SharePoint-Berechtigungen: Warum sie außer Kontrolle geraten und wie Sie sie in den Griff bekommen

SharePoint ist der Ort, an dem KMU am häufigsten ungewollte Datenlecks erleben: Ordner, die „jeder im Unternehmen" sehen kann, obwohl man dachte, sie seien intern. Hier die mentalen Modelle dazu.

SharePoint-Berechtigungen sind mehrschichtig — was auf Site-Ebene gilt, unterscheidet sich von dem, was für eine Bibliothek, einen Ordner oder eine einzelne Datei gilt. Das ist gleichzeitig die Stärke des Systems und der Grund, warum es so oft schiefläuft.

Die 3 Ebenen

1. Site-Ebene: Wer hat überhaupt Zugriff auf die Site? Drei Rollen: Owner, Member, Visitor.
2. Bibliotheks-/Listenebene: Abweichende Berechtigungen pro Dokumentbibliothek.
3. Element-Ebene: Einzelne Dateien oder Ordner mit abweichenden Berechtigungen.

Warum es außer Kontrolle gerät

• Nutzer klicken im Teilen-Dialog auf „Anyone with the link". Das erzeugt einen anonymen Link.
• „Everyone in your organization" klingt intern — schließt aber in manchen Konfigurationen auch Gäste ein.
• Vererbte Berechtigungen: Abweichungen auf Element-Ebene, die niemand mehr nachverfolgt.
• Verwaiste Berechtigungen: Jemand ist nicht mehr im Unternehmen, die Berechtigungen bleiben aber bestehen.

Hygiene

• Stellen Sie als Standard „only people you specify" beim Teilen ein. „Anyone with link" nur auf ausdrücklichen Wunsch.
• Vierteljährliches Review: Sites mit > 50 Mitgliedern. Noch aktuell?
• Nach abweichenden vererbten Berechtigungen suchen: „View permissions" → „Advanced".
• DLP-Richtlinien für sensible Dateitypen in Betracht ziehen (Gehaltsabrechnungen, Verträge).

Aufbewahrung + Berechtigungen

Retention Policies legen fest, wie lange etwas gespeichert bleibt. Berechtigungen legen fest, wer es sehen kann. Beides ist unabhängig voneinander — ein Dokument, das laut Aufbewahrungsrichtlinie erhalten bleiben muss, aber für alle sichtbar ist, ist trotzdem ein Datenleck. Siehe Retention Policies.

Siehe auch: OneDrive-Freigaberichtlinie, M365-Pillar.