Kriterien für E-Mail-Archivierungslösungen
Mehr als lästige Pflicht
Die meisten Unternehmen betrachten das Thema E-Mail-Archivierung in erster Linie als "notwendiges Übel" - bedingt durch gesetzliche Auflagen wie etwa steuerrechtliche Aufbewahrungsvorschriften. Viel zu kurz kommt dabei die Frage nach dem eigentlichen Nutzwert solcher Lösungen. So kann etwa die Konsolidierung von E-Mail-Archiven in heterogenen E-Mail-Server-Landschaften den administrativen Gesamtaufwand reduzieren.
Das Thema E-Mail-Archivierung ist bei den meisten Unternehmen – aber auch in der Argumentation
der Anbieter – vorrangig von der Sorge um Rechtssicherheit geprägt. Leider bleiben bei der
Kaufentscheidung dann oft weitergehende technische Sachfragen auf der Strecke: zum Beispiel das
Thema Archivkonsolidierung, also das Zusammenführen verschiedener elektronischer Archive in einem
zentralen Archiv. Dabei wäre es für viele Unternehmen lohnenswert, sich damit zu beschäftigen. Denn
Konsolidierung heißt immer auch Senkung des administrativen Aufwands.
Konsolidierung stellt natürlich vorwiegend ein Thema für Anwender dar, die mehr als einen E-M
ail-Server im Einsatz haben. Typischerweise legen solche Unternehmen dann auch für jeden dieser
Server ein eigenes Archiv an, das entsprechend zu administrieren ist. Genau dies ist in der Regel
jedoch sehr zeit- und kostenintensiv.
Aber auch für Anwender, die von einem Mail-Server auf ein anderes System umsteigen wollen, kann
sich eine Archivkonsolidierung als Vorteil erweisen: Denn sie können so den Systemwechsel
vollziehen und weiterhin auf ihre archivierten Daten zugreifen, ohne diese womöglich erst migrieren
zu müssen.
Besonders der unternehmensinterne Mail-Verkehr erweist sich für Anwender im Zusammenhang mit
heterogenen E-Mail-Server-Landschaften als problematisch. Schwierigkeiten bereitet dabei vor allem
die Tatsache, dass an die interne Kommunikation der Server technologisch kaum heranzukommen ist.
Dabei sind natürlich gerade diese Daten oft besonders schützenswert – und zwar nicht nur aus
steuerrechtlicher Sicht.
Die Argumentation für E-Mail-Archivierungslösungen stellt hingegen vorrangig auf rechtliche
Anforderungen wie GDPdU, SOX und Basel II ab. Gerade bei kleineren und mittleren Unternehmen kann
dies aber eher zu Verwirrung führen als zu durchdachten Kaufentscheidungen. Der Gesetzgeber
begünstigt zudem indirekt diese Situation, indem er kein bestimmtes Archivierungsverfahren
vorschreibt.
Letzteres eröffnet zwar einerseits Handlungsspielräume, führt aber andererseits auch zu recht
großer Unsicherheit bei Anwendern. Denn was bedeutet letzten Endes wirklich "regelkonform" oder "
revisionssicher"? Hier bedarf es zusätzlicher Hilfestellungen für die Anwender, die sich mit der
Einschätzung der rechtlichen Sachverhalte oft überfordert fühlen. Unternehmen sind jedenfalls gut
beraten, sich eingehend mit dem Konzept einer Archivierungslösung auseinanderzusetzen, speziell
dann, wenn sie sich auch mit dem Gedanken tragen, ihre Archive zu konsolidieren. Denn dort kommt es
vor allem auf die Orientierung an Standards an, damit sich Arbeitsaufwand im erträglichen Rahmen
hält.
CMS im Schlepptau
Viele Archivlösungen sind mit der Einführung eines Content-Management-Systems (CMS) sowie
erheblichem Implementierungs- und Anpassungsaufwand verbunden. Gerade bei solchen Lösungen stellt
sich durchaus die Frage, ob eine regelkonforme Archivierung damit überhaupt realisierbar ist. Denn
derartige Systeme verlegen sich meist darauf, die E-Mails in die Bestandteile Header, Body und
Anhänge zu trennen und diese dann referenziert in einer Datenbank vorzuhalten.
Dabei ergeben sich jedoch zwei Fragen. Zum einen: Kann man noch von "unverändert" sprechen, wenn
E-Mails zerstückelt werden? Speziell dann, wenn beim späteren Zusammenfügen solcher Datenfragmente
ein anderes Bitmuster als das der ursprünglichen E-Mail entsteht. Wer würde wohl mit einem
zerstückelten Geschäftsbrief vor Gericht erscheinen, nachdem er die Einzelteile mit Klebeband
wieder verbunden hat, und dann allen Ernstes behaupten, das ursprüngliche Dokument sei nicht
verändert worden? Zum anderen bleibt zu klären, wie die jeweiligen Datenbanken und die enthaltenen
Informationen vor dem Zugriff und den Manipulationen unbefugter Personen geschützt sind.
Sinnvoll erscheinen Archivierungskonzepte, die am E-Mail-Server selbst ansetzen und diesen
letztlich veranlassen, automatisch eine Kopie aller eintreffenden E-Mails an das Archiv zu
übergeben – und zwar am besten im SMTP-Format. Damit lassen sich die Daten bei Bedarf auch an jeden
anderen Server weiterreichen. Gerade die Frage, wo ein Archiv ansetzt, ist deshalb bedeutsam, weil
viele angebotene Lösungen aus der Tradition von Anti-Spam-Produkten kommen und somit eher an der
Peripherie als am E-Mail-Server lokalisiert sind.
Wer den Konfigurations- und Inbetriebnahmeaufwand gering halten will, sollte die verschiedenen
Appliance-Lösungen unterschiedlicher Hersteller genauer betrachten, die auch preislich oft eine
günstigere Alternative im Vergleich zu anderen Lösungsansätzen darstellen können. Damit ein
Archivierungssystem einfach in Betrieb zu nehmen ist, muss es unabhängig von Plattformen und
Speicherlandschaften einsetzbar sein. Darüber hinaus sollte es dazu in der Lage sein, automatisiert
und intelligent alle bestehenden E-Mail-Konten zu "lernen". Zusätzlich kommt es darauf an, die
Sicherheit und Unveränderbarkeit der Daten zu gewährleisten: Deshalb sollten
Verschlüsselungsverfahren zum Einsatz kommen, die die Daten als "Fixed Content" archivieren, sodass
diese sicher vor dem Zugriff von Dritten sind und sich selbst von Systemadministratoren nicht mehr
verändern lassen. Allerdings sollte es sich auch hier um Standardverfahren wie etwa AES handeln. In
Verbindung mit digitalen Zeit- und Datumsstempeln hat das Unternehmen so die Möglichkeit, genau
festzuhalten, wer welche E-Mails verschickt oder erhalten hat.
Auch der Ablageort des E-Mail-Archivs spielt dann keine entscheidende Rolle mehr und kann sich
durchaus in einer externen Umgebung befinden – die verschlüsselten Daten sind nur mit dem passenden
Schlüssel lesbar. Die Archivierungslösung muss für die Nutzung eines externen Speicherortes
lediglich über eine entsprechende Schnittstelle verfügen, die dem Nutzer die externe Ablage
erlaubt.
Entscheidend ist für eine E-Mail-Archivierungslösung zudem, dass sie die Unmittelbarkeit der E-M
ail-Kommunikation abbildet, also mit dem Senden und Empfangen von Nachrichten ansetzt und dabei
auch die internen E-Mails nicht unbeachtet vorbeiziehen lässt. Aus Anwendersicht kommt es ferner
drauf an, schnell auf die archivierten Informationen zugreifen zu können, am besten aus dem
verwendeten E-Mail-Client heraus. Diese Zugriffsmethode lässt sich mithilfe von
Single-Sign-on-Verfahren gewährleisten, die sich beim Einsatz entsprechender Zertifikate auch in
Hochsicherheitsbereichen nutzen lassen.
In diesem Zusammenhang stellt sich jedoch auch die Frage des Auffindens von Informationen. Da E-M
ail-Archive rasch anwachsen, muss gewährleistet sein, dass der Anwender schnell auf die benötigten
Informationen Zugriff erhält. Wer eine Archivierungslösung einsetzt, sollte sich deshalb Gedanken
über entsprechende Suchfunktionen machen, die natürlich die Dateianhänge bei der Suche mit
einschließen sollten. Denn meistens sind es genau diese Daten, die die Nutzer suchen.
Mit einer guten Archivierungslösung lässt sich letzten Endes auch der Wartungsaufwand für die
eigene Infrastruktur minimieren. Da nämlich das Archiv als "Single Backup and Restore" fungieren
kann, müssen E-Mails nicht mehr auf den Servern verbleiben und können dort gelöscht werden. Dies
sorgt für eine beträchtliche Entlastung, denn alte, oft verteilte PST-Dateien zwingen
Server-Systeme bisweilen in die Knie. Gerade um solche Altlasten zu entsorgen, sollten
Archivierungslösungen über entsprechende Importmöglichkeiten verfügen, mit deren Hilfe sich diese
aus der Infrastruktur "fischen" und nahtlos ins Archiv überführen lassen.
Fazit
Eigentlich muss es verwundern, dass im Zusammenhang mit E-Mail-Archivierung meist immer noch das
Schlagwort der lästigen Pflicht zu hören ist. Regelkonforme Archivierung bietet die Chance,
Einsparpotenziale zu erschließen und vor allen Dingen geschäftskritische Daten angemessen zu
sichern. Dies sind Aspekte, die beispielsweise auch kleine Unternehmen interessieren dürften. Wer
in eine Archivierungslösung investiert, sollte sicherstellen, dass diese die gesetzlichen
Anforderungen erfüllen kann – keine Frage. Ebenso klar ist jedoch, dass dies weniger ein Problem
des Preises als vielmehr des verfolgten Archivierungskonzeptes ist.
Axel Schmidt ist freier Journalist in Bad Vilbel.
Lesen Sie mehr zum Thema
