Unternehmen bleibt heutzutage überhaupt nichts mehr anderes übrig, als sich mit der langfristigen revisionssicheren und gesetzeskonformen Aufbewahrung von E-Mails zu befassen. Doch trotz E-Mail-Flut müssen sich IT-Administratoren zusätzlich mit Effizienzsteigerung und Kosteneinsparungen auseinandersetzen.Wir sprachen über die Herausforderungen sowie über mögliche Lösungen mit Sascha Krieger, Mitglied des Research-Teams und Leiter Unternehmenskommunikation bei dem deutschen E-Mail-Sicherheitsanbieter Eleven.
Wenn sich ein Unternehmen für ein E-Mail-Archivierungssystem interessiert – was sind die Knackpunkte/Schmerzpunkte, warum man sich für so eine Lösung unterscheidet?
Krieger: Zunächst einmal ist die Archivierung geschäftlicher E-Mails keine freiwillige Leistung von Unternehmen, sondern gesetzlich vorgeschrieben. Das Wichtigste ist daher, dass die gesetzlichen Vorschriften eingehalten werden, das heißt, die E-Mails müssen langfristig (je nach Art sechs oder zehn Jahre) und revisionssicher, also unveränderbar gespeichert werden. Weiterhin ist darauf zu achten, dass die gespeicherten Daten sicher sind vor unautorisiertem Zugriff und dass die zur Archivierung bestimmte Infrastruktur so ausgelegt ist, dass sie auch bei möglicherweise stark zunehmendem E-Mail-Aufkommen nicht irgendwann an Kapazitätsgrenzen stößt.
Die langfristige revisionssichere und gesetzeskonforme Aufbewahrung von E-Mails ist heute eines der wichtigsten Themen rund um die geschäftliche E-Mail-Kommunikation. Wie stellen Sie dies bei Ihrer Lösung sicher?
Krieger: Wir bieten E-Mail-Archivierung als Managed-Service, das heißt, die Speicherung geschieht nicht im Unternehmen selbst, sondern in einer speziell von uns eingerichteter Infrastruktur. Diese ist so konzipiert, dass sie praktisch unbegrenzt skalierbar ist und damit beliebige Datenmengen bewältigen kann. Die Speicherung erfolgt dabei verschlüsselt, einmal gespeicherte E-Mails können nachträglich nicht verändert werden. Jede E-Mail wird mehrfach gespeichert und zwar in getrennten Systemen und an unterschiedlichen Orten, sodass ein Höchstmaß an Ausfallsicherheit gewährleistet ist. Durch die ausschließliche Nutzung zertifizierter Rechenzentren in Deutschland stellen wir zudem maximale Datensicherheit und optimalen Datenschutz sicher.
Wichtig sind auch die von Ihnen bereits angesprochenen vorgeschriebenen Aufbewahrungsfristen. Diese unterscheiden sich ja von üblicherweise von sechs Jahren (Geschäftsbriefe) bis zehn Jahre (Jahrsabschlüsse). Sind solche Fristeneinhaltungen in Ihrer Lösung mit enthalten?
Krieger: Unsere Lösung ist so konzipiert, dass sie alle gesetzlichen Bestimmungen vollständig erfüllt. So sind beliebige Speicherzeiten möglich, eine Begrenzung ist nicht vorgesehen. Damit können wir nicht nur die derzeit vorgeschriebenen Aufbewahrungszeiten garantieren, sondern auch in der Zukunft möglichen Änderungen bei der geforderten Aufbewahrungszeit entsprechen.
Gibt es noch weitere Vorschriften, die ein IT-Administrator beim E-Mail-Verkehr und bei der E-Mail-Archivierung zu beachten hat?
Krieger: Ein wesentlicher Aspekt ist die Einhaltung des Datenschutzes. Die Lösung muss sicherstellen, dass Unbefugte keinen Zugriff auf die E-Mails haben. Bei unserer E-Mail-Archivierungslösung nutzen wir hierzu beispielsweise eine Kombination aus Rechenzentren in Deutschland – wo die Datenschutzgesetze am strengsten sind –, eine verschlüsselte Speicherung und das Vier-Augen-Prinzip beim Zugriff auf archivierte E-Mails.
Haben sich schon Standards bei der Einrichtung und Umsetzung von E-Mail-Archiven etabliert? Oder sind das, was es auf dem Markt gibt, eher proprietäre Lösungen?
Krieger: Bislang gibt es auf dem Markt ausschließlich proprietäre Lösungen. Standards existieren nur insofern, als dass alle Archivierungssysteme die rechtlichen Bestimmungen beachten müssen. So müssen sie sicherstellen, dass gespeicherte E-Mails nicht nachträglich verändert werden können, sie müssen eine Speicherung über sechs bzw. zehn Jahre zulassen und ausfallsicher gestaltet sein. Wie diese Anforderungen umgesetzt werden, ist jedoch dem Anbieter bzw. Dienstleister überlassen. Im weitesten Sinne stellen die schon vorhandenen Standards für E-Mails auch einen Anhaltspunkt für die Archivierung dar, das heißt: Die gespeicherten E-Mails sollten sich mit allen E-Mail-Progammen öffnen lassen. Der Zugriff sollte zusätzlich Programm-unabhängig erfolgen können, beispielsweise über ein Webfrontend via Webbrowser.
Wie sieht Ihrer Meinung nach eine typische Archivierungs- bzw. E-Mail-Archivierungslösung für ein Unternehmen mit bis zu circa 100 Anwendern aus?
Krieger: Für ein Unternehmen dieser Größenordnung kommt nur ein Managed-Service in Frage, also eine Lösung, bei der die Archivierung an einen Dienstleister ausgelagert wird und auf dessen Infrastruktur geschieht. Die für eine langfristige und vor allem gesetzeskonforme E-Mail-Archivierung notwendigen Infrastrukturen und Kapazitäten aufzubauen, wäre – verglichen mit dem Nutzen für Unternehmen dieser Größe – viel zu teuer. Zudem ist es nicht mit der Speicherung getan. Diese so zu gestalten, dass sie den gesetzlichen Vorschriften entspricht, erfordert Expertise, über die kleine und mittelständische Unternehmen in der Regel nicht verfügen. Kosten und Aufwand einer Inhouse-Lösung sind für solche Unternehmen in der Regel nicht zu rechtfertigen.
Mittlerweile gibt es ja auch bereits E-Mail-Archivierungsangebote als Managed-Service bzw. E-Mail-Archivierung-as-a-Service. Können Sie einem Unternehmen diese Lösung schon uneingeschränkt empfehlen?
Krieger: Aus unserer Sicht sind Managed-Services der einzige Weg, geschäftliche E-Mails langfristig und gesetzeskonform zu archivieren und gleichzeitig die Kosten im Griff zu behalten. Der Dienstleister hat die Kapazitäten, die Infrastruktur und das Know-how, die eigene Infrastruktur wird nicht belastet und die Kosten bleiben auch langfristig planbar.