Electronic Discovery Reference Model in Microsoft 365
Juan Antonio Calles
EDRM bietet einen weithin anerkannten Rahmen zur strukturierten Verwaltung digitaler Beweise während Audits, Rechtsstreitigkeiten oder internen Untersuchungen. Dieses Modell definiert neun Schlüsselphasen, die die Nachvollziehbarkeit und Gültigkeit elektronischer Informationen sicherstellen: Informationsverwaltung, Identifikation, Erhaltung, Sammlung, Verarbeitung, Überprüfung, Analyse, Produktion und Präsentation.
Microsoft hat diese Phasen in seine Lösung Purview eDiscovery integriert, sodass juristische Teams und forensische Experten den gesamten Untersuchungszyklus innerhalb der Microsoft 365-Umgebung durchführen können. Diese Integration reduziert Risiken, hält die Beweiskette intakt und sorgt für umfassende Nachvollziehbarkeit.
Forensische Untersuchung Schritt für Schritt
1. Erstellung des Falls und Identifizierung der Verwahrer
Alles beginnt mit der Eröffnung eines "Falls" in Purview, einer logischen Einheit, die Aktivitäten, Beweise und zugehörige Benutzer zusammenfasst. Anschließend werden die Verwahrer identifiziert, also die Mitarbeiter, deren Kommunikation oder Dateien analysiert werden müssen.
2. Rechtliche Aufbewahrung: Aktivierung des "Legal Hold"
Mit dem "Legal Hold" werden die Daten der Verwahrer in ihrem ursprünglichen Zustand eingefroren, wodurch eine Änderung oder Löschung verhindert wird, selbst wenn der Benutzer versucht, den Inhalt zu verändern. Diese Aktion wird automatisch dokumentiert und gewährleistet Nachvollziehbarkeit.
3. Intelligente Datenerfassung
eDiscovery ermöglicht den Einsatz fortgeschrittener Filter und der KQL-Sprache, um relevante Informationen anhand von Schlüsselwörtern, Daten, Absendern oder spezifischen Mustern auszuwählen.
4. Verarbeitung und Duplikaterkennung
Purview Premium bietet erweiterte Funktionen zur Volumenreduzierung durch Duplikaterkennung, was die nachfolgende Analyse erleichtert.
5. Rechtliche Überprüfung und forensische Analyse
Daten können mit Tools wie E-Mail-Threading und Entitätenanalyse markiert, gefiltert und analysiert werden, um Schlüsselbeziehungen zu identifizieren.
6. Export und Dokumentation
Die Beweise werden in Formaten wie PST oder EML exportiert, mit einem Integritätsmanifest (Hashes, Metadaten, Protokolle), das die Beweiskette garantiert.
7. Präsentation vor Gericht oder bei einer Prüfung
Purview erleichtert technische und rechtliche Berichte, die als Beweismittel vor Gericht verwendet werden können und deren Beweiskraft stärken.
Lizenzierung
Was sind die Unterschiede zwischen eDiscovery Standard und Premium?
- eDiscovery (Standard): Mehr auf grundlegende Untersuchungen ausgerichtet. Beinhaltet Suche, rechtliche Aufbewahrung und eingeschränkten Export.
- eDiscovery (Premium): Beinhaltet Massenverarbeitung, erweiterte Überprüfung, intelligente Analyse und Kontrolle des Rechtsflusses.
Mit Purview ist kein Export zum Analysieren notwendig: alles geschieht in einer sicheren und nachvollziehbaren Architektur, ohne die Integrität der Beweise zu gefährden. Microsoft agiert als vertrauenswürdiger Dritter und garantiert, dass die Daten bis zum formellen Export intakt bleiben.
Fazit
Microsoft Purview eDiscovery (Premium) stellt einen Paradigmenwechsel in der forensischen Analyse in der Cloud dar. Dank seiner Ausrichtung am EDRM-Modell ermöglicht es effizientes technisches Arbeiten und rechtliche Solidität. Für digitale Sachverständige und regulierte Organisationen ist dieses Tool zu einem unverzichtbaren Standard geworden.
Wenn du mehr über das Thema lernen möchtest, empfehle ich dir mein neues Buch (kostenlos), Forensische Analyse von E-Mails in Office 365, welcher du kannst über diesen Link herunterladen.
Grüße!
