E-Mail-Archivierung als Teil der Business Continuity
Die zunehmende digitale Vernetzung von Unternehmen in einer globalisierten Wirtschaftswelt sowie die Digitalisierung unternehmensinterner Geschäftsprozesse hat in den letzten Jahren zu einem starken Anstieg geschäftskritischer Informationen in elektronischer Form geführt. Diese Daten können sowohl in-house auf unternehmenseigenen Systemen gespeichert werden (on-premises), als auch in Cloud-Diensten (Private Clouds oder Public Clouds). Vermehrt gibt es auch hybride Ansätze, in denen sowohl intern als auch mittels Cloud-Diensten Daten gespeichert und verarbeitet werden. Diese Daten dauerhaft verfügbar zu halten ist für den Geschäftserfolg entscheidend und gehört zu den Kernaufgaben der IT-Strategie eines Unternehmens. Ein Ausfall der IT Infrastruktur und eine Nicht-Verfügbarkeit wichtiger Daten zieht in den meisten Fällen eine Störung der Geschäftsfähigkeit nach sich und kann den Unternehmenserfolg gefährden. Können verlorene Daten nicht wiederhergestellt werden, kann je nach Ausmaß des Datenverlustes sogar die Existenz eines Unternehmens auf dem Spiel stehen. Zudem drohen wirtschaftliche Sanktionen durch die Verletzung rechtlicher Vorschriften hinsichtlich der Aufbewahrung geschäftsrelevanter Dokumente oder der EU-Datenschutz-Grundverordnung (DSGVO).
In Deutschland regeln die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) die Art und Weise der Aufbewahrung geschäftsrelevanter Unterlagen. Die Anforderungen, welche Unterlagen wie lange aufbewahrt werden müssen, sind u.a. im Handelsgesetzbuch (§ 257 HGB) und in der Abgabenordnung (§ 147 AO) verankert, in Österreich in der Bundesabgabenordnung (BAO) und in der Schweiz im Obligationenrecht. Das betrifft nicht nur Branchen, in denen häufig sensible, personenbezogene Daten per E-Mail versendet und empfangen werden, sondern branchenunabhängig den Großteil aller Unternehmen.
Die Gründe für einen Ausfall relevanter Software- oder Hardwaresysteme, fehlendem Datenzugriff oder gar Datenverlust können vielfältig sein. Von einfachen Anwenderfehlern über vorsätzliche Manipulation (z.B. bewusstes Löschen von Daten durch Mitarbeiter oder Cyber-Attacken von außerhalb) bis hin zu Elementarschäden (z.B. Überschwemmungen durch Starkregen) oder sonstige nicht kalkulierbare Schadensursachen (z.B. Feuer im Unternehmensgebäude). Ebenso kann es zu einer Störung des Geschäftsbetriebs kommen, wenn die Infrastruktur des Cloud-Anbieters betroffen ist, dessen Dienste genutzt werden.
Was bedeutet Business Continuity?
Mit derartigen Risiken befassen sich Unternehmen im Rahmen der Business Continuity (BC). Es werden Strategien, Aktivitäten und Prozesse definiert, die eine Störung oder einen Ausfall der Geschäftsfähigkeit verhindern sollen oder im Ernstfall die schnellstmögliche Wiederaufnahme der Geschäftstätigkeit bewerkstelligen. Da sich Geschäftsprozesse und IT-Systeme im Laufe der Zeit ändern können, muss dieses Maßnahmenpaket regelmäßig auf Wirksamkeit überprüft werden. So können notwendige Anpassungen identifiziert werden.
Einen wichtigen Teilbereich des Business Continuity Managements bildet die Disaster Recovery, die sich mit der Sicherung und Wiederherstellung der notwendigen technischen Voraussetzungen, d.h. den geschäftskritischen Daten sowie IT-Netzwerken und -Systemen, befasst. Dafür bieten Backups und E-Mail-Archivierung wertvolle Unterstützung.
Backup und E-Mail-Archivierung als Teil der Disaster Recovery
Backups speichern die Daten eines Unternehmens (z.B. die Daten der eingesetzten Kommunikationsprogramme oder der ERP Software) zu einem bestimmten Zeitpunkt. Tritt ein Datenverlust auf, können die Daten bzw. ganze Systeme oder Server aus dem Backup wiederhergestellt werden. Allerdings wird lediglich der Datenbestand zum Zeitpunkt der Backup-Erstellung abgebildet. Veränderungen im Datenbestand nach der Backup-Erstellung sind somit nicht erfasst. Das bedeutet, dass Backups unter Berücksichtigung von Aufwand und Nutzen regelmäßig durchgeführt werden sollten, um den gesicherten Datenbestand so aktuell wie möglich zu halten.
Ergänzend zu den regelmäßigen Backups empfiehlt sich der Einsatz einer professionellen E-Mail-Archivierungslösung. Wenn man bedenkt, dass E-Mails als nach wie vor wichtigstes Kommunikationsmedium eine Vielzahl geschäftskritischer Dokumente enthalten, ist es wichtig, dass diese Daten vollständig, manipulationssicher und langfristig gesichert werden, um im Schadensfall weiterhin Zugriff auf sämtliche E-Mails zu haben. Positiver Nebeneffekt: Eine professionelle E-Mail-Archivierung hilft sowohl bei der Einhaltung datenschutzrechtlicher Anforderungen, als auch bei der Berücksichtigung steuer- und handelsrechtlicher Anforderungen (Revisionssicherheit). Das E-Mail-Archiv sollte stets durch ein Backup zusätzlich gesichert werden.
Zudem kann sich beim Einsatz einer E-Mail-Archivierungslösung die Komplexität von Backup- und Wiederherstellungsprozessen bezogen auf den E-Mail-Server reduzieren. Denn durch E-Mail-Archivierung können die Datenvolumina auf dem E-Mail-Server niedrig gehalten und somit die Zeit und der Speicherbedarf für den Backup-Prozess reduziert werden – entsprechend schneller lässt sich ein E-Mail-Server im Notfall durch ein Backup wiederherstellen.
Zielsetzung | E-Mail-Backup | E-Mail-Archivierung |
Abschaffung von Postfachbegrenzungen | ||
Abschaffung von PST-Dateien | ||
Reduzierung der Storage-Anforderungen durch De-Duplizierung und Komprimierung | ||
Entlastung des E-Mail-Servers und Vereinfachung von Backup und Restore | ||
Vollständige, manipulationssichere und langfristige Aufbewahrung von E-Mails | ||
Hilfe bei der Erfüllung rechtlicher Anforderungen | ||
Hilfe bei E-Discovery-Szenarien | ||
Volltextindexierung der E-Mails für eine schnelle Suche | ||
Endanwender: Einfache und schnelle Wiederherstellung verlorener E-Mails |
Die Aussagen in dieser Tabelle basieren auf den grundlegenden Konzepten von Backup und E-Mail-Archivierung. Je nach Anbieter können sich die Funktionen von Backup- und E-Mail-Archivierungslösungen unterscheiden.
Fallbeispiele und konkrete Anwendungsbereiche
In der Praxis können unterschiedliche Szenarien auftreten, die den Einsatz einer professionellen E-Mail-Archivierung als wichtigen Baustein der Business Continuity rechtfertigen und ein Backup-System sinnvoll ergänzen.
Fällt beispielsweise der genutzte E-Mail-Server aus (egal ob die Nutzung on-prem oder in der Cloud erfolgt), kann dieser durch ein Backup wiederhergestellt werden. Allerdings fehlen danach unter Umständen sämtliche E-Mails, die in der Zeitspanne zwischen dem letzten Backup bis zum Serverausfall empfangen und versendet wurden. Durch ein entsprechend konfiguriertes E-Mail-Archiv kann dieses Problem gelöst und der Zugriff auf den gesamten, lückenlosen E-Mail-Bestand gesichert werden.
Ein weiteres, nicht unübliches Szenario ist die Nicht-Verfügbarkeit oder sogar der Verlust geschäftskritischer E-Mails auf dem E-Mail-Server durch eine Ransomware- bzw. Malware-Attacke. Fälle von Datenverlust und Datendiebstahl können sich nicht nur störend auf das operative Geschäft auswirken, sondern stellen auch ein hohes Risiko bei der Einhaltung der oben genannten rechtlichen Pflichten dar. Auch hier bietet ein E-Mail-Archiv die Möglichkeit, lückenlos auf geschäftskritische Daten in E-Mails zuzugreifen, um den Geschäftsbetrieb aufrecht halten zu können und das Risiko juristischer Folgen zu minimieren. Dafür muss die E-Mail-Archivierungslösung in der Lage sein, alle relevanten E-Mails und deren Dateianhänge originalgetreu und manipulationssicher aufzubewahren.
Die Wahl der richtigen Archivierungsstrategie
Die Wahl der richtigen Archivierungsstrategie ist dabei entscheidend. Eine professionelle E-Mail-Archivierungslösung bietet je nach Anforderung eines Unternehmens verschiedene strategische Ansätze der Archivierung. Steht in erster Linie die rechtssichere E-Mail-Archivierung im Vordergrund, eignet sich die sogenannte Journalarchivierung. Ist hingegen die Entlastung des E-Mail-Servers das gewünschte Ziel, ist man mit einer Postfacharchivierung in Verbindung mit definierten Löschregeln besser bedient. Auch eine Kombination beider Ansätze ist möglich.
Wichtig ist in jedem Fall eine leistungsstarke Such- und Exportfunktion, die je nach Konfiguration auch durch die Anwender als Self-Service genutzt werden kann. So können Anwender bei Bedarf schnell und problemlos selbst auf ihre alten E-Mails zugreifen und diese bei Bedarf auch eigenständig wiederherstellen. Mühselige Recovery-Anfragen an die IT, die wiederrum E-Mails aus Backups wiederherstellen muss, werden dadurch überflüssig. Die IT-Abteilung wird dadurch entlastet. Auch im Falle von E-Discovery-Prozessen können schnell die gewünschten Ergebnisse erzielt werden. Kommt es beispielsweise zu einem Rechtsstreit, in dem E-Mails als Beweismittel gefragt sind, muss gegebenenfalls der komplette E-Mail-Bestand des Unternehmens effizient durchsucht werden und bei Bedarf in Standardformate exportiert werden können, ganz gleich ob durch einen internen Mitarbeiter oder einen externen Auditor.
Fazit
Die dauerhafte Verfügbarkeit von Daten und IT-Systemen ist Grundvoraussetzung für den Geschäftserfolg vieler Unternehmen und daher ein nicht mehr wegzudenkender Bestandteil der Unternehmensstrategie. Um die Business Continuity gewährleisten zu können, müssen bei der Erstellung der Sicherungsmaßnahmen für den Notfall eine Vielzahl potenzieller Gefahren und Risiken berücksichtigt werden. E-Mail-Archivierung kann einen wertvollen Beitrag zur Sicherung der geschäftskritischen Daten aus E-Mails leisten und zusammen mit Backups entscheidend bei der Umsetzung der Disaster Recovery sein.
Weiterführende Links
- E-Mail-Archivierung – Die Übersicht für IT-Entscheider
- E-Mail-Archivierung vs. Backup – Die kritischen Unterschiede
- Rechtssichere E-Mail-Archivierung mit MailStore Server
- E-Mail Governance: So werden Archivierung und Datenschutz nicht zum Widerspruch