Fachartikel

Compliance bei der E-Mail-Archivierung wahren

Worauf es bei einer gesetzeskonformen E-Mail-Archivierung wirklich ankommt
Ein E-Mail-Archiv benötigt Sicherheitsfunktionen, die eine Manipulation oder ein versehentliches Löschen von Nachrichten verhindern

Autor Matthias Hintenaus:

"Auch IT-Leiter müssen bei fahrlässiger Handlungsweise mit rechtlichen Konsequenzen rechnen", Bild: Atempo

Von Matthias Hintenaus, Managing Director Northern & Central Europe, Atempo

(24.11.08) - Die Archivierung unternehmenskritischer Daten ist immer eine Herausforderung für IT-Verantwortliche – egal ob E-Mails oder Files. Durch eine regelrechte Explosion von Messaging-Daten und die immer schärfer werdenden gesetzliche Vorgaben stellt der elektronische Briefverkehr jedoch zusätzliche Anforderungen an E-Mail-Archivierungslösungen. Doch auf welche Kriterien müssen IT-Verantwortliche und Entscheider eines Unternehmens beim Kauf einer Archivierungssoftware achten, damit eine gesetzeskonforme Ablage der E-Mails gewährleistet ist?

Ohne E-Mails geht heute nichts mehr – sie ist eine der wichtigsten und am besten überwachten Anwendungen im Unternehmen. Doch die digitale Post hat die Unternehmenskommunikation nicht nur vereinfacht, sie ist aus juristischer Sicht nicht ganz unproblematisch und lässt die Speicherstrukturen volllaufen. Der Speicherbedarf im Messaging-Bereich wächst jedes Jahr um durchschnittlich 24 Prozent – Tendenz steigend. IT-Administratoren stehen vor der Herausforderung, trotz stetig wachsenden E-Mail-Volumens die Betriebskosten für Server zu minimieren und den Mailbox-Speicherplatz der Mitarbeiter trotzdem möglichst gering zu halten. Die größte Herausforderung besteht jedoch darin, die E-Mails den gesetzlichen Anforderungen entsprechend zu archivieren.

Elektronische Dokumente haben innerhalb der letzten Jahre eine enorme Bedeutung bei der Beweisführung für zivil- und strafrechtliche Gerichtsverfahren erlangt. Im Rahmen von eDiscovery müssen sämtliche elektronische Daten wie E-Mails, Instant Messages oder elektronische Kalendereinträge innerhalb einer festgelegten, unveränderbaren Frist lückenlos aufgefunden werden. Ist dies nicht möglich, drohen empfindliche Geld- und Haftstrafen. Das Bewusstsein dafür ist bei den meisten Unternehmen bereits vorhanden, doch vielerorts bestehen noch erhebliche Lücken im Archivierungssystem.

Professionelle E-Mail-Archive sorgen für eine gesetzeskonforme und gleichzeitig kostengünstige Sicherung der Daten, die den Geschäftsprozessen individuell angepasst und als Basis für unternehmensinternes Wissensmanagement genutzt werden kann. Dass die E-Mail-Archivierungssoftware mit der vorhandenen Infrastruktur – sei es Mailserver, Betriebssystem, Datenbanken oder Speicherlösungen – kompatibel sein sollte, dass sie schnell zu implementieren, in gängige Mailprogramme integrierbar und einfach zu handhaben ist - versteht sich von selbst. Doch was sind darüber hinaus die wichtigsten Kriterien, die eine E-Mail-Archivierungssoftware mitbringen muss, damit Daten revisionssicher abgelegt werden?

Datenmigration und -reduktion
Die meisten E-Mails werden vom Anwender bereits nach wenigen Tagen nicht mehr gebraucht und besetzen auf dem E-Mail-Server, der in der Regel mit leistungsstarken, teuren Plattensystemen konfiguriert ist, nur unnötig Speicherplatz. Die ausgewählte E-Mail-Archivierungslösung sollte deshalb eine einfache und proaktive Migration von E-Mail-Dateien durch entsprechende Automatismen und Regeln auf eine Archivierungsplattform gewährleisten, die kostengünstiger und einfacher zu warten ist. Während die IT-Verantwortlichen dadurch von einer drastischen Senkung der Server-Betriebskosten profitieren, freuen sich die Anwender über quasi unbegrenzten Speicherplatz.

Es sollte jedoch darauf geachtet werden, dass die Migration auf die nächste Speicherstufe jederzeit den individuellen Anforderungen der IT-Infrastruktur eines Unternehmens angepasst werden kann. Keinesfalls sollte der Transfer zu große Datenmengen umfassen, um die Leistung von Netzwerk und Speicher nicht zu überlasten und um keine Datenausfälle zu riskieren. Zur Ressourcenschonung tragen auch Features wie Datendeduplizierung, Single-Instance-Speicher und Komprimierung bei, die Speicherplatz im Archiv sparen. Single-Instance-Speicherung bedeutet, dass jede Datei nur einmal im Archiv abgelegt wird, während bei der Deduplizierung ein Algorithmus nach sich wiederholenden Elementen im Datenstrom sucht. Eine Komprimierung der E-Mails stellt eine Veränderung der Daten dar und darf deshalb gemäß gesetzlichen Vorgaben erst nach der Deduplizierung bei der Sicherung der Daten erfolgen.

Indexierung
Es reicht allerdings bei Weitem nicht aus, ältere E-Mails einfach nur möglichst Speicherplatz sparend ins Archiv zu verschieben, um den gesetzlichen Anforderungen zu genügen. Eine sinnvolle E-Mail-Archivierungslösung muss auch die Möglichkeit bieten, bereits abgelegte E-Mails möglichst problemlos und schnell wiederzufinden, wenn dies notwendig wird. Eine einfache Suchmaske mit Suchkriterien wie Datum, Sender/Empfänger und Text genügt dabei oft nicht. Eine E-Mail besteht aus zahlreichen Bestandteilen wie Betreff, Adressat, Textkörper, Namen von Dateianhängen oder Daten und Metadaten der Anhänge, weshalb es wenig Sinn macht, die E-Mail als Komplettpaket zu behandeln. Unter Umständen erinnert sich ein Mitarbeiter bei der Suche nur noch an eine dieser Komponenten. Erfolgt eine Indexierung des Inhalts anhand der gesamten Mail, läuft der Suchvorgang ins Leere.

Ein Archivierungs-Tool sollte deshalb zusätzlich zur Indexierung des Volltextes jede Komponente einer E-Mail einzeln indizieren. Diese separate Indexierung erlaubt Anwendern, Administratoren und Wirtschaftsprüfern die Recherche nach spezifischen Kriterien über den gesamten Archivierungszyklus hinweg – beispielsweise nach internen und externen Mails, verschiedenen E-Mail-Adressen pro User, Mailgröße, Abteilung oder Verteilern. So ist das Auffinden von E-Mails und deren Anhängen zu konkreten Themen und Projekten oder auf einer bestimmten Abteilungsebene kein Problem. Bei umfassenden Archivierungslösungen werden diese Kriterien nicht nur für die Suche, sondern unter anderem auch bei der Klassifizierung, der Zuordnung von Aufbewahrungsrichtlinien, der Vorfilterung von E-Mails zur Kategorisierung, bei automatischen Löschvorgängen oder hierarchischem Speichermanagement verwendet.

Skalierbarkeit und Flexibilität

Archivierungssoftware sollte mit hohen Datendurchsätzen von mehreren hundert Gigabyte zurechtkommen, Bild: Atempo

Compliance, eDiscovery und interne Richtlinien
Seit der Gleichstellung der E-Mail mit dem traditionellen Geschäftsbrief im Jahr 2002 sind alle Unternehmen verpflichtet, den Finanzbehörden die steuerrechtlichen und geschäftsrelevanten Dokumente auf Verlangen über einen Zeitraum von mindestens zehn Jahren, in manchen Fällen sogar bis zu dreißig Jahren bereitzustellen. Können geforderte E-Mails nicht innerhalb von 100 Tagen nach Einreichung einer Zivilklage vorgelegt werden, muss ein Unternehmer mit einer Geldstrafe oder einer Freiheitsstrafe von bis zu zwei Jahren rechnen. Auch IT-Leiter müssen bei fahrlässiger Handlungsweise mit rechtlichen Konsequenzen rechnen. Ein schnelles Wiederauffinden von E-Mails erhöht also nicht nur die Produktivität der Mitarbeiter, sondern spart auch Prozesskosten und wendet erhebliche wirtschaftliche Schäden vom Unternehmen ab.

Damit E-Mails in Rechtsstreitigkeiten als Beweisstück dienen können, müssen sie jedoch eindeutig einem Absender zugeordnet werden können (Authentizität) – durch eine qualifizierte elektronische Signatur gemäß Signaturengesetz – und es muss gewährleistet sein, dass sie seit ihrer Erstellung nicht verändert wurden (Integrität). Deshalb benötigt ein Archiv Sicherheitsfunktionen, die eine Manipulation oder ein versehentliches Löschen von Nachrichten verhindern. Dafür sorgen Authentifizierungs-Tools, die regeln, welche Personen auf die Archivdaten zugreifen können. Zugriffe und Aktionen zu einer bestimmten Mail müssen sich zuordnen und verfolgen lassen. Dazu gehört auch eine Auflistung von automatischen Prozessen wie Migration oder gesetzlich vorgeschriebene Löschvorgänge.

Zusätzlich sollte die Archivierungssoftware unterschiedliche Richtlinien für die Datenaufbewahrung je nach den gesetzlichen Anforderungen für jede Kommunikationsart ermöglichen. Das garantiert Unternehmen, dass die Archive immer auf dem aktuellen Stand sind und nur Dokumente enthalten, die wirklich noch benötigt werden. Die Richtlinien und Aufbewahrungsvorschriften sollten proaktiv gleich bei der Archivierung oder auch nachträglich zu einem späteren Zeitpunkt angewendet beziehungsweise verändert werden können. Für eine umfassende Überwachung interner und gesetzlicher Vorschriften durch Richtlinienbeauftragte sorgen im Idealfall zusätzlich Module zur Auditkontrolle und Nachverfolgung elektronischer Kommunikation. Für Administratoren hingegen stehen Reportingfunktionen im Vordergrund, mit denen sie den Überblick über die Anzahl der archivierten Mails und deren Anhänge sowie deren Größe behalten. Ebenso muss er damit Zugriffsanforderungen und Service-Level bestimmen und verwalten können.

Skalierbarkeit und Flexibilität
Die Anschaffung einer E-Mail-Archivierungslösung ist im besten Fall eine langfristige Investition – egal ob kleines, mittelständisches oder Großunternehmen. Im Laufe der Zeit wird es durch den rapiden Anstieg unstrukturierter Daten unweigerlich zu zusätzlichem Bedarf an Speicherplatz kommen, die Zahl der Mitarbeiter und mit Ihnen die Zahl der Mailboxen können steigen oder neue Server hinzugekauft werden. Die Archivierungssoftware sollte diesen Herausforderungen gewachsen sein und mit hohen Datendurchsätzen von mehreren hundert Gigabyte zurechtkommen, um bestehende Service-Level-Agreements einzuhalten oder sogar zu verbessern.

Das kann gewährleistet werden, indem nur die Metadaten der E-Mails in relationalen Datenbanken gespeichert und die E-Mail-Daten direkt auf Speichermedien verschoben werden. Das Resultat ist nicht nur eine schlanke und effiziente Datenbank, sondern auch ein geringer Ressourcenbedarf sowie kurze Archivierungs- und Wiederherstellungszeiträume. Ebenso wichtig ist, dass die Lösung verschiedene E-Mail-Systeme unterstützt. So lohnt sich die Investition auch, wenn im Rahmen von Unternehmensakquisitionen das E-Mail-System der übernommenen Firma in die vorhandene Datensicherungsstrategie integriert werden soll.

Trend: Integrierte Archivierungslösung
Generell gilt: Die E-Mail-Archivierung sollte als Teil des unternehmensweiten Datenschutzes gesehen werden und in das produktive Umfeld des Unternehmens einbezogen sein. Denn die Migration der Daten ins Archiv ist neben der Backup-Strategie, den Recovery-Vorgaben und den Datenwiederherstellunsverfahren einer der wichtigsten Bestandteile des Information Lifecycle Managements im Unternehmen. Das Ziel ist es, Informationen über alle Datentypen, über jedes System und über jedes Stadium im Informationslebenszyklus hinweg in ihrem Zusammenhang einfach und schnell recherchieren zu können. Der Trend geht deshalb weg von einer separaten E-Mail- hin zu einer kombinierten File- und E-Mail-Archivierung, die unter anderem auch die langfristige Aufbewahrung sämtlicher anderer elektronischer Kommunikation wie Instant Messages oder Faxe beinhaltet. Neben einer gesetzeskonformen Archivierung sämtlicher Unternehmenskommunikation hat das einen weiteren Vorteil: Unternehmensarchive enthalten eine Fülle an Informationen, die als Basis für strategische und operative Entscheidungen genutzt werden können.

Manche Archivierungslösungen bieten als i-Tüpfelchen deshalb integrierte Data-Mining- und Business-Intelligence-Tools, um im Archiv schlummernde Wissensressourcen in Form von unstrukturierten Daten für das Unternehmen ausfindig zu machen. Beispielsweise kann die Vertriebsabteilung mit Hilfe von E-Mail-Nutzerstatistiken Möglichkeiten zu Cross- oder Upselling ausfindig machen. Mit der richtigen Archivierungssoftware können also nicht nur die Unternehmensrisiken durch Nichteinhaltung gesetzlicher Anforderungen sowie Kosten gesenkt und die Produktivität der Mitarbeiter gesteigert werden – richtig eingesetzt sorgt eine umfassende E-Mail-Archivierungslösung auch für die Optimierung von Geschäftsprozessen. (Atempo: ra)

Meldungen: Hintergrund

Fälschungen: Eine zunehmende Online-Bedrohung "If you can make it, they can fake it." Leider ist dieses Sprichwort nur allzu wahr. Der Handel mit gefälschten Waren betrifft heute fast alle Branchen und Produkte, von Luxusgütern und Technologieprodukten mit entsprechend hoher Marge bis hin zu eher margenschwachen Verbrauchsartikeln wie Batterien, Shampoo, Kraftstoff und Nahrungsmitteln. Und das Problem breitet sich aus. Nicht zuletzt, weil immer mehr gefälschte Waren hergestellt werden, und zwar vor allem in Ländern wie China, wo die Produktionskapazitäten förmlich explodieren (89 Prozent aller beschlagnahmten Fälschungen stammen von dort).

Gefahren beim Online-Banking Millionen Europäer nutzen heute Online-Banking – obwohl Umfragen zeigen, dass 85 Prozent der europäischen Verbraucher Sicherheitsbedenken bei der Nutzung von Finanzdienstleistungen im Internet haben. Dass die Bedenken begründet sind, lässt sich fast im Wochenrhythmus in den Zeitungen nachlesen: Ständig kann man Nachrichten über gestohlene Identitäten, verlorengegangene persönliche Daten und neue Betrugsversuche lesen. Dennoch bleiben die Methoden, die Cyber-Kriminelle für den Betrug im Online-Banking nutzen, für die meisten Menschen ein Buch mit sieben Siegeln.

Datendiebstahl und Informationssicherheit Weshalb ist es möglich, dass ein "Army Intelligence Analyst" mit über 250.000 Diplomatischen Datensätzen – gebrannt auf eine ganz normale CD-RW und gelabelt mit Lady Gagas Song "Telephone" – den Irakischen Stützpunkt in der Nähe von Bagdad verlassen konnte? Ein 22-jähriger Mann hat damit den wahrscheinlich größten Datendiebstahl in der amerikanischen Geschichte geschafft.

Die gravierenden Risiken der Non-Compliance 84 Prozent der deutschen Unternehmensführer betrachten Compliance, also die Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien inzwischen als wichtigen Faktor für den Unternehmenserfolg. Die nicht endende Flut an "Skandalen", zuletzt in Folge der Wirtschafts- und Finanzkrise, macht die Compliance-Schadensfälle für Unternehmen zur Chefsache. Das sind Ergebnisse der Potenzialanalyse Compliance von Steria Mummert Consulting.

Datenschutzprinzipien zur besseren Compliance Die Zeitschrift Forbes nannte das Jahr 2009 das "Year of the Mega Data Breach". Mit 220 Millionen gestohlenen Datensätzen wird der 2008 aufgestellte Rekord von 35 Millionen um mehr als das sechsfache übertroffen. Einen großen Anteil an dieser Entwicklung tragen unsicher entwickelte Softwareapplikationen, die Datensysteme zum Selbstbedienungsladen für Kriminelle machen.

Compliance durch sicheren Umgang mit Log-Daten Zahlreiche Compliance-Vorschriften wie Health Insurance Portability and Accountability Act (HIPPA) oder Payment Card Industry Data Security Standard (PCI-DSS) fordern von Unternehmen die Sammlung und Speicherung ihrer Log-Daten. Doch den Betroffenen entstehen dadurch auch neue Möglichkeiten um beispielsweise Angriffe zu erkennen oder Fehlerursachen schneller zu finden.

Informationsaustausch in Steuersachen Im Fall des Ex-Vorstandes der Deutschen Post AG, Klaus Zumwinkel, stand bereits vor Beginn der Razzia und bei seiner Abfahrt in Polizeibegleitung das Kamerateam bereit. In der Folge hätte rechtlich geklärt werden können, ob man Steuersünder aufgrund "erst gestohlener und später gleichsam als Hehlerware weiterverkaufter Daten" überhaupt verurteilen darf. Ab dem 01.01.2010 hat sich diese Fragestellung endgültig erledigt, denn dann tritt ein Abkommen zwischen Deutschland und Liechtenstein in Kraft, welches nahezu jeden Informationsaustausch in Steuersachen sicherstellt.

E-Mail und die digitale Steuerprüfung Kaufmännische Briefe und Rechnungen werden seit über 500 Jahren auf dem Postweg verschickt. Anschließend wurden sie in Kellern oder Lagern aufbewahrt, damit sie für notwendige Zugriffe schnell verfügbar waren. Inzwischen läuft der Versand kaufmännischer Dokumente fast ausschließlich digital per E-Mail. Dies erfordert jedoch neue Strukturen für die Archivierung und Strukturierung der Daten sowie zum Nachweis, dass die Daten und Inhalte nicht verändert wurden. Denn das ist eine Grundvoraussetzung dafür, dass die Prüfbarkeit auch der digitalen Daten und Dokumente gegeben ist.

Erfassung interner und externer Mails Nach einem Urteil des Oberlandesgerichts Karlsruhe von 2005 erfüllt schon das Löschen und Ausfiltern von E-Mails den Tatbestand des Unterdrückens gemäß §206 StGB. Daher müssen Unternehmen zur Gewährleistung der Compliance sämtliche elektronischen Nachrichten im Originalformat archivieren, selbst Spam- und vireninfizierte E-Mails. Entsprechend bieten manche herkömmliche E-Mail-Archivierungssysteme nur eine unzureichende juristische Absicherung. Denn sie erfassen und speichern eingehende Mails erst, nachdem sie von Antiviren- oder Spam-Filtern aussortiert wurden. Zusätzlich können bei Systemabstürzen einzelne Mails verloren gehen, wenn sie nicht zuvor vom Archivsystem gesichert wurden.

Compliance und ECM ergänzen sich gegenseitig Die Komplexität der heutigen Compliance-Vorschriften macht es für Mitarbeiter fast unmöglich, selbst den Überblick darüber zu behalten, welche Nachrichten gespeichert werden müssen und welche nicht. Daher können Unternehmen heutzutage nicht mehr darauf verzichten, E-Mails automatisch zu sichern. Eine softwareseitige Unterstützung erleichtert nicht nur den Mitarbeitern die Arbeit, sondern gibt der Geschäftsführung Sicherheit, dass wichtige E-Mails auch wirklich aufbewahrt werden.