Implementierung einer revisionssicheren E-Mail-Archivierung

[flash19]

 

Ich würde mich freuen, wenn ihr mir Feedback geben würdet! FACHINFORMATIKER SYSTEMINTEGRATION

Da ja in der neuen AO 5 Stunden hinzugekommen sind, habe ich mich für ein Projekt entschieden, welches einen zusätzlichen Augenmerk auf den IT-Grundschutz richtet.

Hatten wir in der Berufsschule nämlich etwas intensiver behandelt.

 

1.    Projektbezeichnung
Implementierung einer revisionssicheren E-Mail-Archivierung

1.1    Projektbeschreibung

Das folgende Projekt beinhaltet die Implementierung einer revisionssicheren E-Mail-Archivierung für Konten, welche über Microsoft Exchange 2019 angebunden sind.
Hierbei sollen zudem vollständig die Schutzziele der Informationssicherheit und gesetzliche Vorschriften eingehalten werden.

1.2    Ist-Analyse

In der aktuellen Umgebung vom Kunden werden aktuell eingehende und ausgehende E-Mails nicht archiviert. Hierbei werden 80 Postfächer produktiv genutzt. Der E-Mail-Server nutzt Enterprise-CALs und durch eine Backup-Software wird täglich eine Sicherung erstellt. Ein Archivierungssystem ist somit nicht vorhanden. Bei Ausscheiden eines Mitarbeiters erhalten bereits eingestellte oder auch neue Mitarbeiter .pst-Dateien vom ehemaligen Mitarbeiter zugewiesen. Aufgrund des hohen Schriftverkehrs wachsen die Postfachdatenbanken enorm, was Performanceeinbußen mit sich zieht.

2.    Zielsetzung

Für den Kunden soll ein geeignetes Produkt evaluiert und implementiert werden, welches eine revisionssichere E-Mail-Archivierung gewährleistet und möglichst ressourcenschonend ist. Das Archivieren der E-Mails soll zudem automatisiert ablaufen, um die Benutzerfreundlichkeit für den Endanwender zu erhöhen. Um Fluktuation entgegenzuwirken, sollen Postfächer durch ehemalige Mitarbeiter einfach durchsuchbar sein. Auch soll es möglich sein, versehentlich gelöschte E-Mails wiederherstellen zu können, falls diese weiterbearbeitet werden müssen. Zudem soll durch das Archivieren die Speicherkapazität vom E-Mail-Server erhöht werden. Damit sollen die Postfachdatenbanken verkleinert werden, um eine optimale Performance sicherzustellen.
Die vollständige Umsetzung des Projekts soll die rechtlichen Anforderungen in Bezug auf Vollständigkeit, Unveränderbarkeit, Nachvollziehbarkeit, Richtigkeit und Ordnung erfüllen. Durch diverse Klassifizierungen vom E-Mail-Verkehr wird ein Archivierungskonzept entwickelt, welches zudem revisionssicher und datenschutzkonform zugleich ist.
 

 

3.    Projektphasen mit Zeitplanung

      Analysephase
o    Ist-Analyse (1h)
o    Soll-Konzeption (2h)

      Planungsphase
o    Anforderungen einer revisionssicheren E-Mail-Archivierung (0,5h)
o    Produktrecherche (2h)
o    Nutzwertanalyse (1,5h)
o    Anforderungen des evaluierten Produkts (0,5h)
o    Ressourcenplanungen (1h)
o    Wirtschaftlichkeitsanalyse (1h)
      IT-Grundschutz - BSI
o    Schutzbedarfsanalyse (2h)
o    Datenschutz (3h)
o    Compliance-Anforderungen (3h)    

      Realisierungsphase
o    Implementierung des Produktes (2,5h)
o    Erweiterte Konfigurationseinstellungen innerhalb des Produkts (3,5h)
o    Soft-/Hardwareanpassungen außerhalb des Produkts (2h)
o    Funktionsüberprüfungen (3h)

      Abschlussphase
o    Vergleich vom Ist- und Sollzustand (1h)
o    Erstellung der Projektdokumentation (7h)
o    Schulungsunterlagen (2h)
o    Abnahme vom Projekt (1h)
 

 

 

Bearbeitet 4. Januar 2023 von flash19
Korrektur

[ickevondepinguin]

vor einer Stunde schrieb flash19:

Hierbei sollen zudem vollständig die Schutzziele der Informationssicherheit und gesetzliche Vorschriften eingehalten werden.

Welche genau?

vor einer Stunde schrieb flash19:

Um Fluktuation entgegenzuwirken, sollen Postfächer durch ehemalige Mitarbeiter einfach durchsuchbar sein

Aha, die ehemaligen MA sollen also Postfächer durchsuchen dürfen? Bitte richtig stellen.
Sobald das geschehen ist wird die Kritik aus Richtung ( @charmanta ) kommen, auf welcher Grundlage die hinterbliebenen MA das dürfen.

vor einer Stunde schrieb flash19:

Durch diverse Klassifizierungen vom E-Mail-Verkehr wird ein Archivierungskonzept entwickelt, welches zudem revisionssicher und datenschutzkonform zugleich ist.

Auch hier wieder Datenschutz. Diesmal beim Namen genannt. In Einklang mit den Schutzzielen ist dieser Aspekt somit entsprechend auszuarbeite.

Ansich klingt es ansonsten spannend und genehmigungsfähig aus meiner Sicht.

[flash19]

vor 35 Minuten schrieb ickevondepinguin:

Welche genau?

 

Dann würde ich das mit einem umformulierten Satz ergänzen:

Hierbei sollen zudem vollständig die Integrität, Verfügbarkeit und Vertraulichkeit gewährleistet werden, welche die Schutzziele der Informationssicherheit darstellen. Zudem müssen auch die gesetzliche Vorschriften vom BDSG, EU-DSGVO, HGB und GoBD eingehalten werden.

 

 

 

vor 35 Minuten schrieb ickevondepinguin:

Welche genau?

Aha, die ehemaligen MA sollen also Postfächer durchsuchen dürfen? Bitte richtig stellen.
Sobald das geschehen ist wird die Kritik aus Richtung ( @charmanta ) kommen, auf welcher Grundlage die hinterbliebenen MA das dürfen.

Richtigstellung wäre i.d.F.:

Um Fluktuation entgegenzuwirken, sollen Postfächer für firmenrelevante Ereignisse von ehemaligen Mitarbeitern von aktuell bestehenden Mitarbeitern einfach durchsuchbar sein. 

(Dadurch, dass dort die private Nutzung der Mail-Adressen untersagt ist und alle Mails unternehmensrelevanten Bezug haben, wäre das nach meinem Verständnis so zulässig.)

Wären diese Umformulierungen so in Ordnung?

Ansonsten danke ich dir für dein Feedback!

Bearbeitet 4. Januar 2023 von flash19

[charmanta]

vor 20 Minuten schrieb flash19:

BDSG, EU-DSGVO, HGB und GoBD

und mit dem Kommentar lenkst Du die Prüfer spätestens in das Fachgespräch zu Paragraphen und deren Verständnis

Wenn ICH die Fragen nicht stellen würde ( ich bin vermutlich eh nicht da ) dann beissen die Kollegen beim IT Grundschutz sicher mal zu ... auch ein spannendes Thema

GoBD wäre auf jeden Fall gekommen

[flash19]

vor 30 Minuten schrieb charmanta:

und mit dem Kommentar lenkst Du die Prüfer spätestens in das Fachgespräch zu Paragraphen und deren Verständnis

Wenn ICH die Fragen nicht stellen würde ( ich bin vermutlich eh nicht da ) dann beissen die Kollegen beim IT Grundschutz sicher mal zu ... auch ein spannendes Thema

GoBD wäre auf jeden Fall gekommen

Hallo Charmanta,

danke für die Rückmeldung.

Wäre das denn deiner Meinung nach auch ein zulassungsfähiges Thema oder sollte ich eher die Finger davon lassen?

Wenn ja, gäbe es nach dir noch Anpassungen, die ich tätigen müsste?

Letztlich sind das ja Gesetze bzw. Vorschriften, die mit dem Thema einhergehen.

Bearbeitet 4. Januar 2023 von flash19

[charmanta]

Du solltest einfach nur gut in den Rechtsgrundlagen schwimmen können wenn Du sie erwähnst

Das Thema per se ist grenzwertig, da das auch "einfach" erschlagen werden kann. Wenn Du wirklich wertfrei 3 unterschiedliche Ansätze ! bewertest und der Hauptteil der Zeit für die Analyse und Auswahl verwendet wird fänd ich das ok.

vor 2 Stunden schrieb flash19:

o    Soll-Konzeption (2h)

      Planungsphase
o    Anforderungen einer revisionssicheren E-Mail-Archivierung (0,5h)
o    Produktrecherche (2h)
o    Nutzwertanalyse (1,5h)
o    Anforderungen des evaluierten Produkts (0,5h)
o    Ressourcenplanungen (1h)
o    Wirtschaftlichkeitsanalyse (1h)
      IT-Grundschutz - BSI
o    Schutzbedarfsanalyse (2h)
o    Datenschutz (3h)
o    Compliance-Anforderungen (3h)  

ist da nicht das ein- oder andere vlt doppelt gemoppelt

Was ist mit Pflichten- oder Lastenheft ?

[ickevondepinguin]

vor einer Stunde schrieb flash19:

Hierbei sollen zudem vollständig die Integrität, Verfügbarkeit und Vertraulichkeit gewährleistet werden, welche die Schutzziele der Informationssicherheit darstellen. Zudem müssen auch die gesetzliche Vorschriften vom BDSG, EU-DSGVO, HGB und GoBD eingehalten werden.

Siehe meinen Vorposter - hier entsprechend vorbereitet sein und das ernst nehmen.

vor einer Stunde schrieb flash19:

Um Fluktuation entgegenzuwirken, sollen Postfächer für firmenrelevante Ereignisse von ehemaligen Mitarbeitern von aktuell bestehenden Mitarbeitern einfach durchsuchbar sein. 

Klingt besser.

vor 35 Minuten schrieb charmanta:

st da nicht das ein- oder andere vlt doppelt gemoppelt

Stimmt, also nochmal ran da Kannst die Zeiten zusammen legen dann entsprechend.

Wenn das dann zuviel ist, anders verteilen.

vor 36 Minuten schrieb charmanta:

Was ist mit Pflichten- oder Lastenheft ?

+1

[flash19]

vor einer Stunde schrieb charmanta:

Das Thema per se ist grenzwertig, da das auch "einfach" erschlagen werden kann. Wenn Du wirklich wertfrei unterschiedliche Ansätze ! bewertest und der Hauptteil der Zeit für die Analyse und Auswahl verwendet wird fänd ich das ok.

Damit meinst du wohl, das geeignete Produkt zu ermitteln für den Kunden - unterstützend mit einer Nutzwertanalyse.. oder? 

Eventuell würde ich dann tatsächlich Datenschutz und Compliance-Anforderungen zusammenfassen

Gleiches gilt dann auch für:

"Anforderungen einer revisionssicheren E-Mail-Archivierung" //  "Anforderungen des evaluierten Produkts"

vor einer Stunde schrieb charmanta:

Was ist mit Pflichten- oder Lastenheft ?

Stimmt, danke - das Pflichtenheft würde ich dann in der Analysephase ergänzen und das Lastenheft dementsprechend an den Anfang der Planungsphase hängen.

vor 33 Minuten schrieb ickevondepinguin:

Stimmt, also nochmal ran da Kannst die Zeiten zusammen legen dann entsprechend.

Wenn das dann zuviel ist, anders verteilen.

Ich musste tatsächlich gucken, wie ich das jetzt unterbringe..

Das wären jetzt meine Projektphasen inkl. Zeitplanung von 40 Stunden:

 

      Analysephase
o    Ist-Analyse (1h)
o    Soll-Konzeption (2h)
o    Lastenheft (1,5h)

      Planungsphase
o    Pflichtenheft (1,5h)
o    Anforderungen an das Produkt (4h)
o    Nutzwertanalyse (2h)
o    Ressourcenplanungen (1h)
o    Wirtschaftlichkeitsanalyse (1h)
o    Schutzbedarfsanalyse (2h)
o    IT-Compliance (6h)    

      Realisierungsphase
o    Implementierung des Produktes (1,5h)
o    Erweiterte Konfigurationseinstellungen innerhalb des Produkts (3h)
o    Soft-/Hardwareanpassungen außerhalb des Produkts (1,5h)
o    Funktionsüberprüfungen (2h)

      Abschlussphase
o    Vergleich vom Ist- und Sollzustand (1h)
o    Erstellung der Projektdokumentation (6h)
o    Schulungsunterlagen (2h)
o    Abnahme vom Projekt (1h)
 

Es wäre super, wenn ihr mir nochmal hierzu Rückmeldung geben würdet.

Viele Grüße

Bearbeitet 4. Januar 2023 von flash19

[charmanta]

vor 7 Minuten schrieb flash19:

o    Lastenheft (1,5h)

      Planungsphase
o    Pflichtenheft (1,5h)
o    Anforderungen an das Produkt (4h)

Denke er ob dieser Punkte noch einmal scharf nach

vor 7 Minuten schrieb flash19:

      Planungsphase
o    Pflichtenheft (1,5h)
o    Anforderungen an das Produkt (4h)
o    Nutzwertanalyse (2h)
o    Ressourcenplanungen (1h)
o    Wirtschaftlichkeitsanalyse (1h)
o    Schutzbedarfsanalyse (2h)
o    IT-Compliance (6h) 

Hm. Normalerweise steht da sowas wie

- Ermittlung Sollzustand

- Marktsondierung

- Bewertung und Auswahl einer Lösung unter Berücksichtigung von Preis/Leistung/Erfüllungsgrad

oder sowas

KISS Prinzip