Bundesamt für Sicherheit in der Informationstechnik

M 6.90 Datensicherung und Archivierung bei Groupware und E-Mail

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, Benutzer

Bei einem Groupware-System müssen regelmäßig Datensicherungen durchgeführt werden. Eine der Applikationen, bei der eine geordnete Datensicherung besonders wichtig ist, ist E-Mail. Die Bedeutung von E-Mail für die interne und externe Kommunikation nimmt ständig zu, daher ist es wichtig, dass die gesendeten bzw. empfangenen Nachrichten auch längerfristig zur Verfügung stehen. Zudem gibt es auch gesetzliche Vorgaben, die eine längerfristige revisionssichere Archivierung von geschäftsrelevanten E-Mails fordern.

Groupware-Systeme bestehen aus vielen Komponenten, die je nach Konfiguration in Datensicherungen einzubeziehen sind. Daher sollte ein Datensicherungskonzept für Groupware erstellt werden, das in das existierende Datensicherungskonzept der Institution integriert werden sollte (siehe auch B 1.4 Datensicherungskonzept ). Auf Server-Seite werden die wesentlichen Informationen und Daten von Groupware-Systemen in Datenbanken vorgehalten. Hierfür sind die Sicherheitsempfehlungen für die Datensicherungen von allgemeinen Datenbanken umzusetzen (siehe M 6.49 Datensicherung einer Datenbank ).

Während die Datensicherung der Groupware-Server im Allgemeinen gut geregelt ist, bestehen häufig große Regelungslücken bei der Frage der Datensicherung und Archivierung von E-Mails.

Typischerweise werden E-Mails von einem zentralen Groupware- oder E-Mail-Server zunächst auf Benutzer- PC s oder in Benutzerverzeichnisse verlagert, wo sie bearbeitet und weitergeleitet bzw. abgelegt werden. Während Daten auf Servern im allgemeinen regelmäßig gesichert werden, werden die auf den Clients gespeicherten E-Mails häufig nicht oder unzureichend gesichert. Es sollte auch hierfür eine geregelte Vorgehensweise geben.

Für den Empfang von E-Mails können benutzer- oder aufgabenbezogene E-Mail-Adressen eingerichtet werden. Viele E-Mails, die an eine benutzerbezogene E-Mail-Adresse gerichtet sind, sollten aber einer Reihe von Mitarbeitern zugänglich sein, z. B. in Projektgruppen. Daher ist es wichtig, diese in entsprechenden Projektverzeichnissen auf Servern zu speichern. Häufig müssen bei der Speicherung solcher E-Mails als offizielle Dokumente auch Mindest- bzw. Höchstfristen der Speicherung beachtet werden (siehe Baustein B 1.12 Archivierung ).

Es sollte grundsätzlich geregelt sein, wie, wann und wo sowohl gesendete als auch empfangene E-Mails archiviert werden, beispielsweise ob zentral oder dezentral von den Benutzern.

Beim Archivieren von verschlüsselter E-Mail müssen einige Punkte beachtet werden (siehe auch M 6.56 Datensicherung bei Einsatz kryptographischer Verfahren ):

  • E-Mails, die über eine beträchtliche Zeitspanne gespeichert werden sollen, können unlesbar sein, wenn die benutzten kryptographischen Schlüssel nicht mehr vorhanden sind.
  • Das Archivieren und das Wiedereinspielen verschlüsselter E-Mails muss sorgfältig geplant werden. Eine Möglichkeit ist z. B., die Nachrichten im Klartext zu speichern. Dabei muss die Vertraulichkeit auf andere Weise si­chergestellt werden. Bei einer verschlüsselten Speicherung müssen ebenfalls die Zugangsinformationen gesichert werden, damit sie für eine Wiederherstellung der Daten verfügbar sind.

Prüffragen:

  • Gibt es eine geregelte Vorgehensweise für die Sicherung von gesendeten und empfangenen E-Mails auf E-Mail-Clients und E-Mail-Servern?

  • Gibt es Regelungen zu Mindest- und Höchstfristen bei der Speicherung von E-Mails, sofern E-Mails als offizielle Dokumente gespeichert werden müssen?

  • Gibt es eine dokumentierte Vorgehensweise zum Archivieren von verschlüsselten E-Mails?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK