Lesedauer: ca. 8 Min

Die E-Mail ist weiterhin das populärste sowie meistgenutzte Kommunikationsmedium in der Geschäftswelt. Aber nur wenige Unternehmen machen sich Gedanken darüber, dass geschäftliche E-Mails steuer- sowie handelsrechtlich wichtige Daten enthalten können und daher revisionssicher archiviert werden müssen.

Welche E-Mails von der Archivierungspflicht berührt sind, worin sich E-Mail-Archive und E-Mail-Backups differenzieren und warum eine E-Mail-Archivierung ein bedeutender Baustein einer IT-Sicherheitsstrategie sein sollte, lesen Sie in dem nachfolgenden Blogbeitrag.

Der Kommunikationsweg E-Mail ist aus dem heutigen Arbeitsalltag nicht mehr fortzudenken. Mittlerweile werden komplette Firmenprozesse wie die Angebotserstellung, der Versand von Verträgen, Abrechnungen und Zahlungsbelege oder etwa das Reklamationsmanagement mittels E-Mails bewerkstelligt.

Allein in Deutschland erhält heutzutage jeder Büroangestellte im Durchschnitt 26 geschäftliche E-Mails am Tag – das sind 26 steuerrechtlich und handelsrechtlich wichtige Firmendokumente!

Angesichts dessen ist völlig offensichtlich, dass die Archivierung der elektronischen Geschäftskorrespondenz zunehmend an Bedeutung gewinnt.

Gesetzliche Vorgaben zur revisionssicheren E-Mail-Archivierung

Im Prinzip ist jede Firma in Deutschland dazu verpflichtet, nicht nur die analoge, sondern auch ihre digitale Geschäftskorrespondenz mehrere Jahre lang komplett, originalgetreu und manipulationssicher aufzubewahren. Ein zentrales E-Mail-Archivierungsgesetz existiert dafür jedoch nicht!

Im Detail bildet sich die juristische Grundlage zur Aufbewahrung von E-Mails aus unzähligen Vorschriften sowie Gesetzen. Dazu zählen u.a.:

  • die Grundsätze zur ordnungsgemäßen Führung sowie Verwahrung von Büchern, Aufzeichnungen und Dokumenten in elektronischer Form sowie zum Datenzugriff, kurz GoBD
  • das Handelsgesetzbuch, kurz HGB
  • die Abgabenordnung, kurz AO
  • die Grundsätze ordnungsgemäßer Buchführung, kurz GBO
  • das Aktiengesetz, kurz AktG
  • das Gesetz betreffend die Gesellschaft mit beschränkter Haftung, kurz GmbHG
  • das Umsatzsteuergesetz, kurz UStG
  • das Bundesdatenschutzgesetz, kurz BDSG
  • das Telekommunikationsgesetz, kurz TKG
  • das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG

Die rechtlichen Archivierungspflichten sind dabei unter anderem im § 257 des Handelsgesetzbuchs festgelegt. Demnach müssen Unternehmen sämtliche E-Mails, die nach diesem Paragraph und §147 der Abgabenordnung als Handelsbrief oder Geschäftsbrief gelten und für die Besteuerung relevant sind, für einen Zeitraum von sechs bis zehn Jahren aufbewahren.

Von der Aufbewahrung ausgeschlossen sind dagegen private E-Mails von Arbeitnehmern, solange diese der Archivierung im E-Mail-Archiv nicht ausdrücklich beigestimmt haben, und E-Mails mit Bewerberdaten. Gleiches gilt für interne E-Mails, über welche kein Geschäft zustande gekommen ist, Spammails sowie Marketingtools wie zum Beispiel Newsletter.

Revisionssichere Archivierung schützt vor Geldbußen und Freiheitsstrafen

Die Anforderungen an eine revisionssichere E-Mail-Archivierung sind in den Grundsätzen zur ordnungsgemäßen Verwaltung und Archivierung von Büchern, Aufzeichnungen und Dokumente in elektronischer Form sowie zum Datenzugriff geregelt.

Demzufolge müssen Unternehmen ihre digitale Geschäftskorrespondenz einschließlich ihrer Anhänge erklärlich, auffindbar, unveränderbar und verfälschungssicher archivieren.

Das heißt aber, dass gewöhnliche E-Mail-Programme diesen Anforderungen nicht zur Genüge leisten – besonders in Bezug auf die Unveränderbarkeit von E-Mails. Deshalb ist der Gebrauch einer kompetenten und leistungsfähigen E-Mail-Archivierungslösung unerlässlich.

Zum einen bietet sie Firmen die Revisionssicherheit und damit die geforderte Rechtssicherheit der digitalen Geschäftskorrespondenz. Zum anderen betreut Sie die Unternehmen unter anderem darin, Arbeitsabläufe zu verbessern, E-Mail- und Speicherinfrastrukturen zu entlasten wie auch den Verwaltungsaufwand und dadurch die IT-Ausgaben zu minimieren.

Kommen Firmen den gesetzlichen Archivierungspflichten von E-Mails jedoch nicht nach, drohen ihnen nicht nur hohe Bußgelder, sondern auch Freiheitsstrafen.

Ein E-Mail-Backup ist kein E-Mail-Archiv

Entgegen der oft vertretenen Meinung können E-Mail-Backups keine E-Mail-Archive ablösen. Das Backup eines E-Mail-Servers ist für die kurzzeitige und auch mittelfristige Speicherung von Nachrichten gedacht, um diese im Falle eines Datenverlustes schleunigst wiederherzustellen. Die E-Mail-Archivierung unter Einsatz von einer leistungsfähigen und kompetenten E-Mail-Archivierungslösung dagegen ermöglicht eine dauerhafte und insbesondere revisionssichere Speicherung des E-Mail-Verkehrs – die das Gesetz für die Archivierung der digitalen Geschäftskorrespondenz verlangt.

Ergänzend kommt die Tatsache, dass E-Mails bei einem Backup manipuliert oder gar gelöscht werden können. Bei einer E-Mail-Archivierung werden Gegebenheiten dieser Art verhindert.

Der Datenschutz und die E-Mail-Archivierung

Wie schon genannt gibt es Ausnahmefälle, bei welchen E-Mails aus gesetzlichen Motiven gar nicht oder nur eingeschränkt archiviert werden dürfen.

Private Nutzung des geschäftlichen E-Mail-Kontos. Grundsätzlich dürfen persönliche E-Mails der Mitarbeiter bei der privaten Nutzung des geschäftlichen E-Mail-Kontos nicht aufbewahrt werden, außer diese haben der E-Mail-Archivierung ausdrücklich zugestimmt.

Grundsätze der Datenminimierung. Im Sinne des Artikels 5 Abs. 1 lit. c. DSGVO sowie § 47 Nr. 5 BDSG dürfen personenbezogene Datensammlungen nur so lang gespeichert werden, wie es für die Erfüllung des Zwecks notwendig ist. Hier gilt: Bestehen für die Daten gesetzlich vorgeschriebene Aufbewahrungspflichten, die sich über einen längeren Zeitabschnitt erstrecken als der datenschutzrechtliche Zweck, so sind Daten bis zum Ablauf der längsten für sie einschlägigen Aufbewahrungspflicht vorzuhalten, ansonsten ist dringlich ein Löschkonzept zu empfehlen.

Merksätze zur revisionssicheren E-Mail-Archivierung

Weltweit werden täglich ca. 319,6 Milliarden geschäftliche und persönliche E-Mails versendet und entgegengenommen.

Diese Zahlen machen deutlich: Insbesondere im Arbeitsumfeld ist die revisionssichere und rechtskonforme E-Mail-Archivierung essenziell.

Der Verband ‘Organisations- und Informationssysteme e.V.’, kurz VOI, bietet folgende grundsätzliche Merksätze zur revisionssicheren elektronischen Aufbewahrung an:

  • Jede E-Mail muss nach Richtlinie der gesetzlichen und organisationsinternen Anforderungen ordnungsgemäß aufbewahrt werden.
  • Die Archivierung hat gänzlich zu geschehen – keine E-Mail darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.
  • Wirklich jede E-Mail ist zum organisatorisch frühestmöglichen Termin zu archivieren.
  • Jede E-Mail muss mit seinem Original übereinstimmen und unveränderbar archiviert werden.
  • Jede E-Mail vermag nur von entsprechend berechtigten Benutzern eingesehen werden.
  • Jede E-Mail muss in angemessener Zeit wiedergefunden und auch reproduziert werden können.
  • Jede E-Mail darf nicht früher als nach Ablauf seiner Aufbewahrungsfrist vernichtet, d.h. aus dem Archiv gelöscht werden.
  • Jede ändernde Aktion im elektronischen Archivsystem muss für Berechtigte erklärlich aufgeschrieben werden. Das gesamte organisatorische und technische Verfahren der Archivierung muss von einem sachverständigen Dritten stets überprüfbar sein.
  • Bei allen Migrationen und Veränderungen am E-Mail-Archivsystem muss die Einhaltung aller zuvor aufgelisteten Grundsätze gewährleistet sein.

Mehrwerte für Ihr Unternehmen

Die E-Mail ist und bleibt wichtiges Kommunikationsmedium. Im gleichen Atemzug ist die bestehende Rechtsordnung zum Thema E-Mail-Archivierung eindeutig.

Es ist deshalb höchste Zeit sich darum zu kümmern, alle Anforderungen an die E-Mail-Archivierung zu erfüllen.

Sie wollen mehr zum Thema rechtssichere E-Mail-Archivierung erfahren oder suchen nach einer geeigneten Archivierungslösung, mit der Sie Ihre E-Mail- und Speicherinfrastruktur entlasten und dabei die Leistungsfähigkeit und Tatkraft Ihrer internen Firmenprozesse steigern können? Sprechen Sie uns gerne an.

Foto © Maksim Goncharenok von Pexels

 

Lesedauer: ca. 8 Min

Die Digitalisierung ist ein globales Phänomen. Damit Unternehmen in Deutschland mit der Veränderung des digitalen Wandels mithalten können, hält der Staat einige Programme zur Förderung für Digitalisierungsprojekte bereit. Welche Förderprogramme für die Digitalisierung in Ihrem Unternehmen entscheidend sein können, erfahren Sie in dem folgenden Blogartikel.

Egal ob Start-up, Mittelstand oder Konzern: Mit dem digitalen Wandel kommt branchenübergreifend jedes Unternehmen in Berührung.

Auf der einen Seite eröffnen digitale Technologien neue Möglichkeiten der Geschäftskommunikation, der dezentralen Kooperation und der Beziehung mit Geschäftspartnern, Klienten und Lieferanten. Auf der anderen Seite gibt die Digitalisierung nützliche Anregungen, derzeit genutzte Geschäftsprozesse und Geschäftsmodelle zu hinterfragen, innovativ zu organisieren und damit wichtige Vorteile zu gewinnen.

Ungeachtet eines starken Bewusstseins für die Wichtigkeit des digitalen Wandels fehlt vielen Entscheidern das nötige Know-How sowie die finanziellen Mittel, um die eigene Digitalisierung voranzubringen.

Entsprechend einer Umfrage des IT-Portales Bitkom zählt vor allem Letzteres zu den bedeutendsten Digitalisierungshürden.

Und exakt da setzen staatliche Förderprogramme an. Neben angemessenen Rahmenbedingungen geben sie die richtigen Anregungen sowie Anreize für ebenjenen digitalen Wandel in den Firmen. Zeitgleich betreuen sie die Betriebe darin, ihre Leistungs- und Konkurrenzfähigkeit auf Dauer zu kräftigen und zu bewahren.

Langfristige Wettbewerbsfähigkeit sichern

Der mittelständische Unternehmensstamm gilt als Rückgrat der deutschen Ökonomie. Sogar mehr noch: Er ist Gewährleistung für Stabilität, Treiber für Innovation wie auch Weiterentwicklung.

Mit dem Ziel, dass Betriebe die wirtschaftlichen Potenziale des digitalen Wandels ausreizen können, stellt der Staat eine Vielzahl ansprechender Förderprogramme für die Digitalisierungspläne bereit. Das Angebot reicht von der Förderung außenstehender Beratungsdienstleistungen über die Förderung von Forschungs- wie auch Entwicklungsprojekten bis zur Förderung marktorientierter Technologien.

Die allermeisten Förderprogramme zur Digitalisierung adressieren mittelständische Firmen. Die Fördermittel stehen dabei generell in Form von finanziellen Förderungen oder Digitalisierungskrediten zur Verfügung. Im ersteren Fall empfangen die Unternehmen einen nicht zurückzuzahlenden Zuschuss in Höhe von 30-80 Prozent ihrer zuwendungsfähigen Ausgaben. Digitalisierungskredite werden im Gegensatz dazu zu einem ausgesprochen kostengünstigen Zins für bis hin zu zehn Jahre vergeben, wobei teils sogar Haftungsfreistellungen oder ebenso Tilgungszuschüsse zur Verfügung gestellt werden.

Bundesweite Fördertöpfe im Überblick

Generell wollen alle Förderprogramme zur Digitalisierung das identische Ergebnis – die digitale Autonomie des deutschen Mittelstandes zu erweitern und zu gewährleisten. Die zuwendungsfähigen Aufwendungen hängen dabei stark vom jeweiligen Förderprogramm und der Förderintention ab. Nachfolgend stellen wir Ihnen fünf nennenswerte Förderprojekte auf Bundesebene vor:

Digital Jetzt

Das Förderprogramm ‘Digital Jetzt’ des Bundesministeriums für Wirtschaft und Energie, kurz BMWi, richtet sich an mittelständische Unternehmen mit bis zu 499 Angestellten mit einem Zuschuss von bis zu 50.000 Euro. Das Förderprojekt ist in zwei Module untergliedert:

  • Modul 1 fördert die Realisierung von digitalen Lösungen und Plattformen sowie die Digitalisierung von Prozessen.
  • Modul 2 fördert Qualifizierungsmaßnahmen von Arbeitnehmern zu digitaler Sachkenntnis.

go digital

Das Förderprogramm ‘go digital’ des BMWi richtet sich an mittelständische Unternehmen mit bis zu 100 Angestellten sowie höchstens 20 Mio. € Umsatzvolumen mit einer Bezuschussung von max. 16.500 €. Mit dem Förderprogramm werden Beratungsleistungen für die digitale Umwandlung in den Bereichen IT-Schutz, Digitale Markterschließung sowie digitalisierte Unternehmensprozesse bezuschusst. Dabei

  • werden maximal 30 Beratertage mit einem Höchstsatz von 1.100 Euro mit 50 % gefördert und
  • darf die Beratungsleistung nur von einem anerkannten Consultant vorgenommen werden.
  • sind zwei Beratertage zum Thema „IT-Sicherheit” verpflichtend.

Wichtiger Hinweis: Im Zuge der Corona-Pandemie wurde das Modul ‘Digitalisierte Geschäftsprozesse’ mit der Implementation von Homeoffice-Plätzen ausgeweitet. Das heißt, dass der Aufbau sowie das Einrichten der passenden Hardware und Software, die hierbei zum Gebrauch kommt und über die gängigen Ansprüche hinausgeht, finanziell unterstützt werden. Von der Förderung weiterhin nicht berücksichtigt sind demgegenüber bloße Investitionsmaßnahmen in Hard- und Standardsoftware.

Förderung unternehmerischen Know-hows

Im Kontext des Förderprogramms ‘Förderung unternehmerischen Know-hows’ des Bundesamtes für Wirtschaft und Ausfuhrkontrolle, kurz BAFA, werden mittelständische Firmen mit bis zu 250 Angestellten bezuschusst. Konkret richtet sich die Hilfe an:

  • Startups / Jungunternehmen mit 4.000 Euro,
  • Bestandsunternehmen (älter als zwei Jahre) mit 3.000 € und
  • Betriebe in Schwierigkeiten mit 3.000 €

Bei Startups sowie Bestandsunternehmen werden grundsätzliche Konsultationen zu wirtschaftlichen, finanziellen, personellen und organisatorischen Fragen der Geschäftsführung gefördert. Das bedeutet, dass diese sich auch bei einer technischen Beratungsleistung, beispielsweise bei der Einführung neuer Software-Systeme, oder etwa einer organisatorischen Beratung, etwa bei der Implementation agiler Ansätze fördern lassen könnten.

go-inno

Mit dem Förderprogramm ‘go-inno’ fördert das BMWi die Innovationsberatung von mittelständischen Unternehmen mit bis zu 100 Mitarbeitern und maximal 20 Mio. Euro Umsatz. Die Rahmenbedingungen des Programms sind gleichartig zu denjenigen von go digital – allerdings ist eine Verbindung beider Programme nicht möglich.

Wie auch bei go digital können Dienstleistungen lediglich von anerkannten Beratungsunternehmen erbracht werden. Gefördert werden Beratungsleistungen über drei Leistungsstufen:

  • Potenzialanalyse mit maximal 10 Tagewerken
  • Realisierungskonzept mit höchstens 25 Tagewerken
  • Projektmanagement mit höchstens 25 Tagewerken

Hierbei sind die Ausgaben für einen Beratertag bis zu 1.100 Euro je Tagessatz zu 50 % förderfähig.

ERP-Digitalisierungs- und Innovationskredit

Der ERP-Digitalisierungs- und Innovationskredit von der Kreditanstalt für Wiederaufbau richtet sich an mittelständische Unternehmen mit höchstens 500 Mio. € Umsatzvolumen. Förderbar sind Geldausgaben sowie Arbeitsmittel im Zusammenhang mit Digitalisierungsvorhaben. Das umfasst neben Strategien zur sinnvollen Orientierung des Betriebs über digitale Plattformen auch organisatorische Strategien, mit dem Ziel Unternehmen agiler zu machen.

Erweiterte Informationen sowie eine detaillierte Übersicht über weitere Förderprogramme finden Sie hier.

Stellen Sie noch heute die Weichen für Ihre digitale Zukunft!

Es ist allerhöchste Zeit, dass auch Sie die Digitalisierungsvorhaben verwirklichen und die Zukunft Ihres Betriebs sichern.

Dank der Vielzahl an Förderprogrammen zur Digitalisierung stehen die Chancen gut, dass Betriebe mit konkreten Digitalisierungsvorhaben auf wirtschaftliche Unterstützungsangebote in Form von monetären Förderungen oder zinsvergünstigte Digitalisierungskredite zählen können.

Haben Sie noch Anliegen zu den einzelnen Förderpaketen oder zu einem konkreten Digitalisierungsprojekt in Ihrem Betrieb? Sprechen Sie uns gerne an!

Foto © Uzunov Rostislav von Pexels

Lesedauer: ca. 10 Min

In Zeiten zunehmender digitaler Vernetzung sowie konstant wachsender Online-Kriminalität ist die Aufrechterhaltung der IT-Sicherheit schon lange zu einer Schlüsselaufgabe für den Staat, die Volkswirtschaft ebenso wie die Gesellschaft avanciert. Jedoch wird dieser Entwicklung in der Arbeitsrealität noch lange nicht die notwendige Achtsamkeit eingeräumt, was beachtliche juristische Konsequenzen haben kann.

Welche gesetzlichen Vorschriften und Verordnungen Geschäftsbetriebe im Hinblick auf die IT-Security beachten und realisieren müssen, lernen Sie in unserem nachfolgenden Blog.

Mittlerweile sind die Wettbewerbsfähigkeit sowie der Erfolg eines Unternehmens ohne den Einsatz einer leistungsfähigen sowie hochverfügbaren IT-Umgebung nicht denkbar.

Laut aktueller Analysen sind mittlerweile ca. 81 Prozent der befragten Manager davon überzeugt, dass eine aktuelle IT-Umgebung Innovationskraft, Einfallsreichtum und Ertragsfähigkeit begünstigt.

Obgleich der Einsatz moderner Systeme elementare sowie zukunftsweisende Vorzüge für Firmen bereithält, resultieren diese häufig ebenso in einer steigenden IT-Abhängigkeit und erhöhen so die Möglichkeiten für Fehlkonfigurationen, was zu steigender Anfälligkeit für Cyberangriffe führt und darüber hinaus geltendes Datenschutzrecht verletzen kann.

Aus diesem Grund ist inzwischen in sämtlichen Wirtschaftssektoren eine zunehmende juristische Reglementierung der IT-Security festzustellen.

Bedrohungen aus dem Internet mit Rechtsnormen abwenden

Das Schlüsselthema IT-Security beschäftigt im Zuge der zunehmenden Vernetzung der Geschäftsprozesse immer mehr Firmen. Allerdings sind die einschlägigen staatlichen Vorgaben an Unternehmungen zunächst alles andere als leicht überblickbar.

Denn bis jetzt existiert kein Sammelgesetz, das sämtliche Regelungen mit Wechselbeziehung zur IT-Sicherheit bündelt. Vielmehr fungieren mehrere verschiedenartige Normen zusammen, um Unternehmen zu verpflichten, ein IT-Risikomanagement zu realisieren und in die Implementierung risikoangepasster IT-Sicherheitsvorkehrungen und IT-Sicherheitslösungen zu investieren.

Wird dies jedoch verpasst, können im Kontext eines IT-Sicherheitsvorfalls zusätzlich zu schweren Reputationsschäden mitunter Geldbußen in enormer Höhe fällig werden.

Alleinig im Kalenderjahr 2020 wurden in der Europäischen Union zusammen 160 Mio Euro Geldbußen wegen Übertretungen gegen die Europäische Datenschutzgrundverordnung fällig. In der Bundesrepublik erging die größte Geldbuße mit 35,3 Millionen € an das H&M Servicecenter in Nürnberg, welches die persönlichen Lebenssituationen 100ter Angestellter ausgeforscht haben soll.

Relevante Rechtsvorschriften zur IT-Sicherheit im Überblick

Im Zuge der immer schwerer werdenden Bedrohungssituation sehen sich die Legislative ebenso wie Unternehmen selbst vermehrt in der Pflicht, zu agieren. Einerseits entstehen neue und innovative IT-Sicherheitslösungen und Dienste, die das IT-Sicherheitsniveau erhöhen. Auf der anderen Seite werden striktere Erfordernisse an eine firmeninterne IT-Sicherheit formuliert, um so IT-Risiken über technologische, organisatorische, infrastrukturelle sowie personelle IT-Securitymaßnahmen zu vermindern.

Normen, die vor allem die IT-Security betreffen, haben im Zuge dessen in erster Linie die Zielsetzung, die IT-Umgebung eines Unternehmens vor Internetangriffen, unberechtigtem Zugriff und Manipulation zu schützen. Regelungen, welche den Datenschutz anbelangen, haben die Zielsetzung, einen zuverlässigen Schutz für Betriebsdaten im Hinblick auf Nutzbarkeit, Vertraulichkeit, Integrität und Authentizität zu erreichen.

Damit Unternehmen vorschriftsmäßige IT-Securitymaßnahmen implementieren können, sind etwa die nachstehenden Gesetze und Verordnungen für sie von Belang:

Das IT-Sicherheitsgesetz

Beimm IT-Sicherheitsgesetz, kurz IT-SiG, handelt es sich um ein Artikelgesetz, welches die Absicht verfolgt, die Integrität von Datensammlungen und IT-Systemen zu sichern sowie zu garantieren. Bei dem Gesetz stehen vor allen Dingen die Provider systemkritischer Infrastrukturen aus den Bereichen Strom- und Wasserversorgung, Finanzen oder Ernährung im Mittelpunkt. Die Anbieter sind gesetzlich in der Verpflichtung, ihre Geschäfts-IT angemessen zu schützen ebenso wie minimum alle zwei Kalenderjahre kontrollieren zu lassen. Dazu kommen Pflichten zur Meldung an das Bundesamt für Sicherheit in der Informationstechnik nach eingetretenen IT-Sicherheitsvorfällen.

Die EU-Datenschutzgrundverordnung

Die EU-Datenschutzgrundverordnung ist wie das IT-SiG ein Artikelgesetz. Es verfolgt die Absicht, europaweit für deckungsgleiche Bestimmungen zu sorgen, die den Datenschutz anbelangen. Hierdurch erhöhen sich die Erfordernisse an die Datenschutz-Compliance und ein gut funktionierendes Datenschutz-Verwaltungs-System. Die Regelungen des inländischen Datenschutzgesetzes, kurz BDSG, erweitern die EU-DSGVO, indem unterschiedliche Parameter weiter verdeutlicht werden.

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, zielt auf die Verbesserung der Grundlagen der Unternehmensführung ab. Weiter sollen Firmen motiviert werden, sich stärker mit dem Thema IT-Risikomanagement auseinanderzusetzen sowie in ein unternehmensweites Früherkennungssystem zu investieren.

Die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff

Bei den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff, kurz GoBD, handelt es sich um Vorgaben aus einer Verwaltungsanweisung des Bundesministeriums der Finanzen für die Dokumentationsprozesse in Firmen. Die GoBD sollen sicherstellen, dass Betriebe, in welchen unternehmerische Prozesse und Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten gegeben sind, verschiedene Sorgfaltspflichten bei der Weiterverarbeitung, Speicherung und Bereitstellung der Daten zu beachten. Jedoch müssen sämtliche Anforderungen über ein firmeninternes Kontrollsystem verwirklicht werden. Auch ist eine Prozessdokumentation als Nachweis eines rechtskonformen Betriebes verlangt.

Neben diesen vier bedeutsamen rechtlichen Grundlagen sollten Betriebe bei der Implementierung einer risikoadäquaten IT-Sicherheitsstrategie noch die nachfolgenden Richtlinien berücksichtigen:

Gesetze zur IT-Sicherheit schützen Ihren unternehmerischen Erfolg

Mittelständische Unternehmen müssen heutzutage eine Fülle gesetzlicher Vorgaben im Hinblick auf ihre IT-Sicherheit einhalten – andernfalls können hohe Geldbußen drohen.

Daher ist es wesentlich, dass sich Geschäftsbetriebe früh genug mit den wichtigsten Gesetzesnormen und Verordnungen zum Thema IT-Sicherheit befassen. Nur so können sie ein konstant hohes IT-Sicherheitsniveau und die erforderliche IT-Compliance gewährleisten.

Möchten Sie mehr über die gesetzlichen Komponenten der IT-Sicherheit lernen oder benötigen Sie einen externen IT-Sicherheitsbeauftragten? Wir stehen Ihnen mit unserer langjährigen Erfahrung und Expertise gerne zur Seite!

Foto © Sora Shimazaki von Pexels

Lesedauer: ca. 6 Min

Im Zugeder Nutzung des Kommunikationsmediums E-Mail werden nicht selten personenbezogene und unternehmenskritische Daten versendet. Diese können bei unzulänglichem Schutz abgefangen, ausspioniert und böswillig verändert werden. Aus diesem Grund ist es wichtig, dass Betriebe ihre Kommunikationsdaten mit einer Verschlüsselung absichern. Nachfolgend erfahren Sie, wie Mail-Verschlüsselung gegenwärtig funktioniert, welche Protokolle genutzt werden und wie Sie Mail-Verschlüsselung erfolgreich im Unternehmen implementieren.

Die E-Mail-Kommunikation ist aus unserer massiv vernetzten Businesswelt nicht mehr wegzudenken. Für das Kalenderjahr 2021 hat die Radicati Group ein internationales Email-Volumen im betrieblichen und privaten Umfeld von 319,6 Mrd (Quelle) pro Tag prognostiziert.

Gemäß einer aktuellen Branchenverband-Befragung erhalten Arbeitnehmer hierzulande im Schnitt ca. 26 berufliche Mails pro Tag (Quelle) – angefangen bei Abstimmungen und Terminvereinbarungen über Bestellungen, Vertragsabschlüsse sowie automatisierte Rechnungen bis hin zu vertraulichen Produktinformationen, Gehaltsinformationen oder empfindlichen Unternehmensdaten.

Doch kaum einer denkt darüber nach, dass E-Mails normalerweise im Klartext versendet werden und somit eine eventuelle sowie nicht zu unterschätzende Angriffsfläche für Cyberkriminelle darstellen.

E-Mails als Einfallstor

Nach wie vor wird ein Großteil aller Cyberattacken durch Mails umgesetzt. Dies ist kein Wunder, denn ungesicherte Mails sind wie Postkarten aus Papier – für jeden, der sie in die Finger bekommt, mitlesbar, änderbar und verfälschbar.

Somit ist es vorteilhaft, auf schlagkräftige E-Mail-Verschlüsselungsmethoden zu setzen.  Zum einen können Betriebe mit der Mail-Chiffrierung das Ausspionieren fremder Dritter unterbinden sowie die Integrität einer Email gewährleisten; zum anderen fördert es Betriebe darin, die juristischen Anforderungen zur Sicherung von personenbezogenen Informationen aus der EU DSGVO, deren Verfehlungen mit Geldbußen bis hin zu 20 Millionen Euro geahndet werden, einzuhalten.

Optimale Kommunikation auf Basis von Verschlüsselung

Um E-Mail-Kommunikation wirkungsvoll sichern zu können, müssen prinzipiell drei Bereiche verschlüsselt werden:

1. Chiffrierung des Mail-Transfers

Das nötige Werkzeug für einen zuverlässigen Mail-Transfer ist das allgemein verwendbare Netzprotokoll Transport Layer Security, kurz TLS. Eine E-Mail mit TLS-Chiffrierung – ebenso bekannt als Transportverschlüsselung – besteht darin, dass die Verknüpfung zwischen zwei Webservern im Moment der Übertragung verschlüsselt wird. Der Nachteil: Sowohl beim E-Mail-Provider als ebenso an den Knotenpunkten des Email-Austasches liegen die Emails unverschlüsselt vor, weswegen technisch passend ausgerüstete Internetangreifer einen ‘Man-in-the-Middle-Angriff’ einleiten könnten, welcher auf diese Angriffspunkte abgestimmt ist.

2. Verschlüsselung der Mail-Nachricht

Um die Unversehrtheit des eigentlichen Textes von E-Mail-Nachrichtensendungen zu garantieren, sollte eine Inhaltschiffrierung stattfinden. Zu den beliebtesten Methoden zählen hier die Verschlüsselung mittels Pretty Good Privacy, kurz PGP, wie auch die Chiffrierung vermittels Secure / Multipurpose Internet Mail Extensions, abgekürzt S/MIME. Bei der Verschlüsselung mithilfe PGP oder S/MIME kann die Mail inbegriffen Attachments nur vom entsprechenden Absender und Adressaten gelesen werden, sofern sie über den notwendigen Key verfügen. Weder die beteiligten Email-Anbieter noch potenzielle Angreifer haben die Option, die E-Mails mitzulesen bzw. zu modifizieren. Dadurch offeriert lediglich diese Technik ein hohes Maß an Schutz.

3. Chiffrierung archivierter Mails

Da erhaltene E-Mails typischerweise nach dem Durchlesen in der Mailbox bzw. im Archiv verbleiben und vor Manipulation Dritter nicht gesichert sind, ist gleichfalls die Verschlüsselung von gespeicherten Mail essenziell. In diesem Zusammenhang ist zu berücksichtigen, dass die Archivierung der Mails nicht client- sondern serverseitig stattfindet, da ersteres u.a. auf Grund der beschränkten Lesbarkeit gegen staatliche Vorschriften verstößt. Hiermit sind die User in die eigentliche Verschlüsselung und Entschlüsselung nicht direkt eingebunden, wodurch die Datensicherstellung sichergestellt wird. Für extra Schutz sorgt ansonsten die Benutzung einer Zwei-Faktor-Identitätsüberprüfung, hauptsächlich bei der Benutzung von Web Clients.

Datenschutzkonforme Mailkommunikation von Anfang an

Im Allgemeinen lässt sich feststellen: Die Verschlüsselung von Mails muss nicht schwierig sein!

Dank unterschiedlicher Techniken und Vorgehensweisen zur Chiffrierung von Mails ist es Unternehmen gegenwärtig möglich, die Diskretion, Originalität und Integrität von E-Mails zu garantieren und die Anforderungen zum Datenschutz gem. Art. 32 Abs. 1 lit. a und lit. b der DSGVO einzuhalten.

Haben Sie noch ergänzende Fragestellungen zum Thema Mail-Chiffrierung oder sind Sie auf der Suche nach einem effektiven Chiffrierungsprogramm für eine verlässliche und rechtssichere E-Mail-Kommunikation? Wir sind jederzeit für Sie da!

Foto © cottonbro von Pexels

Lesedauer: ca. 7 Min

Dezentrales Arbeiten ist im Trend. Auf der ganzen Welt bieten immer mehr Firmen ihren Angestellten die Option, ‘remote’ tätig zu sein. Um ihnen hierbei eine geschützte Kommunikation zu ermöglichen, ist die Nutzung von virtuellen privaten Netzwerken elementar. Wie ein virtuelles privates Netzwerk funktioniert sowie welche Nutzeffekte ihr Einsatz bietet, lernen Sie im nachfolgenden Blogbeitrag.

Unwesentlich, ob im Café, am Airport, im Coworking-Space oder aber im Homeoffice: Mobiles Arbeiten ist mittlerweile bei weitem keine Utopie mehr. Fachkundig organisiert ermöglicht es Arbeitnehmern wie Betrieben mehr Rentabilität und Effektivität.

Gemäß dem Forschungs- und Consultingunternehmen Gartner waren gegen Jahresende 2021 ca. 51 % aller weltweit tätigen Büroangestellten remote tätig. Im Jahr 2019 waren es nur 27 Prozent. Darüber hinaus geht das Beratungsunternehmen davon aus, dass aktuell ca. 32 Prozent aller international tätigen Arbeitnehmer remote arbeiten – 2019 waren es um die 17 %.

Eine Erhebung im Namen von LogMeIn – einem Anbieter für Remote-IT und Fernsupport – zeigt, dass mobiles Arbeiten für den Unternehmenserfolg wie auch die Mitarbeiterzufriedenheit unentbehrlich ist. Ganze 62 % der teilnehmenden Arbeitnehmer sind zufriedener, wenn sie flexibler arbeiten können. Darüber hinaus kann Remote Work sowie seine flexible Realisierung in Zukunft entscheidend sein, um Beschäftigte an eine Firma zu binden.

Jedoch: Ungeachtet all der Chancen und Entwicklungsmöglichkeiten birgt die Remote-Jobwelt erhebliche Risiken und Gefahren im Hinblick auf die digitale Sicherheit.

Somit ist jedwede zusätzlich durchgeführte IT-Securitymaßnahme, die etwa einen gesicherten Fernzugriff auf Betriebsressourcen, einen verschlüsselten Datenverkehr oder aber eine verlässliche Voice-over-IP-Telefonie beim Remote Work möglich macht, von Vorteil – wie etwa der Einsatz eines virtuellen privaten Netzwerks (englisch ‘Virtual Private Network’), kurz VPN.

Was kann ein VPN?

Bei einem VPN handelt es sich um ein virtuelles, in sich abgeschlossenes Netz, das das Internet als Transportmedium verwendet und einen verschlüsselten und zielgerichteten Datenverkehr zwischen zwei oder mehr Networkdevices gewährleistet.

Zwischen den Teilnehmern entstehen hierbei durch Chiffrierungs- und Tunneling-Protokollen verschlüsselte Tunnelverbindungen, die die Vertraulichkeit, Integrität wie auch Authentizität der versendeten Informationen gewährleisten und diese vor Zugriff, Modifikation oder missbräuchlicher Verwendung durch Unberechtigte schützen.

Zu den bekanntesten Chiffrierungs- und Tunneling-Protokollen zählen:

  • das Point-to-Point-Tunneling-Protokoll
  • das Secure Socket Tunneling Protocol
  • das OpenVPN-Protokoll
  • das Layer 2 Tunneling-Protokoll und
  • das Internet Key Exchange Version 2

Virtuelle private Netzwerke – Die unterschiedlichen Varianten

Mittlerweile kommen virtuelle private Netzwerke in unzähligen Bereichen zum Einsatz. Je nach Einsatzumgebung müssen diese jedoch unterschiedlich verwirklicht werden, um die spezifischen Erfordernisse erfüllen zu können.

Prinzipiell differenziert man bei Virtual Private Networks zwischen drei unterschiedlichen Arten:

Site-to-Site-VPN

Mittels einem Site-to-Site VPN können Firmen diverse Betriebsstandorte, Filialen oder Niederlassungen untereinander vernetzen. Somit sind Devices wie Server, Netzwerkfestplatten und Voice over IP-Gateways aus beiden verbundenen Lokationen erreichbar. Bei einem Site-to-Site VPN senden und empfangen die Endpoints normalen TCP/IP-Traffic über ein sogenanntes VPN-Gateway, das für die Chiffrierung sowie die Verpackung des abgehenden Datentraffics verantwortlich ist. der Datenaustausch an sich wird anschließend über einen VPN-Tunnel über das Web an ein entsprechendes Ziel-Gateway gesendet, das den Inhalt dechiffriert sowie die Datenpakete an den jeweiligen Endpoint innerhalb des privaten Netzwerks weiterleitet.

End-to-Site-VPN

Mit einem End-to-Site-VPN können Firmen ihren Remote-Arbeitnehmern den Zugriff auf ihr Geschäftsnetzwerk erlauben. Der Virtual Private Network-Tunnel zum örtlichen Computernetz wird durch den VPN-Client auf dem Endgerät des remote Angestellten bereitgestellt. Als Medium kommt das Web zum Einsatz. Dies erlaubt es den Beschäftigten, über einen beliebigen Internetzugang auf das Firmennetz und somit auf File- und Mail-Server, bzw. spezielle Unternehmensanwendungen, zuzugreifen.

End-to-End-VPN

Erfolgt der Fernzugriff von einem Endpoint auf einen zweiten, redet man von End-to-End-Virtual Private Network. Das gewöhnliche Einsatzszenario für diese Art der VPN-Verbindung ist Remote Desktop. Zu bedenken ist in diesem Zusammenhang, dass auf jedwedem Endpunkt, welches an das Private Network angebunden ist, ein entsprechendes VPN-Protokoll eingerichtet sein muss, zumal die Endpoints direkt miteinander und nicht via zwischengeschaltete VPN-Server bzw. Gateways verbunden werden.

Die wichtigsten Vorzüge von VPN

Inzwischen verwenden viele Unternehmungen VPN, um ihre Firmenstandorte zu koppeln ebenso wie ihren Remote-Angestellten einen verlässlichen Fernzugriff auf die hausinternen Ressourcen und Applikationen des Betriebes zu gewähren.

Die Pluspunkte sprechen für sich: Denn virtuelle private Netzwerke können,

vor Ausschnüffeln sowie Identitätsdiebstahl schützen. Durch den Einsatz eines VPNs können Unternehmungen Cyberattacken effizient vorbeugen, zumal der Virtual Private Network-Client dafür Sorge trägt, dass nur ungefährliche Connections aufgebaut werden. Sollte eine VPN-Verbindung einmal unterbrechen, wird keine erneute Verbindung aufgebaut, die mitgelesen werden könnte.

risikolose Voice over IP-Telefonie gewährleisten. Besonders beim mobilen Arbeiten ist Voice over IP-Kommunikation (Lesen Sie hierzu auch unseren Blogbeitrag …) ein Segen. Durch die Benutzung von VPNs können die Sprachpakete der Voice over IP-Telefonie ungefährdet über das World Wide Web übermittelt werden, wodurch eine abhörsichere Firmenkommunikation sichergestellt wird.

die Datenkommunikation neuer Endpoints sicherstellen. Durch das standortunabhängige Arbeiten werden immer mehr End Devices -oftmals auch persönliche Endgeräte der Angestellten- in die Firmenprozesse miteinbezogen. Durch den Einsatz von VPNs können Unternehmen die Sicherheitsrisiken, die dabei entstehen, vermindern sowie ihren Remote-Mitarbeitern eine verlässliche Kommunikation gestatten.

einen sicheren Datentraffic in fremden Netzen gewähren. Immer mehr benutzen Remote-Beschäftigte aus Komfort frei zugängliche WLANs, welche von Herbergen, Bars oder ähnlichen Hotspots zur Verfügung gestellt werden. Unerfreulicherweise sind öffentliche Hotspots im eigentlichen Sinn öffentlich und daher überhaupt nicht gesichert. Durch den Einsatz von VPNs können Firmen auch bei Benutzung öffentlicher Hotspots ihren Datenverkehr vor dem Aushorchen oder Ausspähen abschirmen.

Starke Datensicherheit und eine verbesserte Datenkommunikation auf Basis von VPN

Der neueste Situationsbericht IT-Sicherheit in Deutschland 2021 des BSI macht deutlich: Die Bedrohungslage ist besorgniserregend!

Deswegen wird es ständig bedeutender, sowohl dienstliche als auch persönliche Kommunikationswege vor unbefugtem Zugriff, Lauschangriffen sowie Manipulierung zu sichern.

Durchgesetzt hat sich hierbei ein vollständiges, mehrschichtiges IT-Sicherheitskonzept, das nebst modernen Antivirenprogrammen und Firewalls der nächsten Generation auch die Verwendung von VPN für die gesamte Datenkommunikation vorsieht.

Möchten auch Sie mit einer effizienten VPN-Lösung Ihren Remote-Mitarbeitern einen hochsicheren Remotezugriff ermöglichen und haben Sie noch Fragen zu virtuellen privaten Netzwerken? Sprechen Sie uns an!

Foto © Jakub Novacek von Pexels