Julian Kusenberg IT Beratung

Beweissicherung bei Dateiaktivitäten: Was Microsoft jetzt ermöglicht

von

Julian Kusenberg
in ,

In der Welt der Data Loss Prevention (DLP) ist Präzision alles. Umso spannender ist eine neue Funktion in Microsoft Purview, mit der sich Originaldateien als Beweismittel sichern lassen – ein echter Gamechanger für forensische Analysen. 🔐💻

🔍 Was ist neu?

Seit Kurzem können Unternehmen eine sogenannte Beweissammlung (Evidence Collection) für Dateiaktivitäten auf Endgeräten aktivieren. Dabei speichert Microsoft im Hintergrund eine Kopie der Originaldatei, wenn eine DLP-Regel greift – zum Beispiel beim Kopieren auf ein USB-Laufwerk oder beim Upload in die Cloud.

Diese Funktion ist aktuell im Preview-Modus und speziell für Endpoint DLP vorgesehen.

📦 Was genau wird gespeichert?

Wenn eine konfigurierbare Dateiaktivität ausgelöst wird (z. B. „Kopieren auf externen Datenträger“), kann nun zusätzlich zur standardmäßigen Protokollierung auch die Originaldatei als Nachweis gesichert werden. Diese landet verschlüsselt im Microsoft-verwalteten Beweis-Store – auf Wunsch kann auch ein kundeneigener Store verwendet werden.

Du kannst außerdem bestimmen, wie lange die Datei auf dem Gerät zwischengespeichert wird (z. B. 30, 60 oder 90 Tage).

⚙️ Wo wird das konfiguriert?

Die Konfiguration erfolgt nicht in der einzelnen DLP-Richtlinie, sondern zentral in den globalen Endpoint DLP-Einstellungen.

👉 Das bedeutet konkret:

  • Die Beweissammlung gilt tenantweit – sie lässt sich nicht pro Benutzer oder Regel gezielt aktivieren.
  • Wenn sie aktiv ist, greift sie für alle DLP-Richtlinien mit Dateiaktionen auf unterstützten Geräten.
  • Ein granulareres Targeting (z. B. nur für bestimmte Gruppen oder Richtlinien) ist aktuell nicht möglich.

🛡 Warum ist das wichtig?

Diese Funktion bringt echte Vorteile – gerade in Szenarien mit internen Ermittlungen, Data Breaches oder Compliance-Audits:

Volle Nachvollziehbarkeit: Admins können die exakte Datei einsehen, die im Rahmen einer Regel verwendet wurde

Schnellere Analyse: Im Streitfall oder bei Verdachtsmomenten liegt die Originaldatei bereits sicher vor

Erhöhte Sicherheit: Die Beweissicherung erhöht die Qualität von internen Untersuchungen deutlich

⚠️ Was du beachten solltest

Diese Funktion ist mächtig, aber sie bringt auch Verantwortung mit sich:

  • Klare Kommunikation an betroffene Benutzer ist Pflicht
  • Die Speicherung sensibler Inhalte als Beweis muss gut abgesichert und dokumentiert sein

✨ Fazit

Die Beweissammlung für Dateiaktivitäten ist ein echter Fortschritt – und bringt Endpoint DLP auf ein neues Level. Für Unternehmen, die DLP nicht nur als Kontroll-, sondern auch als Nachweisinstrument verstehen, ist diese Funktion ein echter Gewinn.

Aber: Die globale Aktivierung ohne Regel-Fokus ist noch ein Limit. Wer hier mehr Steuerung braucht, sollte Feedback an Microsoft geben oder mit technischen Workarounds arbeiten.

Wenn du wissen willst, wie du das Feature sauber einsetzt oder ob es für deine Organisation sinnvoll ist, melde dich gern bei mir. 📬

Learn about collecting files that match DLP policies from devices | Microsoft Learn

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert