert
Vertraulich Sensibel, prozessabhängig Prozessabhängig Mit Begründung
Streng Vertraulich Stark eingeschränkt Ja Klarer Empfängerkreis
Wichtiger Denkfehler

Es kann Fälle geben, in denen ein internes Dokument verschlüsselt wird, während ein bestimmtes vertrauliches Dokument nicht verschlüsselt werden kann, weil externe Zusammenarbeit möglich bleiben muss. Aus reiner Security-Sicht klingt das falsch. Aus Compliance-Sicht kann es vollkommen richtig sein.

Compliance bedeutet nicht automatisch maximale Einschränkung. Compliance bedeutet angemessener Umgang.

04

DLP ist nicht nur „blockieren“

Schlechtes DLP ist eine Sammlung von Verboten. Gutes DLP ist ein Risikomodell.

Wenn DLP nur aus Blockieren besteht, wird es entweder zu hart: Fachbereiche können nicht mehr arbeiten, Prozesse brechen, Menschen suchen Umwege. Oder es wird komplett ausgehöhlt, weil alle Ausnahmen zum Standard werden.

· Welche Information wird bewegt?

· Wohin soll die Datei gehen?

· Welches Label hat sie?

· Ist das Ziel legitim?

· Welcher Inhalt wurde erkannt?

· Gibt es eine Begründung?

· Wer führt die Aktion aus?

· Ist das ein Muster oder Einzelfall?

Das ist nicht mehr nur Security. Das ist datenbasierte Risikosteuerung. Und genau hier entfaltet Purview seinen eigentlichen Wert: nicht weil es den USB-Stick magisch sicher macht, sondern weil der eigentliche Schutz bei der Information beginnt.

05

Data Lifecycle Management ist kein Backup

Backup sagt: „Können wir Daten wiederherstellen?“ Data Lifecycle Management fragt: „Sollten diese Daten überhaupt noch existieren?

Der stille Risikofaktor

Viele Unternehmen bewahren Daten nicht auf, weil sie müssen, sondern weil niemand entscheidet, dass sie weg können. Alte Projektordner. Veraltete Vertragsversionen. Testdaten. Kopien von Kopien. Dateien namens „final_final_wirklich_final“. Alles bleibt liegen, weil Speicher günstig ist und Löschen unbequem ist.

1
Mehr Daten = mehr AngriffsflächeJede unnötig gespeicherte Datei ist ein potenzielles Ziel.

2
Mehr Daten = mehr Aufwand bei AuskunftsersuchenDSGVO-Anfragen und Behördenanfragen werden teurer.

3
Mehr Daten = mehr Material für eDiscoveryIm Streitfall muss alles durchsucht werden, auch der Datenmüll von 2017.

4
Mehr Daten = mehr Chaos für Copilot und KIKI findet alles, auch was längst hätte gelöscht sein sollen.

Manchmal ist die beste Sicherheitsmaßnahme nicht, Daten noch besser zu verschlüsseln, sondern sie kontrolliert zu löschen, weil sie keinen legitimen Zweck mehr haben.

06

Insider Risk Management gehört nicht einfach ins SOC

Der Name klingt nach Security. Insider-Risiko. Datenabfluss. Verdächtiges Verhalten. Klingt nach SOC, oder? Nur teilweise.

SOC-Mindset

· Alarm → Incident → Triage → schnelle Reaktion

· Technische Bedrohung erkennen

· Speed matters

Insider Risk Mindset

· Kontext verstehen, einordnen

· HR, Legal, Datenschutz einbinden

· Sorgfalt matters

Bei Malware will ich schnell sein. Bei Insider Risk will ich sauber sein. Hier geht es um Menschen, um Prozesse, um Datenschutz, um arbeitsrechtliche Fragen und um Verhältnismäßigkeit.

07

eDiscovery ist erst recht kein Security-Tool

eDiscovery ist ein Werkzeug für rechtliche, regulatorische und interne Untersuchungen, kein Tool, um Angriffe zu erkennen.

Kernprinzipien für eDiscovery

Relevanz. Welche Daten sind für das Verfahren tatsächlich relevant?

Nachvollziehbarkeit. Jede Aktion muss dokumentiert und revisionsicher sein.

Verhältnismäßigkeit. Nur das Notwendige, nicht alles technisch Mögliche.

Legal Hold. Aufbewahrungssperren müssen greifen, bevor der Anwalt im Call ist.

Ein Skalpell wird nicht zum Hammer, nur weil man es im selben Raum findet. eDiscovery braucht andere Governance, andere Rollen, andere Freigaben.

08

Und dann kommt Copilot

KI skaliert die Governance, die schon da ist

Copilot und andere KI-Systeme machen diese Fragen nicht kleiner, sie machen sie sichtbarer.

Wenn Berechtigungen chaotisch sind, findet KI mehr Chaos. Wenn Daten nicht klassifiziert sind, fehlt Kontext. Wenn alte Daten nie gelöscht wurden, werden sie Teil der Wissensbasis. KI fragt nicht höflich, ob der alte Projektordner von 2017 noch relevant ist.

KI findet ihn einfach.

Copilot ist nicht der Grund, warum Unternehmen Purview brauchen. Copilot ist der Grund, warum Unternehmen nicht mehr so leicht ignorieren können, dass sie Purview brauchen.

09

Technische Compliance: Die fehlende Brücke

Das eigentliche Problem ist nicht, dass Purview zu kompliziert wäre. Das eigentliche Problem ist, dass Purview sichtbar macht, was vorher schon unklar war.

Die offenen Betriebsmodellfragen
❓ Wer entscheidet, welche Informationen vertraulich sind?
❓ Wer definiert Labels und Klassifizierungsmodelle?
❓ Wer entscheidet, wann Daten gelöscht werden?
❓ Wer genehmigt DLP-Ausnahmen?
❓ Wer darf Insider Risk-Fälle sehen?
❓ Wer entscheidet über Legal Holds?
❓ Wer erklärt Security, warum nicht alles blockiert werden kann?
❓ Wer verantwortet eDiscovery-Exporte?

Das Betriebsmodell: Technische Compliance als Brücke zwischen Security, IT, Legal, Datenschutz, Fachbereiche und Management
Grafik 2: Technische Compliance als Betriebsmodell

Purview braucht eine Rolle, die viele Unternehmen noch nicht sauber benannt haben: Technische Compliance. Nicht IT-Administration mit Adminrechten. Nicht Legal. Sondern eine Funktion, die fachliche Anforderungen in technische Kontrollen übersetzen kann und mit Security, IT, Legal, Datenschutz und Fachbereichen gleichermaßen sprechen kann.

Die Konsequenz

Ohne diese Rolle bleibt Purview genau dort hängen, wo es heute in vielen Unternehmen hängt: zwischen allen Stühlen. Zu technisch für Legal. Zu fachlich für IT. Zu compliance-lastig für Security. Zu wichtig, um ignoriert zu werden.

Purview ist Datenverantwortung

Am Ende geht es nicht darum, ob ein USB-Stick erlaubt oder verboten ist. Es geht darum, ob ein Unternehmen versteht, welche Informationen es besitzt, wie wichtig diese sind, wer sie nutzen darf, wohin sie fließen, wie lange sie bleiben müssen und wann sie verschwinden sollten.

Microsoft Purview ist kein klassisches Security-Portal. Es ist etwas deutlich Unbequemeres: Ein Spiegel dafür, ob ein Unternehmen seine Daten wirklich im Griff hat.

Purview = Datenverantwortung
Information Protection
Data Lifecycle Management
Insider Risk
eDiscovery