Compliance-eDiscovery und Compliance-Archiv im neuen Exchange – 1. Teil

  • Article

Veröffentlichung des Originalartikels: 27.09.2012

Zur etwaigen Erfüllung von eDiscovery-Anforderungen müssen Organisationen E-Mail-Aufzeichnungen aufbewahren, relevante Aufzeichnungen durchsuchen und diese zur Überprüfung vorlegen können.

In Exchange Server 2010 und Office 365 ermöglicht die Funktion für das Beweissicherungsverfahren die Aufbewahrung von Postfachelementen. Wenn ein Benutzer oder Prozess versucht, ein Element dauerhaft zu löschen, wird es aus der Ansicht des Benutzers an einen nicht zugänglichen Speicherort im Postfach verschoben. Wenn ein Benutzer oder Prozess ein Element ändert, erfolgt darüber hinaus ein Kopie-bei-Schreibvorgang. Dabei wird eine Kopie des Originalelements unmittelbar vor dem Commitvorgang der geänderten Version gespeichert, wodurch der Originalinhalt erhalten bleibt. Der Prozess wird bei allen Änderungen wiederholt, sodass eine Kopie aller nachfolgenden Versionen erhalten bleibt.

Mithilfe der Suche in mehreren Postfächern (ebenfalls neu in Exchange 2010) können beauftragte Stellvertreter aus der Rechts-, Personal- oder IT-Abteilung (die als Discovery Manager bezeichnet werden, da ihnen Berechtigungen für die Discoveryverwaltung zugewiesen werden) Postfachinhalte in der gesamten Exchange 2010-Organisation durchsuchen. Von einer Suche zurückgegebene Nachrichten können in ein Discoverypostfach kopiert werden. Dabei handelt es sich um einen besonderen Postfachtyp mit größeren Postfachkontingenten und ohne Möglichkeit zum Senden oder Empfangen von Nachrichten.

Neuerungen bei Compliance-eDiscovery und Compliance-Archiv in Exchange 2013

Seit der Markteinführung von Exchange 2010 und Office 365 haben wir zahlreiche Rückmeldungen von Organisationen sämtlicher Größen zu Features für Nachrichtenrichtlinien und Compliance erhalten, einschließlich Archivierung, eDiscovery und gesetzlicher Aufbewahrungspflicht. Beim Planen der Weiterentwicklung der Compliance-Features hatten wir dieses Feedback stets im Blick. Lassen Sie uns zunächst untersuchen, was sich geändert hat.

  • Ein neuer Name Im neuen Exchange heißt die Suche in mehreren Postfächern nun Compliance-eDiscovery.

  • Ein neues Suchmodul Für das Compliance-Archiv werden weiter die von der Exchange-Suchfunktion generierten Suchindizes verwendet. Doch unter der Haube wurde die Exchange-Suchfunktion so überarbeitet, dass Microsoft Search Foundation verwendet wird. Die Inhaltsindizierung wurde zuvor von der Windows-Suchfunktion erledigt. Microsoft Search Foundation ist eine umfassende Suchplattform, die eine wesentlich bessere Indizierungs- und Abfrageleistung und verbesserte Suchfunktionalität bietet.

  • Eine neue Aufbewahrungsmöglichkeit Im neuen Exchange können Sie mithilfe des Compliance-Archivs durchsuchte Inhalte in einem Archiv ablegen. Das Compliance-Archiv ist mit Compliance-eDiscovery integriert und ermöglicht das gleichzeitige Durchsuchen und Archivieren von Inhalten auf derselben benutzerfreundlichen Oberfläche. Durch das Integrieren der Archivierung mit eDiscovery können Sie sehr dezidiert festlegen, was mithilfe einer Abfrage archiviert werden soll. Durch Verringern der aufzubewahrenden Datenmenge senken Sie die Kosten einer späteren Überprüfung der Daten.

  • Eine neue Benutzeroberfläche Das neue Exchange bietet mit der Exchange-Verwaltungskonsole eine neue, vereinheitlichte webbasierte Verwaltungszentrale. Discovery-Manager nutzen den neuen Assistenten für Compliance-eDiscovery und Compliance-Archiv, um eDiscovery-Suchvorgänge durchzuführen.

  • Schlüsselwortstatistik Nach Erstellen einer Compliance-eDiscovery-Suche erhalten Sie eine detaillierte Schlüsselwortstatistik mit der Anzahl der übereinstimmenden Elemente für jedes Schlüsselwort. Anhand dieser Informationen können Sie bestimmen, ob die Abfrage die geschätzte Anzahl von Nachrichten zurückgegeben hat. Je nachdem, ob die Abfrage zu eng oder zu weit gefasst ist, kann die Suche zu viele oder zu wenig Nachrichten zurückgeben. Nutzen Sie diese Informationen zur Abfrageoptimierung.

  • Vorschau auf eDiscovery-Suche Nach Erstellen einer eDiscovery-Suche können Sie schnell eine Vorschau der Suchergebnisse anzeigen. Von jedem Quellpostfach zurückgegebene Nachrichten werden in der Suchvorschau angezeigt. Dadurch, dass Sie Nachrichten schnell in einer Vorschau anzeigen können, ist sichergestellt, dass Ihre Abfrage die gesuchten Inhalte zurückgibt. Ferner können Sie Ihre Abfrage weiter optimieren.

  • Integration mit dem neuen SharePoint Exchange bietet eine integrierte eDiscovery- und Archivumgebung mit dem neuen SharePoint. Mit dem eDiscovery Center können Sie alle Inhalte in Bezug auf einen Vorgang (SharePoint-Websites, Dokumente, mit SharePoint indizierte Dateifreigaben, Postfachinhalte in Exchange und archivierte Lync-Inhalte) von zentraler Stelle aus durchsuchen und in einem Compliance-Archiv platzieren. Sie können mit dem Vorgang zusammenhängende Inhalte exportierten, einschließlich Dateien, Listen, Webseiten und Exchange-Postfachinhalte. Der Postfachinhalt wird als PST-Datei exportiert. Eine XML-Manifestdatei, die der EDRM-Spezifikation (Electronic Discovery Reference Model) entspricht, bietet einen Überblick über die exportierten Informationen.

    Zum Durchsuchen von Exchange-Inhalten nutzt SharePoint die Exchange-API für die Verbundsuche. Unabhängig davon, ob Sie Exchange-Inhalte über die Exchange-Verwaltungskonsole oder SharePoint durchsuchen, werden stets dieselben Ergebnisse zurückgegeben. Die neuen SharePoint- und Exchange-Versionen nutzen mit Microsoft Search Foundation beide dasselbe zugrunde liegende Indizierungs- und Abfragemodul, das Ihnen ermöglicht, dieselbe Suchabfrage für SharePoint- und Exchange-Inhalte zu verwenden.

Durchführen einer Compliance-eDiscovery-Suche

Lassen Sie uns nun untersuchen, wie ein Discovery-Manager eine Compliance-eDiscovery-Suche durchführt.

Rieke Schmitz arbeitet in der Rechtsabteilung der Marketingagentur Contoso. Ihre Agentur erhält eine Anfrage des Unternehmens Tailspin Toys, das Unterstützung bei einer Marketingkampagne für ein neues Spielzeug benötigt. Contoso ist bekannt für erfolgreiche Marketingkampagnen, da die Agentur schon viele Aufträge für die Spielwarenbranche abgewickelt hat. Dies ist gut fürs Geschäft, erfordert aber auch ein sorgsames Vorgehen, da viele der Spielwarenhersteller, für die die Agentur tätig ist, im Wettbewerb stehen. Contoso hat gerade eine überaus erfolgreiche Marketingkampagne für einen andern Spielwarenhersteller mit dem Namen Wingtip Toys realisiert. Deshalb möchte Rieke sicherstellen, dass in ihrem Team nicht aus Versehen vertrauliche Informationen eines Kunden zu einem anderen gelangen. Zu diesem Zweck möchte Rieke mithilfe der Mitarbeiter in der Rechtsabteilung die E-Mails und Dokumente ihres Unternehmens durchsuchen, um potenzielle Probleme auf jeden Fall auszuräumen.

Zum Verwenden von Compliance-eDiscovery müssen einem Benutzer die Berechtigungen der Rollengruppe Discoveryverwaltung erteilt werden. Sie können diese Rolle autorisierten Mitgliedern der Rechts-, Compliance- oder Personalabteilung zuweisen. Rieke gehört zu einem Team der Rechtsabteilung. Die Möglichkeit bereichsbasierter Rollen im neuen Exchange 2013 ermöglicht IT-Administratoren das Delegieren von Compliance-Zuständigkeiten an Mitarbeiter wie Rieke, ohne ihnen Vollzugriff auf sämtliche Exchange Server-Funktionen bieten zu müssen.

Rieke beginnt mit der Navigation zur Exchange-Verwaltungskonsole. Auf der Registerkarte Verwaltung der Richtlinientreue der Exchange-Verwaltungskonsole können Sie im neuen Exchange die Compliance-Features verwalten. Da Rieke keine weitere Exchange-Administratorrolle bekleidet, wird ihr nur die für die Rollengruppe Verwaltung der Richtlinientreue relevante Benutzeroberfläche angezeigt. Auf der Registerkarte Verwaltung der Richtlinientreue wird nur Compliance-eDiscovery und -Archiv angezeigt.


Abbildung 1: Auf die Registerkarte Compliance-eDiscovery und -Archiv können nur Benutzer zugreifen, denen die Berechtigungen für Verwaltung der Richtlinientreue erteilt wurden

Sie klickt auf die Schaltfläche Hinzufügen, um den Assistenten Neue Compliance-Discovery und -Archiv zu starten. Sie gibt einen Namen und eine optionale Beschreibung der Suche ein.


Abbildung 2: Erstellen einer Compliance-eDiscovery-Suche mithilfe des neuen Assistenten für Compliance-eDiscovery und -Archiv in der Exchange-Verwaltungskonsole

Rieke kann alle Postfächer in der Exchange-Organisation durchsuchen bzw. die Postfächer auswählen, die sie durchsuchen möchte.


Abbildung 3: Angeben der zu durchsuchenden Postfächer oder aller Postfächer

Auf der Seite Suchabfrage kann Rieke die Option auswählen, um die Inhalte sämtlicher Postfächer oder nur bestimmte Inhalten zurückzugeben. Rieke sucht bestimmte Inhalte im Zusammenhang mit Aufgaben, die ihr Team für WingTip Toys erledigt hat. Sie hat die Möglichkeit, eine einfache Suche durchzuführen, indem sie einige Schlüsselwörter eingibt, oder mithilfe boolescher Operatoren wie UND, ODER, Klammern usw. eine komplexere Suche durchzuführen, um spezifischer anzugeben, was gesucht werden soll. Dies kann zu großen Zeit- und Kosteneinsparungen für sie führen, da Postfächer mit einer Größe mehrerer Gigabytes sehr häufig sind. Sie kann so die zu durchsuchenden Inhalte auf ein Minimum reduzieren, um das Gesuchte zu finden.


Abbildung 4: Angeben einer Suchabfrage einschließlich Schlüsselwörtern, Start- und Enddatum, Absendern und Empfängern

Zusätzlich zu den booleschen Operatoren verwendet sie auch den neuen Operator NEAR (Nähe), der es ihr ermöglicht, Wörter zu finden, die einander nahe sind. Wie Sie sehen, nutzt sie auch ein Platzhalterzeichen, sodass sie in diesem Fall nach dem Wort "wingtip" im Zusammenhang mit den Wörtern "toy", "toys", "toymaker" o. a. sucht.

In diesem bestimmten Fall sucht Rieke diese drei Schlüsselwörter in einer gegebenen E-Mail. Wenn sie jedoch spezifischer sein möchten, um z. B. nur einen Ausdruck im Nachrichtenbetreff zu suchen, könnte sie Betreff: und anschließend den gewünschten Ausdruck eingeben. Je nachdem, wie spezifisch sie sein möchte, kann sie komplexe Abfragen erstellen. In einer Abfrage können mehrere Hundert Schlüsselwörter angegeben werden.

Sie kann außerdem bestimmte Nachrichtentypen wählen. Ein Exchange-Postfach enthält nicht nur E-Mail, sondern auch Kalenderelemente, Aufgaben, Notizen und andere Elemente im Zusammenhang mit der Verwaltung persönlicher Informationen. Sie wählt E-Mail und auch Besprechungen aus, sodass sie nachverfolgen kann, welche ihrer Mitarbeiter mit Wingtip zusammengetroffen sind, und die Besprechungseinladungen lesen, um das jeweilige Thema zu ermitteln.


Abbildung 5: Auswählen aller Nachrichtentypen oder Angeben der zu durchsuchenden Nachrichtentypen

Nachdem Rieke ihre Abfrage zum Bestimmen der für sie wichtigen Inhalte erstellt hat, gibt es verschiedene Optionen für den Umgang mit den Ergebnissen. Wenn sie meint, diese Inhalte sollten geschützt werden, kann sie sie in einem Archiv platzieren. Wenn Inhalte in einem Archiv platziert werden, erfasst Exchange automatisch alle Versuche zum Bearbeiten oder Löschen von Daten und speichert diese Elemente in einem versteckten Ordner im Postfach. Dieser Ordner ist für die Endbenutzer unsichtbar, sodass ihre täglichen Arbeitsabläufe nicht gestört werden. In ihm werden Daten zur späteren Wiederherstellung aufbewahrt.


Abbildung 6: Platzieren von Suchergebnissen in einem Compliance-Archiv

Im 2. Teil dieses Beitrags gehen wir weiter auf Compliance-Archive ein.

Rieke klickt auf Fertig stellen. Die Suche wird auf Exchange 2013-Postfächer angewendet, Elemente werden im Archiv platziert.

Nach Abschluss der Suche untersucht Rieke die Gesamtgröße und Anzahl der Elemente, um deren Verwaltbarkeit zu prüfen. Bei Millionen von Elementen ist ihre Abfrage wohl zu weit, bei keinen Elementen zu eng gefasst. Wenn sie die Ergebnisse im Detail prüfen möchten, kann sie die Suchstatistik einblenden, um exakt herauszufinden, wie jedes Schlüsselwort zum Gesamtergebnis beigetragen hat. Anschließend kann sie ihre Abfragen zielgerichteter stellen, um schnell ein Ergebnis zu erhalten, das eine besser zu verwaltende Größe hat.


Abbildung 7: Optimieren von Suchabfragen mithilfe von Suchschätzungen und Schlüsselwortstatistiken

Nachdem sie ihre Abfrage fertig definiert hat, kann sie die Suche beenden und mit ihrem Team oder Rechtsberater besprechen, ob die Abfrage ordnungsgemäß ist. Sie kann außerdem weitere eDiscovery-Suchen mit anderen Abfrageparametern erstellen.

Sie kann außerdem eine Vorschau der Nachrichten anzeigen, die von der Suche zurückgegeben wurden.


Abbildung 8: Vorschau der eDiscovery-Suche auf Nachrichten und Bestimmen der Abfrageeffektivität

In Vorschau der eDiscovery-Suche wird die Anzahl der Nachrichten und die Gesamtgröße der einzelnen durchsuchten Postfächer angezeigt. Die Vorschaufunktion basiert auf Outlook Web App und zeigt die Nachricht in ihrem systemeigenen Format ohne Änderungen an.


Abbildung 9: In der Vorschau der eDiscovery-Suche wird eine Echtzeitvorschau von Nachrichten angezeigt, ohne dass Nachrichten in Discoverypostfächer kopiert werden

Rieke kann schnell alle ihre Ergebnisse durchsuchen, um weitere Elemente anzuzeigen, die die Suche geliefert hat. Da sie die vollausgestattete Outlook Web App-Vorschau nutzt, kann sie sogar Anlagen anzeigen.

Nachdem Rieke die Vorschau ihrer Ergebnisse geprüft hat und zufrieden damit ist, kann sie eine Kopie davon zur späteren Überprüfung machen oder sie exportieren, um sie an ihren externen Rechtsberater zu übergeben. Hierfür muss sie lediglich auf den Link Suchergebnisse kopieren klicken.


Abbildung 10: Kopieren zurückgegebener Suchergebnisse in ein Discoverypostfach

Beim Kopieren von Nachrichten in ein Discoverypostfach hat sie folgende Optionen:

  • Nicht durchsuchbare Elemente einschließen Sie kann auswählen, ob "undurchsuchbare" Elemente einbezogen werden sollen, die unser Indexsystem ggf. nicht verarbeiten kann, z. B. beschädigte Elemente, durch ein Kennwort geschützte ZIP-Anlagen oder Elemente, die mit einer anderen Technologie als Verwaltung von Informationsrechten (Information Rights Management, IRM) verschlüsselt sind. Dieses Kontrollkästchen gibt ihr die Möglichkeit, diese ebenfalls für den Fall einzuschließen, dass sie diese manuell prüfen möchten, um sicherzustellen, dass sie die gebührende Sorgfalt walten lässt und nichts auslässt.
  • Entfernung von Duplikaten und Threadkomprimierung Sie hat auch die Möglichkeit, Duplikate zu entfernen. Wie Sie wissen, werden E-Mails oft an mehrere Empfänger gleichzeitig gesendet. Durch die Entfernung von Duplikaten kann sie die Menge auf nur eine Kopie reduzieren, damit weniger Nachrichten überprüft werden müssen.
  • Vollständige Protokollierung aktivieren Sie kann auch ein vollständiges Protokoll der gewünschten Suchergebnisse speichern, das eine komplette Liste aller gefundenen Elemente enthält. Dies ist besonders nützlich für die Entfernung von Duplikaten, denn dabei behalten Sie nur eine Kopie der Nachricht, die ggf. mehrere Empfänger hat. Später kann es ggf. erforderlich sein zu wissen, ob eine Person diese in ihrem Posteingang hatte und als wichtig gekennzeichnet war, ober ob eine andere Person sie in den Ordner Gelöschte Elemente verschoben hat, ohne sie jemals zu lesen. Das Protokoll enthält alle diese Informationen.
  • E-Mail-Benachrichtigung Rieke kann auch auswählen, dass ihr nach Abschluss des Kopiervorgangs eine E-Mail gesendet wird. Wenn bei der Suche 20-30 GB Daten zurückgegeben werden, kann das Kopieren in das Discoverypostfach eine Weile dauern.

Als letzten Schritt wählt Rieke das Discoverypostfach aus, in dem sie ihre Suchergebnisse ablegen möchte.

Rieke erhält nach Abschluss des Kopiervorgangs einen Link zu dem Postfach, in dem die Ergebnisse gespeichert sind. Sie kann nun zur Kopie ihrer Suchergebnisse navigieren, um diese anzuzeigen. In dieser Ansicht kann sie Elemente überprüfen, als wichtig kennzeichnen oder die unwichtigen in den Ordner Gelöschte Elemente verschieben, um sie aus der Ansicht zu entfernen.

Wenn Rieke im Anschluss die konsolidierten Ergebnisse mit einem externen Rechtsberater gemeinsam nutzen muss, kann sie in Outlook diese Ergebnisse in eine PST-Datei exportieren.

Dieser Teil des Beitrags hat Ihnen eine Übersicht über die Compliance-eDiscovery und -Archiv-Funktionalität im neuen Exchange vermittelt. Im 2. Teil dieses Beitrags, der in Kürze veröffentlicht wird, beschäftigen wir uns eingehender mit dem Compliance-Archiv.

Bharat Suneja und Julian Zbogar-Smith

Es handelt sich hierbei um einen übersetzten Blogbeitrag. Sie finden den Originalartikel unter In-Place eDiscovery and In-Place Hold in the New Exchange - Part I