Suche rechtssichere E-Mail-Archivierung

[debianoli]

Hi,

ich suche eine Möglichkeit zur rechtssicheren Archivierung von Mails nach deutschem Recht für Kleinunternehmen/Einzelunternehmer. Es sollen bis max. 5 E-Mail Konten archiviert werden, die bislang als imap-Accounts auf dem Server eines Hosters sind. Der Betrieb eines eigenen Mail-Servers ist nicht vorgesehen, da dazu die technische Kompetenz nicht vorhanden ist.

Es gab zu dem Thema mal diesen Thread viewtopic.php?f=8&t=163159, aber da finde ich nichts, was mir wirklich weiterhelfen würde.

Benno MailArchiv etwa erfüllt wohl die Vorgaben, allerdings bin ich mit meinen Kenntnissen an der Einrichtung nach dem Wiki gescheitert. Bliebe dann wohl nur noch der Weg über Univention. Aber ist das dann auch ohne übermäßigen Aufwand nutzbar?

Andere Lösungen wie Mailstore setzen einen MS-Server voraus, also viel zu aufwändig und teuer für meine Zwecke. Und ein MS-Server nur für den Zweck muss echt nicht sein. Es gibt auch Angebote von zB Strato, jedoch sind auf deren Seite nicht einmal Preise zu finden.

Ich habe mit auch schon gedacht, ob man offlineimap nicht für den Zweck einsetzen könnte. Aber dazu müsste jede E-Mail mit einem Index versehen werden, um die Unveränderbarkeit nachzuweisen (wenn ich die gesetzlichen Vorgaben richtig verstanden habe). Ob es das funktioniert, glaube ich eher nicht.

Welche Erfahrungen habt ihr mit der rechtssicheren Archivierung? Könnt ihr etwas empfehlen, was nicht übermäßig kostspielig ist?

Ich könnte mich auch mit einer Cloud-Lösung anfreunden, wenn der Anbieter seine Server in der EU stehen hat und die DSGVO erfüllt.

[spiralnebelverdreher]

ich suche eine Möglichkeit zur rechtssicheren Archivierung von Mails nach deutschem Recht für Kleinunternehmen/Einzelunternehmer. Es sollen bis max. 5 E-Mail Konten archiviert werden, die bislang als imap-Accounts auf dem Server eines Hosters sind. Der Betrieb eines eigenen Mail-Servers ist nicht vorgesehen, da dazu die technische Kompetenz nicht vorhanden ist.
....

Ich könnte mich auch mit einer Cloud-Lösung anfreunden, wenn der Anbieter seine Server in der EU stehen hat und die DSGVO erfüllt.

Wenn ich mich recht erinnere, bietet so etwas (Maildienst in der "Cloud" mit Standort DE) bspw. der Betreiber von mailbox.org an. Ich bin da "nur" Privatkunde und fühle mich da gut aufgehoben und unterstützt. Habe also keine eigene Erfahrung mit dem Thema aus Sicht eines Unternehmers.

[debianoli]

Wenn ich mich recht erinnere, bietet so etwas (Maildienst in der "Cloud" mit Standort DE) bspw. der Betreiber von mailbox.org an.

Danke, aber das ist nicht das, was ich brauche. Der von dir genannte Anbieter hebt hervor, dass er sich "besonders" an die Vorgaben der DSGVO hält, aber das sind eigentlich nur die Standards. Die muss ein EU-Anbieter für E-Mail-Dienste sowieso erfüllen. E-Mail-Archivierung ist dagegen nicht in seinem Programm.

[spiralnebelverdreher]

Da war mein Wissen veraltet und ich hab dich auf die falsche Fährte gelockt.
Der Chef von Mailbox.org hatte vor einigen Jahren einen Geschäftsbereich namens Heinlein Elements, der Software und Appliances für Mailarchivierung anbot. Anscheinend vertreibt er dies seit 2018 nicht mehr und macht nur noch Pflege bei Bestandskunden, siehe News bei Heinlein-Support.de. In der dortigen Sektion Vorträge findest du aber immer noch Infos über die besonderen Herausforderungen der eMail Archivierung.

[eggy]

Benno MailArchiv etwa erfüllt wohl die Vorgaben, allerdings bin ich mit meinen Kenntnissen an der Einrichtung nach dem Wiki gescheitert.

http://www.raspberry-pi-geek.de/Magazin ... -dem-RasPi
Der Artikel ist von 2017, für nen Raspi und für Jessie, aber vielleicht findest Du da ja die Stelle, bei der Du im Wiki hängengeblieben bist, darin besser erklärt? Welchen Wikiartikel meinst Du eigentlich?

[weshalb]

Ich habe mir dazu ganz billig in einer VM ein Postfix-Fetchmail-Gespann eingerichtet, wobei Postfix alles direkt in Piler verschickt.

Ich hatte bei meinen Recherchen zur Rechtssicherheit keinen Unterschied zwischen Piler und kommerziellen Produkten finden können. Wichtig scheint jedenfalls die nachvollziehbare Dokumentation der Abfolge zu sein, welche du dann dem Finanzamt vorlegst. Am Besten gleich mit der VM selbst.

Darin solltest du den Hard- und Softwarestand sowie das Funktions-Layout plausibel beschreiben können.

[debianoli]

http://www.raspberry-pi-geek.de/Magazin ... -dem-RasPi
Der Artikel ist von 2017, für nen Raspi und für Jessie, aber vielleicht findest Du da ja die Stelle, bei der Du im Wiki hängengeblieben bist, darin besser erklärt? Welchen Wikiartikel meinst Du eigentlich?

Den von benno selber. Das ist verdammt viel Einarbeitung, wenn man keine große Erfahrung im Betrieb von Mail-Servern hat (zB milter konfigurieren etc.) https://wiki.benno-mailarchiv.de/doku.php/benno-imap

Ich habe mir dazu ganz billig in einer VM ein Postfix-Fetchmail-Gespann eingerichtet, wobei Postfix alles direkt in Piler verschickt.

Ich hatte bei meinen Recherchen zur Rechtssicherheit keinen Unterschied zwischen Piler und kommerziellen Produkten finden können. Wichtig scheint jedenfalls die nachvollziehbare Dokumentation der Abfolge zu sein, welche du dann dem Finanzamt vorlegst. Am Besten gleich mit der VM selbst.

Das ist eben mein Problem, denn selbst um eine "billige" Postfix-Fetchmail-Einrichtung habe ich bislang einen Bogen gemacht.

Wie löst du eigentlich die Unveränderbarkeit der Mails? Über einen Hash-Wert?

[weshalb]

http://www.raspberry-pi-geek.de/Magazin ... -dem-RasPi
Der Artikel ist von 2017, für nen Raspi und für Jessie, aber vielleicht findest Du da ja die Stelle, bei der Du im Wiki hängengeblieben bist, darin besser erklärt? Welchen Wikiartikel meinst Du eigentlich?

Den von benno selber. Das ist verdammt viel Einarbeitung, wenn man keine große Erfahrung im Betrieb von Mail-Servern hat (zB milter konfigurieren etc.)

Ich habe mir dazu ganz billig in einer VM ein Postfix-Fetchmail-Gespann eingerichtet, wobei Postfix alles direkt in Piler verschickt.

Ich hatte bei meinen Recherchen zur Rechtssicherheit keinen Unterschied zwischen Piler und kommerziellen Produkten finden können. Wichtig scheint jedenfalls die nachvollziehbare Dokumentation der Abfolge zu sein, welche du dann dem Finanzamt vorlegst. Am Besten gleich mit der VM selbst.

Das ist eben mein Problem, denn selbst um eine "billige" Postfix-Fetchmail-Einrichtung habe ich bislang einen Bogen gemacht.

Wie löst du eigentlich die Unveränderbarkeit der Mails? Über einen Hash-Wert?

Das ist nicht so schwer und solange dein Postfix nur im Intranet läuft, wird es wohl schon nicht zum OpenRelay werden können.

Man kann die Mails innerhalb von Piler nicht verändern.(habe da zumindest keine Möglichkeit gefunden) Maximal als Root löschen, wobei man das dann innerhalb von Piler trotzdem nachvollziehen kann. Also schlechte Karten.

Trotzdem Gegenfrage> Wie stellst du sicher, dass innerhalb einer kostenpflichtigen Lösung die Mails nicht verändert werden können bzw. auf welchem Layer meinst du dich vor dem Finanzamt da bewegen zu müssen, solange die Softwareersteller sagen, dass das nicht geht?

Was das Programm kann, siehst du auf der Seite. Ich würde pro Geschäftsjahr auch immer nur eine virtuelle Maschine anlegen.

[debianoli]

Trotzdem Gegenfrage> Wie stellst du sicher, dass innerhalb einer kostenpflichtigen Lösung die Mails nicht verändert werden können bzw. auf welchem Layer meinst du dich vor dem Finanzamt da bewegen zu müssen, solange die Softwareersteller sagen, dass das nicht geht?

Was das Programm kann, siehst du auf der Seite. Ich würde pro Geschäftsjahr auch immer nur eine virtuelle Maschine anlegen.

Tja, das ist ja wieder das Grundproblem bei diesen ganzen Forderungen vom Finanzamt etc. Die kostenpflichtige Lösung hat für mich als Anwender den Vorteil, dass ich damit weniger Arbeit bei Einrichtung etc habe. Wenn das Finanzamt dann trotzdem meint, ich mache das falsch, geht das am Ende vor Gericht. Der übliche Irrsinn in dem Bereich. Btw, wie läuft das eigentlich mit per GPG-verschlüsselten Mails? Denn wenn ich dem Finanzamt meinen Key gebe, muss ich den danach widerrufen, denn der ist dann kompromitiert.

Aber die Lösung mit einer virtuellen Maschine pro Geschäftsjahr hört sich gut an. Dann richtet man einmal alles ein und nutzt dann mehrere Jahre lang nur Klone.

[weshalb]

Denn wenn ich dem Finanzamt meinen Key gebe, muss ich den danach widerrufen, denn der ist dann kompromitiert.

Was für einen KEY? Das Finanzamt bekommt lediglich die VM und kann die Archivierung dann in einem beliebigen Webbrowser durchsuchen. Es lassen sich User und Superuser anlegen, intern verschlüsselt Piler von selbst.

Man sollte die Prüfung auch immer als Ganzes beachten, was da das FA im Blickfeld hat. Das sind neben dem Rechnungsprogramm selbst, die entsprechenden Kontos, Lieferscheine und Rechnungen an den Kunden.


Die Mails sollten wohl der Plausiblität im Rahmen der ganzen Abrechnungen dienen und ich weiß gar nicht, warum die fragenden User zu dem Thema sich da immer so heiß machen.


Ich würde mir nur folgende Fragen stellen:

Kann ich die Mails aus dem Archiv manipulieren?
Kann ich plausibel erklären, wie die Archivierung funktioniert?
Kann ich die Mails aus dem Archiv löschen, ohne das es auffällt?
Kann ich die Archivierung zur Verfügung stellen, ohne dass es den Geschäftsbetrieb stört?


Und hier nochmal ein andere Gegenfrage> Wie stellst du überhaupt sicher, dass man ausgedruckte Rechnungen im Nachhinnein nicht verschwinden oder verändern kann? Ich betreue nebenher beispielsweise eine Unternehmung, die bereits beim FA auf dem Kiker ist. Das FA bemängelt dort noch nicht mal mehr, dass sich im Rechungsprogramm die Rechnungen nachträglich verändern lassen. Es werden auch Rechnungen teilweise per Mail verschickt und es wird auch nicht bemängelt, dass es keine Archivierung gibt.

Fakt ist, dass die auch auf anderem Wege es sehr gut hinbekommen, die Firma zu überwachen.

[debianoli]

Denn wenn ich dem Finanzamt meinen Key gebe, muss ich den danach widerrufen, denn der ist dann kompromitiert.

Was für einen KEY? Das Finanzamt bekommt lediglich die VM und kann die Archivierung dann in einem beliebigen Webbrowser durchsuchen.

GPG verschlüsselte Email. Wenn ich mit jemandem nur mit verschlüsseltem Email kommuniziere, dann erhalte und versende ich Mails, die sich nur mit meinem GPG Key inklusive Passwort lesen lassen. Diese Mails wird Piler doch nicht automatisch entschlüsseln und unverschlüsselt abspeichern?

Das ist auch ein Thema, dass ich in dem Zusammenhang etwas undurchdacht finde. Denn aus Gründen des Datenschutzes werden vollverschlüsselte Mails empfohlen, aber für die Archivierung muss ich dies eigentlich aushebeln.

[wanne]

Denn aus Gründen des Datenschutzes werden vollverschlüsselte Mails empfohlen, aber für die Archivierung muss ich dies eigentlich aushebeln.

Archiviert muss im Orginalformat werden. – Also dir Verschlüsselte E-Mail. Wie viel das Finanzamt damit anfangen kann, muss es selbst wissen...

Aber die Lösung mit einer virtuellen Maschine pro Geschäftsjahr hört sich gut an.

Ob das Finanzamt ein Jahr später als frühestmöglichen Zeitpunkt ansieht weiß ich nicht... Könnte es mir aber gut vorstellen.

Wie löst du eigentlich die Unveränderbarkeit der Mails? Über einen Hash-Wert?

Wie stellst du sicher, dass innerhalb einer kostenpflichtigen Lösung die Mails nicht verändert werden können bzw. auf welchem Layer meinst du dich vor dem Finanzamt da bewegen zu müssen, solange die Softwareersteller sagen, dass das nicht geht?

Über einen "Vertrauenswürdingen" Großkonzern, der zertifiziert sagt, dass das so ist. – Bei seriöseren ist es ein Zwang zu einem wie auch immer gearteten Cloud-Dienst zu dem du dann üblicherweise hashes+Datum hoch lädst und ne Signatur zurück bekommst.
Den kannst DU dann nicht manipulieren. Der Betreiber natürlich schon. Aber der ist per Zertifikat Vertrauenswürdig.
Die meisten geben dir wie auch immer geartete Hardware, die als Sicher gilt, weil du nicht weißt wie sie funktioniert. – Das Finanzamt weiß das genau so wenig und deswegen nimmt es an, dass das sicher ist. Hat ja der Hersteller gesagt. Und wenn nach 5 Jahren raus kommt, dass es doch nicht manipulationssicher war musst du halt vorher neue kompatible Hardware Angeschaft haben, die weiterhin sicher ist. – Das ist dann ein Fehler deinerseits, das nicht rechtzeitig gemacht zu haben. – Nicht etwa des Herstellers.

[weshalb]

Über einen "Vertrauenswürdingen" Großkonzern, der zertifiziert sagt, dass das so ist. – Bei seriöseren ist es ein Zwang zu einem wie auch immer gearteten Cloud-Dienst zu dem du dann üblicherweise hashes+Datum hoch lädst und ne Signatur zurück bekommst.
Den kannst DU dann nicht manipulieren. Der Betreiber natürlich schon. Aber der ist per Zertifikat Vertrauenswürdig.

Was für ein Zertifikat? Ich hatte, als ich mich noch intensiver mit der Materie beschäftigt hatte, auch mal bei Benno sowie bei einer Kanzlei zu dem Thema angefragt...Zertifikate gibt es nicht, wichtig ist wohl lediglich eine nachvollziehbare Verfahrensdokumentation.

Vielleicht sollte man, falls immer noch Unsicherheit besteht, einfach mal beim Finanzamt selbst nachfragen.

[wanne]

Was für ein Zertifikat? Ich hatte, als ich mich noch intensiver mit der Materie beschäftigt hatte, auch mal bei Benno sowie bei einer Kanzlei zu dem Thema angefragt...Zertifikate gibt es nicht, wichtig ist wohl lediglich eine nachvollziehbare Verfahrensdokumentation.

Es gibt/gab? eine Zertifizierung der Bundesnetzagentur, dass du vernünftig signieren kannst. Genau so gibt es diverse private Dienstleister die deine Dokumentation Zertifizieren. Auch hier geht es nicht um wirkliche Sicherheit oder wirklich harte Kriterien sondern darum am Ende vor Gericht vorweisen zu können, durch möglichst viele möglichst große erklärt bekommen zu haben, dass alles bestens läuft.
Das Problem ist: Der Richter selbst hat wenig Ahnung und es gibt auch keine harten Kriterien. Wenn da 10 Großkonzerne sagen, dass war gut so schindet das vor Gericht Eindruck. Wenn du da alleine stehst hast du schlechte Karten.
Wir haben das gerade in unserem RZ von wegen DSVGO bzw. Sicherheit gemacht. Die Zertifizier sind keine Behörde oder haben in irgend einer Weise Ahnung. Aber am Ende steht in einigen Gesetzen (zu medizinischen Daten) drin, dass du das machen musst. Über die Kompetenz des Dienstleisters ist da wenig zu lesen.

[debianoli]

Genau so gibt es diverse private Dienstleister die deine Dokumentation Zertifizieren. Auch hier geht es nicht um wirkliche Sicherheit oder wirklich harte Kriterien sondern darum am Ende vor Gericht vorweisen zu können, durch möglichst viele möglichst große erklärt bekommen zu haben, dass alles bestens läuft.
...
Wir haben das gerade in unserem RZ von wegen DSVGO bzw. Sicherheit gemacht. Die Zertifizier sind keine Behörde oder haben in irgend einer Weise Ahnung. Aber am Ende steht in einigen Gesetzen (zu medizinischen Daten) drin, dass du das machen musst. Über die Kompetenz des Dienstleisters ist da wenig zu lesen.

Das ist genau betrachtet auch ein Ding der Unmöglichkeit. Du kannst als Gesetzgeber angesichts des permanenten technischen Wandels nur grobe Vorgaben machen. Ansonsten hast du es in der täglichen Praxis überall so, dass man wie in Arztpraxen zB immer noch eine mechanische Schreibmaschine oder einen Nadeldrucker braucht, um Rezepte für Betäubungsmittel mit gefordertem Durchschlag nach den Vorgaben des Gesetzes richtig auszufüllen.

[bastian2021]

Guten Tag,

ich möchte vorab sagen, ich bin normaler Anwender und habe keinen persönlichen Bezug zum Unternehmen, nutze aber das Produkt jetzt. Es hat sich aus meiner Suche nach einer E-Mailarchivierung ergeben.

Ich habe mich für [Produktnamen entfernt] entschieden, bei dem was ich an Programmen finden konnte, war es oft eher teuer da sich die Kosten Jahr für Jahr weiterentwickeln, da die Archivierung statt findet, bzw. für größere Unternehmen ausgelegt ist. Es gibt auch verschiedene Arten, wie die Produkte berechnet werden, Ob etwas teuer ist, oder nur mehr kostet, weil es entsprechend umfangreich ist, bezogen auf die Unternehmensgröße oder das Produkt, kann nur jeder für sich entscheiden.
Oder andere Programme waren für Personen die sich mit IT auskennen und man selbst daher nicht installieren kann.
Und Programme zu finden, die mit Linux funktionieren kommt auch noch dazu.

[uname]

Jedes Archivierungsprogramm hat das Problem, dass clientseitige Manipulation nicht verhindert werden kann. Daher wird auch oft clientseitige Software verzwungen, die meist nicht unter Linux läuft. Ähnlich wie die geplante Chatkontrolle sämtliche client- und serverseitige Sicherheitsmechanismen unterwandert.

[hec_tech]

Wieso soll ich clientseitige Manipulation nicht verhindern können? Genau dafür gibt es WORM.
Da kann ein Client versuchen zu löschen wie er will er wird es nicht schaffen.

Im Storage Bereich gibt es da interessante Lösungen dazu. NetApp hat SnapLock dafür. Es ist immer die Frage was man genau haben will und wieviel man bereit ist dafür auszugeben.

[uname]

Ich meine ja auch die Manipulation vorher auf dem Client. Software hat Fehler oder ist vielleicht mit Malware verseucht. Selbst wenn man Zusatzgeräte zur Signierung nutzt, so bestätigt man nur das, was man auf dem Zusatzgerät zeigt (Ausschnitt, Prüfsumme, ...) und nicht das, was der Computer sagt. Das ist beim Internet-Banking genauso. Nur die auf Lesegerät und App angezeigten Daten werden bestätigt. Der Rest kann falsch sein. Beim Internet-Banking sind diese (z. B. Empfängername) jedoch unwichtig.

Auf WORM gespeicherte Daten sind vom Client natürlich nicht mehr manipulierbar.
Aber man muss erst mal die E-Mail nichtmanipuliert auf das WORM bekommen.
Bei speziellem Schadcode meiner Meinung nach unmöglich.

[weshalb]

Bin da inzwischen von weg, denn die Frage ist ja, ob man das überhaupt, so wie damals groß angekündigt, braucht.

In den Firmen, in denen ich unterwegs bin, zuckt man bisher nach wie vor die Schultern. Auch von den Buchhaltern hört man nix.

Ging doch um das Finanzamtgedöns oder?

[debianoli]

In den Firmen, in denen ich unterwegs bin, zuckt man bisher nach wie vor die Schultern. Auch von den Buchhaltern hört man nix.

Ging doch um das Finanzamtgedöns oder?

Richtig, das Finanzamtgedöns ist die Einstufung von E-Mail als Geschäftsbrief. Und Geschäftsbriefe muss man revisionssicher archivieren, inkl. E-Mail. Eigentlich...

Aktuell ist das (noch) ein Graubereich, der bislang nicht groß im Rampenlicht steht. Ich habe bislang recht selten von der Prüfung von E-Mails in Finanzverfahren gelesen. Dazu kommen fehlende Standards bei den rechtlichen Vorgaben und vermutlich nicht vorhandene technische Kompetenz der Prüfer.

Aber das macht diesen Bereich für mich nicht unproblematisch und erinnert mich an die DSGVO vor einigen Jahren. Da gab es erst Hektik in den Unternehmen, als die Einführungsfristen abgelaufen waren.

Schließlich kann es niemand garantieren, dass sich Finanzämter oder findige Juristen auf dieses Thema nicht einschießen werden. Dann steht man plötzlich vor dem Dilemma, dass man die vorgeschriebene Archivierung nicht vorweisen kann. Und ist wie auf dem Meer in Gottes Hand und benötigt Glück vor Gericht.

[hec_tech]

Ich sehe da eine andere Problematik:

Einerseits Aufbewahrungsfristen der Finanz und andererseits Löschungsbegehren gemäß DSGVO.

[weshalb]

Ich sehe da eine andere Problematik:

Einerseits Aufbewahrungsfristen der Finanz und andererseits Löschungsbegehren gemäß DSGVO.

Hatte mal lesen können, dass man mit der Archivierung von Mails Probleme bekommen kannst, sobald ein User über seine Firmenadresse privat eine Mail absetzt, auch wenn er selbst tausendmal unterschrieben hätte, dass er die Adresse nur für den dienstlichen Gebrauch verwenden darf.

Kann das einer bestätigen?

[hec_tech]

Ich mache mir da weniger Sorgen um die Mitarbeiter als um Kunden bzw Mitarbeiter von Kunden.

[weshalb]

Ich mache mir da weniger Sorgen um die Mitarbeiter als um Kunden bzw Mitarbeiter von Kunden.

Heißgekochte Suppe. Ich denke, solange die keine eindeutigen Rahmenbedingungen geschaffen haben, werde ich mich da auch nicht weiter reinhängen. Scheint ja auch nicht so wichtig zu sein.