Slack Richtlinien für die Datenaufbewahrung
Richtlinien zur Datenaufbewahrung in Slack: Risiken und Compliance
Wichtige Punkte
- Dieser Blog wurde ursprünglich auf der Aware-Website veröffentlicht, aber mit der Übernahme von Aware durch Mimecast stellen wir sicher, dass er auch für Besucher der Mimecast-Website zugänglich ist.
- Aufbewahrungsrichtlinien helfen dabei, die gesetzlichen Anforderungen für elektronische Kommunikation zu erfüllen.
- Slack-Daten können sensible Informationen enthalten, die ein Risiko darstellen, wenn sie nicht ordnungsgemäß aufbewahrt werden.
Die Datensicherung ist ein wichtiger Aspekt der Unternehmensführung am modernen digitalen Arbeitsplatz. Der Aufstieg von Plattformen für die Zusammenarbeit wie Slack hat die Kommunikation in Unternehmen revolutioniert. Die Verwaltung von Daten innerhalb dieser Plattformen ist jedoch eine differenzierte Aufgabe, die ein tiefes Verständnis der Richtlinien zur Datenaufbewahrung, der Compliance und der damit verbundenen Risiken erfordert.
Warum sind Richtlinien zur Datenaufbewahrung wichtig?
Die digitale Transformation brachte einen nie dagewesenen Zustrom von Daten mit sich, und nicht alle davon sind für das Unternehmen gleich wertvoll. Richtlinien zur Datenaufbewahrung ermöglichen es Unternehmen, ihren Informationen einen Wert zuzuweisen, so dass sie fundierte Entscheidungen darüber treffen können, was aufbewahrt und was gelöscht werden soll.
Robuste Richtlinien zur Datenaufbewahrung können Unternehmen auch dabei helfen, die gesetzlichen Verpflichtungen zur Aufbewahrung oder Löschung sensibler Informationen zu erfüllen. In den Vereinigten Staaten verlangt die Securities and Exchange Commission beispielsweise von Finanzinstituten, bestimmte Arten von Daten sieben Jahre lang aufzubewahren. Das Verständnis der Daten, über die Sie verfügen, ist für diesen Prozess von grundlegender Bedeutung, insbesondere für Unternehmen in stark regulierten Branchen oder solche, die routinemäßig mit sensiblen oder eingeschränkten Informationen umgehen.
Aufbewahrungsrichtlinien sind ein wichtiger erster Schritt in jedem Workflow zur Einhaltung von Vorschriften oder zur Vermeidung von Datenverlusten und unterstützen zusätzliche Funktionen für Teams im gesamten Unternehmen, einschließlich eDiscovery und andere rechtliche Prozesse.
Gelten für Slack die Vorschriften zur Datenspeicherung?
Aufsichtsbehörden wie die SEC und FINRA haben durch Bußgelder und Strafen deutlich gemacht, dass die Aufbewahrungsfristen für stark regulierte Unternehmen gleichermaßen für alle Formen der Unternehmenskommunikation gelten, einschließlich Collaboration-Tools wie Slack. Neue Vorschriften wie SEC 17a-4 verdeutlichen diese Position weiter und bekräftigen, dass die betroffenen Unternehmen über eine proaktive Lösung verfügen müssen, um eine vollständige Aufzeichnung aller elektronischen Kommunikationen zu erstellen, unabhängig davon, wo sie stattfinden.
Welche Risiken stecken in den Slack-Daten?
Jedes Unternehmen hat mit sensiblen Daten zu tun, und diese Informationen werden unweigerlich über Collaboration-Tools wie Slack ausgetauscht. Zu den häufigsten Arten von sensiblen Daten, die in Slack geteilt werden, gehören persönlich identifizierbare Informationen (PII), geschützte Gesundheitsinformationen (PHI) und Zahlungskarteninformationen (PCI). Unsere Untersuchung zeigt, dass 1 von 17 Slack-Nachrichten sensible Daten wie z.B. personenbezogene Daten enthält. Ohne einen Plan zur Identifizierung und Sicherung dieser Daten könnten sie von Hackern oder anderen böswilligen Akteuren kompromittiert werden.
Außerdem zeigt die Analyse von Mimecast Aware, dass Benutzer häufig sensible Unternehmensdaten auf Slack teilen. Ein Unternehmen nutzte Mimecast Aware, um über 20.000 Fälle zu identifizieren, in denen Kreditkartennummern von Kunden in Collaboration-Tools weitergegeben wurden. Dies brachte das Unternehmen in die Gefahr, vom PCI Standards Council (PCI SSC) belangt zu werden. Bei Verstößen drohen Geldstrafen von bis zu 100.000 Dollar pro Monat.
Es sind jedoch nicht nur regulierte Daten, die ein Risiko für Unternehmen darstellen können. Unternehmensgeheimnisse, geistiges Eigentum und sogar zwischenmenschliche Konflikte sind in Messaging-Tools wie Slack enthalten und können dazu führen, dass das Unternehmen finanzielle Verluste erleidet und rechtliche Schritte einleitet. Die Verwaltung der Vorratsdatenspeicherung in Slack erfordert auch das Verständnis und die Abmilderung dieser Verbindlichkeiten.
Speichert Slack standardmäßig Daten?
Slack speichert die Daten von kostenlosen Plänen bis zu einem Jahr. Danach werden sie gelöscht und können möglicherweise nicht wiederhergestellt werden. Bei kostenpflichtigen Tarifen speichert Slack alle Benutzerdaten für die Lebensdauer des Kontos gemäß den Standardeinstellungen, sofern keine anderen Anweisungen erteilt werden. Das bedeutet jedoch nicht, dass alle verfügbaren Daten für Slack-Administratoren sofort zugänglich sind. Workspace-Administratoren von Konten mit niedrigerem Status müssen oft eine Petition bei Slack einreichen, um Zugriff auf Benutzerdaten aus privaten und eingeschränkten Slack-Kanälen zu erhalten, oder auf Daten, die älter als 90 Tage sind. Bevor Slack dieser Bitte nachkommt, benötigt es einen zwingenden rechtlichen Grund und kann die Benutzer benachrichtigen, wenn ihre Daten an Administratoren weitergegeben werden.
Slack Datenaufbewahrungsoptionen nach Kontotyp
| Gratis-Pläne | Pro | Business+ & Enterprise Grid | |
| Alle Nachrichten aufbewahren (keine Revisionen) | X* | X | X |
| Alle Nachrichten aufbewahren (mit Überarbeitungen) | X | X | |
| Nach 90 Tagen löschen | X | ||
| Löschen nach benutzerdefinierter Zeit | X | X | |
| Politik auf Mitgliedsebene | X | X | |
| Richtlinien auf Verwaltungsebene | X |
*Die Daten des kostenlosen Plans werden von Slack bis zu einem Jahr lang gespeichert.
Slack bietet eine Reihe von anpassbaren Optionen für die Datenspeicherung, je nach Tarif. Bei den Slack-Tarifen Free und Pro können Administratoren wählen, ob sie alle Nachrichten und Dateien auf unbestimmte Zeit aufbewahren oder nach einem bestimmten Zeitraum löschen möchten. Bei den Plus- und Enterprise-Grid-Tarifen können Administratoren außerdem wählen, ob sie Nachrichten und Dateien je nach Channel-Typ und anderen Kriterien behalten oder löschen möchten. Slack-Benutzer in kostenpflichtigen Tarifen haben auch die Möglichkeit, ihre eigenen Einstellungen für die Aufbewahrung von Nachrichten in privaten Kanälen und DMs zu konfigurieren, eine Funktion, die als Member Overrides bekannt ist. Bei den Business+ und Enterprise Grid-Tarifen können die Eigentümer von Arbeitsbereichen auch benutzerdefinierte Richtlinien zur Aufbewahrung von Nachrichten für einzelne Kanäle festlegen (Admin Overrides).
Um die Aufbewahrungsrichtlinien in einem Slack-Arbeitsbereich ordnungsgemäß durchzusetzen und die vollständige Kontrolle über alle darin enthaltenen Daten zu behalten, benötigen Sie einen Business+ oder Enterprise Grid Slack-Plan, da diese Stufen granulare Arbeitsbereichseinstellungen für die Aufbewahrung unterstützen. Um noch mehr Kontrolle über die Slack-Datenaufbewahrung zu erhalten, sollten Administratoren den Einsatz eines Slack-Aufbewahrungstools eines Drittanbieters wie Aware in Betracht ziehen.
Sind gelöschte Slack-Nachrichten wiederherstellbar?
Nein, gelöschte Slack-Nachrichten sind standardmäßig nicht wiederherstellbar. Dies ist wichtig zu wissen, da Benutzer (auch als Betreuer bekannt) ihre Slack-Nachrichten jederzeit bearbeiten oder löschen können. Ohne eine Richtlinie zur Datenaufbewahrung, die speziell Überarbeitungen und Löschungen erfasst, könnten diese Nachrichten für immer verloren sein.
Sollten Admins alle Slack-Daten aufbewahren?
Die meisten Slack-Daten sind von geringer Qualität und stellen an sich kein großes Risiko für das Unternehmen dar. Die Aufbewahrung all dieser Daten kann jedoch zu einem erhöhten Risiko führen, allein aufgrund des Volumens, in dem sie erstellt werden - im letzten Jahr haben Mitarbeiter über 18 Billionen Nachrichten in Collaboration-Tools verschickt. Dies kann es den Rechts- und Compliance-Teams erschweren, bei internen Prüfungen, Untersuchungen und eDiscovery die "Nadel im Heuhaufen" zu finden.
Für Unternehmen in stark regulierten Branchen sind in den Vorschriften der FINRA, der SEC und ähnlicher Organisationen oft Mindestaufbewahrungsrichtlinien für alle elektronisch gespeicherten Informationen, einschließlich Slack-Daten, festgelegt. Die Nichteinhaltung dieser Anforderungen kann zu hohen Geldstrafen und Bußgeldern führen. Und selbst für Unternehmen außerhalb dieser Branchen gibt es oft Datenschutzanforderungen zum Schutz und zur Sicherung sensibler Informationen wie PII/PHI/PCI, die erfüllt werden müssen.
Diese konkurrierenden Anforderungen an das Unternehmen - sowohl die Gefährdung durch große Datenmengen zu begrenzen als auch die gesetzlichen Verpflichtungen zur Aufbewahrung von Daten zu erfüllen - stellen die Betreiber von Collaboration Workspaces vor neue Herausforderungen. Mit der KI-Datenplattform von Aware können Administratoren ihre Risiken in diesem Datenbestand schneller und einfacher einschätzen, gesetzliche Aufbewahrungsfristen und -einstellungen durchsetzen, die den gesetzlichen Anforderungen entsprechen, und ihre Daten verwertbar machen.
Häufige Herausforderungen bei der Datenspeicherung in Slack
- Mangelnde Sichtbarkeit: Slack-Administratoren können möglicherweise nicht alle Nachrichten sehen, die in ihrem Arbeitsbereich geteilt werden, insbesondere wenn sie den kostenlosen oder Standard-Slack-Tarif nutzen.
- Mangelnde Kontrolle: Benutzer können ihre eigenen Nachrichten jederzeit löschen, was die Datenkontrolle erschwert.
- Daten-Wildwuchs: Slack-Daten können über öffentliche Kanäle, private Kanäle, Direktnachrichten und Dateien verteilt sein. Dies kann es schwierig machen, Daten effektiv zu verwalten und aufzubewahren.
- Einhaltung gesetzlicher Vorschriften: Unternehmen müssen eine Vielzahl von Vorschriften zur Aufbewahrung von Nachrichten und Dateien einhalten, die komplex und schwer zu verwalten sein können.
- Integrationsprobleme: Um die Kontrolle über sensible Informationen zu behalten, müssen Sie verstehen, wie mit Slack verbundene Drittanbieteranwendungen auf Daten zugreifen und diese speichern.
Wie Mimecast die Datenspeicherung für Slack unterstützt
Mimecast Aware vereinfacht die Datenaufbewahrung in komplexen Collaboration-Datensätzen wie Slack und unterstützt Administratoren dabei, das Risiko und den Wert der Daten, die sie besitzen, richtig einzuschätzen. Aware lässt sich über native APIs und Webhooks mühelos mit Slack verbinden, um eine Echtzeitaufzeichnung aller Nachrichten, einschließlich Revisionen und Löschungen, aufzunehmen und sie in einem vertretbaren, unveränderlichen Archiv zu sichern. Durch die Anreicherung jeder Nachricht mit KI-Metadaten ermöglicht es Aware Administratoren sowie Compliance- und Rechtsteams, Slack-Nachrichten schnell zu durchsuchen, zu sortieren und zu veröffentlichen, um interne Untersuchungen zu beschleunigen und die Einhaltung gesetzlicher Vorschriften zu unterstützen.
Die intelligenten Workflow-Automatisierungen von Mimecast Aware können mit Hilfe von branchenführender natürlicher Sprachverarbeitung und Stimmungsanalyse-Modellen, die alle führenden Wettbewerber übertreffen, Fälle von unerlaubtem Austausch sensibler und vertraulicher Informationen in Slack erkennen. Mit Mimecast Aware können Workspace-Administratoren ihr gesamtes Collaboration-Ökosystem von einer single, zentralisierten Plattform aus steuern, die ihnen eine granulare Kontrolle der Datenaufbewahrung ermöglicht.
Erstmals veröffentlicht Nov. 2023. Aktualisiert am Jun. 2024.
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!