Security und Compliance in Microsoft 365 („Purview“ und „Defender“)

Neben dem Graph mit Elementeinblicken und Delve/Feed etc. sind die Funktionssammlungen „Compliance“ (inzwischen unter dem Titel „Purview“ bekannt) und „Security“ (inzwischen unter dem Titel „Defender“ bekannt) die größten Brocken, wenn es um Möglichkeiten der Verhaltens- und Leistungskontrolle geht.

Purview und Defender bietet eine Reihe von Funktionen an, mit denen die Maßnahmen zum Schutz der Sicherheit des Betriebs von MS 365, zum Schutz von (nicht nur von personenbezogenen) Daten, zum Schutz vor Schadsoftware und dergleichen unterstützt werden.

Überblick über Funktionen

Sämtliche Möglichkeiten, die Purview und Defender anbieten, im Detail vorzustellen, würde nicht nur den Rahmen dieses Überblicks sprengen, es müsste auch ständig aktualisiert werden, weil Microsoft den Umfang der Funktionen regelmäßig erweitert und anpasst. Deshalb hier nur ein grober Überblick über die Funktionen, die MS 365 bei Purview und Defender anbieten:

Vertraulichkeitsbezeichnungen

Admins können verschiedene Stufen von Vertraulichkeit („Nur intern“, „Streng vertraulich“ etc.) einrichten und zur Verfügung stellen, die die Anwender Dokumenten oder E-Mails zuweisen können. Die Folge ist, dass die entsprechend gekennzeichneten Dokumente nur so verwendet werden können (z. B. nicht gedruckt werden können, nicht weitergeleitet werden können, nicht verändert werden können, nicht per E-Mail weitergeleitet werden können etc.), wie das in der Richtlinie bestimmt ist.

Aufbewahrungsbezeichnungen

Admins können Aufbewahrungsregeln definieren (z. B. „nach 1 Jahr löschen“, „niemals löschen“ etc.), die Anwender verwenden können, um damit Dokumente oder E-Mails zu kennzeichnen. Die entsprechend gekennzeichneten Objekte werden gemäß diesen Regeln aufbewahrt.

Solche Bezeichnungen können anhand bestimmter Merkmale auch automatisch angewendet werden, z. B. um E-Mails bestimmter Absender immer automatisch in bestimmter Weise aufzubewahren.

Typen vertraulicher Informationen

Microsoft stellt einen Satz von Definitionen zur Verfügung, anhand derer MS 365 automatisch am Inhalt eines Dokuments oder E-Mails erkennt, ob dieses Objekt eine bestimmte Art vertraulicher Information enthält (z. B. Kreditkartennummer, Sozialversicherungsnummer etc.). Admins können auch eigene Typen vertraulicher Informationen definieren. Diese Typen werden später in anderem Zusammenhang (z. B. bei DLP-Richtlinien) verwendet.

DLP-Richtlinien („Verhinderung von Datenverlust“)

Eine DLP-Richtlinie („Data Loss Prevention“) bestimmt, wie sich O365 verhalten soll, wenn ein Objekt (Dokument oder E-Mail) erkannt wird, das einem oder mehreren Typen vertraulicher Informationen entspricht. Z. B. kann man einrichten, dass solche Daten nicht per E-Mail verschickt werden dürfen.

Benachrichtigungsrichtlinien

Wenn ein Ereignis eintritt, das eine Reaktion der Purview und Defender auslöst (z. B. hat jemand versucht, ein E-Mail zu verschicken, das eine vertrauliche Information enthält), können unterschiedliche Arten von Reaktion definiert werden. Die einfachste Art der Reaktion ist, dass Office das Gewünschte einfach nicht tut. In der Regel wird der Benutzer, der die unzulässige Aktivität ausgelöst hat, darüber informiert, warum MS 365 diese Aktivität nicht durchführt. Man kann aber auch einrichten, dass andere Benutzer (z. B. ein „Security Officer“, ein Admin oder dergl.) über diese unzulässige Aktivität informiert werden. Hier ist natürlich ein Mitbestimmungsrecht des Betriebsrats berührt, weil es sich um eine Verhaltenskontrolle handelt.

Aufbewahrungsregeln

Diese Instrumente dienen dafür, Regeln für die Aufbewahrung von E-Mails und anderer Kommunikation (z. B. in Teams) sowie für Dokumente aus SharePoint oder OneDrive aufzustellen, die für alle, für Gruppen von Benutzern oder für bestimmte Benutzer gelten.

Man kann auch für OneDrive-Laufwerke oder SharePoint-Websites eine Aufbewahrungsregel aufstellen, die z. B. bestimmt, dass alle Dokumente, die in diesem Speicher erzeugt werden, zusätzlich für einen bestimmten Zeitraum in einem sog. „Permanenten Dokumentenarchiv“ gespeichert werden. So kann man unbeabsichtigte Datenverluste verhindern.

Natürlich sind auch damit Verhaltenskontrollen in dem Sinne möglich, dass nachvollziehbar wird, wer wann welche Dokumente angelegt hat.

Viele Betriebsräte wünschen, dass Teams-Chatnachrichten bzw. Beiträge in Teams-Kanälen nach einer bestimmten Zeit automatisch gelöscht werden. Auch das könnte man mit einer Aufbewahrungsregel erreichen.

Bedrohungsmanagement

Das Bedrohungsmanagement ermöglicht, Richtlinien und Maßnahmen zu definieren, um mit Schadsoftware, Phishing und Spam umzugehen, die per E-Mail eintreffen.

Nachrichtenablaufverfolgung (inzwischen im Exchange-Admin-Center)

Damit kann ein Admin prüfen, ob (und ggf. warum nicht) E-Mails an bestimmte Absender oder Empfänger zugestellt wurden. Es werden alle E-Mails der ausgewählten Benutzer mit Absender, Empfänger, Zeitpunkt, Betreffzeile und Status (also z. B. „Delivered“) angezeigt.

Das ist gelegentlich notwendig, um Fehler in der Nachrichtenübermittlung nachvollziehen zu können, aber selbstverständlich ist auch das eine weitgehende Verhaltenskontrolle.

Inhaltssuche

Mit diesem Instrument kann an allen Cloud-Speicherorten (SharePoint, OneDrive, Exchange, Teams etc.) nach bestimmten Schlagwörtern gesucht werden. Als Ergebnis werden auch Inhalte angezeigt. Ein Admin, der berechtigt ist, diese Funktion auszuführen, kann also in allen Postfächern oder OneDrive-Laufwerken aller Benutzer nach bestimmten Dokumenten, Mails etc. suchen.

Es gibt sicher Fälle, in denen aus unterschiedlichen Gründen (z. B. Anfrage eines Betroffenen nach den über ihn gespeicherten Daten, Aufklärung eines Verdachts auf unzulässiges Verhalten etc.) solch eine Inhaltssuche durchgeführt werden muss. Aber klar ist natürlich auch: Das muss auf bestimmte, klar umrissene Zwecke beschränkt bleiben, ist nicht nur die Anwendung einer technischen Einrichtung zur Verhaltenskontrolle, sondern kann auch eine datenschutzrechtlich kritische Verarbeitung sein.

eDiscovery

eDiscovery ist ebenfalls ein Instrument, mit dem Inhalte in Dokumenten oder E-Mails gesucht werden können. Es ist in seinen Funktionen etwas ausgefeilter, man kann Suchvorgänge („Fälle“) anlegen und speichern, um sie bei Bedarf wieder aufrufen bzw. erneut ausführen zu können und einiges mehr. Ansonsten gilt das Gleiche wie für die Inhaltssuche: Es kann Anwendungsfälle geben, in denen die Nutzung dieses Instruments aus einem wichtigen Grund erforderlich ist, aber dieses Instrument sollte sehr restriktiv und vor allem „unter Aufsicht“ des Betriebsrats (und natürlich des Datenschutzbeauftragten) genutzt werden.

Dashboards

Verschiedene Dashboards erlauben den Administratoren bzw. den Personen, die für die Sicherheit der IT verantwortlich sind, sich über das Auftreten bestimmter Ereignistypen zu informieren. Damit kann man sich z. B. anzeigen lassen, wie viele „DLP-Fälle“ es gegeben hat, wie viel Spam- oder Phishing-Mails abgewiesen wurden etc. Hier wird aber kaum etwas personenbezogen angezeigt, sondern die Dashboards dienen dazu, den Überblick über den Stand der Sicherheit und Zuverlässigkeit zu behalten.

Logfile – Protokoll der Aktivitäten

Ein besonderes Instrument ist das Überwachungsprotokoll. MS 365 protokolliert annähernd jede Aktivität von Benutzern wie das Versenden und Abrufen von Emails. Speichern, Änderung und Löschen von Dateien und viele Hundert Arten von Aktivitäten mehr. Diese Daten werden verarbeitet, ohne dass der Admin das beeinflussen kann. Es gibt auch keine Möglichkeiten, sie manuell zu löschen. Nach 90 Tagen werden die Daten jeweils automatisch gelöscht – dieser Zeitraum lässt sich zwar ändern, aber nur verlängern, nicht verkürzen (Ausnahme: Für Benutzer mit der – teuren – E5-Lizenz).

Man kann mit der „Überwachungsprotokollsuche“ nach dem Auftreten bestimmter Ereignisse suchen und dabei unterschiedliche Filter verwenden – Benutzer, Aktivitätentyp, Zeitraum und Ort der Suche.

Ohne Zweifel ist das die umfassendste Art der Verhaltenskontrolle in Purview und Defender und die weitestgehende Verhaltenskontrolle in MS 365. Tatsächlich bedienen sich Graph mit den Elementeinblicken und verschiedene andere Dienste bzw. Reports, die ich bereits vorgestellt habe, der Daten aus diesem Protokoll.

Auch für die Nutzung dieses Instruments kann es Gründe geben. Ich schaue z. B. zumindest einmal wöchentlich im Protokoll, ob eine Aktivität von einer IP-Adresse ausgegangen ist, die „atypisch“ für unseren Betrieb ist, denn das wäre ein Indikator dafür, dass ein Benutzeraccount gehackt wurde. Aber selbstverständlich braucht es hier eine besonders klare Regelung, die sicherstellt, dass dieses Überwachungsinstrument nur für ganz bestimmte, klar definierte Zwecke verwendet wird und die Verwendung streng kontrolliert erfolgt.

Regelungen zu Purview und Defender

Selbstverständlich gehören in eine Betriebsvereinbarung über MS 365 Regelungen über Purview und Defender . Es ist aber nicht ganz einfach. Schlicht „verbieten“ kann man die Nutzung von Purview und Defender nicht, weil darin Funktionen enthalten sind, die für einen sicheren Betrieb unbedingt benötigt werden. Und selbst für das Überwachungsprotokoll gibt es sinnvolle Einsatzzwecke, die seine Verwendung notwendig machen.

Ein weiteres Problem besteht darin, dass Microsoft daran (wie auch an den anderen Diensten und Apps) ständig weiterentwickelt und alle paar Wochen neue, geänderte oder erweiterte Funktionen verfügbar macht. Eine detaillierte Betriebsvereinbarung, die alle Fragen zu dem Thema abschließend und granular regelt, müsste also alle paar Wochen angepasst werden.

Außerdem ist es schwierig, die jeweiligen Zwecke für die einzelnen Instrumente wirklich hinreichend konkret im Voraus zu bestimmen.

Sinnvoll wäre eine Regelung, die

  • zumindest benennt, welche Funktionen Purview und Defender grundsätzlich umfassen, ohne alle Funktionen abschließend und detailliert zu beschreiben,
  • so konkret es geht Zwecke für die Nutzung dieser Funktionen bestimmt,
  • sicherstellt, dass die Nutzung dieser Funktionen korrekt dokumentiert wird,
  • sicherstellt, dass der Betriebsrat darüber informiert wird, ob und für die Erfüllung welcher Zwecke diese Funktionen jeweils verwendet werden und
  • gewährleistet, dass die betroffenen Arbeitnehmer darüber informiert werden, wenn sie von einer Überwachung betroffen sind (was auch ein datenschutzrechtliches Erfordernis ist).

Eine grundsätzliche Beschreibung der Funktionen von Purview und Defender könnte z. B. so lauten:

Microsoft 365 bietet verschiedene Funktionen für die Sicherstellung der Integrität, Vertraulichkeit und Sicherheit der Verarbeitung der Daten an („Purview“ und „Defender“). Zu diesem Zweck werden auch sämtliche Aktivitäten aller Benutzer protokolliert, und das Protokoll wird für 90 Tage gespeichert.

Die Funktionen zu Purview und Defender können u. a. folgende Funktionen in Microsoft 365 (z. B. im Exchange-Server, in OneDrive bzw. SharePoint) erfüllen:

  • Durchsuchung von Datenbestände nach bestimmten Kriterien;
  • automatische oder manuelle Kennzeichnung bestimmter Elemente anhand bestimmter Kriterien („Bezeichnung“);
  • automatische Aufbewahrung bestimmter Elemente, die anhand bestimmter Kriterien identifiziert werden;
  • automatische Behandlung bestimmter Klassen und Arten von Objekten („Data Loss Prevention“/“Verhinderung von Datenverlust“);
  • automatische Löschung bestimmter Elemente, die anhand bestimmter Kriterien identifiziert werden;
  • Auslösen automatische Alarme, wenn Elemente bestimmte Kriterien erfüllen (z. B. bei Data Loss Prevention);
  • Durchsuchung des Überwachungsprotokolls.

Eine Regelung, die die Zwecke bestimmt, für deren Erfüllung die Nutzung der Funktionen von Purview und Defender zulässig sind, könnte z. B. so lauten:

Es ist nicht zulässig, diese Funktionen zu verwenden, um das Verhalten oder die Leistung von Arbeitnehmern zu beobachten, zu bewerten, zu messen, zu vergleichen oder in anderer Weise zu kontrollieren, wenn dies nicht durch diese Betriebsvereinbarung oder eine andere mitbestimmte Regelung erlaubt wird oder der Betriebsrat im Einzelfall schriftlich zugestimmt hat.

Die Nutzung der Funktionen von Purview und Defender ist zulässig, wenn und soweit dies für die Erfüllung einer oder mehrerer der folgenden Zwecke erforderlich ist:

  • Gewährleistung der technischen Funktionsfähigkeit von Microsoft 365 und seiner Komponenten;
  • Analyse und Korrektur technisch bedingter Fehler in Microsoft 365;
  • Gewährleistung des Datenschutzes, der Datensicherheit sowie Schutz vor unbefugter oder unzulässiger Nutzung;
  • Erfüllung gesetzlicher Pflichten aus dem Recht der EU oder eines EU-Mitgliedsstaats.

Außerdem benötigt man eine Regelung, die bestimmt, dass die Nutzung von Purview und Defender vollständig dokumentiert und der Betriebsrat über die Verwendung und deren Zweck informiert wird:

Der Betriebsrat wird im Voraus schriftlich darüber informiert, wenn der Arbeitgeber beabsichtigt, eine der Funktionen von Security & Compliance zu nutzen. Ihm ist darzulegen, inwiefern eine Erforderlichkeit gem. Abs. 4 und 5 vorliegt. Der Betriebsrat wird im Voraus schriftlich darüber informiert, wenn eine Auswertung (z. B. Inhaltssuche) durchgeführt wird. Auf Anforderung des Betriebsrats ist mit ihm eine Ergänzung dieser Betriebsvereinbarung vorzunehmen, in der die Regeln für die Nutzung der jeweiligen Funktion vereinbart werden.

Schließlich sollte die Unterrichtung der jeweils Betroffenen vereinbart werden:

Die Benutzer werden in entsprechender Anwendung der Art. 12 bis 14 DSGVO darüber informiert, ob, in welcher Weise und für die Erfüllung welcher Zwecke Funktionen von Security & Compliance verwendet werden. Ausnahmen bedürfen der schriftlichen Zustimmung des Betriebsrats.

Erfahren Sie mehr!

Die passenden Seminare zu diesem Thema:

Microsoft 365®/Office 365® in der Cloud

Vorheriges Thema Nächstes Thema
Nach oben scrollen