News
Data Spillage: Auffinden + Bereinigen von Daten in Microsoft 365
Was ist Data Spillage und warum sollten Sie sich darum kümmern?
Von Datenverlust spricht man, wenn ein vertrauliches Dokument in einer nicht vertrauenswürdigen Umgebung veröffentlicht wird. Wenn ein Datenverlust festgestellt wird, ist es wichtig, schnell den Umfang und den Ort des Verlusts zu ermitteln, die Benutzeraktivitäten in der Umgebung zu untersuchen und die ausgelaufenen Daten dann dauerhaft aus dem System zu löschen. Im Folgenden wird in acht Schritten übersichtlich beschrieben, wie der Arbeitsablauf für das Management von Datenverlusten in MS 365 abläuft.
Schritt 1: Verwalten Sie, wer auf den Fall zugreifen kann, und legen Sie Grenzen für die Einhaltung der Vorschriften fest (Optional)
Je nach Ihren organisatorischen Gepflogenheiten müssen Sie steuern, wer auf den eDiscovery-Fall zugreifen darf, der zur Untersuchung eines Vorfalls mit Datenverlusten verwendet wird, und Grenzen für die Einhaltung der Vorschriften festlegen. Sie können auch eine neue Rollengruppe erstellen, die auf Ihre organisatorischen Anforderungen abgestimmt ist. Dazu erstellen Sie eine Rollengruppe "Data Spillage Investigator", weisen die entsprechenden Rollen zu (Export, RMS Decrypt, Review, Preview, Compliance Search und Case Management), fügen die Data Spillage Investigators zu der Rollengruppe hinzu und fügen dann die Rollengruppe als Mitglied des Data Spillage eDiscovery-Falls hinzu. Siehe Einrichten von Compliance-Grenzen für eDiscovery-Untersuchungen in Office 365 für eine detaillierte Anleitung, wie dies zu tun ist: Set up compliance boundaries for eDiscovery investigations in Office 365.
Schritt 2: Erstellen eines eDiscovery-Falls
Ein eDiscovery-Fall bietet eine effektive Möglichkeit zur Verwaltung Ihrer Untersuchung von Datenverlusten. Sie können der Rollengruppe, die Sie in Schritt 1 erstellt haben, Mitglieder hinzufügen, die Rollengruppe als Mitglied eines neuen eDiscovery-Falls hinzufügen, wiederholte Suchvorgänge durchführen, um die ausgelaufenen Daten zu finden, einen Bericht zur gemeinsamen Nutzung exportieren, den Status des Falls verfolgen und bei Bedarf auf die Details des Falls zurückgreifen. Um einen neuen Fall zu erstellen, können Sie eDiscovery im Sicherheits- und Compliance-Cen-ter verwenden. Siehe "Einen neuen Fall erstellen" in Erste Schritte mit Core eDiscovery: Get started with Core eDiscovery.
Schritt 3: Suchen Sie nach den verschütteten Daten
Nachdem Sie nun einen Fall erstellt und den Zugriff verwaltet haben, können Sie den Fall verwenden, um wiederum nach den ausgelaufenen Daten zu suchen und die Postfächer zu identifizieren, die die ausgelaufenen Daten enthalten. Um eine Inhaltssuche zu erstellen, die mit einem eDiscovery-Fall verknüpft ist, siehe Suche nach Inhalten in einem Core eDiscovery-Fall: Search for content in a Core eDiscovery case.
Wichtig: Die Schlüsselwörter, die Sie in der Suchabfrage verwenden, können die tatsächlich verschütteten Daten enthalten, nach denen Sie suchen. Wenn Sie z. B. nach Dokumenten suchen, die eine Sozialversicherungsnummer enthalten, und diese als Suchschlüsselwort verwenden, müssen Sie die Abfrage anschließend löschen, um weitere Datenverluste zu vermeiden.
Schritt 4: Überprüfung und Validierung der Fallergebnisse
Nachdem Sie eine Inhaltssuche erstellt haben, müssen Sie die Suchergebnisse überprüfen und validieren und sicherstellen, dass sie nur aus den zu löschenden E-Mails bestehen. Bei einer Inhaltssuche können Sie eine zufällige Stichprobe von 1.000 E-Mail-Nachrichten in der Vorschau anzeigen, ohne die Suchergebnisse zu exportieren, um weitere Datenverluste zu vermeiden. Weitere Informationen zu den Beschränkungen der Vorschau finden Sie unter Beschränkungen für die Inhaltssuche:Limits for Content Search.
Wenn Sie eine E-Mail-Nachricht finden, die verschüttete Daten enthält, überprüfen Sie die Empfänger der Nachricht, um festzustellen, ob sie extern weitergegeben wurde. Um eine Nachricht weiter zu verfolgen, können Sie Absenderinformationen und Datumsbereiche sammeln, so dass Sie die Nachrichtenverfolgungsprotokolle verwenden können.
Schritt 5: Verwenden Sie das Nachrichtenprotokoll, um zu überprüfen, wie die Daten weitergegeben wurden
Um weiter zu untersuchen, ob E-Mails mit verschütteten Daten weitergegeben wurden, können Sie optional die Nachrichtenverfolgungsprotokolle mit den Absenderinformationen und den in Schritt 4 gesammelten Datumsangaben abfragen. Die Aufbewahrungsfrist für die Nachrichtenverfolgung beträgt 30 Tage für Echtzeitdaten und 90 Tage für historische Daten. Sie können die Nachrichtenverfolgung im Sicherheits- und Compliance-Center verwenden. Es ist wichtig zu beachten, dass die Nachrichtenverfolgung keine vollständige Garantie für die Vollständigkeit der zurückgegebenen Daten bietet.
Schritt 6: Vorbereiten der Postfächer
Nachdem Sie überprüft und bestätigt haben, dass die Suchergebnisse nur die zu löschenden Nachrichten enthalten, müssen Sie eine Liste der E-Mail-Adressen der betroffenen Postfächer zusammenstellen, die Sie in Schritt 7 verwenden können, wenn Sie die ausgelaufenen Daten löschen. Möglicherweise müssen Sie auch die Postfächer vorbereiten, bevor Sie E-Mail-Nachrichten dauerhaft löschen können, je nachdem, ob die Wiederherstellung einzelner Elemente in den Postfächern aktiviert ist, die die ausgelaufenen Daten enthalten, oder ob eines dieser Postfächer in der Warteschleife ist.
Wichtig: Wenden Sie sich an Ihre Rechtsabteilung, bevor Sie eine Sperrung oder Aufbewahrungsrichtlinie aufheben. Möglicherweise gibt es in Ihrem Unternehmen eine Richtlinie, die festlegt, ob ein zurückgehaltenes Postfach oder ein Vorfall mit Datenverlust Vorrang hat.
Schritt 7: Dauerhaftes Löschen der ausgelaufenen Daten
Wie bereits erläutert, müssen Sie zum Löschen von Nachrichten Mitglied der Rollengruppe Organisationsmanagement sein oder die Verwaltungsrolle Suchen und Löschen zugewiesen bekommen. Informationen zum Hinzufügen von Benutzern zu einer Rollengruppe finden Sie unter Zuweisen von eDiscovery-Berechtigungen im Security & Compliance Center: Assign eDiscovery permissions in the Security & Compliance Center. Um die verschütteten Nachrichten zu löschen, siehe Suchen und Löschen von E-Mail-Nachrichten: Search for and delete email messages.
Wichtig: E-Mail-Elemente in einem Überprüfungssatz in einem erweiterten eDiscovery-Fall können nicht mit den in diesem Artikel beschriebenen Verfahren gelöscht werden. Das liegt daran, dass Elemente in einem Überprüfungssatz Kopien von Elementen im Live-Dienst sind, die kopiert und an einem Azure-Speicherort gespeichert werden.
Schritt 8: Überprüfen, Nachweis der Löschung und Audit
Der letzte Schritt im Arbeitsablauf zur Verwaltung eines Datenverlusts besteht darin, zu überprüfen, ob die ausgelaufenen Daten dauerhaft aus dem Postfach entfernt wurden, indem Sie den eDiscovery-Fall aufrufen und dieselbe Suchabfrage, die zum Löschen der Daten verwendet wurde, erneut ausführen, um zu bestätigen, dass keine Ergebnisse zurückgegeben werden. Nachdem Sie bestätigt haben, dass die ausgelaufenen Daten dauerhaft entfernt wurden, können Sie einen Bericht exportieren und ihn (zusammen mit dem Originalbericht) als Nachweis für die Löschung einfügen. Dann können Sie den Fall schließen (close the case) und ihn wieder öffnen, wenn Sie ihn in Zukunft wieder benötigen.