White Paper
 

EMA E-Mail Archive Appliance

E-Mail als unternehmenskritische Daten

Das Internet ist in den letzten Jahren über alle Bereiche wirtschaftlichen und privaten Handelns zu
einer wichtigen Kommunikationsplattform geworden. Elektronischer Schriftverkehr in Form von E-Mails
hat hierbei eine tragende Rolle und steigt in seiner Bedeutung immer stärker. Immer häufiger
enthalten E-Mails wichtige, geschäftsrelevante Daten wie Bestellungen, Angebote, Rechnungen oder
Informationen zu bestimmten Abläufen. Ein schneller, ständiger Zugriff auf diese Informationen muss
gewährleistet sein, um kontinuierliche Arbeitsabläufe zu garantieren. Gehen wichtige E-Mails verloren,
kann dies erhebliche betriebswirtschaftliche Schäden nach sich ziehen. Handelt es sich um E-Mails in
Verbindung mit finanzbuchhalterischen oder handelsrechtlichen Informationen sind Richtlinien zur
Langzeitarchivierung und Wiederherstellung sowie grundlegende Basel-II Kriterien einzuhalten. Dabei
ist insbesondere bei E-Mails darauf zu achten, dass ein effektiver Schutz vor Missbrauch besteht und
der Datenschutz gewährleistet wird.

Gesetzliche Vorschriften: GDPdU
Der wachsenden Wichtigkeit des Mediums E-Mail trägt seit Januar 2002 daher auch der Gesetzgeber
Rechnung. Rechtsgültige Vorschriften sind in den Grundsätzen zum Datenzugriff und zur Prüfbarkeit
digitaler Unterlagen (GDPdU) geregelt. Diese basieren unter anderem auf folgenden Bestimmungen
und Definitionen:

„E-Mails, die für die Besteuerung von Bedeutung sind, sind aufzubewahren“
(§147 AO)

„E-Mails sind aufzubewahren, wenn sie dem Begriff des Handelsbriefs entsprechen“
(Beck’scher Bilanzkommentar 1999, § 257, Rn 15; Adler/Düring/Schmaltz 1995, § 257, Rn 34, 4.
Absatz; u.a.)

„Ein Schriftstück betrifft ein Handelsgeschäft, wenn es seine Vorbereitung, seinen Abschluss, seine
Durchführung oder seine Rückgängigmachung zum Gegenstand hat.“
(Bonner Handbuch der Rechnungslegung, § 257, Rn 34)

Allgemein gilt nach §257 HGB:

§ 257 Aufbewahrung von Unterlagen. Aufbewahrungsfristen

(1) Jeder Kaufmann ist verpflichtet, die folgenden Unterlagen geordnet aufzubewahren:

1. Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Einzelabschlüsse nach §325
Abs. 2a, Lageberichte, Konzernabschlüsse, Konzernlageberichte sowie die zu ihrem
Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen,
2. die empfangenen Handelsbriefe,
3. Wiedergaben der abgesandten Handelsbriefe,
4. Belege für Buchungen in den von ihm nach § 238 Abs. 1 zu führenden Büchern
(Buchungsbelege)

(2) Handelsbriefe sind nur Schriftstücke, die ein Handelsgeschäft betreffen.
(3) Mit Ausnahme der Eröffnungsbilanzen und Abschlüsse können die in Absatz 1 aufgeführten
Unterlagen auch als Wiedergabe auf einem Bildträger oder auf anderen Datenträgern aufbewahrt
werden, wenn dies den Grundsätzen ordnungsmäßiger Buchführung entspricht und sichergestellt ist,
daß die Wiedergabe oder die Daten

1. mit den empfangenen Handelsbriefen und den Buchungsbelegen bildlich und mit den anderen
Unterlagen inhaltlich übereinstimmen, wenn sie lesbar gemacht werden,
2. während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb
angemessener Frist lesbar gemacht werden können.

Sind Unterlagen auf Grund des § 239 Abs. 4 Satz 1 auf Datenträgern hergestellt worden, können statt
des Datenträgers die Daten auch ausgedruckt aufbewahrt werden; die ausgedruckten Unterlagen
können auch nach Satz 1 aufbewahrt werden.
(4) Die in Absatz 1 Nr. 1 und 4 aufgeführten Unterlagen sind zehn Jahre, die sonstigen in Absatz 1
aufgeführten Unterlagen sechs Jahre aufzubewahren.

Somit ist die Langzeitarchivierung von E-Mails in Originalform nicht allein zur Optimierung von
Arbeitsabläufen sinnvoll, sondern auch von rechtlicher Seite dringend erforderlich.

Wirtschaftliche Bedeutung – Basel II Richtlinien

Auch die Basel-II Richtlinien erfordern einen ordentlichen Informationsfluss und eine lückenlose
Nachvollziehbarkeit von Geschäftsprozessen in einem Unternehmen. Diese sind ein wesentliches
Kriterium zur Beurteilung des Unternehmenswerts und der Kreditwürdigkeit in der Finanzwelt.

Geringe Budgets und knappe Ressourcen (TCO und ROI)

Wie generell bei Umstellungen und Ergänzungen einer IT-Infrastruktur gilt auch hier die personellen
und finanziellen Belastungen durch Inbetriebnahme, Administration und Modifikationen bestehender
Systeme möglichst gering gehalten werden. Kosten und Nutzen müssen dabei in einem sinnvollen
Zusammenhang stehen. Eine unkomplizierte Implementierung, geringer administrativer Aufwand und
eine einfache Bedienbarkeit sind hier wesentliche Punkte. Generell gilt es, bestehende Systeme zu
erhalten und neue Komponenten nahtlos zu integrieren.

Systemarchitektur und Spezifikationen

Bei EMA handelt es sich um eine Appliance als Komplettlösung zur vollständigen Archivierung des
gesamten E-Mail-Verkehrs auch in kleinen Unternehmen. Vorteile dieser Architektur liegen in der
optimalen Abstimmung von Hardware und Software, so dass es zu keinen System- oder
Treiberproblemen aufgrund exotischer Komponenten kommen kann. Auch Ressourcenprobleme oder
Konflikte mit anderen Programmen werden unterbunden, indem nur funktionsrelevante Applikationen
auf dem Gerät betrieben werden.
EMA basiert auf den Standardprotokollen SMTP und POP3.
Obwohl EMA mit dem Ziel entwickelt wurde, in einer POP3-Umgebung eingesetzt zu werden, kann es –
mit begrenzten Features – auch in einer ‚nur-SMTP-Umgebung’ (z.B. Exchange) verwendet werden.

Leichte Integration und Implementierung

Die Konzeptionierung als Appliance ermöglicht es, EMA „plug & play“ in Betrieb zu nehmen. Die
Lösung wird funktionsfähig geliefert und bedarf nur dreier Anschlüsse: Strom sowie zweier FAST
Ethernet Anschlüsse WAN und LAN; es wird also zwischen den Internetzugang und dem Ausgang zum
internen Netzwerk installiert. Weiterhin kann ein Ort im Netzwerk angegeben werden, an dem die
Archivdateien hinterlegt werden sollen. Damit kann die E-Mail-Archivierung flexibel in eine evtl bereits
bestehende Datensicherung eingebunden werden. EMA erkennt nun selbstständig vorhandene E-Mail
Accounts und übernimmt jede ausgehende und eingehende E-Mail in das Archiv. Änderungen an
Clients oder an der Netzwerkstruktur sind nicht notwendig, EMA arbeitet unabhängig von
Systemspezifika.

Einfache Bedienung

Die Bedienung von EMA erfolgt über eine Weboberfläche. Neben den einmalig durchzuführenden
Konfigurationseinstellungen ermöglicht diese das Suchen und Wiederherstellen von archivierten
Daten. Über die Zugangsdaten des E-Mail Kontos können sich normale Benutzer anmelden, auf alle
ihre E-Mails zugreifen und bei Bedarf wiederherstellen.
Zusätzlich gibt es einen Administratorzugang, der auf alle E-Mails zugreifen kann. Dieser ist dabei
durch ein Passwort geschützt und verhindert so ungewollte Konfigurationsänderungen oder nicht
autorisierten Zugriff auf archivierte Informationen.
Beim Einsatz in einer reinen SMTP Umgebung erfolgt der Zugriff allein über den Administratorzugriff.

Datensicherheit und Datenschutz

Die Bedeutung von E-Mails und die Sensibilität ihrer Inhalte verpflichten allerdings nicht nur zur
Archivierung an sich, sondern auch zu einem sorgsamen Umgang mit dem Archiv selbst. Im
Gegensatz zu vielen anderen Lösungen speichert EMA E-Mails nicht im Klartext, sondern verschlüsselt
mit AES-128bit, so dass ein Zugriff auf die E-Mails nur über das Webinterface möglich ist. Die
Verschlüsselung ist dabei an die jeweilige Appliance gebunden und eine Entschlüsselung durch Dritte
daher nicht möglich. Im Falle eines Hardwareverlusts ist ARTEC in der Lage das Archiv wieder
funktionsfähig zu machen ohne dabei die Verschlüsselung aufzuheben oder überhaupt auf die
archivierten Dateien zuzugreifen. Sensible Inhalte bleiben dadurch vor Fremdzugriffen und
ungewollten Einsichten – auch von ARTEC – geschützt und das Archiv trotzdem zukunfts- und
ausfallsicher.
Als weiteres Feature zur Gewährleistung von Datenschutzrichtlinien werden sämtliche Zugriffe auf das
Archiv in einer geschützten Logdatei festgehalten. So wird sichergestellt, dass auch ein
zugriffsberechtigter Administrator seine Rechte nicht missbraucht und keine nicht für ihn bestimmten
Inhalte einsieht, wie etwa private oder vertrauliche E-Mails.
Darüber hinaus bietet EMA einen automatisierten Signaturdienst. Dabei wird jede archivierte E-Mail
von ARTECs ANA(Automated Network Administrator) Server1 verifiziert und mit einem digitalen Siegel
versehen. Übermittelt wird dazu nur eine Prüfsumme der verschlüsselten E-Mail, die eigentliche E-Mail
bleibt bei EMA. Dies beschränkt auch den Bandbreitenbedarf auf ein Minimum.
Für eine so signierte E-Mail garantiert ARTEC (auch Dritten gegenüber), dass die E-Mail zum Zeitpunkt
der Signierung in genau dieser Form existiert hat und unverändert vorliegt; ein zusätzliches Gewicht
für die Authentizität des Archivs.

Archiv Backup und Datenmigration

Zusätzliche Sicherheit für das Archiv liefert die Backupfunktion. Dadurch können die Archivdateien
automatisch und regelmäßig an einen weiteren Speicherort gesichert werden und so einen erhöhten
Schutz vor Hardwaredefekten gewährleisten. Ein manuelles Backup ist ebenfalls integriert. Dies
ermöglicht etwa die Auslagerung des bisherigen Archivs auf externe, revisionsichere Datenträger wie
optische Medien und die geographische Trennung von Speicherorten.

(1) ANA ist ARTECs Automated Network Administrator – eine Technologie zur Automatisierung und
Vereinfachung von administrativen Aufgaben.

Π2005 ARTEC IT-Solutions