E-Mail-Archivierung als Teil der Business-Continuity-Strategie

Eine Cyber-Resilienz-Strategie umfasst Maßnahmen für die Reaktion auf Systemausfälle oder Datenwiederherstellung, sagt Gastautor Roland Latzel.

Während Mitarbeiter bei einer Störung – etwa durch beschädigte Hardware, Ausfälle in Rechenzentren oder Cyberangriffe – nur eingeschränkt auf Ressourcen wie Anwendungen, E-Mail-Server und Dokumente wie E-Mails zugreifen können und der Geschäftsbetrieb ins Stocken gerät, steigt das Risiko, dass Daten unwiederbringlich verloren gehen. Außerdem müssen Unternehmen nicht nur mit Umsatzeinbußen und Reputationsschäden rechnen. Wenn der Gesetzgeber davon ausgeht, dass das Unternehmen rechtlichen Verpflichtungen nicht nachgekommen ist, drohen juristische Konsequenzen.

Und welche Rolle spielen E-Mails in dieser Sache? Mittlerweile versenden und empfangen Unternehmen jeder Branche auch geschäftskritische Nachrichten und personenbezogene Informationen über den elektronischen Postweg. Daher tragen sie die Verantwortung, E-Mails selbst im Störfall dauerhaft verfügbar zu halten und dabei revisionssicher und datenschutzkonform zu sichern – und natürlich vor Verlust zu schützen.

Backups allein greifen zu kurz

Damit es gar nicht erst zu schwerwiegenden Folgen kommt, sollte das Business Continuity-Management die potenziellen Risiken und Folgen eines Ausfalls erfassen und eingehend bewerten. Die daraus gezogenen Erkenntnisse dienen dem Ausbau einer Business Continuity-Strategie. Diese umfasst Prozesse und Tools, mit deren Hilfe Unternehmen die Auswirkungen eines Ausfalls minimieren und den Betrieb aufrechterhalten können. Dementsprechend enthält die Strategie auch Fahrpläne zur Sicherung sowie Wiederherstellung von Daten und IT-Systemen. Damit beschäftigt sich vor allem die Disaster Recovery.

Logischerweise muss für die Disaster Recovery der gesamte Datenbestand – einschließlich geschäftlicher E-Mails – kopiert und auf einem externen, ebenfalls gesicherten Speichermedium abgelegt werden. Daraus stellt das IT-Team im Störfall die Daten wieder her. Für diese Aufgabe greifen Unternehmen häufig als Grundlage zu einer Backup-Lösung. Allerdings erstellt eine solche Lösung nur in kurz- bis mittelfristigen Abständen sogenannte „Snapshots“ – sprich: Es wird nur der (zusätzliche) Datenbestand gesichert, der zum jeweiligen Erstellungszeitpunkt vorherrschte. Abhängig von der gewählten Backup-Art (inkrementell, differentiell oder Vollsicherung) können sich Zyklen und Speicherbedarf unterscheiden. Kommt es nach dem letzten Backup zum Störfall, sind seit dem letzten Snapshot angefallene Daten und E-Mails und folglich auch die Business Continuity gefährdet.

Mit E-Mail-Archivierung auf der sicheren Seite

In Sachen Disaster Recovery und Business Continuity sind regelmäßige (und validierte) Backups demnach zwar ein unverzichtbares Werkzeug, garantieren aber weder den umfangreichen Schutz vor Verlust noch die Wiederherstellung des vollständigen Bestandes der E-Mail-Kommunikation. Eine zusätzliche professionelle E-Mail-Archivierungslösung gleicht die Defizite aus, die beim alleinigen Einsatz eines Backup-Systems bestehen. Ähnlich wie beim Backup werden auch im Zuge der E-Mail-Archivierung Kopien der E-Mails in einem zentralen Archiv abgelegt. Dafür stehen den IT-Experten je nach Strategie zwei unterschiedliche Archivierungsmethoden zur Verfügung, zwischen denen sie wählen oder die sie parallel nutzen können. Im Übrigen sollte auch das E-Mail-Archiv stets im Rahmen des Backup-Plans gesichert werden – ein Archiv ist kein Ersatz für ein Backup, sondern eine komplementäre Lösung.

Bei der Journalarchivierung auf der einen Seite kopiert die Lösung jede ein- und ausgehende E-Mail samt ihrem Anhang. Das passiert bevor eine Nachricht im Postfach des Anwenders zugestellt bzw. versendet wird, wodurch Lücken im Datenbestand vermieden werden. Journalarchivierung ist grundsätzlich wichtig für die Revisionssicherheit, da unter anderem die Vollständigkeit der relevanten E-Mail-Kommunikation gewährleistet werden muss.

Individuelle Postfachstruktur bleibt erhalten

Bei der Postfacharchivierung auf der anderen Seite legt die IT selbst die Intervalle fest, in denen die Lösung sämtliche E-Mail-Postfächer im Unternehmen in das Archiv kopiert. Dabei bleibt die individuelle Postfachstruktur jedes Mitarbeiters bestehen. Mithilfe zusätzlicher Löschregeln bestimmen die IT-Experten, wann das System zuvor archivierte Nachrichten dauerhaft vom E-Mail-Server entfernen soll. Dies entlastet nicht nur langfristig den E-Mail-Server, sondern beschleunigt auch anfallende Backup und Restore-Prozesse.

Zusätzliche Such- und Exportfunktionen vereinfachen zudem selbst im Falle einer Systemstörung den Zugang zum aktuellen E-Mail-Bestand sowie den Export relevanter E-Mails in Standardformate – nicht nur für IT-Mitarbeiter, sondern bei Bedarf sowohl für Compliance-Auditoren als auch für Anwender. Letztere können in der Regel versehentlich gelöschte Nachrichten selbständig aus ihrem persönlichen Archiv mit wenigen Klicks wiederherstellen, ohne die IT-Abteilung involvieren zu müssen. Darüber hinaus profitiert auch die Rechtsabteilung von diesen Funktionen, da ein sauber konfiguriertes und gepflegtes E-Mail-Archiv zuverlässig und schnell Zugriff auch auf jahrealte Korrespondenzen ermöglicht, die in einer Rechtsangelegenheit als mögliche Beweismittel relevant sein können.

E-Mail-Archivierung jenseits von Cyber-Resilienz und Business Continuity

Wenn es um Cyber-Resilienz im Allgemeinen und das Aufrechterhalten des Geschäftsbetriebs im Speziellen geht, stellt eine professionelle E-Mail-Archivierungslösung ein wertvolles Tool dar. Doch ihr Mehrwert greift auch in Bereichen, die darüber hinausgehen. Dank ihrer aufgeführten Funktionen unterstützt sie Unternehmen zusätzlich bei der Einhaltung von gesetzlichen und datenschutzrechtlichen Vorgaben.

So verpflichtet in Deutschland der Gesetzgeber Unternehmen laut GoBD grundsätzlich dazu, steuer- und handelsrechtlich relevante Daten revisionssicher aufzubewahren. Diese Anforderungen beziehen sich unter anderem auf Bücher, Verträge, Rechnungen und Belege. Das gilt explizit auch für geschäftliche Korrespondenzen, die auf elektronischem Weg versendet und empfangen wurden.

Revisions- und rechtssicher unterwegs

In diesem Kontext bedeutet Revisionssicherheit, dass Unternehmen dazu angehalten sind, alle relevanten Daten lückenlos, vor Manipulation geschützt sowie jederzeit verfügbar aufzubewahren. Die Aufbewahrungsfristen geben hierzulande unter anderem das Handelsgesetzbuch und die Abgabenordnung vor. Angesichts dieser Anforderungen muss auch die Lösung, mit deren Hilfe Unternehmen ihrer Pflicht nachkommen, über entsprechende Funktionen verfügen. Als Beispiel wären zentral konfigurierbare Aufbewahrungsrichtlinien genannt. Eine professionelle E-Mail-Archivierungslösung ermöglicht die revisionssichere Aufbewahrung gemäß GoBD. Im Übrigen gelten auch in Österreich und der Schweiz vergleichbare Anforderungen an steuer- und handelsrechtliche Dokumente.

Ähnliches gilt für die EU-DSGVO bzw. das DSG in der Schweiz: Sie spricht EU-Bürgern spezifische Rechte zu, die sich auf ihre personenbezogenen Daten beziehen. So kann beispielsweise eine Person beantragen, dass ein Unternehmen ihre personenbezogenen Daten aus dem System löscht. Bei sachgerechter Anwendung hilft eine E-Mail-Archivierungslösung bei der Umsetzung solcher Anfragen.

Fazit: Existenz kann auf dem Spiel stehen

Systemausfälle am Arbeitsplatz sind keine Seltenheit – vor allem wenn man bedenkt, wie komplex die IT-Landschaft vieler Unternehmen mittlerweile ist. Darüber hinaus häufen sich die Fälle von Cyber-Angriffen. Dabei sind schon lange nicht mehr nur Konzerne betroffen, sondern zunehmend auch kleine und mittelständische Unternehmen und die öffentliche Hand. Unabhängig von den Ursachen haben sie jedoch immer eins gemeinsam: Wenn ein Unternehmen selbst für kurze Zeit seine Betriebsfähigkeit verliert, steht im schlimmsten Fall dessen Existenz auf dem Spiel.

Umso wichtiger ist es, mithilfe technischer Lösungen sowohl den Geschäftsbetrieb zu wahren als auch geschäftskritische Daten vor Verlust zu schützen. Für die Kommunikation via E-Mail erweist sich eine professionelle E-Mail-Archivierungslösung als besonders hilfreich. Sie stellt sicher, dass sämtliche E-Mail-Daten vollständig, langfristig sowie dauerhaft zugänglich aufbewahrt werden und sich bei Bedarf wiederherstellen lassen. Das kommt nicht nur der Business Continuity und folglich der allgemeinen Cyber-Resilienz zugute, sondern unterstützt Unternehmen auch hinsichtlich Compliance mit Anforderungen aus Steuerrecht und Datenschutz.

 

Roland Latzel

ist Senior Director Marketing by MailStore.