Compliance-eDiscovery und Compliance-Archiv im neuen Exchange – 2. Teil

Veröffentlichung des Originalartikels: 29.09.2012

Im 1. Teil dieses Beitrags haben wir die Neuerungen an Compliance-eDiscovery im neuen Exchange behandelt. In diesem Beitrag wollen wir uns damit beschäftigen, wie Exchange Daten unveränderbar aufbewahrt.

Einer der ersten Schritte bei einem zu erwartenden Rechtsstreit oder beim Erfüllen einer eDiscovery-Anforderung ist das Aufbewahren von Nachrichtenaufzeichnungen, damit diese bei Bedarf vorgelegt werden können. Vor Exchange 2010 wurde dies allgemein mithilfe verschiedener Methoden realisiert, z. B. der Archivierung von Daten in einem externen System, dem Aufheben des automatisierten Löschmechanismus (die Exchange-Verwaltung von Nachrichtendatensätzen) oder in anderen Fällen, indem Benutzer angewiesen wurden, keine Aufzeichnungen zu löschen.

Das Nichtaufbewahren von Aufzeichnungen, die für einen Rechtsstreit benötigt werden, kann rechtliche und finanzielle Risiken für Ihre Organisation bedeuten.

In Exchange 2010 und Office 365 haben wir das Beweissicherungsverfahren eingeführt, damit Sie Nachrichtenaufzeichnungen aufbewahren können. Beweissicherungsverfahren ist eine Postfacheigenschaft. Bei Aktivierung dieser Eigenschaft für ein Postfach werden alle Elemente in einem Postfach unbegrenzt lange (oder bis zur Einstellung des Verfahrens) aufbewahrt. Dies führt zu einer Anhäufung großer Datenmengen, die ggf. gar nicht aufbewahrt werden müssen.

Im neuen Exchange können Sie die Option Compliance-Archiv nutzen, um Elemente unveränderbar aufzubewahren. Das Compliance-Archiv ist mit Compliance-eDiscovery integriert und ermöglicht das gleichzeitige Durchsuchen und Archivieren von Inhalten auf derselben Oberfläche und mit denselben Abfrageparametern. Sie können das Compliance-Archiv in den folgenden Szenarien nutzen.

  • Dauerhafte Aufbewahrung: Sie können ein Compliance-Archiv ohne Abfrageparameter und ohne Archivierungsdauer erstellen, indem alle Elemente in einem Postfach unbegrenzt lange oder bis zur Beendigung der Archivierung aufbewahrt werden. Dies entspricht dem Verhalten beim bisherigen Beweissicherungsverfahren.

  • Abfragebasierte Aufbewahrung: Mithilfe eines Compliance-Archivs können Sie eine Suchabfrage erstellen und die Quellpostfächer und Parameter angeben, z. B. Schlüsselwörter, Absender und Empfänger sowie Anfangs- und Enddatum. Sie können auch die zu suchenden Elementtypen angeben: E-Mail-Nachrichten, Kalenderelemente wie Besprechungen und Termine, Aufgaben, Notizen oder in Exchange-Postfächern archivierte Lync-Inhalte.

  • Zeitbasierte Aufbewahrung Während beim Beweissicherungsverfahren der gesamte Postfachinhalt dauerhaft oder bis zur Beendigung der Archivierung aufbewahrt wird, können Sie in Compliance-Archiven einen Zeitraum angeben, über den Elemente aufbewahrt werden. Diese Dauer wird basierend auf dem Empfangsdatum oder dem Datum erstellt, an dem das Element im Postfach erstellt wurde (für Elemente wie Besprechungen, Aufgaben und Notizen, die nicht gesendet/empfangen werden).

    Eine der häufigsten Funktionsanforderungen in Exchange 2010 war die Möglichkeit, einen festgelegten Zeitraum angeben zu können, den ein Element aufbewahrt wird. Wenngleich Aufbewahrungsrichtlinien das Festlegen des E-Mail-Lebenszyklus und automatische Löschen von Elementen ermöglichen, sobald der angegebene Zeitraum abgelaufen ist, gewährleisten sie nicht die Aufbewahrung über diesen Zeitraum. Sie können also angeben, dass Elemente maximal 7 Jahre aufbewahrt werden sollen, aber Sie können nicht sicherstellen, dass Elemente nicht vor Ablauf dieses Zeitraums von einem Benutzer oder Prozess gelöscht werden.

    Die gängige empfohlene Abhilfemaßnahme zum Erfüllen dieser Anforderung war das Konfigurieren des Zeitraums Aufbewahrungszeit für gelöschte Elemente mit dem Mindestzeitraum, den ein Element aufbewahrt werden sollte. Wenn bei diesem Beispiel der Aufbewahrungszeitraum für gelöschte Elemente auf 7 Jahre festgelegt wird, bedeutet dies, dass wenn ein Benutzer ein Element vor Ablauf von 7 Jahren löscht, es im Ordner Wiederherstellbare Elemente 7 Jahre aufbewahrt wird. Der Zeitraum für Aufbewahrungszeit für gelöschte Elemente wird allerdings ab dem Löschdatum berechnet. Wenn ein Benutzer ein Element nach 6 Jahren löscht, wird es weitere 7 Jahre im Ordner Wiederherstellbare Elemente aufbewahrt. Dies für zu einer Gesamtaufbewahrungszeit von 13 Jahren. Sie können also gewährleisten, dass ein Element mindestens 7 Jahre aufbewahrt wird, aber nicht die maximale Aufbewahrungsdauer festlegen.

    Wenn Sie im neuen Exchange ein zeitbasiertes Compliance-Archiv erstellen, wird der Aufbewahrungszeitraum ab dem Empfangs-/Erstellungsdatum des Elements berechnet, sodass Sie garantieren können, dass das Element nicht länger als dieser Zeitraum aufbewahrt wird. Sie können ein zeitbasiertes Compliance-Archiv mit einer Aufbewahrungsrichtlinie kombinieren (die ein einzelnes Standardrichtlinientag aufweist). Dies stellt sicher, dass Elemente im Postfach nach 7 Jahren vom Assistenten für verwaltete Ordner gelöscht werden. Vor diesem Zeitraum von einem Benutzer oder Prozess gelöschte Elemente werden für mindestens die angegebene Dauer aufbewahrt.

Sie können auch ein abfragebasiertes Compliance-Archiv mit einem zeitbasierten Archiv kombinieren, um Elemente aufzubewahren, die Abfrageparametern für den angegebenen Zeitraum entsprechen. Sie können ein Benutzerpostfach auch in mehreren Archiven platzieren, z. B. wenn ein Postfach Aufzeichnungen enthält, die zu mehreren Verfahren oder Untersuchungen gehören.

Compliance-Archiv und Berechtigungen

Wie Compliance-eDiscovery kann ein Compliance-Archiv von autorisierten Benutzern mit der erteilten Berechtigung Discoveryverwaltung verwendet werden. Dabei gilt es, Folgendes zu beachten. Die Rollengruppe Discoveryverwaltung wird den Verwaltungsrollen Postfachsuche und Beweissicherungsverfahren zugewiesen. Die erste ermöglicht einem autorisierten Benutzer das Erstellen einer Postfachsuche für Compliance-eDiscovery und -Archiv. Letztere ermöglicht Ihnen, den Postfachinhalt zur Beweissicherung in einem Archiv zu platzieren.

Wenn einem Benutzer nur die Rolle Beweissicherungsverfahren zugewiesen wird, z. B. durch Erstellen einer Rollengruppe vom Typ "Rollenbasierte Zugriffssteuerung" oder über die Mitgliedschaft in einer Rollengruppe wie Organisationsverwaltung, der die Rolle Beweissicherungsverfahren zugewiesen ist, kann der Benutzer das Compliance-Archiv verwenden, aber nur um sämtliche Postfachinhalte im Archiv zu platzieren. Der Benutzer kann keine Abfrageparameter angeben, d. h. kein abfragebasiertes Compliance-Archiv erstellen.

Erstellen eines Compliance-Archivs

Lassen Sie uns zu der Abfrage zurückkehren, die Rieke im ersten Teil dieses Beitrags erstellt hat. Beim Erstellen des Compliance-Archivs auf der Seite Postfächer muss Rieke Zu durchsuchende Postfächer angeben und anschließend die Postfächer oder Verteilergruppen auswählen. Wenn sie Alle Postfächer durchsuchenauswählt, steht die Option zum Platzieren von Inhalten im Archiv nicht zur Verfügung.

Sie müssen Postfächer oder Verteilergruppen auswählen, die im Archiv platziert werden sollen. Wenn Sie Alle Postfächer durchsuchen auswählen, steht die Option zum Platzieren von Inhalten im Archiv nicht zur Verfügung.

Bildschirmfoto: Angeben zu durchsuchender Postfächer
Abbildung 1: Sie müssen zum Erstellen eines Compliance-Archivs Zu durchsuchende Postfächer angeben auswählen

Hinweis: Wenn Sie eine Verteilergruppe auswählen, gilt das Archiv für Postfachbenutzer, die zum Zeitpunkt der Erstellung des Archivs Mitglieder der Gruppe waren.

Auf der Seite Suchabfrage kann Rieke dieselbe Abfrage wie bei der Compliance-eDiscovery-Suche verwenden.

Bildschirmfoto: Angeben einer Suchabfrage
Abbildung 2: Mit Abfrageparametern übereinstimmende Nachrichten werden aufbewahrt

Sie kann auch die Nachrichtentypen auswählen, die im Archiv platziert werden sollen.

Bildschirmfoto: Angeben der Nachrichtentypen, die im Archiv platziert werden sollen
Abbildung 3: Sie können die im Archiv zu platzierenden Nachrichtentypen angeben oder alle Nachrichtentypen im Archiv platzieren

Platzieren archivierter Lync-Inhalte im Archiv

Wenn das neue Lync für das Archivieren von Chat- oder Besprechungsinhalten im neuen Exchange aktiviert ist, werden Lync-Inhalte im Postfach des Benutzers archiviert und automatisch im Archiv platziert. Hierfür müssen Sie die OAuth-Authentifizierung zwischen Lync und Exchange konfigurieren. Darüber hinaus muss sich das Postfach auf einem Postfachserver im neuen Exchange befinden.

Auf der Seite Einstellungen für Compliance-Archiv wählt Rieke die Option Inhalt, der mit der Suchanfrage übereinstimmt, in ausgewählten Postfächern aufbewahren aus. Anschließend kann sie Dauerhaft aufbewahren auswählen, um die Inhalte dauerhaft (bzw. bis zum Entfernen des Compliance-Archivs oder eines Postfachs aus der Suche) aufzubewahren. Damit Elemente einen bestimmten Zeitraum aufbewahrt werden, kann sie Anzahl von Tagen angeben, die Elemente in Bezug auf ihr Empfangsdatum aufbewahrt werden und die Anzahl der Tage angeben.

Bildschirmfoto: Einstellungen für Compliance-Archiv
Abbildung 4: Sie können eine Aufbewahrungsdauer angeben oder Elemente unbegrenzt lange aufbewahren

Wichtig ist hier der erneute Hinweis, dass bei der zeitbasierten Aufbewahrung die Dauer ab dem Datum des Empfangs bzw. der Erstellung einer Nachricht berechnet wird.

Funktionsweise des Compliance-Archivs

Lassen Sie uns nun nachschauen, was unter der Haube geschieht.

Wenn ein Benutzer eine Nachricht löscht, wird diese in den Ordner Gelöschte Elemente verschoben. Wenn der Ordner Gelöschte Elemente geleert wird oder Nachrichten aus ihm gelöscht werden oder der Benutzer zum Löschen einer Nachricht UMSCHALT-ENTF drückt, wird diese in den Ordner Recoverable Items\Deletions verschoben. Inhalte in diesem Ordner werden verfügbar gemacht, wenn Benutzer in Outlook oder Outlook Web App den Befehl Gelöschte Elemente wiederherstellen wählen.

Wenn der Benutzer nichts unternimmt, werden Nachrichten im Ordner Deletions entfernt, wenn der für die Postfachdatenbank oder den Benutzer konfigurierte Zeitraum Gelöschte Elemente aufbewahren für (Tage) abgelaufen ist.

Wenn der Benutzer eine Nachricht aus dieser Ansicht löscht, können verschiedene Dinge geschehen:

  1. Wenn die Einstellung zur Wiederherstellung einzelner Elemente für das Postfach aktiviert ist, wird das Element in den Ordner Recoverable Items\Purgesverschoben und aufbewahrt, bis der Aufbewahrungszeitraum für gelöschte Elemente abgelaufen ist. Dies ermöglicht Administratoren das Wiederherstellen von Elementen, ohne diese aus Sicherungen wiederherstellen zu müssen.

  2. Wenn das Postfach dem Beweissicherungsverfahren unterliegt, werden die Elemente in den Ordner Recoverable Items\Purgesverschoben und aufbewahrt, bis das Archiv entfernt wird.

     

  3. Wenn das Postfach in einem Compliance-Archiv platziert wird, wird das Element in den Ordner Recoverable Items\DiscoveryHolds verschoben.

'Compliance-Archiv' und 'Wiederherstellbare Elemente'
Abbildung 5: Gelöschte Elemente und Originalkopien geänderter Elemente werden im Ordner Wiederherstellbare Elemente jedes Postfachs aufbewahrt

Wenn der Assistent für verwaltete Ordner, der zum Verarbeiten von Postfächern und Bestimmen des Ablaufs von Inhalten dient, das Postfach verarbeitet, wird geprüft, ob Nachrichten die Abfrageparameter von Compliance-Archiven erfüllen, denen das Postfach unterliegt. Diese Auswertung erfolgt für bis zu 5 Abfragen, über die hinaus alle Elemente aufbewahrt werden. Dies entspricht dem Verhalten beim Beweissicherungsverfahren. Wenn die Anzahl der Archive unter 5 liegt, kehrt der Assistent für verwaltete Ordner wieder zum abfragebasierten Verhalten für Compliance-Archive zurück.

Wenn das Compliance-Archiv entfernt wird, werden aufbewahrte Nachrichten entfernt, wenn sie nicht länger den Abfrageparametern anderer Compliance-Archive entsprechen, in denen das Benutzerpostfach ggf. platziert wurde.

Compliance-Archiv und Unveränderbarkeit

Wenn von Aufbewahrung die Rede ist, kommt das Konzept der Unveränderbarkeit unweigerlich zur Sprache. Unveränderbarkeit bedeutet, dass im Archiv platzierte Nachrichten ohne jede Änderung beibehalten werden müssen. Es muss nicht nur das Löschen verhindert werden (auch wenn der Benutzer des im Archiv platzierten Postfachs glaubt, er hätte die Nachricht erfolgreich gelöscht), sondern es muss auch verhindert werden, dass Nachrichten manipuliert oder geändert werden. Unveränderbarkeit ist kein Produktfeature, sondern eine Kombination aus Features und den Archivprozessen, die Ihre Organisation implementiert.

Das Compliance-Archiv verhindert auch die absichtliche Manipulation oder Änderung von Inhalten. Dies erfolgt über eine Kopie bei Schreibvorgang. Wenn der Benutzer oder ein Prozess versucht, eine Nachricht zu ändern, wird vor dem Speichern der geänderten Nachricht eine Kopie der Originalnachricht erstellt und im Ordner Recoverable Items\Versions gespeichert. Im Ordner Versions erfasste Elemente werden außerdem indiziert und an eine Compliance-eDiscovery-Suche zurückgegeben. Wenn das Archiv entfernt wird, werden die Kopien im Ordner Versions ebenfalls vom Assistenten für verwaltete Ordner entfernt.

Gemeinsam bieten Compliance-Archiv und Compliance-eDiscovery autorisierten Mitarbeitern der Rechts-, Personal- oder anderer nicht technischer Abteilungen eine einfache und benutzerfreundliche Möglichkeit, Nachrichtenaufzeichnungen zu durchsuchen und unverändert aufzubewahren.

Bharat Suneja und Julian Zbogar-Smith

Es handelt sich hierbei um einen übersetzten Blogbeitrag. Sie finden den Originalartikel unter In-Place eDiscovery and In-Place Hold in the New Exchange – Part II