|
E-Mail als unternehmenskritische Daten Das Internet ist in den letzten Jahren über alle Bereiche wirtschaftlichen und privaten Handelns zu einer wichtigen Kommunikationsplattform geworden. Elektronischer Schriftverkehr in Form von E-Mails hat hierbei eine tragende Rolle und steigt in seiner Bedeutung immer stärker. Immer häufiger enthalten E-Mails wichtige, geschäftsrelevante Daten wie Bestellungen, Angebote, Rechnungen oder Informationen zu bestimmten Abläufen. Ein schneller, ständiger Zugriff auf diese Informationen muss gewährleistet sein, um kontinuierliche Arbeitsabläufe zu garantieren. Gehen wichtige E-Mails verloren, kann dies erhebliche betriebswirtschaftliche Schäden nach sich ziehen. Handelt es sich um E-Mails in Verbindung mit finanzbuchhalterischen oder handelsrechtlichen Informationen sind Richtlinien zur Langzeitarchivierung und Wiederherstellung sowie grundlegende Basel-II Kriterien einzuhalten. Dabei ist insbesondere bei E-Mails darauf zu achten, dass ein effektiver Schutz vor Missbrauch besteht und der Datenschutz gewährleistet wird Das österreichische Unternehmensgesetzbuch UGB UGB §190 (5) Der Unternehmer kann zur ordnungsmäßigen Buchführung und zur Aufbewahrung seiner Geschäftsbriefe (§ 212 Abs. 1) Datenträger benützen. Hierbei muss die inhaltsgleiche, vollständige und geordnete … Wiedergabe bis zum Ablauf der gesetzlichen Aufbewahrungsfristen jederzeit gewährleistet sein ... UGB §212 (1) Der Unternehmer hat seine Bücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse samt den Lageberichten, Konzernabschlüsse samt den Konzernlageberichten, empfangene Geschäftsbriefe, Abschriften der abgesendeten Geschäftsbriefe und Belege für Buchungen in den von ihm gemäß § 189 Abs. 1 zu führenden Büchern (Buchungsbelege) sieben Jahre lang geordnet aufzubewahren; darüber hinaus noch solange, als sie für ein anhängiges gerichtliches oder behördliches Verfahren, in dem der Unternehmer Parteistellung hat, von Bedeutung sind. UGB § 216 Wer Eintragungen oder Aufbewahrungen … vorgenommen hat muß … auf seine Kosten innerhalb angemessener Frist diejenigen Hilfsmittel zur Verfügung stellen, die notwendig sind, um die Unterlagen lesbar zu machen, und, soweit erforderlich, die benötigte Anzahl ohne Hilfsmittel lesbarer, dauerhafter Wiedergaben beibringen. Das österreichische Umsatzsteuergesetz UstG § 11 (2) … Stellt der Unternehmer Rechnungen … aus, so hat er eine Durchschrift oder Abschrift anzufertigen und sieben Jahre aufzubewahren; das gleiche gilt sinngemäß für Belege, auf die in einer Rechnung hingewiesen wird. …Die Echtheit der Herkunft und die Unversehrtheit des Inhalts der auf elektronischem Weg übermittelten Rechnungen muss für die Dauer von sieben Jahren gewährleistet sein. Gesetzliche Vorschriften in Deutschland: GDPdU Der wachsenden Wichtigkeit des Mediums E-Mail trägt seit Januar 2002 daher auch der Gesetzgeber Rechnung. Rechtsgültige Vorschriften sind in den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) geregelt. Diese basieren unter anderem auf folgenden Bestimmungen und Definitionen: „E-Mails, die für die Besteuerung von Bedeutung sind, sind aufzubewahren“
(§147 AO) „E-Mails sind aufzubewahren, wenn sie dem Begriff des Handelsbriefs entsprechen“
(Beck'scher Bilanzkommentar 1999, § 257, Rn 15; Adler/Düring/Schmaltz 1995, § 257, Rn 34, 4. Absatz; u.a.) „Ein Schriftstück betrifft ein Handelsgeschäft, wenn es seine Vorbereitung, seinen Abschluss, seine Durchführung oder seine Rückgängigmachung zum Gegenstand hat."
(Bonner Handbuch der Rechnungslegung, § 257, Rn 34) Allgemein gilt nach deutschem §257 HGB: HGB § 257 Aufbewahrung von Unterlagen. Aufbewahrungsfristen (1) Jeder Kaufmann ist verpflichtet, die folgenden Unterlagen geordnet aufzubewahren: Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Einzelabschlüsse nach §325 Abs. 2a, Lageberichte, Konzernabschlüsse, Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, die empfangenen Handelsbriefe, Wiedergaben der abgesandten Handelsbriefe, Belege für Buchungen in den von ihm nach § 238 Abs. 1 zu führenden Büchern (Buchungsbelege)
(2) Handelsbriefe sind nur Schriftstücke, die ein Handelsgeschäft betreffen. (3) Mit Ausnahme der Eröffnungsbilanzen und Abschlüsse können die in Absatz 1 aufgeführten Unterlagen auch als Wiedergabe auf einem Bildträger oder auf anderen Datenträgern aufbewahrt werden, wenn dies den Grundsätzen ordnungsmäßiger Buchführung entspricht und sichergestellt ist, daß die Wiedergabe oder die Daten mit den empfangenen Handelsbriefen und den Buchungsbelegen bildlich und mit den anderen Unterlagen inhaltlich übereinstimmen, wenn sie lesbar gemacht werden, während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb angemessener Frist lesbar gemacht werden können. Sind Unterlagen auf Grund des § 239 Abs. 4 Satz 1 auf Datenträgern hergestellt worden, können statt des Datenträgers die Daten auch ausgedruckt aufbewahrt werden; die ausgedruckten Unterlagen können auch nach Satz 1 aufbewahrt werden. (4) Die in Absatz 1 Nr. 1 und 4 aufgeführten Unterlagen sind zehn Jahre, die sonstigen in Absatz 1 aufgeführten Unterlagen sechs Jahre aufzubewahren. Somit ist die Langzeitarchivierung von E-Mails in Originalform nicht allein zur Optimierung von Arbeitsabläufen sinnvoll, sondern auch von rechtlicher Seite dringend erforderlich. Wirtschaftliche Bedeutung – Basel II Richtlinien Auch die Basel-II Richtlinien erfordern einen ordentlichen Informationsfluss und eine lückenlose Nachvollziehbarkeit von Geschäftsprozessen in einem Unternehmen. Diese sind ein wesentliches Kriterium zur Beurteilung des Unternehmenswerts und der Kreditwürdigkeit in der Finanzwelt. Geringe Budgets und knappe Ressourcen (TCO und ROI) Wie generell bei Umstellungen und Ergänzungen einer IT-Infrastruktur gilt auch hier die personellen und finanziellen Belastungen durch Inbetriebnahme, Administration und Modifikationen bestehender Systeme möglichst gering gehalten werden. Kosten und Nutzen müssen dabei in einem sinnvollen Zusammenhang stehen. Eine unkomplizierte Implementierung, geringer administrativer Aufwand und eine einfache Bedienbarkeit sind hier wesentliche Punkte. Generell gilt es, bestehende Systeme zu erhalten und neue Komponenten nahtlos zu integrieren. Systemarchitektur und Spezifikationen Bei EMA handelt es sich um eine Appliance als Komplettlösung zur vollständigen Archivierung des gesamten E-Mail-Verkehrs auch in kleinen Unternehmen. Vorteile dieser Architektur liegen in der optimalen Abstimmung von Hardware und Software, so dass es zu keinen System- oder Treiberproblemen aufgrund exotischer Komponenten kommen kann. Auch Ressourcenprobleme oder Konflikte mit anderen Programmen werden unterbunden, indem nur funktionsrelevante Applikationen auf dem Gerät betrieben werden. EMA basiert auf den Standardprotokollen SMTP und POP3. Obwohl EMA mit dem Ziel entwickelt wurde, in einer POP3-Umgebung eingesetzt zu werden, kann es mit begrenzten Features - auch in einer ‚nur-SMTP-Umgebung’ (z.B. Exchange) verwendet werden. Leichte Integration und Implementierung Die Konzeptionierung als Appliance ermöglicht es, EMA „plug & play“ in Betrieb zu nehmen. Die Lösung wird funktionsfähig geliefert und bedarf nur dreier Anschlüsse: Strom sowie zweier FAST Ethernet Anschlüsse WAN und LAN; es wird also zwischen den Internetzugang und dem Ausgang zum internen Netzwerk installiert. Weiterhin kann ein Ort im Netzwerk angegeben werden, an dem die Archivdateien hinterlegt werden sollen. Damit kann die E-Mail-Archivierung flexibel in eine evtl bereits bestehende Datensicherung eingebunden werden. EMA erkennt nun selbstständig vorhandene E-Mail Accounts und übernimmt jede ausgehende und eingehende E-Mail in das Archiv. Änderungen an Clients oder an der Netzwerkstruktur sind nicht notwendig, EMA arbeitet unabhängig von Systemspezifika. Einfache Bedienung Die Bedienung von EMA erfolgt über eine Weboberfläche. Neben den einmalig durchzuführenden Konfigurationseinstellungen ermöglicht diese das Suchen und Wiederherstellen von archivierten Daten. Über die Zugangsdaten des E-Mail Kontos können sich normale Benutzer anmelden, auf alle ihre E-Mails zugreifen und bei Bedarf wiederherstellen. Zusätzlich gibt es einen Administratorzugang, der auf alle E-Mails zugreifen kann. Dieser ist dabei durch ein Passwort geschützt und verhindert so ungewollte Konfigurationsänderungen oder nicht autorisierten Zugriff auf archivierte Informationen. Beim Einsatz in einer reinen SMTP Umgebung erfolgt der Zugriff allein über den Administratorzugriff. Datensicherheit und Datenschutz Die Bedeutung von E-Mails und die Sensibilität ihrer Inhalte verpflichten allerdings nicht nur zur Archivierung an sich, sondern auch zu einem sorgsamen Umgang mit dem Archiv selbst. Im Gegensatz zu vielen anderen Lösungen speichert EMA E-Mails nicht im Klartext, sondern verschlüsselt mit AES 128bit, so dass ein Zugriff auf die E-Mails nur über das Webinterface möglich ist. Die Verschlüsselung ist dabei an die jeweilige Appliance gebunden und eine Entschlüsselung durch Dritte daher nicht möglich. Im Falle eines Hardwareverlusts ist ARTEC in der Lage das Archiv wieder funktionsfähig zu machen ohne dabei die Verschlüsselung aufzuheben oder überhaupt auf die archivierten Dateien zuzugreifen. Sensible Inhalte bleiben dadurch vor Fremdzugriffen und ungewollten Einsichten – auch von ARTEC – geschützt und das Archiv trotzdem zukunfts- und ausfallsicher. Als weiteres Feature zur Gewährleistung von Datenschutzrichtlinien werden sämtliche Zugriffe auf das Archiv in einer geschützten Logdatei festgehalten. So wird sichergestellt, dass auch ein zugriffsberechtigter Administrator seine Rechte nicht missbraucht und keine nicht für ihn bestimmten Inhalte einsieht, wie etwa private oder vertrauliche E-Mails. Darüber hinaus bietet EMA einen automatisierten Signaturdienst. Dabei wird jede archivierte E-Mail von ARTECs ANA(Automated Network Administrator) Server1 verifiziert und mit einem digitalen Siegel versehen. Übermittelt wird dazu nur eine Prüfsumme der verschlüsselten E-Mail, die eigentliche E-Mail bleibt bei EMA. Dies beschränkt auch den Bandbreitenbedarf auf ein Minimum.Für eine so signierte E-Mail garantiert ARTEC (auch Dritten gegenüber), dass die E-Mail zum Zeitpunkt der Signierung in genau dieser Form existiert hat und unverändert vorliegt; ein zusätzliches Gewicht für die Authentizität des Archivs. Archiv Backup und Datenmigration Zusätzliche Sicherheit für das Archiv liefert die Backupfunktion. Dadurch können die Archivdateien automatisch und regelmäßig an einen weiteren Speicherort gesichert werden und so einen erhöhten Schutz vor Hardwaredefekten gewährleisten. Ein manuelles Backup ist ebenfalls integriert. Dies ermöglicht etwa die Auslagerung des bisherigen Archivs auf externe, revisionsichere Datenträger wie optische Medien und die geographische Trennung von Speicherorten. ANA ist ARTECs Automated Network Administrator – eine Technologie zur Automatisierung und Vereinfachung von administrativen Aufgaben
|
