[GDPRDemopalooza] Wie kann ich bestimmte (PII) Daten im Unternehmen aufspüren? (eDiscovery)

Basierend auf der GDPR / DSGVO Demopalooza hier das Demo zu eDiscovery.

Wie immer aufgeteilt in zwei Bereiche: Das "Why" und das "How"

Why

Beim Thema DSGVO geht es - wie ich auch schon in anderen Posts beschrieben habe - auch und insbesondere darum zu verstehen und zu wissen was in meinem Netzwerk, bzw. meinen Daten und meinen Systemen vor sich geht.

Und grade dann, wenn ich weiß (oder ahne), dass etwas vorgefallen ist, dann benötige ich so schnell (und günstig vom Zeit und Geldaufwand) wie möglich die nötigen Beweise um nachzuweisen was, wann, wo und von wem passiert ist.

Dies kann dann dazu dienen z.B. das notwendige Reporting vorzubereiten, die betroffenen Personen zu informieren oder tatsächlich Beweismittel für die Strafverfolgung bereit zu stellen.

Jeder, der sich schon einmal "im wirklichen Leben" mit solch einer Aufgabe beschäftigen durfte weiß, dass insb. das "schnell und günstig" meist nicht möglich ist, da oftmals die Nadel im Heuhaufen gesucht wird.

Genau hier setzt "Office 365 (Advanced) eDiscovery" an. [Hinweis: das "Advanced" werden wir uns zu einem anderen Zeitpunkt anschauen, hier werde ich nur auf die nicht-Advanced Dinge eingehen.]

 

 

How

Vorbereitungen:

Da das Thema etwas "heikel" ist, sollte bevor mit "echten" Daten gearbeitet wird unbedingt die notwendigen Stellen innerhalb des Unternehmens, z.B. Datenschützer, Betriebsrat, Personalabteilung, Rechtsabteilung, mit ins Boot geholt werden.

Genau deswegen wurde innerhalb von Office 365 auch die Rolle des "eDiscovery Managers" eingeführt - die per default noch nicht einmal der Global Admin automatisch inne hat (aber natürlich leicht bekommen kann).

Um also mit eDiscovery sinnvoll arbeiten zu können bedarf es neben einem entsprechenden Prozess (darauf gehe ich hier nicht detailliert ein) auch ein passendes Rechte/Rollenkonzept, in dem klar definiert ist, wer die Rolle eines "eDiscovery Managers" bzw "eDiscovery Admins" einnehmen darf. [Der Unterschied der beiden Rollen ist die, dass die Sicht eines "eDiscovery Managers" nur auf die eigenen "Cases" ist und die eines "eDiscovery Admins" auf alle Cases ist -> daher bitte vorsichtig mit dieser Rolle umgehen!!!]

  1. Die entsprechende Identität einem eDiscovery Manager bzw. Admin zuweisen, für die Demo hier nehme ich die Admin Rolle. Das Vorgehen für den Manager ist aber identisch: Dazu wechseln wir in den Permissionsbereich des O365 Admincenters und erteilen dem entsprechenden User die Rolle

eDiscovery Durchführung

  1. Nun wechseln wir unterhalb von "Search & Investigation" auf "eDiscovery
  2. Und erstellen einen neuen "Case" mit passenden Informationen. Best practice: der Titel sollte eindeutig sein und ggf. mit einer "CaseID" aus anderen Systemen übereinstimmen um diese besser zuordnen zu können.
  3. Die "Meta-Daten" können durch den Click auf den Namen angezeigt werden
  4. Nun wollen wir die eigentlichen Daten suchen. Dazu click auf "Open" des passenden Cases
  5. Innerhalb des eDiscovery gibt es nun 3 Actions die durchgeführt werden können:
    1. Hold: Legal hold für Daten einer (oder mehrerer) Mailboxen oder SharePoint Sites mit entsprechenden Conditions
    2. Search: Suche nach Daten mit bestimmten Eigenschaften und Suchbegriffen
    3. Export: Download/Export von Suchergebnissen
  6. Fangen wir also mit dem sicheren Aufbewahren von Emails eines betroffenen Users an: Click auf "Hold" und gleich click auf "+" um einen neuen Hold zu konfigurieren. Dazu geben wir eine Mailbox an und klicken "next"
  7. Nun noch die Conditions eingeben, hier der Empfangs-Zeitraum von 1.7.2017-31.12.2017 und das Schlagwort "Confidential" (ganz einfallsreich, ist aber doch nur eine Demo, da darf ich das! ;) )
  8. Nun führen wir unsere erste "echte" Suche aus: click auf "Search" und "+" um eine neue Suche zu erstellen.
    Hinweis:  Die Benennung der einzelnen Suchen muss eindeutig sein! D.h. auch in mehreren Cases eine Suche zweimal mit "confidential" zu benennen führt zu einem Fehler. Daher achtet darauf, dass ihr z.B. die CaseID mit in den Titel nehmt!
    Für die Demo wählen wir noch als Einstellung für "Wo soll gesucht werden" das Setting "Search everywhere" und dort alles anhaken. [Hintergrund: der Hold Mechanismus benötigt etwas Zeit und solange dieser nicht indiziert hat, findet die Suche sonst nichts, wenn auf "Alle Case Daten" eingestellt ist]
  9. Noch die Suchbegriffe konfigurieren, auch hier bin ich mal total kreativ mit "confidential". Nun noch als Condition z.B. "received date" eingeben und dann click auf "Search"
  10. Kurze Zeit später (abhängig von den Daten, die zur Verfügung stehen, im RL sicherlich etwas länger als in einem Demotenant ;) ) sollte hier ein entsprechendes Ergebnis erscheinen:
  11. Jetzt wollen wir den Ergebnis-Report noch exportieren. Dazu muss das Search-Item ausgewählt werden und der "Download"/"Export" Button gedrückt werden und dann "Export Report" geclickt werden:
  12. Natürlich können wir auch die Daten selber exportieren - dazu wieder den Export Button drücken und diesmal "Export your results" auswählen und konfigurieren:
  13. Um nun die Daten herunterzuladen muss nur noch in der Head-Navigation auf "Export" gedrückt werden und dort das entsprechende Exportdatum ausgewählt und "Download exported results" bzw. "Download Report" angeclickt werden.

 

Bei einer gegebenen Aufgabe/Case sind so sehr schnell sehr brauchbare Ergebnisse zu erzielen und insb. bei dem Reporting in DSGVO relevanten Situationen eine außerordentliche Hilfe um die 72 Stunden für das erste Reporting bestmöglich nutzen zu können und idealerweise dadurch deutlich vor dem Ende der Deadline in der Lage zu sein die nötigen Informationen bereitzustellen.

 

FYI: hier noch ein EBook zum Thema eDiscovery: Compliance issues in a cloud-first world und zum Thema eDiscovery bei Microsoft Teams

 

Diese Demoanleitungen bieten einen Überblick zur Nutzung der jeweiligen Lösungen und Produkte im Kontext von DSGVO und stellt keine rechtlich bindende Aussage dar!