DLP in SharePoint 2016 On-Premises funktioniert nun besser

BUUUH!!! Pünktlich zu Halloween gibt es ein paar Neuigkeiten und regelrechte Horror-Storys am Ende dieses Beitrages.

Zunächst einmal funktioniert nun die DLP (Data Lost Prevention) in der On-Premises Version von SharePoint 2016. In der Vergangenheit wurde einfach nie ein Dokument markiert, wenn es gegen eine DLP-Richtlinie verstoßen hat. Mit dem September CU für SharePoint Server 2016 wurde diese Funktion nun endlich fehlerfrei etabliert und auch der Export einer DLP-Query mit der eDiscovery funktioniert nun.

Beide dazugehörige Artikel aus dem Frühjahr 2016 habe ich dazu aktualisiert und mit entsprechenden Tipps und Screenshots versehen.

• Governance und Compliance mit dem neuen SharePoint 2016 – DLP mit eDiscovery
  http://rob-the-ninja.de/governance-und-compliance-mit-dem-neuen-sharepoint-2016-dlp-mit-ediscovery
• Governance und Compliance mit dem neuen SharePoint 2016 – DLP im Compliance Center
  http://rob-the-ninja.de/governance-und-compliance-mit-dem-neuen-sharepoint-2016-dlp-im-compliance-center

Leider funktionieren die Email-Notifications und das Audit Logging für überschriebene Policies noch nicht. Dies finde ich besonders spannend, denn Notifications hin oder her, ich muss einfach wissen, was mit den gefunden Dokumenten geschieht bzw. ob und wie meine Benutzer möglicherweise die Richtlinien überschreiben. Denn wird der Policy Tip eines Dokuments als „False Positive“ gekennzeichnet oder die identifizierten sensiblen Informationen darin werden einfach benötigt, dann erfahre ich von diesem Überschreiben nichts. Beim nächsten Scan werden die Dokumenten auch nicht mehr geblockt – AUCH NICHT, wenn das Dokument geändert wurde.

HORRORGESCHICHTE 1: Ich lade ein Dokument hoch, das eine Kreditkarte enthält. Die DLP mit einer Regel auf Kreditkarten markiert es als sensibel und ich überschreibe diese Policy. Niemand bemerkt es und die vertraulichen Dokumente bleiben da liegen, wo sie nicht hingehören.

HORRORGESCHICHTE 2: Angenommen, der Administrator bemerkt es dennoch dank in Zukunft funktionierender Notifications oder Audits. Da es nur eine Kreditkartennummer ist, weil es z.B. eine Rechnung des Vertriebs ist, geht das Überschreiben der Policy in Ordnung. Das Dokument wird somit automatisch markiert, dass die Policy nicht mehr anschlagen soll. Das geschieht automatisch, ich kann es nicht als Administrator verhindern oder regulieren. Der Benutzer kann nun in dieses Dokument so viele Kreditkartennummern und weitere Finanzdetails packen, wie er möchte, denn die Richtlinie auf diesen Trigger wird nicht mehr ansprechen.

HORRORGESCHICHTE 3: Für O365 trifft auch Horrorgeschichte 2 zu. Glücklicher Weise kann ich dort noch die Schrecken dieses Szenarios etwas abmildern. Je Regel kann ich Aktionen für wenige Funde und für viele Funde konfigurieren. Beispielsweise erhalte ich nur eine Warnung bei nur einem einzigen Kreditkartenfund. Das Blockieren des Dokuments erfolgt ab fünf Kreditkartennummern. Nachdem ich also die Richtlinie bei wenigen Funden überschrieben habe, so löse ich sie erneut aus, wenn ich mindestens so viele zusätzliche sensiblen Informationen – also fünf Kreditkartennummern – im Dokument hinzugefügt habe, wie ich für die Richtlinie mit vielen Funde konfiguriert habe. Weiterhin könnte ich generell untersagen, ob eine Policy überhaupt überschrieben werden darf. Dies ist zwar deutlich besser, aber wirklich flexibel und sicher ist es nicht.

Bewusste Verstöße werden so sehr leicht gemacht und als Administrator kann ich mich nicht auf die eingebauten DLP Funktionen verlassen. Das ist sehr schade, aber ich hoffe, Microsoft schafft sehr bald Abhilfe.

Dennoch viel Spaß beim „SharePointen“!