Keine Chance für Eindringlinge
Foto: ByteAction
Sicherheit ist ein wesentlicher Faktor bei der E-Mail-Archivierung: Eingehende Nachrichten durchlaufen sofort den Anti-Spam- und Anti-Viren-Filter, sodass keine Schad-Software in das Unternehmensnetzwerk eindringen kann. Im Falle einer Virusinfektion oder bei Verdacht auf Spam markiert der Filter die entsprechenden Mails und legt sie im Quarantäne-Ordner ab. Im nächsten Schritt prüft die Lösung die "saubere" elektronische Post mit einer Wortliste ab, die Schlüsselbegriffe aus den GDPdU enthält. Erkennt BytStorMail entsprechende Bezeichnungen, erhält die jeweilige Nachricht das vorangestellte Kürzel "[GDPdU]" in der Betreffzeile beziehungsweise auch vom User kann dies individuell festgelegt werden. Gleichzeitig ist die E-Mail damit als "GDPdU-relevant" in der Datenbank hinterlegt. Anschließend stellt das System die Nachricht an das Empfängerpostfach zu. Dank der Markierung kann der Nutzer die entsprechende Post später über die Suche finden und wiederherstellen. Sind keine Schlüsselwörter vorhanden, leitet das System die E-Mail direkt an den Kunden-Mailserver oder die firmeneigenen Mail-Accounts weiter.
Abschließend komprimiert die E-Mail-Archivierungslösung die einzelnen Nachrichten inklusive eventuell vorhandener Attachments und archiviert sie in verschlüsselter Form. Zudem erhält jede Mail eine speziell erzeugte Prüfsumme, mit der sich mögliche Manipulationen der Nachrichten kontrollieren lassen. Ausgehende E-Mails durchlaufen ein identisches Prüfverfahren. Jedoch werden GDPdU-relevante Inhalte nicht in der Betreffzeile der jeweiligen Mail aufgezeigt, sondern lediglich entsprechend in der Datenbank gespeichert. Grundsätzlich erhalten alle E-Mails, ob richtlinienbetreffend oder nicht, einen Zeitstempel und werden im Archiv abgelegt.
Privat bleibt privat
Wenn alle Nachrichten archiviert werden, fragt sich an dieser Stelle womöglich der ein oder andere Leser: Sofern das Unternehmen private E-Mails am Arbeitsplatz erlaubt, ist dann eine Archivierungslösung überhaupt zulässig? Die Antwort lautet "ja", wenn die Software geschäftlich relevante Nachrichten von denen privater Natur trennt, z.B. durch Markierungen. Die Einsichtnahme unbefugter Dritter in E-Mails darf dann zu keiner Zeit erfolgen, die Hoheit hat stets der Postfachbesitzer inne.
Kein anderer Mitarbeiter, weder Administratoren noch Abteilungsleiter oder Mitglieder der Geschäftsführung sind in der Lage, Nachrichten, die in "fremden" Postfächern lagern, zu öffnen oder mitzulesen. Dies stellt das sogenannte Vier-Augen-Prinzip für den gemeinsam geregelten Zugriff sicher. Es verlangt die Zustimmung einer zweiten Person, beispielsweise des Betriebsrates oder Datenschutzbeauftragten, damit ein Dritter die elektronische Post einsehen darf. Auf den ersten Blick scheint diese Vorgehensweise nachteilig für die autorisierte Person zu sein, aber das Gegenteil ist der Fall. Die doppelte Absicherung entlastet Administratoren und weiteres Personal der IT-Abteilung. Sie geraten nicht mehr in Verdacht, ungehindert auf die E-Mails der Mitarbeiter zugreifen zu können.
Stehen Überprüfungen durch Finanzbehörden oder Datenschutzbeauftragte an, darf der zuständige Kontrolleur nur die mit "GDPdU" markierten E-Mails einsehen. Der Zugang ist zudem durch die Vier-Augen-Methode reglementiert, was den Zugriff auf das komplette Archiv verhindert. Im Falle von verschärften Sicherheitsregeln und -maßnahmen können Unternehmen auch auf das Sechs-Augen-Prinzip zurückgreifen. Dabei ist die Zustimmung seitens zweier "Aufpasser" erforderlich, um die Einsicht in bestimmte Nachrichten zu ermöglichen.
Unkompliziertes, intuitives Arbeiten in Eigenregie
Wichtiger Erfolgsfaktor für die Einführung eines E-Mail-Management-Systems ist, dass nach einer kurzen Einweisung die Belegschaft die notwendigen Arbeitsschritte selbstständig und ohne Hilfe der IT-Abteilung durchführen kann. Ein Beispiel: Ein Mitarbeiter des Kundenservice sucht eine E-Mail mit spezifischen Anforderungen des Kunden X. Über seinen personalisierten Log-In meldet er sich in der Web-basierenden Systemoberfläche an und gibt Schlagwörter ein, die in der gesuchten Nachricht vorkommen. Hier ist es sinnvoll, dass neben dem Inhalt der Mails parallel dazu ebenfalls die Anhänge der elektronischen Kommunikation auf die gegebenen Keywords analysiert werden. Ist die gewünschte Nachricht gefunden, stellt der Mitarbeiter diese in Eigenregie an sein Postfach zu - ein Mausklick genügt.
- Archivieren oder lieber nicht
Darf ein Unternehmen jede E-Mail archivieren? Was passiert mit privater Korrespondenzen? Sollte jede E-Mail verschlüsselt werden? Hier finden Sie die gröbsten Fehleinschätzungen bei der E-Mail-Archivierung. - 1. Jede Mail muss archiviert werden
Alle Unternehmen – Kleingewerbetreibende ausgenommen – müssen ihre komplette Geschäftskorrespondenz für sechs bis zehn Jahre ab Ende des Kalenderjahres aufbewahren. - 2. Jede Mail darf archiviert werden
Einige E-Mails können, andere müssen gespeichert werden. Es gibt aber auch Mails, die auf keinen Fall mitgespeichert werden dürfen: private E-Mails von Mitarbeitern, soweit keine explizite Einwilligung der Mitarbeiter vorliegt. - 3. Das Verbot privater Mails in Unternehmen ist juristisch ohne Alternativen
Auch wenn es die bequemste und einfachste Methode ist: Ein striktes Verbot für private E-Mail ist nicht mehr zeitgemäß. Der gesamte Social-Media-Bereich weicht die Grenze von privater und geschäftlicher Nutzung IT auf und gerade die Einbindung des Unternehmens in Facebook, Twitter oder ähnliche Netzwerke erfordert eine private oder halbprivate E-Mail-Korrespondenz während der Arbeitszeit. - 4. Das E-Mail-Archiv muss verschlüsselt sein
Der Gesetzgeber verlangt keine Verschlüsselung. Einige Fälle von unbeabsichtigten Datenverlusten zeigen aber, dass es im Eigeninteresse der Unternehmen liegen sollte, Daten verschlüsselt zu speichern und zu übertragen. - 5. Bordmittel des E-Mail-Servers bieten alle nötigen Optionen
E-Mails werden häufig in proprietären Archivdateien gesichert, wie beispielsweise PST-Dateien in Exchange-Umgebungen. Diese enthalten nicht nur die gesicherten E-Mails, sondern auch Kalendereinträge, Kontakte sowie Aufgaben und werden häufig auf dem Endgerät des Anwenders abgespeichert. Dies reduziert zwar die Datenmenge auf den Mail-Servern, bietet aber keinerlei Compliance. - 6. Ein E-Mail-Archivsystem garantiert Rechtskonformität
Neue, automatisierte Appliances oder Cloud-Lösungen mit hohem Zusatznutzen steigern die Motivation in Unternehmen, ihre E-Mail-Archivierung rechtskonform aufzusetzen. Doch die Tools automatisieren nur den Archivierungsvorgang. - 7. E-Mail-Archivierung geschieht nur aus juristischen Gründen
Selbst wenn es keine gesetzliche Verpflichtung geben würde, ist eine Sicherung der E-Mails nach heutigen Standart sinnvoll: Eine umgehende Wiederherstellung verloren gegangener E-Mail-Infrastrukturen ist jederzeit möglich - entweder von einer lokalen Appliance oder von einem externen Rechenzentrum, wo die Daten gespiegelt sind.