Verwendung von Microsoft Purview eDiscovery zur Datenuntersuchung

Verwendung von Microsoft Purview eDiscovery zur Datenuntersuchung

08.05.2025

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren bei der Verwendung von Microsoft Purview eDiscovery helfen, um Datenuntersuchungen effektiv und konform durchzuführen. Die Fähigkeit, Informationen zu identifizieren, zu sammeln, zu überprüfen und aufzubewahren, die für Rechtsstreitigkeiten, interne Untersuchungen oder behördliche Anfragen relevant sind, ist von entscheidender Bedeutung. Microsoft Purview eDiscovery bietet eine Reihe von Lösungen, die diesen komplexen Prozess vereinfachen und gleichzeitig die Datenintegrität und Chain of Custody gewährleisten [1].

Einführung

eDiscovery bezieht sich auf den Prozess der Identifizierung, Sammlung, Verarbeitung, Überprüfung und Erstellung elektronisch gespeicherter Informationen (ESI) als Reaktion auf eine rechtliche oder ermittlungsrechtliche Anfrage. Microsoft Purview eDiscovery ist eine integrierte Lösung, die es Unternehmen ermöglicht, den gesamten eDiscovery-Workflow innerhalb des Microsoft 365-Ökosystems zu verwalten, von der ersten Recherche bis zur abschließenden Datenüberprüfung und dem Export [2].

In diesem praktischen Leitfaden werden die Konzepte verschiedener eDiscovery-Lösungen behandelt, z. B. das Erstellen und Verwalten von Fällen, das Durchführen von Inhaltssuchen, das Überprüfen von Daten, das Exportieren von Ergebnissen und das Konfigurieren von Berechtigungen.

Warum ist Microsoft Purview eDiscovery so wichtig?

  • Einhaltung von Vorschriften und Gesetzen: Hilft bei der Einhaltung gesetzlicher und behördlicher Anforderungen.
  • Genaue Datenidentifizierung: Ermöglicht die Suche und Identifizierung relevanter Informationen in mehreren Microsoft 365-Quellen.
  • Datenaufbewahrung: Erleichtert die Anordnung gesetzlicher Aufbewahrungsfristen für Daten.
  • Kosten- und Zeitreduzierung: Automatisiert viele Aspekte des eDiscovery-Prozesses.

Voraussetzungen

  1. Microsoft 365-Lizenzierung: Ein Abonnement, das eDiscovery-Funktionen umfasst (z. B. Microsoft 365 E3 für Standard, E5 für Premium) [3].
  2. Administratorzugriff: Ein Konto mit entsprechenden Berechtigungen im Microsoft Purview-Compliance-Portal (z. B. „eDiscovery-Administrator“).

Schritt für Schritt: Konfigurieren und Verwenden von Microsoft Purview eDiscovery

1. eDiscovery-Lösungen verstehen

  • Inhaltssuche: Grundlegendes Tool zum Durchsuchen von Postfächern, SharePoint-Websites, OneDrive und Teams. Umfasst weder Fallmanagement noch rechtliche Aufbewahrungsfristen [4].
  • eDiscovery (Standard): Fügt Fallverwaltung, rechtliche Aufbewahrungsfristen, Exportieren von Ergebnissen und Zuweisen von Berechtigungen zu Fallmitgliedern hinzu [5].
  • eDiscovery (Premium): Die fortschrittlichste Lösung mit Datenverarbeitung, Textanalyse, Duplikaterkennung, Themenanalyse und Dokumentenprüfung [6].

2. Zuweisen von eDiscovery-Berechtigungen

  1. Gehen Sie im Microsoft Purview Compliance-Portal („https://compliance.microsoft.com“) zu Berechtigungen.
  2. Klicken Sie unter „Microsoft Purview-Rollen“ auf Rollen.
  3. Suchen Sie die Rollengruppe „eDiscovery-Administrator“ und fügen Sie die Benutzer oder Gruppen hinzu, die Zugriff auf die Ressourcen benötigen.

3. Erstellen eines eDiscovery-Falls (Standard)

Ein Fall ist ein logischer Container für alle Informationen im Zusammenhang mit einer Untersuchung.

  1. Wählen Sie im Compliance-Portal eDiscovery > eDiscovery (Standard) aus.
  2. Klicken Sie auf + Fall erstellen.
  3. Geben Sie dem Fall einen Namen und eine Beschreibung und klicken Sie auf Speichern.

4. Erstellen einer rechtlichen Aufbewahrungsfrist

Bei einer rechtlichen Aufbewahrungsfrist bleiben Inhalte erhalten, sodass sie nicht gelöscht oder geändert werden können.

  1. Wählen Sie in Ihrem eDiscovery-Fall Holds aus.
  2. Klicken Sie auf +Aufbewahrungsrichtlinie erstellen.
  3. Geben Sie einen Namen und eine Beschreibung ein.
  4. Wählen Sie unter Standorte Datenquellen (Postfächer, Websites, OneDrive, Teams) aus und fügen Sie bestimmte Benutzer/Gruppen hinzu.
  5. (Optional) Fügen Sie Bedingungen hinzu, um den beizubehaltenden Inhalt zu verfeinern.
  6. Überprüfen und erstellen Sie diese Richtlinie.

5. Durchführung von Inhaltsrecherchen

Verwenden Sie das Inhaltssuchtool, um relevante Informationen zu finden.

  1. Wählen Sie in Ihrem eDiscovery-Fall Suchen aus.
  2. Klicken Sie auf + Neue Suche.
  3. Geben Sie einen Namen und eine Beschreibung ein.
  4. Wählen Sie unter Standorte die zu durchsuchenden Datenquellen aus.
  5. Definieren Sie unter Bedingungen Ihre Suchkriterien mithilfe von Schlüsselwörtern, Daten, Absendern/Empfängern, Dateitypen usw. Sie können die KQL-Syntax (Keyword Query Language) verwenden.
    • KQL-Beispiel: „(ProjectX OR „vertrauliche Informationen“) AND (Datum>=01.01.2024 UND Datum<=31.12.2024) UND (von: „[email protected]“)“.
  6. Klicken Sie auf Speichern und ausführen.
  7. Nachdem die Suche abgeschlossen ist, können Sie die Statistiken und Suchergebnisse anzeigen.

6. Suchergebnisse exportieren

Nach der Suche können Sie die Ergebnisse zur Überprüfung exportieren.

  1. Wählen Sie auf der Seite Suchen für Ihren Fall die abgeschlossene Suche aus.
  2. Klicken Sie auf Aktionen > Ergebnisse exportieren.
  3. Wählen Sie Exportoptionen (z. B. nicht durchsuchbare Elemente einschließen, in eine PST-Datei exportieren usw.).
  4. Klicken Sie auf Exportieren.
  5. Um die Ergebnisse herunterzuladen, gehen Sie zu eDiscovery (Standard) > Exporte und verwenden Sie das eDiscovery Export Tool, um die Dateien herunterzuladen.

7. eDiscovery (Premium) – Übersicht

Für komplexe Untersuchungen bietet eDiscovery Premium:

  • Datenverarbeitung: Normalisierung, Entfernung von Duplikaten, Erkennung von E-Mail-Threads.
  • Erweiterte Analyse: Textanalyse, Themenerkennung, Dokumentenkategorisierung.
  • Dokumentenprüfung: Tools für Prüfer zum Markieren, Kommentieren und Klassifizieren von Dokumenten.
  • Erweiterter Export: Detailliertere und anpassbarere Exportoptionen.

Best Practices und Sicherheitstipps

  • Planung: Planen Sie vor Beginn einer Untersuchung sorgfältig den Umfang, die Datenquellen und die Suchkriterien.
  • Mindestberechtigungen: Gewähren Sie nur die Berechtigungen, die für eDiscovery-Funktionen erforderlich sind.
  • Legal Holds: Wenden Sie Legal Holds so früh wie möglich an, um die Datenerhaltung sicherzustellen.
  • Dokumentation: Führen Sie eine detaillierte Aufzeichnung aller während des eDiscovery-Prozesses ergriffenen Maßnahmen, um die Chain of Custody sicherzustellen.
  • Schulung: Schulen Sie Ihr Team in der korrekten Verwendung von eDiscovery-Tools und Organisationsrichtlinien.
  • Überwachung: Überwachen Sie Purview-Überwachungsprotokolle auf eDiscovery-bezogene Aktivitäten.

Fazit

Microsoft Purview eDiscovery ist ein leistungsstarkes und unverzichtbares Tool für jedes Unternehmen, das Datenuntersuchungen effektiv und konform verwalten muss. Durch die Nutzung seiner Funktionen, von der einfachen Inhaltssuche bis hin zu den erweiterten Analysen von Premium, können Unternehmen relevante Informationen effizient identifizieren, aufbewahren, überprüfen und produzieren und so rechtliche und betriebliche Risiken reduzieren. Die Implementierung eines klar definierten eDiscovery-Prozesses, unterstützt durch Purview-Funktionen, ist für die Datenverwaltung und die Widerstandsfähigkeit der Organisation von entscheidender Bedeutung.

Referenzen

[1] Microsoft. (2023). Überblick über Microsoft Purview eDiscovery. [2] Microsoft. (2023). eDiscovery-Workflow (Standard). [3] Microsoft. (2023). Lizenzierung für eDiscovery in Microsoft 365. [4] Microsoft. (2023). Inhaltssuche in Microsoft Purview. [5] Microsoft. (2023). eDiscovery (Standard) auf Microsoft Purview. [6] Microsoft. (2023). eDiscovery (Premium) auf Microsoft Purview.