E-Mails: Backup allein reicht nicht aus
Die E-Mail ist als Business-Kommunikationsmittel erste Wahl und beinhaltet deshalb geschäftsrelevante Daten. Nationale Gesetze verlangen eine rechtssichere Archivierung, die IT-Sicherheitsstrategie ein Backup des E-Mail-Servers. Der Datenschutz darf dabei von IT-Entscheidern nicht außer Acht gelassen werden.
Trotz des steigenden Einsatzes von Instant Messaging oder Social Collaboration Tools in Unternehmen, bleibt die E-Mail das wichtigste Kommunikationsmittel in Organisationen. Im Jahr 2016 sollen täglich allein 116,4 Milliarden Business-E-Mails weltweit versendet werden, fand The Radicati Group heraus. Das internationale Technologie-Marktforschungsinstitut prognostiziert einen Anstieg auf 128,8 Milliarden im Jahr 2019. Angesichts dieser Zahlen und der rechtlichen Anforderungen an die Archivierung geschäftlicher E-Mails sind IT-Entscheider aufgefordert, die E-Mail-Archivierung in ihre strategische IT-Planung einzubeziehen. Denn durch die Zunahme des elektronischen Briefverkehrs ergeben sich hohe Datenmengen, die es aufgrund ihrer Geschäftsrelevanz zu sichern und rechtssicher zu archivieren gilt. Bei global agierenden Unternehmen darf nicht außer Acht gelassen werden, dass sich Compliance-Anforderungen international unterscheiden. Besonders in der DACH-Region sind die gesetzlichen Vorgaben streng.
Der Unterschied zwischen Backup und Archivierung
Verfahren IT-Verantwortliche nach dem Grundsatz „Wir haben E-Mail-Server-Backups. Deshalb müssen wir nicht gesondert archivieren“ bewegen sie sich auf „dünnem Eis“. Denn ein Backup ersetzt keine gesetzeskonforme Archivierung!
Grundlegender Sinn jeder Archivierung ist die Wiederauffindbarkeit und Verfügbarkeit von Daten auch über einen langen Zeitraum hinweg. Tag für Tag werden in Unternehmen Rechnungen, Angebote, Support- oder Terminabfragen mit Hilfe von E-Mails bearbeitet. Diese müssen über viele Jahre hinweg vollständig, originalgetreu, manipulationssicher und jederzeit verfügbar aufbewahrt werden, so verlangen es die GoBD. Das leistet die Archivierung von E-Mails und stellt den grundlegenden Unterschied zu einem Backup dar, welches einzig und alleine dazu dient, über einen limitierten Zeitraum wichtige Daten zu sichern und vorzuhalten, um sie im Bedarfsfall wiederherstellen zu können. Dieser Anforderung werden Backups auf externen Datenträgern nicht gerecht, weil sie nicht die vollständige, manipulationssichere Aufbewahrung aller E-Mails sicherstellen, da diese unmittelbar nach dem Eingang und vor dem Backup gelöscht werden können. Eine professionelle E-Mail-Archivierungslösung dagegen, legt Kopien aller E-Mails in einem zentralen Archiv ab und stellt so die Verfügbarkeit beliebiger Datenmengen auch über viele Jahre hinweg sicher. Durch Mechanismen wie Hashwerte und Verschlüsselung wird die gesetzlich geforderte Manipulationssicherheit erreicht. Anwender können weiterhin, beispielsweise über eine nahtlose Integration in Microsoft Outlook, auf ihre E-Mails zugreifen und diese mit Hilfe einer Volltext-Indexierung extrem schnell durchsuchen, finden und wiederherstellen.
Datenschutz muss sichergestellt sein
Um datenschutzrechtlichen Konflikten im Zuge der Archivierung aller ein- und ausgehenden E-Mails aus dem Weg zu gehen, empfiehlt es sich, die private E-Mail-Nutzung zu untersagen oder die ausschließliche Nutzung externer E-Mail-Dienste vorzuschreiben. Um juristisch auf der sicheren Seite zu sein, muss dies schriftlich fixiert, kontrolliert und konsequent durchgesetzt werden. Die schriftliche Fixierung kann beispielsweise in Richtlinien zur Nutzung der firmeneigenen IT-Infrastruktur, in einer Betriebsvereinbarung, einer Einverständniserklärungen der Belegschaft oder im individuellen Anstellungsvertrag erfolgen.
Fazit:
Weder ersetzt ein Backup eine Archivierung noch ist eine E-Mail-Archivierung im Stande, klassische Backup-Aufgaben zu erfüllen. Ein Backup bleibt selbstverständlich wichtig, denn auch gesetzeskonforme Archive sollten gesichert werden. Es bleibt also festzuhalten, dass sowohl Backup als auch die rechtskonforme Archivierung von E-Mails in der IT-Strategie von sicherheitsbewussten CIOs und IT-Verantwortlichen nicht fehlen dürfen, um zum einen eine zügige und vollständige Disaster Recovery sicherzustellen und zum anderen, um juristische Risiken durch Nichteinhalten der GoBD zu vermeiden.
Dieser Beitrag ist auch im Fachmagazin IT-Director sowie auf it-zoom.de erschienen:
http://www.it-zoom.de/it-director/e/backup-allein-reicht-nicht-aus-14464/