Was Experten zur E-Mail-Archivierung raten

Aufruf zum Ungehorsam

"Dazu bedarf es aber schon sehr heftiger Verfehlungen", schätzt Walter Steigauf die Landesteuerämter aus seiner Berufspraxis ein. Audits kämen bislang erst selten vor. Das soll sich jedoch ändern, erfuhr Steigauf: "Ich habe gehört, dass Außenprüfer mittlerweile Einsicht in die E-Mail-Korrespondenz nehmen und sich dieses Instruments künftig verstärkt bedienen wollen". Bis dahin sei es zumindest eine theoretische Option, die E-Mail-Archivierung erst einmal auszusitzen, eröfffnet ein E-Mail-Experte, der nicht genannt werden will: "Einen Strafzettel wegen Falschparkens haben viele schon einmal erhalten - das ist auch viel wahrscheinlicher als einer wegen fehlender E-Mail-Archivierung."

Kommentar: Gesetzgeber lässt Anwender im Regen stehen
Nils Magnus ist Journalist in der Redaktion des Linux-Magazins. Er widmet sich vorranging Wirtschafts- und Sicherheitsthemen. Viele Bürger beklagen zu Recht eine bürokratische Überregulierung in Deutschland. Das schließt die Informationstechnik nicht aus. Das deutsche Signaturgesetz, die zugehörige Verordnung und die Ausführungsbestimmungen beispielsweise sind so komplex und scharf, dass der Gesetzgeber damit erfolgreich einen flächendeckenden Einsatz dieser Technologie verhindert hat. Aber es gibt auch extremes Ödland am anderen Ende der Skala: Die Vorgaben zur E-Mail-Archivierung lassen selbst den gutwilligsten Anwender und IT-Entscheider im Regen unklarer Vorgaben stehen. Gesetzgeber mit EInsteigerkenntnissen Formulierungen wie "Unterlagen können auch als Wiedergabe auf einem Bildträger oder auf anderen Datenträgern aufbewahrt werden, wenn dies den Grundsätzen ordnungsmäßiger Buchführung entspricht" lassen mich vermuten, dass die Verfasser des Handelsgesetzbuches - die Passage stammt von 2005 - geistig noch in einer Zeit weilen, als Fotokopien noch Facsimilies hießen. Der Gesetzgeber verlangt weiter, dass niemand in der Lage sein darf, Aufzeichnungen zu verändern. Die Forderung an sich ist legitim, aber was heißt das? Die Spanne zwischen einem »chmod ugo-w email.txt«, das alle Schreibrechte einer Datei entfernt, und einem kryptografisch abgesicherten Zeitstempeldienst ist weit. Beide Verfahren erfüllen jedoch die Forderung, ließe sich argumentieren. Im ersten Fall reicht zugegebenermaßen ein neuer Aufruf von »chmod« vom Admin, beim letzten müsste ein Fälscher schon Kryptoexperte sein. Welches Niveau fordert hier der Gesetzgeber? Ich könnte mir schon vorstellen, dass mancher Außenprüfer Schwierigkeiten hätte, die erste Variante einzuschätzen, von der zweiten einmal ganz zu schweigen. Keine Garantie für Rechtssicherheit Es gibt keine verbriefte Sicherheit für eine Softwarelösung, denn es gibt niemanden, der sie verbindlich begutachtet und abnimmt. Anbieter und Experten verweisen auf Erfahrungen von Wirtschaftsprüfern, die über den Daumen entscheiden. Rechtsverbindlichkeit stelle ich mir anders vor. Selbst wenn ich die Premium-Lösung gekauft habe, schützt mich niemand davor, dass nicht ein übereifriger Gutachter auch daran etwas zu bekritteln hat: Mehr Bits beim SHA-1, weitere Firewalls oder Führungszeugnisse für das Reinigungspersonal in der IT-Abteilung. Symptomatisch für das Schisma zwischen Regulierern und Technikern ist auch die Innbrunst, mit der die Parteien über notwendige IT-Maßnahmen streiten und ringen. Beim Technologievorgänger Papier war das noch anders: Es liegen Äquivalente ganzer Wälder in den Archiven, simple auf Papier ausgedruckte Briefe. Wer eine gestellte Rechnung über orginal 500 zwecks Steuerersparnis auf fiskalisch günstigere 5000 Euro umschreiben will, druckt sie neu aus und setzt seine Unterschrift darunter. Mit kriminaltechnischen Untersuchungen zu argumentieren ist, als ob man Bruce Schneier dazu engagieren würde, die Gültigkeit von DNS-Absenderadresse zu überprüfen - es ist absurd und steht in keinem praktischen Verhältnis. Letztlich sind es aber nicht nur ungenaue Verordnungen, die für Hilflosigkeit sorgen: Der eine oder andere Anbieter macht sich gerne zum begeistertem Erfüllungsgehilfen des Fiskus, wenn dadurch die Kasse klingelt: Da leiten einige gerne eine Pflicht für aufwändige Verfahren und kostspielige Beratung ab, auch wenn das weitgehend eine subjektive Einschätzung ist, über die noch kein Gericht beraten, geschweige denn entschieden hat. Ausdrucken als Ultima Ratio Aber es gibt noch Lichtblicke, denn zum Glück erlaubt das Gesetz in Paragraf 257, Absatz 3, Nummer 2 HGB, dass "statt des Datenträgers selbst die Daten auch ausgedruckt aufbewahrt werden dürfen": find /var/spool/mail \| xargs cat \| lpr Erfreulich, dass gesetzeskonforme Lösungen auch einfach sein dürfen. (Nils Magnus)

Kommentar: Gesetzgeber
lässt Anwender im Regen stehen

Nils Magnus ist Journalist in der Redaktion des Linux-Magazins. Er widmet sich vorranging Wirtschafts- und Sicherheitsthemen.

Viele Bürger beklagen zu Recht eine bürokratische Überregulierung in Deutschland. Das schließt die Informationstechnik nicht aus. Das deutsche Signaturgesetz, die zugehörige Verordnung und die Ausführungsbestimmungen beispielsweise sind so komplex und scharf, dass der Gesetzgeber damit erfolgreich einen flächendeckenden Einsatz dieser Technologie verhindert hat. Aber es gibt auch extremes Ödland am anderen Ende der Skala: Die Vorgaben zur E-Mail-Archivierung lassen selbst den gutwilligsten Anwender und IT-Entscheider im Regen unklarer Vorgaben stehen.

Gesetzgeber mit EInsteigerkenntnissen

Formulierungen wie "Unterlagen können auch als Wiedergabe auf einem Bildträger oder auf anderen Datenträgern aufbewahrt werden, wenn dies den Grundsätzen ordnungsmäßiger Buchführung entspricht" lassen mich vermuten, dass die Verfasser des Handelsgesetzbuches - die Passage stammt von 2005 - geistig noch in einer Zeit weilen, als Fotokopien noch Facsimilies hießen. Der Gesetzgeber verlangt weiter, dass niemand in der Lage sein darf, Aufzeichnungen zu verändern. Die Forderung an sich ist legitim, aber was heißt das? Die Spanne zwischen einem »chmod ugo-w email.txt«, das alle Schreibrechte einer Datei entfernt, und einem kryptografisch abgesicherten Zeitstempeldienst ist weit.

Beide Verfahren erfüllen jedoch die Forderung, ließe sich argumentieren. Im ersten Fall reicht zugegebenermaßen ein neuer Aufruf von »chmod« vom Admin, beim letzten müsste ein Fälscher schon Kryptoexperte sein. Welches Niveau fordert hier der Gesetzgeber? Ich könnte mir schon vorstellen, dass mancher Außenprüfer Schwierigkeiten hätte, die erste Variante einzuschätzen, von der zweiten einmal ganz zu schweigen.

Keine Garantie für Rechtssicherheit

Es gibt keine verbriefte Sicherheit für eine Softwarelösung, denn es gibt niemanden, der sie verbindlich begutachtet und abnimmt. Anbieter und Experten verweisen auf Erfahrungen von Wirtschaftsprüfern, die über den Daumen entscheiden. Rechtsverbindlichkeit stelle ich mir anders vor. Selbst wenn ich die Premium-Lösung gekauft habe, schützt mich niemand davor, dass nicht ein übereifriger Gutachter auch daran etwas zu bekritteln hat: Mehr Bits beim SHA-1, weitere Firewalls oder Führungszeugnisse für das Reinigungspersonal in der IT-Abteilung.

Symptomatisch für das Schisma zwischen Regulierern und Technikern ist auch die Innbrunst, mit der die Parteien über notwendige IT-Maßnahmen streiten und ringen. Beim Technologievorgänger Papier war das noch anders: Es liegen Äquivalente ganzer Wälder in den Archiven, simple auf Papier ausgedruckte Briefe. Wer eine gestellte Rechnung über orginal 500 zwecks Steuerersparnis auf fiskalisch günstigere 5000 Euro umschreiben will, druckt sie neu aus und setzt seine Unterschrift darunter. Mit kriminaltechnischen Untersuchungen zu argumentieren ist, als ob man Bruce Schneier dazu engagieren würde, die Gültigkeit von DNS-Absenderadresse zu überprüfen - es ist absurd und steht in keinem praktischen Verhältnis.

Letztlich sind es aber nicht nur ungenaue Verordnungen, die für Hilflosigkeit sorgen: Der eine oder andere Anbieter macht sich gerne zum begeistertem Erfüllungsgehilfen des Fiskus, wenn dadurch die Kasse klingelt: Da leiten einige gerne eine Pflicht für aufwändige Verfahren und kostspielige Beratung ab, auch wenn das weitgehend eine subjektive Einschätzung ist, über die noch kein Gericht beraten, geschweige denn entschieden hat.

Ausdrucken als Ultima Ratio

Aber es gibt noch Lichtblicke, denn zum Glück erlaubt das Gesetz in Paragraf 257, Absatz 3, Nummer 2 HGB, dass "statt des Datenträgers selbst die Daten auch ausgedruckt aufbewahrt werden dürfen":

find /var/spool/mail | xargs cat | lpr

Erfreulich, dass gesetzeskonforme Lösungen auch einfach sein dürfen. (Nils Magnus)

Infos
[1] § 257 HGB, "Aufbewahrung von Unterlagen. Aufbewahrungsfristen":[http://dejure.org/gesetze/HGB/257.html] [2] § 146 AO, "Ordungsvorschrift für Buchführung und Aufzeichnungen":[http://www.gdpdu-email.de/dl/ao.pdf] [3] Heinlein Mail-Archiv: [http://heinlein-support.de/web/support/mailarchiv] [4] Forschungszentrum für Informationstechnik-Gestaltung der Universität Kassel: [http://www.iteg.uni-kassel.de] [5] Marktübersicht E-Mail-Archivierung: [http://lanline.de/assets/marktuebersichten/ll-mue-005-2009-E-Mail.pdf]

Infos

[1] § 257 HGB, "Aufbewahrung von Unterlagen. Aufbewahrungsfristen":[http://dejure.org/gesetze/HGB/257.html]

[2] § 146 AO, "Ordungsvorschrift für Buchführung und Aufzeichnungen":[http://www.gdpdu-email.de/dl/ao.pdf]

[3] Heinlein Mail-Archiv: [http://heinlein-support.de/web/support/mailarchiv]

[4] Forschungszentrum für Informationstechnik-Gestaltung der Universität Kassel: [http://www.iteg.uni-kassel.de]

[5] Marktübersicht E-Mail-Archivierung: [http://lanline.de/assets/marktuebersichten/ll-mue-005-2009-E-Mail.pdf]

« Zurück 1 2 3 Weiter »

Diesen Artikel als PDF kaufen

Als digitales Abo

Als PDF im Abo bestellen

Aufruf zum Ungehorsam

Gesetzgeber mit EInsteigerkenntnissen

Keine Garantie für Rechtssicherheit

Ausdrucken als Ultima Ratio

Diesen Artikel als PDF kaufen

Als digitales Abo

Weitere Produkte im Medialinx Shop »

Versandartikel

Onlineartikel

Ähnliche Artikel

Ausgabe 07/2013

Insecurity Bulletin

Linux-Magazin auf Facebook