Was ist Windows Information protection – WIP?

Windows Information Protection oder auch WIP ist eine Methode, um Ihre Geschäftsdaten zu schützen. Ihre Daten werden in Geschäftsdaten (Sharepoint / Outlook / Fileshares etc.) und private Daten (persönliche Mails etc) unterteilt.

Der Administrator kann den Zugriff auf geschäftliche Daten einschränken in dem man entsprechende Berechtigungen zuweist. Nur weil jemand Zugriff auf die Daten hat, heisst das aber nicht, dass die Daten im geschützten Bereich ihrer Unternehmung bleiben. Alle Administratoren wissen, wenn Benutzer etwas nicht machen können/dürfen, dann finden Sie, meist sehr erfinderisch, einen anderen Weg. Kann ein Benutzer die Daten beispielsweise nicht mit jemand anderem direkt ‘teilen’, dann werden die Daten einfach irgendwo in einen öffentlichen Bereich hochgeladen und von dort zugänglich gemacht.

Hier hilft WIP:

Windows Information protection, kurz WIP unterstützt Sie als IT Verantwortlichen für die Datensicherheit, indem sie entsprechende Regeln definieren:

  • Welche Daten sind geschäftlich und schützenswert und wo sind diese abgelegt?
  • Welche Programme dürfen auf diese Daten zugreifen?
  • Was soll passieren, wenn eine Regel verletzt wird?

Microsoft Office:

Microsoft Office sowie der Microsoft Edge Chromium Browser sind sogenannte ‘Fully enlightened’ Applikationen, das heisst, hier ist es möglich, innerhalb der Applikation, zu entscheiden welche Daten geschäftlich oder privat sind. Ein schönes Beispiel ist Microsoft Outlook. Nehmen wir an, ein Benutzer hat in Outlook sowohl den geschäftlichen Account wie auch einen privaten Account aktiv. Ohne WIP könnte der Benutzer geschäftliche Daten sowohl mit dem Firmen Account wie auch mit dem privaten Account verschicken. Mit WIP ist dies nicht möglich. Outlook lässt in diesem Fall (sofern entsprechend konfiguriert) den Zugriff auf die Firmendaten nur noch via Firmen Account zu. Auch ein ‘Copy/Paste’ Versuch von einem Firmenmail in ein privates Mail, wird unterbunden.

Der Zugriff auf die Geschäftsdaten muss in jeder Applikation explizit erlaubt werden. Um den Aufwand diesbezüglich zu minimieren, kann man prinzipiell die Signaturen der Applikationen nutzen und sowohl Wildcards in den Versionen oder Applikationsnamen wie auch ganze Hersteller pauschal freischalten, sofern diese als vertrauenswürdig gelten.

In den letzten Jahren tauchten auch immer wieder diverse ‘Verschlüsselungstrojaner’ auf. WIP ist auch ein guter Schutz gegen diese Methode, da sämtliche Programme, welche nicht explizit freigeschaltet werden, keinerlei Zugriff auf geschäftlichen Daten haben.

Benutzer Erfahrung:

Wird versucht ein geschütztes Dokument an einen nichtgeschützten Ort zu laden, beispielsweise auf den persönlichen Gmail Account, so erhält der Benutzer eine entsprechende Warnung:

Wird versucht mit Copy/Paste geschäftliche Inhalte in ein privates Dokument zu kopieren so erscheint folgende Meldung:

Wird dem Benutzer erlaubt, die Aktion zu überschreiben, so sieht die Meldung folgendermassen aus:

Zusätzlich kann auch festgelegt werden, ob geschäftliche Dokument als solches lokal mittels Icon ersichtlich sein sollen:

WIP Voraussetzung:

Damit sie WIP einsetzen können benötigen sie eine Mobile Device Management (MDM) Lösung – optimalerweise Microsoft Intune.

Warum sollten sie WIP einsetzen:

  • Sicheres lokales Speichern von Firmendaten
    • Wenn Benutzer beispielsweise Daten von ihrem Sharepoint lokal abspeichern oder auf einem USB Device ablegen, so werden diese automatisch verschlüsselt
  • Geschützte Applikationen
    • Nur ihre (verwalteten) Applikationen haben Zugriff auf die Firmendaten. Benutzer können keine Firmendaten in eine nichtverwalteten Applikation kopieren oder innerhalb dieser nutzen
  • Verwaltete Applikationen
    • Definieren sie, welche Applikationen Zugriff auf ihre Daten haben
  • Entscheiden Sie über die Art des Schutzes
    • WIP erlaubt es entweder den Datenaustausch zu blockieren, nachzufragen oder einfach nur ‘still’ aufzuzeichnen
  • Datenverschlüsselung auf Nummer sicher
    • Wird beispielsweise ein Word Dokument von einem geschützten Bereich geöffnet und in einen privaten Bereich mit einem anderen Namen gespeichert, so erkennt Word (mittels WIP) dies und klassifiziert dieses Dokument ebenfalls als geschäftliches Dokument
  • Schutz gegen versehentliches veröffentlichen von Dokumenten
    • Firmen Daten können nicht aus versehen auf einen USB Stick oder auf einen öffentlichen Web Upload kopiert werden
  • Löschen von geschäftlichen Daten bei Austritt eines Benutzers
    • Der Zugriff auf WIP geschützte Daten wird automatisch blockiert, wenn ein entsprechendes Device in Intune gelöscht wird. Dadurch kann der Zugriff auf die geschäftlichen Daten gesperrt werden, während gleichzeitig der Zugriff auf die persönlichen Daten vorhanden bleibt

Wie funktioniert WIP:

WIP verschlüsselt alle geschäftlichen Daten transparent mittels IRM Technologie auf lokalen Datenträgern (Harddisk/USB usw.), welche nicht direkt zum geschützten Bereich gehören (Sharepoint, Fileserver usw). Kopiert ein Benutzer bspw. ein Dokument von ihrem Fileserver auf ein USB Laufwerk, so kann dieses Dokument nur noch auf einem Firmengerät mit einem Firmenbenutzer gelesen werden, nicht aber auf privaten oder öffentlichen Devices. Ein zusätzlicher Schutz mittels separater Verschlüsselung ist nicht mehr notwendig. Ausserdem wird die ‘Applocker’ Methode benutzt für Zugriffslimitierung der Applikationen.

WIP hat drei Grundfunktionen

  • Blockieren – der Austausch von geschäftlichen zu privaten Daten wird unterbunden
  • Allow Override – Wenn eine Regel anschlägt, so erfolgt eine Warnung an den Benutzer, dieser hat jedoch die Möglichkeit die Aktion zu überschreiben
  • Silent – Alle Aktionen und Regeln werden protokolliert, es erfolgt jedoch keine Aktion beim Benutzer
  • Off – WIP ist deaktiviert und es ist kein Schutz aktiv

WIP kann jederzeit deaktiviert werden, ohne dass ein Datenverlust erfolgt. Allfällige verschlüsselte lokale Dokumente werden automatisch entschlüsselt.