Apr
22
2010

Der lange Weg der BSI TR 03125 in die DIN und ISO Normung – ein Verfahren zur Nachweissicherung der Integrität und Authentizität kryptographisch signierter Dokumente

Ich war gestern als Novize in Normierungsprozessen auf historischem Boden unterwegs. Besonders mein Physikerherz war bewegt, durfte ich doch im Zentralgebäude der Physikalisch-Technischen Bundesanstalt in Braunschweig auch einen kurzen Blick auf unsere anfassbaren Grundnormen wie z.B. das Meter und das Kilogramm werfen. Gegründet nach Ideen von Karl-Heinrich Schellbach, Werner von Siemens und Hermann von Helmholtz in 1887 Berlin, gingen eine Reihe von Nobelpreisen an Mitarbeiter der PTB. Einige davon hatten nach dem Umzug nach Braunschweig ihren Arbeitsplatz in dem Gebäude,in dem auch die folgende Sitzung stattfand:

Sitz des Deutschen Institutes für Normung in Berlin-Tiergarten

Sitz des Deutschen Institutes für Normung in Berlin-Tiergarten

(Achtung: herrlicher Bandwurm) 2. Sitzung des  Arbeitskreises (AK=Untergremium) 6 des AA (habe die Bezeichnung hierfür nicht gefunden) Schriftgutverwaltung und Langzeitverfügbarkeit digitaler Informationsobjekte des Normungsausschuss (NA) Bibliotheks- und Dokumentationswesen (NABD) des Deutschen Instituts für Normung e.V. , kurz NA 009-00-15-06 AK oder auch NABD 15 AK 6, getagt hat.

Im Prinzip ist hier also gut zu erkennen, in welcher Ecke die Normung der Inhalte der TR 01325 stattfinden wird: Bei den Bibliothekaren und Dokumentaristen. Also dort, wo üblicherweise die “Endablage” stattfindet. Mal schauen, ob dies dann der endgültige Anspruch sein wird und nicht wie missverständlich beschrieben (siehe Kritik des VOI) und bestimmte Firmen fälschlicherweise (?) nutzen und damit Marketing für die allgemeine Nutzung für sämtliche “vertrauenswürdigen” Speicherungen in der ganzen Welt machen.

Da Ur-Kilogramm

Das Ur-Kilogramm

Eingeladen wurde die Sitzung des NABD 15 AK 6 unter dem Arbeitstitel “Arbeitskreis Rechtssichere Aufbewahrung von digital signierten Dokumenten”. Dieser Titel wurde vorläufig auf “Beweiswerterhaltende Aufbewahrung kryptographisch signierter Dokumente” geändert. Denn inzwischen ist klar, dass es keine Rechtssicherheit gibt bis auf die, die wir als Bürger vor unserem Grundgesetz haben.

Die inhaltliche Arbeit soll erst nach den bis Mai abgeschlossenen Workshops mit dem VOI bzgl. der Überarbeitungen auf sprachlicher und technischer Ebene erfolgen. Da nach den Ergebnissen der Workshops die neue Version 2 der TR 03125 erstellt werden muss, diese dann mit den bisherigen Reviewern sowie dem NABD 15 AK 6  abgestimmt werden muss, wird es vermutlich noch etwas dauern, bis dann ganz konkret weitergearbeitet werden kann. D.h. erst dann kann darüber befunden werden, welche Teile der TR 03125 Version 2  in die Normung gehen sollen.

Angestrebt ist die DIN-Norm dann in die ISO-Normierung zu bringen. Hierzu müssen aber  weitere 4 Länder gefunden werden, die daran mitarbeiten wollen. Und da bin ich relativ skeptisch. Denn dreht sich doch die TR 03125 im Wesentlichen um die Notwendigkeit der Nachsignierung. Verursacht durch die zu unkonkrete Formulierung des Bedarfs in §17 des Signaturgeseztes in Kombination mit §6 der Signaturverordnung sowie der §§ 292a, 371 der Zivilprozessordnung (ZPO). Wer in Deutschland den hohen Anscheinsbeweis seiner qualifiziert signierten Dokumente wahren möchte, hat den Bedarf des Nachsignierens, wenn die Bundesnetzagentur die Schwächung genutzter Algorithmen proklamiert (aktuell zu erwarten in 2014, das erste Mal war 2007).  Meines Wissens gibt es diesen Bedarf in noch keinen 4 anderen Ländern. Lasse mich aber hier gerne aufklären.

Übrigens: Wenn nicht nachsigniert wird und damit der Anscheinsbeweiswert verloren geht,  obliegt dann der freien richterlichen Beweiswürdigung. Wer seine Dokumente in einem nach GoB ordnungsgemäß betriebenen System aufbewahrt, hatte in der Regel bisher keine Probleme mit der freien Beweiswürdigung. Hier liegt es in der Risikobewertung jedes Unternehmers, die Regel des Nachsignierens zu befolgen oder in Kauf zu nehmen, dass der Richter etwas kritischer mit der Beweisaufnahme sein muss. Womit wir schon wieder ein Compliance-Thema (Warum man sich um die Einhaltung von Regeln kümmern sollte und nicht wegschauen) kurz gestriffen haben.

Post to Twitter Post to Delicious Post to Digg Post to Facebook Post to MySpace

Download PDF
Written by Dr. Martin Bartonitz in: deutsch,general,language | Tags: , , , , , , ,

4 Comments »

  • Dr. Martin Bartonitz

    Der aktuelle Arbeitstitel “Beweiswerterhaltende Aufbewahrung kryptographisch signierter Dokumente” ist inzwischen schon kritisiert worden. Vorschlag ist nun “Beweiswerterhaltung kryptografisch signierter Dokumente“. Grund: es sollte nicht festgeschrieben werden, wie die Speicherung genau erfolgen soll, sondern was getan werden kann, damit der hohe Beweiswert des Anscheins (siehe Zivilprozessordnung) erhalten werden kann, wenn einer der verwendeten Signaturalgorithmen geschwächt ist.

    Comment | 23 April 2010
  • Dr. Martin Bartonitz

    Beim BITKOM formieren sich inzwischen weitere, Kritiker der TR 03125. Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. vertritt mehr als 1.300 Unternehmen, davon gut 950 Direktmitglieder. Hierzu gehören fast alle Global Player sowie 600 leistungsstarke Mittelständler. Die BITKOM-Mitglieder erwirtschaften 135 Milliarden Euro Umsatz und exportieren Hightech im Wert von 50 Milliarden Euro. BITKOM repräsentiert damit ca. 90 Prozent des deutschen ITK-Markts.
    Motiviert, etwas zu tun, sind gerade global agierende Firmen, wenn es um ISO-Normungen geht. So lange die Richtlinie nur nationalen Charakter hatte und eingeschränkt auf behördliche Belange war, konnten die großen Player noch abwinken. Wenn aber etwas in die ISO geht und damit dem Weltmarkt regulieren soll, ist Vorsicht geboten. Wenn hier eine zu starke Regulierung auf eine spezielle Technologie erfolgt, könnte dies weitere Innovationen verhindern. Daher werden sich nun diese BITKOM-Mitglieder die Richtlinie genauer anschauen. Zu erwarten ist, dass auch das BITKOM das BSI ansprechen wird. Gut wäre es für den Markt, wenn Innovation auch weiterhin möglich sein soll. Schau´n mer mal.

    Comment | 29 April 2010
  • Dr. Martin Bartonitz

    Ich habe gerade im Leitfaden für die elektronische Rechnungsstellung für KMUS eine sehr treffende Einsicht auf Seite 65 gefunden, der auch für die Überarbeitung der TR 03125 beherzigt werden sollte:
    “Der Gesetzgeber sollte die rechtlichen Anforderungen definieren, nicht aber die Technologielösungen, die diesen rechtlichen Anforderungen genügen. Die Technologie sollte einem Prozess nicht als „erzwungene Kontrolle“ aufgestülpt werden. Begleitdokumente, Kontrollen von Buchhaltungssystemen und
    Dateneinträgen/-aufzeichnungen, der Datenabgleich und eine Prüfkette sind wichtige Elemente, um den Steuerbehörden gegenüber ein ausreichendes Maß an Geschäftskontrollen nachweisen zu können.”

    Comment | 3 May 2010
  • Schwalm

    Hallo Herr Dr. Bartonitz,

    danke für das informative Review. Eine kleine fachliche Anmerkung aus langjähriger DIN-Erfahrung: Weder die Bibliothekare noch die Dokumentare (nicht Dokumentaristen) kümmern sich um eine Endablage. Die Bibliothekare sind für die Sammlung, Aufbereitung und Bereitstellung veröffentlichten Wissens (i.d.R. in Buchform, aber auch Webpublikationen etc.) verantwortlich. Dokumentare übernehmen fachliche Aufgaben im Informations- und Wissensmanagement. Falls Ihnen Datenbanken wie GENIOS für hochaktuelle Wirtschaftsinformationen oder MEDLINE für medizinische Fachinformation ein Begriff sind – hier sind auf fachlicher Seite Dokumentare am Werk. Das ganze Thema Informations- und Wissensmanagement, Semantic Web resp. das entspr. Fachgebiet Informationswissenschaft ist Arbeitsgebiet vonb Bibliothekaren und Dokumentaren sowie, und nur hier trifft das Thema Endablage zu, Archivaren.

    Abgesehen davon kümmern sich der DIN NABD trotz des noch aus früheren Jahren bestehenden Namens des Normungsausschusses in der Mehrheit um aktuelle Fragen der Langzeitspeicherung und Archivierung, Metadatenkonzepte, OAIS etc. und Records Management so bspw. durch Beteiligung an der Entwicklung der neuen Normungsfamilie zum Records Management.

    Es handelt sich also nicht nur um “Endablage” oder historisches Archiv.

    MfG
    Schwalm

    Comment | 27 May 2010

RSS feed for comments on this post. TrackBack URL

Leave a comment


7 − = five

Theme: TheBuckmaker.com Web Templates | Bankwechsel Umschuldung, Iplexx IT Solutions