Security ist ein stets aktuelles Thema in der IT. Deshalb widmet sich das ADMIN-Magazin 04/2012 speziell Sicherheitsaspekten und gibt Antworten auf die Fragen: ... (mehr)

Sanktionen

Nachteil des großen Spielraums des Anwenders ist, dass bei ungenügender Umsetzung Sanktionen drohen. Die Finanzverwaltung reagiert auf einen Verstoß in unterschiedlicher Weise. Je nach den Umständen im Einzelfall drohen Bußgeld, Zwangsmittel, Verzögerungsgeld oder Steuerschätzung.

Die Abgabenordnung sieht in § 146 Absatz 2 b vor: Kommt der Steuerpflichtige der Vorlage von Unterlagen oder Erteilung von Auskünften im Rahmen der Außenprüfung nicht nach, so kann ein Verzögerungsentgelt von 2500 bis 250000 Euro festgesetzt werden. Das Strafgesetzbuch sanktioniert in § 283 b sogar die Verletzung von Buchführungspflichten im Falle von fahrlässigem Handeln mit einer Freiheitsstrafe von bis zu einem Jahr oder einer Geldstrafe. Verantwortlich für die korrekte Umsetzung im Unternehmen ist der Steuerpflichtige beziehungsweise der Verantwortliche der Gesellschaft – auch wenn die Aufgabe an einen externen Dienstleiter delegiert wurde. Die Geschäftsführung hat darüber zu entscheiden, welche technischen und organisatorischen Maßnahmen nötig sind. Wird die Aufgabe etwa an einen angestellten Administrator delegiert, kann dieser unter Umständen haften, wenn man ihm grobe Fahrlässigkeit nachweisen kann. Er sollte die Geschäftsführung um Leitlinien zur rechtssicheren Archivierung bitten.

Kommt die Geschäftsführung der IT-Sicherheitspflicht beziehungsweise den Verpflichtungen zur Archivierung nicht nach und entsteht der Gesellschaft dadurch ein Schaden, kann im Einzelfall sogar der Verantwortliche persönlich haften. Es drohen monetäre Konsequenzen – weshalb es sich lohnt, sich mit dem Thema zu befassen oder die Geschäftsführung dafür zu sensibilisieren. Bei aller Bürokratie hat die Archivierungspflicht auch Vorteile, denn sie gewährleistet im Falle eines Datenverlustes, dass Daten schnell wiederhergestellt werden. Oft ergibt ein Archiv auch einen schnellen Zugriff und gute Suchmöglichkeiten für die Mitarbeiter. (jcb)

Revisionssicherheit ist praktisch unmöglich

ADMIN befragte den externen Datenschutzbeauftragten und IT-Sicherheitsexperten Marco Tessendorf, Geschäftsführer der procado Consulting, IT- & Medienservice GmbH in Berlin.

ADMIN: Ist eine ordnungsgemäße E-Mail-Archivierung überhaupt technisch umsetzbar und bezahlbar für ein Unternehmen, sagen wir mit einem bis zehn Mitarbeitern?

Marco Tessendorf: Es ist praktisch nicht möglich oder nur mit einem großem Aufwand machbar, eine weitestgehende Revisonssicherheit zu erreichen. Problematisch ist bei Systemen, die mit digitalen Signaturen zur Sicherstellung der Revisonssicherheit arbeiten, das Verfallsdatum der Signaturen. Die Gültigkeit der Signaturen läuft nach einer gewissen Zeit ab, und sie müssen erneuert werden. Damit wird jedoch der Prozess durchbrochen. Auch eingesetzte Speichermedien können vor Ablauf der Archivierungsdauer beschädigt werden oder nicht mehr kompatibel zu neuen Systemen sein. Daher sollte man bereits bei der Planung berücksichtigen, dass die eingesetzten Archivsysteme und -medien im Laufe der Zeit technologisch und physikalisch veralten werden. Die Möglichkeit eine korrekte Datenübernahme ohne eine inhaltliche Veränderung durchzuführen, ist also ein entscheidender Punkt im Archivsystem. Menschliche Schwachstellen sind ebenfalls eine Hürde, etwa wenn das Original bereits vernichtet wurde und die Rückseite beim Scannen vergessen worden oder der Scan unleserlich ist. Eine professionelle E-Mail-Archivierung hat neben der rechtskonformen Archivierung aber weitere Vorteile für den Anwender: Sie entlastet das lokale Mailsystem, der E-Mail-Server läuft mit höherer Geschwindigkeit aufgrund archivierter Daten. Jeder kann, je nach den Vorgaben des Systems, die archivierten E-Mails aus dem Archiv abrufen.

ADMIN: Kann ich mir selbst ein Archivierungssystem programmieren oder müssen es teure Archivierungslizenzen sein oder reicht nicht auch eine Datensicherung? Worauf muss ich achten? Was kostet eine Archivierung für ein kleines Unternehmen mit fünf Mitarbeitern?

Marco Tessendorf: Es gibt eine Reihe von E-Mail-Archivsystemen, die auch für kleine Unternehmen bezahlbar sind, die Kosten belaufen auf etwa 30,- bis 40,- Euro pro archiviertem Postfach zuzüglich laufender Servicegebühren. Es ist allerdings zu empfehlen, elektronische Archive gegenüber Systemen zur Datensicherung abzugrenzen. Die Zweckbestimmungen zwischen Archiv und Datensicherung unterscheiden sich. Eine Datensicherung erstellt man regelmäßig zu dem Zweck, die gesicherten Daten schnell wieder herstellen zu können, um einen ordnungsgemäßen Betrieb sicherzustellen, und man sichert in der Regel nur für einen begrenzten Zeitraum – in der Regel bis zu 12 Monate. Die Kopien der gesicherten Daten werden bei der Datensicherung regelmäßig außerhalb des Systems gelagert. Betroffen sind hier nicht nur E-Mails und Dokumente, sondern auch andere betriebs- oder funktionsrelevante Daten. Elektronische Archive hingegen sind in den laufenden Systembetrieb eingebunden. Die betroffenen Daten werden kontinuierlich archiviert und können aus dem elektronischen Archiv jederzeit abgerufen werden. Die Zweckbestimmung ist hier, die Entlastung der technischen Infrastruktur und die revisionssichere Verwaltung der Daten über den erforderlichen Aufbewahrungszeitraum.

Infos

  1. Hinweise zur Archivierung: http://www.voi.de/publikationen/leitfaeden

Der Autor

Die Autorin ist Rechtsanwältin & Fachjournalistin für IT-Recht in Berlin. Sie veröffentlicht seit 1997 in zahlreichen Medien zu Fragen des IT-Rechtes. Darüber hinaus referiert sie regelmäßig zu aktuellen Fragen des Internetrechtes, gibt Workshops zum Softwarelizenzrecht oder zur IT-Sicherheit und unterrichtet als Lehrbeauftragte für IT-Recht an der Beuth Hochschule für Technik, Berlin. Ihre Beratungsschwerpunkte sind das Softwarelizenz- und das Internetrecht, der Check von Webshops und Webseiten, das Urheber-, Vertrags- und Markenrecht sowie das Online-Marketing und Datenschutzfragen als auch internationales Privat- und Europarecht.

comments powered by Disqus
Mehr zum Thema

Anforderungen und Strategien zur E-Mail-Archivierung

Wer hätte gedacht, dass eine uralte Vorschrift im digitalen Leben plötzlich dermaßen Schwierigkeiten macht? Seit jeher müssen sogenannte Handelsbriefe archiviert werden. Doch mit der Verbreitung von E-Mails in Unternehmen kam Streit auf: Können E-Mails "Handelsbriefe" sein?

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019