- Anzeigen -

Sie sind hier: Home » Fachartikel » Hintergrund

Compliance bei der E-Mail-Archivierung wahren


Worauf es bei einer gesetzeskonformen E-Mail-Archivierung wirklich ankommt
Ein E-Mail-Archiv benötigt Sicherheitsfunktionen, die eine Manipulation oder ein versehentliches Löschen von Nachrichten verhindern


Autor Matthias Hintenaus:
Autor Matthias Hintenaus: "Auch IT-Leiter müssen bei fahrlässiger Handlungsweise mit rechtlichen Konsequenzen rechnen", Bild: Atempo

Von Matthias Hintenaus, Managing Director Northern & Central Europe, Atempo

(24.11.08) - Die Archivierung unternehmenskritischer Daten ist immer eine Herausforderung für IT-Verantwortliche – egal ob E-Mails oder Files. Durch eine regelrechte Explosion von Messaging-Daten und die immer schärfer werdenden gesetzliche Vorgaben stellt der elektronische Briefverkehr jedoch zusätzliche Anforderungen an E-Mail-Archivierungslösungen. Doch auf welche Kriterien müssen IT-Verantwortliche und Entscheider eines Unternehmens beim Kauf einer Archivierungssoftware achten, damit eine gesetzeskonforme Ablage der E-Mails gewährleistet ist?

Ohne E-Mails geht heute nichts mehr – sie ist eine der wichtigsten und am besten überwachten Anwendungen im Unternehmen. Doch die digitale Post hat die Unternehmenskommunikation nicht nur vereinfacht, sie ist aus juristischer Sicht nicht ganz unproblematisch und lässt die Speicherstrukturen volllaufen. Der Speicherbedarf im Messaging-Bereich wächst jedes Jahr um durchschnittlich 24 Prozent – Tendenz steigend. IT-Administratoren stehen vor der Herausforderung, trotz stetig wachsenden E-Mail-Volumens die Betriebskosten für Server zu minimieren und den Mailbox-Speicherplatz der Mitarbeiter trotzdem möglichst gering zu halten. Die größte Herausforderung besteht jedoch darin, die E-Mails den gesetzlichen Anforderungen entsprechend zu archivieren.

Elektronische Dokumente haben innerhalb der letzten Jahre eine enorme Bedeutung bei der Beweisführung für zivil- und strafrechtliche Gerichtsverfahren erlangt. Im Rahmen von eDiscovery müssen sämtliche elektronische Daten wie E-Mails, Instant Messages oder elektronische Kalendereinträge innerhalb einer festgelegten, unveränderbaren Frist lückenlos aufgefunden werden. Ist dies nicht möglich, drohen empfindliche Geld- und Haftstrafen. Das Bewusstsein dafür ist bei den meisten Unternehmen bereits vorhanden, doch vielerorts bestehen noch erhebliche Lücken im Archivierungssystem.

Professionelle E-Mail-Archive sorgen für eine gesetzeskonforme und gleichzeitig kostengünstige Sicherung der Daten, die den Geschäftsprozessen individuell angepasst und als Basis für unternehmensinternes Wissensmanagement genutzt werden kann. Dass die E-Mail-Archivierungssoftware mit der vorhandenen Infrastruktur – sei es Mailserver, Betriebssystem, Datenbanken oder Speicherlösungen – kompatibel sein sollte, dass sie schnell zu implementieren, in gängige Mailprogramme integrierbar und einfach zu handhaben ist - versteht sich von selbst. Doch was sind darüber hinaus die wichtigsten Kriterien, die eine E-Mail-Archivierungssoftware mitbringen muss, damit Daten revisionssicher abgelegt werden?

Datenmigration und -reduktion
Die meisten E-Mails werden vom Anwender bereits nach wenigen Tagen nicht mehr gebraucht und besetzen auf dem E-Mail-Server, der in der Regel mit leistungsstarken, teuren Plattensystemen konfiguriert ist, nur unnötig Speicherplatz. Die ausgewählte E-Mail-Archivierungslösung sollte deshalb eine einfache und proaktive Migration von E-Mail-Dateien durch entsprechende Automatismen und Regeln auf eine Archivierungsplattform gewährleisten, die kostengünstiger und einfacher zu warten ist. Während die IT-Verantwortlichen dadurch von einer drastischen Senkung der Server-Betriebskosten profitieren, freuen sich die Anwender über quasi unbegrenzten Speicherplatz.

Es sollte jedoch darauf geachtet werden, dass die Migration auf die nächste Speicherstufe jederzeit den individuellen Anforderungen der IT-Infrastruktur eines Unternehmens angepasst werden kann. Keinesfalls sollte der Transfer zu große Datenmengen umfassen, um die Leistung von Netzwerk und Speicher nicht zu überlasten und um keine Datenausfälle zu riskieren. Zur Ressourcenschonung tragen auch Features wie Datendeduplizierung, Single-Instance-Speicher und Komprimierung bei, die Speicherplatz im Archiv sparen. Single-Instance-Speicherung bedeutet, dass jede Datei nur einmal im Archiv abgelegt wird, während bei der Deduplizierung ein Algorithmus nach sich wiederholenden Elementen im Datenstrom sucht. Eine Komprimierung der E-Mails stellt eine Veränderung der Daten dar und darf deshalb gemäß gesetzlichen Vorgaben erst nach der Deduplizierung bei der Sicherung der Daten erfolgen.

Indexierung
Es reicht allerdings bei Weitem nicht aus, ältere E-Mails einfach nur möglichst Speicherplatz sparend ins Archiv zu verschieben, um den gesetzlichen Anforderungen zu genügen. Eine sinnvolle E-Mail-Archivierungslösung muss auch die Möglichkeit bieten, bereits abgelegte E-Mails möglichst problemlos und schnell wiederzufinden, wenn dies notwendig wird. Eine einfache Suchmaske mit Suchkriterien wie Datum, Sender/Empfänger und Text genügt dabei oft nicht. Eine E-Mail besteht aus zahlreichen Bestandteilen wie Betreff, Adressat, Textkörper, Namen von Dateianhängen oder Daten und Metadaten der Anhänge, weshalb es wenig Sinn macht, die E-Mail als Komplettpaket zu behandeln. Unter Umständen erinnert sich ein Mitarbeiter bei der Suche nur noch an eine dieser Komponenten. Erfolgt eine Indexierung des Inhalts anhand der gesamten Mail, läuft der Suchvorgang ins Leere.

Ein Archivierungs-Tool sollte deshalb zusätzlich zur Indexierung des Volltextes jede Komponente einer E-Mail einzeln indizieren. Diese separate Indexierung erlaubt Anwendern, Administratoren und Wirtschaftsprüfern die Recherche nach spezifischen Kriterien über den gesamten Archivierungszyklus hinweg – beispielsweise nach internen und externen Mails, verschiedenen E-Mail-Adressen pro User, Mailgröße, Abteilung oder Verteilern. So ist das Auffinden von E-Mails und deren Anhängen zu konkreten Themen und Projekten oder auf einer bestimmten Abteilungsebene kein Problem. Bei umfassenden Archivierungslösungen werden diese Kriterien nicht nur für die Suche, sondern unter anderem auch bei der Klassifizierung, der Zuordnung von Aufbewahrungsrichtlinien, der Vorfilterung von E-Mails zur Kategorisierung, bei automatischen Löschvorgängen oder hierarchischem Speichermanagement verwendet.

Skalierbarkeit und Flexibilität
Skalierbarkeit und Flexibilität Archivierungssoftware sollte mit hohen Datendurchsätzen von mehreren hundert Gigabyte zurechtkommen, Bild: Atempo

Compliance, eDiscovery und interne Richtlinien
Seit der Gleichstellung der E-Mail mit dem traditionellen Geschäftsbrief im Jahr 2002 sind alle Unternehmen verpflichtet, den Finanzbehörden die steuerrechtlichen und geschäftsrelevanten Dokumente auf Verlangen über einen Zeitraum von mindestens zehn Jahren, in manchen Fällen sogar bis zu dreißig Jahren bereitzustellen. Können geforderte E-Mails nicht innerhalb von 100 Tagen nach Einreichung einer Zivilklage vorgelegt werden, muss ein Unternehmer mit einer Geldstrafe oder einer Freiheitsstrafe von bis zu zwei Jahren rechnen. Auch IT-Leiter müssen bei fahrlässiger Handlungsweise mit rechtlichen Konsequenzen rechnen. Ein schnelles Wiederauffinden von E-Mails erhöht also nicht nur die Produktivität der Mitarbeiter, sondern spart auch Prozesskosten und wendet erhebliche wirtschaftliche Schäden vom Unternehmen ab.

Damit E-Mails in Rechtsstreitigkeiten als Beweisstück dienen können, müssen sie jedoch eindeutig einem Absender zugeordnet werden können (Authentizität) – durch eine qualifizierte elektronische Signatur gemäß Signaturengesetz – und es muss gewährleistet sein, dass sie seit ihrer Erstellung nicht verändert wurden (Integrität). Deshalb benötigt ein Archiv Sicherheitsfunktionen, die eine Manipulation oder ein versehentliches Löschen von Nachrichten verhindern. Dafür sorgen Authentifizierungs-Tools, die regeln, welche Personen auf die Archivdaten zugreifen können. Zugriffe und Aktionen zu einer bestimmten Mail müssen sich zuordnen und verfolgen lassen. Dazu gehört auch eine Auflistung von automatischen Prozessen wie Migration oder gesetzlich vorgeschriebene Löschvorgänge.

Zusätzlich sollte die Archivierungssoftware unterschiedliche Richtlinien für die Datenaufbewahrung je nach den gesetzlichen Anforderungen für jede Kommunikationsart ermöglichen. Das garantiert Unternehmen, dass die Archive immer auf dem aktuellen Stand sind und nur Dokumente enthalten, die wirklich noch benötigt werden. Die Richtlinien und Aufbewahrungsvorschriften sollten proaktiv gleich bei der Archivierung oder auch nachträglich zu einem späteren Zeitpunkt angewendet beziehungsweise verändert werden können. Für eine umfassende Überwachung interner und gesetzlicher Vorschriften durch Richtlinienbeauftragte sorgen im Idealfall zusätzlich Module zur Auditkontrolle und Nachverfolgung elektronischer Kommunikation. Für Administratoren hingegen stehen Reportingfunktionen im Vordergrund, mit denen sie den Überblick über die Anzahl der archivierten Mails und deren Anhänge sowie deren Größe behalten. Ebenso muss er damit Zugriffsanforderungen und Service-Level bestimmen und verwalten können.

Skalierbarkeit und Flexibilität
Die Anschaffung einer E-Mail-Archivierungslösung ist im besten Fall eine langfristige Investition – egal ob kleines, mittelständisches oder Großunternehmen. Im Laufe der Zeit wird es durch den rapiden Anstieg unstrukturierter Daten unweigerlich zu zusätzlichem Bedarf an Speicherplatz kommen, die Zahl der Mitarbeiter und mit Ihnen die Zahl der Mailboxen können steigen oder neue Server hinzugekauft werden. Die Archivierungssoftware sollte diesen Herausforderungen gewachsen sein und mit hohen Datendurchsätzen von mehreren hundert Gigabyte zurechtkommen, um bestehende Service-Level-Agreements einzuhalten oder sogar zu verbessern.

Das kann gewährleistet werden, indem nur die Metadaten der E-Mails in relationalen Datenbanken gespeichert und die E-Mail-Daten direkt auf Speichermedien verschoben werden. Das Resultat ist nicht nur eine schlanke und effiziente Datenbank, sondern auch ein geringer Ressourcenbedarf sowie kurze Archivierungs- und Wiederherstellungszeiträume. Ebenso wichtig ist, dass die Lösung verschiedene E-Mail-Systeme unterstützt. So lohnt sich die Investition auch, wenn im Rahmen von Unternehmensakquisitionen das E-Mail-System der übernommenen Firma in die vorhandene Datensicherungsstrategie integriert werden soll.

Trend: Integrierte Archivierungslösung
Generell gilt: Die E-Mail-Archivierung sollte als Teil des unternehmensweiten Datenschutzes gesehen werden und in das produktive Umfeld des Unternehmens einbezogen sein. Denn die Migration der Daten ins Archiv ist neben der Backup-Strategie, den Recovery-Vorgaben und den Datenwiederherstellunsverfahren einer der wichtigsten Bestandteile des Information Lifecycle Managements im Unternehmen. Das Ziel ist es, Informationen über alle Datentypen, über jedes System und über jedes Stadium im Informationslebenszyklus hinweg in ihrem Zusammenhang einfach und schnell recherchieren zu können. Der Trend geht deshalb weg von einer separaten E-Mail- hin zu einer kombinierten File- und E-Mail-Archivierung, die unter anderem auch die langfristige Aufbewahrung sämtlicher anderer elektronischer Kommunikation wie Instant Messages oder Faxe beinhaltet. Neben einer gesetzeskonformen Archivierung sämtlicher Unternehmenskommunikation hat das einen weiteren Vorteil: Unternehmensarchive enthalten eine Fülle an Informationen, die als Basis für strategische und operative Entscheidungen genutzt werden können.

Manche Archivierungslösungen bieten als i-Tüpfelchen deshalb integrierte Data-Mining- und Business-Intelligence-Tools, um im Archiv schlummernde Wissensressourcen in Form von unstrukturierten Daten für das Unternehmen ausfindig zu machen. Beispielsweise kann die Vertriebsabteilung mit Hilfe von E-Mail-Nutzerstatistiken Möglichkeiten zu Cross- oder Upselling ausfindig machen. Mit der richtigen Archivierungssoftware können also nicht nur die Unternehmensrisiken durch Nichteinhaltung gesetzlicher Anforderungen sowie Kosten gesenkt und die Produktivität der Mitarbeiter gesteigert werden – richtig eingesetzt sorgt eine umfassende E-Mail-Archivierungslösung auch für die Optimierung von Geschäftsprozessen. (Atempo: ra)



Meldungen: Hintergrund

  • Identitäten für elektronische Finanztransaktionen

    Bei einer Online-Transaktion "Ich stimme zu" zu klicken, reicht nicht aus um nachzuweisen, dass tatsächlich die richtige Person zugestimmt hat. Wenn es um sensible Transaktionen wie die von Finanzdienstleistern geht, dann reichen auch eine aufgezeichnete gesprochene Zustimmung oder eine handschriftliche Online-Unterschrift für eine eineindeutige Verifizierung nicht aus. Hier kommt digitale Identität ins Spiel. 'Digitale Identität' weist eine entsprechende Online-Identität aus, so wie man es von Führerschein oder Ausweis kennt. Das elektronische Transaktionsverfahren besteht aus drei Stufen: Initiale Identifikation, Authentifizierung und Autorisierung. Wie das im Einzelnen funktioniert und welche Transaktionen Banken und Finanzdienstleister mithilfe von Identitäten durchführen können, das ist Thema des aktuellen Blogbeitrags von GlobalSign.

  • Identity- und Access-Management-Systeme

    Der regulatorische Druck auf Unternehmen und Organisationen, geeignete Kontrollmechanismen zu etablieren, steigt stetig. Moderne IAM-Lösungen (Identity & Access Management) können wichtige Kernfunktionen übernehmen, um Vermögenswerte und Prozesse der Firmen besser zu schützen. IAM trägt bereits präventiv zur Risikominimierung bei, indem es Identitäten regelmäßig überprüft und nur autorisierten Nutzern Zugriff auf bestimmte Daten gewährt. Zentrale Compliance-Anforderungen erfüllen moderne IAM-Lösungen auch mit der Bereitstellung umfangreicher Analysen und Reports, die jederzeit tiefgreifende Einblicke in die Zugriffsstrukturen eines Unternehmens gewähren. Moderne IAM-Systeme beziehen hierfür ihre Daten aus zahlreichen Quellen und erstellen jederzeit detaillierte Analysen und Berichte. Dies beschleunigt die Reaktionszeit, um Autorisierungsfehler korrigieren zu können, verbessert die Systemsteuerung und vermindert die Risiken.

  • Stauatlas: IT in der Bankenregulierung

    Eine Vielzahl von Regularien von BCBS 239 bis MiFID II stellt die Compliance- und IT-Abteilungen der Kreditinstitute vor große Herausforderungen. Vor allem in Kombination mit ambitionierten Zeitplänen und einer großen Verunsicherung über die konkrete Ausgestaltung und potenzielle neue Gesetze. Dabei kämpfen die Compliance-Beauftragten oft mit reiner Pflichterfüllung statt Kür in den Abteilungen, drei Viertel der Bankmanager mangelt es an Akzeptanz für die Bedeutung der Regularien. In der Studie "Stauatlas: IT in der Bankenregulierung" hat das Software- und Beratungshaus PPI AG den Status Quo bei der Umsetzung in IT-Abteilungen untersucht.

  • Aufklärungspflichten in der Anlageberatung

    Der Bundesgerichtshof (BGH) hat die Aufklärungspflichten der Banken bei der provisionsgetriebenen Anlageberatung zu Gunsten der Anleger geklärt. Einerseits! Doch das janusköpfige Urteil mit dem XI ZR 147/12 hat eine Kehrseite. Denn der BGH hat die Banken nur für die Zukunft zur umfassenden Aufklärung über Provisionen verpflichtet. Für vergangene Beratungssünden erhielten die Banker dagegen - zumindest teilweise - einen höchstrichterlichen Sündenerlass. Mit diesem janusköpfigen Urteil versucht der BGH einen gordischen Knoten zu lösen, den er zuvor selbst geknüpft hat.

  • Risikofeld: Compliance-Probleme der Zulieferer

    Mit geringer werdender Wertschöpfungstiefe verändert sich auch die Perspektive auf die Themen Risikomanagement und Compliance. Der Blick muss über die Unternehmensgrenzen gerichtet werden und entsprechende Systeme und Prozesse so ausgerichtet sein, dass sie das gesamte Zuliefernetzwerk im Auge behalten. Ansonsten sind schwerwiegende straf- und zivilrechtliche Konsequenzen sowie Reputationsschäden die Folge.