[GDPRDemopalooza] Wie kann ich irrtümlich oder unvollständig verschickte Mails einfangen?

Basierend auf der GDPR / DSGVO Demopalooza hier das Demo dazu, wie irrtümlich oder unvollständig verschickte Mails eingefangen werden können.
Credits für die Idee gehen in diesem Fall an meinen Kollegen Andreas Wach.

Wie immer aufgeteilt in zwei Bereiche: Das „Why“ und das „How„.

Why

Jeder kennt diese Situation: Man schreibt eine Mail, fügt einen Adressaten hinzu und klickt auf Senden – genau in dem Moment fällt einem auf: „moment, das war doch der falsche Max Mustermann!“.
Eine Mail an einen falschen Empfänger zu verschicken kann im Worst-Case ein ernsthafter Verstoß gegen die GDPR/DSGVO darstellen und daher muss darauf entsprechend reagiert werden.
Wichtig ist es daher auch, dass auf die entsprechenden Hinweise von Outlook/Exchange entsprechend geschult wird:

Exchange Hinweis: der Empfänger ist nicht Teil der eigenen Organisation.

Oder – ggf. ohne direkten GDPR Bezug – man schreibt eine Mail, schreibt dort hinein „anbei das Dokument ABC, blabla“, drückt dann auf Senden und in dem Moment fällt einem auf: „Mist, ich habe vergessen das Dokument anzuhängen“

Und genau diese oder ähnliche Szenarien lassen sich auf einfachstem Weg einfangen, sofern der Nutzer seinen Fehler kurzfristig merkt.

How

Die Lösung dieses Problems ist sehr simpel: wenn die Mail nicht sofort ausgeliefert würde, sondern z.B. 1 Minute in der Outbox warten würde, dann könnte ein User – sofern er es wie oben beschrieben schnell bemerkt – noch nachträglich Änderungen an der Mail vornehmen, bevor diese überhaupt verschickt wird.

Die Einstellung dafür ist ziemlich einfach, jedoch ist es neben der Einstellung an sich ebenso wichtig und notwendig dem User zu erklären, wie er damit umgehen kann/soll – und, dass das Szenario: „Zwei User unterhalten sich am Telefon: ‚ich schick es dir kurz per Mail‘ … ‚ist noch nicht angekommen’… ‚ist immer noch nicht angekommen, deine Mail nimmt wohl wieder eine Abkürzung über Australien… immer noch nicht da…‘ nicht in dieser Form auftritt.

Die eigentliche Einstellung ist eine Client basierte Outlook Regel in der Form:

Wende diese Regel an wenn ich eine Email versendet habe, bei der ein „@“ in der Empfängeradresse enthalten ist und verzögere den Versand der Mail um 1 Minute.

Eigentlich ganz einfach – nicht sofort erschließt es sich allerdings vielleicht, warum wir die Condition „bei der ein „@“ in der Empfängeradresse enthalten ist“ hinzugefügt haben – das ist allerdings recht leicht verständlich: dadurch wird diese Regel nur bei externen Emails angewendet und das oben skizierte Verhalten mit dem „…immer noch nicht da…“ entfällt dann zumindest für die internen Mails, wo ich ansonsten ggf. noch die Möglichkeit habe Emails zurückzurufen oder durch andere Möglichkeiten die Weitergabe von PII entsprechend zu reglementieren oder ggf. einfach auch löschen zu lassen.

Das Vorgehen dazu ist simpel:

  1. Klicken auf „Rules“/“Regeln“ im Outlook UI:
Regeln bearbeiten in Outlook
  1. Klicken auf „Manage Rules & Alerts…“ / „Regel verwalten…“:
  2. Klicken auf „New Rule“ / „Neue Regel“
Neue, leere Regel erstellen
  1. Klicken auf „Apply rule on messages I send“ + „Next“
  2. Klicken auf „…with specific words in recipients address“
  3. Klicken auf „specific words“ und Eingabe von „@“ (natürlich ohne die „) + „Ok“ + „Next“
@ als Char/String für die Identifizierung von Mails nach Extern
  1. Klicken auf „defer delivery by a number of minutes“

  1. Klicken auf „a number“ und Angabe der gewünschten Zeitdauer, best practice ist hier 1 Minute – bei der asynchronen Kommunikation via Email ist 1 Minute verkraftbar + „Ok“ + „Finish“
Übersicht über die komplette Regel

Und jetzt kommt die Königsdisziplin – per UI ist das ja ganz nett, wenn ich aber mein Unternehmen durch einen solchen Schritt näher an eine GDPR Compliance, bzw. weit entfernt von GDPR Verstößen bringen möchte, dann sollte ich dies natürlich entsprechend zentral deployen. Hier bietet sich die Powershell an, nur leider habe ich noch kein CMDLet für „new-outboxrule“ gesehen. [FYI: für inbox rules gibt es im Exchange das cmdlet „new-inboxrule“ bzw. „get-“ und „remove-„]

Falls also jemand eine gute und einfache Möglichkeit kennt, wie man diese Regel deployen kann, der möge mir bitte einen Tipp geben und ich nehme das dann gerne auf – auch gerne mit Namensnennung, falls gewünscht.

Schreibe einen Kommentar