Sie sind hier: Home » Fachartikel » Hintergrund

Compliance bei der E-Mail-Archivierung wahren


Worauf es bei einer gesetzeskonformen E-Mail-Archivierung wirklich ankommt
Ein E-Mail-Archiv benötigt Sicherheitsfunktionen, die eine Manipulation oder ein versehentliches Löschen von Nachrichten verhindern


Autor Matthias Hintenaus:
Autor Matthias Hintenaus: "Auch IT-Leiter müssen bei fahrlässiger Handlungsweise mit rechtlichen Konsequenzen rechnen", Bild: Atempo

Von Matthias Hintenaus, Managing Director Northern & Central Europe, Atempo

(24.11.08) - Die Archivierung unternehmenskritischer Daten ist immer eine Herausforderung für IT-Verantwortliche – egal ob E-Mails oder Files. Durch eine regelrechte Explosion von Messaging-Daten und die immer schärfer werdenden gesetzliche Vorgaben stellt der elektronische Briefverkehr jedoch zusätzliche Anforderungen an E-Mail-Archivierungslösungen. Doch auf welche Kriterien müssen IT-Verantwortliche und Entscheider eines Unternehmens beim Kauf einer Archivierungssoftware achten, damit eine gesetzeskonforme Ablage der E-Mails gewährleistet ist?

Ohne E-Mails geht heute nichts mehr – sie ist eine der wichtigsten und am besten überwachten Anwendungen im Unternehmen. Doch die digitale Post hat die Unternehmenskommunikation nicht nur vereinfacht, sie ist aus juristischer Sicht nicht ganz unproblematisch und lässt die Speicherstrukturen volllaufen. Der Speicherbedarf im Messaging-Bereich wächst jedes Jahr um durchschnittlich 24 Prozent – Tendenz steigend. IT-Administratoren stehen vor der Herausforderung, trotz stetig wachsenden E-Mail-Volumens die Betriebskosten für Server zu minimieren und den Mailbox-Speicherplatz der Mitarbeiter trotzdem möglichst gering zu halten. Die größte Herausforderung besteht jedoch darin, die E-Mails den gesetzlichen Anforderungen entsprechend zu archivieren.

Elektronische Dokumente haben innerhalb der letzten Jahre eine enorme Bedeutung bei der Beweisführung für zivil- und strafrechtliche Gerichtsverfahren erlangt. Im Rahmen von eDiscovery müssen sämtliche elektronische Daten wie E-Mails, Instant Messages oder elektronische Kalendereinträge innerhalb einer festgelegten, unveränderbaren Frist lückenlos aufgefunden werden. Ist dies nicht möglich, drohen empfindliche Geld- und Haftstrafen. Das Bewusstsein dafür ist bei den meisten Unternehmen bereits vorhanden, doch vielerorts bestehen noch erhebliche Lücken im Archivierungssystem.

Professionelle E-Mail-Archive sorgen für eine gesetzeskonforme und gleichzeitig kostengünstige Sicherung der Daten, die den Geschäftsprozessen individuell angepasst und als Basis für unternehmensinternes Wissensmanagement genutzt werden kann. Dass die E-Mail-Archivierungssoftware mit der vorhandenen Infrastruktur – sei es Mailserver, Betriebssystem, Datenbanken oder Speicherlösungen – kompatibel sein sollte, dass sie schnell zu implementieren, in gängige Mailprogramme integrierbar und einfach zu handhaben ist - versteht sich von selbst. Doch was sind darüber hinaus die wichtigsten Kriterien, die eine E-Mail-Archivierungssoftware mitbringen muss, damit Daten revisionssicher abgelegt werden?

Datenmigration und -reduktion
Die meisten E-Mails werden vom Anwender bereits nach wenigen Tagen nicht mehr gebraucht und besetzen auf dem E-Mail-Server, der in der Regel mit leistungsstarken, teuren Plattensystemen konfiguriert ist, nur unnötig Speicherplatz. Die ausgewählte E-Mail-Archivierungslösung sollte deshalb eine einfache und proaktive Migration von E-Mail-Dateien durch entsprechende Automatismen und Regeln auf eine Archivierungsplattform gewährleisten, die kostengünstiger und einfacher zu warten ist. Während die IT-Verantwortlichen dadurch von einer drastischen Senkung der Server-Betriebskosten profitieren, freuen sich die Anwender über quasi unbegrenzten Speicherplatz.

Es sollte jedoch darauf geachtet werden, dass die Migration auf die nächste Speicherstufe jederzeit den individuellen Anforderungen der IT-Infrastruktur eines Unternehmens angepasst werden kann. Keinesfalls sollte der Transfer zu große Datenmengen umfassen, um die Leistung von Netzwerk und Speicher nicht zu überlasten und um keine Datenausfälle zu riskieren. Zur Ressourcenschonung tragen auch Features wie Datendeduplizierung, Single-Instance-Speicher und Komprimierung bei, die Speicherplatz im Archiv sparen. Single-Instance-Speicherung bedeutet, dass jede Datei nur einmal im Archiv abgelegt wird, während bei der Deduplizierung ein Algorithmus nach sich wiederholenden Elementen im Datenstrom sucht. Eine Komprimierung der E-Mails stellt eine Veränderung der Daten dar und darf deshalb gemäß gesetzlichen Vorgaben erst nach der Deduplizierung bei der Sicherung der Daten erfolgen.

Indexierung
Es reicht allerdings bei Weitem nicht aus, ältere E-Mails einfach nur möglichst Speicherplatz sparend ins Archiv zu verschieben, um den gesetzlichen Anforderungen zu genügen. Eine sinnvolle E-Mail-Archivierungslösung muss auch die Möglichkeit bieten, bereits abgelegte E-Mails möglichst problemlos und schnell wiederzufinden, wenn dies notwendig wird. Eine einfache Suchmaske mit Suchkriterien wie Datum, Sender/Empfänger und Text genügt dabei oft nicht. Eine E-Mail besteht aus zahlreichen Bestandteilen wie Betreff, Adressat, Textkörper, Namen von Dateianhängen oder Daten und Metadaten der Anhänge, weshalb es wenig Sinn macht, die E-Mail als Komplettpaket zu behandeln. Unter Umständen erinnert sich ein Mitarbeiter bei der Suche nur noch an eine dieser Komponenten. Erfolgt eine Indexierung des Inhalts anhand der gesamten Mail, läuft der Suchvorgang ins Leere.

Ein Archivierungs-Tool sollte deshalb zusätzlich zur Indexierung des Volltextes jede Komponente einer E-Mail einzeln indizieren. Diese separate Indexierung erlaubt Anwendern, Administratoren und Wirtschaftsprüfern die Recherche nach spezifischen Kriterien über den gesamten Archivierungszyklus hinweg – beispielsweise nach internen und externen Mails, verschiedenen E-Mail-Adressen pro User, Mailgröße, Abteilung oder Verteilern. So ist das Auffinden von E-Mails und deren Anhängen zu konkreten Themen und Projekten oder auf einer bestimmten Abteilungsebene kein Problem. Bei umfassenden Archivierungslösungen werden diese Kriterien nicht nur für die Suche, sondern unter anderem auch bei der Klassifizierung, der Zuordnung von Aufbewahrungsrichtlinien, der Vorfilterung von E-Mails zur Kategorisierung, bei automatischen Löschvorgängen oder hierarchischem Speichermanagement verwendet.

Skalierbarkeit und Flexibilität
Skalierbarkeit und Flexibilität Archivierungssoftware sollte mit hohen Datendurchsätzen von mehreren hundert Gigabyte zurechtkommen, Bild: Atempo

Compliance, eDiscovery und interne Richtlinien
Seit der Gleichstellung der E-Mail mit dem traditionellen Geschäftsbrief im Jahr 2002 sind alle Unternehmen verpflichtet, den Finanzbehörden die steuerrechtlichen und geschäftsrelevanten Dokumente auf Verlangen über einen Zeitraum von mindestens zehn Jahren, in manchen Fällen sogar bis zu dreißig Jahren bereitzustellen. Können geforderte E-Mails nicht innerhalb von 100 Tagen nach Einreichung einer Zivilklage vorgelegt werden, muss ein Unternehmer mit einer Geldstrafe oder einer Freiheitsstrafe von bis zu zwei Jahren rechnen. Auch IT-Leiter müssen bei fahrlässiger Handlungsweise mit rechtlichen Konsequenzen rechnen. Ein schnelles Wiederauffinden von E-Mails erhöht also nicht nur die Produktivität der Mitarbeiter, sondern spart auch Prozesskosten und wendet erhebliche wirtschaftliche Schäden vom Unternehmen ab.

Damit E-Mails in Rechtsstreitigkeiten als Beweisstück dienen können, müssen sie jedoch eindeutig einem Absender zugeordnet werden können (Authentizität) – durch eine qualifizierte elektronische Signatur gemäß Signaturengesetz – und es muss gewährleistet sein, dass sie seit ihrer Erstellung nicht verändert wurden (Integrität). Deshalb benötigt ein Archiv Sicherheitsfunktionen, die eine Manipulation oder ein versehentliches Löschen von Nachrichten verhindern. Dafür sorgen Authentifizierungs-Tools, die regeln, welche Personen auf die Archivdaten zugreifen können. Zugriffe und Aktionen zu einer bestimmten Mail müssen sich zuordnen und verfolgen lassen. Dazu gehört auch eine Auflistung von automatischen Prozessen wie Migration oder gesetzlich vorgeschriebene Löschvorgänge.

Zusätzlich sollte die Archivierungssoftware unterschiedliche Richtlinien für die Datenaufbewahrung je nach den gesetzlichen Anforderungen für jede Kommunikationsart ermöglichen. Das garantiert Unternehmen, dass die Archive immer auf dem aktuellen Stand sind und nur Dokumente enthalten, die wirklich noch benötigt werden. Die Richtlinien und Aufbewahrungsvorschriften sollten proaktiv gleich bei der Archivierung oder auch nachträglich zu einem späteren Zeitpunkt angewendet beziehungsweise verändert werden können. Für eine umfassende Überwachung interner und gesetzlicher Vorschriften durch Richtlinienbeauftragte sorgen im Idealfall zusätzlich Module zur Auditkontrolle und Nachverfolgung elektronischer Kommunikation. Für Administratoren hingegen stehen Reportingfunktionen im Vordergrund, mit denen sie den Überblick über die Anzahl der archivierten Mails und deren Anhänge sowie deren Größe behalten. Ebenso muss er damit Zugriffsanforderungen und Service-Level bestimmen und verwalten können.

Skalierbarkeit und Flexibilität
Die Anschaffung einer E-Mail-Archivierungslösung ist im besten Fall eine langfristige Investition – egal ob kleines, mittelständisches oder Großunternehmen. Im Laufe der Zeit wird es durch den rapiden Anstieg unstrukturierter Daten unweigerlich zu zusätzlichem Bedarf an Speicherplatz kommen, die Zahl der Mitarbeiter und mit Ihnen die Zahl der Mailboxen können steigen oder neue Server hinzugekauft werden. Die Archivierungssoftware sollte diesen Herausforderungen gewachsen sein und mit hohen Datendurchsätzen von mehreren hundert Gigabyte zurechtkommen, um bestehende Service-Level-Agreements einzuhalten oder sogar zu verbessern.

Das kann gewährleistet werden, indem nur die Metadaten der E-Mails in relationalen Datenbanken gespeichert und die E-Mail-Daten direkt auf Speichermedien verschoben werden. Das Resultat ist nicht nur eine schlanke und effiziente Datenbank, sondern auch ein geringer Ressourcenbedarf sowie kurze Archivierungs- und Wiederherstellungszeiträume. Ebenso wichtig ist, dass die Lösung verschiedene E-Mail-Systeme unterstützt. So lohnt sich die Investition auch, wenn im Rahmen von Unternehmensakquisitionen das E-Mail-System der übernommenen Firma in die vorhandene Datensicherungsstrategie integriert werden soll.

Trend: Integrierte Archivierungslösung
Generell gilt: Die E-Mail-Archivierung sollte als Teil des unternehmensweiten Datenschutzes gesehen werden und in das produktive Umfeld des Unternehmens einbezogen sein. Denn die Migration der Daten ins Archiv ist neben der Backup-Strategie, den Recovery-Vorgaben und den Datenwiederherstellunsverfahren einer der wichtigsten Bestandteile des Information Lifecycle Managements im Unternehmen. Das Ziel ist es, Informationen über alle Datentypen, über jedes System und über jedes Stadium im Informationslebenszyklus hinweg in ihrem Zusammenhang einfach und schnell recherchieren zu können. Der Trend geht deshalb weg von einer separaten E-Mail- hin zu einer kombinierten File- und E-Mail-Archivierung, die unter anderem auch die langfristige Aufbewahrung sämtlicher anderer elektronischer Kommunikation wie Instant Messages oder Faxe beinhaltet. Neben einer gesetzeskonformen Archivierung sämtlicher Unternehmenskommunikation hat das einen weiteren Vorteil: Unternehmensarchive enthalten eine Fülle an Informationen, die als Basis für strategische und operative Entscheidungen genutzt werden können.

Manche Archivierungslösungen bieten als i-Tüpfelchen deshalb integrierte Data-Mining- und Business-Intelligence-Tools, um im Archiv schlummernde Wissensressourcen in Form von unstrukturierten Daten für das Unternehmen ausfindig zu machen. Beispielsweise kann die Vertriebsabteilung mit Hilfe von E-Mail-Nutzerstatistiken Möglichkeiten zu Cross- oder Upselling ausfindig machen. Mit der richtigen Archivierungssoftware können also nicht nur die Unternehmensrisiken durch Nichteinhaltung gesetzlicher Anforderungen sowie Kosten gesenkt und die Produktivität der Mitarbeiter gesteigert werden – richtig eingesetzt sorgt eine umfassende E-Mail-Archivierungslösung auch für die Optimierung von Geschäftsprozessen. (Atempo: ra)



Meldungen: Hintergrund

  • Datennutzung und ethische Verantwortung

    Große Datenmengen und die Erkenntnisse, die darin verborgen liegen, sind aus der deutschen Wirtschaft nicht mehr wegzudenken. Wie eine Bitkom-Umfrage ergab, sammelt die überwiegende Mehrheit der Unternehmen bereits Informationen, um sie zu analysieren und die Ergebnisse zur Optimierung interner Prozesse und zur Steigerung des Geschäftswerts zu nutzen. Gleichzeitig übersehen jedoch die meisten, dass mit diesem Erfolg eine neue Verantwortung einhergeht.

  • Entzug der Rechtsgrundlage

    Das vom Europäischen Gerichtshof (EuGH) gefällte Urteil "Schrems II" vom 16. Juli 2020 ist in aller Munde, da es nicht unerhebliche Auswirkungen auf denUmgang und den Schutz von Personendaten in international tätigen Unternehmen hat. Welche praktischen Folgen hat die Rechtsprechung des EuGH auf den internationalen Datentransferaber im Detail? Mit dem Urteil des Europäischen Gerichtshofes Mitte letzten Jahres wurde die als Privacy Shield bekannte Rahmenvereinbarung zwischen den USA und der EU für ungültig erklärt. Demnach dürfen personenbezogene Daten von EU-Bürgern nur an Drittländer außerhalb des Europäischen Wirtschaftsraums übermittelt werden, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Für die USA hat der EuGH ein solches Schutzniveau verneint.

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

  • Was ist ein Selbst-Audit & warum ist es notwendig?

    Eine der üblichen Fallen, in die Unternehmen tappen, ist die Annahme, dass Cybersicherheitslösungen über Standard-Risikobewertungen gepflegt und gemanagt werden. Eine gefährliche Annahme, denn die rasche technologische Entwicklung und der Einsatz dieser Technologien in der Wirtschaft hat den Bereich einer allgemeinen Risikobewertung längst überschritten. Hier beschäftigen wir uns mit einigen Schritten, die nötig sind, um eine eingehende, weitreichende Sicherheitsrisikobewertung zu erstellen, die für genau Ihr Unternehmen gilt. Eine Cybersicherheitsbewertung spielt eine entscheidende Rolle, beim Wie und Warum man bestimmte Technologien in einem Unternehmen einsetzt. Anhand eines Assessments lassen sich Ziele und Parameter festlegen, die Ihnen die Möglichkeit geben.

  • Mit Analytik Betrug erkennen

    Zahlungsanweisungen über SWIFT gelten im Allgemeinen als sicher. Doch es gibt Schlupflöcher im System, durch die es Kriminelle regelmäßig schaffen, Betrug zu begehen. Banken nutzen vermehrt KI-Tools wie User Entity Behaviour Analytics (UEBA) um sich und ihre Kunden zu schützen. SWIFT ist eine Plattform, die selbst keine Konten oder Guthaben verwaltet und über die Finanzinstitute aus aller Welt Finanztransaktionen unter einander ausführen. Ursprünglich wurde die Plattform lediglich gegründet, um Treasury- und Korrespondenzgeschäfte zu erleichtern. Das Format entpuppte sich in den Folgejahren jedoch als sehr sicher und praktisch, sodass immer mehr Teilnehmer die Plattform nutzten. Neben Notenbanken und normalen Banken wird Swiftnet heute auch von Großunternehmen, Wertpapierhändlern, Clearingstellen, Devisen- und Geldmaklern und zahlreichen weiteren Marktteilnehmern genutzt.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen