Immer wieder stolpere ich über die Frage, was eigentlich genau passiert, wenn wir Dokumente, die mit einem Sensitivity Label versehen sind, in Microsoft Purview eDiscovery exportieren. Gerade weil Labels ja nicht nur hübsche Wasserzeichen ins Dokument zaubern, sondern oft auch richtig ernsthafte Schutzmechanismen wie Verschlüsselung und Zugriffsrechte enthalten 🔐. Also hab ich das mal für mich sauber auseinandergenommen — und ganz ehrlich: Es lohnt sich wirklich, da genauer hinzuschauen. 😉
Klassische Labels: Schutz raus, Wasserzeichen bleibt
In den allermeisten Fällen nutzen wir Labels, die zentral vom Tenant gesteuert werden. Heißt: Ich setze z. B. ein Label wie „Internal“ auf ein Dokument, und Microsoft 365 regelt automatisch, wer darauf zugreifen darf. Alles entspannt – bis zu dem Moment, wo dieses Dokument in einem eDiscovery-Case landet.
Dann passiert nämlich etwas, das viele nicht auf dem Schirm haben:
👉 Die Verschlüsselung wird beim Export explizit entfernt, damit Reviewer, Anwälte oder Behörden die Datei ohne zusätzliche Schlüssel öffnen können.
Das Label selbst verschwindet oben aus dem Menü in Word, bleibt also nicht mehr sichtbar.
Was aber weiterhin drin ist, sind die Wasserzeichen und Header/Footer — die sind ja einfach fester Bestandteil des Dokuments und kein dynamisches Feature.
Das ist aus Compliance-Sicht extrem wichtig. Nur so kann nämlich ein externer Gutachter die Datei ohne Zutun des Tenants lesen. Gleichzeitig bedeutet das aber auch: Der eigentliche technische Schutz ist damit weg 😬.
Hier mal zwei Screenshots aus meinem Test:
Hier ist das Dokument noch gelabelt, Content Marking ist aktiviert, und es liegt auch eine Verschlüsselung gemäß Label vor. Dies ist VOR dem eDiscovery-Export.
Hier ist das Dokument NACH dem eDsicovery-Export. Content-Marking ist weiterhin vorhanden. Wie links oben neben „Test 123“ an dem Fragezeichen in dem Wappensymbol zu erkennen ist, ist auf diesem Dokument kein Sesntivity Label mehr vorhanden.
User Defined Permissions: Schutz bleibt – dafür aber nicht mehr so einfach nutzbar
Richtig spannend (und manchmal auch ein bisschen gefährlich 😅) wird’s bei Labels, bei denen der Benutzer beim Setzen selbst festlegt, wer was darf. Diese „user decided permissions“ sind zwar super flexibel, können in eDiscovery aber schnell tricky werden.
So sieht das beim Enduser aus, wenn er beim Labeln direkt Viewer, Editor oder Owner definiert:
Und das kann man im Label direkt so einstellen, dass die Benutzer genau diese Freiheiten haben:
Der Clou daran: Diese Dateien bleiben auch nach dem eDiscovery-Export komplett verschlüsselt 🎯.
Heißt: In Purview tauchen sie zwar theoretisch auf, aber im Review Set sind sie nicht vorhanden. Erst im Export sind sie vorhanden, enthält dann aber die verschlüsselte Version – wer keinen passenden Key hat, schaut also sprichwörtlich in die Röhre.
Warum ist das überhaupt so wichtig?
Das ist vor allem dann entscheidend, wenn man z. B. in einem Rechtsstreit steckt oder einer Prüfung durch externe Auditoren. Bei klassischen Labels können Legal-Teams oder Behörden sofort und ohne Umwege an alle Daten ran. Bei Labels mit user-defined permissions ist das oft nicht möglich — da muss erst geklärt werden, wer Zugriff bekommt, ob Keys nachgereicht werden oder ob bestimmte Inhalte am Ende gar nicht eingesehen werden dürfen 😳.
Das sollte man unbedingt im Hinterkopf behalten, wenn man Label-Strategien entwirft. Denn so verlockend es ist, immer Encryption und manuelle Berechtigungen zu nutzen: Es kann einem später im Legal- oder Compliance-Case auch richtig auf die Füße fallen.
Ach übrigens: Ein Detail, das oft vergessen wird – die Info, welches Label eigentlich auf welchem Dokument war, ist nicht komplett weg. In einer der Export-Dateien (z. B. der großen Items.csv) steckt nämlich meist noch die GUID des Labels drin. Also sowas wie 33e0d450-ecfb-4a35-1a11-35e3277970da.
Was das genau heißt? Tja, das muss man dann separat zuordnen, also die GUID mit dem tatsächlichen Labelnamen aus dem Tenant matchen („Internal“, „Confidential“ usw.). Ohne diesen Abgleich bleibt’s leider ziemlich kryptisch 🔍.
Ich zeig euch demnächst mal genauer, wie das aussieht und wie man das auswerten kann — das ist nämlich fast schon eine eigene kleine Detektivarbeit. 🚀 Teaser für meinen nächsten Blogpost: „Was steckt eigentlich alles in der eDiscovery-Items.csv?“. Stay tuned!
Mein persönlicher Spickzettel
| Label-Typ | Im Review Set sichtbar 👀 | Im Export entschlüsselt 📂 | Schutz & Schlüssel bleiben 🔒 |
|---|---|---|---|
| Klassische Labels | ✅ | ✅ | ❌ |
| User Defined Permissions | ❌ | ❌ | ✅ |
Falls ihr dazu ähnliche Erfahrungen gemacht habt oder spannende Praxisbeispiele kennt, immer her damit! Ich finde es super interessant zu sehen, wie andere Unternehmen das handhaben 💬.
Häufige Fragen zu Purview eDiscovery & Labels
Bleiben Sensitivity Labels beim Export in Purview erhalten?
Nein, standardmäßig wird die Verschlüsselung entfernt, damit Reviewer die Datei öffnen können. Nur bei user defined permissions bleibt der Schutz bestehen.
Wie finde ich heraus, welches Label auf welchem Dokument war?
Die Items.csv enthält meist die GUID des Labels. Die musst du dann mit den Label-Definitionen aus deinem Tenant matchen, damit klar ist, was „33e0d450-…“ wirklich bedeutet.
Sind Wasserzeichen nach dem Export noch sichtbar?
Ja, weil sie statisch ins Dokument eingebettet sind. Auch wenn der technische Schutz weg ist, sieht man oft noch das visuelle Wasserzeichen.
Schreibe einen Kommentar