Postfachüberwachung wird erweitert
Um sicherzustellen, dass ihr Zugriff auf kritische Auditdaten habt, um Sicherheitsvorfälle zu untersuchen, führt Microsoft nun einige Aktualisierungen der Exchange-Postfachprüfung durch.
Neu ist nun, dass Exchange Online standardmäßig die Lese-/Zugriffsrechte von Eigentümern, Administratoren und Delegierten unter der Aktion MailItemsAccessed überprüft.
Beginn: Februar 2019
Auswirkungen – technisch
Die Aktion MailItemsAccessed bietet eine umfassende forensische Abdeckung von Mailboxzugriffen, einschließlich Synchronisierungsvorgängen. Im Februar 2019 beginnen die Auditprotokolle mit der Generierung von MailItemsAccessed Audit Records, um den Benutzerzugriff auf Mailings zu protokollieren.
Wenn Sie sich in der Standardkonfiguration befinden, wird die Aktion MailItemsAccessed den Get-mailbox-Konfigurationen unter den Feldern AuditAdmin, AuditDelegate und AuditOwner hinzugefügt. Sobald die Funktion auf Sie ausgerollt ist, sehen Sie, dass die Aktion MailItemsAccessed hinzugefügt wurde und beginnen, Lesezugriffe zu überprüfen.
Diese neue MailItemsAccessed-Aktion wird die MessageBind-Aktion ersetzen; MessageBind ist keine gültige Aktion mehr, die konfiguriert werden muss, sondern eine Fehlermeldung kommt, dass die MailItemsAccessed-Aktion einzuschalten ist. Diese Änderung entfernt die MessageBind-Aktion nicht aus Postfächern, die sie bereits zu ihren Konfigurationen hinzugefügt haben.
Diese Audit-Datensätze fließen zunächst nicht in das Unified Audit Log ein und sind nur im Mailbox Audit Log verfügbar.
Muss man etwas tun?
Es gibt keine Maßnahmen, die ihr ergreifen müsst, um die Sicherheitsvorteile des Lesens von Auditdaten per E-Mail zu nutzen. Die Aktion MailItemsAccessed wird in den Audit-Konfigurationen der Get-Mailbox-Aktion automatisch unter AuditAdmin, AuditDelegate und AuditOwner aktualisiert.
Wenn ihr diese Konfigurationen zuvor festgelegt haben, müssen ihr diese jetzt aktualisieren, um die beiden neuen Postfachaktionen zu überprüfen.
Wenn Ihr die Mailbox-Überprüfung deaktiviert hat, dann werden Sie die Lesevorgänge für E-Mails nicht überprüfen.
Microsoft 365 Admin Center Neuigkeit
https://docs.microsoft.com/de-de/office365/securitycompliance/enable-mailbox-auditing?redirectSourcePath=%252farticle%252fEnable-mailbox-auditing-in-Office-365-aaca8987-5b62-458b-9882-c28476a66918
Rechtliche Auswirkungen
Um so schön diese Änderung in einem ersten Blick aussieht, um so kritischer ist die neue standardmäßige Überwachung von Postfächern. Dies ist in Deutschland nicht einfach erlaubt, deshalb kommt es genau auf die vertraglichen Voraussetzungen im Unternehmen an, ob man die Funktionen deaktivieren muss oder diese laufen lassen kann.
Hinweise, dass Sie eine rechtliche Prüfung durchführen müssen: (z.B.)
- private Emailkommunikation ist erlaubt oder wird geduldet
- Betriebsrahmenvereinbarung
- Betriebrat hat Einwände bei der Überwachung
- Datenschutzbeauftragter hat Einwände bei der Überwachung