Exchange Online Mailbox-Audit Update

Die Postfachüberwachung von Exchange Online dient der Protokollierung von Postfachzugriffen durch Postfachbesitzer, Stellvertreter oder Administratoren. Im Standard ist die Überwachung nicht aktiviert, so dass diese Ereignisse nicht in der Protokollierung (Audit) auftauchen. 
 
 

Postfachüberwachung wird erweitert

Um sicherzustellen, dass ihr Zugriff auf kritische Auditdaten habt, um Sicherheitsvorfälle zu untersuchen, führt Microsoft nun einige Aktualisierungen der Exchange-Postfachprüfung durch.

Neu ist nun, dass Exchange Online standardmäßig die Lese-/Zugriffsrechte von Eigentümern, Administratoren und Delegierten unter der Aktion MailItemsAccessed überprüft

Beginn: Februar 2019

 

Auswirkungen – technisch

Die Aktion MailItemsAccessed bietet eine umfassende forensische Abdeckung von Mailboxzugriffen, einschließlich Synchronisierungsvorgängen. Im Februar 2019 beginnen die Auditprotokolle mit der Generierung von MailItemsAccessed Audit Records, um den Benutzerzugriff auf Mailings zu protokollieren.

Wenn Sie sich in der Standardkonfiguration befinden, wird die Aktion MailItemsAccessed den Get-mailbox-Konfigurationen unter den Feldern AuditAdmin, AuditDelegate und AuditOwner hinzugefügt. Sobald die Funktion auf Sie ausgerollt ist, sehen Sie, dass die Aktion MailItemsAccessed hinzugefügt wurde und beginnen, Lesezugriffe zu überprüfen.

Diese neue MailItemsAccessed-Aktion wird die MessageBind-Aktion ersetzen; MessageBind ist keine gültige Aktion mehr, die konfiguriert werden muss, sondern eine Fehlermeldung kommt, dass die MailItemsAccessed-Aktion einzuschalten ist. Diese Änderung entfernt die MessageBind-Aktion nicht aus Postfächern, die sie bereits zu ihren Konfigurationen hinzugefügt haben.

Diese Audit-Datensätze fließen zunächst nicht in das Unified Audit Log ein und sind nur im Mailbox Audit Log verfügbar.

Muss man etwas tun?

Es gibt keine Maßnahmen, die ihr ergreifen müsst, um die Sicherheitsvorteile des Lesens von Auditdaten per E-Mail zu nutzen. Die Aktion MailItemsAccessed wird in den Audit-Konfigurationen der Get-Mailbox-Aktion automatisch unter AuditAdmin, AuditDelegate und AuditOwner aktualisiert.

Wenn ihr diese Konfigurationen zuvor festgelegt haben, müssen ihr diese jetzt aktualisieren, um die beiden neuen Postfachaktionen zu überprüfen.

Wenn Ihr  die Mailbox-Überprüfung deaktiviert hat, dann werden Sie die Lesevorgänge für E-Mails nicht überprüfen.

Microsoft 365 Admin Center Neuigkeit

 
Updated feature: Exchange Online mailbox audit to add mail reads by default
MC171679
Prevent or Fix Issues
Published On : January 4, 2019
 
 
 
 
 

 

Rechtliche Auswirkungen

Um so schön diese Änderung in einem ersten Blick aussieht, um so kritischer ist die neue standardmäßige Überwachung von Postfächern. Dies ist in Deutschland nicht einfach erlaubt, deshalb kommt es genau auf die vertraglichen Voraussetzungen im Unternehmen an, ob man die Funktionen deaktivieren muss oder diese laufen lassen kann. 

Hinweise, dass Sie eine rechtliche Prüfung durchführen müssen: (z.B.)

  • private Emailkommunikation ist erlaubt oder wird geduldet
  • Betriebsrahmenvereinbarung
  • Betriebrat hat Einwände bei der Überwachung
  • Datenschutzbeauftragter hat Einwände bei der Überwachung

Deaktivieren der neuen Funktion

 
Wenn Ihr diese neuen Aktion in den Postfächern nicht nutzen möchtet oder könnt, müsst ihr  AuditAdmin, AuditDelegate und AuditOwner auf Ihre gewünschte Konfiguration einstellen und diese im Februar überprüfen!