Barracuda Networks Mail-Archivierung ein gesetzliches Muss für Unternehmen (?) Michael Ulrich Channel Sales Manager
Wer muss Mails archiveren? Bundesgesetz vom 30. März 1911 betreffend die Ergänzung des Schweizerischen Zivilgesetzbuches (Obligationenrecht, Art 957-962) Verordnung vom 24. April 2002 über die Führung und Aufbewahrung der Geschäftsbücher (GeBüV, Artikel 3 10) Verordnung des EFD über elektronisch übermittelte Daten und Informationen vom 30. Januar 2002 (ElDI-V, Artikel 10 12 Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG) ISO 15489-1 Schriftgutverwaltung, Branchenspezifische Spezialerlasse wie Steuergesetze,Bankengesetz, FINMA Geldwäschereigesetz, Richtlinien der Schweizerischen Bankiervereinigung etc.
Was muss archivert werden? Buchungsbelege, Bücher und Aufzeichnungen, Inventare, Eröffnungsbilanzen und Jahresabschlüsse, Organisationsunterlagen, Empfangenen und abgesandte Handels- oder Geschäftsbriefe und sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind. E-Mails sind im Unternehmen Teil der Geschäftskorrespondenz, für die grundsätzlich eine Aufbewahrungspflicht besteht, Insbesondere gilt dies für alle Schreiben, durch die ein Geschäft vorbereitet, abgewickelt, abgeschlossen oder rückgängig gemacht wird. (Rechnungen, Aufträge, Auftragsbestätigungen, Zahlungsbelege und Verträge. Dies gilt auch dann, wenn diese per Mail versendet werden. Grundlage hierfür ist die Buchführungspflicht nach Art. 957 ff. OR
Many regulations require (mail) archiving Litigation Financial Public Sector Healthcare International FRCP Sarbanes-Oxley FERPA HIPAA Japan s PIPA SEC Open Meeting Laws Medicare Conditions of Participation EU Data Protection Directive NASD Freedom of Information Act FDA Germany s GDPdU FINMA National Archives and Records UK Bribery Act 2010 Gramm-Leach- Bliley CIPA
Wie lange müssen Mails archiviert werden? Nach dem Obligationenrecht (Artikel 962) ergeben sich folgende Aufbewahrungsfristen: Sämtlich Geschäftsbücher, die Buchungsbelege und die Geschäftskorrespondenz müssen 10 Jahre lang aufbewahrt werden. Bei Korrespondenz, die sich auf Geschäfte mit Immobilien oder Grundstücken bezieht, gilt eine längere Frist von mindestens 20 Jahren (u.a. MwStG 70 Ziff. 3). Je nach Branche kann es zusätzliche Bestimmungen geben. In Anbetracht der Masse von Mails ist eine zuverlässige Kategorisierung mit vertretbarem Aufwand kaum möglich. In der Praxis werden daher alle E-Mails mindestens zehn Jahre (empfohlen 11 Jahre)
Anforderungen I Jedes Dokument muss mit seinem Original übereinstimmen und unveränderbar archiviert werden. Artikel 3 spricht in diesem Zusammenhang von Integrität (Echtheit und Unverfälschbarkeit). Die Prozesse und die eingesetzte Infrastruktur (HW/SW) müssen lückenlos dokumentiert werden (Artikel 4) und können von einem sachverständigen Dritten jederzeit geprüft werden (Audit / Revision). Jedes Dokument muss dauerhaft, sowie geschützt vor schädlichen Einwirkungen aufbewahrt werden und jeder Eingriff resp. Zugriff auf das Archiv muss protokolliert werden. Die entsprechenden Vorgaben werden in der Geschäftsbücherverordnung (GeBüV) geregelt.
Anforderungen II Unveränderbare: Papier, Bildträger (z.b. Mikrofilme; Fotokopien) oder unveränderbare Datenträger (z.b. CD, DVD) Veränderbare - gespeicherte Informationen können ohne Nachweis auf dem Datenträger geändert oder gelöscht werden: Magnetbänder, Solid State Speicher (z.b. SSD), Disk-Systeme (WORM) Bei veränderbaren Datenträger gilt das technische Verfahren zur Gewährleistung der Integrität zu beachten. Hashwerte, digitale Signaturverfahren oder Zeitstempel etc. Allfällige weitere Vorschriften aufgrund der eingesetzten Verfahren. Abläufe und Verfahren müssen festgelegt, dokumentiert und mit Hilfsinformationen aufbewahrt. Woher kommt die WORM Qualität eines Mediums?
Muss oder darf man alle Mails archiveren? Konflikt mit dem Datenschutz bei Automatischer Archivierung Wenn ich private E-Mail-Nutzung gestatte, unterliegt der Arbeitgeber dem Bundesdatenschutzgesetz (BDSG) Verbot von privater E-Mail-Nutzung muss schriftlich fixiert, kontrolliert und konsequent durchgesetzt werden. Eine interne Vereinbarung resp. ein Nutzungsreglement *als Zusatz zum Arbeitsvertrag, in der die Archivierung explizit zugestimmt wird. * problematisch hierbei ist, dass der Mitarbeiter auf diese Weise nur seine eigenen durch das Fernmeldegeheimnis / Telekomminkationsgesetzt (TKG) geschützten Rechte abtreten kann.
SPAM auch archiveren? Ein SPAM Filter kann verhindern, dass Mails nicht ins Archiv gelangen, die Archivierung daher nicht vollständig und «nicht rechtsicher» wäre. Spam wird nach dem Mail-Empfang gefiltert (mit rechtlichem Risiko) Auf Spamfilter verzichten (wenig empfehlenswert) Als SPAM indentifizierte Mails werden vor der Annahme durch den Mail- Server abgewiesen. Für als Spam identifizierte Mails, welche nicht angenommen werden, besteht keine gesetzliche Pflicht zur Archivierung. Technisch gesehen darf die Annahme der E-Mail nicht mittels Statuscode 250 vom SMTP-Server quittiert werden. In diesem Fall ist nicht der eigene, sondern der zustellende E-Mail-Server für die Versendung des NDR (Non-Delivery Reports) an den Absender verantwortlich.
Fazit Es gibt keine Stelle die Ihnen einen "Gütestempel" bezüglich Rechtsicherheit geben wird und leider ist gerade der rechtliche Aspekt der (Mail) Archivierung sehr vielschichtig und von zahlreichen Grauzonen geprägt. «Es gilt die Gesetzlichen Bestimmungen im bestem Wissen und Gewissen zu berücksichtigen und bezüglich Aufbewahrungspflicht, Unveränderbarkeit die vorhandenen Bestimmungen einzuhalten und dabei Rücksicht auf Personenund Daten-schutz zu nehmen.»
Designed for Long Retention WORM compliant White Paper for Compliance in Switzerland available Launched 2007 7 000+ customers - 2 000 000+ archived mailboxes Great for End Users
Litigation and compliance features Role-based access and search String-based searches on user-selected email fields Role-based access enables auditor review AD/LDAP Authentication Audit logs ensure message robustness Policy-driven alerts and retention rules Ensure email compliance through policy definitions on key user fields Litigation holds Retention policies that prevent information leakage Global policies Granular policies
Litigation and Compliance
Why customers archive email 80% 60% 40% Storage Management Litigation and Compliance 20% User Access 0% Litigation support Email server offload User access and search Regulatory requirements Eliminate PST and NSF Files Litigation / Compliance Storage Management User Access Source:
Storage Management
Shifting Paradigm on the Email Server Mail traffic is constantly increasing Attachments are more than 85% of email Storage is expensive and limited Attachments Body Header What does a user do when his mailbox is full? a) CTRL-A + SHIFT-Delete b) Create a PST file (wherever he wants) + Reduced server load No single instance storage Inability to search across copies Inconsistent backups Compliance issues
Storage Optimization Features Exchange Stubbing Prevent storage saturation: Move attachments from Microsoft Exchange server onto the Barracuda Message Archiver Single Instance Storage + Message Compression Eliminate duplicates: Intelligently removes duplicate emails and attachments Extend effective storage size: Compress messages before storage in the archive Automated PST Collection and Import Eliminate PST files through on-demand, automated or drop box upload
Deployment steps with Exchange 1. Import all PST files (automatic PST Collector SW) 2. Import the Entire content of Exchange (or legacy Email server) 3. Configure Journaling Account for all future emails PUSH via SMTP PULL via IMAP or POP The Message Archiver is a great Email Server Migration Tool!
User Access
Deployment (easy access from everywhere) WWW Cloud Relay Barracuda Message Archiver Remote Barracuda Message Archiver Barracuda Backup Copy Integration
Disaster ready High Availability Pair of Barracuda Message Archivers ensure availability of data and indexes Mirroring of data Internal data can be mirrored to external storage for redundancy Compatible with industry standard backup programs Backup archived data
Barracuda Message Archiver Models
Comprehensive Portfolio Security Storage Barracuda Spam & Virus Firewall Barracuda Web Security Barracuda NG Firewall Barracuda Web Application Firewall Barracuda Load Balancer ADC Barracuda Link Balancer Barracuda Backup Barracuda Message Archiver Copy Barracuda Firewall Barracuda SSL VPN SignNow
Questions? Browser Access / mulrich
Thank You