Purview_File-Quarantine_schützt_SharePoint_und_OneDrive_20260504_1844

Purview File-Quarantine schützt SharePoint und OneDrive

Microsoft schickt deinen DLP-Treffern endlich einen Henker hinterher: Datei zappenduster wegsperren statt nur die Tür zu verriegeln. Was nach Adminwet-Traum klingt, ist seit März 2026 Public Preview – und ab Juni GA für E5-Kunden. Zeit, das Werkzeug zu verstehen, bevor es deinen ersten User-Tickets-Tsunami erzeugt.

Executive Summary

Microsoft hat seinem Data-Loss-Prevention-Werkzeugkasten in Purview einen lange erwarteten Werkzeugschlüssel hinzugefügt: die Aktion „Block everyone and move file to quarantine location“. Übersetzt: Wenn deine DLP-Policy einen Treffer in SharePoint oder OneDrive landet, fliegt die Datei nicht nur unter Hausarrest, sondern wird komplett aus dem Original-Speicherort entfernt, in eine admin-kontrollierte Quarantäne-Site umgezogen und am Tatort durch eine Tombstone-Textdatei ersetzt. Sharing-Links: weg. Berechtigungen: weg. Auch der Eigentümer schaut in die Röhre.

Das ist die schärfste DLP-Aktion, die Purview heute für SharePoint und OneDrive kennt – schärfer als „Block external sharing“, schärfer als „Block everyone except owner“. Die Datei verschwindet aus dem Sichtfeld der Endanwender und wandert in einen Speicherort, an dem nur deine Compliance- und Security-Admins arbeiten. Restore? Manuell, von Hand, mit Bleistift und Audit-Log. Microsoft will damit explizit verhindern, dass eine zu breit gefasste Policy mal eben ganze Bibliotheken einsaugt.

Public Preview läuft seit Mitte April 2026, General Availability ist für Anfang bis Mitte Juni 2026 angekündigt – und das Feature ist eine reine E5-Veranstaltung. Wer auf E3 oder Business Premium sitzt, schaut weiter in die Tube. Für DSGVO, NIS2 und alle „wir-müssen-Geheimnisse-verstecken“-Anforderungen ist das Ding aber so attraktiv, dass es bei vielen Kunden eine Aufwertung der Lizenzdiskussion auslösen wird. Ob du willst oder nicht.

Worum geht es im Detail? Auch Hintergründe erläutern

Die DLP-Welt hat in den letzten Jahren überall „blockieren“ als Sturmgewehr eingesetzt. Block external sharing, block download, block everyone except owner, block bei Endpoint, blockblockblock. Das funktioniert für Compliance-Theater hervorragend – die Datei ist immer noch da, sie ist nur in einer Art digitalen Plastikfolie eingewickelt. Für eine Datei mit dem Quartalsergebnis vor Ad-hoc-Pflicht ist das aber ungefähr so beruhigend wie ein Vorhängeschloss am Aktenschrank, dessen Schlüssel jeder Mitarbeiter im Schreibtisch hat.

Genau dafür gibt es jetzt die File-Quarantine-Aktion. Sie ist nicht nur „eine weitere Aktion“, sondern bricht mit dem bisherigen Modell. Bei einem Treffer passieren in dieser Reihenfolge harte Dinge:

Alle bestehenden Berechtigungen und Sharing-Links auf der Datei werden entfernt. Auch der Owner verliert sie.

Ein System-Konto verschiebt die Datei vom Original-Speicherort in die zuvor konfigurierte Quarantäne-SharePoint-Site. Die Ordnerstruktur wird dabei in der Quarantäne nachgebaut – damit du im Audit weißt, wo die Datei herkam.

An der Original-Stelle erscheint eine .txt-Tombstone-Datei mit dem ursprünglichen Dateinamen, einer admin-konfigurierten Botschaft (z. B. „Bitte melde dich bei compliance@deinefirma.de“) und der relativen Pfadangabe innerhalb der Quarantäne. Den vollen Pfad der Quarantäne-Site bekommt der User absichtlich nicht zu sehen.

Ein Audit-Datensatz und ein DLP-Alert werden erzeugt – Activity Explorer, Defender XDR, Alerts-Dashboard, alles wie gewohnt befüllt. Quarantine-Pfad, Original-Pfad, File-Owner sind Teil des Alerts.

Microsoft hat ein paar saubere Designentscheidungen getroffen, die du kennen solltest. Erstens: Die Quarantäne-Site ist automatisch von der DLP-Auswertung ausgeschlossen. Das verhindert das wunderschöne Szenario, in dem deine Quarantäne-Datei den Anti-Quarantäne-Trigger auslöst und in die Quarantäne der Quarantäne fliegt – willkommen in der Endlosschleife. Zweitens: Die Aktion greift ausschließlich für Files, die NACH der Aktivierung der Policy erstellt oder geändert werden. Wer Dienstag früh um 9 Uhr die Policy scharf schaltet und Mittwoch 14 Uhr feststellt, dass das halbe Marketing-Laufwerk fehlt, hat ein anderes Problem.

Drittens: SharePoint und OneDrive identifizieren Dateien intern über die Doc-ID, nicht über den Dateinamen. Damit kann die Quarantäne sicher tracken, was wohin gehört, auch wenn der User die Datei zwischendurch umbenennt. Viertens: Die Quarantäne-Site muss eine echte SharePoint-Site sein – kein OneDrive, kein Teams-Channel-Ordner. Microsoft will dort einen sauberen, abgeschotteten Bereich, der nicht zufällig mit dem Marketing-Team geteilt wird.

Und ganz wichtig: Das Ding ist die ehrlichere, in Purview integrierte Schwester der Defender-for-Cloud-Apps-Quarantäne. Wer schon mit MDA arbeitet, kennt das Konzept. Neu ist, dass es jetzt direkt in den DLP-Workflow eingebettet ist, also ohne Umweg über ein zweites Produkt funktioniert. Endpoint-DLP-Auto-Quarantine bleibt eine eigenständige Geschichte für Windows- und macOS-Geräte – nicht verwechseln, das fischt nur lokal auf dem Endpoint.

Abbildung 1: Vom DLP-Treffer bis zum Tombstone – der vollständige File-Quarantine-Lebenszyklus.

Was sind Chancen? Was sind Risiken?

Auf der Chancenseite ist das Bild klar. File-Quarantine schließt eine Lücke, die in DSGVO-Audits, NIS2-Reviews und Krisenstabsübungen seit Jahren angemerkt wird: Bisher konnte Purview eine Datei „blockieren“, aber nicht „verschwinden lassen“. Bei einem internen Datenleak – Personalakte landet im Marketing-SharePoint, Quartalsbericht im offenen OneDrive eines Praktikanten – musste der Admin das bislang per Hand machen. Mit der Quarantine-Aktion kann genau dieser Reflex automatisch passieren: Sensitivity-Label trifft falschen Speicherort, schwupp, die Datei ist weg, der Owner liest die Tombstone-Botschaft und ruft Compliance an.

Das macht das Werkzeug auch für Insider-Risk-Programme spannend. Wer kombiniert die Quarantine-Aktion mit Insider-Risk-Signalen oder Adaptive Protection, schickt Files automatisch in den Tresor, sobald ein gestresster Sales-Mitarbeiter beginnt, das halbe CRM in seine OneDrive zu kopieren. Das war früher nur über Defender for Cloud Apps und ein paar Logic-Apps möglich, die niemand wirklich verstanden hat.

Zweite große Chance: ehrliche Audit-Spuren. Activity Explorer und das DLP-Alert-Dashboard zeigen jetzt nicht nur „der User wollte was Böses tun“, sondern auch „die Datei liegt jetzt im sicheren Hafen – hier ist der Pfad“. Für Wirtschaftsprüfer, Datenschutzbeauftragte und Vorstände, die einen Beleg für „die Daten sind unter Kontrolle“ wollen, ist das Gold wert.

Aber – und jetzt kommt der Teil, den du Donnerstagabend dem CIO erklären darfst – die Risiken sind real. Risiko Nummer eins: Restore ist manuell. Es gibt keinen Knopf in Purview, der eine Datei zurückspielt. Du brauchst einen Admin mit Zugriff auf die Quarantäne-Site UND mit Zugriff auf den Original-Speicherort, der die Datei zurückbewegt und die Tombstone-Datei löscht. Wenn deine Policy zu breit ist und in einer Stunde 800 Dateien einsammelt, wirst du an diesem Donnerstag bis Sonntag im Büro übernachten.

Risiko Nummer zwei: Sharing-Permissions kommen nicht automatisch zurück. Eine Datei, die fünf Co-Editoren hatte, hat nach dem Restore null. Der Owner muss alles neu freigeben. Das ist beabsichtigt, aber nicht jeder versteht das vorher. Gleiches gilt für die Versionshistorie: Nur die letzte Version der quarantänierten Datei überlebt den Restore – ältere Versionen sind verloren. Wer auf Versionierung als Compliance-Anker setzt, muss das in Verträgen, Aufbewahrungsstrategien und Backup-Konzepten neu denken.

Risiko Nummer drei – und das ist mein persönlicher Favorit: das File-Name-Collision-Verhalten in der Public Preview. Wenn an der Originalstelle nach der Quarantäne eine neue Datei mit dem gleichen Namen hochgeladen wird, fliegt die ebenfalls in die Quarantäne – und überschreibt dort die vorher quarantänierte Datei. Microsoft hat einen Fix angekündigt, aber bis GA solltest du das im Hinterkopf haben. „Quartal4-Final.xlsx“ in einem Marketing-Ordner ist ein Magnet für Doppelt-Quarantäne.

Risiko Nummer vier: Lizenz. Das Feature ist E5-only. Mischlandschaften aus E3, E5, F1 und Business Premium führen zu der Lieblingsdiskussion deines CFOs: „Wir haben doch schon Microsoft 365, warum jetzt noch was?“. Antwort: Weil Microsoft 365 viele Geschmacksrichtungen hat, und der Compliance-Geschmack heißt E5.

Risiko Nummer fünf: User Experience. Stell dir vor, du arbeitest am Quartalsbericht, speicherst, gehst Kaffee holen, kommst zurück, klickst auf die Datei – und liest dort eine .txt-Botschaft, dass du dich beim Compliance-Admin melden sollst. Selbst wenn die Policy korrekt ist, ist das ein Schock. Tombstone-Texte sollten freundlich, eindeutig und mit Eskalationspfad geschrieben sein. Sonst hast du Donnerstag früh dreißig Servicetickets im Tonfall „Was hast DU mit meiner Datei gemacht?“

Abbildung 2: Rollout-Fahrplan – wann was kommt und ab wann du nicht mehr „Beta-Argument“ verwenden darfst.

Was müssen wir jetzt schon vorbereiten?

Unabhängig davon, ob du heute schon ein E5-Kunde bist oder noch nicht: Die nächsten acht Wochen sind die richtige Zeit, um die Hausaufgaben zu machen. File-Quarantine ist kein Knopf, den man Mittwochabend mal eben drückt. Microsoft setzt voraus, dass du die Quarantäne-Infrastruktur sauber aufgebaut hast, bevor die Policy überhaupt anlegbar wird – die Policy-Wizard zeigt dir explizit eine Stoppschild-Seite, wenn die Settings nicht konfiguriert sind.

Erstens: Quarantäne-Site bauen. Lege eine eigene SharePoint-Site nur für die Quarantäne an. Keine bestehende Site recyceln, kein Teams-Channel, kein Communication-Hub-Mitbewohner. Die Site bekommt nur die Compliance- und Security-Admins als Mitglieder, alle anderen werden aktiv ausgeschlossen. Vergib einen sprechenden Namen wie „Compliance-Quarantine“ und versteck sie aus der globalen Suche. Wenn deine Tenants On-Demand-Classification fahren, nimm die Quarantäne-Site dort raus.

Zweitens: Tombstone-Botschaft schreiben. Das ist Marketing-Arbeit, kein Adminskript. Der Text muss deutsch oder mehrsprachig sein, einen klaren Ansprechpartner nennen (z. B. compliance@deinefirma.de) und mindestens einen Satz erklären, warum das passiert ist. Eine gute Botschaft sieht etwa so aus: „Diese Datei wurde aufgrund einer Compliance-Richtlinie automatisiert in einen sicheren Bereich verschoben. Bitte wende dich an compliance@deinefirma.de mit der Pfadangabe unten.“ Vermeide Anwalts-Deutsch oder „Sie haben gegen Richtlinie 17.4 verstoßen“. Das löst nur Panik aus.

Drittens: RBAC sortieren. Wer darf Policies konfigurieren, wer Alerts sehen, wer in die Quarantäne-Site schauen, wer Files restoren? Das musst du jetzt klären, nicht beim ersten Vorfall um 22 Uhr. Microsoft empfiehlt, dass jeder, der die Quarantäne-Site lesen darf, auch die Rollen Data Classification List Viewer und Data Classification Content Viewer zugewiesen bekommt – sonst sieht er beim Öffnen einer Datei nur den Dateinamen und nicht den Inhalt. Kann gewollt sein, ist aber meist hinderlich.

Viertens: Policies designen. Fang mit einer schmalen Pilot-Policy an. Bewährte Praxis: Sensitivity-Label „Streng vertraulich“ in OneDrive-Accounts der Geschäftsleitung – Quarantine-Aktion. Das ist ein klar definierter, kleiner Scope. Lass die Policy zwei Wochen im Simulation Mode laufen, schau dir an, was sie fangen würde, und erst wenn die Trefferliste sauber ist, scharf schalten. Wer mit „SharePoint sites: alle, OneDrive accounts: alle, Sensitive Info Type: Kreditkarte“ als allerersten Schuss anfängt, hat den Sicherheits-Vorfall in eigener Sache.

Fünftens: Helpdesk und Compliance briefen. Der erste Tombstone-Anruf wird nicht beim CISO landen, sondern beim 1st-Level-Support. Der muss wissen: Was ist das? Wer übernimmt? Wie lange dauert das? Welche Eskalationsstufe? Bau dir ein Runbook mit drei Spalten: Symptom, Ursache, Aktion. Drei A4-Seiten reichen. Liefere zusätzlich einen Standard-Antworttext, den der Support per Copy-Paste senden kann.

Sechstens: Backup-Strategie überdenken. Wie oben beschrieben: Quarantäne-Site explizit in das Backup-Konzept aufnehmen oder ausschließen, beides bewusst dokumentieren, und mit dem Datenschutzbeauftragten abstimmen. Daten, die in einer Quarantäne liegen, fallen je nach Löschkonzept unter andere Aufbewahrungsregeln als Produktionsdaten – Stichwort Anlasslöschung.

Siebtens – und das ist die unbeliebte Hausaufgabe: Lizenzen. Wer noch nicht E5 hat, muss jetzt rechnen. Compliance-Add-on, Information-Protection-and-Governance-Add-on oder direkt der Sprung auf E5 – die Sprünge sind nicht klein. Aber dieselbe Diskussion wirst du bei eDiscovery Premium, Insider Risk Management und Privacy auch führen. Mein Rat: bündel sie. Ein einziger Business Case mit fünf Features ist überzeugender als fünf einzelne Tickets.

Abbildung 3: RBAC-Matrix – wer in deinem Tenant für File-Quarantine welche Rolle braucht.