Siehe Wikipedia, Datensicherheit:
Verbindlichkeit/Nichtabstreitbarkeit (engl. non-repudiation): Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist.[2] Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar ist sie beispielsweise durch elektronische Signaturen. [3]
Beispiel aus der Praxis:
Ich habe mal für ein Unternehmen gearbeitet, in dem eine ganz zentrale Kompetenz das Prüfen und Zertifizieren von Konstruktionsplänen ist. Der gesamte Prozess wurde elektronisch abgebildet. Das heißt, dass die Konstruktionspläne elektronisch reinkamen, elektronisch bearbeitet und archiviert wurden.
Wir reden über Konstruktionen im 3-stelligen Millionenbereich. Stell dir vor, 3 Jahre später kracht irgendwas in der Konstruktion, eine 200 Millionen Investition ist im xxxxx und Umweltschäden von 500 Millionen kommen noch on Top. Der Betreiber ist sicherlich versucht, die Verantwortung weiterzuschieben und denkt sicherlich dadran, die Verantwortung der zertifizierenden Stelle in die Schuhe zuschieben - "Ihr habe Mist gebaut, wir haben uns auf Euch verlassen, die Konstruktion war nicht sicher, Ihr müßt zahlen".
Wenn ich jetzt einfach so eine Datei ziehe und sage "So war es, das kann gerne eine dritte unabhängige Stelle noch mal prüfen, unser Arbeit war in Ordnung, die Konstruktion war sicher und ihr habt Mist im Betrieb gebaut" habe ich ein Problem: Ich muß beweisen können, dass dieses der Plan war, der eingereicht und zertifiziert habe. Es könnte ja sein, dass ich jetzt - nach der Katastrophe - das ganze noch mal geprüft habe, Fehler gefunden und beseitigt habe.
Um die Beweisbarkeit sicherzustellen, wurde ein Hash aus dem Dokument gezogen, an eine unabhängige Firma geschickt, dort mit einem Timestamp versehen. Die Daten Hash, Timestamp wurden bei uns in das Dokument eingebunden und noch mal bei der unabhängigen Firma gespeichert. Der Hash ist jederzeit reproduzierbar und einmalig. So kann immer nachgewiesen werden, das genau diese Datei vor 5 Jahren Basis für die Prüfung war und nicht nachträglich verändert wurde.
Und natürlich immer ein wichtiger Punkt: Buchhaltung.
Du mußt als Firma viele Dokumente über Jahre aufbewahren. Rechnungen z.B. 10 Jahre nach Ablauf des Jahres, in dem die Rechnung erstellt wurde. Ich habe mal bei (einer anderen) Firma gearbeitet, die gerade dabei war, das Archiv von physisch auf elektronisch umzustellen. Die hatten 40.000 m² Archivfläche!!!! War ne größere Firma, der Konzern war unter den 10 größten Arbeitgebern der Welt.
Wer das Finanzamt kennt, weißt, dass scannen und auf CD brennen nicht reicht... Es muß auch hier sichergestellt werden, das zum einen nachgewiesen werden kann, dass es sich um die Original-Dokumente handelt und das nachträglich nichts verändert wurde.
Darüber hinaus müssen natürlich nicht nur die Dokumente rechtssicher elektronisch archiviert werden sondern auch andere Sachen - halt die komplette Buchhaltung.
In der Anfangszeit der Elektronifizierung der Buchhaltung war das Finanzamt z.B. mit Archivierung auf WORMS zufrieden - einmal beschreibbar, oft auslesbar (write once read multiple). Die Integrität der Daten wurde durch Prüfung verschiedener Datenträger gesichert - in der Buchhaltung ist sehr viel von einander abhängig, eine einzelne Buchung läuft über Zahlungskonten, Kreditoren oder Debitorenkonten, Monatsabschluß, Jahresabschluß, dazu noch beide Rechnungskreise etc. pp. Hier nachträglich eine Änderung einzupflegen und die Integrität diese ganzen Daten nachzupflegen ist eigentlich unmöglich.
Heute reicht das dem Finanzamt nicht mehr. Auch hier wird mit Hashs und Timestamps gearbeitet. Es gibt sogar spezielle "Datentresore", die entweder echt (True WORM) oder über Software (Soft WORM) die "einmal schreiben, oft lesen"-Richtlinie sicherstellen.
Noch ein Bespiel: Email
Aufbewahrungsfristen nach Handelsrecht HGB §257 Abs. 1
10 Jahre: Handelsbücher, Inventare, Jahresabschlüsse, Organisationsunterlagen usw.
10 Jahre: Buchungsbelege
6 Jahre: Empfangende Handelsbriefe, Geschäftsbriefe (als Brief, Fax, Email..)
6 Jahre: Abgesandte Handels-, Geschäftsbriefe (als Brief, Fax, Email usw.)
Als Unternehmen muß man also sicherstellen, das auch geschäftliche Emails 6 Jahre aufbewahrt werden. Es muß nicht jede Email aufbewahrt werden, z.B. "LOL, schau Dir mal das Bild, man hat die gxxxx Txxxxx" sicher nicht - ist auch besser so
. Faustregel: Alle, was man als Brief in einen Aktenordner abheftet, weil es in irgendeine Richtung relevant ist (Angebot, Auftrag, Klärung von Geschäftsfällen etc.pp.) muß auch als eMail archiviert werden.
Einstieg ist erstmal: Mails werden nie gelöscht. Wenn Du auf einem Firmenaccount eine Mail löschst, wird diese auf dem Server als gelöscht gekennzeichnet, Dir nicht mehr angezeigt, ABER DA IST SIE IMMER NOCH! Es gibt inzwischen viele Firmen, die sich auf Email-Archivierung spezialisiert haben und Dienstleistungen oder Produkte in diesem Bereich anbieten. Es muß nämlich nicht nur archiviert werden, sondern die Mails müssen in vernünftiger Zeit auffindbar oder vorzeigbar sein. Alles in einen elektronischen Eimer schmeißen und Deck drauf geht also nicht. Die Mails müssen strukturiert und durchsuchbar archiviert werden.
Ansonsten gelten alle o.g. Punkte: Beweisbarkeit, dass das die Email ist, die vor 3 Jahren gekommen ist usw.
Ich hoffe, ich konnte Dir ein paar Anregungen geben.
