© bilderbox, Fotolia.com

Wem das ganze Thema E-Mail-Archivierung über den Kopf wächst, der ruft nach Hilfe – oft in Form externer Berater. Das Linux-Magazin fragt IT-Strategen nach ihren Tipps, einer empfiehlt gar Subversives .

Mailadmins haben selten Langeweile. Die Flut an E-Mails steigt, Anwender beklagen sich über Spam und Viren, eine Diskussion mit Arbeitnehmervertretern, Datenschutzbeauftragten und Geschäftsleitung schwelt seit Jahren und die lieben Justiziare haben auch meist noch eine eigene Interpretation, wie zu verfahren ist. Da kommt das Thema E-Mail-Archivierung gerade recht.

Seit Anfang 2006 hat der Gesetzgeber eine Reihe von Rechtsnormen für Unternehmen um Regelungen zum elektronischen Datenaustausch ergänzt, da er festgestellt hat, dass E-Mail neben dem klassischen Papier eine immer wichtigere Rolle in der Unternehmenkommunikation spielt. So verplichtet Paragraf 257 des Handelsgesetzbuches (HGB) jeden Kaufmann, wichtige Unterlagen geordnet aufzubewahren [1]. Er muss so genannte Handelsbriefe sechs, Jahresabschlüsse und Buchungsbelege gar zehn Jahre archivieren. Wie das zu geschehen hat, regelt die Abgabenordnung (AO) im Paragraf 146 der Ordnungsvorschrift für Buchführung und Aufzeichnungen [2]. Je nach Unternehmensform erläutern weitere Vorschriften wie die GoB, GoBS und GDPdU diese Regelungen (siehe Artikel “Verworrene Rechtspraxis ums gesetzeskonforme Archivieren: Allein im Dschungel” in diesem Heft). Allen Regelungen ist gemein, dass sie zwar eine revisionssichere Archivierung der Unterlagen fordern und dabei auch explizit eine Ablage auf elektronischen Datenträgern erwähnen. Wie das jedoch technisch zu erfolgen hat, darüber schweigen sich die offiziellen Vorgaben durchgängig aus.

Ratlose Admins

Aus diesem Grund sind IT-Verantwortliche oft ratlos, ob und inwiefern sie von den Regelungen betroffen sind, mit welchen Mitteln der Gesetzgeber sie umzusetzen fordert und welche Sanktionen drohen, wenn das nicht oder nur unzureichend geschieht. Was passiert Unternehmen, die noch abwarten? Das Linux-Magazin fragte daher Experten von Beratungshäusern und Lösungsanbietern nach ihren Empfehlungen für die Praxis.

In der Pflicht

Der IT-Kaufmann Walter Steigauf aus München (siehe Abbildung 1), Geschäftsführer der Unitek GmbH arbeitet schon mehr als ein Dutzend Jahre als Lösungsanbieter für digitales Informations- und Dokumenten Management. Er erfreut sich guter Kontakte zum Bayrischen Landesamt für Steuern und weiß, dass die Pflicht zur Archivierung von Geschäftsvorfällen schon immer besteht und jedes Unternehmen gleich welcher Größe betrifft. “Mehr als 80 Prozent kommen ihr jedoch noch in traditioneller Weise nach: Sie legen Papier in Ordnern ab”, berichtet er. Gerade Anbieter von Softwarelösungen erwecken hingegen gerne den Anschein, dass mehr oder minder aufwändige IT-Systeme notwendig sind, um die von Juristen formulierten Anforderungen zu erfüllen.

Abbildung 1: Walter Steigauf ist Geschäftsführer der Unitek GmbH und kennt die wirklichen Probleme:. „Revisionssichere Archivierung bedeutet vor allem die Prüfer davon zu überzeugen, dass niemand etwas verändert hat.“

So schreiben die Ordnungsvorschriften von Paragraf 146, Absatz 4 der AO vor, dass eine “Aufzeichnung nicht in einer Weise verändert werden darf, sodass der ursprüngliche Inhalt nicht mehr feststellbar ist. Auch solche Veränderungen dürfen nicht vorgenommen werden, deren Beschaffenheit es ungewiss sein lässt, ob sie ursprünglich oder erst später gemacht worden sind.”

Was das für eine E-Mail-Archivierung konkret bedeutet, darüber scheiden sich die Geister. Einige Software- und Lösungsanbieter sind der Auffassung, dass die Vorschrift bedeutet, jede einzelne E-Mail von einem externen und unabhängigen Notariatsdienst beglaubigen und zusammen mit einem Zeitstempel signieren zu lassen. Die Appliance von Heinlein Support (siehe Abbildung 4) ist ein Spross dieser speziellen Klasse [3].

Das ganze entwickelt sich zu einem prima Betätigungsfeld für Softwareentwickler, Fans von digitalen Signaturen und Kryptografie. Denn es wirft eine Fülle von Folgefragen auf: Welche Kryptoverfahren sollten Anwender auswählen, welche Zeitstempeldienste sind vertrauenswürdig und was passiert, wenn sich binnen der Aufbewahrungsfrist die Computerleistung so steigert, dass neue Signaturverfahren notwendig werden?

Keine Antworten

Die gesetzlichen Regelungen geben auf solche Fragen keine Antwort, und kaum ein Experte möchte sich richtig festlegen: Ansgar H. Licher (siehe Abbildung 2) ist geschäftsführender Gesellschafter der LW Systems GmbH & Co. KG aus Bad Iburg. Der Berater für IT-Strategie ist selbst als freier IT-Auditor tätig und meint: “Hersteller haben die Aufgabe zu interpretieren, was getan werden muss, um dem Willen des Gesetzes zu genügen. Wirtschaftsprüfer-Gesellschaften fällt es naheliegenderwiese relativ leicht zu interpretieren, was der Gesetzgeber erwartet.” Er gibt jedoch zu, dass “die Frage der Revisionssicherheit und Gesetzeskonformität von Mailarchivierung nach Auskunft und Ansicht eines Bilanzbuchhalters aus unserem Kundenkreis eine rechtliche Grauzone” darstellt. Es gäbe nämlich nach dessen Meinung bis dato keine einschlägigen Rechtauslegungen dazu, also weder Gerichtsurteile von Amts- noch von Landgerichten. Diese entscheiden mitunter auch regional konträr, warnt der Berater.

Abbildung 2: Ansgar H. Licher ist geschäftsführender Gesellschafter der LW Systems GmbH & Co. KG. Er meint: „Hersteller haben die Aufgabe zu interpretieren, was getan werden muss, um dem Willen des Gesetzes zu genügen.“

So stehen Anwender zwar vor einer großen Auswahl von Produkten, müssen sich aber auf Einschätzungen von Dritten verlassen. So schlägt Volker Wünnenberg (siehe Abbildung 3), Senior Key Account Manager im Geschäftsbereich Business Security des Essener Beratungshauses Secunet Security Networks AG vor, eine Appliance einzusetzen: “Wir empfehlen unseren Kunden meist fertige Lösungen, etwa eine Produktreihe, die eine anerkannten Projektgruppe im Forschungszentrum für Informationstechnikgestaltung der Universität Kassel [4] auf Ihre rechtsgemäße Handhabung analysiert und positiv bewertet hat.”

Abbildung 3: Volker Wünnenberg ist Senior Key Account Manager im Geschäftsbereich Business Security der Secunet Security Networks AG und sagt über Sanktionen: „Es kann Probleme mit Wirtschafts- oder Steuerprüfern geben.“

Auch Unitek-Experte Steigauf kennt die Vorteile von Komplettlösungen: “Wenn lediglich die gesetzlichen Auflagen erfüllt werden sollen, ist es einfach. Wer ein geeignetes Devices für E-Mail-Archivierung in Betrieb nimmt, für den ist der Fall erledigt.” Solche Geräte bieten zwei Dutzend Hersteller mit variierendem Leistungsumfang an [5]. Mittlere Unternehmen sind mit einigen Tausend Euro für Hardware, Lizenzen, Wartung und Updates dabei, bei größeren Firmen wird die Summe schnell fünfstellig, abhängig von der Zahl der verwalteten Postfächer. Rund 30 Euro pro Mailbox sollten im Budgetverantwortliche einplanen, rät ein Consultant.

Abbildung 4: Heinlein Support entwickelt eine Komplettlösung, die mit aufwändiger Kryptografie des Fraunhofer Instituts und externem Zeitstempeldienst aufwartet. Anwender können die Linux-Software auch als Softappliance beziehen.

Abbildung 5: Die Artec IT Solutions GmbH baut die EMA-Produktreihe. Das Forschungszentrum für Informationstechnikgestaltung der Universität Kassel hat das Gerät auf ihre rechtsgemäße Arbeitsweise hin analysiert.

Rundum sorglos

Unternehmen sollten jedoch nicht nur die reine Gesetzeskonformität im Auge haben, empfiehlt Steigauf: “Soll die E-Mail-Archivierung auch unternehmerischen Nutzen bringen, muss sie im Kontext mit elektronischer Archivierung betrachtet und aufgebaut werden. Die ist geeignet, Prozesse in Unternehmen drastisch zu verschlanken. Sie amortisieren sich in der Regel binnen eines Jahres. Unternehmen sollten sie aber nur auf Basis eines durchdachten, mit einem Fachmann erstellten Konzepts einführen.”

Sein Kollege Wünnenberg ergänzt: “Firmen müssen bedenken, dass es nicht nur darum geht, Technik umzusetzen. Sie sollten auch eine prozessorientierte, organisatorische Sicht und die Erfahrung von Wirtschaftsprüfern berücksichtigen.” Anwender sollten nicht nur die gesetzlichen Vorgaben im Blick haben, meint er: “Konzerne verlangen von Zulieferern ebenfalls oft zu archivieren, um Vorschriften wie SOX zu erfüllen, denen sie selbst unterliegen.” Je nach Branche gibt es weitere Regularien, die aber auch keine konkreteren Aktivitäten formulieren.

Regeln sind dann wirksam, wenn Sanktionen drohen: “Wenn Wirtschaftsprüfer Testate verweigern oder Außenprüfer keine Möglichkeit haben, steuerrechtliche Informationen zu erheben, führt das zu Problemen”, meint der Secunet-Berater. Neuerdings gibt es etwa das Instrument des Verzögerungsgeldes ab 2500 Euro.

Aufruf zum Ungehorsam

“Dazu bedarf es aber schon sehr heftiger Verfehlungen”, schätzt Walter Steigauf die Landesteuerämter aus seiner Berufspraxis ein. Audits kämen bislang erst selten vor. Das soll sich jedoch ändern, erfuhr Steigauf: “Ich habe gehört, dass Außenprüfer mittlerweile Einsicht in die E-Mail-Korrespondenz nehmen und sich dieses Instruments künftig verstärkt bedienen wollen”. Bis dahin sei es zumindest eine theoretische Option, die E-Mail-Archivierung erst einmal auszusitzen, eröfffnet ein E-Mail-Experte, der nicht genannt werden will: “Einen Strafzettel wegen Falschparkens haben viele schon einmal erhalten – das ist auch viel wahrscheinlicher als einer wegen fehlender E-Mail-Archivierung.”

Kommentar: Gesetzgeber lässt Anwender im Regen stehen

Nils Magnus ist Journalist in der Redaktion des Linux-Magazins. Er widmet sich vorranging Wirtschafts- und Sicherheitsthemen. Viele Bürger beklagen zu Recht eine bürokratische Überregulierung in Deutschland. Das schließt die Informationstechnik nicht aus. Das deutsche Signaturgesetz, die zugehörige Verordnung und die Ausführungsbestimmungen beispielsweise sind so komplex und scharf, dass der Gesetzgeber damit erfolgreich einen flächendeckenden Einsatz dieser Technologie verhindert hat. Aber es gibt auch extremes Ödland am anderen Ende der Skala: Die Vorgaben zur E-Mail-Archivierung lassen selbst den gutwilligsten Anwender und IT-Entscheider im Regen unklarer Vorgaben stehen. Gesetzgeber mit EInsteigerkenntnissen Formulierungen wie “Unterlagen können auch als Wiedergabe auf einem Bildträger oder auf anderen Datenträgern aufbewahrt werden, wenn dies den Grundsätzen ordnungsmäßiger Buchführung entspricht” lassen mich vermuten, dass die Verfasser des Handelsgesetzbuches – die Passage stammt von 2005 – geistig noch in einer Zeit weilen, als Fotokopien noch Facsimilies hießen. Der Gesetzgeber verlangt weiter, dass niemand in der Lage sein darf, Aufzeichnungen zu verändern. Die Forderung an sich ist legitim, aber was heißt das? Die Spanne zwischen einem »chmod ugo-w email.txt«, das alle Schreibrechte einer Datei entfernt, und einem kryptografisch abgesicherten Zeitstempeldienst ist weit. Beide Verfahren erfüllen jedoch die Forderung, ließe sich argumentieren. Im ersten Fall reicht zugegebenermaßen ein neuer Aufruf von »chmod« vom Admin, beim letzten müsste ein Fälscher schon Kryptoexperte sein. Welches Niveau fordert hier der Gesetzgeber? Ich könnte mir schon vorstellen, dass mancher Außenprüfer Schwierigkeiten hätte, die erste Variante einzuschätzen, von der zweiten einmal ganz zu schweigen. Keine Garantie für Rechtssicherheit Es gibt keine verbriefte Sicherheit für eine Softwarelösung, denn es gibt niemanden, der sie verbindlich begutachtet und abnimmt. Anbieter und Experten verweisen auf Erfahrungen von Wirtschaftsprüfern, die über den Daumen entscheiden. Rechtsverbindlichkeit stelle ich mir anders vor. Selbst wenn ich die Premium-Lösung gekauft habe, schützt mich niemand davor, dass nicht ein übereifriger Gutachter auch daran etwas zu bekritteln hat: Mehr Bits beim SHA-1, weitere Firewalls oder Führungszeugnisse für das Reinigungspersonal in der IT-Abteilung. Symptomatisch für das Schisma zwischen Regulierern und Technikern ist auch die Innbrunst, mit der die Parteien über notwendige IT-Maßnahmen streiten und ringen. Beim Technologievorgänger Papier war das noch anders: Es liegen Äquivalente ganzer Wälder in den Archiven, simple auf Papier ausgedruckte Briefe. Wer eine gestellte Rechnung über orginal 500 zwecks Steuerersparnis auf fiskalisch günstigere 5000 Euro umschreiben will, druckt sie neu aus und setzt seine Unterschrift darunter. Mit kriminaltechnischen Untersuchungen zu argumentieren ist, als ob man Bruce Schneier dazu engagieren würde, die Gültigkeit von DNS-Absenderadresse zu überprüfen – es ist absurd und steht in keinem praktischen Verhältnis. Letztlich sind es aber nicht nur ungenaue Verordnungen, die für Hilflosigkeit sorgen: Der eine oder andere Anbieter macht sich gerne zum begeistertem Erfüllungsgehilfen des Fiskus, wenn dadurch die Kasse klingelt: Da leiten einige gerne eine Pflicht für aufwändige Verfahren und kostspielige Beratung ab, auch wenn das weitgehend eine subjektive Einschätzung ist, über die noch kein Gericht beraten, geschweige denn entschieden hat. Ausdrucken als Ultima Ratio Aber es gibt noch Lichtblicke, denn zum Glück erlaubt das Gesetz in Paragraf 257, Absatz 3, Nummer 2 HGB, dass “statt des Datenträgers selbst die Daten auch ausgedruckt aufbewahrt werden dürfen”: find /var/spool/mail | xargs cat | lpr Erfreulich, dass gesetzeskonforme Lösungen auch einfach sein dürfen. (Nils Magnus)