Laura Korn. OpEx w/ Microsoft Cloud

Das nächste Problem mit Information Protection?

Der Prozess steht.
Das Angebot wird in Dynamics 365 erstellt, über Power Automate freigegeben und sauber dokumentiert.
Auch die Klassifizierung ist definiert: Öffentlich oder Vertraulich – Strategisch.

Auf dem Papier ist damit alles vorhanden, was man braucht. Und trotzdem funktioniert es immer noch nicht in vielen Unternehmen.

Wieso? Weil das, was logisch klingt, im Alltag nicht konsequent umgesetzt wird.

Bleiben wir beim Angebot.

Der Vertrieb erstellt ein neues Dokument, basierend auf einem bestehenden Template. Das Angebot enthält diesmal nicht nur individuelle Rabatte sondern enthält strategische Informationen und ist damit eigentlich klar „Vertraulich – Strategisch“.

Das Problem: Das Label wird nicht gesetzt.

Nicht aus bösem Willen, sondern weil es im Moment keine Rolle spielt.
Der Fokus liegt auf dem Kunden, dem Abschluss, der Geschwindigkeit.

Das Dokument wird gespeichert, zur Freigabe geschickt, genehmigt und später vielleicht noch einmal angepasst.
Technisch gesehen läuft alles korrekt. Prozessual auf erster Ebene sogar auch.
Nur die Klassifizierung fehlt.

Und damit fehlt der Kontext.

Was dann konkret passiert

Ein paar Wochen später taucht das Angebot an einer Stelle auf, an der es nicht erwartet wurde.

Vielleicht, weil es intern weitergeleitet wurde.
Vielleicht, weil jemand Zugriff auf die Bibliothek hatte.
Vielleicht, weil Copilot Inhalte daraus in einem anderen Kontext verwendet.

Plötzlich stellt sich eine Frage, die unangenehm präzise ist: War dieses Dokument eigentlich als sensibel eingestuft?
Und die ehrliche Antwort lautet oft: Wir wissen es nicht.

Der eigentliche Grund für das Scheitern

Information Protection scheitert selten an der eigentlichen Implementierung in Microsoft Purview, sondern daran, dass Klassifizierung als zusätzlicher Schritt verstanden wird – statt als Teil des Prozesses.

Solange der User aktiv entscheiden muss „Welches Label wähle ich jetzt?“ wird er in vielen Fällen irgendeine Entscheidung treffen oder sogar gar keine. Nicht, weil er es nicht besser weiß, sondern weil es nicht sein primärer Fokus ist.

Und genau hier entsteht das Problem:
Ein optionaler Schritt wird zur Grundlage für alles Weitere.

Die typische Reaktion darauf ist: Mehr Policies. Mehr Hinweise. Mehr Pflichtfelder. Nur leider erzeugt auch das oft nur mehr Widerstand.
User klicken sich durch Pflichtauswahlen, ohne die Logik dahinter zu verstehen.
Labels werden gesetzt, aber nicht gelebt.

Wie man es im gleichen Beispiel besser macht

Wenn man das Angebots-Szenario konsequent weiterdenkt, ergibt sich ein anderer Ansatz.

Die Klassifizierung darf nicht von der Aufmerksamkeit des Users abhängen.
Sie muss sich aus dem Prozess selbst ergeben.

Im konkreten Fall:

Das Angebot entsteht nicht isoliert, sondern im Kontext eines Deals in Dynamics 365. Dort sind bereits Informationen vorhanden, die eine Einordnung ermöglichen:

  • Gibt es individuelle Rabatte?
  • Handelt es sich um einen strategischen Kunden?

Diese Informationen können genutzt werden, um die Klassifizierung automatisch abzuleiten. Beim Erstellen oder Speichern des Dokuments wird das entsprechende Label gesetzt – nicht als Option, sondern als Ergebnis einer Regel.

Ein Angebot mit Sonderkonditionen wird automatisch „Vertraulich – Strategisch“.
Ein Standardangebot bleibt „Öffentlich“.

Der User muss nichts entscheiden, weshalb die Entscheidung konsistent ist.

Der Unterschied ist weniger technisch als strukturell. Die Klassifizierung ist nicht mehr etwas, das „auch noch gemacht werden muss“, sondern ein integraler Bestandteil des Prozesses und damit

  • nachvollziehbar
  • reproduzierbar
  • überprüfbar

Und plötzlich sind auch die nachgelagerten Funktionen von Purview sinnvoll nutzbar:

  • Zugriffskontrolle
  • Audit Logs
  • Nachvollziehbarkeit von Zugriffen
  • Grundlage für Copilot-Auswertungen
Konkrete Handlungsempfehlungen

Wenn Information Protection bei dir heute nicht zuverlässig funktioniert, liegt es mit hoher Wahrscheinlichkeit nicht an fehlenden Features. Drei Dinge machen in der Praxis den Unterschied:

  1. Reduziere die Komplexität radikal.
    Zwei Labels für solche Szenarien wie in unserem Beispiel reichen oft aus – entscheidend ist die Klarheit, nicht die Granularität.
  2. Entferne manuelle Entscheidungen, wo immer es geht, aber lass so viel Freiheiten wie notwendig sind um die Arbeit sinnvoll auszuführen. Wenn ein Label wichtig ist, darf es nicht optional sein.
  3. Verankere Klassifizierung im Ursprung des Prozesses. Nicht beim Dokument selbst, sondern dort, wo die Information entsteht – im CRM, im Prozess, im Kontext.
Fazit

Information Protection wirkt oft wie ein technisches Thema, ist aber ein Konsistenzproblem.
Solange Klassifizierung von individuellen Entscheidungen abhängt, bleibt sie unzuverlässig. Erst wenn sie Teil des Prozesses wird, entsteht das, was man eigentlich erreichen will:
eine belastbare Grundlage für Sicherheit, Compliance und den sinnvollen Einsatz von Technologie.

Hinterlasse einen Kommentar