• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Rechtskonforme e-Mail Archivierung

spoensche

Moderator
Teammitglied
Hi an alle,

ich suche eine Open Source Lösung bzw. Komponente für die rechtskonforme e-Mail Archivierung. OpenBenno kenne ich schon.

Könnt ihr mir da auf die Sprünge helfen?
 
Hallo spoensche

Ich kenne nur sehr wenige und dazu auch fast nur kommerzielle Anwendungen wie diese hier.

https://www.mailarchiva.com/

Vor allem da diese die gesetzlichen Anforderungen Entsprechen müssen halte ich das von dir schon genante OpenBenno für die beste Lösung.

Gruss

Friedel
 

stka

Guru
E-mail Archivierung alleine reicht nicht um gesetzeskonform zu sein. Das ganze muss auch revisionssicher gespeichert werden. Auch darf es nicht dazu kommen, dass Mails vor dem Archivierungssystem abgegriffen und verändert oder gelöscht werden dürfen. Genau wie bei jedem "richtigen" Brief den du im Geschäft empfängst. Lösungen die auf Opensource basieren gibt es, aber die sind nicht kostenfrei. Eine Lösung wäre das hier:
http://www.heinlein-support.de/mail-archiv
 
OP
S

spoensche

Moderator
Teammitglied
Erst mal Danke für eure Infos. Ich habe mich auch ein wenig schlau gemacht. Die Revisionssicherheit wird i.d.R. per Signatur realisiert. Die Revisonssicherheit ist allerdings nur nötig, wenn die elektronische Rechnungsstellung bzw. Angebotsstellung per e-Mail erfolgt oder liege ich da falsch?
 

abgdf

Guru
Schätze mal, es kommt darauf an, daß eindeutig ist,

- wer der Absender ist und
- daß der Email-Text/Email-Inhalt derjenige ist, den der Absender abgesendet hat.

Der Email-Text muß also unverändert bleiben und darf auch nicht verändert werden können. Bei normalem Email-Text trifft das schonmal nicht zu. (Ob ein auf "unveränderbar" gesetztes pdf im Anhang dafür ausreicht, erscheint mir zweifelhaft.)
Vielleicht könnte man die Anforderungen über eine Signatur realisieren, vielleicht in Verbindung mit einer MD5-Summe. Ist das möglich (es müßte wohl vor allem auch der Absender mitmachen, was heute wohl eher noch selten ist)?
Ich weiß es nicht, bzw. habe noch nicht damit gearbeitet. Ich mache (noch) alles auf Papier mit realen Unterschriften.

Gruß
 
OP
S

spoensche

Moderator
Teammitglied
Eine MD5-Summe wird da nicht reichen. Die Signatur müsste schon dem Signaturgesetz entsprechen, also eine kryptografische Signatur.
 

stka

Guru
spoensche schrieb:
Die Revisonssicherheit ist allerdings nur nötig, wenn die elektronische Rechnungsstellung bzw. Angebotsstellung per e-Mail erfolgt oder liege ich da falsch?
Falsch, das gilt für alle geschäftlichen Mails auch wenn die Rechnung nicht elektronisch zugestellt wird.
 

/dev/null

Moderator
Teammitglied
Hi,

ich kenne mich mit den Anforderungen, die gesetzlich an die Archivierung von geschäftlichen E-Mails gestellt werden, nicht aus. Dafür umso besser mit allem, was mit elektronischer Signatur und SigG zu tun hat.

Nur so viel:
Sollte in den gesetzlichen Anforderungen irgendwo das Wort "qualifizierte elektronische Signatur" (QES) auftauchen, dann sehe ich mit irgendwelchen Selbstbaulösungen oder "günstigen Angeboten" schwarz.
Die "Sichere Signaturerstellungseinheit" (für normale Menschen, also Nicht-Juristen: die Chipkarte eines nach SigG zugelassenen TrustCenters) ist dabei noch das einfachste, weil zu kaufen. Gleiches trifft für den zugelassenen Kartenleser zu.
Aber sämtliche Anwendungsprogramme, von der Signaturerzeugung, über die Speicherung des Contents bis zur Signaturprüfung, müssen von der Bundesnetzagentur dafür evaluiert werden. => und an diesen Kosten werden jegliche Selbstbauversuche scheitern!

Also, zuerst genau über die gesetzlichen Anforderungen informieren (QES ja oder nein) und dann prüfen, ob vorhandene Lösungen diesen Anwendungen entsprechen. Wenn QES, müssen die Anbieter die entsprechenden Zulassungen vorweisen können.

==> An dieser Stelle sage ich mir, derartige Anforderungen machen einen kleinen Shop einfach kaputt. Ich kann mir kaum vorstellen, dass derartige Anforderungen wirklich und an Firmen jeder Größe gestellt werden. Aber, siehe oben ... .

MfG Peter
 

stka

Guru
Die Größ der Firma ist dabei völlig egal. JEDE Firma, selbst ein Freiberufler ist verpflichtet die geschäftlichen Mails genau so zu handhaben wie ein Geschäftsbrief. Deine Geschäftsbriefe in denen es um Preise, Angebote und sonstiges geht, muss du auch aufheben. Schau dir die Lösung von Heinlein an, die ist auf jeden Fall gesetzeskonform.
 

abgdf

Guru
Also, ich denke, wenn Du nur eine einfache, unsignierte ASCII-Email erhalten hast, und mit dieser z.B. ein Vertrag zustande gekommen ist (Textform nach § 126 BGB), dann kannst und mußt Du auch nichts anderes archivieren als das, was Du bekommen hast.

Sollte ich mich da irren, würden die Aufbewahrungspflichten für digitale Dokument vom Gesetz deutlich überspannt. In diesem Fall würde ich (wie bei mir auch jetzt) alles auf Papier machen.
 
stka schrieb:
Die Größ der Firma ist dabei völlig egal. JEDE Firma, selbst ein Freiberufler ist verpflichtet die geschäftlichen Mails genau so zu handhaben wie ein Geschäftsbrief. Deine Geschäftsbriefe in denen es um Preise, Angebote und sonstiges geht, muss du auch aufheben. Schau dir die Lösung von Heinlein an, die ist auf jeden Fall gesetzeskonform.
Hallo

Richtig egal welche Grösse deine Firma hat auch als Freelancer bist du dazu verpflichtet.

Die Heinlein Lösung die stka da vorschlägt halte ich auch für sehr wirkungsvoll ausserdem bürgt der Name schon für Qualität und auch ich überlege mir gerade dahin zu wechseln.
Danke für den Tipp.

Gruss

Friedel
 

abgdf

Guru
Das kommt mir alles sehr merkwürdig vor. Hab' dazu mal folgende Seiten gefunden:

http://www.law-blog.de/359/aufbewahrungsfristen-fuer-geschaeftliche-emails-teil-1/
http://www.law-blog.de/366/aufbewahrungsfristen-fuer-geschaeftliche-emails-teil-2/

Merkwürdig ist das deshalb, weil normale Email-Kommunikation im ASCII-Format ja nachträglich beliebig verändert werden kann. Die Aussagekraft dieser "Handelsbriefe" dürfte daher gegen Null gehen.
Sicher, aufbewahren muß man's bestimmt, aber die eigentliche Frage ist doch, ob man Echtheit von Absender und Inhalt irgendwie sicherstellen muß. Ohne das bringt die Aufbewahrungspflicht doch überhaupt nichts, aber ich bin sicher, daß auch diese "seriösen Programme" das nicht können. Denn es ist ja der Absender, der die Signatur benutzen müßte. Tut er das nicht, ist auch nicht rechtsverbindlich sichergestellt, daß er der Absender ist. Daran kann das Unternehmen, das die Email empfangen hat, doch überhaupt nichts ändern. Es wäre dann also verpflichtet, nicht ohne Bedenken irgendwas aufzubewahren. Bravo!
 
OP
S

spoensche

Moderator
Teammitglied
@/dev/null: Die Bundesnetzagentur hat mit den Signaturen nichts am Hut. Das müsste wenn vom BSI Zertifiziert werden.

Also das die e-Mail Aufbewahrung mindestens den selben Zeitraum, wie der Papierkram hat ist ja klar.
Deutsche bürokratische Gründlichkeit und da kann es ja nicht sein, dass man einfach auf die tausenden von Ordner los wird, also Ordner durch Storage ersetzen. ;)

Es ist eine sehr interessante Diskussion, die ich hier ins "Leben" gerufen habe. :)

Ich tendiere auch in Richtung Heinlein, aber der Thread sollte meiner Meinung nach trotzdem weitergeführt werden.

Ich habe noch eine informative Seite zum Thema gefunden. http://www.gdpdu-portal.com/
 

/dev/null

Moderator
Teammitglied
@spoensche:
Dann lies mal das hier.

Das BSI betreibt die "Verwaltungs-PKI des Bundes" (V-PKI). Kannst du unter anderem hier nachlesen. Und die Wurzelzertifikate der teilnehmenden Zertifizierungsstellen kannst du auch sehen. (Habe dabei festgestellt, dass sie da was "vergessen" haben ...)

Selbstverständlich gibt es da eine enge Zusammenarbeit, aber die zuständige Behörde für die QES ist (zumindest lt. ggw. Stand) die Bundesnetzagentur.


Ich schrieb ja "ich kenne mich mit den Anforderungen, die gesetzlich an die Archivierung von geschäftlichen E-Mails gestellt werden, nicht aus." Muss ich auch nicht, denn damit habe ich "Gott sei Dank" nichts zu tun.
Umso mehr weiß ich aus eigener Erfahrung, welche extrem hohen Anforderungen an ein Trustcenter gestellt werden, wenn diese für QES geeignete Zertifikate bereitstellen wollen (also "Zertifikatsdiensteanbieter", "ZDA"). Das ist wirklich jenseits von gut und böse! Und ich kenne auch die Anforderungen an für QES zugelassene Produkte. Um so höher ist meine Wertschätzung, wenn ein Unternehmen wie Heinlein etwas derartiges anbietet. Was ich da gelesen habe, kann ich einfach nur "perfekt" nennen.

Allerdings, und jetzt kommen wir wieder zur Praxis zurück, ob der "kleine Blumenladen nebenan" sich etwas derartiges leisten kann? Ob er sich überhaupt darüber Gedanken macht? Ob er überhaupt die gesetzlichen Anforderungen an "Elektronische Handelsbriefe" kennt? Oder weiß, dass es derartiges gibt?
Daher meine Bemerkung "==> An dieser Stelle sage ich mir, derartige Anforderungen machen einen kleinen Shop einfach kaputt."


Ich tummele mich ja schon etliche Jahre als Mod. im Thunderbird-Forum. Und es vergeht keine Woche, wo nicht irgend ein kleiner Shopbetreiber dort einen Aufschrei loslässt, dass seine sämtlichen Geschäftsmails "verschwunden sind". Meistens liegt das Problem "zwischen den Ohren", und wir zaubern die Mails wieder hervor. Aber einige nutzen IMAP ohne zu wissen (ohne vorher in unserer Anleitung nachgelesen zu haben!) dass bei IMAP die Mails auf dem Server gespeichert werden. Dann wird mal schnell bei diesem Provider gekündigt, weil ein anderer 2,30€ günstiger ist ... . (Keiner von diesen "Unternehmen" betreibt einen eigenen Mailserver. Sie nutzen einen ganz normalen und möglichst billigen Mailprovider. Manche speichern ihre Geschäftsmails auch bei einem Provider, dem ich freiwillig keine meiner persönlichen Daten anvertrauen würde ... .)
Kaum einer von denen macht sich überhaupt Gedanken über eine lokale Sicherung seiner Daten! Obwohl wir uns die Finger wundschreiben mit Anleitungen, wie das komplette Thunderbird-Nutzerprofil in ein Backup einbezogen wird. Wohlgemerkt, ich schreibe hier von Speicherung, Archivierung und Backup - kein einziges Wort von "revisionssicher"!
Selbstverständlich weise ich speziell nach Auftreten des Wortes "Geschäftsmail" usw. auf die gesetzlichen Anforderungen hin (ohne die User mit Fakten zuzuschütten). Manche schreiben "Oh, da muss ich mich aber informieren", manche schreiben nur "ÄHHHHHHHHHHHHHH?"
Ja, das ist die Praxis ... .

MfG Peter
 

stka

Guru
Mal etwas aus meiner Praxis bei meinen Kunden:
Ich rede dort immer mit Engelszungen, dass eine derartige Lösung vorhanden sein muss, aber kaum einer richtet so eine Lösung ein. Ich selber wäre auch dazu verpflichtet, habe es aber auch nicht :eek:ps: obwohl ich weiß das es sein müsste. Ich kenne auch "im Moment" noch keine Firma, die deswegen belangt worden ist. Aber irgendwann wird das passieren.
Die Lösung von Heinlein habe ich über die letzten Jahre verfolgt, da ich den Peer gut kenne und selber auch oft in Berlin beim ihm bin. Das Problem ist, dass die Mails zusammen mit allen Informationen so abgespeichert werden müssen, dass nichts veränderbar ist. An der Stelle kommt jetzt das Frauenhofer Institut ins Boot, denn die haben den Algorithmus entwickelt, der an der Stelle Verwendung findet. Es gibt, so weit ich weiß, nur zwei oder drei Algorithmen die überhaupt in der Lage sind das zu Leisten. Aus dem Grunde sind die guten Lösungen auch rar gesät und auch wohl kaum als reine Opensource-Lösung verfügbar.
Ich denke mal, dass das Thema in den nächsten Jahren immer wichtiger wird. Das habe ich alleine daran gesehen, was bei Heinlein am Cebit-Stand vor zwei Jahren los war, als die ihre Lösung das erste mal vorgestellt haben.
Nun es ist an jedem Unternehmer selber dafür zu sorgen, dass sein Mails archiviert werden. Aber ausdrucken und abheften ist auch keine Lösung
 

/dev/null

Moderator
Teammitglied
Ich schrieb ja auch schon, dass mir diese Lösung sehr gut gefällt. Und ich schrieb auch über die ggw. Praxis. Und ich denke, wir sind uns wohl einig, dass die (nun auch mir einigermaßen bekannten) Anforderungen den zitierten Blumenladen "tot machen würden".

Deshalb halte ich persönlich diese Anforderungen auch für überzogen.
Ich bin alles andere als ein Jurist, aber IMHO hätte man das auch "irgendwie" staffeln können.
Der "kleinste Blumenladen" muss gesetzlich gezwungen werden, seine "elektronischen Geschäftsbriefe" für x Jahre elektronisch zu archivieren.
Ob er sein komplettes Mailprofil extern vom Rechner speichert, auf DVD brennt, die o.g. Mails als .eml exportiert und auf DVD brennt, usw. sollte ihm überlassen werden. Wichtig ist, dass innerhalb der Frist diese Mails jederzeit "vorzeigbar" sind. => Und das mit einem Aufwand, der für die Größe des Ladens zumutbar ist.

Und ab einer bestimmten Größe "des Ladens" werden die Anforderungen hochgeschraubt. Es darf doch nicht sein, dass an ... den bewussten Laden ... die gleichen Anforderungen gestellt werden, wie zum Bleistift an die große Firma mit den "S" am Anfang und am Ende.

Hier ist meiner bescheidenen Nicht-Juristenmeinung die Verhältnismäßigkeit nicht gewahrt. Man muss doch auch den maximal möglichen Schaden betrachten, welcher durch das "Verschwinden" der zu speichernden Mails auftreten kann. Und da gibt es doch zwischen "Blumenladen" und Fa. "S." gewisse Unterschiede.
(Ich weigere mich aber immer noch, das Gesetz zu lesen, da es mich persönlich nicht tangiert. Mir reicht es, dass ich das gruselige SigG fast auswendig kenne. Für mich ist es eine der Ursachen, dass in D die el. Signatur nicht aus den Puschen kommt. Ein Gesetz "von Juristen für Juristen".
BTW: Grüße nach Mainz an Herrn S.!)

Ich könnte mir auch vorstellen, dass die Archivierung als eine Dienstleistung angeboten wird, wo alle Mails von einem (trusted) Dienstleister entweder gleich revisionsfähig gehostet und an den Kunden ausgeliefert, oder dieser die Mails im Auftrag des Kunden vom IMAP-Server des Providers abholt und "nur" gesetzeskonform archiviert. Zumindest wäre das eine Lösung für KMU ohne eigene Infrastruktur. (Wenn es diese Lösung nicht vlt. schon gibt?)

MfG Peter
 

stka

Guru
Auch der kleine Blumenladen, um bei dem Beispiel zu bleiben, muss dafür sogen, dass die echten Briefe für 10 Jahre aufgehoben werden. Änderungen an den Briefen dürfen da auch nicht stattfinden. Jetzt kommt die E-Mail und da ist das ganze nicht anders. Da es aber sehr einfach ist eine Mail so zu verändern, dass es hinterher keiner mehr sehen kann, im Gegensatz zum normalen Brief, ist natürlich hier die Anstrengung auch größer eine Änderung zu verhindern.
Daher wird jeder Selbständige das früher oder später machen müssen. Ich denke, dass sich für den Bereich bestimmt in den nächsten Jahren mehr Dienstleister finden werden die diese Aufgabe für kleine Betriebe erledigen werden.
Eine nachträgliche Signatur der Mail z.B. in dem Thunderbird und dann auf DVD sichern ist keine Lösung die gehen wird, denn die Mail kann ja dann vom Empfänger vor der Signierung geändert werden.
 

abgdf

Guru
stka schrieb:
Das Problem ist, dass die Mails zusammen mit allen Informationen so abgespeichert werden müssen, dass nichts veränderbar ist. An der Stelle kommt jetzt das Frauenhofer Institut ins Boot, denn die haben den Algorithmus entwickelt, der an der Stelle Verwendung findet.
Oh, das ist beachtlich!
Allerdings: Was, wenn der Absender keine Signatur einsetzt. Dann ist ja wie gesagt nicht bewiesen, daß die Mail überhaupt von ihm stammt.
Und außerdem: Kann der Empfänger, der weiß, das bei der Archivierung so ein "Veränderungshemmer" eingesetzt wird, den Email-Inhalt nicht gleich bei Empfang abändern?
Wahrscheinlich müßte gleich das Email-Programm die Unveränderbarkeit bewirken.

In meinem Bereich, bei der Kommunikation mit Gerichten und Behörden, kommt tatsächlich schon so ein spezielles Email-Programm (in Java) zum Einsatz:

http://www.egvp.de

Aber ich benutze das nicht, sondern Papier:
Johann Wolfgang von Goethe schrieb:
Denn was man schwarz auf weiß besitzt, kann man getrost nach Hause tragen.
Und ob so eine hohe Sicherheitsstufe wirklich für einen Blumenladen oder Internet-Shop sein muß, wage ich zu bezweifeln.
Mit einem gewissen Fälschungsrisiko wird man wohl leben müssen. Und veränderbare Emails haben eben nur eine geringe Beweiskraft, ähnlich wie digitale Fotos. Aber in den meisten Bereichen mag das genügen.

Gruß
 

abgdf

Guru
Mir fiel da noch ein: Wenn das Programm verhindern soll, daß der Anwender die Emails verändert, kann es nicht OpenSource sein: Denn dann könnte der (versierte) Anwender das Programm so abändern, daß es das Ändern der Emails eben doch zuläßt und daß es die Emails anschließend so archiviert, daß man die vorhergehende Änderung nicht mehr erkennt.
 

na-cx

Hacker
abgdf schrieb:
Mir fiel da noch ein: Wenn das Programm verhindern soll, daß der Anwender die Emails verändert, kann es nicht OpenSource sein: Denn dann könnte der (versierte) Anwender das Programm so abändern, daß es das Ändern der Emails eben doch zuläßt und daß es die Emails anschließend so archiviert, daß man die vorhergehende Änderung nicht mehr erkennt.
Ähm ... Closed-Source Software kann man auch verändern z.B. Patches/Cracks für Software. ;)
 
Oben