STRATEGIE25. Januar 2024

NIS2 + DORA: Ohne E-Mail-Archivierung fällt das Compliance-Kartenhaus zusammen

Nur mit E-Mail-Archivierung funktioniert Compliance-Kartenhaus - ist sich René Nitzinger, Lead Product Manager MailStore sicher
René Nitzinger, Lead Product Manager MailStoreMailStore

Zwar sind Backups ein wichtiger Teil der Security- und Resilienz-Strategie, doch wer auf eine revisionssichere E-Mail-Archivierung verzichtet, riskiert trotzdem, gegen etwaige gesetzliche Vorgaben zu verstoßen.

von René Nitzinger, Lead Product Manager MailStore (OpenText Cybersecurity)

Während Finanzinstitutionen laufend ihre Systeme vor Ausfällen, Störungen und Cyber-Angriffen schützen, sind sie dem erhöhten Druck von Seiten der Politik ausgesetzt. Denn sie unterliegen unter anderem sowohl den verschärften Vorgaben der EU-Richtlinie Netzwerk- und Informationssicherheit 2 (NIS2) als auch dem ab 2025 geltenden Digital Operational Resilience Act (DORA). Diese Gesetzesinitiativen legen verstärkten Fokus auf die Cyber-Sicherheit und -Resilienz von kritischen Infrastrukturen, was durch die Implementierung von Meldewegen, Risikomanagement und technologischen Sicherheitsmaßnahmen zur Stärkung der Sicherheitslage erreicht werden kann.

Nicht zuletzt unterstreichen regelmäßige Sicherheitsaudits, die im Rhythmus von zwei (NIS2) beziehungsweise drei (DORA) Jahren durch die entsprechenden Behörden durchgeführt werden, die drängende Notwendigkeit eines umfassenden und zuverlässigen Sicherheitskonzepts – mit der E-Mail-Archivierung als integraler Bestandteil.”

Die Liste der gesetzlichen Anforderungen ist lang

Zudem müssen Vertreter des streng regulierten Finanzsektors sicherstellen, dass geschäftskritische, sensible und personenbezogene Dokumente sicher gelagert und verarbeitet werden. Das gilt auch für via E-Mail versendete Informationen, was in der Branche mittlerweile gang und gäbe ist.

So sind sie laut Art. 16 (6) der EU-Richtlinie MiFID II dazu verpflichtet, alle die von ihnen erbrachten Geschäfte, Leistungen und Tätigkeiten lückenlos zu dokumentieren und die Aufzeichnungen für Aufsichtsbehörden verfügbar zu machen.”

Autor René Nitzinger, MailStore
René Nitzinger ist  seit 2023 Lead Product Manager bei MailStore – OpenText Cybersecurity (Website). Mit ei­nem Hin­ter­grund in IT-Si­cher­heit und IP-Netz­wer­ken bringt er um­fas­sen­de Er­fah­rung aus sei­ner vor­he­ri­gen Rol­le als Se­ni­or Pro­duct Ma­na­ger bei VM­Ray mit, wo er von Ja­nu­ar 2021 bis De­zem­ber 2022 tä­tig war. Zu­vor hat­te er ei­ne lang­jäh­ri­ge Kar­rie­re bei Uti­ma­co TS, wo er im Pro­duct Ma­nage­ment von Ju­ni 2006 bis De­zem­ber 2020 be­schäf­tigt war. Sei­ne aka­de­mi­sche Ba­sis bil­det ein Di­plom in In­for­ma­tik (Schwer­punkt Te­le­kom­mu­ni­ka­ti­on und Wirt­schaft) mit Aus­zeich­nung von der RWTH Aa­chen Uni­ver­si­ty, das er im März 1995 abschloss.
Daneben unterliegen Banken und andere Finanzdienstleister – wie die meisten deutschen Unternehmen auch – den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form zum Datenzugriff (GoBD). Das bedeutet: Sie müssen sicherstellen, dass steuerrechtlich relevante Geschäftsdokumente vollständig, revisionssicher und langfristig aufbewahrt werden – und zwar so, dass man jederzeit darauf zugreifen kann.

Da Finanzunternehmen ebenfalls personenbezogene Daten sammeln, speichern und verarbeiten, sind sie an die Vorgaben der EU-DSGVO gebunden – darunter Zweckbindung, Datenminimierung, Integrität, Vertraulichkeit sowie weitere Betroffenenrechte wie das Recht auf Auskunft (Art. 15), Löschung (Art. 17) und Datenübertragbarkeit (Art. 20).”

Outsourcing? Nur unter bestimmten Bedingungen

Im Zuge der Erhebung, Verarbeitung und Speicherung von Daten, kommt häufig die Frage auf, ob man lieber auf On-Prem-Tools setzen sollte oder ob sich die Zusammenarbeit mit einem Cloud Service Provider lohnt (cloud-only oder hybrid). Soll Software-as-a-Service (SaaS) zum Einsatz kommen, müssen Finanzunternehmen die branchenspezifischen Vorgaben zur Auslagerung an einen Cloud Service Provider berücksichtigen. Diese stammen unter anderem von der BaFin, der Europäischen Bankenaufsicht (EBA) sowie von der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA).

Bei der Wahl des Anbieters ist demnach zu ermitteln, wo sich die Standorte der Cloud-Rechenzentren befinden. Grundsätzlich gilt: Daten von EU-Bürgerinnen und -Bürgern sind innerhalb der EU zu verarbeiten und zu speichern.”

Tendieren Finanzunternehmen zu einem Betreiber, der außerhalb dieser Grenzen aktiv ist, ist sicherzustellen, dass Art. 44 ff. der EU-DSGVO greift: Personenbezogene Daten dürfen in diesem Fall nur dann dorthin transferiert werden, wenn das entsprechende Land das gleiche Datenschutzniveau wie die EU garantieren kann. Darüber hinaus sollten sich Finanzunternehmen mit einem Auftragsverarbeitungsvertrag (AVV) zusätzlich absichern, in dem sowohl die Verarbeitungsanforderungen für den Cloud Provider als auch die seinerseits getroffenen Schutzmaßnahmen geregelt werden.

Mit E-Mail-Archivierung auf der sicheren und konformen Seite

Zusammengefasst: Finanzunternehmen tragen die Verantwortung darüber, dass ihr Bestand geschäftskritischer, sensibler und personenbezogener E-Mail-Daten lückenlos, langfristig und revisionssicher aufbewahrt wird und verfügbar ist. Angesichts der zahlreichen gesetzlichen Vorgaben und Richtlinien müssen sie nämlich vermehrt mit Steuer- und Datenschutzprüfungen rechnen. Doch reicht dafür nicht das Backup-System aus, das bereits im Einsatz ist? Immerhin ist es in der Lage, Kopien von E-Mails, ihren Anhängen und ganzen Servern auf einem externen Speichermedium abzulegen.

Nicht selten verlassen sich Finanzunternehmen deshalb lediglich auf diese Sicherungsmethode. Allerdings gehen sie damit ein hohes Risiko ein. Herkömmliche Backups werden nur für einen kurz- bis mittelfristigen Zeitraum gespeichert und werden in der Regel regelmäßig überschrieben.”

Außerdem besteht die Gefahr, dass Mitarbeiter unabsichtlich oder böswillig geschäftliche Korrespondenzen löschen, bevor der nächste Backup-Zyklus stattfindet. Daher eignet sich diese Option vielmehr für die spontane Wiederherstellung im Sinne der Disaster Recovery.

Um jedoch den gesetzlichen Anforderungen wie Vollständigkeit, Langfristigkeit und Revisionssicherheit nachzukommen, ist es empfehlenswert, das bestehende System um E-Mail-Archivierung zu ergänzen. Mit einer entsprechenden Lösung können Finanzunternehmen sicherstellen, dass sämtliche E-Mail-Daten lückenlos über mehrere Jahre hinweg aufbewahrt werden und vor Manipulation geschützt bleiben. Dafür legt sie alle ein- und ausgehenden Nachrichten unverzüglich in einem externen Archiv ab. Dank zahlreicher Funktionen lassen sich Archive effizient durchsuchen und gesuchte Daten extrahieren und/oder bei Bedarf und mit den notwendigen Berechtigungen löschen. Ein solch einfacher Zugang erweist sich vor allem im Rahmen von Prüfungsprozessen, Sicherheitsaudits und juristischen Angelegenheiten als praktisch. Verfügt die E-Mail-Archivierungslösung über Self-Service-Funktionen, können Mitarbeiter ihre Archive sogar eigenständig durchsuchen und E-Mail-Daten wiederherstellen, ohne dafür die IT-Abteilung heranziehen zu müssen. Im Sinne der oben genannten Sicherheitsdirektiven gilt: Mitarbeiter sollen nur auf notwendige Daten Zugriff haben, der Rest gehört ins Archiv. Auch sollten Unternehmen sich bewusst sein, dass ein kompletter Wechsel ihrer Systeme und Daten in die Cloud die Angriffsfläche vergrößert.

Gut für die Business Continuity

Die Vorteile der E-Mail-Archivierung gehen sogar über die vom Gesetzgeber vorgeschriebenen Regularien hinaus. Denn Finanzunternehmen bleiben nicht vor unvorhergesehenen Systemausfällen verschont. Diese können durch Anwenderfehler, Hardware-Störungen (intern und bei Service Providern) oder Manipulation verursacht werden. Außerdem geraten Finanzunternehmen nicht selten in das Visier von Cyber-Kriminellen, die sich mithilfe von Ransomware Zugang zu Finanzdaten verschaffen wollen. All diese Faktoren können zu folgenschweren Störungen führen, die den Betrieb unterbrechen und Produktivität und Umsatzfähigkeit beeinträchtigen. Wie bereits erwähnt, eignen sich Backup-Systeme besonders in solchen Ernstfällen, um den Betrieb in dieser Zeit aufrechtzuerhalten.

Trotzdem ist in solchen Störfällen immer mit einem erheblichen Datenverlust zu rechnen. Können betroffene Banken und Finanzdienstleister verlorengegangene E-Mail-Daten nach der Störung nicht vollständig wiederherstellen, drohen wirtschaftliche und juristische Konsequenzen.

Hier erweist sich E-Mail-Archivierung als Retter in der Not: Da die Daten vollständig archiviert werden, können Finanzunternehmen effizienter auf einen Störfall reagieren und schaffen gleichzeitig Rechtssicherheit.”

Fazit

Vor dem Hintergrund des komplexen Gesetzesdschungels sind Unternehmen der Finanzbranche nicht nur dazu verpflichtet, ihre IT-Systeme zu sichern, sondern auch geschäftskritische und personenbezogene E-Mail-Daten lückenlos, revisionssicher und langfristig aufzubewahren. Archivierung reduziert Sicherheitsrisiken und erhöht den Datenschutz. Im Falle eines Audits muss der Prüfer uneingeschränkten Zugang zu allen relevanten Informationen haben. Hierbei kann eine E-Mail-Archivierungslösung wertvolle Unterstützung leisten.

Das macht die E-Mail-Archivierung zu einem unverzichtbaren Teil des gesetzeskonformen E-Mail-Managements. Im Idealfall setzen Finanzunternehmen sowohl ein Backup- als auch ein E-Mail-Archivierungssystem parallel ein und erstellen darüber hinaus regelmäßige Backups des E-Mail-Archivs selbst. In der Sicherheit liegt die Kraft – und das steigert die Resilienz.René Nitzinger, MailStore

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert