Ist Microsoft Purview sicher?

-und warum diese Frage zu kurz greift.

Einordnung: Warum die Debatte um die Sicherheit von Microsoft Purview gerade wieder aufkommt

Deutschland war schon immer ein cloud-skeptisches Land.Diese Skepsis wurde lange relativiert – nicht zuletzt, weil die USA als verlässlicher Partner galten.

Mit der aktuellen politischen Lage rückt diese Diskussion wieder in den Vordergrund. Verunsicherung entsteht – und sie richtet sich aktuell häufig auf Microsoft und damit auch auf Microsoft Purview.

In vielen Gesprächen sehe ich dabei dasselbe Muster: unterschiedliche Ebenen werden vermischt. Politische, rechtliche und technische Fragen landen in einer einzigen, sehr pauschalen Frage: „Ist Purview sicher?“

Diese Blogserie setzt genau hier an. Ziel ist es, die Ebenen sauber zu trennen – und anschließend dort in die Tiefe zu gehen, wo Sicherheit technisch bewertet und gestaltet werden kann.

Die zentrale Frage nach Sicherheit - und warum sie zu kurz greift

Die Frage „Ist Microsoft Purview sicher?“ begegnet mir aktuell häufig. Sie ist verständlich – greift aber zu kurz. Nicht, weil sie falsch ist, sondern weil sie zu viele unterschiedliche Themen in einem Satz bündelt.

Je nach Gesprächspartner kann diese Frage ganz Unterschiedliches bedeuten: Sorge vor politischen Entwicklungen, Misstrauen gegenüber US-Anbietern, Unsicherheit über Cloud-Architekturen oder ganz konkrete technische Fragen zu Datenzugriff, Verschlüsselung oder Klassifizierung.

Solange diese Ebenen nicht getrennt werden, lässt sich die Frage nicht sinnvoll beantworten. Technische Sicherheit wird dann mit geopolitischen Risiken vermischt, Produktfunktionen mit grundsätzlichem Anbieter-Vertrauen. Das Ergebnis ist weniger Klarheit – und mehr Verunsicherung.

Bevor man also über Sicherheit spricht, lohnt sich ein Schritt zurück: Auf welcher Ebene wird diese Frage eigentlich gestellt? Genau hier setzt diese Serie an.

Worum es in dieser Blogserie geht

Der Impuls für diese Blogserie kommt aus meiner täglichen Arbeit. Ich nehme wahr, dass aktuell sehr viele Ebenen gleichzeitig diskutiert werden – und dass auf diesem unscharfen Fundament kaum tragfähige Entscheidungen entstehen können. Alles fühlt sich irgendwie unsicher an, aber selten ist klar, wovon genau eigentlich die Rede ist.

Als technische Expertin ist mir deshalb zweierlei wichtig: Zum einen möchte ich die Ebenen sichtbar machen, die hier gerade durcheinanderlaufen. Zum anderen möchte ich dort Klarheit schaffen, wo ich fachlich fundiert Auskunft geben kann – auf der technischen Ebene.

Gleichzeitig ist mir wichtig, die Grenzen sauber zu halten. Politische, rechtliche oder geopolitische Bewertungen gehören nicht zu meinem Schwerpunkt. Diese Fragen sind relevant, aber sie brauchen andere Perspektiven. Dort, wo solche Ebenen berührt werden, verstehe ich diese Serie eher als Einladung, die Diskussion an die entsprechenden Expert:innen weiterzugeben.

Mein Beitrag ist Ordnung, technische Einordnung und Transparenz – als Grundlage für bessere, klarere Entscheidungen.

Die Ebenen, die aktuell vermischt werden

Wenn über die Sicherheit von Microsoft Purview gesprochen wird, geht es in der Regel nicht um eine einzelne Sorge. Tatsächlich liegen mehrere unterschiedliche Unsicherheiten übereinander, die häufig unbewusst miteinander vermischt werden.

1. Geopolitische und rechtliche Ebene

2. Anbieter- und Vertrauensebene

3. Cloud- und Infrastrukturebene

4. Produktebene

5. Konfigurations- und Betriebsebene

1. Geopolitische und rechtliche Ebene

   Die Basis aller Ebenen ist der geopolitische und rechtliche Rahmen. Die Unsicherheit, die hier mitschwingt, ist die Frage, ob es sicher ist ein Softwareprodukt aus einem anderen Land zu verwenden. (In diesem Fall aus den USA.)

   
   

   Was passiert, wenn sich die politische Lage weiter zuspitzt?

   
   

   Ganz konkret taucht dabei immer wieder die Frage auf, ob ein US-Präsident wie Trump verlangen könnte, dass ein US-Unternehmen Zugriff auf Kundendaten gewährt – und ob Microsoft einem solchen Verlangen nachkommen müsste oder könnte.

   
   

   Diese Unsicherheit hat nichts mit einem einzelnen Produkt zu tun. Sie betrifft die grundsätzliche Frage, wie staatliche Macht, Rechtssysteme und internationale Abhängigkeiten auf globale Cloudanbieter wirken.

   
   

2. Anbieter- und Vertrauensebene

   Danach folgt die Ebene des Anbieter-Vertrauens. Hier steckt eine sehr grundsätzliche Unsicherheit dahinter: An welchen Stellen muss ich einem Anbieter vertrauen, wenn ich Software nicht selbst entwickle?

   
   

   Die ehrliche Antwort ist: Solange ich nicht selbst entwickle und betreibe, muss ich dem Anbieter immer zu einem gewissen Grad vertrauen. Das gilt für jede Software, bei jedem Hersteller – unabhängig davon, ob es sich um Cloud-Services, Sicherheitslösungen oder klassische On-Prem-Produkte handelt. Verschlüsselung, Zugriffsschutz, Update-Mechanismen oder interne Prozesse lassen sich nicht vollständig von außen kontrollieren.

   
   

   Die eigentliche Frage auf dieser Ebene lautet daher nicht, ob man vertrauen muss, sondern ob der Anbieter vertrauenswürdig ist. Also ob er transparent arbeitet, klare Zusagen macht, diese technisch nachvollziehbar umsetzt und sich seiner Verantwortung bewusst ist. Diese Ebene ist keine technische Detailfrage, sondern eine bewusste Grundentscheidung für oder gegen einen Anbieter.

   
   

3. Cloud- und Infrastrukturebene

   Eine weitere Ebene ist die Cloud- und Infrastrukturebene. Die Unsicherheit hier ist technischer Natur: Wo liegen meine Daten tatsächlich, und wer kann grundsätzlich darauf zugreifen?

   Fragen nach Datenstandorten, Plattformzugriffen, Verschlüsselung und Schlüsselverwaltung gehören hierher.

   Diese Ebene ist zumindest teilweise technisch gestaltbar, wird in der Diskussion aber häufig mit politischen oder rechtlichen Fragestellungen vermischt.

   
   

4. Produktebene

   Hinzu kommt die Produktebene. Die Unsicherheit an dieser Stelle lautet oft: Was macht der konkrete Service eigentlich wirklich? Werden Inhalte gesehen oder nur Metadaten verarbeitet? Findet eine Analyse statt, und wenn ja, zu welchem Zweck? Diese Fragen beziehen sich auf das tatsächliche Verhalten des Produkts und nicht auf abstrakte Cloud- oder Anbieterrisiken.

   
   

5. Konfigurationsebene

   Die Unsicherheit auf dieser Ebene besteht in den eigenen Informationssicherheitsvorgaben. Wie gut sind die durchdachte und entsprechen sie dem aktuellen Stand der Technik? Und auch wenn dem so ist, müssen sie technisch einwandfrei umgesetzt sein, um wirkliche Sicherheit zu gewährleisten.

   
   

   Hier geht es um die konkrete Ausgestaltung von Richtlinien, Klassifizierungen, DLP-Regeln, Rollen- und Berechtigungskonzepten sowie um deren Zusammenspiel. Diese Ebene beschreibt, was ein Unternehmen technisch vorgibt. Schwächen oder Inkonsistenzen in der Konfiguration werden in der Praxis häufig als Produkt- oder Anbieterrisiko wahrgenommen, obwohl sie auf dieser Ebene entstehen.

   
   

6. Betriebsebene

   Die Unsicherheit auf dieser Ebene liegt darin, ob die technisch definierten Vorgaben im laufenden Betrieb konsistent eingehalten werden. Betrieb umfasst Prozesse, Verantwortlichkeiten, Monitoring, den Umgang mit Ausnahmen sowie Reaktionen auf Sicherheitsvorfälle.

   
   

   Auch eine Konfiguration, die dem Stand der Technik entspricht, entfaltet nur dann Wirkung, wenn sie im Alltag verstanden, angewendet und überprüft wird. Abweichungen im Betrieb werden häufig erst dann sichtbar, wenn es zu Incidents kommt, und werden nicht selten dem Produkt oder dem Anbieter zugeschrieben.

Solange diese Ebenen nicht getrennt betrachtet werden, bleibt die Diskussion unscharf. Die Sorgen sind dann zwar real, aber sie führen nicht zu einer klaren Entscheidungsgrundlage.

Warum die Trennung der Ebenen entscheidend ist

Wenn diese Ebenen nicht sauber getrennt werden, entstehen Diskussionen, die sich im Kreis drehen. Politische Sorgen werden auf technische Produkte projiziert, technische Details sollen grundlegende Vertrauensfragen beantworten, und am Ende bleibt vor allem eines: Unsicherheit.

Auf dieser Basis lassen sich kaum belastbare Entscheidungen treffen. Maßnahmen greifen ins Leere, weil sie auf der falschen Ebene ansetzen. Entweder werden technische Lösungen überfrachtet oder grundsätzliche Vertrauensfragen sollen durch Konfiguration „gelöst“ werden.

Erst wenn klar ist, auf welcher Ebene eine Unsicherheit entsteht, wird eine sachliche Bewertung möglich. Dann lässt sich entscheiden, welche Fragen technisch beantwortbar sind, welche strategisch geklärt werden müssen – und wo andere Expert:innen gefragt sind.

Diese Trennung schafft keine absolute Sicherheit. Sie schafft aber Klarheit. Und Klarheit ist die Voraussetzung für tragfähige Entscheidungen.

Ausblick: Wo diese Serie tiefer geht

In den nächsten Artikeln verlasse ich diese übergeordnete Einordnung und gehe gezielt in die technische Tiefe. Im Fokus stehen dabei die Ebenen, die tatsächlich gestaltbar sind: Cloud-Architektur, Produktverhalten und konkrete Konfigurationen.

Ich werde beleuchten, wie Microsoft Purview technisch arbeitet, welche Daten verarbeitet werden, wo Kontrolle entsteht – und wo nicht. Ziel ist es, dort Klarheit zu schaffen, wo technische Fakten helfen, Unsicherheit aufzulösen.

Die Ebenen, die sich nicht technisch beantworten lassen, lasse ich bewusst dort, wo sie hingehören. Diese Serie versteht sich als Beitrag zur sachlichen Einordnung – nicht als abschließende Bewertung.