Security and Compliance in Office 365

Neben dem Office Graph und Delve ist die Funktionssammlung „Security & Compliance“ der größte Brocken, wenn es um Möglichkeiten der Verhaltens- und Leistungskontrolle geht.

Security & Compliance bietet eine Reihe von Funktionen an, mit denen die Maßnahmen zum Schutz der Sicherheit des Betriebs von O365, zum Schutz von (nicht nur von personenbezogenen) Daten, zum Schutz vor Schadsoftware und dergleichen unterstützt werden.

Überblick über Funktionen

Sämtliche Möglichkeiten, die Security & Compliance anbietet, im Detail vorzustellen, würde nicht nur den Rahmen dieses Überblicks sprengen, es müsste auch ständig aktualisiert werden, weil Microsoft den Umfang der Funktionen regelmäßig erweitert und anpasst. Deshalb hier nur ein grober Überblick über die Funktionen, die O365 bei Security & Compliance anbietet:

Vertraulichkeitsbezeichnungen

Admins können verschiedene Stufen von Vertraulichkeit („Nur intern“, „Streng vertraulich“ etc.) einrichten und zur Verfügung stellen, die die Anwender Dokumenten oder E-Mails zuweisen können. Die Folge ist, dass die entsprechend gekennzeichneten Dokumente nur so verwendet werden können (z. B. nicht gedruckt werden können, nicht weitergeleitet werden können, nicht verändert werden können, nicht per E-Mail weitergeleitet werden können etc.), wie das in der Richtlinie bestimmt ist.

Aufbewahrungsbezeichnungen

Admins können Aufbewahrungsregeln definieren (z. B. „nach 1 Jahr löschen“, „niemals löschen“ etc.), die Anwender verwenden können, um damit Dokumente oder E-Mails zu kennzeichnen. Die entsprechend gekennzeichneten Objekte werden gemäß diesen Regeln aufbewahrt.

Solche Bezeichnungen können anhand bestimmter Merkmale auch automatisch angewendet werden, z. B. um E-Mails bestimmter Absender immer automatisch in bestimmter Weise aufzubewahren.

Typen vertraulicher Informationen

Microsoft stellt einen Satz von Definitionen zur Verfügung, anhand derer O365 automatisch am Inhalt eines Dokuments oder E-Mails erkennt, ob dieses Objekt eine bestimmte Art vertraulicher Information enthält (z. B. Kreditkartennummer, Sozialversicherungsnummer etc.). Admins können auch eigene Typen vertraulicher Informationen definieren. Diese Typen werden später in anderem Zusammenhang (z. B. bei DLP-Richtlinien) verwendet.

DLP-Richtlinien („Verhinderung von Datenverlust“)

Eine DLP-Richtlinie („Data Loss Prevention“) bestimmt, wie sich O365 verhalten soll, wenn ein Objekt (Dokument oder E-Mail) erkannt wird, das einem oder mehreren Typen vertraulicher Informationen entspricht. Z. B. kann man einrichten, dass solche Daten nicht per E-Mail verschickt werden dürfen.

Benachrichtigungsrichtlinien

Wenn ein Ereignis eintritt, das eine Reaktion der Security & Compliance auslöst (z. B. hat jemand versucht, ein E-Mail zu verschicken, das eine vertrauliche Information enthält), können unterschiedliche Arten von Reaktion definiert werden. Die einfachste Art der Reaktion ist, dass Office das Gewünschte einfach nicht tut. In der Regel wird der Benutzer, der die unzulässige Aktivität ausgelöst hat, darüber informiert, warum O365 diese Aktivität nicht durchführt. Man kann aber auch einrichten, dass andere Benutzer (z. B. ein „Security Officer“, ein Admin oder dergl.) über diese unzulässige Aktivität informiert werden. Hier ist natürlich ein Mitbestimmungsrecht des Betriebsrats berührt, weil es sich um eine Verhaltenskontrolle handelt.

Ablageplan, Ereignisse und Löschungen

Der Begriff „Ablageplan“ ist etwas irreführend – es geht dabei nicht darum, eine Ordnerstruktur oder dergleichen zu definieren, sondern Regeln für die Aufbewahrung und Löschung bestimmter Objekte zu definieren, die nach bestimmten Kriterien aufbewahrt oder gelöscht werden. Solche Ablagepläne können exportiert und für verschiedene Websites, z. B. für unterschiedliche Projekte, angewandt werden.

Data Governance und Aufbewahrungsregeln

Diese Instrumente dienen dafür, Regeln für die Archivierung und Aufbewahrung von E-Mails und anderer Kommunikation (z. B. in Teams) sowie für Dokumente aus SharePoint oder OneDrive aufzustellen, die für alle, für Gruppen von Benutzern oder für bestimmte Benutzer gelten. Bei der Archivierung von E-Mails geht es nicht vorrangig darum, die Kommunikation der Benutzer zu überwachen, sondern eine Archivierung für die Benutzer zu ermöglichen.

Zum Beispiel kann für jeden Benutzer ein zusätzliches E-Mail-Archiv eingerichtet werden, das (typischerweise) zusätzlich 50 GB Speicherplatz bereitstellt. Es kann eine Regel aufgestellt werden, wann E-Mails, Teams-Chats etc. aus dem „aktiven“ Postfach ins Archiv verschoben werden (z. B. nach einem Jahr).

Man kann auch für OneDrive-Laufwerke oder SharePoint-Websites eine Aufbewahrungsregel aufstellen, die z. B. bestimmt, dass alle Dokumente, die in diesem Speicher erzeugt werden, zusätzlich für einen bestimmten Zeitraum in einem sog. „Permanenten Dokumentenarchiv“ gespeichert werden. So kann man unbeabsichtigte Datenverluste verhindern.

Natürlich sind auch damit Verhaltenskontrollen in dem Sinne möglich, dass nachvollziehbar wird, wer wann welche Dokumente angelegt hat.

Aufsicht

Dies ist ein Instrument, das unmittelbar der Kontrolle dient. Man kann für bestimmte Benutzer oder Gruppen von Benutzern Aufsichtsregeln erstellen, mit denen ihre Kommunikation (interne und/oder externe E-Mails – jeweils eingehend und/oder ausgehend, S4B- oder Teams-Kommunikation) teilweise oder ganz aufgezeichnet und in einem gesonderten Postfach abgelegt wird. Ein Prüfer kann dieses Postfach prüfen und seinen Inhalt lesen. Spätestens hier ist eine Regelung im Rahmen der Mitbestimmung notwendig. Es mag Anlässe geben, die solch eine Kontrolle rechtfertigen können, aber selbstverständlich ist das eine mitbestimmungspflichtige Verhaltenskontrolle.

Bedrohungsmanagement

Das Bedrohungsmanagement ermöglicht, Richtlinien und Maßnahmen zu definieren, um mit Schadsoftware, Phishing und Spam umzugehen, die per E-Mail eintreffen.

Nachrichtenablaufverfolgung

Damit kann ein Admin prüfen, ob (und ggf. warum nicht) E-Mails an bestimmte Absender oder Empfänger zugestellt wurden. Es werden alle E-Mails der ausgewählten Benutzer mit Absender, Empfänger, Zeitpunkt, Betreffzeile und Status (also z. B. „Delivered“) angezeigt.

Das ist gelegentlich notwendig, um Fehler in der Nachrichtenübermittlung nachvollziehen zu können, aber selbstverständlich ist auch das eine weitgehende Verhaltenskontrolle.

Inhaltssuche

Mit diesem Instrument kann an allen Cloud-Speicherorten (SharePoint, OneDrive, Exchange, Teams etc.) nach bestimmten Schlagwörtern gesucht werden. Als Ergebnis werden auch Inhalte angezeigt. Ein Admin, der berechtigt ist, diese Funktion auszuführen, kann also in allen Postfächern oder OneDrive-Laufwerken aller Benutzer nach bestimmten Dokumenten, Mails etc. suchen.

Es gibt sicher Fälle, in denen aus unterschiedlichen Gründen (z. B. Anfrage eines Betroffenen nach den über ihn gespeicherten Daten, Aufklärung eines Verdachts auf unzulässiges Verhalten etc.) solch eine Inhaltssuche durchgeführt werden muss. Aber klar ist natürlich auch: Das muss auf bestimmte, klar umrissene Zwecke beschränkt bleiben, ist nicht nur die Anwendung einer technischen Einrichtung zur Verhaltenskontrolle, sondern kann auch eine datenschutzrechtlich kritische Verarbeitung sein.

eDiscovery

eDiscovery ist ebenfalls ein Instrument, mit dem Inhalte in Dokumenten oder E-Mails gesucht werden können. Es ist in seinen Funktionen etwas ausgefeilter, man kann Suchvorgänge („Fälle“) anlegen und speichern, um sie bei Bedarf wieder aufrufen bzw. erneut ausführen zu können und einiges mehr. Ansonsten gilt das Gleiche wie für die Inhaltssuche: Es kann Anwendungsfälle geben, in denen die Nutzung dieses Instruments aus einem wichtigen Grund erforderlich ist, aber dieses Instrument sollte sehr restriktiv und vor allem „unter Aufsicht“ des Betriebsrats (und natürlich des Datenschutzbeauftragten) genutzt werden.

Dashboards

Verschiedene Dashboards erlauben den Administratoren bzw. den Personen, die für die Sicherheit der IT verantwortlich sind, sich über das Auftreten bestimmter Ereignistypen zu informieren. Damit kann man sich z. B. anzeigen lassen, wie viele „DLP-Fälle“ es gegeben hat, wie viel Spam- oder Phishing-Mails abgewiesen wurden etc. Hier wird aber kaum etwas personenbezogen angezeigt, sondern die Dashboards dienen dazu, den Überblick über den Stand der Sicherheit und Zuverlässigkeit zu behalten.

Logfile – Protokoll der Aktivitäten

Ein besonderes Instrument ist das Überwachungsprotokoll. O365 protokolliert annähernd jede Aktivität von Benutzern, das An- und Abmelden, das Schreiben, Versenden und Abrufen von Emails. Speichern, Änderung und Löschen von Dateien und viele Hundert Arten von Aktivitäten mehr. Diese Daten werden verarbeitet, ohne dass der Admin das beeinflussen kann. Es gibt auch keine Möglichkeiten, sie manuell zu löschen. Nach 90 Tagen werden die Daten jeweils automatisch gelöscht – dieser Zeitraum lässt sich nicht ändern.

Man kann mit der „Überwachungsprotokollsuche“ nach dem Auftreten bestimmter Ereignisse suchen und dabei unterschiedliche Filter verwenden – Benutzer, Aktivitätentyp, Zeitraum und Ort der Suche.

Ohne Zweifel ist das die umfassendste Art der Verhaltenskontrolle in Security & Compliance und neben dem Office Graph auch die weitestgehende Verhaltenskontrolle in Office 365.

Auch für die Nutzung dieses Instruments kann es Gründe geben. Ich schaue z. B. zumindest einmal wöchentlich im Protokoll, ob eine Aktivität von einer IP-Adresse ausgegangen ist, die „atypisch“ für unseren Betrieb ist, denn das wäre ein Indikator dafür, dass ein Benutzeraccount gehackt wurde. Aber selbstverständlich braucht es hier eine besonders klare Regelung, die sicherstellt, dass dieses Überwachungsinstrument nur für ganz bestimmte, klar definierte Zwecke verwendet wird und die Verwendung streng kontrolliert erfolgt.

Regelungen zu Security & Compliance

Selbstverständlich gehören in eine Betriebsvereinbarung über Office 365 Regelungen über Security & Compliance. Es ist aber nicht ganz einfach. Schlicht „verbieten“ kann man die Nutzung von Security & Compliance nicht, weil darin Funktionen enthalten sind, die für einen sicheren Betrieb unbedingt benötigt werden. Und selbst für das Überwachungsprotokoll gibt es sinnvolle Einsatzzwecke, die seine Verwendung notwendig machen.

Ein weiteres Problem besteht darin, dass Microsoft daran (wie auch an den anderen Diensten und Apps) ständig weiterentwickelt und alle paar Wochen neue, geänderte oder erweiterte Funktionen verfügbar macht. Eine detaillierte Betriebsvereinbarung, die alle Fragen zu dem Thema abschließend und granular regelt, müsste also alle paar Wochen angepasst werden.

Außerdem ist es schwierig, die jeweiligen Zwecke für die einzelnen Instrumente wirklich hinreichend konkret im Voraus zu bestimmen.

Sinnvoll wäre eine Regelung, die

  • zumindest benennt, welche Funktionen Security & Compliance grundsätzlich umfasst, ohne alle Funktionen abschließend und detailliert zu beschreiben,
  • so konkret es geht Zwecke für die Nutzung dieser Funktionen bestimmt,
  • sicherstellt, dass die Nutzung dieser Funktionen korrekt dokumentiert wird,
  • sicherstellt, dass der Betriebsrat darüber informiert wird, ob und für die Erfüllung welcher Zwecke diese Funktionen jeweils verwendet werden und
  • gewährleistet, dass die betroffenen Arbeitnehmer darüber informiert werden, wenn sie von einer Überwachung betroffen sind (was auch ein datenschutzrechtliches Erfordernis ist).

Eine grundsätzliche Beschreibung der Funktionen von Security & Compliance könnte z. B. so lauten:

Office 365 bietet verschiedene Funktionen für die Sicherstellung der Integrität, Vertraulichkeit und Sicherheit der Verarbeitung der Daten an („Security and Compliance“). Zu diesem Zweck werden auch sämtliche Aktivitäten aller Benutzer protokolliert, und das Protokoll für 90 Tage gespeichert.

Die Funktionen zu Security and Compliance können u. a. folgende Funktionen in Office 365 (z. B. im Exchange-Server, in OneDrive bzw. SharePoint) erfüllen:

  • Durchsuchung von Datenbestände nach bestimmten Kriterien;
  • automatische oder manuelle Kennzeichnung bestimmter Elemente anhand bestimmter Kriterien („Klassifizierung“);
  • automatische Archivierung bestimmter Elemente, die anhand bestimmter Kriterien identifiziert werden;
  • automatische Aufbewahrung bestimmter Elemente, die anhand bestimmter Kriterien identifiziert werden;
  • automatische Behandlung bestimmter Klassen und Arten von Objekten („Data Loss Prevention“/“Verhinderung von Datenverlust“);
  • automatische Löschung bestimmter Elemente, die anhand bestimmter Kriterien identifiziert werden;
  • Auslösen automatische Alarme, wenn Elemente bestimmte Kriterien erfüllen (z. B. bei Data Loss Prevention);
  • Durchsuchung des Überwachungsprotokolls.

Eine Regelung, die die Zwecke bestimmt, für deren Erfüllung die Nutzung der Funktionen von Security & Compliance zulässig sind, könnte z. B. so lauten:

Es ist nicht zulässig, diese Funktionen zu verwenden, um das Verhalten oder die Leistung von Arbeitnehmern zu beobachten, zu bewerten, zu messen, zu vergleichen oder in anderer Weise zu kontrollieren, wenn dies nicht durch diese Betriebsvereinbarung oder eine andere mitbestimmte Regelung erlaubt wird oder der Betriebsrat im Einzelfall schriftlich zugestimmt hat.

Die Nutzung der Funktionen von Security & Compliance ist zulässig, wenn und soweit dies für die Erfüllung einer oder mehrerer der folgenden Zwecke erforderlich ist:

  • Gewährleistung der technischen Funktionsfähigkeit von O365 und seiner Komponenten;
  • Analyse und Korrektur technisch bedingter Fehler in O365;
  • Gewährleistung des Datenschutzes, der Datensicherheit sowie Schutz vor unbefugter oder unzulässiger Nutzung;
  • Erfüllung gesetzlicher Pflichten aus dem Recht der EU oder eines EU-Mitgliedsstaats.

Außerdem benötigt man eine Regelung, die bestimmt, dass die Nutzung von Security & Compliance vollständig dokumentiert und der Betriebsrat über die Verwendung und deren Zweck informiert wird:

Der Betriebsrat wird im Voraus schriftlich darüber informiert, wenn der Arbeitgeber beabsichtigt, eine der Funktionen von Security & Compliance zu nutzen. Ihm ist darzulegen, inwiefern eine Erforderlichkeit gem. Abs. 4 und 5 vorliegt. Der Betriebsrat wird im Voraus schriftlich darüber informiert, wenn eine Auswertung (z. B. Inhaltssuche) durchgeführt wird. Auf Anforderung des Betriebsrats ist mit ihm eine Ergänzung dieser Betriebsvereinbarung vorzunehmen, in der die Regeln für die Nutzung der jeweiligen Funktion vereinbart werden.

Schließlich sollte die Unterrichtung der jeweils Betroffenen vereinbart werden:

Die Benutzer werden in entsprechender Anwendung der Art. 12 bis 14 DSGVO darüber informiert, ob, in welcher Weise und für die Erfüllung welcher Zwecke Funktionen von Security & Compliance verwendet werden. Ausnahmen bedürfen der schriftlichen Zustimmung des Betriebsrats.

Erfahren Sie mehr!

Die passenden Seminare zu diesem Thema:

Office 365®/Microsoft 365® in der Cloud

Vorheriges Thema Nächstes Thema
Nach oben scrollen