Microsoft bietet mit Office 365 mittlerweile eine Reihe von neuen Funktionen im Rahmen der „Security & Compliance“ Komponenten. So hat man über zwei Module (Basis und Advanced Compliance) die Möglichkeit innerhalb der Office 365 Produkte, Daten und Informationen zu durchsuchen und zu verwalten. Ebenso kann man E-Discovery Fälle und Ablaufhemmungen erstellen. Für eine vollständige Abdeckung, der in Deutschland gängigen Anforderungen an Compliance innerhalb der Anwendungen von Office 365 und somit ein vollständiges E-Discovery nach EDRM (Electronic Discovery Reference Model) ist jedoch nur mit dem Advanced Compliance Modul (Bestandteil E5 oder dediziert für 6,70 € / Monat / User zzgl. MwSt. zu buchbar) möglich. Unternehmen, die all ihre unstrukturierten Daten (E-Mails, Dateien und sonstigen durch den Anwender erstellten Inhalten) nicht ausschließlich in Office 365 haben, werden jedoch mit beiden Compliance Modulen nicht auskommen.

Gesetzliche Anforderungen erfüllen mit Office 365

Es gibt eine Reihe von gesetzlichen Anforderungen an Informationen und Daten, wie z. B. E-Mails, die Unternehmen für eine gesetzeskonforme Aufbewahrung zu erfüllen haben. Je nach Branche und interner Unternehmensstruktur kommen weitere Auflagen hinzu. Manche Vorgaben stehen durchaus im Konflikt mit anderen, weshalb es einer umfangreichen Prüfung und individuellen Abwägung bedarf.

Ein besonders wichtiger Punkt beim Umgang mit Daten ist eine separate Behandlung bzw. Speicherung von sensiblen (u. a. private bzw. personenbezogene Daten, Bewerbungen, Betriebsratskommunikation, sensible Informationen) und „normalen“ geschäftlichen Daten. Im Falle der Privatnutzung, z.B. des E-Mail-Systems, was in 90% der Unternehmen zumindest im Rahmen der Duldung der Fall ist, muss der Anwender die Möglichkeit haben, diese zu kennzeichnen und dadurch in den Systemen unter besonderen Schutz zu stellen. Unzulässig gespeicherte Daten müssen gelöscht werden können. Auch bei abgelehnten Bewerbungen hat der Bewerber das Recht auf vollständige Löschung, ebenso bei personenbezogenen Daten, die für den tatsächlich geschäftlichen Kontext nicht mehr relevant sind. Demnach gibt es in der Praxis eine Vielzahl von Fällen, in denen Daten gelöscht werden müssen (auch aus Archiven).

Bei der Umsetzung der gesetzlichen Anforderungen mit Office 365 Compliance Modulen gibt es eine Reihe von Herausforderungen, die auf den ersten Blick nicht ersichtlich sind. Beim Exchange Online Archiv wird ein weiteres Postfach angelegt, in welches der Anwender E-Mail-Nachrichten verschieben kann, oder per MRM auf Systemordner Regeln gesetzt werden können. Mit nahezu unlimitiertem Speicherplatz können im Archiv Postfach im Grunde lebenslang Daten aufbewahrt werden. Für eine gesetzeskonforme Compliance-Archivierung bedarf es jedoch großer Flexibilität und granularer Einstellmöglichkeiten zur Kategorisierung der Daten und vor allem für den Zugriff (Suche & Prüfung) auf die E-Mail-Nachrichten.

Die Aufbewahrung von geschäftlichen und personenbezogenen Daten im gleichen System und gleichen Zugriffsmöglichkeiten ist problematisch. Personenbezogene und private Daten müssen vor unerlaubten Zugriff geschützt sein. Vor allem jedoch bei der Anforderung einer Löschung von ungerechtfertigt gespeicherten Daten (z.B. personenbezogenen Daten oder abgelehnter Bewerbungen) müssen häufig selektive Löschungen von Nachrichten durchgeführt werden. Eine solche Löschung von Daten in Exchange lässt sich, wenn überhaupt, nur mit erheblichem Aufwand durchführen und ist keinesfalls für viele Mailboxen praktikabel durchführbar.

Die Security & Compliance Komponenten von Office 365 reichen nicht in allen Fällen aus

Zusammengefasst ist Office 365 eine umfassende und gute Cloud-Lösung für Basis Infrastruktur Applikationen. Jedoch wird es immer Spezialanbieter und Lösungen geben, die sich auf bestimmte Problematiken und Herausforderungen fokussieren und letztlich bessere und notwendige Lösungen bieten. Drittanbieter, wie Netmail, bieten ganzheitliche Lösungen für einen Mischbetrieb mit einem professionellen E-Discovery Framework und Workflows an. Dies umfasst rollenbasierte Zugriffsmöglichkeiten für die Aufbereitung und Analyse der Daten gemäß E-Discovery Reference Model (EDRM) und geht weit über die Basisfunktionalitäten von Office 365 hinaus. Eine automatische Klassifizierung von Daten mit Hilfe von KI (Künstlicher Intelligenz) ist ebenso Bestandteil wie zentral einstellbare Richtlinien. Auch können bestehende Labels und Klassifizierungen, die durch die Office 365 Basis Compliance gesetzt worden sind, verwertet werden. Und dies nicht nur für die Anwendungen in Office 365, sondern viele weitere Applikationen für unstrukturierte Datenspeicherung, wie Dropbox, Box, Citrix ShareFile, Egnyte, Windows Dateisystem und viele mehr.

Sollten in einem Unternehmen somit unstrukturierte Daten außerhalb von Office 365 gespeichert werden – was in den meisten Unternehmen der Fall sein wird – so benötigt man hierzu eine professionelle E-Discovery-Applikation, die dies unterstützt. Es ist keinesfalls eine Entweder-oder-Frage, sondern eine notwendige und sinnvolle Erweiterung der Compliance Module in Office 365 um relevante Funktionen sowie verschiedene Datenquellen.

Sie benötigen eine ausführlichere Betrachtung der Security & Compliance Funktionen von Office 365 in Bezug auf die aktuelle Gesetzeslage?

Laden Sie jetzt unser ausführliches Whitepaper herunter.