Vom richtigen Umgang mit der digitalen Post

Mails sind aus dem Alltag nicht mehr wegzudenken und enthalten häufig geschäftskritische Infos. Dennoch haben viele Firmen keine verbindlichen Regeln für den Umgang mit dem Messaging-System.

Artikel erschienen in Swiss IT Magazine 2003/09

     

You need e-mail data management more than you think - so bewirbt Storagetek seine Mail-Archivierungslösung in einem White Paper. Tatsächlich hat sich die elektronische Post zum eigentlichen Renner entwickelt: Über E-Mail teilt man sich nicht mehr bloss den Termin für den nächsten Firmenapero mit, sondern auch geschäftsrelevante Informationen von der Produktanfrage über die Bestellung bis hin zum Vertrag.


E-Mail-Flut überbordet

Gemäss einer IDC-Studie finden sich heute 60 Prozent der geschäftskritischen Informationen in Messaging-Systemen; 1999 waren es noch 33 Prozent. Pricewaterhouse Coopers berichtet, dass der E-Mail-Verkehr eines Unternehmens rund die Hälfte der Informationen enthält, die bei allfälligen Rechtsstreitigkeiten relevant werden - das wohl bekannteste Beispiel dafür sind die Mails, mit denen Bill Gates seine Mitarbeiter angeblich zu unfreundlichen Geschäftspraktiken angehalten hat.



Ähnliche Verhältnisse bringt eine von Legato gesponserte Umfrage von Osterman Research bei IT-Verantwortlichen in den USA an den Tag. Hier gaben 79 Prozent der Befragten an, E-Mail für wichtige Geschäftsabläufe wie die Aufzeichnung von Freigaben und Transaktionen zu nutzen.




Die Osterman-Studie zeigt zudem erhebliche Probleme mit der E-Mail-Flut auf: So haben 35 Prozent der Befragten schon E-Mails wegen technischer Fehler oder Viren verloren; bei der Hälfte der Unternehmen gab es deshalb Betriebsunterbrüche und finanzielle Einbussen. Rund ein Viertel der Umfrageteilnehmer mussten deswegen sogar Auseinandersetzungen mit Kunden oder Lieferanten in Kauf nehmen.




Traditionell unsicher gehandhabt

In den meisten Unternehmen fehlen verbindliche Richtlinien für den Umgang mit den ein- und ausgehenden Messages: Die erwähnten Studien weisen nach, dass höchstens ein Drittel der Unternehmen über entsprechende Policies oder gar die passenden Software/Hardware-Lösungen verfügen.



Oft sind demnach die einzelnen Mitarbeiter für die Sicherung der E-Mails verantwortlich. Wenn überhaupt etwas archiviert wird, dann individuell - im meistverbreiteten Messaging-Umfeld vom Typ Exchange/Outlook sichert der Mitarbeiter gelegentlich seine lokale PST-Datei, oder er druckt die Mails schlicht und einfach aus und legt sie irgendwo ab. Weder ist so garantiert, dass wirklich alle relevanten Mails gesichert werden, noch steht das darin enthaltene Wissen dem gesamten Unternehmen zur Verfügung. Ausserdem sind viele Mitarbeiter gar nicht in der Lage, ohne Hilfestellung durch die IT-Abteilung die gewünschten Meldungen aus dem Backup zu entnehmen.




Die nächstliegende Möglichkeit bringt ebenfalls nur ansatzweise Abhilfe: das zentral gesteuerte Backup sowohl der serverseitigen Mail Stores als auch der individuellen PST-Files durch den Administrator. Zwar sind so die Daten auf den Backup-Tapes noch vorhanden, aber erstens nur für eine gewisse Zeit - bis das Tape im Turnus der Backup-Rotation wieder überschrieben wird - und zweitens nur unbequem zugänglich: Es dauert erfahrungsgemäss Stunden, bis eine bestimmte Meldung aus einem Backup wiederbeschafft ist.




Warum braucht's ein Mail-Archiv?

Die Alternative zum Backup-Gebastel ist eine waschechte Data-Management-Lösung für den gesamten ein- und ausgehenden Mail-Verkehr. Sobald die Unternehmensgrösse einige wenige Mitarbeiter übersteigt, sind handgestrickte Verfahren unzureichend. Konsequentes Messaging-Management erweist sich in vier Punkten als unerlässlich:




Personalbedarf: Im Durchschnitt füllt sich ein Mail-Server, so eine CNI-Studie vom Jahr 2000, in 18 Tagen. Der Administrator ist mit rund einem Tag pro Woche mit der Reorganisation des Servers, der Mahnung an Benutzer mit übergrossen Mailboxen und dem Backup der angefallenen E-Mails beschäftigt. Dazu kommt ein halber Tag, um den Benutzern beim Restore verlorener oder willentlich gelöschter Meldungen beizustehen. Auch die Benutzer selbst verbringen zwei Stunden pro Woche mit dem Handling ihrer E-Mails. Trotzdem, so eine andere CNI-Studie, sind ganze 26 Prozent der Unternehmen nicht in der Lage, überhaupt E-Mails aus Backup-Dateien wiederzubeschaffen.





Storage-Bedarf: Mit der zunehmenden Relevanz steigt auch die Datenmenge, die der Mail-Verkehr mit sich bringt. Statt einfacher Textmeldungen sind heute oft Attachments mit Bildern, PDF- oder Office-Dokumenten im Spiel, von Voice- und Videodateien ganz zu schweigen. Mailboxen von 50 Megabyte und mehr sind keine Seltenheit. In einem Unternehmen mit mehreren Dutzend Mitarbeitern kommen so bei täglichem Backup übers Jahr gerechnet gut und gerne Daten im Terabyte-Bereich zusammen. Die normierte Beschränkung der Grösse einzelner Mails oder der gesamten Mailbox ist übrigens kontraproduktiv und gehört in den Fundus überholter IT-Praktiken: Statt unbekümmert auch grössere Dateien zu verschicken, müssen die betroffenen Mitarbeiter mühsam nach Alternativen zur E-Mail suchen - im Extremfall wird eine CD gebrannt und sündteuer per Kurier verschickt.




Wissensverlust: Die in alten E-Mails enthaltenen Informationen können selbst Jahre nach dem Sende- oder Empfangsdatum für das ganze Unternehmen bedeutsam sein. Wenn aber jeder Mitarbeiter nur die ihm gerade wichtig erscheinenden Meldungen in einem Privat-Backup sichert, steht das Wissen nach erheblichem Retrieval-Aufwand bloss ihm selbst zur Verfügung - oder auch nicht, wenn ein nicht gesichertes Mail sich später doch als relevant erweisen sollte. Analoges gilt für die häufig geübte Praxis, die angefallenen Meldungen nach einer gewissen Zeit automatisch zu löschen.




Rechtskonformität: Sobald geschäftliche Abläufe wie Bestellungen, Reklamationen, Rechnungen oder Verträge über E-Mail abgewickelt werden, kommt das Gesetz ins Spiel: Die beteiligten Dokumente müssen, so die über verschiedene Gesetzestexte verteilte Schweizer Rechtsordnung, über einen längeren Zeitraum jederzeit, mit geringem Aufwand und unverändert zugänglich sein. Dies gilt unabhängig davon, ob sie in Papier- oder elektronischer Form vorliegen (siehe Kasten Seite 45). Noch strenger sind die Richtlinien zum Beispiel für Firmen, die im amerikanischen Finanzsektor tätig sind: Institutionen wie SEC und NASD kennen äusserst rigide Vorschriften, neben denen die staatlichen Anforderungen der Schweiz banal erscheinen.



Übersicht: Mail-Archivierungslösungen


Lifecycle-Management für den Message-Verkehr

Die Anbieter von E-Mail-Archivierungspaketen bezeichnen ihre Produkte nicht als blosse Archivlösungen. Sie betonen vielmehr den "Lifecyle-Charakter": Im Idealfall wird der Weg aller Meldungen von der Erstellung beziehungsweise dem Empfang bis zur endgültigen Löschung komplett abgedeckt. Dabei werden alle vom User, vom Administrator oder von der Software automatisch vorgenommenen Änderungen wie die Umlagerung zwischen verschiedenen Ordnern, Mailboxen und Storage-Medien erfasst und protokolliert.

Die Management-Software ersetzt jedoch nicht das bestehende Messaging-System, sondern fügt sich transparent in die Client- und Serversoftware ein. Ein umfassendes Messaging-Archivierungspaket bietet somit folgende Funktionen:




• Archivierung des gesamten Mail-Verkehrs: Alle ein- und ausgehenden E-Mails und Attachments werden inklusive kompletter Adress- und Routing-Information in der elektronischen Originalform gespeichert.





• Klassifizierung der Meldungen: Anhand von Absender, Empfänger, Betreffzeile und Inhalt werden beispielsweise Rechnungen, Informationsanfragen, Auftragsbestätigungen und Verträge möglichst automatisch auf verschiedene Ordner verteilt.




• Policy-basierte Ablage: Anhand vordefinierter Regeln wird eine Meldung für eine bestimmte Zeit in einem bestimmten Ordner gehalten, danach automatisch ins Archiv verschoben oder gelöscht.




• Unveränderliche Protokollierung aller Änderungen und Verschiebungen: Jeder Eingriff durch User, Administratoren oder Software-Automatismen wird in einem Journal festgehalten; diese Einträge können nicht mutiert oder gelöscht werden. Diese Funktion ist essentiell für die Erfüllung der gesetzlichen Anforderungen, zusammen mit oder alternativ zur Speicherung auf nicht veränderbaren Datenträgern.




• Transparente Schnittstellen zu Servern und Clients: Eine archivierte Meldung erscheint dem Outlook-Benutzer zum Beispiel mit einem anderen Icon als eine soeben eingegangene, sonst ändert sich nichts. Auch der Exchange-Server "sieht" das Meldungsarchiv schlicht als zusätzliches Verzeichnis oder Netzlaufwerk. Analoges gilt für andere Messaging-Plattformen.




• Erweiterte Suchfunktionen: Auf Basis von Volltextindizes und benutzerdefinierten Meta-Informationen lassen sich alle Messages mit den gewünschten Informationen rasch finden - egal, ob die Meldung soeben eingetroffen oder seit Jahren archiviert ist.




• Hierarchische Speicherung: Je nach Alter der Meldung und Häufigkeit des Zugriffs werden die Meldungen auf unterschiedlichen Datenträgern gespeichert. Für das Langzeitarchiv kommen unveränderbare Medien wie WORM, CD-R und DVD-R zum Zug.


Messaging-Management als Gesamtlösung

Die E-Mail-Management-Software steht nicht alleine in der Landschaft; sie ist Teil der Unternehmens-IT. Die Wahl des Produkts und die Vorgehensweise richten sich demnach sowohl nach der benötigten Funktionalität als auch nach der bestehenden Infrastruktur - kurz: die Einführung ist ein Musterbeispiel einer Systemintegrationsaufgabe.



Ein massgeblicher Anbieter von Messaging-Management-Lösungen in der Schweiz ist die Badener Proact Data Systems AG, die zusammen mit der Dicom Group auch unter dem Label "Storage Integrators" am Markt auftritt und im folgenden als Beispiel für Messaging-Systemintegratoren dient. Das Angebot gliedert sich in reine Storage-Management-Lösungen zur Konsolidierung der bisher verteilten Message-Stores ("Simple Data Lifetime Management", SDLM), Lösungen hierarchischer Archivierung der Meldungen ("Data Lifetime Management", DLM) und solche mit zusätzlichem Augenmerk auf Konformität zu firmeninternen und rechtlichen Richtlinien (Supervision und Compliance).
Die Basisfunktion SDLM reicht gemäss Proact für die meisten Klein- und Mittelbetriebe aus: Sie löst die dringendsten Aufgaben wie Optimierung des Storage-Bedarfs und der Wiederherstellungszeit für Mail-Server sowie das Auffinden einzelner Mails durch den Endanwender. Sales Manager Thomas Madsen: "Der hauptsächliche Treiber für Messaging-Management ist heute das Storage-Problem - die interessierten Firmen wollen vor allem das Speichermanagement ihrer Exchange-Umgebung verbessern und vermeiden, dass Mails dezentral und zum Teil x-fach in verschiedenen Enduser-PST-Dateien gelagert werden." Die rechtliche Compliance scheint derzeit noch weniger wichtig - viele Firmen gehen laut Madsen das Risiko ein, dass zum Beispiel eine per Mail übermittelte Rechnung im Lauf der Zeit verlorengeht.




Eine komplette DLM-Lösung ergänzt die Basisfunktionen von SDLM und kommt in grösseren Betrieben zum Einsatz. Das System kann hier anhand von Merkmalen wie Absender, Inhalt, Datum, Schlüsselwörter und Attachments die Meldungen automatisch kategorisieren und individuell verwalten - in einer Bank werden so interne Mails allgemeinen Inhalts nur kurzfristig gespeichert, die E-Mails von Händlern jedoch während der gesetzlich geforderten zehn Jahre. Ergänzungen wie Speicherung auf nicht veränderbaren Datenträgern, Serialisierung der gespeicherten Mails mit individueller Seriennummer und Checksum für den gesamten Datenträger unterstützen die Compliance zusätzlich.




Software nach Bedarf

Als Softwarebasis setzt Proact je nach den Kundenanforderungen die Produkte von KVS oder Legato ein: Laut Madsen ist die KVS-Lösung Enterprise Vault einfacher zu installieren und bietet gute Funktionen für die Selbstverwaltung der Mails durch den Enduser. Typischerweise kommt sie in Umgebungen mit bis zu 1000 Mailboxen zum Einsatz. Die Legato-Suite biete mehr Möglichkeiten zur Erfüllung von Compliance-Anforderungen, sei aber komplexer in der Handhabung. Es werde aber auf jeden Fall individuell abgeklärt, welche Software sich für das aktuelle Projekt am besten eigne.



Bei der Hardware ist man ebenfalls flexibel: Am einfachsten ist die Installation der DLM-Lösung als Appliance, also inklusive der Storage-Hardware. Manche Firmen hätten aber fixe Vorgaben, was den Einkauf von Storage-Hardware angeht; dort halte sich auch das Messaging-Management-Projekt an die firmengenehmigten Hersteller. In vielen Fällen sei für die Message-Archive bereits Storage vorhanden, zum Beispiel bisher ungenutzte Kapazität einer grossen Disk-Array oder einer Enterprise-Tape-Library.




Die Kosten für eine Messaging-Management-Lösung beziffert Proact auf 20'000 bis 40'000 Franken. Dem stehen klar messbare Einsparungen gegenüber: Rechnet man mit fünf Minuten, die jeder Mitarbeiter pro Tag mit dem Archivieren seiner E-Mails verbringt, geht bei einem Stundenansatz von 100 Franken in einer Firma mit 100 Mail-Usern jedes Jahr (48 5Tage-Wochen) Produktivität im Wert von 200'000 Franken verloren. Mit automatischem Mail-Management sinkt der Zeitbedarf pro Mitarbeiter erfahrungsgemäss auf 30 Sekunden beziehungsweise ein Zehntel. Der ROI stellt sich somit schon in weniger als einem Vierteljahr ein.




Archivierung des E-Mail-Verkehrs - was sagt das Gesetz?

Die Schweizer Gesetze zur Aufbewahrung geschäftsrelevanter Dokumente unterscheiden nicht zwischen Papier und elektronischen Datenträgern: In beiden Fällen gelten die selben Vorschriften.



Artikel 957 des Obligationenrechts (OR) legt fest, dass handelsregisterpflichtige Firmen die Bücher ordnungsgemäss führen und aufbewahren müssen. Unter "Bücher" versteht das OR alle Unterlagen, die "nach Art und Umfang des Geschäftes nötig sind, um die Vermögenslage des Geschäftes und die mit dem Geschäftsbetriebe zusammenhängenden Schuld- und Forderungsverhältnisse sowie die Ergebnisse der einzelnen Geschäftsjahre festzustellen". Im Klartext: Den Vorschriften unterliegen sämtliche finanzrelevanten Dokumente.




"Die Bücher, die Buchungsbelege und die Geschäftskorrespondenz können schriftlich, elektronisch oder in vergleichbarer Weise geführt werden", so der Artikel weiter. Einzig die Betriebsrechnung und die Bilanz müssen schriftlich und unterzeichnet aufbewahrt werden. Wichtig sind dabei die folgenden Punkte:




• Die Übereinstimmung mit den zugrundeliegenden Geschäftsvorfällen muss gewährleistet sein - jede geschäftliche Aktivität muss belegt werden können.




• Nicht schriftlich vorliegende Dokumente müssen "jederzeit wieder lesbar gemacht werden können". Über die Ausdehnung des Begriffs "jederzeit" gibt Artikel 962 OR Auskunft: "...sind während zehn Jahren aufzubewahren". Die Aufbewahrungspflicht beginnt mit dem Ablauf des betreffenden Geschäftsjahres.




• Die Konsequenzen bei Missachtung schildert Artikel 166 des Strafgesetzbuches: Kommt es zu Konkurs oder Verlustschein und kann der Vermögensstand aufgrund fehlender Unterlagen nicht ermittelt werden, drohen dem Schuldner Gefängnis oder Busse - selbst wenn der Schuldner eine juristische Person ist, kommen laut Artikel 172 durchaus die Personen selbst zur Kasse, die als Organ, Mitglied eines Organs oder Leiter dieser juristischen Person handeln.



Genaueres über die zulässigen Informationsträger ist in Artikel 9 der Geschäftsbücherverordnung zu finden: Neben unveränderbaren Informationsträgern, zu denen neben Papier auch unveränderbare Datenträger gehören, können unter bestimmten Voraussetzungen auch veränderbare Informationsträger eingesetzt werden - die Archivierung auf WORM oder CD/DVD-R ist also nicht zwingend. Bei veränderbaren Datenträgern müssen jedoch vier Vorgaben eingehalten werden:




• Es müssen technische Verfahren wie digitale Signatur zum Einsatz kommen, mit denen die Integrität der gespeicherten Informationen gewährleistet wird.




• Die Abläufe und Verfahren müssen festgelegt und dokumentiert sowie die Hilfsinformationen wie Logfiles und Protokolle ebenfalls aufbewahrt werden.




• Allfällige weitere Vorschriften zum Einsatz dieser technischen Verfahren müssen eingehalten werden.




• Der Zeitpunkt der Speicherung muss unverfälschbar nachgewiesen werden können. Ähnliche Vorgaben sind in den Steuergesetzen enthalten, zum Beispiel in den Artikeln 25 und 43 der Verordnung zum Bundesgesetz über die Mehrwertsteuer. Hier wird auch definiert, dass die Beweiskraft elektronischer Daten derjenigen von ohne Hilfsmittel lesbaren Dokumenten gleichkommt, sofern sie drei Voraussetzungen erfüllen: Nachweis des Ursprungs, Nachweis der Integrität und Nichtabstreitbarkeit von Versand und Empfang.



Grafik: Eine typische E-Mail-Archivlösung



Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER