ISMS

SharePoint und OneDrive sicher konfigurieren: Freigaben, DLP und Klassifizierung

20 Min. Lesezeit
TL;DR
  • Die Standardkonfiguration von SharePoint Online erlaubt jedem Benutzer, Dateien mit anonymen Links extern freizugeben. Das ist für die meisten Unternehmen deutlich zu offen.
  • Eine abgestufte Freigaberichtlinie mit Tenant-weiten Standardeinstellungen und Site-spezifischen Einschränkungen balanciert Zusammenarbeit und Sicherheit.
  • Sensitivity Labels klassifizieren Dokumente nach Schutzbedarf und erzwingen automatisch Verschlüsselung, Zugriffseinschränkungen und DLP-Richtlinien.
  • DLP-Richtlinien verhindern die Freigabe sensibler Daten und sollten im Testmodus starten, bevor sie blockierend wirken.
  • Regelmäßige Audits der externen Freigaben und Zugriffsberichte sind für das ISMS unverzichtbar und decken die Controls A.5.12 bis A.5.14 und A.8.3 ab.

Das Problem: Unkontrollierte Freigaben

SharePoint Online und OneDrive for Business sind die zentralen Orte, an denen Unternehmensdaten in Microsoft 365 gespeichert werden. Jedes Team-Dokument, jede Projektdatei, jede Kundenpräsentation liegt in SharePoint oder OneDrive. Und genau hier liegt das Problem: Die Standardkonfiguration ist auf maximale Zusammenarbeit ausgelegt, nicht auf maximalen Schutz.

In einem frisch eingerichteten Tenant kann jeder Benutzer jede Datei mit jedem beliebigen externen Empfänger teilen, auch mit anonymen "Anyone"-Links, die ohne Anmeldung funktionieren. Ein Mitarbeiter teilt eine Projektdatei per Link mit einem externen Partner, vergisst das Ablaufdatum, und drei Monate später ist der Link immer noch aktiv und mit jedem teilbar, der ihn kennt. Oder schlimmer: Eine vertrauliche Kundenliste wird per "Anyone"-Link geteilt, der Link gerät in falsche Hände, und die Datei ist für die ganze Welt zugreifbar.

Das ist kein hypothetisches Szenario. In Audits tauchen regelmäßig SharePoint-Sites auf, die dutzende aktive externe Freigaben haben, von denen die Site-Owner nichts wissen. OneDrive-Ordner mit Kundendaten, die über längst vergessene Links extern erreichbar sind. Und niemand hat den Überblick, weil die Standardkonfiguration keine Benachrichtigungen und keine automatischen Ablaufdaten vorsieht.

Freigaberichtlinien: Die Grundlage

SharePoint Online kennt vier Freigabestufen, die auf Tenant-Ebene und pro Site individuell konfiguriert werden können:

Stufe 1: Anyone (am wenigsten restriktiv) Jeder kann anonyme Links erstellen, die ohne Anmeldung funktionieren. Der Link ist die einzige Zugriffskontrolle. Wer den Link hat, hat Zugriff.

Stufe 2: New and existing guests Externe Benutzer müssen sich mit einem Microsoft-Konto oder einem Einmalcode per E-Mail authentifizieren. Neue Gäste können ohne vorherige Einladung durch den Admin hinzugefügt werden.

Stufe 3: Existing guests Externe Freigaben sind nur mit Personen möglich, die bereits als Gast im Entra ID-Verzeichnis existieren. Neue Gäste müssen zuerst vom Admin eingeladen werden.

Stufe 4: Only people in your organization (am restriktivsten) Keine externen Freigaben möglich. Nur interne Benutzer haben Zugriff.

Die Tenant-weite Einstellung ist die obere Grenze: Eine einzelne SharePoint-Site kann restriktiver konfiguriert werden als der Tenant, aber nie offener. Wenn der Tenant auf "Existing guests" steht, kann keine Site "Anyone"-Links erlauben.

Empfohlene Konfiguration für den Mittelstand:

Setze die Tenant-weite Einstellung auf "New and existing guests". Das erlaubt externe Zusammenarbeit mit authentifizierten Gästen, verhindert aber anonyme Links. Für Sites mit sensiblen Daten (Personalwesen, Finanzen, Geschäftsführung) konfiguriere die Site-spezifische Einstellung auf "Only people in your organization" oder "Existing guests".

Detaileinstellungen für Freigaben

Neben der grundsätzlichen Freigabestufe gibt es weitere Einstellungen, die du konfigurieren solltest:

Ablaufdatum für Gastfreigaben: Setze ein Standard-Ablaufdatum für alle externen Freigaben. Nach Ablauf wird der Zugriff automatisch entfernt, und der Benutzer muss die Freigabe bewusst erneuern. Empfehlung: 30 Tage für reguläre Freigaben, 90 Tage für Projektkooperationen.

Ablaufdatum für "Anyone"-Links: Falls du "Anyone"-Links auf Tenant-Ebene erlaubst (was wir nicht empfehlen), setze ein kurzes Ablaufdatum von maximal 7 Tagen.

Standardlinktyp: Ändere den Standardlinktyp von "Anyone" auf "People in your organization" oder "Specific people". Das verhindert, dass Benutzer aus Gewohnheit den offensten Linktyp verwenden.

Berechtigungsstufe für Links: Setze den Standard auf "View" (nur Ansicht) statt "Edit" (Bearbeiten). Benutzer können bei Bedarf immer noch Bearbeitungsrechte vergeben, aber der Standard ist restriktiver.

Domain-Einschränkungen: Du kannst eine Allow-List oder Block-List für externe Domains konfigurieren. Eine Allow-List, die nur die Domains deiner Geschäftspartner enthält, verhindert Freigaben an beliebige externe Adressen.

Sensitivity Labels: Datenklassifizierung in der Praxis

Freigaberichtlinien sind die erste Verteidigungslinie, aber sie unterscheiden nicht zwischen einem harmlosen Besprechungsprotokoll und einem vertraulichen Vertragsentwurf. Sensitivity Labels bringen diese Unterscheidung in SharePoint und OneDrive: Du klassifizierst Dokumente nach ihrem Schutzbedarf gemäß deiner Klassifizierungsrichtlinie, und das Label steuert automatisch, was mit dem Dokument passieren darf.

Klassifizierungsschema definieren

Bevor du Labels technisch einrichtest, brauchst du ein Klassifizierungsschema, das zum Unternehmen passt. Für die meisten mittelständischen Unternehmen reichen drei bis vier Stufen, abgeleitet aus der Schutzbedarfsfeststellung:

Öffentlich (Public):

  • Informationen, die ohne Einschränkung geteilt werden dürfen
  • Beispiele: Marketingmaterialien, öffentliche Pressemitteilungen, allgemeine Produktinformationen
  • Keine technischen Einschränkungen

Intern (Internal):

  • Standardklassifizierung für die meisten Unternehmensdokumente
  • Beispiele: Besprechungsprotokolle, interne Präsentationen, Prozessdokumentation
  • Freigabe auf die eigene Organisation beschränkt

Vertraulich (Confidential):

  • Sensible Geschäftsinformationen mit eingeschränktem Empfängerkreis
  • Beispiele: Finanzdaten, Vertragsentwürfe, Strategiepapiere, Kundendaten
  • Verschlüsselung aktiviert, externe Freigabe nur an bestimmte Domains, kein Download auf nicht verwalteten Geräten

Streng vertraulich (Highly Confidential):

  • Höchste Schutzklasse für die sensibelsten Daten
  • Beispiele: M&A-Dokumente, Gehaltsübersichten, Geschäftsgeheimnisse
  • Starke Verschlüsselung, Zugriff nur für definierte Benutzergruppen, Wasserzeichen, kein Drucken, kein Kopieren

Labels technisch einrichten

Sensitivity Labels werden im Microsoft Purview Compliance Center erstellt und über Label Policies an Benutzer verteilt:

  1. Labels erstellen: Für jede Stufe ein Label mit den entsprechenden Schutzeinstellungen (Verschlüsselung, Zugriffsrechte, Inhaltsmarkierung, Wasserzeichen).
  2. Label Policy erstellen: Definiert, welche Benutzer welche Labels sehen und verwenden können, und ob ein Standardlabel automatisch angewendet wird.
  3. Standardlabel setzen: "Intern" als Standardlabel für alle neuen Dokumente. So wird jedes Dokument automatisch mit einem Mindestschutz versehen.
  4. Begründung bei Herabstufung: Wenn ein Benutzer ein Label von "Vertraulich" auf "Intern" ändert, muss er eine Begründung angeben. Das verhindert versehentliche Herabstufungen.

Auto-Labeling (E5-Lizenz)

Mit einer E5-Lizenz oder einem Information Protection-Add-on kannst du Sensitivity Labels automatisch anwenden. Das System scannt den Inhalt von Dokumenten und E-Mails und wendet das passende Label an, wenn bestimmte Muster erkannt werden (z.B. Kreditkartennummern, Personalausweisnummern, Gesundheitsdaten).

Auto-Labeling ist besonders wertvoll für Unternehmen, die sich nicht darauf verlassen können, dass alle Mitarbeitenden die Labels konsequent manuell anwenden. Es erfordert aber eine sorgfältige Konfiguration und Testphase, um False Positives zu vermeiden.

DLP-Richtlinien für SharePoint und OneDrive

Data Loss Prevention (DLP) ergänzt Sensitivity Labels um eine aktive Kontrolle: Während Labels definieren, wie ein Dokument geschützt werden soll, verhindern DLP-Richtlinien, dass geschützte Dokumente auf unerlaubtem Weg das Unternehmen verlassen.

DLP-Richtlinien schrittweise einführen

DLP-Richtlinien, die sofort blockieren, führen zu Frustration und Workarounds. Starte mit dem Testmodus und aktiviere die Blockade erst, wenn du die False-Positive-Rate kennst.

Phase 1: Erkennung (4 Wochen)

  • DLP-Richtlinien im Testmodus (Test it out first) erstellen
  • Policy Tips aktivieren (Benutzer sehen eine Warnung, können aber weiter teilen)
  • Auswertung: Welche Richtlinien matchen? Wie hoch ist die False-Positive-Rate? Welche Abteilungen sind betroffen?

Phase 2: Warnung (4 Wochen)

  • Richtlinien auf "Show policy tips and send notifications" umstellen
  • Benutzer werden aktiv gewarnt und können eine Begründung angeben, um die Freigabe trotzdem durchzuführen (User Override)
  • Auswertung: Wie oft nutzen Benutzer den Override? Sind die Overrides berechtigt?

Phase 3: Blockade

  • Richtlinien auf "Block" umstellen für Szenarien mit hohem Risiko
  • User Override für bestimmte Szenarien mit niedriger Confidence beibehalten
  • Regelmäßige Auswertung und Anpassung der Richtlinien

Empfohlene DLP-Richtlinien

Personenbezogene Daten (DSGVO):

  • Muster: Deutsche Personalausweisnummern, Steuer-IDs, Sozialversicherungsnummern, IBAN
  • Scope: SharePoint, OneDrive, Exchange, Teams
  • Aktion: Warnung bei niedrigem Confidence, Blockade bei hohem Confidence
  • Ausnahmen: Personalabteilung (benötigt diese Daten regulär, aber mit höherer Schwelle)

Finanzdaten:

  • Muster: Kreditkartennummern, Bankverbindungen, Gehaltsabrechnungen (Keyword-basiert)
  • Scope: SharePoint, OneDrive, Exchange
  • Aktion: Blockade bei externer Freigabe, Warnung bei interner Weiterleitung an große Gruppen

Dokumente mit Sensitivity Label "Vertraulich" oder "Streng vertraulich":

  • Muster: Alle Dateien mit den entsprechenden Labels
  • Scope: SharePoint, OneDrive, Exchange, Teams, Endgeräte (Endpoint DLP)
  • Aktion: Blockade bei externer Freigabe, Benachrichtigung an den Datenschutzbeauftragten

Versionierung und Papierkorb

SharePoint und OneDrive verfügen über eine automatische Versionierung und einen zweistufigen Papierkorb, die zusammen einen robusten Schutz gegen versehentliches oder böswilliges Löschen und Überschreiben bieten.

Versionierung konfigurieren

Jede Änderung an einem Dokument erstellt automatisch eine neue Version. Du kannst die Anzahl der aufbewahrten Versionen konfigurieren:

  • Empfehlung: 50-100 Hauptversionen für reguläre Dokumentbibliotheken
  • Für kritische Bibliotheken: Bis zu 500 Versionen
  • Nebenversionen (Minor Versions): Aktiviere Nebenversionen für Dokumentbibliotheken mit formellen Genehmigungsprozessen

Die Versionierung schützt gegen Ransomware, die Dateien verschlüsselt: Du kannst eine frühere, unverschlüsselte Version wiederherstellen. SharePoint bietet dafür sogar eine Bulk-Wiederherstellung, die alle Dateien einer Bibliothek auf einen bestimmten Zeitpunkt zurücksetzt.

Papierkorb

SharePoint verwendet einen zweistufigen Papierkorb:

  1. Erster Papierkorb (93 Tage): Gelöschte Dateien landen hier und können vom Benutzer wiederhergestellt werden.
  2. Zweiter Papierkorb (93 Tage ab dem Zeitpunkt der Löschung): Wenn eine Datei aus dem ersten Papierkorb gelöscht wird, wandert sie in den zweiten Papierkorb und kann nur vom Site-Admin wiederhergestellt werden.

Insgesamt sind gelöschte Dateien also 93 Tage lang wiederherstellbar, bevor sie endgültig gelöscht werden. Für die meisten Unternehmen ist das ausreichend, aber prüfe, ob dein Löschkonzept andere Fristen vorsieht.

Audit und Monitoring

Ohne regelmäßiges Monitoring verlierst du den Überblick über die tatsächlichen Freigaben und Zugriffe. SharePoint bietet mehrere Möglichkeiten, den Sicherheitszustand zu überwachen:

Sharing Reports im SharePoint Admin Center

Das SharePoint Admin Center bietet Berichte über die Freigabeaktivitäten:

  • Anzahl der externen Freigaben pro Site
  • Am häufigsten extern geteilte Dateien
  • Benutzer mit den meisten externen Freigaben
  • Aktive "Anyone"-Links

Werte diese Berichte mindestens monatlich aus und suche nach Anomalien: Ungewöhnlich viele externe Freigaben einer bestimmten Site, Freigaben an unbekannte Domains, "Anyone"-Links auf sensiblen Sites.

Unified Audit Log

Das Unified Audit Log zeichnet alle Dateiaktivitäten in SharePoint und OneDrive auf: Zugriffe, Downloads, Uploads, Freigaben, Änderungen an Berechtigungen. Richte Alert Policies für kritische Ereignisse ein:

  • Massendownload: Ein Benutzer lädt innerhalb kurzer Zeit ungewöhnlich viele Dateien herunter (mögliche Datenexfiltration)
  • Externe Freigabe von "Vertraulich"-Dateien: Eine Datei mit dem Sensitivity Label "Vertraulich" wird extern geteilt
  • Site-Berechtigungsänderung: Die Berechtigungen einer SharePoint-Site werden von einem Nicht-Admin geändert

Access Reviews

Bei Entra ID P2 kannst du automatische Access Reviews für SharePoint-Sites und -Gruppen einrichten. Die Site-Owner werden regelmäßig aufgefordert, die Zugriffsliste zu überprüfen und nicht mehr benötigte Zugänge zu entfernen. Das ist besonders wertvoll für Gastkonten, die nach Projektende oft vergessen werden.

SharePoint- und OneDrive-Sicherheit im ISMS

Die Sicherheitskonfiguration von SharePoint und OneDrive adressiert mehrere ISO 27001-Controls und gehört als TOM in dein ISMS:

A.5.12 (Klassifizierung von Informationen):

  • Klassifizierungsschema mit Sensitivity Labels
  • Standardlabel für alle neuen Dokumente
  • Auto-Labeling-Regeln (bei E5)
  • Schulung der Mitarbeitenden zur korrekten Klassifizierung

A.5.13 (Kennzeichnung von Informationen):

  • Visuelle Markierung durch Labels (Header, Footer, Wasserzeichen)
  • Automatische Kennzeichnung basierend auf Inhaltsanalyse

A.5.14 (Informationstransfer):

  • Freigaberichtlinien auf Tenant- und Site-Ebene
  • DLP-Richtlinien gegen unkontrollierten Datenabfluss
  • Verschlüsselung durch Sensitivity Labels

A.8.3 (Zugriffsbeschränkung auf Informationen):

  • Site-spezifische Berechtigungen und Freigabestufen
  • Conditional Access für SharePoint-Zugriff
  • Gerätecompliance als Zugangsvoraussetzung

A.8.10 (Löschung von Informationen):

  • Versionierung als Schutz gegen unbeabsichtigtes Löschen
  • Papierkorb mit 93 Tagen Aufbewahrung
  • Retention Policies für compliance-gerechte Aufbewahrung und Löschung

A.8.12 (Data Leakage Prevention):

  • DLP-Richtlinien für personenbezogene und vertrauliche Daten
  • Policy Tips und Blockaden
  • Regelmäßige Auswertung der DLP-Reports

Dokumentation im ISMS

Dokumentiere für das ISMS nicht nur die technische Konfiguration, sondern auch die zugehörigen Prozesse. In ISMS Lite lassen sich Freigaberichtlinien, DLP-Konfigurationen und Klassifizierungsschemata als TOMs erfassen und den ISO 27001-Controls zuordnen:

  • Freigabe-Richtlinie: Wer darf was extern teilen? Unter welchen Bedingungen? Mit welchen Einschränkungen?
  • Klassifizierungs-Richtlinie: Welche Stufen gibt es? Wer klassifiziert? Was passiert bei falscher Klassifizierung?
  • DLP-Betrieb: Wer wertet die DLP-Reports aus? Wie wird auf Verstöße reagiert? Wie oft werden Richtlinien überprüft?
  • Audit-Prozess: Wie oft werden externe Freigaben überprüft? Wer ist verantwortlich? Was passiert bei Auffälligkeiten?

Häufige Fehler bei der SharePoint-Sicherheit

Auch wenn die einzelnen Maßnahmen technisch nicht anspruchsvoll sind, gibt es wiederkehrende Fehler, die den Sicherheitsgewinn zunichtemachen oder organisatorische Probleme verursachen.

Freigaben auf Tenant-Ebene einschränken, aber Site-Ebene vergessen: Die Tenant-Einstellung ist die obere Grenze, aber sensible Sites brauchen eine restriktivere Konfiguration. Eine globale Einstellung von "New and existing guests" schützt die HR-Site nicht, wenn dort keine strengere Site-Richtlinie greift. Identifiziere die Sites mit sensiblen Daten und konfiguriere sie individuell.

Sensitivity Labels ohne Schulung einführen: Wenn du Labels ausrollst, ohne die Mitarbeitenden zu schulen, werden sie entweder ignoriert oder falsch angewendet. Ein falsch klassifiziertes Dokument ist schlimmer als ein nicht klassifiziertes, weil es ein falsches Sicherheitsgefühl erzeugt. Plane Schulungen ein, die an konkreten Beispielen aus dem Arbeitsalltag zeigen, welches Label wann passt.

DLP sofort auf Block schalten: DLP-Richtlinien, die ohne Evaluierungsphase direkt blockieren, erzeugen Frustration und Workarounds. Mitarbeitende, die eine dringende Datei nicht teilen können, suchen sich andere Wege: private E-Mail, USB-Stick, WhatsApp-Foto vom Bildschirm. Diese Alternativen sind allesamt unsicherer als die kontrollierte Freigabe, die du mit DLP eigentlich absichern wolltest.

Externe Freigaben komplett deaktivieren: Die Versuchung ist groß, externe Freigaben einfach abzuschalten. In der Praxis führt das dazu, dass Mitarbeitende Dateien per E-Mail als Anhang verschicken, über private Cloud-Dienste teilen oder auf USB-Sticks kopieren. Die kontrollierte externe Freigabe über SharePoint mit Authentifizierung, Ablaufdatum und Audit-Log ist sicherer als jede dieser Alternativen.

Keine regelmäßige Überprüfung der Freigaben: Selbst mit restriktiven Freigabeeinstellungen sammeln sich über Monate hinweg externe Freigaben an, von denen die Site-Owner nichts mehr wissen. Ohne regelmäßige Überprüfung (mindestens quartalsweise) bleiben veraltete Freigaben aktiv und vergrößern die Angriffsfläche.

Praxisbeispiel: Freigabe-Governance für ein 80-Personen-Unternehmen

Die Schneider Consulting GmbH, ein Beratungsunternehmen mit 80 Mitarbeitenden und Microsoft 365 E3, steht vor einer typischen Herausforderung: Die Berater arbeiten intensiv mit externen Kunden zusammen und müssen Dokumente teilen. Gleichzeitig enthält SharePoint vertrauliche Kundendaten, Strategiepapiere und interne Finanzdaten, die auf keinen Fall nach außen gelangen dürfen.

Die Lösung ist ein abgestuftes Modell mit drei Kategorien von SharePoint-Sites:

Kategorie 1: Projekt-Sites (externe Zusammenarbeit erlaubt)

  • Freigabestufe: "New and existing guests"
  • Ablaufdatum für Gastfreigaben: 90 Tage
  • Standardlinktyp: "Specific people"
  • Sensitivity Label: "Intern" (Standard) oder "Vertraulich" (bei sensiblen Projekten)
  • Jeder Projekt-Site wird ein Gastzugangsverantwortlicher zugeordnet, der quartalsweise die Zugriffslisten prüft

Kategorie 2: Abteilungs-Sites (nur intern)

  • Freigabestufe: "Only people in your organization"
  • Keine externe Freigabe möglich
  • Sensitivity Label: "Intern"
  • Site-Owner ist die Abteilungsleitung

Kategorie 3: Management-Sites (streng vertraulich)

  • Freigabestufe: "Only people in your organization"
  • Zugriff nur für definierte Personengruppen
  • Sensitivity Label: "Streng vertraulich" (Verschlüsselung, kein Download auf nicht verwalteten Geräten)
  • Access Reviews quartalsweise

Dieses Modell erlaubt die notwendige Zusammenarbeit mit externen Kunden, schützt aber gleichzeitig interne und vertrauliche Daten. Die Kategorisierung wird bei der Erstellung jeder neuen Site festgelegt und im ISMS als Prozess dokumentiert.

Checkliste: SharePoint und OneDrive absichern

Maßnahme Priorität Umsetzung
Tenant-weite Freigabestufe einschränken Kritisch Sofort
Standardlinktyp auf "Specific people" ändern Hoch Sofort
Ablaufdatum für Gastfreigaben setzen Hoch Sofort
"Anyone"-Links deaktivieren oder stark einschränken Hoch Sofort
Sensible Sites auf "Only people in your organization" Hoch Woche 1
Sensitivity Labels definieren und ausrollen Hoch Woche 1-4
DLP-Richtlinien im Testmodus erstellen Mittel Woche 2-4
Audit Log und Alert Policies konfigurieren Hoch Woche 1
Sharing Reports monatlich auswerten Mittel Laufend
Access Reviews für Gastkonten einrichten Mittel Woche 4
Versionierung auf allen Bibliotheken prüfen Niedrig Woche 2
DLP von Testmodus auf Blockade umstellen Mittel Nach 8 Wochen

Weiterführende Artikel

SharePoint Sicherheit OneDrive Sicherheit DLP SharePoint Sensitivity Labels Externe Freigaben Datenklassifizierung ISMS ISO 27001

Datensicherheit im ISMS dokumentieren

ISMS Lite hilft dir, Freigaberichtlinien, DLP-Konfigurationen und Klassifizierungsschemata als TOMs zu dokumentieren und die Wirksamkeit regelmäßig nachzuweisen.

Jetzt installieren