Letzte Änderung: 2025-07-29

Microsoft Purview Sensitivity Labels: Wie Du vertrauliche Daten effektiv klassifizierst!

Die Microsoft Purview Sensitivity Labels ist ein Datenschutz-Werkzeug, das dich deine Organisationsdaten klassifizieren und schützen lässt, indem es sicherstellt, dass es keinen Datenbruch gibt. Es erlaubt uns, Einblick in unsere Datenlandschaft zu erhalten und gleichzeitig erhöhte Governance zu gewährleisten, ohne Produktivität zu verlieren.

In diesem Artikel zeige ich dir einige Schlüsselfunktionen und wie wir diese Lösung in unserem
Microsoft-365-Tenant konfigurieren und nutzen können.

sensitivity label

Quelle: https://medium.com/@faullb/protecting-your-data-sensitivity-labels-and-sensitive-information-types-ce27d3670588



Was ist Microsoft Purview?

Microsoft Purview ist eine umfassende Plattform, die dir hilft, Daten zu schützen und zu verwalten, wo immer sie sind.

Sie verwaltet auch Sensitivity Labels, die es möglich machen, Daten basierend auf ihrer Sensitivität zu klassifizieren und zu schützen. Mit Microsoft Purview kannst du deine Datenlandschaft verstehen, sensible Informationen identifizieren und passende Schutzmaßnahmen ergreifen.

Die Plattform mindert Sicherheitsrisiken, indem sie zentrale Verwaltung und Überwachung ermöglicht, und sie erfüllt außerdem Compliance-Anforderungen.


Anforderungen für Sensitivity Labels

Bevor wir lernen, wie wir Labels konfigurieren, ist es wichtig, uns einige grundlegende Konzepte zu Sensitivity Labels anzuschauen.
Es spielt eine entscheidende Rolle bei der Implementierung und Verwaltung dieser Labels, um Sicherheitsvorfälle zu erkennen und zu verifizieren.

Folgende Bereiche, auf die die Sensitivity Labels angewendet werden können:

  • Items: Dies umfasst Office-Dokumente, E-Mails und Daten-Assets, die in einem bestimmten Format organisiert wurden.
  • Container: Dazu gehören Microsoft 365-Gruppen, SharePoint-Websites und Microsoft Teams.
  • Azure Purview Assets: Labels können auch Daten in Microsoft Fabric, Power BI und Azure klassifizieren, sobald Du Purview-Scans konfiguriert hast.

Hinweis: Container-Labels sind standardmäßig deaktiviert. Du musst sie per PowerShell oder automatisch mit den passenden Lizenzen aktivieren.

Namenskonventionen umfassen sowohl einen Backend-Namen als auch einen Anzeigenamen für Sensitivity Labels. Vertraulichkeit ist hier entscheidend, da sie sicherstellt, dass sensible Informationen geschützt sind und unbefugter Zugriff verhindert wird. Der Backend-Name dient als unveränderlicher Bezeichner, während der Anzeigename den Nutzern in Office angezeigt wird.

sensitivity labels

Bitte beachte, dass ein einmal erstellter Label-Name nicht wiederverwendet werden kann, selbst wenn er gelöscht wird!

Eine durchdacht geplante Taxonomie ist eine langfristig zuverlässigere Lösung als das Erstellen einzigartiger Namen mit Leerzeichen. Ich empfehle dir, von Anfang an eine klare Struktur festzulegen.


Schritt 1: Definiere deine Label-Geltungsbereiche

Das Erste, was du tun musst, wenn du ein Label erstellst, ist, den Bereich für jedes Label zu definieren.

Für ein allgemeines „Catch-all“-Label möchtest du es wahrscheinlich auf alle Orte anwenden. Das gibt dir maximale Abdeckung.
Ein Beispiel für die Anwendung dieses Labels wäre, alle internen Dokumente eines Unternehmens zu klassifizieren, um sicherzustellen, dass sie nicht versehentlich extern geteilt werden.

Es gibt jedoch ein paar Dinge, die du beachten solltest:

  • Parent-Labels: Diese dienen als Gruppierungsmechanismen für deine Sub-Labels. Sie haben keinen eigenen Schutz oder Privilegien und sind ausschließlich dafür gedacht, eine logische Hierarchie bereitzustellen. Daher musst du keine Gruppen- und Websiteeinstellungen für Parent-Labels konfigurieren.
  • Sub-Labels: Hier findet die eigentliche Arbeit statt. Sub-Labels erben einige Eigenschaften von ihrem Parent, z. B. das Namenspräfix, haben aber ihre eigenen individuellen Einstellungen.
Sensitivity Labels

Beispiele für Parent-Labels könnten „Vertraulich“ sein, die spezifischere Sub-Labels wie „Vertraulich – nur Geschäftsleitung“ enthalten. Das hilft, dein Label-System zu strukturieren!


Schritt 2: Inhaltskennzeichnung und Bereitstellung

Wir werden jetzt die wesentlichen Aspekte der Label-Konfiguration betrachten.
In den Schutzeinstellungen definierst du Verschlüsselung, Berechtigungen, Ablauf und Offlinezugriff.

Diese Zugriffsbeschränkungen sind entscheidend, um unbefugten Zugriff auf sensible Informationen zu verhindern. Mit visuellen Markierungen kannst du Wasserzeichen, Kopfzeilen und Fußzeilen zu Inhalten hinzufügen.

Sensitivity Labels können außerdem auch auf E-Mails und Kalenderelemente in Outlook angewendet werden.


Verschlüsselung

Verschlüsselung verhindert unbefugten Zugriff auf Daten außerhalb deiner Organisation und ist entscheidend für hoch vertrauliche Labels.

Du kannst Inhalt so schützen, dass:

  • Nur Benutzer innerhalb deiner Organisation auf vertrauliche Dokumente zugreifen können.
  • Nur Benutzer in der Marketingabteilung das Promotion-Announcement-Dokument bearbeiten und drucken können.
  • Benutzer keine Informationen daraus kopieren können, die Angaben über eine interne Reorganisation enthalten.
encryption

Microsoft Information Protection spielt eine kritische Rolle bei der Verschlüsselung, indem es Sensitivity Labels bereitstellt, die Daten basierend auf Sensitivität klassifizieren und schützen. Wenn du Berechtigungen anwendest, kannst du wählen:

  • Assign Permissions now – legt fest, welche Benutzer mit diesem Label Berechtigung erhalten.
  • Let users assign permissions – lässt den Endbenutzer entscheiden, wer den Inhalt entschlüsseln darf; so gibst du Flexibilität für Zusammenarbeit.

Du kannst Inhalt so konfigurieren, dass er nach einer bestimmten Anzahl Tage abläuft. Faustregel: „never expire“ ist die sicherste Option – nutze ich fast immer.

Was ist mit Offline-Zugriff? Ich empfehle 7–14 Tage Offline-Zugriff für vertrauliche Labels und maximal 1 Tag für „top secret“, hoch vertrauliche Daten.

Wähle zum Schluss deine Verschlüsselungs-Berechtigungsgruppen. Vorsicht mit „all users“, da es alle Gäste mit B2B-Konto einschließt. Eine mail-fähige Sicherheitsgruppe mit dynamischen Mitgliedschaftsregeln ist üblicherweise sicherer.


Visuelle Markierungen

Visuelle Marker wie Wasserzeichen, Kopf-/Fußzeilen in Dokumenten oder E-Mails zeigen effektiv Vertraulichkeitsstufen an. Sie können die Ästhetik des Dokuments ruinieren, aber Vertraulichkeit bleibt ein kritischer Faktor, um sensible Informationen zu schützen.

Dynamische Tags, die den Namen des aktuellen Benutzers anzeigen, können das Teilen abschrecken, sind aber vielleicht den visuellen Ballast nicht wert.

Hole immer die Zustimmung der Stakeholder ein, bevor du übermäßige Marker hinzufügst!


Auto-Labeling

Automatisches Labeling ist ein Prozess des automatischen Anwendens von Sensitivity Labels auf Inhalte wie Dokumente, E-Mails oder SharePoint-Sites basierend auf vordefinierten Bedingungen und Regeln.

Auf diese Weise können Benutzer sich auf Produktivität konzentrieren und das System stellt automatisch Compliance und Datenschutz sicher.

Zwei Haupt-Auto-Labeling-Methoden sind wie folgt:

  • Client-side Auto-labeling: Wendet Labels während der Dokumentbearbeitung oder E-Mail-Erstellung in Office-Apps an, wo Benutzer vorgeschlagene Labels für Dateien, E-Mails und Microsoft 365-Gruppen/Sites akzeptieren oder ablehnen können. Erfordert die Azure Information Protection P2-Lizenz (in verschiedenen E5/A5/G5-Microsoft 365-Plänen enthalten).
  • Service-side Auto-labeling: Wendet automatisch ein organisationsweites Label auf Inhalte an, die bereits in SharePoint gespeichert sind, sowie auf E-Mails in Exchange Online, über Richtlinienkonfiguration. Erfordert die Information Protection for Office 365 – Premium-Lizenz.
auto labeling

Ein Wort der Vorsicht – Auto-Labeling ist anfällig für False Positives, besonders wenn du gerade erst anfängst.

Starte mit dem empfohlenen Labeling und erhöhe Auto-Labeling erst nach umfangreichen Tests. Es ist wichtig zu vermeiden, Benutzern versehentlich den Zugriff auf ihre essenziellen Geschäftsdaten zu entziehen.


Schritt 3: Sperre Container und Freigaben

Sensitivity-Labels werden auch verwendet, um komplette Container wie SharePoint-Sites, Microsoft Teams und 365-Gruppen zu sichern.

SharePoint-Seiten spielen eine wichtige Rolle bei der Anwendung von Sensitivity-Labels, weil sie bestimmen, wie sensible Daten verwaltet werden und ob sie extern geteilt werden können.

Container-Einstellungen helfen, zu kontrollieren, wer Inhalt teilen und darauf zugreifen kann. Lass dein IT-Team Anleitung und Unterstützung geben, um Missbrauch zu verhindern.

Hier sind einige Best Practices:

  • Mache Deine Gruppen und Websites standardmäßig privat. Du kannst bei Bedarf später immer noch externe Benutzer als Gäste hinzufügen.
  • Überlege sorgfältig, ob Du die externe Freigabe in Deinen vertraulichen Labels zulassen möchtest. Wenn ja, beschränke sie auf bestehende Gäste, anstatt zufällige externe Benutzer zuzulassen.
  • Verwende eine begrenzte Sensitivity Label Policy, um den Zugriff von nicht verwalteten Geräten auf Deine sensiblen Websites zu verhindern.
  • Erwäge, die Auffindbarkeit für private Teams mit vertraulichen Informationen zu deaktivieren. Schalte auch das Guest Sharing in privaten Kanälen aus.

Label-Bereitstellung


Die folgenden Schritte zeigen den vollständigen Bereitstellungs-Workflow – von der Erstellung bis zur Endbenutzer-Verfügbarkeit:

  1. Greife auf das Compliance-Portal zu
        o Melde dich im Microsoft Purview Compliance-Portal als Globaler Administrator an.
        o Navigiere zu Solutions ➜ Information Protection und aktiviere das Feature, falls es noch aus ist.

  2. Erstelle ein Sensitivity Label

    1. Gehe zu Labels → Create label.

    2. Name & description → Next.

    3. Scope → wähle aus, wo das Label gilt (Items, Groups, Sites usw.).

    4. Protection settings
       o Encryption: weise bestimmte Benutzer/Gruppen zu; Teams-Premium-Tenants          können Meeting/Chat-Schutz hinzufügen.
       o Content marking: konfiguriere Wasserzeichen-, Kopf-, Fußzeilen-Text.

    5. Auto-labeling (optional)
        o Aktiviere und füge Bedingungen hinzu (z. B. erkenne Kreditkartennummern).

    6. Groups & sites protection (optional) → Next.

    7. Auto-labeling for schematized data assets (optional) → Review → Create label.

  3. Veröffentliche das Label

    o Wähle das neu erstellte Label → Publish (oder veröffentliche von der letzten Wizard-Seite aus).

    o Users and groups: wähle, wer das Label sieht/verwendet.
    o Policy settings:

         o Optional: zwinge Begründung, wenn ein Benutzer ein Label entfernt oder                             herabstuft.
         o Konfiguriere separate Defaults für Dokumente, E-Mails, Meetings, Sites/Groups                 und Power BI.

    o Benenne & sende die Publishing-Policy ab.
publishing labels

Empfohlener Ansatz ist eine Kombination aus globalen und begrenzten Label-Policies:

  • Unternehmensweite Labels können in einer globalen Policy veröffentlicht werden, die für alle gilt.
  • Für Labels mit restriktiveren Einstellungen erstellst du begrenzte Policies, die auf bestimmte Gruppen zielen, z. B. dein Top-Management oder eine bestimmte Abteilung.
  • Die Vertraulichkeit von Daten sollte immer berücksichtigt werden, wenn du Labels veröffentlichst, um sicherzustellen, dass sensible Informationen korrekt geschützt sind.

Wenn du Labels zum ersten Mal einführst, nutze sie nie sofort umfangreich. Starte mit einer kleinen Pilotgruppe, hol Feedback ein und verbessere. Sorge dafür, dass die Benutzer genug Training bekommen.

Label-Policy-Einstellungen erlauben dir, Features wie mandatory labeling, default labeling für neuen Inhalt und Vererbung von Labels aus E-Mail-Anhängen zu konfigurieren. Ich rate dir zu einem Schritt-für-Schritt-Vorgehen. Sorgfältige Implementierung stellt eine bessere langfristige Akzeptanz sicher.

Wichtiger Hinweis: Es kann bis zu 24 Stunden dauern, bis deine neuen Labels bei den Benutzern erscheinen, besonders in den Office-Desktop-Apps. Keine Panik, wenn die Labels nicht sofort sichtbar sind.


Verwaltung von Sensitivity Labels

Die Verwaltung von Sensitivity Labels ist ein zentraler Aspekt von Microsoft Purview.

Die Verwaltung umfasst das Erstellen und Konfigurieren von Labels, das Anwenden auf Daten sowie das Überwachen und Berichten über ihre Nutzung.

Zum Beispiel können Administratoren Labels erstellen, die automatisch auf E-Mails angewendet werden, die sensible Informationen enthalten. Durch das Überwachen der Label-Nutzung können Unternehmen sicherstellen, dass ihre Daten entsprechend den festgelegten Sicherheitsrichtlinien geschützt sind.


Integration mit Microsoft Teams

Microsoft Teams ist eine wichtige Plattform für Zusammenarbeit und Kommunikation in Organisationen.

Sensitivity Labels können auch mit Microsoft Teams integriert werden, was es möglich macht, Daten innerhalb von Teams zu schützen und zu klassifizieren.

Benutzer können Sensitivity Labels auf Dateien und Dokumente anwenden, die über Teams geteilt werden, um sicherzustellen, dass nur autorisierte Personen darauf zugreifen können.

teams

Diese Integration verbessert Sicherheit und Compliance, indem sie sicherstellt, dass vertrauliche Daten selbst bei Zusammenarbeit geschützt bleiben.

Das ist besonders wichtig in der heutigen digitalen Landschaft, in der Remote-Arbeit Tag für Tag zunimmt. Wenn du eine detaillierte Übersicht von diesem Thema brauchst, kannst du es hier lesen.

Einschränkungen

Achte auf die folgenden Einschränkungen:

  • Sensitivity Labels werden von den Teams Graph APIs und PowerShell-Cmdlets nicht unterstützt.

Benutzer können beim Erstellen von Teams über Teams Graph APIs oder PowerShell-Cmdlets keine Sensitivity Labels setzen. Aber die Modern Groups APIs/Cmdlets unterstützen Sensitivity Labels während der Gruppenerstellung. Du kannst Gruppen mit Sensitivity Labels erstellen und diese Gruppen anschließend in Teams umwandeln.

  • Unterstützung für private Kanäle

Private Kanäle, die innerhalb von Teams erstellt werden, erben das Sensitivity Label, das auf ein Team angewendet wurde. Dasselbe Label wird automatisch auf die SharePoint-Site-Sammlung des privaten Kanals angewendet.

Wenn jedoch ein Benutzer das Sensitivity Label auf einer SharePoint-Site für einen privaten Kanal ändert, wird diese Label-Änderung nicht im Teams-Client angezeigt. In diesem Szenario sehen Benutzer weiterhin das ursprüngliche Sensitivity Label, das auf das Team im Kopf des privaten Kanals angewendet wurde.


Sicherheit und Compliance

Sensitivity Labels helfen Unternehmen, ihre Compliance-Anforderungen zu erfüllen und Sicherheitsrisiken zu minimieren.

Unternehmen können mithilfe von Sensitivity Labels sicherstellen, dass ihre Daten entsprechend ihrer Sensitivität klassifiziert und geschützt sind. Das hilft, Datenlecks und unbefugten Zugriff zu verhindern und gewährleistet Compliance.

Es bietet eine zusätzliche Schutzschicht, die sicherstellt, dass nur autorisierte Benutzer auf vertrauliche Daten zugreifen können und letztlich hilft, regulatorische Anforderungen zu erfüllen.


Best Practices für die Verwendung von Sensitivity Labels

Um Sensitivity Labels in deinen Organisationen erfolgreich zu implementieren, musst du diese Best Practices befolgen:

  • Klassifiziere nach Sensitivitätsstufe – Erstelle klare Kategorien (Public, Internal, Confidential, Highly Confidential), ausgerichtet an deinen Datenschutzrichtlinien.
  • Integriere mit DLP – Verbinde Labels mit Data Loss Prevention-Richtlinien, um automatisch Datenlecks zu verhindern und Sicherheitsregeln durchzusetzen.
  • Automatisiere wo möglich – Verwende Auto-Labeling, um Labels basierend auf Inhaltsmustern, Schlüsselwörtern oder sensiblen Datentypen anzuwenden.
  • Wende Verschlüsselung und Berechtigungen an – Konfiguriere Labels, um Inhalt zu verschlüsseln und Aktionen wie Kopieren, Drucken oder Weiterleiten einzuschränken.
  • Überwache Nutzung regelmäßig – Überprüfe Label-Anwendung durch Compliance-Berichte und richte Warnungen für Missbrauch oder unautorisierten Zugriff ein.
  • Überprüfe und verfeinere kontinuierlich – Aktualisiere Labeling-Regeln regelmäßig, um Genauigkeit zu erhalten, Über-/Unter-Labeling zu verhindern und dich an neue Bedrohungen anzupassen.
  • Setze Labels über alle Services ein – Wende Labels konsistent über SharePoint, Teams, OneDrive und Exchange an, indem du zentrale Verwaltungstools verwendest.
  • Schule Benutzer und bleib aktuell – Biete fortlaufendes Training zur richtigen Label-Verwendung und halte Schritt mit den neuesten Sicherheitsfunktionen von Microsoft 365.
best practices

Indem du diese Best Practices befolgst, können Organisationen die Vorteile von Sensitivity Labels nutzen und ihre Sicherheit und Compliance verbessern.


Zusammenfassung

Ich hoffe, dir im Artikel gezeigt zu haben, welche Möglichkeiten Sensitivity Labels uns bieten können.

Microsoft Purview Sensitivity Labels revolutionieren den Datenschutz, indem sie vertrauliche Informationen über Microsoft 365 hinweg automatisch klassifizieren und verschlüsseln.
Es erzeugt einen unsichtbaren Sicherheitsschild, der Datenpannen verhindert und Compliance gewährleistet, ohne die Produktivität zu stören.

Durch diesen Leitfaden habe ich die wertvollsten Funktionen der Plattform demonstriert – von KI-gestütztem Auto-Labeling bis hin zur umfassenden Containersicherheit.
Diese Funktionen arbeiten zusammen, um deiner Organisation einen Schutz auf Unternehmensniveau zu geben.

Schau dir die anderen Tutorials und Tipps an, die ich bereits auf meinem „Blog“ geteilt habe.
Dort findest du auch weitere Artikel zu Microsoft-sicherheitsrelevanten Themen, einschließlich Microsoft Defender for Cloud Apps, Microsoft Intune, der Enterprise & Mobility Suite, Microsoft 365 Defender oder Microsoft Information Protection.

Wenn du Fragen hast, melde dich gern bei mir!


Aaron Siller hat seit 2014 umfangreiche Erfahrung in der Migration zu Microsoft Office 365, Exchange Online, Intune und Azure aufgebaut. Gerne stellt er Ihrem Unternehmen sein Können und das seines qualifizierten Teams zur Verfügung. Seit der Einführung dieses leistungsfähigen Tools gehören Microsoft Teams Schulungen als wichtiger Bestandteil aller Digitalisierungsmaßnahmen mit zum Programm.

Mehr zu Aaron Siller
Kommentare
{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>