Sie sind hier: Home » Fachartikel » Hintergrund

Compliance bei der E-Mail-Archivierung wahren


Worauf es bei einer gesetzeskonformen E-Mail-Archivierung wirklich ankommt
Ein E-Mail-Archiv benötigt Sicherheitsfunktionen, die eine Manipulation oder ein versehentliches Löschen von Nachrichten verhindern


Autor Matthias Hintenaus:
Autor Matthias Hintenaus: "Auch IT-Leiter müssen bei fahrlässiger Handlungsweise mit rechtlichen Konsequenzen rechnen", Bild: Atempo

Von Matthias Hintenaus, Managing Director Northern & Central Europe, Atempo

(24.11.08) - Die Archivierung unternehmenskritischer Daten ist immer eine Herausforderung für IT-Verantwortliche – egal ob E-Mails oder Files. Durch eine regelrechte Explosion von Messaging-Daten und die immer schärfer werdenden gesetzliche Vorgaben stellt der elektronische Briefverkehr jedoch zusätzliche Anforderungen an E-Mail-Archivierungslösungen. Doch auf welche Kriterien müssen IT-Verantwortliche und Entscheider eines Unternehmens beim Kauf einer Archivierungssoftware achten, damit eine gesetzeskonforme Ablage der E-Mails gewährleistet ist?

Ohne E-Mails geht heute nichts mehr – sie ist eine der wichtigsten und am besten überwachten Anwendungen im Unternehmen. Doch die digitale Post hat die Unternehmenskommunikation nicht nur vereinfacht, sie ist aus juristischer Sicht nicht ganz unproblematisch und lässt die Speicherstrukturen volllaufen. Der Speicherbedarf im Messaging-Bereich wächst jedes Jahr um durchschnittlich 24 Prozent – Tendenz steigend. IT-Administratoren stehen vor der Herausforderung, trotz stetig wachsenden E-Mail-Volumens die Betriebskosten für Server zu minimieren und den Mailbox-Speicherplatz der Mitarbeiter trotzdem möglichst gering zu halten. Die größte Herausforderung besteht jedoch darin, die E-Mails den gesetzlichen Anforderungen entsprechend zu archivieren.

Elektronische Dokumente haben innerhalb der letzten Jahre eine enorme Bedeutung bei der Beweisführung für zivil- und strafrechtliche Gerichtsverfahren erlangt. Im Rahmen von eDiscovery müssen sämtliche elektronische Daten wie E-Mails, Instant Messages oder elektronische Kalendereinträge innerhalb einer festgelegten, unveränderbaren Frist lückenlos aufgefunden werden. Ist dies nicht möglich, drohen empfindliche Geld- und Haftstrafen. Das Bewusstsein dafür ist bei den meisten Unternehmen bereits vorhanden, doch vielerorts bestehen noch erhebliche Lücken im Archivierungssystem.

Professionelle E-Mail-Archive sorgen für eine gesetzeskonforme und gleichzeitig kostengünstige Sicherung der Daten, die den Geschäftsprozessen individuell angepasst und als Basis für unternehmensinternes Wissensmanagement genutzt werden kann. Dass die E-Mail-Archivierungssoftware mit der vorhandenen Infrastruktur – sei es Mailserver, Betriebssystem, Datenbanken oder Speicherlösungen – kompatibel sein sollte, dass sie schnell zu implementieren, in gängige Mailprogramme integrierbar und einfach zu handhaben ist - versteht sich von selbst. Doch was sind darüber hinaus die wichtigsten Kriterien, die eine E-Mail-Archivierungssoftware mitbringen muss, damit Daten revisionssicher abgelegt werden?

Datenmigration und -reduktion
Die meisten E-Mails werden vom Anwender bereits nach wenigen Tagen nicht mehr gebraucht und besetzen auf dem E-Mail-Server, der in der Regel mit leistungsstarken, teuren Plattensystemen konfiguriert ist, nur unnötig Speicherplatz. Die ausgewählte E-Mail-Archivierungslösung sollte deshalb eine einfache und proaktive Migration von E-Mail-Dateien durch entsprechende Automatismen und Regeln auf eine Archivierungsplattform gewährleisten, die kostengünstiger und einfacher zu warten ist. Während die IT-Verantwortlichen dadurch von einer drastischen Senkung der Server-Betriebskosten profitieren, freuen sich die Anwender über quasi unbegrenzten Speicherplatz.

Es sollte jedoch darauf geachtet werden, dass die Migration auf die nächste Speicherstufe jederzeit den individuellen Anforderungen der IT-Infrastruktur eines Unternehmens angepasst werden kann. Keinesfalls sollte der Transfer zu große Datenmengen umfassen, um die Leistung von Netzwerk und Speicher nicht zu überlasten und um keine Datenausfälle zu riskieren. Zur Ressourcenschonung tragen auch Features wie Datendeduplizierung, Single-Instance-Speicher und Komprimierung bei, die Speicherplatz im Archiv sparen. Single-Instance-Speicherung bedeutet, dass jede Datei nur einmal im Archiv abgelegt wird, während bei der Deduplizierung ein Algorithmus nach sich wiederholenden Elementen im Datenstrom sucht. Eine Komprimierung der E-Mails stellt eine Veränderung der Daten dar und darf deshalb gemäß gesetzlichen Vorgaben erst nach der Deduplizierung bei der Sicherung der Daten erfolgen.

Indexierung
Es reicht allerdings bei Weitem nicht aus, ältere E-Mails einfach nur möglichst Speicherplatz sparend ins Archiv zu verschieben, um den gesetzlichen Anforderungen zu genügen. Eine sinnvolle E-Mail-Archivierungslösung muss auch die Möglichkeit bieten, bereits abgelegte E-Mails möglichst problemlos und schnell wiederzufinden, wenn dies notwendig wird. Eine einfache Suchmaske mit Suchkriterien wie Datum, Sender/Empfänger und Text genügt dabei oft nicht. Eine E-Mail besteht aus zahlreichen Bestandteilen wie Betreff, Adressat, Textkörper, Namen von Dateianhängen oder Daten und Metadaten der Anhänge, weshalb es wenig Sinn macht, die E-Mail als Komplettpaket zu behandeln. Unter Umständen erinnert sich ein Mitarbeiter bei der Suche nur noch an eine dieser Komponenten. Erfolgt eine Indexierung des Inhalts anhand der gesamten Mail, läuft der Suchvorgang ins Leere.

Ein Archivierungs-Tool sollte deshalb zusätzlich zur Indexierung des Volltextes jede Komponente einer E-Mail einzeln indizieren. Diese separate Indexierung erlaubt Anwendern, Administratoren und Wirtschaftsprüfern die Recherche nach spezifischen Kriterien über den gesamten Archivierungszyklus hinweg – beispielsweise nach internen und externen Mails, verschiedenen E-Mail-Adressen pro User, Mailgröße, Abteilung oder Verteilern. So ist das Auffinden von E-Mails und deren Anhängen zu konkreten Themen und Projekten oder auf einer bestimmten Abteilungsebene kein Problem. Bei umfassenden Archivierungslösungen werden diese Kriterien nicht nur für die Suche, sondern unter anderem auch bei der Klassifizierung, der Zuordnung von Aufbewahrungsrichtlinien, der Vorfilterung von E-Mails zur Kategorisierung, bei automatischen Löschvorgängen oder hierarchischem Speichermanagement verwendet.

Skalierbarkeit und Flexibilität
Skalierbarkeit und Flexibilität Archivierungssoftware sollte mit hohen Datendurchsätzen von mehreren hundert Gigabyte zurechtkommen, Bild: Atempo

Compliance, eDiscovery und interne Richtlinien
Seit der Gleichstellung der E-Mail mit dem traditionellen Geschäftsbrief im Jahr 2002 sind alle Unternehmen verpflichtet, den Finanzbehörden die steuerrechtlichen und geschäftsrelevanten Dokumente auf Verlangen über einen Zeitraum von mindestens zehn Jahren, in manchen Fällen sogar bis zu dreißig Jahren bereitzustellen. Können geforderte E-Mails nicht innerhalb von 100 Tagen nach Einreichung einer Zivilklage vorgelegt werden, muss ein Unternehmer mit einer Geldstrafe oder einer Freiheitsstrafe von bis zu zwei Jahren rechnen. Auch IT-Leiter müssen bei fahrlässiger Handlungsweise mit rechtlichen Konsequenzen rechnen. Ein schnelles Wiederauffinden von E-Mails erhöht also nicht nur die Produktivität der Mitarbeiter, sondern spart auch Prozesskosten und wendet erhebliche wirtschaftliche Schäden vom Unternehmen ab.

Damit E-Mails in Rechtsstreitigkeiten als Beweisstück dienen können, müssen sie jedoch eindeutig einem Absender zugeordnet werden können (Authentizität) – durch eine qualifizierte elektronische Signatur gemäß Signaturengesetz – und es muss gewährleistet sein, dass sie seit ihrer Erstellung nicht verändert wurden (Integrität). Deshalb benötigt ein Archiv Sicherheitsfunktionen, die eine Manipulation oder ein versehentliches Löschen von Nachrichten verhindern. Dafür sorgen Authentifizierungs-Tools, die regeln, welche Personen auf die Archivdaten zugreifen können. Zugriffe und Aktionen zu einer bestimmten Mail müssen sich zuordnen und verfolgen lassen. Dazu gehört auch eine Auflistung von automatischen Prozessen wie Migration oder gesetzlich vorgeschriebene Löschvorgänge.

Zusätzlich sollte die Archivierungssoftware unterschiedliche Richtlinien für die Datenaufbewahrung je nach den gesetzlichen Anforderungen für jede Kommunikationsart ermöglichen. Das garantiert Unternehmen, dass die Archive immer auf dem aktuellen Stand sind und nur Dokumente enthalten, die wirklich noch benötigt werden. Die Richtlinien und Aufbewahrungsvorschriften sollten proaktiv gleich bei der Archivierung oder auch nachträglich zu einem späteren Zeitpunkt angewendet beziehungsweise verändert werden können. Für eine umfassende Überwachung interner und gesetzlicher Vorschriften durch Richtlinienbeauftragte sorgen im Idealfall zusätzlich Module zur Auditkontrolle und Nachverfolgung elektronischer Kommunikation. Für Administratoren hingegen stehen Reportingfunktionen im Vordergrund, mit denen sie den Überblick über die Anzahl der archivierten Mails und deren Anhänge sowie deren Größe behalten. Ebenso muss er damit Zugriffsanforderungen und Service-Level bestimmen und verwalten können.

Skalierbarkeit und Flexibilität
Die Anschaffung einer E-Mail-Archivierungslösung ist im besten Fall eine langfristige Investition – egal ob kleines, mittelständisches oder Großunternehmen. Im Laufe der Zeit wird es durch den rapiden Anstieg unstrukturierter Daten unweigerlich zu zusätzlichem Bedarf an Speicherplatz kommen, die Zahl der Mitarbeiter und mit Ihnen die Zahl der Mailboxen können steigen oder neue Server hinzugekauft werden. Die Archivierungssoftware sollte diesen Herausforderungen gewachsen sein und mit hohen Datendurchsätzen von mehreren hundert Gigabyte zurechtkommen, um bestehende Service-Level-Agreements einzuhalten oder sogar zu verbessern.

Das kann gewährleistet werden, indem nur die Metadaten der E-Mails in relationalen Datenbanken gespeichert und die E-Mail-Daten direkt auf Speichermedien verschoben werden. Das Resultat ist nicht nur eine schlanke und effiziente Datenbank, sondern auch ein geringer Ressourcenbedarf sowie kurze Archivierungs- und Wiederherstellungszeiträume. Ebenso wichtig ist, dass die Lösung verschiedene E-Mail-Systeme unterstützt. So lohnt sich die Investition auch, wenn im Rahmen von Unternehmensakquisitionen das E-Mail-System der übernommenen Firma in die vorhandene Datensicherungsstrategie integriert werden soll.

Trend: Integrierte Archivierungslösung
Generell gilt: Die E-Mail-Archivierung sollte als Teil des unternehmensweiten Datenschutzes gesehen werden und in das produktive Umfeld des Unternehmens einbezogen sein. Denn die Migration der Daten ins Archiv ist neben der Backup-Strategie, den Recovery-Vorgaben und den Datenwiederherstellunsverfahren einer der wichtigsten Bestandteile des Information Lifecycle Managements im Unternehmen. Das Ziel ist es, Informationen über alle Datentypen, über jedes System und über jedes Stadium im Informationslebenszyklus hinweg in ihrem Zusammenhang einfach und schnell recherchieren zu können. Der Trend geht deshalb weg von einer separaten E-Mail- hin zu einer kombinierten File- und E-Mail-Archivierung, die unter anderem auch die langfristige Aufbewahrung sämtlicher anderer elektronischer Kommunikation wie Instant Messages oder Faxe beinhaltet. Neben einer gesetzeskonformen Archivierung sämtlicher Unternehmenskommunikation hat das einen weiteren Vorteil: Unternehmensarchive enthalten eine Fülle an Informationen, die als Basis für strategische und operative Entscheidungen genutzt werden können.

Manche Archivierungslösungen bieten als i-Tüpfelchen deshalb integrierte Data-Mining- und Business-Intelligence-Tools, um im Archiv schlummernde Wissensressourcen in Form von unstrukturierten Daten für das Unternehmen ausfindig zu machen. Beispielsweise kann die Vertriebsabteilung mit Hilfe von E-Mail-Nutzerstatistiken Möglichkeiten zu Cross- oder Upselling ausfindig machen. Mit der richtigen Archivierungssoftware können also nicht nur die Unternehmensrisiken durch Nichteinhaltung gesetzlicher Anforderungen sowie Kosten gesenkt und die Produktivität der Mitarbeiter gesteigert werden – richtig eingesetzt sorgt eine umfassende E-Mail-Archivierungslösung auch für die Optimierung von Geschäftsprozessen. (Atempo: ra)



Meldungen: Hintergrund

  • Wer ist von der CSRD betroffen?

    Für Unternehmen ist der eigene ökologische Fußabdruck mittlerweile eine entscheidende erfolgsrelevante Steuerungsgröße geworden. Welche Investitionen und wirtschaftlichen Tätigkeiten sind ökologisch nachhaltig und ermöglichen es, sich am Markt positiv zu differenzieren? Die Erstellung einer Nachhaltigkeitsberichtserstattung nimmt darüber hinaus auch seitens der Aufsichtsbehörden und Regulatoren einen immer größeren Raum ein. Das Jahr 2023 startete bereits mit einem wichtigen Meilenstein für das ESG-Reporting – der Berichterstattung für die Bereiche Umwelt (Environmental), Soziales (Social) und verantwortungsvolle Unternehmensführung (Governance). Am 5. Januar 2023 ist die EU-Richtlinie über die Nachhaltigkeitsberichterstattung der Corporate-Sustainability-Reporting-Direktive (CSRD) in Kraft getreten. Diese führt zu einer umfangreichen und verbindlichen Nachhaltigkeitsberichterstattung.

  • Data Act könnte schon 2024 in Kraft treten

    Wir erleben es jeden Tag: Datenmengen steigen ins Unermessliche. Die Prognose der EU-Kommission erwartet allein in der EU zwischen 2020 und 2030 einen Anstieg des Datenflusses in Cloud- und Edge-Rechenzentren um 1500 Prozent - kein Tippfehler. Entsprechend riesig ist das wirtschaftliche Potential, denn Daten sind der zentrale Rohstoff etwa für das Internet of Things. Das wiederum wird von der EU im Jahr 2030 (1) auf eine wirtschaftliche Gesamtleistung auf bis zu elf Billionen Euro geschätzt. Somit ist der EU Data Act, der in einem ersten Entwurf im Frühjahr 2022 von der EU-Kommission vorgestellt wurde, in seiner Bedeutung für die Datenökonomie nicht zu unterschätzen. Es geht nämlich um die Rahmenbedingungen für den Austausch von Daten: Das heißt, alle Geschäftsmodelle, die auf vernetzten Produkten und Dienstleistungen beruhen, sind betroffen. Und die Zeit steht nicht still. Der Data Act könnte schon 2024 in Kraft treten.

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

  • Audit-Druck ebnet Weg hin zu Abo-Modellen

    Beim Thema Software-Audit kommen zwei historisch signifikante Zustände zusammen: Einerseits hat sich Europa insbesondere von US-Softwareanbietern stark abhängig gemacht und ist andererseits durch den omnipräsenten Digitalisierungsdruck bereit, die Situation trotz gelegentlicher gegenteiliger Verlautbarungen offenbar noch zu verschlimmern. Lesen Sie hier, was die Erfindung des Software-Audits damit zu tun hat.

  • Digitale Verwaltungsdienste ohne Datengrundlage?

    Deutsche Behörden tun sich schwer, ihre Angebote für Bürger und Bürgerinnen digital anzubieten. Das aktuelle Onlinezugangsgesetz (OZG) macht aber Bund, Ländern und Kommunen jetzt kräftig Druck. Geht es nach dem Gesetzgeber, sollen bis Jahresende rund 600 Verwaltungsdienstleistungen in digitaler Form bereitstehen - und zwar bundesweit.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen