Gesetze über Gesetze
Compliance ohne E-Mail-Archivierung? Ein absolutes No-go für Energiedienstleister
Warum die E-Mail-Archivierung in die Compliance- und Sicherheitsstrategie von Energieunternehmen gehört
Von Philipp Inger, Lead Brand Content Writer von MailStore
Das Energiewesen muss sich eingehend mit Risikomanagement, Security Monitoring, den Umgang mit sicherheitsrelevanten Vorfällen sowie Business Continuity befassen – schließlich soll die Richtlinie die Netzwerk- und Informationssicherheit aller EU-Mitgliedsstaaten stärken.
Ein wichtiger Teil von NIS2 sind Sicherheitsaudits, welche künftig alle zwei Jahre durch die zuständigen Behörden durchgeführt werden. Da Energieunternehmen personenbezogene Daten sammeln, verarbeiten und speichern, unterliegen sie zudem den Vorgaben der EU-DSGVO, welche die Zweckbindung, Datenminimierung sowie Betroffenenrechte wie das Recht auf Auskunft oder Löschung regelt. Auch die datenschutzrelevante Compliance ist Gegenstand regelmäßiger Prüfungen. Für Sicherheitsaudits müssen Unternehmen deshalb alle notwendigen Daten vorlegen und zugänglich machen.
E-Mails nicht vergessen
Was in Sachen Informationssicherheit und Compliance jedoch häufig unter den Tisch fällt, sind E-Mails. Das ist jedoch alles andere als optimal. Denn ein beträchtlicher Teil der geschäfts-, vertrags-, datenschutz- und steuerrelevanten Korrespondenzen mit Mitarbeitenden, Kunden und Partnern findet heute über den elektronischen Postweg statt. Das Energiewirtschaftsgesetz sieht gemäß § 5a vor, dass Energieunternehmen Transaktionsdaten fünf Jahre speichern. Daneben greifen auch in der Energiewirtschaft die GoBD, die Unternehmen dazu verpflichten, E-Mail-Daten vollständig, revisionssicher und über einen gesetzlich festgelegten Zeitraum hinweg aufzubewahren.
Das Datenverlustrisiko ist allgegenwärtig
Energieunternehmen, die im Rahmen eines Audits trotz der Vorgaben nicht alle notwendigen Informationen vorweisen können, riskieren, dass Behörden von einem Verstoß ausgehen. Das kann horrende Bußgelder nach sich ziehen. Und als wäre der Regulierungsdruck nicht schon hoch genug, gefährden technisch bedingte Ausfälle, aktive Manipulations- und Löschversuche sowie Cyber-Angriffe die vollumfängliche Compliance. Solche Ereignisse können nicht nur den Betrieb einschränken oder sogar vollständig lahmlegen, sondern auch zu einem erheblichen Datenverlust führen.
Wer im Falle einer Systemstörung den Zugang zu Daten nicht ermöglichen kann oder Daten sogar unwiederbringlich verloren gehen, muss neben finanziellen Einbußen und juristischen Folgen auch mit einem Reputationsschaden rechnen. Ein Bericht von IBM zeigt, dass Cyberangriffe auf Energieunternehmen besonders verheerend sind, da sie nicht nur finanzielle Verluste verursachen, sondern auch das Vertrauen der Kunden erheblich beeinträchtigen können. Mit Blick darauf, dass zudem etwa 78 Prozent der Verbraucher laut einer EY-Umfrage bereit sind, bei einem besseren Angebot den Energieversorger zu wechseln, könnte ein solcher Vertrauensbruch also zu einem erheblichen Kundenverlust führen. Umso wichtiger ist es, dass Energieunternehmen sowohl ihre IT-Systeme als auch alle geschäftskritischen, steuerrelevanten und personenbezogenen Daten – einschließlich des E-Mail-Bestandes – sicher verarbeiten und gesetzeskonform aufbewahren.
Keine E-Mail-Archivierung, keine vollständige Compliance
Für die revisionssichere, lückenlose und langfristige Aufbewahrung relevanter E-Mails ist allerdings zu beachten, dass ein herkömmliches Backup-System, das Kopien der Nachrichten, Anhänge und E-Mails-Server auf einem externen Medium speichert, alleine nicht ausreicht. Diese Methode eignet sich vielmehr für die Notfallwiederherstellung (Disaster Recovery), da das System die Daten nur kurz- bis mittelfristig aufbewahrt. Das Risiko, dass E-Mails zwischen den Backup-Zyklen gelöscht oder verändert werden bzw. auf anderem Wege verloren gehen, ist groß.
Stattdessen sollten Energieunternehmen erwägen, ihr Backup-System um eine professionelle E-Mail-Archivierungslösung zu ergänzen. Diese sorgt dafür, dass der gesamte E-Mail-Datenbestand vollständig, langfristig und vor Manipulations- und Löschversuchen geschützt aufbewahrt wird. Dafür legt sie Kopien aller ein- und ausgehenden Nachrichten in einem externen Archiv ab. Dieser Speicher ist selbst im Falle einer Störung zugänglich, was die Betriebskontinuität gewährleisten soll. Darüber hinaus lässt sich manuell einstellen, wann E-Mail-Daten gesetzeskonform vom Server und aus dem Archiv gelöscht werden sollen – zum Beispiel, um auch das Speichervolumen des Servers zu schonen.
Volltextsuch- und Extrahierungsfunktionen machen es im Rahmen von Sicherheitsprüfungen besonders einfach, den Bestand zu durchsuchen und zur Verfügung zu stellen. Verfügt die E-Mail-Archivierungslösung zusätzlich über Self-Service-Funktionen, können Mitarbeitende Daten selbstständig aus ihren eigenen Archiven wiederherstellen, ohne die IT-Abteilung involvieren zu müssen. Jedoch sollten sie aus Sicherheits- und Compliance-Gründen nur auf die notwendigen Informationen zugreifen dürfen.
E-Mail-Archivierung als zentraler Bestandteil der Compliance-Strategie
Auch wenn sich Energieunternehmen mit zahlreichen komplexen Regulierungen und gesetzlichen Anforderungen herumschlagen müssen, ist das noch lange keine Entschuldigung, die Sicherheit von geschäftlichen E-Mail-Korrespondenzen und folglich die Compliance aufs Spiel zu setzen. Als Ergänzung zum Backup wirkt eine E-Mail-Archivierungslösung nicht nur dem Datenverlust entgegen, indem sie die vollständige, revisionssicher und langfristige Aufbewahrung aller relevanten E-Mail-Daten garantiert. Sie unterstützt auch die Compliance- und Sicherheitsstrategie von Energieunternehmen und sorgt im Falle von NIS2-, DSGVO- und Steuerprüfungen für eine rechtssichere Grundlage. (MailStore Software: ra)
eingetragen: 04.09.24
Newsletterlauf: 25.11.24
MailStore: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.