E-Mail-Sicherheit

    Verwalten von Microsoft 365 E-Mail-Aufbewahrungsrichtlinien

    Eine umfassende Microsoft 365-Richtlinie zur E-Mail-Aufbewahrung kann Compliance- und Cybersecurity-Risiken reduzieren - und die E-Mail-Verwaltung vereinfachen.

    by Samuel Greengard
    1213479385.jpg

    Wichtige Punkte

    • Die Standardeinstellungen für die E-Mail-Aufbewahrung in Microsoft 365 sind für die meisten Unternehmen nicht ausreichend, um die gesetzlichen und sicherheitstechnischen Anforderungen zu erfüllen.
    • Die Festlegung automatisierter E-Mail-Aufbewahrungsrichtlinien mit Microsoft 365-Tools kann dazu beitragen, dass E-Mails ordnungsgemäß archiviert und gelöscht werden.
    • Durch die Erweiterung der Microsoft 365-Archivierung mit E-Mail-Verwaltungsdiensten von Drittanbietern können Compliance, E-Discovery und Business Continuity weiter verbessert werden.

    E-Mails sind nach wie vor das wichtigste Kommunikations- und Interaktionsmedium für Unternehmen. Daher ist es wichtig, strenge Richtlinien für die E-Mail-Aufbewahrung festzulegen und diese auf Microsoft 365 anzuwenden. Standardmäßig bewahrt die weit verbreitete Plattform E-Mails so lange auf, bis sie manuell gelöscht werden, was ein Risiko für die Einhaltung von Vorschriften und die Cybersicherheit darstellen kann. Außerdem wird dadurch wertvoller Serverplatz verbraucht.

    Das Problem wird durch versehentliches Löschen und Datenverluste noch verschlimmert, da Ordner mit Nachrichten durch versehentliche Klicks oder böswillige Aktivitäten verloren gehen. Die große Anzahl von Nachrichten, die in typischen Unternehmensumgebungen enthalten sind, vergrößert dieses Risiko noch.

    Folglich sollten Unternehmen ihre aktuelle Microsoft 365 E-Mail-Aufbewahrungsrichtlinie überprüfen und verstehen, wie sie die Einstellungen in der Plattform aktualisieren und ändern können, um den Anforderungen des Unternehmens besser gerecht zu werden. Eine weitere Frage ist, ob die Aufbewahrungs- und Archivierungsfunktionen über das Angebot von Microsoft hinaus durch einen Drittanbieter von E-Mail-Sicherheits- und Archivierungsdiensten erweitert werden sollen.

    Die Wichtigkeit von E-Mail-Aufbewahrungsrichtlinien

    Heutzutage ist die E-Mail das zentrale Nervensystem eines Unternehmens. Sie enthält Geschäftsgeheimnisse, Kundendaten und andere geschützte Informationen und überschneidet sich zunehmend mit gesetzlichen und behördlichen Anforderungen, Cybersicherheitsanforderungen und Datenschutzbestimmungen.

    Der erste Schritt zur Formulierung einer effektiveren E-Mail-Aufbewahrungsstrategie besteht darin, zu überprüfen, welche E-Mail-Daten vorhanden sind, welche geschützt werden müssen und welche Nachrichten aus einem System gelöscht werden können und sollten. Laut Microsoft gibt es drei Schlüsselfaktoren, die im Mittelpunkt einer E-Mail-Aufbewahrungsstrategie stehen:[1]

    • Einhaltung von Branchenvorschriften und internen Richtlinien: Dazu gehören Vorschriften wie der California Consumer Privacy Act (CCPA) und die General Data Protection Regulation (GDPR) der Europäischen Union für den Datenschutz, der Health Insurance Portability and Accountability Act (HIPAA) für persönliche Gesundheitsdaten, der Sarbanes-Oxley Act für die Offenlegung von Buchhaltungs- und Finanzdaten sowie die unternehmenseigenen Standards für ordnungsgemäße Verfahren und Mitarbeiterverhalten. Viele dieser Vorschriften sind mit bestimmten Zeiträumen für die Aufbewahrung oder Löschung von E-Mails verbunden. Für die verschiedenen Branchen gelten unterschiedliche Anforderungen, und selbst innerhalb eines Unternehmens können die Verpflichtungen der einzelnen Abteilungen unterschiedlich sein.
    • Verringerung der Risiken im Zusammenhang mit Sicherheitsverletzungen und/oder Rechtsstreitigkeiten: Richtlinien zur Aufbewahrung und Löschung von E-Mails können Ihre sensiblen Daten weit weniger Risiken im Bereich der Cybersicherheit aussetzen. Sie können auch Informationen bewahren, die Sie eines Tages für eine rechtliche Verteidigung benötigen könnten.
    • Leistungsoptimierung: Das richtige Framework reduziert nicht nur den Speicherbedarf, sondern sorgt auch dafür, dass die Mitarbeiter nur das sehen, was für sie relevant ist.

    Einführung in die Microsoft 365-Aufbewahrungsrichtlinien

    Die Datenklassifizierung bildet die Grundlage für E-Mail-Aufbewahrungsrichtlinien. Das ist keine Aufgabe, die man auf die leichte Schulter nehmen sollte.[2] Sie kann die Mitwirkung verschiedener Führungskräfte und Teams innerhalb des Unternehmens erfordern. Sobald ein Unternehmen jedoch eine klare Vorstellung davon hat, wie, wann und wo Nachrichten und die zugehörigen Daten aufbewahrt und gelöscht werden sollen, ist es möglich, Richtlinien festzulegen, die den jeweiligen Rollen und Verantwortlichkeiten entsprechen.

    In Microsoft 365 können Administratoren eine Archivierungs- und Löschrichtlinie einrichten, die Elemente automatisch an einen gewünschten Ort verschiebt. Ein Administrator beginnt mit der Erstellung einer Aufbewahrungsrichtlinie in der Plattform unter Verwendung von Sensitivitätskennzeichnungen und Aufbewahrungskennzeichen.[3] Eine Regel kann bestimmten Postfächern zugewiesen und so programmiert werden, dass Elemente in ein Archiv verschoben und dann auf der Grundlage des Alters und anderer Parameter gelöscht werden.

    Das folgende Beispiel veranschaulicht, wie eine Organisation eine E-Mail-Aufbewahrungsrichtlinie festlegen und die soeben beschriebenen Tools zu deren Umsetzung verwenden könnte: Ein Administrator kann ein Archivpostfach für alle Mitarbeiter des Unternehmens oder für verschiedene Mitarbeitergruppen einrichten. Der Administrator kann bestimmte Nachrichtengruppen so kennzeichnen, dass sie nach drei Jahren automatisch archiviert werden, um Speicherplatz im Hauptpostfach eines Benutzers freizugeben. Nach fünf Jahren werden die Objekte im Ordner "Gelöschte Objekte" in einen versteckten Ordner für gelöschte Objekte verschoben, wo sie bei Bedarf wiederhergestellt werden können. Nach sieben Jahren schließlich löscht das System die Nachrichten sowohl im Archiv als auch in den versteckten Ordnern.

    So richten Sie Aufbewahrungsrichtlinien für Microsoft 365 ein

    Microsoft empfiehlt einen vierstufigen Ansatz zur Einrichtung eines Rahmens für die Aufbewahrung:[4]

    1. Archivpostfächer aktivieren: Die Microsoft 365-Plattform bietet Massenbearbeitungswerkzeuge für die Einrichtung von Gruppen von Postfächern. Sie ermöglicht auch die individuelle Behandlung bestimmter Mitarbeiter.
    2. Erstellen Sie neue Aufbewahrungs-Tags für die Archivierungs- und Löschrichtlinien: Dies beinhaltet das Hinzufügen eines Namens, einer Aufbewahrungsaktion und eines Aufbewahrungszeitraums. Dazu gehören auch ein benutzerdefiniertes Standard-Löschrichtlinien-Tag und ein benutzerdefiniertes Aufbewahrungsrichtlinien-Tag für den Ordner für gelöschte Objekte.
    3. Erstellen Sie eine neue Aufbewahrungsrichtlinie: Mithilfe von benutzerdefinierten Tags können Sie auf der Grundlage verschiedener Kriterien bestimmte Richtlinien zuweisen.
    4. Weisen Sie die neue Aufbewahrungsrichtlinie den Benutzerpostfächern zu: Jedes Mal, wenn ein Administrator ein neues Postfach erstellt, erhält es automatisch den Namen "Standard-MRM". Microsoft begrenzt die Anzahl der Aufbewahrungsrichtlinien, die einem Konto zugeordnet werden können, auf eine, daher ist es wichtig, den Standardnamen durch die im vorherigen Schritt erstellte neue Aufbewahrungsrichtlinie zu ersetzen.

    Gelöschte E-Mails können in der Microsoft 365-Plattform nahezu unbegrenzt aufbewahrt werden, indem das standardmäßige Messaging Records Management (MRM) von 30 auf 24.855 Tage umkonfiguriert wird.[5]

    Verwaltung von Aufbewahrungsrichtlinien und Prüfprotokollen

    Die Verwaltung Ihrer E-Mail-Aufbewahrungsrichtlinie ist keine einmalige Angelegenheit; sie muss regelmäßig überprüft und überarbeitet werden. Wie ein Rechtsberater es ausdrückte: "Änderungen in den Gesetzen der Bundesstaaten und des Bundes, Verfeinerungen der Vorschriften und fortschreitende Technologie sind nur einige der externen Einflüsse, die eine regelmäßige Überwachung erfordern, um die Vorschriften einzuhalten." [6]

    Eine weitere Überlegung betrifft das Führen von Audit-Protokollen als tägliche detaillierte Aufzeichnungen, die Beweise liefern können, wenn ein böswilliger Akteur einen Cyberangriff startet oder ein Angestellter unbefugte Aktivitäten durchführt.[7]

    Drittanbieter von E-Mail-Diensten wie Mimecast bieten Erweiterungen der E-Mail-Aufbewahrungsfunktionen von Microsoft 365 mit webbasierten Konsolen und granularen Verwaltungsfunktionen, die es Administratoren ermöglichen, Richtlinien festzulegen, aufrechtzuerhalten und durchzusetzen, Aktivitäten zu verfolgen und zu prüfen sowie entsprechende Tools für Anforderungen wie E-Discovery zu integrieren.

    Die Quintessenz

    Die Standardeinstellungen für die E-Mail-Aufbewahrung in Microsoft 365 sind kein gutes Rezept für die Einhaltung gesetzlicher Vorschriften, Cybersicherheit und betriebliche Effizienz. Ein Unternehmen muss Daten klassifizieren, eine auf seine Bedürfnisse zugeschnittene E-Mail-Aufbewahrungsrichtlinie formulieren und Kontrollen einrichten, um sicherzustellen, dass sich die Mitarbeiter an die Richtlinien und Regeln halten. Viele dieser Aktivitäten können über die Microsoft 365-Plattform abgewickelt werden, während robustere Funktionen von Drittanbietern von E-Mail-Diensten wie Mimecast verfügbar sind.

    [1] "Erfahren Sie mehr über Aufbewahrungsrichtlinien und Aufbewahrungsetiketten," Microsoft

    [2] "Kenne deine Daten - Übersicht über die Datenklassifizierung," Microsoft

    [3] "Erfahren Sie mehr über Sensitivitätskennzeichnungen," Microsoft

    [4] "Einrichten einer Archivierungs- und Löschrichtlinie für Postfächer in Ihrer Organisation," Microsoft

    [5] "Configure Deleted Item Retention and Recoverable Items Quotas," Microsoft

    [6] "7 Faktoren, die vor der Erstellung einer Richtlinie zur E-Mail-Aufbewahrung zu berücksichtigen sind," Special Counsel

    [7] "Search the Audit Log to Investigate Common Support Issues," Microsoft

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang