M 6.90 Datensicherung und Archivierung von E-Mails
Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: Benutzer, Administrator
Die Bedeutung von E-Mail für die interne und externe Kommunikation nimmt ständig zu, daher ist es wichtig, dass die gesendeten bzw. empfangenen Nachrichten auch längerfristig zur Verfügung stehen. Während die Datensicherung der Fileserver im allgemeinen gut geregelt ist, bestehen häufig große Regelungslücken bei der Frage der Datensicherung und Archivierung von E-Mails.
Typischerweise werden E-Mails von einem zentralen E-Mail-Server zunächst auf Benutzer-PCs oder in Benutzerverzeichnisse verlagert, wo sie bearbeitet und weitergeleitet bzw. abgelegt werden. Während Daten auf E-Mail-Servern im allgemeinen regelmäßig gesichert werden, werden die auf den Clients gespeicherten E-Mails häufig nicht oder unzureichend gesichert. Es sollte auch hierfür eine geregelte Vorgehensweise geben.
Beispiel:
Bei Microsoft Outlook werden die meisten Informationen in Dateien mit der Erweiterung .pst gespeichert, nur die Adressbücher werden in .pab-Dateien geführt. Wo persönliche Ordner gespeichert werden, können Benutzer unter Extras | Dienste | Persönliche Ordner | Eigenschaften anzeigen lassen. Jeder Benutzer sollte überprüfen, wo seine E-Mail-Informationen gespeichert werden und ob diese in das Datensicherungskonzept mit einbezogen wurden.
Zusätzlich kann für jeden einzelnen persönlichen Ordner eine andere Datei festgelegt werden, in dem die in diesem Ordner enthaltenen E-Mails archiviert werden. Dies kann über das Eigenschaften-Menü des jeweiligen Ordners (rechte Maustaste) auf der Registerkarte AutoArchivierung eingestellt werden.
Für den Empfang von E-Mails können benutzer- oder aufgabenbezogene E-Mail-Adressen eingerichtet werden. Viele E-Mails, die an eine benutzerbezogene E-Mail-Adresse gerichtet sind, sollten aber einer Reihe von Mitarbeitern zugänglich sein, z. B. in Projektgruppen. Daher ist es wichtig, diese in entsprechenden Projektverzeichnissen auf Servern zu speichern. Häufig müssen bei der Speicherung solcher E-Mails als offizielle Dokumente auch Mindest- bzw. Höchstfristen der Speicherung beachtet werden (siehe Baustein B 1.12 Archivierung).
Es sollte grundsätzlich geregelt sein, wie, wann und wo sowohl gesendete als auch empfangene E-Mails archiviert werden, beispielsweise ob zentral oder dezentral von den Benutzern.
Beim Archivieren von verschlüsselter E-Mail müssen einige Punkte beachtet werden (siehe auch M 6.56 Datensicherung bei Einsatz kryptographischer Verfahren):
- E-Mails, die über eine beträchtliche Zeitspanne gespeichert werden sollen, können unlesbar sein, wenn die benutzten kryptographischen Schlüssel nicht mehr vorhanden sind.
- Das Archivieren und das Wiedereinspielen verschlüsselter E-Mails muss sorgfältig geplant werden. Eine Möglichkeit ist z. B., die Nachrichten im
- Klartext zu speichern. Dabei muss die Vertraulichkeit auf andere Weise sichergestellt werden.
Ergänzende Kontrollfragen:
- Ist die Datensicherung und Archivierung von E-Mails geregelt?
- Wissen alle Benutzer, wie E-Mails aus dem E-Mail-Client heraus zu speichern und zu sichern sind?