Hast du deine Daten im Griff? Zero Trust hört nicht beim Login auf

Im letzten Beitrag ging es um Identität, weil sie im Zero-Trust-Modell nun mal der Einstiegspunkt ist. Wenn du nicht sauber prüfst, wer auf dein System zugreift, brauchst du über alles Weitere nicht nachdenken.

Entra ID, MFA, Conditional Access und der Gerätezustand bilden die Basis und daran führt kein Weg vorbei.

Was ich aber in der Praxis immer wieder sehe, ist ein klarer Bruch genau an diesem Punkt. Zugriff ist abgesichert, Policies sind gebaut, Geräte sind compliant und damit fühlt sich das Thema erstmal erledigt an.

Die eigentliche Frage kommt danach. Was passiert mit den Daten?

Denn wenn ein Benutzer sauber authentifiziert ist, sagt das noch nichts darüber aus, auf welche Informationen er zugreifen darf und vor allem nicht, was er damit machen kann. In vielen Umgebungen kannst du nach erfolgreichem Login problemlos komplette SharePoint-Bibliotheken synchronisieren, Dateien lokal speichern, weiterleiten oder extern teilen. Technisch alles korrekt, sicherheitstechnisch oft ein Problem.

Genau hier setzt Microsoft Purview an.

Purview ist die Ebene, in der es nicht mehr um den Zugriff selbst geht, sondern um den Umgang mit Informationen. Also darum, welche Daten du hast, wie sensibel sie sind und welche Regeln daran hängen. Dazu gehören unter anderem Sensitivity Labels, Data Loss Prevention und verschiedene Analyse- und Monitoring-Funktionen.

Sensitivity Labels sind dabei der zentrale Baustein. Ein Label ist keine optische Markierung, sondern eine Regel. Es definiert, ob eine Datei verschlüsselt wird, ob sie weitergeleitet werden darf, ob ein Download möglich ist oder ob bestimmte Bedingungen erfüllt sein müssen, damit überhaupt Zugriff besteht.

In der Praxis hat sich ein einfaches Modell bewährt. Vier Stufen reichen in den meisten Fällen aus, Öffentlich, Intern, Vertraulich und Streng vertraulich. Alles darüber hinaus wird schnell unübersichtlich und führt dazu, dass Labels entweder falsch verwendet oder komplett ignoriert werden.

Die eigentliche Herausforderung ist nicht die Technik, sondern die Frage, wer diese Klassifizierung festlegt. Das kann die IT nicht alleine entscheiden. Fachbereiche wissen, welche Daten kritisch sind, Datenschutz bewertet personenbezogene Informationen und die Geschäftsführung muss am Ende definieren, welches Risiko akzeptabel ist. Die IT übersetzt das Ganze in Policies und setzt es technisch um.

Ohne diese Abstimmung entstehen entweder zu viele Labels ohne klare Bedeutung oder zu wenige mit zu wenig Wirkung.

Der nächste Punkt ist die Umsetzung im Alltag. Wenn du erwartest, dass Benutzer jede Datei manuell korrekt klassifizieren, wirst du scheitern. In der Realität wird entweder alles als Intern abgelegt oder bewusst niedriger klassifiziert, weil es einfacher ist.

Deshalb brauchst du eine Kombination aus Default-Werten, klaren Vorgaben und Automatisierung. Ein Standardlabel wie Intern kann automatisch gesetzt werden, während für bestimmte Bereiche wie HR oder Finance eine bewusste Auswahl erforderlich ist.

Zusätzlich kann Purview anhand von Mustern erkennen, ob sensible Inhalte enthalten sind und entsprechend reagieren. Das funktioniert für Dinge wie personenbezogene Daten oder Finanzinformationen relativ zuverlässig, muss aber sauber getestet werden, bevor es produktiv greift.

Spannend wird es, wenn man das Ganze mit den bestehenden Zero-Trust-Mechanismen kombiniert.

Ein als Streng vertraulich klassifiziertes Dokument kann beispielsweise nur von verwalteten und konformen Geräten vollständig genutzt werden. Auf privaten Geräten ist dann vielleicht nur eine eingeschränkte Nutzung im Browser möglich, ohne Download oder lokale Speicherung. Das gleiche Dokument verhält sich also unterschiedlich, je nach Kontext.

Damit entsteht genau die Art von Zugriffskontrolle, die Zero Trust eigentlich beschreibt. Nicht pauschal erlauben oder blockieren, sondern abhängig von Risiko und Rahmenbedingungen entscheiden.

Ein häufiger Fehler ist, Labels nur als Einschränkung zu sehen. In dem Moment, in dem ein Label dem Benutzer keinen erkennbaren Mehrwert bietet, wird es umgangen. Wenn ein höheres Label aber automatisch Schutzmechanismen aktiviert, zum Beispiel Verschlüsselung für sicheren externen Austausch, dann wird es eher akzeptiert, weil es konkret hilft.

Neben der technischen Umsetzung spielt auch der regulatorische Druck eine Rolle. DSGVO fordert Schutz für personenbezogene Daten, ISO 27001 verlangt eine Klassifizierung von Informationen und mit NIS2 steigen die Anforderungen weiter.

Ohne strukturierte Datenklassifizierung wird es schwierig, diese Anforderungen sauber nachzuweisen. Was dabei oft unterschätzt wird, ist der Mehrwert für die IT selbst. Du bekommst Transparenz darüber, wo sensible Daten liegen, wie sie genutzt werden und wo potenzielle Risiken entstehen. Das ist die Grundlage für jede fundierte Sicherheitsentscheidung.

Wenn man das Ganze zusammenfasst, bleibt die ursprüngliche Aussage bestehen. Identität ist die Basis, ohne sie funktioniert nichts. Aber sie reicht nicht aus. Erst wenn klar ist, wie mit Daten umgegangen wird und diese Regeln auch technisch durchgesetzt werden, entsteht ein vollständiges Zero-Trust-Modell.

Die entscheidende Frage ist deshalb nicht, ob Zero Trust umgesetzt ist, weil MFA aktiviert wurde, sondern ob du tatsächlich steuern kannst, was mit deinen Daten passiert.

Und genau daran entscheidet sich, ob du deine Daten im Griff hast oder nicht.

Mit der Einführung von KI verschärft sich das Thema noch einmal deutlich und bekommt eine ganz andere Tragweite. Systeme wie Copilot greifen direkt auf die Daten zu, die in Microsoft 365 vorhanden sind, sie erzeugen daraus Kontext, Zusammenhänge und Antworten.

Das ist fachlich extrem wertvoll, weil Informationen schneller auffindbar werden und Wissen besser genutzt werden kann. Gleichzeitig bedeutet das aber auch, dass jede Schwäche in deiner Datenstruktur unmittelbar sichtbar wird.

Wenn Daten heute falsch abgelegt oder zu breit freigegeben sind, fällt das oft nicht sofort auf. Mit KI wird genau das beschleunigt. Inhalte, die vorher irgendwo verteilt lagen, werden auf einmal zusammengeführt und in einem neuen Kontext präsentiert. Das ist kein Sicherheitsproblem der KI, sondern ein Sichtbarkeitsproblem deiner bestehenden Berechtigungen und Klassifizierungen.

Genau hier wird klar, warum Datenklassifizierung kein optionales Compliance-Thema ist, sondern die Grundlage für jede sinnvolle KI-Nutzung. Sensitivity Labels und Purview definieren, welche Daten überhaupt verarbeitet werden dürfen, unter welchen Bedingungen sie sichtbar sind und wo Grenzen gezogen werden. Ohne diese Steuerung verlierst du mit steigender Datenmenge und wachsender KI-Nutzung sehr schnell die Kontrolle.

Regulatorisch ist das Thema ebenfalls relevant (Wie oben schon erwähnt). DSGVO fordert den Schutz personenbezogener Daten und eine klare Zweckbindung. ISO 27001 verlangt eine strukturierte Klassifizierung und den kontrollierten Umgang mit Informationen. Mit NIS2 steigen die Anforderungen an Risikomanagement und Sicherheitsmaßnahmen weiter an, insbesondere im Hinblick auf den Umgang mit sensiblen und geschäftskritischen Daten.

Wenn KI-Systeme auf diese Daten zugreifen, muss nachvollziehbar sein, welche Datenbasis genutzt wird und wie der Zugriff kontrolliert ist. Ohne Klassifizierung und technische Durchsetzung wird das kaum sauber argumentierbar sein.

Ein wichtiger Unterschied, der oft vermischt wird, ist der zwischen internen und externen KI-Systemen. Externe KI-Dienste können, je nach Anbieter und Konfiguration, Daten zum Training verwenden oder außerhalb der eigenen Kontrolle verarbeiten. Hier geht es primär um Datenabfluss und die Frage, welche Inhalte das Unternehmen überhaupt verlassen dürfen. Interne KI wie Copilot bleibt im eigenen Tenant, nutzt aber genau die Daten, auf die der jeweilige Benutzer Zugriff hat. Das Risiko liegt hier nicht im Abfluss, sondern in der Aggregation und Sichtbarmachung. Ein Benutzer sieht plötzlich Informationen, die er technisch lesen darf, fachlich aber vielleicht nie im Zusammenhang gesehen hätte.

Das führt zurück zum eigentlichen Punkt. KI macht schlechte Daten-Governance nicht schlimmer, sie macht sie sichtbar und skaliert sie. Gleichzeitig ist KI ein enormer Hebel, um mit großen Datenmengen sinnvoll zu arbeiten. Genau deshalb muss beides zusammen gedacht werden.

Wer KI einführt, ohne seine Daten im Griff zu haben, beschleunigt nur bestehende Schwächen. Wer Daten klassifiziert, Zugriffe sauber steuert und Purview sinnvoll nutzt, schafft die Grundlage, um KI kontrolliert und mit echtem Mehrwert einzusetzen.

Auch hier gilt am Ende das gleiche Prinzip wie im Zero-Trust-Modell.

Nicht blind vertrauen, sondern bewusst entscheiden, welche Daten genutzt werden dürfen, in welchem Kontext sie verarbeitet werden und welche Schutzmechanismen greifen. Nur dann wird KI zu einem Werkzeug und nicht zu einem Risiko.

Ich freue mich über euer Feedback, Fragen und eure Sicht zu den Themen aus diesem

Vernetzt euch gerne und schreibt mir direkt: Björn Kaleck| LinkedIn