Auch nach Corona wird das Homeoffice fester Teil des neuen Arbeitsalltags sein. Damit Remote Working auch wirklich reibungslos funktioniert, braucht es jedoch ein starkes technologisches Fundament wie Microsoft 365. Einfach ein M365-Abonnement kaufen, und dann geht’s los? So einfach ist es leider nicht, speziell im Hinblick auf Compliance und Governance gilt es, einiges zu beachten. In Teil vier dieser Blogserie befassen wir uns mit dem Themenkomplex Data-Operations und -Management: Was bedeutet E-Discovery? Welche Fallstricke lauern rund um das Audit Log? Und warum ändert sich die Arbeit der Administratoren umfassend mit der M365-Einführung?

Die Cloud hat viele lokale Unternehmensrechenzentren in Rente geschickt. So sinnvoll es ist, die verteilten Dateninseln zu einem Datenkontinent zu verschmelzen, so kompliziert wird damit auf einmal das Thema Data Ownership. Global interagierende Teams müssen sich entscheiden, wem Daten gehören und wo sie gespeichert werden. Denn laden Anwender einfach so Daten auf die SharePoint Online-Seite eines Kollegen hoch, kann das unschöne rechtliche Konsequenzen haben, selbst im eigenen M365 Tenant (Praxistipp: In welcher Geolokation sich eine SharePoint Online-Seite befindet, sehen Nutzer an der URL).

Daten durchsuchen mit E-Discovery

Wenn ein Europäer einem amerikanischen Kollegen ein Dokument sendet, das personenbezogene Daten enthält, ist das nicht nur aus datenschutzrechtlicher Sicht problematisch, sondern möglicherweise auch für Straf- und Zivilprozesse relevant. Denn Unternehmen in den USA unterliegen dem sogenannten E-Discovery-Verfahren: Während in Europa E-Discovery fast ausschließlich für interne Zwecke genutzt wird, um etwa bei einem begründeten Verdacht eine Kommunikation zu durchsuchen, sind amerikanische Unternehmen im Falle von Klagen verpflichtet, der Gegenseite sämtliche relevanten elektronischen Daten in ihrem Besitz über einen bestimmten Sachverhalt zur Verfügung zu stellen – und das oftmals schon innerhalb weniger Tage. Mittels der entsprechenden Funktion in M365 lässt sich der Wust an Unternehmensdaten (Text, Tabellen, Bilder, Kalender, Präsentationen, Datenbanken, E-Mailpostfächer, Audiodateien etc.) automatisiert durchforsten und die gefundenen Ergebnisse in der geforderten Zeit klassifizieren, aufbereiten und bereitstellen. Wer in M365 allerdings die Standardeinstellung verwendet, der durchsucht den gesamten Tenant. Das verursacht nicht nur Datenschutzprobleme, sondern kann sich auch sehr nachteilig auf das Unternehmen auswirken. Wichtig ist deshalb, in Microsoft 365 die sogenannten Compliance Boundaries richtig zu konfigurieren und festzulegen, dass E-Discovery berechtigte Anwender im Rahmen von E-Discovery nur die Daten der Nutzer durchsuchen dürfen, die organisatorisch zu ihnen gehören – also meist (aber auch nicht immer) derjenigen, die der gleichen rechtlichen Einheit angehören. Klingt einfach, ist aber in der Praxis ein relativ kompliziertes Unterfangen sowohl in der internen Festlegung als auch in der stets aktuell zu haltenden Konfiguration – PowerShell lässt grüßen.

Microsoft bietet zwei Varianten an, die abgespeckte Core E-Discovery und Advanced E-Discovery mit vollem Funktionsumfang. Nummer zwei ist insbesondere für häufigere Analysen und natürlich für Unternehmen mit amerikanischen Niederlassungen geeignet. Vorsicht übrigens, wenn Sie mit einem Spezialtool (3rd Party) für E-Discovery liebäugeln, denn bisher kommen diese Lösungen mit Verschlüsselung wie Azure Information Protection (AIP) in Exchange Online oder SharePoint Online noch nicht zurecht.

Avanade Tipp: Bei einer Microsoft 365-Einführung gilt es, die E-Discovery-Thematik für die englischsprachige Nutzerbasis frühzeitig einzuplanen und Lösungen insbesondere für über Grenzen hinweg arbeitende Teams zu entwickeln.

Audit Log – Aktivitäten im Überblick

Eine zentrale Überwachung schreit geradezu nach Compliance-Problemen. Und in M365 werden nahezu alle Aktivitäten im Unternehmensnetzwerk rund um Office automatisch im Audit Log erfasst. Anmelden, Dateien öffnen, speichern, verändern, klassifizieren, verschlüsseln, verschicken oder löschen, eine E-Discovery-Suche anstoßen, administrative Tätigkeiten – all diese Ereignisse werden im Audit Log abgespeichert. Sinn des Audit Log ist, Problemanalyse und Support oder Ungereimtheiten durchleuchten zu können. Das Audit Log hat also durchaus seine Daseinsberechtigung. Ereignisse im M365 Audit Log werden standardmäßig drei Monate gespeichert und anschließend gelöscht. Deutlich zu kurz, speziell für größere Unternehmen und Konzerne, die mit diesen Informationen beispielsweise auch Einbrüche in das Netzwerk nachvollziehen wollen. Cyberangriffe werden oft erst Wochen oder Monate später aufgedeckt. Ist das Audit Log dann bereits gelöscht, sind womöglich wichtige Spuren verloren gegangen, und es lässt sich nicht mehr nachvollziehen, wo der Einbruch stattgefunden hat und was anschließend alles passiert ist. Sprich: Das konkrete Ausmaß des Angriffs bleibt unbekannt und mögliche Sicherheitslücken offen. Deshalb empfiehlt es sich bei Bedarf, über den Standard hinauszugehen und die Aufbewahrungsfrist mit einer höheren Lizenz auf zwölf Monate auszubauen. Dann lässt sich zudem individuell festlegen, wie lange Daten von welchem Nutzer bzw. welcher Nutzergruppe aufbewahrt werden sollen. Und für noch mehr Sicherheit empfiehlt sich der Einsatz einer SIEM-Lösung wie Azure Sentinel, ArcSight oder Splunk, in der alle Security-relevanten Ereignisse gesammelt und analysiert werden können.

Vorsicht: Wird M365 in einer Unternehmensgruppe mit einem einzigen Tenant eingeführt, gibt es nativ keine weiteren Segregationsmöglichkeiten – Administratoren haben dann immer Zugriff auf das eine zentrale Audit Logfile, in dem sämtliche Aktivitäten aller Anwender der ganzen Gruppe gespeichert sind.

Avanade Tipp: Vor der Einführung unbedingt mit Betriebsrat und Datenschutzverantwortlichen abstimmen, was warum und zu welchem Zweck geloggt wird, sonst droht in Europa Ungemach.

Compliance Center – neues Administrationskonzept nötig

Im Microsoft 365 Compliance Center läuft der Zugriff auf Daten und Tools zusammen. Von hier können Administratoren auf das Audit Log zugreifen, Data Loss Prevention steuern, Communication Compliance überwachen und vieles mehr. Hier lassen sich auch Rollen und Berechtigungen anlegen und Administratoren bestimmte Bereiche zuweisen. Und das ist wichtig, denn M365 zwingt Unternehmen, ein neues Administrationskonzept zu entwickeln. Mehrere getrennte Exchange-Organisationen oder SharePoint-Farmen mit dedizierten Admins? Gibt es nicht mehr. Eine Plattform, eine Oberfläche, eine zentrale Steuerungsebene.

Avanade Tipp: Es muss klar festgelegt werden, wer was managen soll (Least-Privilege-Prinzip), muss und darf. In M365 ist die Administrationskonzeption deutlich komplizierter als in der alten Rechenzentrumswelt – auch wenn kreative Köpfe zum Vergleich auch schon unter Active Directory die Komplexität mit verschiedenen Administratoren auf unterschiedlichen OUs (Organisationseinheiten) maximal ausgereizt haben (AD Verwaltungsebenenmodell). Sollen die On-Premise-Zuständigen fit für ihre Themenbereiche in der Cloud gemacht werden? Oder die Administration in den Service selbst integrieren mit einem neuen Team? Es gibt unterschiedliche Ansätze. Sicher ist aber: Wer auf M365 setzt, setzt gleichzeitig auf Azure – und aus struktureller Sicht bedeutet das eine große Umstellung.

Compliance und Cloud

There is no glory in compliance: Die Vorteile der Cloud sind viel zu groß, um sie wegen der komplizierten rechtlichen Lage nicht zu nutzen. Aber trotzdem oder gerade deshalb: Ein ordentlicher Teil der Ressourcen muss bei einer M365-Einführung in das Thema Compliance investiert werden. Microsoft bietet für viele Szenarien geeignete Instrumente – und versteckt diese oftmals gut. Wir kennen alle Fallstricke und Lösungen und zeigen Ihnen die Marschroute, damit sie von der maximalen Freiheit und den unendlichen Kollaborationsmöglichkeiten von Microsoft 365 profitieren können – ohne sich von Compliance-Stolpersteinen aufhalten zu lassen.

Lesen Sie auch diese Artikel der Compliance & Governance-Serie:

• Compliance & Governance für Microsoft 365 (Teil 1): Das Avanade Compliance Radar
• Compliance & Governance für Microsoft 365 (Teil 2): Gesetze, regulatorische Anforderungen und Unternehmensrichtlinien
• Compliance & Governance für Microsoft 365 (Teil 3): Auf der sicheren Seite - Datenzugriff und Kommunikation