Barracuda Networks

Barracuda Networks
Mail-Archivierung ein gesetzliches Muss für Unternehmen (?)
Michael Ulrich
Channel Sales Manager
Wer muss Mails archiveren ?
− Bundesgesetz vom 30. März 1911 betreffend die Ergänzung des
Schweizerischen Zivilgesetzbuches (Obligationenrecht, Art 957-962)
− Verordnung vom 24. April 2002 über die Führung und Aufbewahrung der
Geschäftsbücher (GeBüV, Artikel 3 – 10)
− Verordnung des EFD über elektronisch übermittelte Daten und
Informationen vom 30. Januar 2002 (ElDI-V, Artikel 10 – 12
− Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG)
ISO 15489-1 Schriftgutverwaltung, Branchenspezifische Spezialerlasse wie Steuergesetze,Bankengesetz, FINMA
Geldwäschereigesetz, Richtlinien der Schweizerischen Bankiervereinigung etc.
Was muss archivert werden ?
− Buchungsbelege, Bücher und Aufzeichnungen, Inventare,
Eröffnungsbilanzen und Jahresabschlüsse, Organisationsunterlagen,
− Empfangenen und abgesandte Handels- oder Geschäftsbriefe und
sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind.
− E-Mails sind im Unternehmen Teil der Geschäftskorrespondenz, für die
grundsätzlich eine Aufbewahrungspflicht besteht,
Insbesondere gilt dies für alle Schreiben, durch die ein Geschäft vorbereitet, abgewickelt, abgeschlossen oder rückgängig
gemacht wird. (Rechnungen, Aufträge, Auftragsbestätigungen, Zahlungsbelege und Verträge. Dies gilt auch dann, wenn
diese per Mail versendet werden. Grundlage hierfür ist die Buchführungspflicht nach Art. 957 ff. OR
Many regulations require (mail) archiving
Litigation
FRCP
Financial
Public Sector
Healthcare
International
Sarbanes-Oxley
FERPA
HIPAA
Japan’s PIPA
SEC
Open Meeting
Laws
Medicare
Conditions of
Participation
EU Data
Protection
Directive
NASD
Freedom of
Information Act
FDA
Germany’s
GDPdU
FINMA
National Archives
and Records
Gramm-LeachBliley
CIPA
UK Bribery Act
2010
Wie lange müssen Mails archiviert werden ?
Nach dem Obligationenrecht (Artikel 962) ergeben sich folgende
Aufbewahrungsfristen:
− Sämtlich Geschäftsbücher, die Buchungsbelege und die
Geschäftskorrespondenz müssen 10 Jahre lang aufbewahrt werden.
− Bei Korrespondenz, die sich auf Geschäfte mit Immobilien oder
Grundstücken bezieht, gilt eine längere Frist von mindestens 20 Jahren
(u.a. MwStG 70 Ziff. 3).
Je nach Branche kann es zusätzliche Bestimmungen geben. In Anbetracht der Masse von Mails ist eine zuverlässige
Kategorisierung mit vertretbarem Aufwand kaum möglich. In der Praxis werden daher alle E-Mails mindestens zehn Jahre
(empfohlen 11 Jahre)
Anforderungen I
− Jedes Dokument muss mit seinem Original übereinstimmen und
unveränderbar archiviert werden. Artikel 3 spricht in diesem
Zusammenhang von Integrität (Echtheit und Unverfälschbarkeit).
− Die Prozesse und die eingesetzte Infrastruktur (HW/SW) müssen lückenlos
dokumentiert werden (Artikel 4) und können von einem sachverständigen
Dritten jederzeit geprüft werden (Audit / Revision).
− Jedes Dokument muss dauerhaft, sowie geschützt vor schädlichen
Einwirkungen aufbewahrt werden und jeder Eingriff resp. Zugriff auf das
Archiv muss protokolliert werden.
Die entsprechenden Vorgaben werden in der Geschäftsbücherverordnung (GeBüV) geregelt.
Anforderungen II
− Unveränderbare: Papier, Bildträger (z.B. Mikrofilme; Fotokopien) oder
unveränderbare Datenträger (z.B. CD, DVD)
− Veränderbare - gespeicherte Informationen können ohne Nachweis auf
dem Datenträger geändert oder gelöscht werden: Magnetbänder, Solid
State Speicher (z.B. SSD), Disk-Systeme (WORM)
Bei „veränderbaren Datenträger“ gilt das technische Verfahren zur Gewährleistung der Integrität zu beachten. Hashwerte,
digitale Signaturverfahren oder Zeitstempel etc.
Allfällige weitere Vorschriften aufgrund der eingesetzten Verfahren. Abläufe und Verfahren müssen festgelegt,
dokumentiert und mit Hilfsinformationen aufbewahrt. Woher kommt die WORM Qualität eines Mediums?
Muss oder darf man alle Mails archiveren ?
Konflikt mit dem Datenschutz bei Automatischer Archivierung
− Wenn ich private E-Mail-Nutzung gestatte, unterliegt der Arbeitgeber dem
Bundesdatenschutzgesetz (BDSG)
− Verbot von privater E-Mail-Nutzung muss schriftlich fixiert, kontrolliert und
konsequent durchgesetzt werden.
− Eine interne Vereinbarung resp. ein Nutzungsreglement *als Zusatz zum
Arbeitsvertrag , in der die Archivierung explizit zugestimmt wird.
* problematisch hierbei ist, dass der Mitarbeiter auf diese Weise nur seine eigenen durch das Fernmeldegeheimnis /
Telekomminkationsgesetzt (TKG) geschützten Rechte abtreten kann.
SPAM auch archiveren ?
Ein SPAM Filter kann verhindern, dass Mails nicht ins Archiv gelangen, die
Archivierung daher nicht vollständig und «nicht rechtsicher» wäre.
− Spam wird nach dem Mail-Empfang gefiltert (mit rechtlichem Risiko)
− Auf Spamfilter verzichten (wenig empfehlenswert)
− Als SPAM indentifizierte Mails werden vor der Annahme durch den MailServer abgewiesen. Für als Spam identifizierte Mails , welche nicht
angenommen werden, besteht keine gesetzliche Pflicht zur Archivierung.
Technisch gesehen darf die Annahme der E-Mail nicht mittels Statuscode 250 vom SMTP-Server „quittiert“ werden. In
diesem Fall ist nicht der eigene, sondern der zustellende E-Mail-Server für die Versendung des NDR (Non-Delivery Reports)
an den Absender verantwortlich.
Fazit
Es gibt keine Stelle die Ihnen einen "Gütestempel" bezüglich Rechtsicherheit
geben wird und leider ist gerade der rechtliche Aspekt der (Mail) Archivierung
sehr vielschichtig und von zahlreichen Grauzonen geprägt.
«Es gilt die Gesetzlichen Bestimmungen im bestem Wissen und Gewissen zu
berücksichtigen und bezüglich Aufbewahrungspflicht, Unveränderbarkeit die
vorhandenen Bestimmungen einzuhalten und dabei Rücksicht auf Personenund Daten-schutz zu nehmen.»
Designed for Long Retention
•
WORM compliant
•
White Paper for Compliance in Switzerland available
•
Launched 2007 – 7’000+ customers - 2’000’000+ archived mailboxes
•
Great for End Users
Litigation and compliance features
Role-based access and search
String-based searches on user-selected email
fields
Role-based access enables auditor review
AD/LDAP Authentication
Audit
logs ensure
message
robustness
Policy-driven
alerts
and retention
rules
Ensure email compliance through policy
definitions on key user fields
Litigation holds
Retention policies that prevent information
leakage
Global policies
Granular policies
Litigation and Compliance
Why customers archive email
80%
Storage
Management
60%
Litigation
and
Compliance
40%
20%
0%
User Access
Litigation
support
Email server
offload
Litigation / Compliance
User access and
search
Regulatory
requirements
Storage Management
Eliminate PST
and NSF Files
User Access
Source:
Storage Management
Shifting Paradigm on the Email Server
• Mail traffic is constantly increasing
• Attachments are more than 85% of email
• Storage is expensive and limited
What does a user do when his mailbox is full ?
a) CTRL-A + SHIFT-Delete
b) Create a PST file (wherever he wants)
+ Reduced server load
− No single instance storage
− Inability to search across copies
− Inconsistent backups
− Compliance issues
Attachments
Body
Header
Storage Optimization Features
Exchange Stubbing
Prevent storage saturation: Move attachments from Microsoft Exchange
server onto the Barracuda Message Archiver
Single Instance Storage
+ Message Compression
Eliminate duplicates: Intelligently removes duplicate emails and attachments
Extend effective storage size: Compress messages before storage in the
archive
Automated PST
Collection and Import
Eliminate PST files through on-demand, automated or drop box upload
Deployment steps with Exchange
1. Import all PST files (automatic PST Collector SW)
2. Import the Entire content of Exchange (or legacy Email server)
3. Configure Journaling Account for all future emails
PUSH via SMTP
PULL via IMAP or POP
The Message Archiver
is a great Email Server
Migration Tool !
User Access
Deployment (easy access from everywhere)
WWW
Barracuda Message Archiver
Cloud Relay
Barracuda Message Archiver
Remote
Barracuda Backup
Copy Integration
Disaster ready
High Availability
• Pair of Barracuda Message Archivers ensure availability of
data and indexes
Mirroring of data
• Internal data can be mirrored to external storage for
redundancy
Compatible with industry standard backup programs
• Backup archived data
Barracuda Message Archiver Models
Comprehensive Portfolio
Security
Barracuda
Spam & Virus Firewall
Barracuda Web Security
Storage
Barracuda
Web Application Firewall
Barracuda Load Balancer
Barracuda Backup
Barracuda
Message Archiver
ADC
Barracuda NG Firewall
Barracuda Firewall
Barracuda Link Balancer
Barracuda SSL VPN
Copy
SignNow
Questions ?
Browser Access / mulrich
Thank You