Productivity News vom 1.11.2017: Security and Compliance – Office 365 Aufbewahrungsrichtlinien

Security & Compliance Center

Über das Security & Compliance Center wurde bereits an der Ignite 2015 gesprochen, wenig später wurde es dann ausgerollt. Microsoft hat sehr viel in die Sicherheit investiert und nach nun rund zwei Jahren sind unzählige Funktionen hinzugekommen.

Worum geht es im Security & Compliance Center?

Das Office 365 Security & Compliance Center bietet verschiedene Funktionen für die Verwaltung von Richtlinien. Features wie Bedrohungsverwaltung von E-Mail-Filterung und Antischadsoftware, Geräteverwaltung, Verhinderung von Datenverlust, Datenkontrolle, Suche und Untersuchung, eDiscovery (elektronische Ermittlung von Informationen für Rechtsfälle) sowie Archivierung sind zum jetzigen Zeitpunkt vorhanden.

Welche Lizenzen werden benötigt?

Zugriff auf das Security & Compliance Center haben alle Business- und Enterprise-Pläne. Auch die eigenständigen Pläne wie z.B. SharePoint Plan 1 oder Exchange Online Plan 1 können darauf zugreifen. Jedoch sind gewisse Features nur bei spezifischen Plänen verfügbar. Beispielsweise ist bei Business Essential die Verhinderung von Datenverlust nicht enthalten, im Enterprise E3 ist es hingegen vorhanden. Eine Übersicht über die Verfügbarkeit der Funktionen finden Sie hier.

Wie gelange ich ins Security & Compliance Center?

Wählen Sie das Admin Portal an. Unter der Navigation des Admin Centers finden Sie den Link zur Security & Compliance.

 

Aufbewahrung

Im Obligationenrecht (OR) und in der Geschäftsbücherverordnung (GeBüv) sind die Vorschriften der gesetzlichen Aufbewahrungspflicht der Geschäftsunterlagen festgehalten. Je nach Branche gelten auch spezifischere Vorschriften. Die Aufbewahrungsrichtlinien von Office 365 können helfen, diese Vorschriften einzuhalten. Zum Verwalten von Inhalten sind folgende Aktionen erforderlich:

• Aufbewahren – Vor Ablauf des Aufbewahrungszeitraums können Inhalte nicht gelöscht werden
• Löschen – Endgültiges Entfernen von Inhalten nach Ende des Aufbewahrungszeitraums

Die Richtlinien in Office 365 können so angepasst werden, dass einzelne Richtlinien für das gesamte Unternehmen oder nur für bestimmte Standorte oder bei gewissen Benutzern angewendet werden können. Zudem können auch Bedingungen hinzugefügt werden, so dass bei bestimmten Schlüsselwörtern die jeweilige Richtlinie angewendet wird.

Funktionsweise

Wenn Inhalte von Websites durch Benutzer editiert oder gelöscht werden, wird eine Kopie des ursprünglichen Inhalts im permanenten Dokumentarchiv aufbewahrt. Nur für den Websitesammlungsadministrator ist das permanente Dokumentenarchiv sichtbar.

 

2 Aktionen nach der Aktivierung der Aufbewahrungsrichtlinie:

1. Falls der Inhalt während des Aufbewahrungszeitraums editiert oder gelöscht wird, wird die Kopie des Originals in einem permanenten Dokumentenarchiv erstellt. Ein Timer Job sorgt dafür, dass periodisch die Dokumente geprüft werden, ob der Aufbewahrungszeitraum abgelaufen ist und löscht es 7 Tage nach Ablauf.
2. Wenn der originale Inhalt weder editiert noch gelöscht wird, wird das Dokument nach Ablauf der Aufbewahrungspflicht in den Standardpapierkorb verschoben. Falls der Benutzer seinen Papierkorb leert, gelangt der Inhalt in den endgültigen Papierkorb. Nach insgesamt 93 Tagen wird das Dokument gelöscht.

Dokumentversion in einer Website

Um alle Versionen eines Dokuments mit der Richtlinie aufbewahren zu können, muss vorgängig in der Dokumentenbibliothek die Versionierung aktiviert sein.

Falls die Versionierung nicht aktiviert ist und ein Dokument mehreren Richtlinien unterliegt, wird jeweils die Version aufbewahrt, die bei Aktivierung der einzelnen Aufbewahrungsrichtlinien aktuell ist.

Inhalte für einen bestimmten Zeitraum aufbewahren

Inhalte können entweder zeitlich unbegrenzt oder über eine bestimmte Anzahl Tage, Monate oder Jahre aufbewahrt werden. Sie können entscheiden, ob eine Richtlinie basierend auf das Erstelldatum oder Änderungsdatum erfolgt.

Wenn beispielsweise ein Dokument zehn Jahre nach der letzten Änderung aufbewahrt werden soll und nach neun Jahren keine Anpassung erfolgte, wird es nur noch ein Jahr aufbewahrt. Wird es hingegen angepasst, wird das Dokument weitere zehn Jahre aufbewahrt.

 

Löschen von Inhalten

Es gibt nicht nur Aufbewahrungsrichtlinien, sondern auch Policies, die unabhängig von der Aufbewahrung Inhalte löschen. Jedoch muss beachtet werden, dass die Löschrichtlinie nicht ab dem Zeitpunkt der Aktivierung gilt, sondern je nach Einstellung entweder beim Änderungsdatum oder beim Erstelldatum berechnet wird.

Wenn beispielsweise eine Richtlinie gesetzt wird, dass Inhalte 10 Jahren nach Erstelldatum gelöscht werden, entfernt die Richtlinie sofort alle Inhalte, die vor 10 Jahren (oder länger) erstellt wurden! Deshalb ist es wichtig, alle Mitarbeiter vorgängig zu informieren, damit sie die Inhalte vorgängig prüfen und das Alter eruieren.

 

Erweiterte Konditionen mittels Schlüsselwörter

Es besteht auch die Möglichkeit, bei gewissen Schlüsselwörtern die Richtlinie anzuwenden. Die Suchabfrage können mit den Operatoren AND, OR und NOT verfeinert werden. Wenn die Bedingung erfüllt wird, wird die Policy angewendet.

Anwendung der Aufbewahrungsrichtlinie

Die Aufbewahrungsrichtlinie kann man auf eine gesamte Organisation, ganze Speicherorte oder nur an bestimmten Orten oder bei Personen anwenden.

Gesamte Organisation

Die Aufbewahrungsrichtlinie ist standardmässig übergreifend für Speicherorte in Office 365:

• Exchange E-Mails
• SharePoint Websites
• OneDrive for Business-Konten
• Office 365 Groups (Inhalte im Postfach, Modern Team Site, Dokumentenbibliothek, OneNote, Gruppenunterhaltungen)
• Öffentliche Exchange-Ordner

In Exchange erben alle neuen Postfächer die aktivierten Richtlinien automatisch.

Bestimmte Speicherorte

Sie können beliebige Speicherorte wie z.B. Exchange-E-Mails oder SharePoint Websites ein- und ausschliessen. Es gibt keine Beschränkung für die Anzahl Postfächer oder Websites, in der die Richtlinie enthalten ist.

 

Auf welcher Ebene gelten welche Dienste?

Postfachebene

Für E-Mails und Kalender eines Benutzers wird die Richtlinie auf Postfachebene aktiviert. Die Unterhaltungen von Skype for Business werden auch in Exchange verwaltet, da die Skype-Inhalte in Exchange gespeichert werden. Dort ist jedoch zu beachten, dass die User manuell ausgewählt werden müssen.

Websiteebene

Für Dateien innerhalb von Sharepoint oder OneDrive for Business gilt eine Aufbewahrungsrichtlinie auf Websiteebene.

Vorrang der Richtlinien

Wenn mehrere Aufbewahrungsrichtlinien auf Inhalte angewendet werden, die jeweils eine andere Aktion (z.B. Aufbewahren oder Löschen) und einen anderen Aufbewahrungszeitraum aufweisen, wird folgendes Grundprinzip angewendet:

 

Aufbewahrung vor Löschen

Wenn eine Lösch-Richtlinie auf einen Inhalt aktiviert ist mit einem Zeitraum von 3 Jahren ab Erstellung und zugleich eine andere Aufbewahrungsrichtlinie über 5 Jahre aktiviert ist, dann wird nach 3 Jahren der Inhalt für den Nutzer gelöscht (ausgeblendet) und wandert in den Wiederherstellungsordner. Der Inhalt wird für die restlichen 2 Jahre aufbewahrt.

Längster Aufbewahrungszeitraum hat Vorrang

Werden mehrere Aufbewahrungsrichtlinien auf Inhalte angewendet, so bleiben diese bis zum Ende des längsten Aufbewahrungszeitraums erhalten.

Explizite Inkursion vor impliziter Inkursion

Wenn ein Label mit einer Aufbewahrungsrichtlinie von einem Benutzer explizit für einen speziellen Inhalt zugewiesen wird, dann gilt diese Richtlinie anstatt die aktivierte Aufbewahrungsrichtlinie des Systems. Implizite Richtlinien werden von Office 365 automatisch angewendet.

Der kürzeste Löschzeitraum hat Vorrang

Werden mehrere Löschrichtlinien auf Inhalte angewendet, so gilt der kürzeste Zeitraum.

Aufbewahrungspflicht für Unternehmen in der Schweiz

• Allgemein gilt für Rechnungen, Kontoauszüge, etc.: 5 Jahre, im Idealfall 10 Jahre
• Geschäftsbücher, Geschäftsberichte, Buchungsbelege, Revisionsbericht: 10 Jahre
• Personalakten, Unterlagen Sozialversicherungen, Lohndeklaration, Arbeitszeugnisse: 10 Jahre
• Geschäftsunterlagen für unbewegliche Gegenstände: 20 Jahre
• Pensionskasse: Unbegrenzt

Welches sind 2 typische Anwendungsfälle für Aufbewahrungsrichtlinien?

Anwendungsfall: Garantiefälle aufbewahren

Ein Unternehmen, das in der Baubranche tätig ist, muss gewisse Dokumente für Garantiefälle über eine längere Zeit aufbewahren. Es gibt verschiedene Drittanbieter, die solch eine Lösung anbieten. Meist sind diese Produkte kostspielig und mit grösserem Aufwand verbunden (Einrichtung und Anwendung). Da aber eine Enterprise E3 Lizenz im Einsatz ist, kann das Unternehmen auf die Boardmittel zugreifen und im Compliance Center eine Retention Policy (Aufbewahrungsrichtlinie) erstellen.

Mit der Aufbewahrungsrichtlinie können die Garantiescheine als PDF in einer bestimmten Dokumentenbibliothek in SharePoint abgelegt werden. Im Bauwesen besteht normalerweise eine Garantiefrist von zwei Jahren. Somit kann die Richtlinie auf zwei Jahre gesetzt werden. Sobald Dokumente in diese Bibliothek hochgeladen werden, wird die Richtlinie automatisch gesetzt..

Anwendungsfall: Mitarbeiter verlässt das Unternehmen

Was passiert mit den geschäftsbezogenen E-Mails, wenn Mitarbeiter die Firma verlassen? Ganz simpel, Sie richten eine Aufbewahrungsrichtlinie für Postfächer ein.

Geschäftskorrespondenz, welche einen Geschäftsvorfall oder Sachverhalt belegt und einer Buchung zugrunde liegt, gilt als Buchungsbeleg (sofern kein anderer Beleg existiert). Dieser Beleg müsste zehn Jahre lang aufbewahrt werden. Mit Einrichtung der Aufbewahrungsrichtlinie auf der Exchange-Ebene, werden die Richtlinie auf alle Postfächer angewendet. Wenn Mitarbeiter das Unternehmen verlassen, werden die Postfächer auf Status inaktiv gesetzt. Solange die Aufbewahrungsrichtlinie aktiv ist, bleiben die inaktiven Postfächer bestehen und werden nicht gelöscht.

Was empfiehlt die IOZ AG?

Prinzipiell ist die Anwendung der Aufbewahrungsrichtlinien in vielen Bereichen sehr sinnvoll. Zwei mögliche Beispiele dafür fanden Sie in den Anwendungsfällen.

Grundlegend empfehlen wir folgenden Umgang mit SharePoint:

Eine Informationsmanagement-Richtlinie (Site Collection Einstellungen) über eine ganze SharePoint-Seite hinweg macht nur dann Sinn, wenn Sie die Seite als Projekt nutzen (kurzfristiger Nutzen). D.h. die Seite ist während der Projektdauer in Betrieb und wird nach Projektabschluss eigentlich nicht mehr aktiv genutzt. Wenn Sie aber Teamseiten verwenden, die längerfristig genutzt werden und verschiedene Inhalte aufweisen, welche stets aktualisiert werden, sollte auf Richtlinien verzichtet werden.

Wenn Sie Löschrichtlinien anwenden, sollte die Aktivierung auf eine ganze Dokumentenbibliothek in SharePoint verzichtet werden. In den meisten Fällen sind verschiedene Inhalte vorhanden, so dass auch diese andere Löschrichtlinien beinhalten. Wenn beispielsweise eine automatisierte Löschrichtlinie auf einer Bibliothek aktiviert wird und ein Genehmigungsworkflow für Dokumente vorhanden ist, wäre das problematisch. Die Richtlinie löscht alle Dokumente, auch wenn bei Dokumenten der Status der Genehmigung auf pendent gesetzt ist! Dadurch verschwinden Inhalte, die noch relevant wären für einen Review.

Beachten Sie, dass beim Einsatz von Aufbewahrungs- oder Löschrichtlinien die Endanwender geschult oder wenigstens informiert werden müssen. Diese sollten verstehen, dass Policies im Unternehmen gelten und diese über die ganze Office 365 Produktepalette angewendet wird.

Wie lautet das Fazit der IOZ AG?

Vor dem März 2017 gab es keine globalen Einstellungen zu Richtlinien, die applikationsübergreifend waren (Exchange, SharePoint, etc.). Vorher mussten die Richtlinien separat erstellt werden. Nun können Richtlinien via Admin Portal zentral gesteuert werden und auf alle Applikationen aktiviert werden. Zudem können Endanwender zusätzlich Labels verwenden, um gewisse Aufbewahrungsrichtlinien explizit Inhalten zuzuweisen.

Security & Compliance von Office 365 ist ein wichtiger Bestandteil der Produktpalette. Die Security-Möglichkeiten sind vielfältig und mächtig. Im Normalfall benötigen Sie keine weiteren Drittanbieterlösungen für Aufbewahrungsrichtlinien.

Gibt es weiterführende Unterlagen?

Hier finden Sie eine Übersicht zu den Security & Compliance für Administratoren.

Wie sieht die Roadmap aus?

Hier finden Sie die üblichen Angaben in der offiziellen Roadmap. Zur Zeit arbeitet Microsoft an der Aufbewahrungsrichtlinie für Teams.

FAQ – Welche Fragen treffen wir bei unseren Kunden häufig an?

F: Werden alle Versionen eines Dokuments automatisch mit einer Aufbewahrungsrichtlinie aufbewahrt?
A: Nein. Die Versionsverwaltung für die Dokumentenbibliothek muss zuerst aktiviert sein.

F: Was passiert, wenn ein Mitarbeiter das Unternehmen verlässt und sein Postfach in einer Aufbewahrungsrichtlinie enthalten ist?
A: Das Postfach wird auf inaktiv gesetzt, sobald der Office 365 Benutzer gelöscht wird. Die Inhalte unterliegen weiterhin der Aufbewahrungsrichtlinie und stehen für eine eDiscovery-Suche zur Verfügung.

F: Was ist der Unterschied von Aufbewahrungsrichtlinien und Labels mit Aufbewahrungsrichtlinien?
A: Die Aufbewahrungsrichtlinien werden zentral über das Admin Portal gesteuert. Die Labels werden explizit vom Endanwender zugewiesen.

F: Welche Aufbewahrungsrichtlinie hat Vorrang, wenn diese zentral gesteuert sind und zugleich mit Labels arbeitet?
A: Die Labels werden explizit angewendet und diese Richtlinien haben Vorrang. Wenn die Aufbewahrungsdauer der allgemeinen Aufbewahrungsrichtlinie länger ist als diejenige vom Label, dann wird der Inhalt noch weiter aufbewahrt.