Archivierung – Anforderungen sicher erfüllen

Insentis aktuell - 2005/04

Dr. Dietmar Posseldt

Anforderungen an Archivlösungen
Die Frage, wie Unterlagen für spätere Recherchen sicher und so aufbewahrt werden können, dass ihr Originalzustand erhalten bleibt und sie anhand nachvollziehbarer Ordnungsprinzipien abgerufen werden können, ist uralt. Mit der Informationstechnik haben sich Datenmengen und –vielfalt erhöht und gleichzeitig die Möglichkeiten zugenommen, die abgelegten Daten zu manipulieren. Hieraus resultieren zwei wesentliche Forderungen an die elektronische Archivierung:

  • Gewährleistung der Lesbarkeit über Jahrzehnte hinweg trotz wesentlich kürzerer System-, Format- und Technologiewechselzyklen
  • Erhalt und Nachweis der Urheberschaft und Korrektheit der Daten

Lösungsbestimmende Fragestellungen
Welche Fragestellungen sind bei der Auswahl oder Weiterentwicklung von Archivlösungen zu beachten?

Neben den innerbetrieblichen Anforderungen bestimmen zunehmend gesetzliche Anforderungen wie die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen), welche Daten wie archiviert werden müssen. Aus Sicht GDPdU ist das Datum des 1.1.2002 entscheidend, ab dem die maschinelle Auswertbarkeit archivierter Daten sicherzustellen ist.

Für jedes Unternehmen ist es darum unerlässlich, die zu archivierenden Daten zu identifizieren und die Anforderungen an die Archivierung zu definieren, um eine sichere Auswahl einer zukunftssicheren und flexiblen Archivierungslösung vornehmen zu können.

Sind in der Historie Archivierungslösungen zumeist auf das Speichern (und die kontrollierte Freigabe nach dem Verfallsdatum) von Daten für Buchhaltungs-, Transaktions-, und Personalvorgänge zugeschnitten, so werden zunehmend Daten der verschiedensten Anwendungen aus der Briefschreibung, e-mail, Entwicklungs- und Produktionsprozessen archiviert. Hier bestehen fließende Übergänge zum Outputmanagement und zum Dokumentenmanagement eines Unternehmens.

Eine wichtige, heute häufig noch nicht realisierte Problemstellung ist der Nachweis, dass die Daten seit ihrer Abspeicherung nicht verändert wurden. Hierfür werden heute defacto nur zwei Möglichkeiten genutzt:

  • Die Speicherung auf WORM (write once, read many, d.h. nach dem Beschreiben nicht änderbar oder löschbar)
  • Die parallele Speicherung von Syslogs u.ä. auf dem archivierenden System, um bei eventuellen Zweifeln, nachweisen zu können, dass es keine Prozesse gab, die die Daten verändert haben könnten.

Der naheliegendsten Methode, der Kennzeichnung mit einer digitalen Signatur, steht ihre flächendeckende Implementierung noch bevor.

Der Problematik, dass steuerrelevante gespeicherte Daten nach GDPdU maschinell auswertbar sein müssen, wird noch nicht ausreichend Beachtung geschenkt. Unternehmen hoffen dabei gerne auf die Zugriffsart Z1 (s. Tabelle: Zugriffsarten nach GDPdU). Sie verkennen dabei, dass das Finanzamt die Zugriffsart frei bestimmen kann. Das erzeugt bei Z2 für das Unternehmen erheblichen internen Aufwand für die Zusammenstellung der gewünschten Daten. Bei Z3 müssen die Daten in maschinenlesbare Form aufbereitet werden. Viele Unternehmen verzeichnen jetzt regelmäßig Projektaktivitäten zur GDPdU-konformen Umwandlung der Daten. Dies könnte bereits im Prozess der Archivierung vorgenommen werden

Zugriffsarten nach GDPdU

Zugriffsart nach GDPdU

Quelle: Schreiben des BMF vom 16.7.2001, Bundessteuerblatt Teil1, S. 415

Z1 (Online-Zugriff)

Unmittelbarer Zugriff auf das System
des zu Prüfenden (vor Ort)

Z2 (mittelbarer Zugriff)

Der zu Prüfende wertet nach den Vorgaben des Prüfers aus und übergibt die Ergebnisse an den Prüfer

Z3 (Datenträgerüberlassung)

Überlassung der Unterlagen an den Prüfer auf maschinenlesbaren Datenträgern

Ein wichtiger Aspekt bei der Auswahl von Archivlösungen ist die Wahl des richtigen Verfügbarkeitslevels. Wegen der Brisanz der langzeitarchivierten Daten werden oft Hochverfügbarkeitslösungen implementiert. Deshalb muss nicht zwingend das gesamte System völlig redundant gehalten werden. Die Datenintegrität darf zweifellos auch durch einen eventuellen Ausfall nicht verloren gehen. Für den ständigen Zugriff auf die Daten können ausfallsbedingte Wartezeiten durchaus tolerabel sein. Bezüglich der Verfügbarkeit beim Einstellen der Daten muss ein Inputprozess existieren, der bei einem Ausfall nicht vollständig übernommene Daten erkennt und nachträglich in das Archiv übergibt.

Ein weiterhin unterschätztes Problem ist die bequeme Anzeige der Archivinhalte bei der Recherche. Viele Systeme können nur durch Zusatztools, die vom Nutzer individuell zu konfigurieren sind, die Daten außerhalb der ursprünglich produzierenden Anwendung lesbar machen. Zwei Problemstellungen sind zu beachten:

  • Die Darstellung in Standardbrowsern
  • Die korrekte Darstellung von Dokumenten aus Anwendungen historischer Release-Stände

Heute besteht oft die Möglichkeit, individuell durch den Nutzer gesteuert Dokumente (z.B. von Office-Anwendungen) zur Archivierung auszuwählen und abzulegen. Hierbei besteht ohne stringente Archivierungs-Policy (wer archiviert was und wie lange) die Gefahr eines nicht prognostizierbaren Archivwachstums.

Unterstützung durch Insentis

Die Auswahl der für die jeweilige Situation sinnvollsten Archivlösung, die Gestaltung der sich darum gruppierenden Prozesse, die Migration auf zukunftssichere Archivlösungen oder deren Weiterentwicklung ist eine Aufgabe, zu der Insentis gerne Unterstützungsleistungen anbietet. Unsere Beratungsleistungen hierzu sind:

  • Anforderungsanalyse (Dokumenten-, System-, Funktions-, Anwendungs- und Prozessanalyse)
  • Technologie- und Systemkonzeption
  • Migrations- und Betriebskonzeption
  • Sicherheitsberatung
  • Ausschreibungsmanagement
  • Projektmanagement

Download   pdf

 

Komplexität Managen

„Die Schwerpunkte der Insentis sind die Strategieentwicklung, das persönliche Coaching und das gezielte Managen von großen Projekten in komplexen Situationen.“

Dr. Roland Schütz, EVP Information Management & CIO Deutsche Lufthansa AG über die Zusammenarbeit mit der Insentis GmbH


Themen im Fokus