Schlagwort-Archive: Compliance

Office 365 Groups Governance – Teil 1

Microsoft hat mit den Office 365 Groups einen neuen Meilenstein in der Kollaboration gesetzt. Mit den verfügbaren Gruppeneinstellungen können wir zudem Strukturen und Richtlinien durchsetzen, um die Inhalte der Gruppen vor unerlaubten Zugriffen zu schützen. Aber die Standardwerte dieser Einstellungen sind überhaupt nicht geeignet für eine stake Governance.

Im 14. Türchen meines #O365Adventskalenders habe ich nämlich bereits erklärt, was alles mit Office 365 Groups möglich ist und dass wir eine neue Gruppe von fast überall erstellen können. In Zukunft soll außerdem fast alles eine Gruppe mit SharePoint als zentrales Daten-Repository sein. Wenn wir uns dabei auf die Standardeinstellungen verlassen, die für alle Office 365 Groups gelten, dann versinken wir schnell im Gruppen-Chaos und sensible Daten sind nicht mehr ausreichend geschützt. Die Standardwerte, die für eine starke Unternehmens-Governance alles andere als Standard sein sollten, schauen wir uns nun an.

  1. Groups-Limit

Jeder einzelne Nutzer kann bis zu 250 Groups erstellen. Für O365 Administratoren gibt es kein Limit. Aber im gesamten Tenant ist die maximale Anzahl an Groups derzeit auf 500.000 beschränkt. Ein Limit, dass man mit den Standardeinstellungen schnell erreichen kann, wenn Mitarbeitern einfach mal mit den Groups experimentieren. Denn selbst wenn ich nur einen neuen Plan in Planner erstelle, wird im Hintergrund eine neue Gruppe angelegt.

  1. Öffentlich oder Privat

Im Dialog zum Erstellen einer Gruppe kann man entscheiden, ob die Gruppe „Öffentlich“ oder „Privat“ sein soll. Standardmäßig ist „Öffentlich“ ausgewählt, was bedeutet, dass auch automatisch alle Nutzer des gesamten Tenants darauf berechtigt werden. Dies kann beim Erstellen natürlich einfach umgestellt werden, aber wie häufig werden wohl Mitarbeiter dies vergessen, wenn man es nicht standardmäßig auf „Privat“ umstellen oder sogar zentral festlegen kann…?

Natürlich sagt Microsoft, dass die Daten sicher sind und keiner Zugriff hat und jeder Mitarbeiter nur die Daten sieht, die er sehen soll. Das ist grundsätzlich richtig, aber dieses Konzept basiert auf den SharePoint-Berechtigungen und wenn grundsätzlich erst einmal jeder auf eine Gruppe berechtigt ist, dann kann auch jeder sehen, welche Daten sich darin befinden und diese öffnen.

  1. Berechtigungen

Wenn also nun alle Nutzer eines Tenants auf eine neue öffentliche Gruppe berechtigt werden, bekommen sie auch gleichzeitig Editierungsrechte auf die dazugehörige Site Collection und können Dokumente bearbeiten – ALLE! Mitglieder in der Owner-Gruppe einer O365 Group werden sogar Administratoren. Das bedeutet, sie haben Zugriff auf all die umfangreichen und einflussreichen Funktionen, wie z.B. Audit Logs, Site Collection Features oder auch das Löschen der SC. Wollen wir das? Direkt in SharePoint gehen wir schließlich auch sehr sorgsam mit dieser Berechtigungsrolle um.

  1. Berechtigungen teilen

Selbst wenn eine Gruppe nicht öffentlich ist, so haben dennoch alle Teilnehmer einer Gruppe das Recht direkt weitere Mitarbeiter einzuladen – sogar an externe Mitarbeiter, wenn dies grundsätzlich pro Tenant so eingestellt ist. Was passiert also mit der Kontrolle über meine vertraulichen Daten, die ich vermutlich auch in Gruppen teilen und daran arbeiten möchte?

  1. Zusammenarbeit mit Externen

Eine weitere Gruppen-Standardeinstellung ist die Möglichkeit, dass Nutzer eine Gruppe mit externen Mitarbeitern teilen können, die bereits im Unternehmensverzeichnis gelistet sind. Das bedeutet, dass Externe mit einem O365-Konto dieses Tenants als Interne betrachtet werden und diese können damit weiterhin berechtigt werden – selbst wenn das Teilen mit Externen abgeschaltet ist.

  1. Speicherplatz

Im #O365Adventskalender habe ich außerdem erklärt, dass die SharePoint Site Collections der Groups nicht im User Interface der O365 SharePoint Administration auftauchen und damit nicht von dort verwaltet werden können. Und standardmäßig gibt es selbstverständlich keine Speicherplatzbegrenzung. So kann auch schnell der verfügbare SharePoint Speicherplatz meines Tenants aufgebraucht sein – besonders in Bezug auf Punkt 1.

Wenn wir diese Standardeinstellungen nun noch einmal durchdenken, dann sollten die Alarmglocken läuten in Bezug auf

I.
Chaos unzähliger Groups
II.
Unkontrollierter Zugriff für Interne und Externe auf Groups-Inhalte
III.
Schneller Verbrauch des verfügbaren Tenant-Speicherplatzes

Aus diesem Grund ist es ratsam, Richtlinien zu konfigurieren, um als Administrator wieder die Kontrolle über die Office 365 Groups zu erlangen. Nicht alles ist mit nativen Mitteln konfigurierbar, aber die Möglichkeiten, die es gibt, sollten wir nutzen.

Um Punkt 1 zu adressieren, können wir auf Anfrage bei Microsoft das Gruppenlimit hoch setzen lassen. Den Standardwert beim Status einer Gruppe, also ob öffentlich oder privat, können wir jedoch leider nicht konfigurieren. Und für die Punkte 3 bis 6 können wir aber folgende Lösungen finden.

I.
Chaos unzähliger Groups

Einschränkung der Gruppenersteller:

Ein dringend empfohlener Ansatz, um Problem I anzugehen, ist das Einschränken der Rechte sodass nicht jeder Mitarbeiter Gruppen erstellen kann. Dies kann man mit einer neuen Gruppenkonfiguration sowie einer zusätzlichen Sicherheitsgruppe erzielen. Diese und alle anderen Einstellungen sind ausschließlich über PowerShell konfigurierbar. Wie man dies realisiert, zeige ich euch in Teil zwei zur O365 Groups Governance.

Frage: Wenn ich die Gruppenerstellung nur für eine bestimmte Sicherheitsgruppe zulasse, muss ich dann auch Administratoren hinzufügen, damit sie Office 365 Groups erstellen können?

Antwort: Jein! Warum so ungenau? Weil jede Firma unter dem „Administrator“ eine andere Rolle versteht und es auch in Office 365 verschiedene Administrator-Rollen gibt, die weiterhin Gruppen erstellen können. Folgende Built-In Rollen können unabhängig von den Einstellungen in der Gruppenvorlage oder dem globalen Abschalten der Gruppen weiterhin Office 365 Groups erstellen:

  • Global Admins
  • User Management Admins
  • Mailbox Administrator
  • Partner Tier1 Support
  • Partner Tier2 Support
  • Directory Writers

Dies ist dann weiterhin im O365 Admin Center sowie beim Anlegen einer SharePoint Site Collection möglich. Allerdings nicht mehr über Planner oder aus der Mail oder People Ansicht heraus!

Klassifizierung:

Um weiterhin einen besseren Überblick über alle Gruppen zu bekommen, so kann ich eine Liste von Schlüsselwörtern definieren, aus denen der Gruppenersteller auswählen kann und somit zu den Eigenschaften einer Gruppe hinzugefügt werden. Das Ersteller einer solchen „Classification List“ in PowerShell zeige ich euch ebenfalls in Teil 2.

O365 Groups Governance KlassifizierungAber Achtung, obwohl es die Office 365 Groups schon relativ lange gibt, sind noch nicht alle Einstellungen voll ausgereift. So kann ich in diesem Fall die Schlüsselwörter zur Klassifizierung der Gruppe nur beim Erstellen über SharePoint auswählen. Bei allen anderen Einstiegspunkten über das User Interface ist dieses Auswahlfeld nicht verfügbar.

Namenskonventionen:

Neben der Klassifizierung kann ich auch Namenskonventionen mit Pre- und Suffixen vorgeben. Damit können wir mehr Struktur in unseren Gruppennamen bringen. Mehrere Pre- und/oder Suffixe können vergeben werden. Dabei können wir entweder selber per Freitext Wörter eingeben oder aber auch automatisch Attribute aus dem Konto des Benutzers, der die Gruppe erstellt, auslesen und eintragen lassen.

O365 Groups Governance Namenskonvention

Aber Achtung, auch hier finden die Konventionen nur Anwendung bei Erstellung über das O365 Admin Center, in der Mails oder People-Ansicht. Über SharePoint und Planner werden keine konfigurierten Pre- oder Suffixe hinzugefügt.

Zusätzlich zu Pre- oder Suffixen können wir Wörter in eine „Black List“ eintragen. Diese dürfen dann nicht für einen Gruppennamen verwendet werden und der Benutzer bekommt einen entsprechenden Dialog angezeigt, wenn er es dennoch versucht.

O365 Groups Governance Namenskonvention DialogÜberwachung:

Um weiterhin einen Überblick über alle Gruppen zu haben, empfehle ich die zentrale Gruppenübersicht im Office 365 Admin Center. Von dort aus kann ich die Gruppen auch verwalten und löschen. Ich empfehle diese Ansicht deswegen, weil

a) in der SharePoint Administration die Site Collections nicht auftauchen,
b) in der Exchange Administration nicht die Gruppen angezeigt werden, die vom Planner oder SharePoint kommen und
c) die Ansicht in SharePoint schnell unübersichtlich wird bei vielen Gruppen.

Daher ist die zentrale Gruppenansicht meiner Meinung nach für Tenant-Administratoren die beste Lösung.

II.
Unkontrollierter Zugriff für Interne und Externe auf Groups-Inhalte

Berechtigungen einschränken:

Für Problem II, also die Berechtigungen und das Teilen mit Internen und Externen Mitarbeitern, gibt es auch ein paar PowerShell Konfigurationen und Workarounds in SharePoint. Für die O365 Gruppen Vorlage stehen uns dafür folgende Eigenschaften zur Verfügung:

  • AllowGuestsToBeOwner
  • AllowGuestsToAccessGroups
  • AllowToAddGuests

Das Schöne an diesen zentralen Einstellungen an der Vorlage ist, dass die Werte dann für alle neu erstellten Gruppen angewendet werden. Wenn wir dabei speziell diese drei Eigenschaften abschalten, haben wir schon viel erreicht in Bezug auf das Teilen von Gruppen und Hinzufügen von weiteren Mitgliedern. Weiterhin können wir noch URLs hinterlegen, in denen die Regeln und Richtlinien von Gruppen erläutert werden, um so eine gewisse Aufmerksamkeit der Nutzer für Gruppenrichtlinien zu schaffen.

  • GuestUsageGuidelinesUrl
  • UsageGuidelinesUrl

In Bezug auf die Berechtigungen bereits existierender Mitglieder in Groups, da kann ich nur über den unschönen manuellen Weg gehen, dass ich den Nutzern entsprechende Rechte in der SharePoint Site Collection wieder nehme. Ein PowerShell Skript kann dies zwar automatisieren, aber es ist und bleibt ein Workaround, weil ich die Berechtigungen nicht bereits beim Erstellen einer neuen Gruppen definieren und einschränken kann.

III.
Schneller Verbrauch des verfügbaren Tenant-Speicherplatzes

Speicherplatz einschränken:

Das letzte Problem III bekommen wir einfach in den Griff, indem wir über PowerShell den Gruppen Site Collections ein Quota Limit hinzufügen, wie wir es bereits gewohnt sind bei „normalen“ Site Collections. Genauer zeige ich auch dies im zweiten Teil. Allerdings darf ich für diese Funktion nicht den „Pooled Storage“ im Tenant für SharePoint aktiviert haben, damit ich die Quotas manuell konfigurieren kann. (siehe auch 12. #O365Adventskalender Türchen)

Auch wenn dies eine gute und einfache Möglichkeit ist, das Datenwachstum in Gruppen einzuschränken, so ist auch diese Lösung dennoch nur ein Workaround, wie schon bei den Berechtigungen beschrieben, weil es ein manueller nachträglicher Schritt ist.

 

Zusammenfassend können wir sagen, dass viele O365 Groups Standardwerte nicht gut für eine starke Unternehmens-Governance ist. Dafür haben wir ein paar gute Ansätze, um die O365 Groups Vorlagen anzupassen und so Eigenschaften gemäß unserer Richtlinien zu konfigurieren. Dies ist bereits nicht schlecht, wird aber komplexen Governance Anforderungen nicht gerecht. Zudem gibt es noch einige Einschränkungen und „Ungereimtheiten“ bei der Anwendung konfigurierter Gruppeneigenschaften (siehe Namenskonventionen und Klassifizierung). Microsoft entwickelt hier aber stets weiter. Ihr könnt euch auf der Roadmap informieren, was für die Office 365 Groups Governance geplant ist.

Alternativ gibt es bereits O365 Governance Lösungen am Markt, die selbst herausfordernden Anforderungen gerecht werden und oben beschriebene Probleme zu 100% in den Griff bekommt und sogar noch zusätzliche Backup und LifeCycle Funktionen integrieren. Ich empfehle sich da schlau zu machen, damit wir ohne Sicherheitssorgen die Vorteile von Office 365 Groups voll ausschöpfen können.

Happy „SharePointing“!

 

Weitere Quellen:

 

DLP in SharePoint 2016 On-Premises funktioniert nun besser

BUUUH!!! Pünktlich zu Halloween gibt es ein paar Neuigkeiten und regelrechte Horror-Storys am Ende dieses Beitrages.

Zunächst einmal funktioniert nun die DLP (Data Lost Prevention) in der On-Premises Version von SharePoint 2016. In der Vergangenheit wurde einfach nie ein Dokument markiert, wenn es gegen eine DLP-Richtlinie verstoßen hat. Mit dem September CU für SharePoint Server 2016 wurde diese Funktion nun endlich fehlerfrei etabliert und auch der Export einer DLP-Query mit der eDiscovery funktioniert nun.

Beide dazugehörige Artikel aus dem Frühjahr 2016 habe ich dazu aktualisiert und mit entsprechenden Tipps und Screenshots versehen.

Leider funktionieren die Email-Notifications und das Audit Logging für überschriebene Policies noch nicht. Dies finde ich besonders spannend, denn Notifications hin oder her, ich muss einfach wissen, was mit den gefunden Dokumenten geschieht bzw. ob und wie meine Benutzer möglicherweise die Richtlinien überschreiben. Denn wird der Policy Tip eines Dokuments als „False Positive“ gekennzeichnet oder die identifizierten sensiblen Informationen darin werden einfach benötigt, dann erfahre ich von diesem Überschreiben nichts. Beim nächsten Scan werden die Dokumenten auch nicht mehr geblockt – AUCH NICHT, wenn das Dokument geändert wurde.

HORRORGESCHICHTE 1: Ich lade ein Dokument hoch, das eine Kreditkarte enthält. Die DLP mit einer Regel auf Kreditkarten markiert es als sensibel und ich überschreibe diese Policy. Niemand bemerkt es und die vertraulichen Dokumente bleiben da liegen, wo sie nicht hingehören.

HORRORGESCHICHTE 2: Angenommen, der Administrator bemerkt es dennoch dank in Zukunft funktionierender Notifications oder Audits. Da es nur eine Kreditkartennummer ist, weil es z.B. eine Rechnung des Vertriebs ist, geht das Überschreiben der Policy in Ordnung. Das Dokument wird somit automatisch markiert, dass die Policy nicht mehr anschlagen soll. Das geschieht automatisch, ich kann es nicht als Administrator verhindern oder regulieren. Der Benutzer kann nun in dieses Dokument so viele Kreditkartennummern und weitere Finanzdetails packen, wie er möchte, denn die Richtlinie auf diesen Trigger wird nicht mehr ansprechen.

HORRORGESCHICHTE 3: Für O365 trifft auch Horrorgeschichte 2 zu. Glücklicher Weise kann ich dort noch die Schrecken dieses Szenarios etwas abmildern. Je Regel kann ich Aktionen für wenige Funde und für viele Funde konfigurieren. Beispielsweise erhalte ich nur eine Warnung bei nur einem einzigen Kreditkartenfund. Das Blockieren des Dokuments erfolgt ab fünf Kreditkartennummern. Nachdem ich also die Richtlinie bei wenigen Funden überschrieben habe, so löse ich sie erneut aus, wenn ich mindestens so viele zusätzliche sensiblen Informationen – also fünf Kreditkartennummern – im Dokument hinzugefügt habe, wie ich für die Richtlinie mit vielen Funde konfiguriert habe. Weiterhin könnte ich generell untersagen, ob eine Policy überhaupt überschrieben werden darf. Dies ist zwar deutlich besser, aber wirklich flexibel und sicher ist es nicht.

Bewusste Verstöße werden so sehr leicht gemacht und als Administrator kann ich mich nicht auf die eingebauten DLP Funktionen verlassen. Das ist sehr schade, aber ich hoffe, Microsoft schafft sehr bald Abhilfe.

Dennoch viel Spaß beim „SharePointen“!

SharePoint und die neue EU-Datenschutz Grundverordnung

Nach vier Jahren Verhandlungen wurde die neue EU-Datenschutz Grundverordnung am 4. Mai 2016 im EU-Amtsblatt veröffentlicht und trat 20 Tage später in Kraft. Das bedeutet, dass die darin definierten Regularien nach zweijähriger Übergangszeit am 25.05.2018 anwendbar sein werden. Oder kurz gesagt, ab diesen Zeitpunkt wird es spannend, da die neuen Strafmaßnahmen „scharf“ geschaltet werden.

Die neue Grundverordnung umfasst die weltweit weitreichendsten Datenschutzrichtlinien mit 9 Artikeln und 173 Erwägungsgründen. Damit ist sie deutlich umfangreicher als das deutsche Bundesdatenschutzgesetz. Aber nicht nur inhaltlich wurde der Umfang erweitert. Auch der Rahmen der Verantwortlichen und der betreffenden Firmen, auf welche die Richtlinien anzuwenden sind, wurde vergrößert. Neben den IT Administratoren, wird nun viel mehr die Management Ebene und vor allem die CISOs, CIOs und CPOs in Veranwortung genommen. Alle müssen dabei enger zusammen arbeiten, damit Ziele und Anforderungen umgesetzt werden können.

Neuerungen:

  • Schutz der Grundrechte und Grundfreiheiten natürlicher Personen (der EU) in Bezug auf personenbezogene Daten
    • Stärkung und Präzisierung der Rechte
    • freier Verkehr personenbezogener Daten
  • Verschärfung der Auflagen für diejenigen, die personenbezogene Daten verarbeiten
  • Gleiche Befugnisse und Sanktionen aller Mitgliedstaaten

Diese Kernpunkte verdeutlichen, dass personenbezogene Daten dem Nutzer gehören und daher hat jeder das Recht – klar und verständlich – zu erfahren, welche Daten über ihn gesammelt werden oder welche gelöscht werden müssen. Auf dieser Basis soll es auch erleichtert werden, dass man seine Daten von einem Internetportal zu einem anderen umziehen kann. Dies war in der Vergangenheit kaum möglich. Neu ist außerdem, dass Jugendliche erst ab 16 Jahren in die Datenverarbeitung einwilligen dürfen. Dies wird besonders bei sozialen Netzwerken interessant.

Aber die einschneidensten Neuerungen sind folgende:

  • Jede Firma, die Daten europäischer Bürger verarbeiten, ist an dieses Recht gebunden – auch US-Firmen, selbst wenn sie keinen Sitz in Europa haben
  • Die neuen Strafen können in die Milliarden gehen und die Existenz von Firmen bedrohen
bis 10 Mio. € oder bis 2% des weltweiten Vorjahresumsatzes bis 20 Mio. € oder bis 4% des Weltweiten Vorjahresumsatzes

(je nachdem, was höher (!) ist)

bis 20 Mio. € oder bis 4% des weltweiten Vorjahresumsatzes
Verstöße gegen Regelungen, z.B. – Schutzmaßnahmen – Auftragsverarbeitung Verstöße gegen Grundsätze, z.B. – Einwilligung – Drittlandsübermittlung Verstöße gegen Anordnungen der Aufsichtsbehörde

Vor- und Nachteile:

Allerdings ist nicht alles so überzeugend, wie es zunächst klingt – besonders wenn wir an das bereits sehr starke deutsche Bundesdatenschutzgesetz denken. Folgenden Vorteilen möchte ich daher auch die Nachteile gegenüber stellen:
01

Besonders der zweite Nachteil wird interessant, denn obwohl die Aufsichtsbehörden mehr Rechte haben und härtere Strafen verhängen können, so sind einfach die Rahmenbedingungen dafür nicht geschaffen. Dies weicht die aktuell sehr strengen deutschen Richtlinien auf und somit stehen die erweiterten Rechte der Verbraucher nur auf dem Papier, aber sind faktisch nicht durchsetzbar.
02

Im deutschen Bundesdatenschutzgesetz gab/gibt es eine Verpflichtung für alle deutschen Unternehmen, bei denen mehr als neun Beschäftigte Zugriff auf personenbezogene Daten haben, einen Datenschutzbeauftragten einzuberufen. Dies wird also nicht mehr so streng sein, sofern bei Firmen mit weniger als 250 Mitarbeitern die Ddatenverarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, nur gelegentlich erfolgt oder nicht besondere Datenkategorien (Art. 9) oder Straftaten (Art. 10) einschließt. Dies würde beispielsweise noch Gesundheitsdienstleister betreffen, aber alle anderen Firmen mit weniger als 250 Mitarbeitern sind quasi von Datenschutzbeauftragten befreit. Hier bleibt zu hoffen, dass die Bundesregierung von der Öffnungsklausel in Art. 35 Abs. 4 EU-DSGVO Gebrauch macht. Damit könnte eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten – wie aktuell in Deutschland – weiterhin lokal durchgesetzt werden.

Und obwohl die Erfüllung der neuen EU-DSGVO ein Markenzeichen und damit einen Wettbewerbsvorteil darstellt, so fallen die rationellen Gründe für kleine Firmen weg, freiwillig einen Datenschutzbeauftragten zu bestellen. Dies wird nämlich in Zukunft nicht mehr mit finanziellen Erleichterungen belohnt.

Anforderungen:

Aus diesen Neuerungen sowie Vor-und Nachteilen ergeben sich Anforderungen, die Firmen mit Anwendbarkeit der Grundverordnung erfüllen müssen:
03

Mit diesen Informationen sind wir grundsätzlich gut aufgestellt, um unser Geschäft in Sachen Datenschutz fitt für die Zukunft zu machen. Dabei wird klar, dass diese Verordnung natürlich das gesamte Unternehmen betrifft und nicht nur auf SharePoint reduziert werden darf. Denn es gibt neue Begriffe und neue Definitionen zur Auftragsdatenverarbeitung, Einwilligungen, Informationen an Betroffene, interne Dokumentationen, etc. Dies sind Änderungen, welche die gesamte Unternehmung betreffen.

Anwendung auf SharePoint:

Schauen wir uns dennoch isoliert den SharePoint an, so bedeutet dies, dass beispielsweise für den User Profile Service dokumentiert werden muss, wie und welche Daten gespeichert sind. Werden über den Business Data Connectivity Service weitere personenbezogene Daten aus z.B. SAP angebunden, dann muss auch hierfür eine Dokumentation angelegt werden. Dies ist insbesondere deswegen notwendig, weil hier die Daten möglicherweise anders verarbeitet und genutzt werden, als im Urspungssystem, und somit eventuell für einen anderen Zweck verwendet werden. Dies muss den Besitzern der Daten bekannt gemacht und der Nutzung explizit zugestimmt werden.

Weiterhin liegen vermutlich im SharePoint Dokumente, die personenbezogene Daten enthalten. Dies können Gehaltsnachweise sein, Beurteilungen, aber auch ganz einfache Dokumente über eine Mitarbeiterselbstauskunft. Diese Dokumente gilt es zu identifizieren, damit festgehalten werden kann, wo und zu welchem Zweck sie gespeichert sind.

Mit der Dokumentation ist es jedoch nicht getan. Denn weiterhin müssen personenbezogene Daten proaktiv geschützt werden, damit es nicht zu Datenschutzverstößen und somit zu den empfindlichen Strafen kommt. Microsoft hat uns dafür die Data Lost Prevention (DLP) Funktionalitäten zur Verfügung gestellt. Ich kann nur empfehlen, diese zu nutzen. (siehe mein Blogbeitrag vom März 2016: http://blogs.msdn.com/b/robert_mulsow/archive/2016/03/24/governance-und-compliance-mit-dem-neuen-sharepoint-2016-dlp-im-compliance-center.aspx)

Diese Funktionen helfen sehr, doch brauchen sie Zeit, um sie korrekt einzustellen. Leider sind die Standardmöglichkeiten auch sehr begrenzt, sodass auch 3rd-Party Software in Betracht gezogen werden muss, um alle neuen Anforderungen korrekt zu erfüllen. Exemplarisch sei die Firma AvePoint genannt, deren Sicherheitslösungen einen datenzentrischen Ansatz verfolgen (DCAP – Data Centric Audit and Protection).
04

Es wird klar, es gibt noch eine Menge zu tun, aber auf der anderen Seite sind es keine zwei Jahren mehr, die wir für eine finale Umsetzungen zur Verfügung haben. Das ist in der Tat sehr wenig Zeit, daher sollte man nicht warten, sich mit diesen neuen Anforderungen auseinander zu setzen.

Es wird klar, es gibt noch eine Menge zu tun. Auf der anderen Seite sind es keine zwei Jahren mehr, die uns für eine finale Umsetzungen zur Verfügung stehen. Das ist für den großen Anforderungskatalog, der mit den neuen Regularien auf uns zukommt, in der Tat sehr wenig Zeit. Daher sollte man nicht warten, sich mit diesen neuen Vorschriften auseinander zu setzen und keine Strafzahlungen riskieren.

Eine wichtige Frage zum Abschluss:

Ein COO einer deutsche Firma sagte folgendes: „Wir müssen möglicherweise in Betracht ziehen, unsere dot-com Webseite wieder auf deutschen Servern zu hosten, um mit der neuen EU-DSGVO auf der sicheren Siete zu stehen.“

Warum muss ich selbst diesen Schritt in Betracht ziehen, selsbt wenn alle meine peronenbezogenen Daten korrekt gespeichert, gesichert und dokumentiert sowie die Besitzer der Daten informiert sind? Der Trick ist die zweite Ebene der Anforderungen – als vertrauenswürdig eingestufte Drittländer! Die USA ist nicht als vertrauenswürdig mit der EU-DSGVO eingestuft und damit dürfen keine personenbezogenen Daten von EU-Bürgern in die USA gelangen.

Was bedeutet dies für Cloud-Provider und speziell für Microsoft mit Azure und O365? Für solche Dienste arbeiten bereits die Regierungen zusammen, um das „Privacy Shield“ Abkommen zu unterzeichnen. Was dies dann für unsere Daten und speziell für die Datenschutz Grundverordnung bedeutet, erkläre ich in einem nächsten Blog.

Bis dahin happy „SharePointing“!

Kernthemen der Zukunft von SharePoint zusammengefasst (#FutureofSharePoint)

Am 04.05.2016 hat Microsoft mit einem schönen Star-Wars Wortspiel („May the 4th be with you“) die Neuigkeiten und Roadmap Informationen zu Office 365 und SharePoint On-Premiss präsentiert. Ich möchte heute mit diesem Beitrag die vier zentralen Themen sowie die „Randnotizen“ zu SharePoint Server 2016 zusammenfassen.

Themen in diesem Beitrag:

  • Zahlen und Fakten
  • Aus „Seiten“ wird „SharePoint“
  • Simple and powerful file sharing
    • Neuer Seitenerstellungsprozess
    • Dokumente teilen und weitere Details
  • Mobile and intelligent Intranet
    • Metadatenbearbeitung (im Massenmodus)
    • Spaltenerstellung
    • Webparts in Teamwebseiten
    • Links in der Quick-Launch
    • Mobile App
    • Workflows mit „Flow“
  • Security, Privacy and Compliance
    • Zentrale Verwaltung von Apps über O365
    • Temporäre Berechtigungsvergabe
  • Open and connected platform
    • Eine Office Graph API für alle O365 und Yammer Anwendungen
    • Client-Side Rendering mit Javascript
  • On-Premises Version von SharePoint
    • Feature Packs
    • Migratoren

———————————————————————————

Zu Beginn des Events wurden sehr beeindruckende Zahlen gezeigt, was SharePoint ausmacht und warum es aus dem Unternehmensalltag nicht mher wegzudenken ist.

Zudem zeigt Microsoft, dass Inhaltsverwaltung und Kollaboration – und damit SharePoint – der zentrale Bestandteil von Office 365 sind. Die entsprechende Kachel wird daher im Schaubild in die Mitte grückt und später zusätzlich gezeigt, dass die „Sites“ Kachel in O365 nun direkt in „SharePoint“ umbenannt wird, was zusätzlich den Stellenwert von Microsoft SharePoint unterstreicht.

Nun wollen wir uns den vier Kernthemen des Events und der Zukunft von SharePoint widmen:

 

Simple and powerful file sharing:
Das Erstellen neuer Seiten wurde neu designed. Neben dem Titel und der Beschreibung der neuen Seite, kann der Nutzer auch gleichzeitig eine O365 Gruppe erstellen lassen. Außerdem kann die Seite einer Privatsphäre-Richtlinie zugewiesen werden sowie die enthaltenen Daten hinsichtlich ihrer Sensitivität klassifiziert werden. Dies arbeitet somit gleich mit den DLP Richtlinien in O365 zusammen.

Auf der zweiten Seite des Dialogs können nun ganz einfach Nutzer als Besitzer und als Teilnehmer hinzugefügt werden. Wirklich eine einfache Art, direkt Inhalte mit einer neu erstellten Seite zu teilen.

In OneDrive oder der neuen Ansicht der Inhaltsbibliotheken wird man auf der rechten Seite weitere Details zu einem Dokument sehen können (ähnlich wie bei Detailansichten unter Windows). Darüber hinaus werden die Links angezeigt, unter welchen die Datei (oder Ordner etc.) geteilt wurden. Diese können also einfach erneut verwendet werden, möchte man die Datei mit weiteren Kollegen teilen. Mit einem Klick kann man auch einen neuen Link erzeugen, um zusätzliche Kollegen einzuladen.

 

Mobile and intelligent intranet:
Um gleich bei den Inhaltsbibliotheken zu bleiben, so wird obige Ansicht nicht nur zum Teilen verwendet, sondern auch Metadaten und Einstellungen werden angezeigt. Darin wird man in Zukunft noch einfacher die Daten direkt ändern können (ähnlich wie bei der QuickEdit-Ansicht). Das ganze soll sogar auch im Massenmodus möglich sein. In der Kategorieansicht, also z.B. eine Gruppierung nach Personengruppe, mit der die Inhalte geteilt wurden, kann ein Dokument von einer Kategorie in eine andere per Drag-and-Drop verschoben werden und die dahinterliegenden Metadaten (und Berechtigungen) werden automatisch angepasst. Mit einem Klick kann dann auch noch zusätzlich ein Dokument am Anfang der Bibliotheken angeheftet werden, sodass es immer oben angezeigt wird. Dies kennen wir so ähnlich aus den „Featured Links“ in der SharePoint Suche.

Für die Bibliothek selber wird man bald auch noch einfacher zusätzliche Spalten hinzufügen können, ohne die Liste über die Ribbon-Bar und Bibliothekseinstellungen verlassen zu müssen. Dies ist echt eine tolle Innovation, die besonders bei neu erstelletn Listen enorm Zeit sparen wird.

Genauso einfach sollen bald auch neue Seiten angepasst werden können. Auch hier muss man nicht mehr über die Ribbon-Bar gehen, sondern kann direkt neue Web- und App-Parts in die Seite über eine einfache Benutzeroberfläche integrieren.

Ebenso einfach können die Links bearbeitet werden, was in den vorherigen und aktuellen Versionen doch wirklich noch sehr „hakelig“ ist.

Bei ogiben Screenshot sehen wir auch gleichzeitig die Revolution der Teamwebseite. Das Design wird dabei auch an OneDrive und den neuen Inhaltsbibliotheken angepasst.

Ebenso verkündet wurde die Mobile-App, mit der Nutzer nun noch besser auf ihre Inhalte mobil zugreifen können. Man sieht dafür in den folgenden Screenshots schön:

wie die neue Ansicht der Team-
webseiten mobil gerendert wird
wie man Zugriff auf z.B.
gefolgte Seiten haben wird 
wie man Details der dazugehörigen
Kollegen und Besitzer von
Dokumenten sehen kann

Auch ein Thema zum intelligenten Intranet ist das neue Microsoft Flow. Dies ist eine Art Workflow-Designer, mit dem man einfache Abläufe und Prozesslogiken direkt im Browser erstellen kann. Ebenos einfach soll das Erstellen von Unternehmens-Apps (Power Apps) funktionieren. Gezeigt wurde dies an einem Beispiel für die Genehmigung von Vertriebs-Verträgen.

   

 

Security, Privacy and Compliance:
In Sachen Privatsphäre und Datenschutz haben wir bereits ein paar Neuerungen weiter oben beim Erstellen neuer Seiten gesehen. Weiter hinzu kommt die zentrale Überwachung von Apps and Programmen, die per Unternehmensrichtlinien gesteuert werden können. So kann beispielsweise das Kopieren von Inhalten über Apps hinweg unterbunden werden, damit keine sensiblen Daten das Unternehmen ungewollt verlassen können.

Zusätzlich können diese Apps mit einem weiteren PIN als 2-Faktor-Authentifizierung versehen werden. Wird ein Handy also gestohlen und entsperrt, so schützt der zusätzliche PIN in den verwalteten Apps die möglicherweise sensiblen Unternehmensdaten, bevor sie in falsche Hände geraten. Also ein toller weiterer Schritt für die Sicherheit von Unternehmen im Zeitalter von mobilem Zugriff, Home Office und „Bring Your Own Device“.

 

In einem Nebensatz wurde außerdem erwähnt, dass es bald möglich sein wird, Berechtigungen nur temporär zu vergeben. Dies wird alle Sicherheitsprobleme lösen, die bei Werkstudenten, Praktikanten und anderen zeitlich begrenzten Mitarbeitern in Verbindung mit „faulen“ 😉 Administratoren entstanden sind.

 

 

Open and connected platform:
Als letztes Kernthema wurden die Entwickler adressiert. Über Office Graph soll es einen zentralen API Namespace geben, sodass Entwickler mit nur dieser Schnittstelle Zugriff auf alle Funktionen über die Microsoft-Umgebung haben, egal ob SharePoint, Mail, Yammer etc.

Außerdem wurde verkündet, dass nun Client-Side-Rendering mit Javascript verwendet werden kann. Damit werden nicht nur Dokumentenbibliotheken deutlich schneller angezeigt, sondern auch innerhalb mobiler Seiten und Apps wird die Geschwindigkeit auf diese Weise deutlich besser sein.

 

On-Premises Version von SharePoint:
Zunächst einmal wurde die generelle Verfügbarkeit von SharePoint Server 2016 verkündet. Microsoft behält dabei Recht, dass diese Version tatsächlich die letzte On-Premises Version sein wird. Aber kein grund zur Sorge. Die Code-Basis zwischen SharePoint Online und On-Premises ist nun gleich, sodass man die neuste Version als „Foundation“ für die Zukunft verstehen kann. Also ähnlich wie bei Windows 10, so bleibt auch SharePoint 2016 die letzte Vollversion, die aber kontinuierlich verbessert wird. Dies wird Microsoft ab 2017 mit sogenannten Feature Packs realisieren. Das heißt, Neuerungen erscheinen als erstes in der Cloud, aber man möchte dies auch weitgehend On-Premises zur Verfügung stellen. Ausnahmen können solche Funktionen sein, wie Delve oder Video, die aufgrund der hohen Hardware-Anforderungen nur aus der Cloud zur Verfügung stehen werden, um weiterhin eine gute Nutzererfahrung sicherstellen zu können. Dennoch ist dies eine klare Verpflichtung gegenüber den unternehmenseigenen Umgebungen und beruhigt die Gemüter bei der bisherigen Debatte über den gefühlten Zwang, in die Cloud gehen zu müssen.

Außerdem möchte es Microsoft weiter den Firmen erleichtern, ihre Inhalte nach O365 zu migrieren. Neben der High-Speed-Migration API für die Migration von FileShares sowie der Anbindung von Google Drive als Quelle zur Migration, ist nun auch der Online-Speicher Box verfügbar. Zum Ende des Jahres soll dann sogar SharePoint On-Premises als Quelle für Migrationen nach O365 auswählbar sein. Ein Service, der bisher nur über Drittanbieter möglich war. Allerdings bleibt abzuwarten, was damit alles möglich sein wird. Denn wie bereits die Limitationen bei der FileShare HSM API zeigen, so ist genauso wahrscheinlich, dass auch die Migrationen von den anderen Quelle nur sehr begrenzte Möglichkeiten bieten werden, im Vergleich zu den seit Jahren am Markt etablierten Drittanbieterlösungen. Es ist dennoch ein Schritt in die richtige Richtung, um den Weg in die Cloud zu ebnen.

Ich bin gespannt, wann ich selbst die vorgestellten Neuerungen ausprobieren darf. Ich hoffe, eure Neugier ist genauso geweckt.

Happy „SharePointing“!

———————————————————————————

Weiterführende Links und Quellen:

Governance und Compliance mit dem neuen SharePoint 2016 – DLP im Compliance Center

Die Grundlagen für die neuen Governance und Compliance Funktionen haben wir bereits im ersten Beitrag vor wenigen Tagen „gelernt“ (DLP mit eDiscovery). Heute schauen wir uns daher den zweiten Punkt aus der Reihe an: das neue Compliance Center mit Fokus auf die „Data Lost prevention“ (DLP).

2. DLP im neuen Compliance Center

 Mit der eDoscovery im ersten Teil konnten wir bereits überprüfen, dass unsere SharePoint Suche die gwünschten Dokumente findet und die DLP-Filter die sensitiven Daten daraus erkennen. Ich empfehle, dass Sie bei der Anwendung neuer DLP Richtlinien zunächst immer die Regeln im eDiscovery testen, um so auch heraus zu finden, in welchen Bereichen bzw. auf welchen Site Collections entsprechende Regeln angewendet werden müssen. So können Sie gezielte Richtlinien für bestimmte Bereiche ausrollen. In unserem Beispiel setzen wir die Suche nach Kreditkarteninformationen auf unserer Accounting-Seite fort.

Um nun Compliance Richtlinien anzuwenden, müssen folgende Voraussetzungen erfüllt sein:

a)      Konfigurierte Search Service Application
b)      Beispieldatei mit Kreditkarteninformationen
c)      Crawl der entsprechenden Bereiche, wo die obigen Dateien liegen
d)      Outgoing Email ist konfiguriert (optional)
e)      Site Collection mit der Compliance Policy Center Vorlage

Die Punkte a) bis c) habe ich bereits im ersten Beitrag erläutert.

d) Outgoing Email ist konfiguriert (optional)
Dieser Punkt ist optional, aber zu empfehlen, um auch die sehr hilfreichen Email-Informationen zu erhalten, sollte man gegen eine angewendete DLP Richtlinien mit einem hochgeladenen Dokument verstoßen haben. Die Konfiguration für zu sendende Emails ist die gleiche, wie in SharePoint 2013: In der Central Administration navigieren Sie dafür in die „System Settings“ und finden dort in der Kategorie „E-Mail and Text Messages (SMS)“ den Link zu „Configure outgoing e-mail settings“.

Die Möglichkeit, nun auch Emails verschlüsselt zu versenden, ist eine Option, die neu in SharePoint 2016 hinzu gekommen ist. Die Konfiguration ist aber selbsterklärend, sodass wir darauf nicht weiter im Detail eingehen brauchen.

e) Site Collection mit der Compliance Policy Center Vorlage
Auch hier gibt es nichts besonderes zu beachten, also einfach erstellen und dann kann es auch schon losgehen.

Anlegen einer DLP Policy im Compliance Policy Center

Im Compliance Policy Center gibt es zwei Optionen. Die erste, nämlich Richtlinien für das Löschen von Inhalten, geht mehr in die Richtung Governance. Dieses Thema schauen wir uns im dritten Teil genauer an. Wir konzentrieren uns nun auf die Data Loss Prevention Richtlinien.

Für den ersten Teil eines erfolgreichen Compliance Managements, müssen wir uns zunächst DLP Richtlinien definieren, nach denen sensitive Informationen identifiziert werden sollen.

Der Vorgang ist dabei sehr ähnlich, wie zur eDiscovery. Wir vergeben der Richtlinie einen Namen, wählen eine Vorlage aus und legen fest, wie häufig mindestens ein Verstoß gegen die Vorlage (PCI Data Security Standard -> Credit Card Numbers) gefunden werden muss, damit entsprechende Dokumente als sensitiv eingestuft und entsprechende Aktionen vorgneommen werden sollen.

Neu sind dabei im Compliance Center die zusätzlichen Aktionen, die nun bei einem Fund ausgeführt werden können. Der Policy Tip ist ein Hinweis auf einen Verstoß. Er wird in der Objekt-Vorschau angezeigt, aber auch mit Office 2016 direkt im enstprechenden Client. Ein cooles Beispiel dazu finden Sie hier: Policy Tipps im Office Client basierend auf O365 Außerdem können wir aktiv die Datei blockieren, sodass sie Unbefugte nicht länger öffnen können. Nur noch der Anwender, der das Dokument als letztes geändert und damit den Verstoß erzeugt hat, sowie der Dokument-Besitzer und Site Administrator werden noch in der Lage sein, das Dokument zu sehen und zu ändern.

Anwenden von DLP Richtlinien auf Site Collections

Haben wir uns nun DLP Richtlinien definiert, so müssen diese im zweiten Teil auf Site Collections angewendet werden, die wir überwachen möchten. Diese haben wir ja bereits im eDiscovery identifiziert.

Im DLP Policy Center starten wir nun also mit einer neuen Zuweisung.

Im ersten Schritt suchen wir nach einer Site Collection und wählen diese dann aus.
Hinweis: Auch das Suchen und Auswählen von Site Collections basiert auf dem Suchindex! Haben Sie also gerade eine ganz frische Seite angelegt und wollen diese nun auf DLP Richtlinien anwenden, so werden Sie feststellen, dass SharePoint diese nicht findet. Warten Sie daher den nächsten Continous oder Incremental Crawl ab bzw. starten Sie einen Crawl manuell, um die Seite sofort für die Anwendung von DLP Richtlinien verfügbar zu machen.

Im zweiten Schritt weisen wir der gewählten Site Collection eine Richtlinien zu. In meinem Screenshot gibt es nur eine einzige Richtlinien, aber selbst wenn Sie mehrere Richtlinien auf eine Seite anwenden wollen, so müssen Sie viele einzelne 1-zu-1 Zuweisungen erstellen. Außerdem werden leider nur die Dokumente der Site Collection selbst analysiert, aber nicht die in einer Sub-Seiten. Ja, ich kann mir gut vorstellen, was Sie nun denken… *Ohne Worte* 😉

Ist dies erledigt, so haben wir unsere DLP Richtlinien erfolgreich angewendet und nun heißt es warten, bis die entsprechenden Timer Jobs die Verstöße in unseren Dokumenten finden. Diese laufen je nach Sensitivität der zu findenden Daten alle 15 Minuten oder bis hin zu alle 24 Stunden.

Ergebnis für Endanwender und Administratoren

Sind diese Jobs durchgelaufen und auch der Suchindex ist aktuell, so erhalten wir Policy Tipps an Dokumenten, die auf unsere DLP-Regel anschlagen. In meinem Beispiel sind das Dokumente, in den eine Kreditkartennummer inklusive Ablaufdatum gefunden wird. Ohne Ablaufdatum wird das Dokument übrigens nicht als sensibel entsprechend der Regel eingestuft. Werden mindestens fünf Kreditkartennummern gefunden, wird das Dokument direkt geblockt – zu sehen an dem kleinen roten Icon.
dlp-12

Die Policy Tipps sind je nach Verstoß rot oder gelb eingefärbt. Ist die Datei geblockt, dann hat nur noch der Site Collection Administrator bzw. Owner sowie der Mitarbeiter, der das Dokument als letztes bearbeitet hat Zugriff. Dies ist eine zusätzliche Sicherheitseben zu den SharePoint Berechtigungseben. Denn wir können zwar sehen, dass die Datei noch theoretisch mit „Lots of People“ geteilt ist, unter anderem mit „Everyone“ und allen Domain Nutzern, aber tatsächlich sieht z.B. mein Beispiel-Nutzer Aaron Painter die geblockten Dateien nicht mehr.
dlp-13

dlp-14a

dlp-13a

Sollte nun eine Datei fälschlicherweise blockiert oder mit einer Policy-Warnung versehen sein, so kann dies überschrieben werden, damit die Zusammenabeit nicht unter diesen Fehlern leidet. Der Administrator oder der entsprechende Endbenutzer (Besitzer oder Person, die als letztes editierte), hat dazu zwei Möglichkeiten, das Problem zu lösen

  1. man editiert den entsprechenden Teil des Dokuments, der den Fund ausgelöst hat oder
  2. man nutzt den Policy Tipp, um den Konflikt für dieses Dokument zu lösen. Microsoft möchte nämlich nicht, dass durch DLP Richtlinien die Zusammenarbeit plötzlich zusammenbricht. Dazu können wir nun a) diesen Fund als Fehler melden, also dass es gar keine sensitiven informationen im Dokument gibt oder b) den Konflikt überschreiben mit einer Begründung, dass zwar sensitive Informationen zu finden sind, aber dies für den Zweck des Dokuments erforderlich ist. Beispielsweise kann dies eine Rechnung mit Zahlungsoptionen, inklusive Kreditkarteninformationen sein.

dlp-15

dlp-16

Ist auf eine der beiden Varianten der Konflikt gelöst worden, so erhält der Anwender zunächst einen Dialog, dass die Aktion nun entsprechend ausgeführt wurde und auch das kleine „Stopp“-Symbol am Dokument verschwindet wieder.

dlp-17

dlp-18

Nachdem eine Richtlinie überschrieben wurde, wird das Dokument bei einem erneuten Scan nicht erneut indiziert, solange es nicht erneut modifiziert wurde.

*Hinweis: Mit dem September 2016 CU haben die DLP Policies endlich angefangen für SharePoint 2016 OnPremises Deployments zu laufen – HURRA! 🙂 Leider funktionieren aber die Email Notifications und das Audit Logging der gemachten Antworten beim Überschreiben einer Policiy noch nicht.

Denn per Email sollte uns SharePoint eine Mitteilung machen, dass ein Objekt mit dem Namen abc.docx gegen eine Unternehmensrichtlinie verstößt – die Richtlinie soll sogar angezeigt werden, damit kein Frust entsteht, sondern der Nutzer klar und deutlich darüber informiert wird, warum etwas mit seinem Dokument nicht stimmt. Per Link in der Mail soll man direkt zu dem Dokument gelangen und Änderungen vornehmen können.

Der Administrator, der bei einem Verstoß einer entsprechenden Regel informiert werden soll (siehe Einstellung oben: administrator@contoso.com), bekommt sogar noch detailliertere Informationen per Email:

  • Fundort
  • Titel
  • Autor
  • Person, die als letztes editierte
  • Schweregrad
  • Regel und Richtlinienname
  • Was, wie oft und mit welcher Sicherheit gefunden wurde

Wir sind mit diesen neuen Features eindeutig auf dem richtigen Weg und ich informiere, sobald auch die noch unschönen Dinge bzw. die Notifications besser funktionieren.

Bis dahin „Happy SharePointing“!

Governance und Compliance mit dem neuen SharePoint 2016 – DLP mit eDiscovery

Die Integration von lokalen und Cloud IT-Infrastrukturen ermöglicht neue Wege, wie Mitarbeiter – ob intern oder extern – zusammenarbeiten können. Das Stichwort ist HYBRID HYBRID HYBRID. Da Prozesse hierdurch nahtloser ablaufen können, wird die Abarbeitung von Aufgaben effizienter. Allerdings erfordern diese neuen Möglichkeiten auch mehr Verantwortung bei der Informations-Governance und Compliance. Damit wir diesen Herausforderungen eines hybriden SharePoint auch gerecht werden können, stellt Microsoft neue Schutzfunktionen in SharePoint 2016 und dem neuen O365 bereit.

Wir wollen uns daher in den nächsten Beiträgen anschauen, was diese neuen Funktionen können und was sie für unser Business bedeuten. Heute beginnen wir mit den neuen DLP (Data Lost Prevention – Schutz vor Datenverlust) Queries im eDiscovery und unterteilen die Serien generell in drei Punkte:

  1. DLP mit eDiscovery
  2. DLP im neuen Compliance Center
  3. Aufbewahrungsregeln mit dem Compliance Center

Wenn Sie diese Überschriften lesen, fallen Ihnen vielleicht auch das schon lange existierende eDiscovery Center, die Site Policies oder das Records Management ein. Die Unterscheidung möchte ich kurz klar stellen.

eDiscovery:
Die eDiscovery kommt hauptsächlich aus dem ameriaknischen Raum, weil es dort oft vor Gericht um Patentstreitigkeiten und ähnliches geht. Da immer mehr digitalisiert ist, dienen auch immer häufiger solche Daten als Beweis vor Gericht. Mit der eDiscovery können wir so unseren gesamten SharePoint – und seit SP2013 auch den mit Oauth verbundenen Exchange und Project Server – nach bestimmten Stichwörtern durchsuchen und als „Legal Hold“ exportieren und als Beweis einreichen.

Site Policies:
Dies sind angewandte Richtlinien, bzw. Workflows auf die gesamten Seite, mit denen man Seiten, die eine eingestellte Zeit nicht mehr genutzt wurden, automatisch löschen lassen kann.

Records Management:
Diese Lösung setzt bei den Site Policies an und bezieht sich auf Dokumente und Objekte innerhalb der Seiten. Es ist im Prinzip eine Archivierung von Objekten, die eine bestimmte Zeit nicht genutzt wurden, aber beispielsweise zu Revisionszwecke noch aufbewahrt werden müssen. Solche Objekte werden dann entweder ganzheitlich in ein Record Center verschoben oder in der ursprünglichen Liste oder Bibliothek schreibgeschützt vorgehalten.

Aufbewahrungsregeln im Compliance Center:
Diese Funktion ist eine Erweiterung zu den Site Policies, die man so nun auch auf einzelne Objekte anwenden kann. Zudem kann man solche neuen Regeln nun standardmäßig bestimmten Seitenvorlagen zuweisen. Beispielsweise können für Projektseiten eine Aufbewahrung von 6 Monaten definiert werden, währenddessen die Besitzer jeder Team-Seite erst nach 24 Monaten ohne Modifikation an die nahende Löschung erinnert werden.

Data Lost Prevention (Verhinderung von Datenverlus):
Diese Funktionalität ist ganz neu in SharePoint 2016 und ergänzt die bisherigen Lösungen, sodass Unternehmen nun eine ganzheitliche Strategie entwickeln können, wie sie mit sensitiven Informationen im SharePoint umgehen möchten. Es ist also kein Ersatz der Lebenszyklus-Prozesse, sondern vielmehr eine Möglichkeit, die eigenen Daten gegen Datenschutzrichtlinien zu identifizieren und zu schützen.

Die DLP macht sich die SharePoint Suche zur Nutze und greift zum Identifizieren der Inhalte auf den Index zurück. Dabei wird der Inhalt gegen definierte Richtlinien, z.B. Kreditkarteninformationen, geprüft. Aber dabei soll es nicht bleiben. Für Exchange und O365 kann man bereits aus 80 verschiedenen Test-Vorlagen wählen (https://technet.microsoft.com/de-de/library/jj150541%28v=exchg.160%29.aspx?f=255&MSPPError=-2147217396). Für SharePoint 2016 OnPremise (Release Candidate) stehen uns derzeit leider nur zehn zur Vefrügung. Es ist aber zu erwarten, dass wir auch alle diese Richtlinien zur RTM oder spätestens zu einem Service Pack in der OnPremise Version erhalten werden.

Schauen wir uns nun diese Richtlinien genauer an. In der Beschreibung der PCI DSS finden wir, dass es Kreditkarteninformationen schützen soll. Auf der oben erwähnten Seite finden wir dazu folgendes:

Wir sehen, dass die DLP nach Mustern und bestimmten Schlüsselwörtern prüft. Ein sehr wahrscheinlicher Fund wird aber erst dann protokoliert, wenn bestimmte Kriterien innerhalb von 300 Zeichen gefunden wurden, in diesem Fall ist es die Prüfung der Kreditkartennummer per Luhn-Algorhythmus, der Name der Kreditkartenfirma und des Ablaufdatums. Der Vorteil daran ist, dass nur Dokumente erfasst werden, die wirklich gegen die Unternehmensrichtlinien verstoßen. Zum Beispiel ist ein Dokument, was darüber informiert, welche Kreidtkartenfirmen akzeptiert werden, sicherlich in Ordnung, wohingegen ein Dokument mit mehr als 10 Kreditkartennummern inklusive Kreditfirma und Ablaufdatum deutlich sensibler ist und dementsprechend auch so behandelt werden sollte. Die DLP hilft dabei.

Discovery vs. Policy
Bevore wir uns nun die DLP im eDiscovery anschauen, möchte ich noch kurz den Unterschied zwischen Discovery und Policy erklären.

Discovery (Offenlegung):
Aus meiner Erfahrung haben die wenigsten Firmen einen kompletten Überblick ihrer Daten. Besonders dann, wenn es um potentiell sensible Daten geht. Die Discovery ist dafür perfekt geeignet, um mithilfe von DLP Queries die bestehenden Inhalte zu scannen und der Firma einen Übebrlick darüber zu geben, in welchen Bereichen die Anwendung von Policies (Richtlinien) sinnvoll ist.

Policy:
Eine Richtlinien ist dann die logische Folge der Discovery. Haben wir also erkannt, dass sich auf bestimmten Seiten sensible Daten befinden und Unbefugte darauf Zugriff haben könnten, so wenden wir auf diese Bereiche eine Richtlinie an, damit der Zugriff auf bestehende und neu hinzugefügte Dokument beschränkt wird. Datenschutzbeauftragte können darüber hinaus noch Tipps zur Vermeidung eines Verstoßes, Email-Benachrichtigungen und das Blocken von Inhalten konfigurieren, sobald gegen eine Regel verstoßen wird. Aber dazu später mehr…

 

  1. DLP mit eDiscovery

Kommen wir nun zur Anwendung der DLP mit dem eDiscovery Center. Als Vorraussetzung brauchen wir folgendes:

a)      Konfigurierte Search Service Application
b)      Beispieldatei mit Kreditkarteninformationen
c)      Crawl der entsprechenden Bereiche, wo die obigen Dateien liegen
d)      Site Collection mit der eDiscovery Center Vorlage

a) Konfigurierte Search Sevrice Application
Wie oben bereits erwähnt, basieren die DLP Funktionalitäten auf der SharePoint Suche.
Vorteil:
– Wir brauchen keine zusätzlichen neuen Services und Werkzeuge installieren
Nachteile:
– Echtzeit-Überwachung ist nicht möglich
– In O365 können wir den Crawl nicht forcieren

b) Wir laden unsere Beispieldokumente an einen entsprechenden Ort in SharePoint
Die Datei CC_Many.docx enthält mehrere Kreidtkarteninformationen, während die CC_One.docx nur eine enthält. Dies wird später noch eine Rolle spielen.

c) Wir navigieren zur Search Service Application und starten einen Crawl
Nachdem dieser Crawl durchgelaufen ist, wird auch unsere DLP Query auf die Informationen zugreifen können.

d) Als letzte Vorbereitung benötigen wir eine neue Site Collection mit dem eDiscovery Center als Vorlage

Nachdem unser neues eDiscovery Center erstellt wurde, wollen wir eine neue DLP Query erstellen. Übrigens, Sie können mehrere eDiscovery Center in Ihrer Farm anlegen. So können Sie Beispielsweise auch diese Aufgaben deligieren und enstprechenden Datenbesitzer können ihre Regeln selbst auf ihre Bereiche erstellen und anwenden

.

Anlegen einer DLP Query im eDiscovery Center

Bei der Auswahl der derzeit nur zehn Standard-Regeln nehmen wir die „UK Financial Data“. Der Hintergrund ist, dass diese Regel verschiedene Prüfungen anwendet und wir dies sehr schön in den Ergebnissen sehen werden.

Sehr wichtig bei dieser Auswahl ist auch noch die Konfiguration der Fundhäufigkeit. Standardmäßig werden neun Funde angezeigt. Findet die Regel also nur fünf Übereinstimmungen in einem Dokument, so wird es auch nicht als sensibel eingestuft. Dies ist eine sehr schöne manuelle Anpassung, die der Administrator zu der automatischen Gewichtung vornehmen kann.

Auf der nächsten Seite wird es spannend. Wir sehen oben links die Query, in der zu erkennen ist, dass drei verschiedene Prüfungen durchgeführt werden. Diese können wir auch manuell anpassen und somit die Häufigkeit der Funde von neun auf eins herunter setzen oder auch einzelne Checks entfernen bzw. hinzufügen. Derzeit gibt es noch keine aktuelle Liste der Checks, welche bereits unterstützt werden. Nehmen Sie jedoch eine, die noch nicht unterstützt wird, so erhalten wir beim Ausführen der Query einen Fehler.

Unter der Query-Box können wir den Bereich definieren, in dem gesucht werden soll. Dies kann entweder der gesmate SharePoint oder nur ein bestimmter Bereich sein. Ich habe die Site Collection „Accounting“ gewählt.

Wichtig: Der Benutzer, der die Query ausführt, muss Lesezugriff auf alle SharePoint Seiten haben bzw. auf die Seiten, für die er Ergebnisse erhalten möchte.

Im nächsten Screenshot sehen wir in den Staistiken, welche der Prüfungen zu einem Ergebnis geführt haben. Wir können auch erkennen, dass diese Prüfungen nicht nur einzelnd, sondern auch in Kombination durchgeführt werden. Diese Statistiken helfen, meine Queries auf mein Unternehmen anzupassen, um bestmögliche Treffer zu erhalten. Im darauffolgenden ähnlichen Screenshot ist hingegen zu erkennen, dass ich die Häufigkeit der Kreditkartenfunde auf eins gesetzt habe und wir daher auch mehr Ergebnisse erhalten, denn die CC_One.docx ist nun mit dabei. Mit einem Mouse-Over über den Titel der Datei – übrigens der wahre Titel innerhalb des Dokuments wird angezeigt und nicht „CC_One.docx“ – kann ich mir weitere Metadaten dazu anzeigen lassen.

———-

Neben der Query selbst, können wir auch die Suche anhand des Zeitraums und Autor weiter eingrenzen, wenn wir möchten (oben rechts). Nun möchten wir jedoch die Ergebniss exportieren. Dazu klicken wir am unteren Ende des Dialogs auf Export und deifnieren, was in dem Export inkludiert werden soll. Wir können hierbei definieren, ob alle Versionen von gefundenen SharePoint Dokumenten und ob verschlüsselte oder nicht bekannte Dateitypen exportiert werden sollen.

Klickt man dann auf Download Results oder Download Report, so wählen wir nur noch einen Speicherort aus und der „Download Results“ Export speichert dann tatsächlich alle Dokumente, die mit unserer Query identifiziert wurden, auf den entsprechenden Speicherort herunter (aber sie bleiben zusätzlich natürlich im SharePoint erhalten).
dlp-19

Ein Export von SharePoint (und SharePoint Online) sieht folgendermaßen aus:

Darin werden die Seiten – und darin die Subseiten und Bibliotheken – aufgelistet, in denen ein Fund für eine entsprechende Query protokolliert wurde.
dlp-21

Das soll ein erster Überblick über die neuen DLP Funktionalitäten im eDiscovery Center sein.

Wenn Sie weitere Informationen teilen möchten, dann freue ich mich über einen Kommentar. Gefällt Ihnen der Betrag, denn freue ich mich über ein 5-Star Rating.

Herzlichen Dank und viel Spaß beim „SharePointen“.