© carlos castilla/shutterstock.com

Freie Sicht in der Cloud: Darauf sollten Unternehmen bei E-Mail-Cloudlösungen achten

Die Migration von E-Mails in Cloud-Lösungen wie Google Apps for Work oder Office365 ist inzwischen relativ einfach. Selbst anspruchsvolle Projekte dauern selten länger als drei Monate und Projektplanüberschreitungen sind eher die Ausnahme. Doch so einfach der Einstieg auch ist, es gibt einige nicht zu unterschätzende Anforderungen und Risiken, die bei der Projektplanung von Anfang an berücksichtigt werden sollten.

Die ersten Erfahrungen mit Cloudangeboten machen Anwender in der Regel mit kostenlosen privaten E-Mailkonten. Sie sind einfach in der Einrichtung, problemlos in der Bedienung und zuverlässig in ihrer Funktion. Doch es wäre ein Trugschluss, diese Attribute auch auf Cloud-E-Mailservices im Unternehmenskontext zu übertragen, da für eine derartige Nutzung weitaus komplexere Anforderungen bestehen. Zwar ist die Migration in die Cloud an sich im Allgemeinen sehr einfach. Wenn Unternehmen sich allerdings nicht von vornherein mit rechtlichen Anforderungen, Kostenfragen und internen Richtlinien auseinandersetzen, laufen sie Gefahr, sich in der Cloud zu verlieren.

Zentrale Anforderung: Rechts- und revisionssichere E-Mailarchivierung

Den wesentlichen Unterschied zwischen privater und geschäftlicher Nutzung von Cloud-E-Mailservices stellt die Anforderung der Rechtssicherheit dar. So bequem E-Mails auch sind, als Teil der Unternehmenskommunikation gelten sie rechtlich als geschäftsrelevante Dokumente und müssen daher wie andere Handelsbriefe ordnungsgemäss aufbewahrt werden. Daraus ergibt sich eine Aufbewahrungsfrist von sechs Jahren ab dem Ende des Kalenderjahres in dem die E-Mail gesendet oder empfangen wurde. Für Korrespondenz, die steuerrelevante Unterlagen der Buchhaltung betrifft, wie Rechnungen, Buchungen, Bilanzen und Organisationsunterlagen gelten sogar zehn Jahre.

Weiterhin sollte nicht ausser Acht gelassen werden, dass die Grenze zwischen beruflichen und privaten E-Mails zunehmend verschwimmt. Unternehmen, die von ihren Mitarbeitern erwarten, Brands und Produkte auch in den sozialen Medien oder auf Twitter im Gespräch zu halten, kommen nicht umhin von einem generellen Verbot privater Korrespondenz abzusehen und private oder zumindest halbprivate E-Mails zuzulassen. Private E-Mails dürfen allerdings nur mit expliziter Zustimmung des Mitarbeiters gespeichert werden.

Für die Archivierung bedeutet dies, dass es Nachrichten gibt, die aufbewahrt werden müssen, solche, die aufbewahrt werden können und andere, die auf keinen Fall gespeichert werden dürfen. Ein Szenario, dass die Regelmechanismen der meisten Cloud-Angebote heute schlicht überfordert. Bei der Entscheidung für einen Cloudanbieter sollte also die Fähigkeit seiner Lösung, den rechtlichen Anforderungen gerecht zu werden, im Mittelpunkt stehen. Dabei sollten Unternehmen sich auch darüber bewusst sein, dass die Migration des E-Mailarchives bei einem späteren Wechsel zu einem anderen Anbieter schwierig werden kann. Tatsächlich ist dies eine der häufigsten Ursachen für einen Vendor Lock-in.

Vorsicht: Kosten können sich schnell nach oben schrauben

Ein weiterer Aspekt, über den Unternehmen genau nachdenken sollten, ist, ob die Kosten ihrer Cloudlösung in einem vernünftigen Verhältnis zum tatsächlichen Nutzen stehen. Einer der grossen Vorteile der Cloud ist unbestritten die Fähigkeit, Ressourcen nach Bedarf anzupassen zu können. Was für die Bewältigung saisonaler Belastungsspitzen wunderbar funktionieren mag, kann ins Gegenteil umschlagen, wenn es um E-Mailkonten und die damit verbundenen Archive geht.

Ein Beispiel: Cloudservices haben meist eine nutzergebundene Preisgestaltung. In der Praxis bedeutet dies: Die Gebühr für einen einzelnen Nutzeraccount wird solange in Rechnung gestellt, wie dieser im Active Directory geführt wird. Dies umfasst auch E-Mailaccounts ehemaliger Mitarbeiter oder von Mitarbeitern, bei die ihren Nachnamen geändert haben, ein.

Wer also in bei der Kostenplanung davon ausgeht, dass die Zahl der im Archiv geführten Accounts genau der Anzahl der gegenwärtig aktiven Mitarbeiter entspricht, kann sich unter Umständen schwer verrechnen. Laut Angaben der Unternehmensberatung Hay Group lag die Mitarbeiterfluktuation in deutschen Unternehmen 2013 bei 14 Prozent und wird bis 2018 auf geschätzte 15,2 Prozent angestiegen sein. Im europäischen Durchschnitt liegt sie bei 18,3 Prozent. Demzufolge ist der Aufbau eines E-Mailarchivs immer auch eine Gleichung mit einer Unbekannten, da die kostenpflichtigen Accounts, die Anzahl der aktiven Mitarbeiter um ein Vielfaches übersteigen kann.

Um drohende und unverhältnismässig hohe Kosten zu vermeiden, sollten Unternehmen am besten zum Zeitpunkt ihrer Cloud-Migration ein separates E-Mailarchivierungssystem von einem Drittanbieter implementieren.

Standard ist nicht gleich Standard

Unternehmen geben sich derzeit grosse Mühe, durch das Design ihrer IT-Infrastruktur einen Vendor Lock-in zu vermeiden. Dieses Bestreben gilt auch für die Cloud. Leider können sich Unternehmen nicht blind auf die Annahme vertrauen, dass ein neuer Cloudanbieter dieselben Standards und Protokolle wie der aktuelle Anbieter unterstützen wird. Die Gefahr eines Cloud Lock-ins besteht durchaus.

So genannte Industriestandards sind meist ein Resultat von Verbreitung und Marktanteilen. Demgegenüber stehen offene Protokolle oder Standards, die von Normungsorganisationen definiert wurden. Mitbewerber unterstützen diese in der Regel erst dann, wenn es unvermeidlich ist. Beispielsweise unterstützt Microsoft Azure mittlerweile auch AMQP (Advanced Message Queuing Protocol) sowie das Azure Active Directory die meisten Identitätsprotokolle und Token-Formate.

Unternehmen sollten sich daher frühzeitig ein Bewusstsein für die Problematik von Industriestandards entwickeln, da mehr und mehr Anbieter eine „embrace and extend“-Strategie verfolgen, bei der die Standards um proprietäre Erweiterungen ergänzt werden, um verbesserte Funktionalität zu ermöglichen. Das Phänomen der Browserkriege in den frühen 2000er-Jahren wiederholt sich nun in der Cloud.

Hybrid ist die Realität

Die Migration eines kompletten E-Mailarchivs zwischen zwei Cloud-basierten Lösungen wie zum Beispiel Google Apps for Work und Office 365 kann schnell zur Mammutaufgabe werden, wenn die Migration entsprechend rechtlicher Anforderungen vollzogen werden muss. Auch Unternehmen, die ein derartiges Szenario zunächst für unwahrscheinlich halten, sollten es dennoch in ihren Überlegungen berücksichtigen. Es gibt zahlreiche interne und externe Faktoren, die eine Cloud-to-Cloud-Migration erforderlich machen können, beispielsweise eine Unternehmensübernahme- oder -fusion. Mit einer professionellen E-Mailarchivierungslösung, die unabhängig von dem genutzten E-Mailclient arbeitet, ist es möglich, diverse Anforderungen bei der Datenspeicherung zu erfüllen, selbst wenn das System, an das die Lösung angebunden ist, sich ändert.

Die Fähigkeit, eine derartige Migration bewältigen zu können, sollten Unternehmen auf der Suche nach einer E-Mailarchivierungslösung in ihrem Anforderungskatalog ganz weit oben ansiedeln. In vielerlei Hinsicht sind Public Clouds der kleinste gemeinsame Nenner für die meisten Nutzer. Daher besteht neben der Archivierung auch in den Bereichen Verschlüsselung, Sicherheit und Integration mit anderen Anwendungen die Notwendigkeit massgeschneiderter Ergänzungen.

Letztendlich hat jedes Unternehmen individuelle Anforderungen, weshalb in der Realität meist ein Mix aus Public und Private Clouds sowie On-Premises-Systeme zum Einsatz kommt. Damit die Cloud ihnen nicht langfristig die Sicht vernebelt, sollten Unternehmen von vornherein auf eine E-Mailarchivierungslösung setzen, die reibungslos mit und auf den verschiedenen Systemen arbeitet. Dies gewährleistet auch künftig Unabhängigkeit und Flexibilität angesichts sich ändernder Datenschutzstandards, Preismodelle oder Unternehmensentwicklungen.

Stefan_Schachinger_BarracudaAutor: Stefan Schachinger, Consulting System Engineer (Data Protection) Barracuda Networks

%d Bloggern gefällt das: