E-Mail: Wie und wo archivieren?
Für die Archivierung der E-Mail bedeutet das zunächst auch eine Entscheidung darüber, ob sie durch einen zentralen Server oder direkt von der Client-Seite her gesteuert werden soll. Obliegt die Steuerung direkt dem Mail-Server, wie beispielsweise einer Exchange-Lösung oder einem anderen Mail-Server wie MailStore, so werden alle ein- und ausgehenden Nachrichten zentral erfasst. Sie können dann direkt von der Server-Software verwaltet und archiviert werden.
Die Fachleute von Haufe weisen allerdings darauf hin, dass diese Art der Archivierung aber auch zu Problemen führen kann, wenn in der Firma die private Nutzung der betrieblichen E-Mail erlaubt ist. Dann werden nämlich unter Umständen auch die privaten Nachrichten der Mitarbeiter archiviert, was unter Unterständen eine Verletzung des Fernmeldegeheimnisses darstellen kann (mehr dazu auch in den Ratschlägen unseres Experten im nächsten Absatz).
Also doch lieber Archivierung und Sicherung direkt von den Client-Systemen aus steuern? Von einem solchen Ansatz, wie er wohl leider in vielen kleinen Unternehmen praktiziert wird, raten alle Experten einstimmig ab: Zu groß sei die Gefahr, dass nicht alle Nachrichten archiviert werden. Dabei ist es unerheblich, ob das Nichteinschließen von einzelnen oder mehreren Nachrichten in das Archiv versehentlich oder mit Vorsatz geschieht. Solche Installation könnten grundsätzlich nicht als zuverlässig eingestuft werden.
- Sichere Cloud Mail I
Sollte heute der Mindeststandard bei allen E-Mail-Clients sein: Diese Grundeinstellungen für die verschlüsselte Übertragung werden aktuell auch von den meisten deutschen Providern unterstützt. - Sichere Cloud Mail II
Die Informationen in den Meta-Daten: Wer zweifelt, dass es auch aus den Meta-Daten genug interessante Informationen zu ziehen gibt, sollte einen Blick auf „immersion“ beim MIT werfen (hier mit einem Demo-Konto gezeigt). - Sichere Cloud Mail III
Schnell und anonym eingerichtet: Die Web-Lösung von Tutanota weist dabei explizit darauf hin, dass bei Verlust oder Vergessen des Passworts kein Zugriff mehr möglich ist. - Sichere Cloud Mail IV
Verschlüsseln der Nachricht ganz einfach: Nutzer können bei Tutanota direkt im Web-Browser festlegen, dass sie eine Mail verschlüsselt senden wollen und dabei auch gleich das Passwort für den Empfänger angeben. - Sichere Cloud Mail V
Und so sieht es der Empfänger: Auch, wenn er selbst Tutanota nicht verwendet, kann er (unter Verwendung des richtigen Passwortes) die Nachricht dann im Browser wieder entschlüsseln. - Sichere Cloud Mail VI
Kundenfreundliche Testphase ohne Verpflichtungen: Wer die Lösung von aikQ zunächst einmal ausprobieren will, kann dies relativ schnell und einfach tun. Die Software steht dann geringen Einschränkungen bereit. - Sichere Cloud Mail VII
Aufgeräumte, übersichtliche Oberfläche: Die Mail-Lösung von aikQ lässt sich im Browser sehr gut bedienen, da alle Element logisch und übersichtlich angeordnet sind. Sie funktionierte im Test problemlos mit Browsern wie Firefox, Google Chrome und auch dem neuen Edge-Browser von Windows 10. - Sichere Cloud Mail VIII
Zertifikat direkt aus dem Programm heraus beantragen: Wer verschlüsselte Mails verschicken will, benötigt ein Zertifikat, bei dessen Beantragung die Lösung von aikQ behilflich sein kann. - Sichere Cloud Mail IX
Deutliche Mission: Der Berliner Provider Posteo legt nicht nur Wert auf sichere und anonyme Mails, sondern hat auch einen hohen Anspruch, was die Umweltstandards betrifft. - Sichere Cloud Mail X
Deutliche Warnung: Schaltet der Nutzer die komplette Verschlüsselung seines Postfachs samt Kalender und Adressen ein, so kann er bei Verlust des Passwortes nicht mehr auf die verschlüsselten Daten zugreifen. - Sichere Cloud Mail XI
E-Mails können im Posteo-Webmailer mit dem Addon Mailvelope mit OpenPGP(PGP/MIME) verschlüsselt werden.
Merkmale, die der Server bieten sollte
Einige Merkmale, die Archivierungs-Server und -Lösungen dabei erfüllen sollten: Sie müssen unter anderem die vollständige Archivierung aller E-Mail-Nachrichten des Unternehmens garantieren können. So können die E-Mails noch vor der Zustellung an den Mitarbeiter archiviert werden, um so die Vollständigkeit zu garantieren. Dabei muss dann auch sichergestellt sein, dass diese archivierten Nachrichten, zu 100 Prozent und in jeder Hinsicht mit dem Original übereinstimmen. Bei einer solchen originalgetreuen Archivierung ist dann zudem garantiert, dass Nachrichten ohne Verlust direkt aus dem Archiv heraus wiederhergestellt werden können. Auch die Manipulationssicherheit der E-Mails im Archiv muss unbedingt sichergestellt sein.
Die Nachrichten müssen sicher verschlüsselt abgespeichert werden und ein direkter Zugriff der Clients auf diese Nachrichten sollte grundsätzlich nicht möglich sein. Einige Lösung bieten die Möglichkeit, dass auch berechtigte Personen nur über ein speziell gesichertes Portal auf die Nachrichten zugreifen können, was dann auch noch durch eine Forcierung des 4-Augen-Prinzips (Zugang nur dann, wenn sich zwei berechtigte Personen zugleich gegenüber dem System authentifizieren) verschärft werden kann.
Ebenso wichtig sind in diesem Zusammenhang die Aufbewahrungsfristen, die gewahrt werden müssen. So muss beispielsweise gewährleistet sein, dass kein Nutzer einfach Nachrichten aus dem Archiv löschen kann, solange er nicht die ausdrückliche Erlaubnis des Administrators dazu besitzt. Dabei müssen alle diese Vorgänge, alle Änderungen lückenlos und manipulationssicher vom Archivsystem protokolliert werden.
Das sagt der Experte:
Wir haben für diesen Beitrag auch mit Firmen gesprochen, die sich mit ihren Produkten und Dienstleistungen auf den Bereich E-Mail-Archivierung und rechtssichere Archivierung konzentrieren. Tim Berger, General Manager Business & Co-Founder bei der MailStore Software GmbH, gab uns einen Überblick darüber, was seine Firma unter dem Begriff E-Mail-Compliance versteht und wie dieser mit der Archivierung von E-Mail zusammenhängt: "Unter den Begriff Compliance fällt auch die E-Mail-Archivierung. Betriebliche und rechtliche Vorschriften zur Mindestaufbewahrungspflicht für archivierungspflichtige E-Mails machen eine Aufbewahrungsrichtlinie nötig."
Foto: MailStore GmbH
Weiterhin betonte er, dass datenschutzrechtliche Aspekte unbedingt zu beachten sind. So empfiehlt er unter anderem, die private E-Mail-Nutzung zu untersagen oder aber die ausschließliche Nutzung externer E-Mail-Dienste vorzuschreiben: "Um juristisch auf der sicheren Seite zu sein, muss dies schriftlich fixiert, kontrolliert und konsequent durchgesetzt werden. Die schriftliche Fixierung kann beispielsweise in Richtlinien zur Nutzung der firmeneigenen IT-Infrastruktur, in einer Betriebsvereinbarung, einer Einverständniserklärung der Belegschaft oder im individuellen Anstellungsvertrag erfolgen."