Damit der Laden läuft: E-Mail-Archivierung & Business Continuity

Business Continuity hat im Notfall oberste Priorität, da das Risiko weitreichender Schäden bei einer unplanmäßigen Betriebsunterbrechung viel zu hoch ist. Allerdings wird die E-Mail in diesem Kontext häufig vernachlässigt – und das, obwohl hierüber heutzutage zahlreiche unternehmenskritische Informationen ausgetauscht werden. Philipp Inger, Lead Brand Content Writer, erklärt daher, warum die Archivierung elektronischer Geschäftskorrespondenzen in jede Business-Continuity-Strategie gehört.

Sie ist fester Teil der Grundausstattung jedes Unternehmens und aus der Business-Welt nicht mehr wegzudenken: Die E-Mail ist in diesem Umfeld nach wie vor das wichtigste Kommunikationsmittel. Tagtäglich nehmen unzählige Nachrichten, die nicht selten geschäftskritische und personenbezogene Informationen beinhalten, den elektronischen Postweg. Kommt es auf dieser Datenautobahn zu einer Störung durch Anwenderfehler, mutwillige Manipulation, beschädigte Hardware oder Cyber-Angriffe, kann das weitreichende Folgen haben.

Mitarbeitende haben während einer Störung gar keinen oder nur eingeschränkten Zugriff auf Inhalte, was den Betrieb ins Stocken bringt und finanzielle Einbußen verursacht. Darüber hinaus besteht die Gefahr, dass Daten technisch bedingt oder durch Diebstahl unwiederbringlich verloren gehen. Wenn dann auch noch personenbezogene Informationen abfließen, bleibt der Schaden nicht mehr nur bei Produktivität und Umsatz. Sind die betroffenen Unternehmen nicht in der Lage, diese Daten wiederherzustellen, wird der Gesetzgeber sehr wahrscheinlich von einer Vernachlässigung gesetzlicher Pflichten ausgehen. In diesem Fall drohen zusätzlich juristische Folgen und Sanktionen.

Business Continuity besteht aus mehr als nur Backups

Mithilfe einer soliden Business-Continuity-Strategie können Unternehmen diversen Risikopotenzialen entgegenwirken. Ziel ist es, Prozesse und Tools zu implementieren, mit denen sich Ausfälle verhindern beziehungsweise deren Auswirkungen minimieren lassen, sodass der Betrieb ohne große Einschränkungen fortgeführt oder schnell wiederaufgenommen werden kann. Darüber hinaus konkretisiert die Strategie, wie genau sich Daten und IT-Systeme effektiv absichern und wiederherstellen lassen. Diese Aufgabe kommt in erster Linie der Disaster Recovery zu. Dieses Team braucht einen Datenbestand, aus dem es betroffene Daten und Systeme wiederherstellen kann. Als Grundlage dafür dienen Kopien, einschließlich aller relevanten E-Mails, die logischerweise extern gesichert und separat geschützt werden. Zu diesem Zweck investieren viele Unternehmen häufig in eine reine Backup-Lösung.

Hier findet sich jedoch des Pudels Kern: In kurz- bis mittelfristigen Abständen erstellen solche Lösungen lediglich ‚Snapshots‘ der zu einem bestimmten Zeitpunkt herrschenden Datenbestände inklusive des E-Mail-Bestandes. Diese Intervalle legt die IT fest, sie können sich je nach Backup-Art (Vollsicherung, differentiell, inkrementell) unterscheiden. Die Kopien landen dann auf einem externen Speichermedium. Dadurch nehmen Unternehmen allerdings ein erhebliches Datenverlustrisiko in Kauf. Kommt es zwischen den Sicherungszyklen zu einem Störfall, sind sämtliche E-Mail-Inhalte gefährdet, die seit dem letzten Backup eingetroffen sind oder versendet wurden. Zudem kommt es vor, dass IT-Entscheider ihr Backup-System so einstellen, dass alte Versionen überschrieben werden, um Storage zu sparen – schließlich dienen die Sicherungen vor allem der Notfallwiederherstellung, die somit alles andere als vollständig ist.

Klar ist: Im Rahmen der Business-Continuity-Strategie und der Disaster Recovery sind Backups die absolute Grundvoraussetzung. Allerdings reichen sie allein nicht aus, um E-Mails vollständig wiederherzustellen und den Geschäftsbetrieb im Ernstfall uneingeschränkt aufrechtzuerhalten. Dafür braucht es zusätzliche Aufbewahrungsmöglichkeiten sowie entsprechende Tools – wie zum Beispiel die professionelle E-Mail-Archivierung.

Ohne Konsistenz und Vollständigkeit geht’s nicht

Ein solider Backup-Plan samt Lösung leistet zwar einen unverzichtbaren Beitrag zur Resilienz eines Unternehmens, bietet allein jedoch keinen vollständigen Schutz vor Datenverlust. Sie sind kein Garant dafür, dass die komplette E-Mail-Korrespondenz wiederhergestellt werden kann. Daher braucht es ein zusätzliches Tool, das den Backup-Plan diesbezüglich ergänzt. Eine professionelle E-Mail-Archivierungslösung zum Beispiel kopiert sämtliche E-Mails lückenlos und legt sie vor Manipulation geschützt in einem zentralen Archiv ab. Auf diesem Weg gleicht sie die Unzulänglichkeiten von Backup-Systemen aus, anstatt diese zu ersetzen.

Je nach Strategie können IT-Entscheider zwischen verschiedenen Archivierungsmethoden wählen, die auch parallel einsetzbar sind. Bei der Journalarchivierung kopiert die Lösung alle ein- und ausgehenden E-Mails, noch bevor diese in den Postfächern sichtbar werden. Dadurch wird verhindert, dass im E-Mail-Archiv Lücken entstehen können. Dies spielt vor allem im Rahmen der Revisionssicherheit eine maßgebliche Rolle, garantiert aber auch, dass im Ernstfall wirklich alle verloren gegangenen E-Mail-Daten wiederhergestellt werden können. Ähnlich wie beim Backup stellt der Administrator bei der Postfacharchivierung hingegen die Sicherungszyklen selbst ein. In diesen werden dann die gesamten E-Mail-Postfächer der Mitarbeitenden in das Archiv kopiert. Zusätzliche Regeln definieren, wann archivierte Nachrichten vom E-Mail-Server gelöscht werden sollen. Diese Option hält das Server-Volumen langfristig niedrig, was den Wiederherstellungsprozess folglich beschleunigt.

Umfangreiche Suchfunktionen und Self-Service erleichtern den Zugang zum Archiv und die Suche nach archivierten E-Mails. Anstelle der IT können damit auch alle Anwender auf ihr eigenes Archiv zugreifen, Inhalte in Standardformate exportieren sowie Nachrichten selbst wiederherstellen. Steht ein Compliance-Audit im Kalender, lässt sich selbst im Störfall der E-Mail-Bestand durchsuchen und überprüfen, da das E-Mail-Archiv unabhängig vom E-Mail-Server ist. Wichtig ist, dass das Archiv als Teil des Backup-Plans angesehen und gesichert wird.

Business Continuity und Rechtssicherheit: Zwei Fliegen mit einer Klappe

Unternehmen, die von Störungen, Cyber-Angriffen oder Datenverlusten betroffen sind, erhalten mit einer professionellen E-Mail-Archivierungslösung ein wertvolles Tool, das den Geschäftsbetrieb resilienter macht. Darüber hinaus eignet es sich für weitaus mehr als die Wiederherstellung gelöschter oder anderweitig verloren gegangener Nachrichten – Stichwort: Manipulationssicherheit.

Sowohl auf Bundes- als auch auf EU-Ebene unterliegen Unternehmen diversen Aufbewahrungspflichten und Datenschutzgesetzen. So schreiben die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) vor, dass steuer- und handelsrechtlich relevante Daten lückenlos, revisionssicher und langfristig aufbewahrt werden müssen. Darunter fallen Dokumente wie Verträge, Rechnungen, Belege und Jahresabschlüsse. Die Aufbewahrungsfristen sind in Deutschland über das Handelsgesetzbuch (§ 257 HGB) sowie die Abgabenordnung (§ 147 AO) definiert. Im Übrigen gelten sowohl in Österreich mit der Bundesabgabenordnung als auch in der Schweiz mit dem Obligationsrecht vergleichbare Verpflichtungen.

Ganz wichtig zu erwähnen: Die GoBD umfassen explizit Unterlagen in elektronischer Form, wozu auch E-Mail-Korrespondenzen zählen. Da eine professionelle E-Mail-Archivierungslösung bereits über sämtliche Funktionen verfügt, die die revisionssichere, vollständige und langfristige Sicherung einzelner E-Mails umsetzen, eignet sie sich auch für diese gesetzlichen Vorgaben. Das gilt auch für die Anforderungen gemäß EU-DSGVO (DSG in der Schweiz). Bei sachgerechter Anwendung ermöglicht es eine E-Mail-Archivierungslösung, Anfragen zur Geltendmachung von Betroffenenrechten DSGVO-konform zu entsprechen.

Fazit

Angesichts immer komplexer werdenden IT-Landschaften und wachsenden Datenmengen, müssen Unternehmen stets mit Systemausfällen und Cyber-Angriffen rechnen. Sie müssen dafür sorgen, dass E-Mail-Daten vollständig, revisionssicher und datenschutzkonform aufbewahrt werden und dauerhaft verfügbar sind – und das selbst im Störfall. Dafür reichen Backup-Systeme allein nicht aus, da sie lediglich den E-Mail-Bestand abbilden, der zum Zeitpunkt der Backup-Erstellung existierte. Das Risiko des Datenverlusts ist somit sehr hoch. Eine E-Mail-Archivierungslösung hingegen ermöglicht es Unternehmen, diesen Anforderungen nachzukommen. Aus dem archivierten Bestand lassen sich im Notfall alle E-Mail-Daten lückenlos wiederherstellen und der Betrieb somit fortführen. Neben der Business Continuity unterstützt sie auch bei der Einhaltung gesetzlicher Aufbewahrungspflichten und Datenschutzgesetzen. Das macht E-Mail-Archivierung zum unverzichtbaren Teil der IT-Security- und Resilienz-Strategie.