An die Archivierungslösungen für E-Mails mit rechtsrelevantem Inhalt werden – mit erheblichen technischen und wirtschaftlichen Konsequenzen – besondere Anforderungen gestellt. Sie unterliegen beispielsweise strengen Compliance-Bestimmungen, und die Gesetzgebung liefert Vorgaben für die Aufbewahrung. Auch regulatorische Anforderungen wie etwa Basel II beeinflussen die Archivierungspflicht. Darüber hinaus wirken sich US-Vorschriften wie der Sarbanes-Oxley-Act (SOX) oder Regeln der Finanzbehörde SEC auf zahlreiche international operierende Finanzdienstleister aus.
Neben den rechtlichen stellt die Archivierung von E-Mails aber auch technische und organisatorische Herausforderungen: Die mit dem wachsenden Mail-Verkehr verbundene Datenexplosion ist für Banken (und nicht nur für diese) erstens ein Speicher- und damit ein Kostenproblem. Zweitens erschwert sie gleichzeitig die gezielte Suche und damit die Verfügbarkeit. Und drittens stellt sie ein erhebliches Analyseproblem und damit letztlich ein strategisches Hindernis dar.
Bei einer Grossbank kann allein das durch E-Mails jährlich erzeugte Datenvolumen schon heute mühelos einige Terabyte erreichen, und die Flut der elektronischen Nachrichten wird weiter zunehmen. Das Mengenproblem wird verschärft durch den weitverbreiteten multiplikativen Versand von E-Mails inklusive komplexer Dateianhänge an aufgeblähte Verteilerlisten. Die vielfachen Kopien erhöhen den Speicherbedarf, vor allem bei einer dezentralen Mail-Server-Struktur, da die
E-Mails lokal dupliziert werden. Als Folge wachsen die Kosten für Speichermedien und Administration.
Wegen der zunehmenden Verlagerung von Vorgängen in die elektronische Kommunikation liegt ein immer grösserer Teil des Wissens von Finanzinstituten nur noch in Mails vor, in einer unstrukturierten Form also, in der das gesammelte Know-how nur schwer zugänglich ist. Das gilt insbesondere für die Unmenge der Dateianhänge – in denen sich noch dazu häufig Daten über Kunden finden. Damit wird eine der zentralen Aufgaben von Banken, die Pflege der Kundenbasis und stärkere Kundenbindung durch systematisches Customer Relationship Management (CRM), behindert.
Eine Reihe spezieller Systeme zur E-Mail-Archivierung kommt entweder aus dem Dokumentenmanagement (DMS) oder dem Content Management (CMS); es gibt aber auch Lösungen, die speziell zur Archivierung entwickelt wurden. Die meisten dieser Lösungen archivieren die E-Mail-Anlagen in dateiorientierten Systemen. Über den Dateien liegt dann – als Applikationsebene – ein Archivsystem. Die grundsätzliche Problematik dabei: Die benötigten Funktionen werden zumindest teilweise auf der Anwendungsebene eingebaut, was erhebliche Folgen für Leistungsumfang und Sicherheit hat.
Aus diesem Grund sind die meisten heute angebotenen filebasierten Systeme nicht revisionssicher. Der Prozess vom Eingang einer Mail bis zur Speicherung ohne Medienbruch kann nicht garantiert werden, wenn Daten von Nutzern bereitgestellt, von Groupware-Systemen abgeholt und erst dann archiviert werden. Vertraulichkeit und Unveränderbarkeit sind nicht gesichert, wenn die Rechtevergabe nur auf Anwendungsebene geregelt ist. Zudem können solche Systeme nicht die schnelle und gezielte Verfügbarkeit bei Datenmengen im Terabyte-Bereich gewährleisten, denn ältere Daten werden in der Regel auf günstigere Speichermedien ausgelagert, die lange Rüst- und Zugriffszeiten haben.
Die in einer E-Mail-Policy formulierten Prozesse, Richtlinien und Regeln greifen nur, wenn CIOs die Herausforderung grundsätzlich in den Griff bekommen. Als technische Basis bietet die aus der strukturierten Datenwelt bekannte 3-Layer-Architektur eine sinnvolle Lösung:
- Ebene 1: Clients zur Administration der E-Mail-Archivierungsapplikation sowie zur Suche im Archiv
Auf dieser Ebene werden auch Plug-ins für vorhandene E-Mail-Clients (z.B MS Outlook, Lotus Notes) bereitgestellt, über die die Front-Ends der E-Mail-Server sich mit dem Archiv verbinden können.
- Ebene 2: E-Mail-Archivierungsapplikation
Hier werden die gesamten Regeln ausgeführt. So wird hier beispielsweise die zentrale Archivierung organisiert, die Indizierung eingegangener Mails vorgenommen etc. Zur Umsetzung wird eine regelbasierende Prozess-Engine bereitgestellt. In ihr werden komplexe Regelstrukturen hinterlegt (z.B. zur Bestimmung der Vertraulichkeit), deren Einhaltung automatisch kontrolliert wird.
- Ebene 3: Datenbank
Mit einem relationalen DBMS (Datenbank-Management-System) verfügt der Anwender über eine ausgefeilte Funktionalität für Laden, flexible Abfrage, Transaktions- und Sicherungskonzepte, Rechtevergabe und -verwaltung, Verschlüsselung, Auditing («Wer hat wann was gemacht?»), Disaster-Szenarien, Migration und Skalierbarkeit. Verwendet er zudem keine klassische transaktionsorientierte, sondern eine analytische Datenbank, die speziell zur Verwaltung und Auswertung sehr grosser Datenmengen ausgelegt ist, erhält er weitere wichtige Leistungsmerkmale. Dazu gehören hohe Kompressionsfähigkeit (die Werte reichen von einem Fünftel bis zu einem Neuntel) sowie eine deutlich gesteigerte Performance (um das Zehn- bis Hundertfache) bei der Abfrage.
Die strukturierten Metadaten einer E-Mail (wann, von wem, an wen, Betreff etc.) werden in einer solchen Datenbank automatisch gespeichert und indiziert. Aber auch unstrukturierte Daten, wie etwa der E-Mail-Körper und
-Anhänge, werden in Tabellen abgelegt, also in eine strukturierte Form gebracht. Sie werden dazu als sogenannte LOBs (Large Binary Objects) gespeichert. Zur gezielten Recherche werden diese durch Schlagworte indiziert; teilweise gibt es auch schon die Möglichkeit der Volltextsuche. So können die Anwender sowohl nach Metadaten (etwa Absendern/Empfängern, Datum, Betreff etc.) als auch nach Inhalten von LOBs suchen.
Mit der DBMS-Funktionalität können Vertraulichkeit, Revisionssicherheit und Verfügbarkeit wesentlich besser gewährleistet werden als mit anderen Methoden. Wer Mails lesen darf, wird auf Datenbankebene über Rechteschemata und Rollenkonzepte geregelt. Definierte Plattenbereiche können in einen Read-only-Modus versetzt und so gegen jegliche Veränderung gesperrt werden. Dank der Kompressionsmöglichkeiten können Banken Online-Langzeitarchive auf Plattenbasis (statt Bändern) aufbauen, was einen schnellen Zugriff auf gewünschte E-Mails sicherstellt – ohne Kompromisse zwischen Kosten und gesetzlichen Anforderungen.
Mit Hilfe von Replikationsmechanismen können die Anwender auch bei verteilten, dezentralen Mail-Server-Strukturen die E-Mails schnell in ein zentrales Archiv replizieren. Ebenso können sie Daten aus operativen Banksystemen sowie Fremddaten in das
E-Mail-Archiv laden.
Zusammenfassend lässt sich feststellen, dass Banken mit einer Datenbank-Management-System-basierten 3-Layer-Architektur zum einen die rechtlichen Anforderungen an ein E-Mail-Archiv erfüllen und gleichzeitig die Explosion der Speicherkosten eindämmen können. Zum anderen schaffen sie damit die Voraussetzungen für CRM- und BI-Analysen auf einer integrierten Datenbasis.
In einem gemeinsamen Data Warehouse stehen alle Kundeninformationen stets zur Verfügung – ob es sich nun um Transaktions- oder um unstrukturierte E-Mail-Daten handelt. Damit nutzen CIOs die Investitionen in die E-Mail-Archivierung nicht nur reaktiv zur Erfüllung gesetzlicher Auflagen, sondern gehen offensiv ein zentrales geschäftliches Ziel an: die effektivere Nutzung der Informationsressourcen ihrer Bank für ein letztlich wesentlich besseres Kundenmanagement.
· Aufbewahrungspflicht
Geschäfts- und steuerrechtlich relevante E-Mails müssen zehn Jahre lang auf Datenträgern aufbewahrt werden
· Dokumentenechtheit
Bei der Archivierung müssen die Integrität von E-Mails (vollständig und richtig) sowie die Unveränderbarkeit sichergestellt sein
· Vertraulichkeit
Es muss garantiert sein, dass der Zugriff auf gespeicherte E-Mails autorisierten Benutzern vorbehalten ist
· Verfügbarkeit
Berechtigte Stellen müssen bei Bedarf auf alle Daten und Dokumente zugreifen können, aufbewahrungspflichtige E-Mails müssen jederzeit verfügbar und unverzüglich lesbar gemacht werden.
Markus Aschwanden ist Geschäftsleiter von Sybase.
