Laura Korn. OpEx w/ Microsoft Cloud

Exact Data Match (EDM) gilt in Microsoft Purview oft als „Königsdisziplin“ des Labelings – und das zu Recht. Im Gegensatz zu klassischen Sensitive Information Types (SITs), die auf Mustern wie Zahlenfolgen oder regulären Ausdrücken basieren, arbeitet EDM mit echten, bekannten Datensätzen. Das bedeutet: Statt „sieht aus wie eine Personalnummer“ prüft das System, ob es sich tatsächlich um eine bekannte Personalnummer handelt. Genau diese Präzision macht EDM so attraktiv – aber auch deutlich anspruchsvoller in der Umsetzung.

Was gibt es zu beachten?

Der erste wichtige Punkt ist: EDM ist kein Feature, das man einfach „einschaltet“. Es lebt komplett von der Qualität der zugrunde liegenden Daten. Bevor überhaupt an Labeling zu denken ist, muss klar sein, welche Daten verwendet werden, wie aktuell sie sind und ob sie wirklich den Schutzbedarf widerspiegeln. Ein häufiger Fehler ist, einfach einen Export aus einem HR- oder CRM-System zu nehmen und diesen ungeprüft zu verwenden. Wenn dort veraltete, unvollständige oder doppelte Datensätze enthalten sind, überträgt sich dieses Problem direkt in die Klassifizierung – mit entsprechend falschen Ergebnissen.

Ein weiterer zentraler Aspekt ist die Datenaufbereitung. EDM funktioniert nicht mit „rohen“ Daten, sondern mit speziell aufbereiteten und gehashten Werten. Dabei müssen die Felder exakt so strukturiert sein, wie sie später auch in Dokumenten oder E-Mails vorkommen. Schon kleine Abweichungen – etwa unterschiedliche Formatierungen, zusätzliche Leerzeichen oder verschiedene Schreibweisen – können dazu führen, dass ein eigentlich vorhandener Treffer nicht erkannt wird. Das führt zu einem der weniger offensichtlichen Fallstricke: False Negatives sind bei EDM oft das größere Problem als False Positives. (Bei SITs z. B. hat man meist mehr false positives)

Viele unterschätzen außerdem die Bedeutung der Feldkombinationen. EDM entfaltet seine Stärke erst dann richtig, wenn mehrere Attribute kombiniert werden, etwa Name + Personalnummer oder E-Mail + Kundennummer. Das erhöht die Genauigkeit massiv, bringt aber auch Komplexität mit sich: Wenn eines der Felder im Dokument fehlt oder anders geschrieben ist, greift die Erkennung nicht mehr. Hier ist ein gutes Verständnis der tatsächlichen Datenverwendung im Unternehmen entscheidend – nicht nur der Datenstruktur im Quellsystem.

Ein besonders kritischer, aber oft übersehener Punkt ist der Lebenszyklus der EDM-Daten. Datensätze ändern sich ständig: Mitarbeiter verlassen das Unternehmen, Kunden werden gelöscht, IDs werden neu vergeben. Wenn die EDM-Datenbank nicht regelmäßig aktualisiert wird, verliert das System schleichend an Qualität. EDM ist also kein einmaliges Setup, sondern ein kontinuierlicher Prozess.

Auch organisatorisch bringt EDM die altbekannten Herausforderungen mit sich. Die Abstimmung zwischen Fachbereichen (z. B. HR oder Finance) und IT ist essenziell, da nur die Fachbereiche wirklich beurteilen können, welche Daten kritisch sind und in welchen Kontexten sie auftauchen. Gleichzeitig müssen Datenschutz und Compliance eingebunden werden, da hier mit hochsensiblen Informationen gearbeitet wird – selbst wenn diese gehasht sind.

Ein weiterer Fallstrick liegt in der Erwartungshaltung: EDM wird oft als „perfekte“ Lösung für alle sensiblen Daten gesehen. In der Realität ist es aber nur für klar definierte, strukturierte Datentypen geeignet. Für unstrukturierte Inhalte wie strategische Dokumente oder freie Texte stößt EDM an seine Grenzen. Wer versucht, EDM als universelle Lösung einzusetzen, wird zwangsläufig enttäuscht.

Technisch sollte EDM außerdem nie isoliert betrachtet werden. Seine volle Wirkung entfaltet es erst im Zusammenspiel mit anderen Mechanismen wie SITs und kontextbasiertem Labeling, etwa über Speicherorte. Gerade diese Kombination ermöglicht es, sowohl strukturierte als auch unstrukturierte Daten sinnvoll abzudecken und die jeweiligen Stärken auszuspielen.

Am Ende ist EDM ein extrem mächtiges Werkzeug – aber eben kein Selbstläufer. Wer sich die Zeit nimmt, Datenqualität, Struktur, Prozesse und Governance sauber aufzusetzen, wird mit einer sehr präzisen und zuverlässigen Klassifizierung belohnt. Wer jedoch glaubt, mit einem schnellen Import von Daten „fertig“ zu sein, läuft Gefahr, ein System zu bauen, das zwar technisch funktioniert, aber fachlich am Bedarf vorbeigeht.