Adaptive Protection: Intelligenter Schutz vor Datenverlust

Unternehmen investieren hohe Summen in die Absicherung gegen externe Angriffe. Datenlecks oder IP-Diebstahl haben ihre Ursache jedoch häufig bei den Mitarbeitenden, die versehentlich Informationen teilen oder Opfer von Phishing werden. Herkömmliche Sicherheitslösungen stossen hier an Grenzen. Sie nutzen meist starre Verbote, die entweder die Sicherheit vernachlässigen oder die Produktivität einschränken. Genau hier setzt Adaptive Protection an. Als Funktion der Microsoft 365 E5 Security Suite ersetzt sie pauschale Regeln durch eine dynamische Risikobewertung in Echtzeit. In diesem Beitrag von Intecso erläutern wir, wie die Technologie funktioniert und wie Sie Datenverlust verhindern, ohne Ihre Mitarbeitenden bei der Arbeit einzuschränken.

Was ist Adaptive Protection?

Adaptive Protection ist ein Bestandteil von Microsoft Purview Insider Risk Management und verändert die Art und Weise, wie Unternehmen ihre Daten schützen. Bisherige Sicherheitslösungen wie Data Loss Prevention (DLP) arbeiten oft statisch: Regeln werden einmal festgelegt und gelten für alle Benutzer gleichermassen – unabhängig davon, ob sich eine Person gerade risikoreich verhält oder nicht.

Um dies zu optimieren, kombiniert Adaptive Protection Machine Learning (maschinelles Lernen), DLP sowie Conditional Access (bedingter Zugriff). Das Ziel ist es, Sicherheitsrichtlinien nicht mehr pauschal, sondern dynamisch an das tatsächliche Risiko-Verhalten von Benutzern anzupassen.

Ein typisches Beispiel für solche starren Vorgaben lautet: „Alle dürfen auf SharePoint zugreifen, niemand darf Daten auf USB-Sticks kopieren“. Anstatt diese pauschalen Vorgaben zu nutzen, bewertet Adaptive Protection kontinuierlich das Verhalten jedes Benutzers.

In die Bewertung von Adaptive Protection fliessen verschiedene Risiko-Indikatoren ein, die das System im Hintergrund analysiert, wie beispielsweise:

• Ungewöhnliche Datenbewegungen, wie zum Beispiel das Herunterladen von grossen Dateimengen in einem sehr kurzen Zeitraum, was auf einen Datendiebstahl hindeuten könnte.
• Dateiübertragungen an unsichere Orte, etwa wenn Dokumente an private E-Mail-Adressen gesendet oder auf externe USB-Speichermedien kopiert werden.
• Manipulation oder Löschung von sensiblen Dokumenten, insbesondere Versuche, Vertraulichkeitskennzeichnungen zu entfernen oder wichtige Dateien zu vernichten.
• Zugriffe ausserhalb des normalen Musters, beispielsweise Logins aus untypischen geografischen Regionen oder zu Zeiten, in denen der Benutzer normalerweise nicht arbeitet.

Je nachdem, wie schwerwiegend diese Indikatoren sind, weist Adaptive Protection dem Benutzer eine Risikostufe zu und reagiert automatisch darauf.

Wie funktioniert Adaptive Protection?

Die technische Umsetzung von Adaptive Protection basiert auf einem dreistufigen Kreislauf, der kontinuierlich im Hintergrund abläuft. Dieser Prozess sorgt dafür, dass Sicherheitsmassnahmen nicht statisch bleiben, sondern sich der aktuellen Situation anpassen.

1. Der erste Schritt ist die Analyse und Einstufung durch das Insider Risk Management. Das System beobachtet die Aktivitäten der Benutzer und bewertet diese anhand der definierten Risikoindikatoren. Basierend auf diesem Verhalten ordnet Adaptive Protection jedem Mitarbeiter dynamisch ein Risikolevel zu. Diese Einstufung reicht dabei von einem niedrigen über ein mittleres bis hin zu einem hohen Risiko. Ein Benutzer, der sich unauffällig verhält, verbleibt auf einer niedrigen Stufe, während verdächtige Aktionen zu einer sofortigen Hochstufung führen.
2. Erreicht ein Benutzer eine kritische Risikostufe, erfolgt im zweiten Schritt die automatische Anpassung der Zugriffsrechte. Hierbei arbeitet Adaptive Protection eng mit Microsoft Entra ID Sobald der Status auf ein hohes Risiko springt, wirken vordefinierte Mechanismen, um potenzielle Schäden abzuwenden. Typische Massnahmen in dieser Phase sind:

• Das Blockieren des Zugriffs auf sensible Cloud-Anwendungen, um Datenabfluss zu verhindern.
• Die Erzwingung einer erneuten Authentifizierung mittels Multi-Faktor-Authentifizierung, um sicherzustellen, dass das Konto nicht kompromittiert wurde.
• Die gezielte Einschränkung von Funktionen wie dem Hochladen oder Herunterladen von Dateien in bestimmten Diensten.

3. Im dritten Schritt kommt die Integration mit Data Loss Prevention (DLP) und Compliance-Richtlinien zum Tragen. Adaptive Protection sorgt dafür, dass DLP-Regeln nicht mehr starr für alle gelten, sondern kontextabhängig angewendet werden. Sobald ein hohes Risiko erkannt wird, aktiviert das System automatisch strengere DLP-Richtlinien für den betroffenen Benutzer. Das kann bedeuten, dass das Teilen, Drucken oder Kopieren von vertraulichen Dokumenten technisch unterbunden wird, solange das Risikolevel erhöht bleibt. Sobald sich das Verhalten des Benutzers wieder normalisiert, werden die Einschränkungen automatisch aufgehoben.

Ein Praxisbeispiel für Adaptive Protection

Angenommen, ein Mitarbeiter plant das Unternehmen zu verlassen und möchte Projektunterlagen mitnehmen. Innerhalb eines Zeitfensters von nur 24 Stunden lädt er plötzlich eine ungewöhnlich grosse Menge an Dateien aus Microsoft Teams und SharePoint herunter. Anschliessend versucht er, diese Daten an seine private Gmail-Adresse zu senden.

Ohne adaptive Schutzmassnahmen würde dieser Vorgang oft unbemerkt bleiben oder erst dann auffallen, wenn der Datenabfluss bereits geschehen ist. Mit Adaptive Protection erkennt das System dieses veränderte Verhalten jedoch sofort als Anomalie. Es registriert die Kombination aus Massen-Download und dem Ziel einer privaten E-Mail-Adresse. Daraufhin stuft es die Person automatisch in die Kategorie High Risk ein. Diese neue Risikobewertung löst ohne Zeitverzögerung strengere Sicherheitsrichtlinien aus, um den Schaden abzuwenden.

Adaptive Protection leitet in so einem Fall automatisch nachfolgende Schritte ein:

• Der weitere Zugriff auf sensible Inhalte wird blockiert, sodass der Mitarbeiter keine zusätzlichen vertraulichen Dokumente mehr öffnen kann.
• Uploads in externe Dienste oder private E-Mail-Postfächer wie Gmail oder Dropbox werden technisch unterbunden, wodurch der Versand der Dateien scheitert.
• Ein Sicherheitsverantwortlicher erhält automatisch eine Benachrichtigung, um den Vorfall manuell zu überprüfen und gegebenenfalls weitere rechtliche oder personaltechnische Schritte einzuleiten.

Welche Vorteile bietet Adaptive Protection?

Wer Adaptive Protection nutzt, profitiert von einer intelligenten Verknüpfung bestehender Microsoft 365 Funktionen. Dies führt zu einer effizienteren Arbeitsweise der IT-Abteilung und erhöht gleichzeitig das Schutzniveau für sensible Daten.

Die zentralen Pluspunkte im Überblick:

• Proaktive Sicherheit bedeutet, dass Adaptive Protection Risiken erkennt, noch bevor ein Schaden entsteht. Anstatt erst auf einen erfolgten Datenabfluss zu reagieren, interveniert die Technologie bereits bei den ersten Anzeichen von Gefahr und verhindert den Verlust von Informationen.
• Durch einen hohen Grad an Automatisierung entfällt die zeitaufwendige manuelle Überwachung. Die IT-Administration muss keine endlosen Protokolle mehr auswerten, da Adaptive Protection die Analyse und Reaktion eigenständig übernimmt und Ressourcen in der IT freisetzt.
• Der Ansatz ist streng datenschutzkonform und stört den Arbeitsfluss nicht unnötig. Restriktive Richtlinien werden erst dann aktiviert, wenn ein tatsächliches Risiko vorliegt. Mitarbeiter ohne auffälliges Verhalten arbeiten weiterhin ohne Einschränkungen, was die Akzeptanz der Sicherheitsmassnahmen erhöht.
• Die nahtlose Integration in die bestehende Umgebung ist ein weiterer Vorteil. Adaptive Protection arbeitet direkt mit vorhandenen E5-Komponenten wie Data Loss Prevention und Conditional Access zusammen, ohne dass komplexe neue Schnittstellen eingerichtet werden müssen.

Wann lohnt sich Adaptive Protection?

Die Implementierung dieser erweiterten Sicherheitsfunktion ist besonders für Unternehmen empfehlenswert, die ihre digitale Umgebung modernisieren möchten. In folgenden Fällen ist die Aktivierung besonders sinnvoll:

• Unternehmen, die bereits in Microsoft 365 E5 Lizenzen investiert haben oder Microsoft Purview Funktionen nutzen, schöpfen ihr Potenzial oft nicht voll aus. Adaptive Protection ist in diesen Paketen enthalten und lässt sich ohne zusätzliche Lizenzkosten aktivieren, was den Return on Investment der bestehenden Lizenzen verbessert.
• Wenn vertrauliche Informationen in SharePoint, OneDrive oder Microsoft Teams liegen, steigt die Gefahr eines unbeabsichtigten Datenverlustes. Adaptive Protection sichert diese spezifischen Kanäle gezielt ab und verhindert, dass sensible Daten die geschützte Microsoft 365 Umgebung verlassen.
• Wer dem Prinzip des Zero Trust folgt, vertraut keinem Benutzerkonto blind. Adaptive Protection unterstützt diesen strategischen Ansatz perfekt. Es vergibt Berechtigungen nicht dauerhaft, sondern überprüft diese kontinuierlich anhand des aktuellen Risikos. Damit wird das Konzept der ständigen Verifikation technisch durchgesetzt.

Intelligentes Risikomanagement in Echtzeit

Mit Adaptive Protection erreichen Sie eine neue Qualität Ihrer IT-Sicherheit. Anstatt sich auf statische Vorgaben zu verlassen, profitieren Sie von einer Technologie, die selbstständig lernt. Das Resultat ist ein höheres Sicherheitsniveau für Ihr Unternehmen bei gleichzeitig reduziertem Aufwand für die Administration.

Wir von der Intecso AG unterstützen Sie gerne dabei, Ihre Microsoft 365 Umgebung zu analysieren und diese intelligenten Sicherheitsfunktionen optimal für Ihre Anforderungen zu konfigurieren.