Governance & Compliance Logo

Governance & Compliance im SharePoint-Umfeld

Aktuell beschäftige ich mich mal wieder ein wenig mehr mit SharePoint Online. Kunden haben Fragestellungen ins Spiel gebracht, für die Teams vielleicht nicht die beste Lösung ist und somit warf ich einen Blick auf Team- und Communication-Sites, wie man sie baut und was man da veranstalten kann.  

Aber wie so häufig (und das ist für meinen Aufgabenbereich zu 80% richtig) immer aus Sicht der Anwender*innen. Und denen ist es meistens ziemlich egal, wie viele Dateien dort abgelegt sind, wie viel Platz sie verbrauchen, wie lange sie dort liegen und auch vielleicht wer darauf Zugriff bekommen könnte. In der Regel reicht ihnen es zu wissen: Hier ist mein Team, der Personenkreis darf damit arbeiten. Erste negatives Rückmeldungen entstehen, wenn es unübersichtlich wird und sich natürlich auch niemand findet, der das Chaos zu bereinigen. Der Platzbedarf steigt, die Kosten dafür auch und wenn mal jemand was sucht, findet er/sie x Versionen, die es erstmal zu validieren gilt: Zeit… Geld… und wenn die Suchanfrage auch noch finanzielle Hintergründe hat #Finanzamt, drohen vielleicht auch noch zusätzliche (Geld)Strafen. 

Spätestens jetzt sollte sich die Geschäftsführung intensiver mit dem Thema beschäftigen und einen Auftrag zu Governance und Compliance an die IT delegieren. Zugriffsrechte, Aufbewahrungspflichten, Archivierung und Löschung unter Berücksichtigung unterschiedlicher Zeiträume gilt es zu definieren, zu standardisieren und idealerweise weitestgehend zu automatisieren. 

Damit die Administration diese Anforderungen nach notwendigen Vorgaben (!) der Geschäftsführung festgelegen kann, sollte sie sich eine Checkliste bereitlegen. Welche Informationen müssen wir aus rechtlichen oder finanzrechtlichen Gründen aufbewahren. Was bewahren wir wie lange auf? Welche Dokumente dürfen auf keinen Fall nach extern freigeben? 

Dazu hat Joanne C. Klein einen tollen Leitfaden zusammengestellt. Mit diesem Post will ich euch einen Überblick über die Inhalte ihrer 4 Kapitel zu Wo? Was? Wie? und Wann? geben. Für mich liefert der Beitrag anschauliche Beispiele, um den Endanwendern nahezubringen, warum wir beim Labeln von Dokumenten so stark auf ihre Hilfe angewiesen sind und wie sinnvoll und nutzbringend das für ihre Arbeit ist. Diese Informationen sind umso hilfreicher, wenn du dich in der Rolle der Geschäftsleitung oder der beratenden IT-Abteilung befindest, die noch nicht recht weiß, wo, was, wie und wann passieren sollte. 

Was ich sehr befürworte, ist die Intention alles mit den Bordmitteln einer Microsoft 365-Subscription umzusetzen. Natürlich bieten Dritthersteller interessante Lösungen, aber da Microsoft selber die Brisanz dieser Themen nachhält, ist eine permanente Weiterentwicklung und Integration in bestehende Service gesichert.  

Das WO? 

Dass wir ein Archiv brauchen, um den Überblick über aktuelle Informationen nicht zu verlieren und trotzdem alles „griffbereit“ haben, ist klar. Über das „Wo“ kann man dann doch etwas länger nachdenken. Wäre es vertretbar, die Informationen in separate Archive zu verbringen? Sie wären damit nicht nur „etwas umständlicher“ zu erreichen, sondern schließen uns vielleicht von Features wie eDiscovery, etc. aus. Oder belassen wir sie in der originalen Site, aber in einer anderen Bibliothek? Denkbar auch die Lösung, sie in einem neuen Verzeichnis innerhalb der originalen Bibliothek unterzubringen! Oder belassen wir alles in-place und wenden die Archivierungsmethoden statt auf Verzeichnisebene gleich direkt auf die einzelnen Dateien an. Jede Möglichkeit hat ihre Existenzberechtigung, aber auch jede setzt weitere Gegebenheiten voraus oder zieht welche nach. 

Das WAS? 

Das WAS ist eher ein „Welche…“. Es geht um Retention – Also, welche Arten von (Nicht) Aufbewahrungsregeln stehen uns zur Verfügung? Regeln wir das über Policies, verwenden wir Retention Labels (mit und/oder ohne Record) oder eine Mischung daraus? Sicher, die IT könnte per Policies Vorgaben sehr einfach umsetzten. Aber normalerweise verfügen nur die Fachbereiche über die notwendigen Informationen, um zu entscheiden, wie mit verschiedensten Informationen umgegangen werden muss. Daher ist in den meisten Fällen damit zu rechnen, dass eine Mischung der Varianten zum Einsatz kommt. 

Damit ist ein erhöhter Schulungsaufwand unausweichlich. Die Mitarbeiter*innen müssen für die ordnungsgemäße Klassifizierung der Dokumente sensibilisiert werden. Nur so werden wir den Anforderungen gerecht und laufen nicht Gefahr bereits getätigte Einstellungen unabsichtlich wieder zurückzunehmen. So gilt es nicht nur zu verstehen, welches Regelwerk angewendet werden soll, sondern auch ab wann „die Uhr tickt“: Erstellungsdatum? Änderungsdatum? Klassifizierungsdatum? 

Ebenso wichtig für das Verständnis von sich ggf. widersprechenden Vorgehensweisen: Was passiert bei Dokumenten mit unterschiedlichen Regeln auf Dokument- und Verzeichnisebene?  

  1. Aufbewahrung geht vor Löschen 
  1. Bei unterschiedlichen Aufbewahrungszeiten gilt die längere Wartezeit 
  1. Explizite Angaben gehen vor generellen Vorgaben 
  1. Bei unterschiedlichen Löschzeiträumen gilt die kürzere Wartezeit 

Auch sollte berücksichtigt werden, dass diese Regelungen immer nur für Inhalte gelten! D.h. auch wenn alle Dateien ordnungsgemäß nach Ablauf der Beibehaltungszeit erfolgreich gelöscht sind, existiert noch immer die aufwendige Verzeichnisstruktur. Auch hier wäre die Planung von Nach- (oder Vor-) Bereitung sinnvoll. 

Das WIE? 

Fünf Wege eine Retention Policy und zehn Wege ein Retention Labels zu vergeben. Das klingst zunächst ganz übersichtlich. Maximal zehn Retention Policies pro Tenant können auf Exchange, SharePoint, OneDrive und Office365 Groups gleichzeitig angewendet werden und wer stattdessen bei den detaillierteren Möglichkeiten ein wenig runterbricht, wird feststellen, dass auch hier weitere Limitierungen existieren. Für Freunde der Kommandozeile ist natürlich auch gesorgt, der Verweis auf die Cmdlets führt dann auch gleich in die Microsoft Docs 

Schön strukturiert wird die Art und Weise der Vergabe eines Retention Label aufgelistet. Von der manuellen Vergabe bis zur PowerShell-Nutzung (inklusive diverser Beispiele) werden die verschiedenen Abstufungen anhand ihrer Pros und Contras miteinander verglichen. Einzelne Betrachtungen sind mit aufschlussreichen Hinweisen versehen (Jeder Nutzer mit der Rolle „Mitwirken“ könnte Labels auch wieder entfernen). Das Kapitel wird abgerundet mit einer tabellarischen Übersicht, in der die Lösungswege und vorausgesetzten Lizenz-Pläne gegenübergestellt werden. 

Man bleibt also der Idee „alles mit Bordmitteln umsetzten“ treu, allerdings stellt sich auch immer wieder die Frage nach den Bordmitteln innerhalb welchen Planes? 

Das WANN? 

Hier gibt es einige Querbezüge zu den Informationen aus dem WAS? denn durch die Wahl der Methode Policies oder Label oder beides, hat man sich ja bereits ein wenig festgelegt. 

Daher werden hier Praxisbeispiele erneut aus den Blickwinkeln „Aufbewahren/Löschen“ nach einem Zeitraum, abhängig von „create/modify“ Datum, betrachtet und wieder mit hilfreichen Ergänzungen versehen. 

Vielleicht hätte man dieses recht kurze Kapitel auch in den WAS-Bereich mit einbeziehen können, aber ich denke, die Praxisbeispiele hätten die Dichte des anderen Kapitels behindert. 

Fazit 

Es gibt viel zu tun, aber auch viel Unterstützung. Mit den aufgezeigten Möglichkeiten bekommt man ein Gefühl für die Thematik und gleichzeitig einen Leitfaden für die Vorgehensweise. Idealerweise stehen diese Überlegungen schon sehr am Anfang, aber die zahlreichen automatisierten Vorschläge dürften auch im Nachhinein viel Arbeit ersparen. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.