Umfassende Archivierungsstrategie grundlegend für Unternehmen jeder Größe Der Beweiswert von archivierten Dokumenten muss auch nach vielen Jahren erhalten und uneingeschränkt rechtswirksam bleiben
Von Peter Falk, Business Development Manager bei Fujitsu Technology Solutions
(25.11.09) - Die revisionssichere elektronische Archivierung setzt Archivsysteme voraus, die den Datenbestand nach gesetzlichen Vorgaben und internen Vorschriften sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei, reproduzierbar und datenbankgestützt recherchierbar verwalten. Die verwendeten Datenformate müssen dabei eindeutig, zuverlässig und langfristig interpretierbar sein. Die Daten müssen wirksam gegen ein mögliches Überschreiben geschützt und die technische Infrastruktur stabil verfügbar sein.
Darüber hinaus verlangt die Revisionssicherheit, dass standardisierte und wirtschaftliche Techniken und Technologien eingesetzt werden – wie beispielsweise zertifizierte Storage-Komponenten –, um die Daten möglichst kosteneffizient speichern und verarbeiten zu können.
Ein Archivierungskonzept besteht allerdings nicht nur aus einer technischen und einer organisatorischen, sondern auch aus einer rechtlichen Komponente. So sind die relevanten Rechtsvorschriften – wie die gesetzlichen Aufbewahrungsfristen von Dokumenten – bei der Archivierung einzuhalten. Unter einer rechtssicheren elektronischen Archivierung versteht man daher Archivsysteme, die die Kriterien der Revisionssicherheit erfüllen und die Daten und Dokumente zudem beweiswerterhaltend verwalten. Sie folgen Vorgaben von öffentlich geförderten Projekten und offenen Standards wie ArchiSig und ArchiSafe.
ArchiSafe – Rechtssichere Langzeitarchivierung Der Beweiswert von archivierten Dokumenten muss auch nach vielen Jahren erhalten und uneingeschränkt rechtswirksam bleiben. Fachleute erwarten, dass sich Schlüssel und Algorithmen zur Signierung und Verschlüsselung über den Lebenszyklus eines Dokuments im Abstand von fünf bis sieben Jahre verändern.
Für elektronische Signaturen, deren Wirksamkeit an mathematische Verfahren und damit korrespondierende Schlüssel gekoppelt ist, muss eine Technologie eingesetzt werden, die den Beweiswert von Signaturen langfristig erhält und damit ein gleich bleibendes Sicherheitsniveau im Archiv gewährleistet. Über öffentlich geförderte Projekte wie ArchiSig und ArchiSafe sind dazu im universitären Bereich Lösungen entwickelt und als Spezifikation veröffentlicht worden. Aufbauend auf rechtlichen Normen und dem ArchiSig/ArchiSafe-Standard erarbeitet das Bundesamt für Sicherheit in der Informationstechnik (BSI) derzeit mit TR-03125 eine Technische Richtlinie für die vertrauenswürdige elektronische Langzeitarchivierung von Dokumenten.
Elektronische Signatur für mehr Sicherheit Die Basis für die sichere Übermittlung, Speicherung und Archivierung von Daten unter Verwendung der qualifizierten elektronischen Signatur ist die Verschlüsselungstechnologie. Dabei spielen der Algorithmus selbst – also die Schlüsselqualität – und die Schlüssellänge eine wesentliche Rolle. Mit dem Einsatz von Public-Key-Infrastrukturen (PKI) werden Technologien bereitgestellt, die eine sichere, aber zeitlich befristete Beweiswerterhaltung von elektronisch signierten Dokumenten ermöglichen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, für die rechtssichere Beweiswerterhaltung mathematische Verfahren einzusetzen, die Hash-Bäume – also Signaturdateien, die in einer Baumstruktur miteinander verknüpft sind – erzeugen und dabei gemäß deutschem Signaturgesetz qualifizierte Zeitstempel auf Basis einer so genannten Public-Key-Infrastruktur (PKI) verwenden. Eine PKI ermöglicht es, digitale Zertifikate zu empfangen, zu verteilen und zu prüfen. (Fujitsu Technology Solutions: ra)
Standards wie ArchiSig und ArchiSafe
-
Die revisionssichere elektronische Archivierung setzt Archivsysteme voraus, die den Datenbestand nach gesetzlichen Vorgaben und internen Vorschriften sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei, reproduzierbar und datenbankgestützt recherchierbar verwalten. Die verwendeten Datenformate müssen dabei eindeutig, zuverlässig und langfristig interpretierbar sein. Die Daten müssen wirksam gegen ein mögliches Überschreiben geschützt und die technische Infrastruktur stabil verfügbar sein.
Untersuchung: Der deutsche StaaS-Markt
-
Das rasante Wachstum von Unternehmensdaten treibt die Entwicklungen im Storage-Markt nach vorne. Der unaufhörlich steigende Bedarf an flexibler Speicherkapazität, vor allem die enorme Zunahme an unstrukturierten Datenformaten wie E-Mail etc., stellt IT-Anwender vor gro?e Herausforderungen beim Archivieren und beim Backup. Hersteller sind gefordert, auf diese Probleme – mit den richtigen Produkten und Services – zu reagieren. Das neue Multi Client-Projekt von IDC "Storage-as-a-Service: Anwenderpräferenzen und Trends in Deutschland, 2009/2010" bietet Anbietern von Storage-as-a-Service-Lösungen (in Anlehnung an SaaS, Software-as-a-Service) Gelegenheit, sich an dem Projekt zu beteiligen.
Der neue Trend heißt Storage-as-a-Service
-
Angesichts der unsicheren Wirtschaftslage kämpfen alle, große genauso wie kleine Unternehmen, mit immer knapperen IT-Budgets. Bei gleichzeitig gestiegenen gesetzlichen Anforderungen – Stichwort Compliance –, dem enorm anwachsenden digitalen Datenbestand und nicht zuletzt dem zunehmenden Kostendruck suchen Firmen und Organisationen aller Größen nach praktikablen Lösungen für die sichere Verwaltung ihrer digitalen Daten. On-Demand-Technologielösungen wie SaaS (Software-as-a-Service) und STaaS (Storage-as-a-Service) bieten hier interessante Möglichkeiten zur Kosteneinsparung. Iron Mountain Digital, Spezialistin für digitale Informationssicherung, hat daher die wichtigsten Punkte für die Wahl eines STaaS-Anbieters in einer Checkliste zusammengefasst.
Prüfbarkeit digitaler Unterlagen (GDPdU)
-
Auf die gesetzlich festgelegten Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) beruft sich das Finanzamt während einer Betriebsprüfung (Stichwort: Digitale Betriebsprüfung). Laut § 147 Abs. 6 und § 146 Abs. 5 der Abgabenordnung muss jeder Gewerbetreibende bereits seit Januar 2002, ohne Einschränkung hinsichtlich Größe und Art des Unternehmens, steuerbezogene Informationen bis zu zehn Jahre in digital auswertbarer und strukturierter Form aufbewahren. Zeitraubendes Sichten unzähliger Mikrofilme und Aktenordner durch Finanzbeamte und Wirtschaftsprüfer sollte durch diese Vorschrift ebenso vermieden werden wie Dokumentationslücken.
Compliance und ECM ergänzen sich gegenseitig
-
Die Komplexität der heutigen Compliance-Vorschriften macht es für Mitarbeiter fast unmöglich, selbst den Überblick darüber zu behalten, welche Nachrichten gespeichert werden müssen und welche nicht. Daher können Unternehmen heutzutage nicht mehr darauf verzichten, E-Mails automatisch zu sichern. Eine softwareseitige Unterstützung erleichtert nicht nur den Mitarbeitern die Arbeit, sondern gibt der Geschäftsführung Sicherheit, dass wichtige E-Mails auch wirklich aufbewahrt werden.
Digitalisierung von wichtigen Kulturgütern
-
Weltweit sind in den letzten Jahrzehnten zahlreiche Initiativen entstanden, die sich der Digitalisierung von wichtigen Kulturgütern widmen. Sie alle verfolgen dabei das doppelte Ziel, die Werke vor übermäßiger Abnutzung zu schützen und sie über das Internet einem weltweiten Nutzerkreis zur Verfügung zu stellen. Mittelfristig steht natürlich auch das Ziel im Raum, digitale Sicherheitskopien anzulegen, um im Falle einer Katastrophe möglichst originalgetreue Nachbildungen anfertigen zu können.