Dec
23
2009

Ein ECM-Krimi, oder: schon mal was von der “Vertrauenswürdigen elektronischen Langzeitspeicherung” gehört?

Nein? Dann liegen Sie im Trend. Fast die gesamte nationale ECM-Branche hat verschlafen, dass da still und leise ein deutsches Amt zusammen mit einigen wenigen, direkt profitierenden Protagonisten einen Möchtegern-Standard entwickelt und am 30.7.2009 freigegeben hat. Die Kurzbezeichnung ist TR 03125 (alternativ TR-VELS) und ist auf der Web-Site des Bundesamtes für die Sicherheit in der Informationstechnologie zu erhalten. Nun könnte sich die SAPERION zurücklehnen, da sie große Teile, speziell das ArchiSig und Crypto Modul im Zusammenspiel mit der Partnerlösung von secrypt ab dem Service Pack 2 der Version 6  schon erfüllt hat und der Rest nur noch eine “Kleinigkeit” wäre und wir damit zu einer Reihe von Mitbewerbern die Nase vorne hätten …… gäbe es da nicht ein bitteren Beigeschmack. Aufgrund meiner Rolle als verantwortlicher Produktmanager beobachte ich seit 4 Jahren intensiv den Markt für elektronische Signaturen, speziell den für qualifizierte (QES) mit Beginn in 1997. Bis vor 4 Jahren hat sich die Einführung der QES sehr schwer getan. Keiner der Zertifizierungsanbieter war bis dahin profitabel. Also was tun? Klar, Lobbyismus betreiben: Regularien und sonstige Maßnahmen durch den Gesetzgeber oder ähnliche Institute formulieren lassen. Siehe elektronische Rechnung und Umsatzsteuergesetz § 14 oder die Sozialversicherer, die die massenhafte Signierung beim Scannen durchführen müssen, wollen sie anschließend das Papier vernichten. Apropo eRechnungen: unser Bayer in Europa, Herr Steuber, ist gerade dran, dass Rad hier im Kontext des Bürokratieabbaus wieder zurückzudrehen.

Aber das eigentliche Übel fing mit dem Projekt ArchiSig schon in 2001 an. Es fehlte noch eine Lösung für das Altern von Signaturen. Denn, wenn diese zu schwach werden, verlieren sie den höchsten Beweiswert vor Gericht. Nun hätte man sich auf den einfachen und günstigen Standpunkt stellen können, dass man doch solche Dokumente einfach in ein revisionssicheres Archiv (siehe anerkannte Definition durch den VOI) speichert. Dann sind sie vor Manipulation geschützt und es wäre egal, ob Signatur schwach oder nicht. Nein! Es war Bundesgeld für Forschung da und man wollte doch mal schauen, was man so grundsätzlich tun kann, um die Schwächung aufzufangen. Herausgekommen ist ein Verfahren, das 2007 unter der Schirmherrschaft der IETF als LTANS/ERS 2007 standardisiert wurde. Nun hätte man sich zufrieden geben können. Aber es war noch immer Geld für Forschung da. Nun sollten das Nestor Handbuch zur vertrauenswürdigen Archivierung (Schwerpunkt Bundes-/Länderarchive sowie Bibliotheken), das LTANS sowie die neue eCard-API des BSI in konkrete Software-Anforderungen gegossen werden. Herausgekommen ist dann die TR-03125. Mitgewirkt hat die nicht ganz unbekannte die CSC. Und was verwunderlich: diese bietet sich nun gleich auch als Zertifizierer nach TR 03125 an. Sieht nach gekonnter Beschäftigungsmaßnahme aus. Was aber noch mehr verwundert: es gibt schon ein Archiv (Artec EMA), das von Prof. Roßnagel (hat bei ArchiSig als Rechtsgelehrter mitgewirkt und dazu an einem wichtigen Buch mitgewirkt) im Mai 2009 als “rechtssicher” (wer hat das definiert? muss es nicht “beweissicher” heißen? Warum nicht weiterhin das anerkannte “revisionssicher“) beurteilt wurde (gut , noch ohne Hinweis auf die TR). Und nur wenige Monate nach der leisen Veröffentlichung durch die BSI gibt es auch schon ein erstes Produkt, das meint, die Kriterien der BSI zu erfüllen: Sec-Docs von der Fujitsu Siemens. Gut, wenn man sich anschaut, woraus die Zutaten sind, wird es schon klar, warum man so schnell ein Archiv nach TR 03125 zusammenköcheln kann:

  • Das ArchiSig-Modul wurde vom Fraunhofer Institut mit Beginn des ArchiSig-Projekts entwickelt.
  • Das Crypto-Modul wurde von der OpenLimit seit Beginn des ArchiSig-Projekts entwickelt.
  • Das ArchiSafe-Modul und das Interface für die Anwendungen wurde von der PTB im Nachfolgeprojekt entwickelt.
  • Dann setze man noch eine Netapp als Speichermedium ein und fertig.

Ein Schelm, wer sich Böses dabei denkt!

Inzwischen habe ich mich bei meinen Kollegen des Mitbewerbs umgehört. Der Tenor ist einheitlich. Gerne verdiene man mit. Aber dabei sollte es doch dem Kunden überlasssen werden, wie hoch er seine wichtigen Dokumente versichern will. Der Anspruch des BSI gehe definitiv zu weit, der da lautet: “Die nun vorliegende Technische Richtlinie bietet einen differenzierten Katalog von Anforderungen und Empfehlungen für eine vertrauenswürdige, rechts- und revisionssichere Langzeitspeicherung elektronischer Daten unter Berücksichtigung internationaler Standards. So schafft sie die notwendige Sicherheit und Orientierung für Hersteller und Anwender aus der öffentlichen Verwaltung und der Privatwirtschaft.”

Zudem ist das ein deutscher Alleingang. Es ist nicht davon auszugehen, dass nicht-Deutsche Anbieter hier etwas tun werden, zumal die Spezifikation ein closed Job ist. Nicht wie bei den Bemühungen rund um JCR und CMIS (siehe vorherige Blogs). Die Schnittstelle zur Langzeitspeicherung aus Sicht einer Anwendung ist alles andere als JCR oder CMIS konform. Warum braucht es hier wieder eine spezielle deutsche Lösung, wo sich noch nicht einmal eine internationale endgültig durchgesetzt hat???

Der Vorstand des VOI wird sich Mitte Januar mit dem Thema befassen und Stellung beziehen. Es scheint auch, dass die TeleTrust, vermutlich auch die BITKOM keine Kenntnisse von den Bemühungen rund um die TR hatten.

In meinen Augen wäre das auch was für unseren Herrn Steuber: “Bitte sorge dafür, dass wir hier nicht noch mehr Bürokratie aufbauen!”

Frohe Weihnachten

Post to Twitter Post to Delicious Post to Digg Post to Facebook Post to MySpace

Download PDF
Written by Dr. Martin Bartonitz in: deutsch,general | Tags: , , , , , ,

9 Comments »

  • In der XING Gruppe “Information & Document Management” gibt es zu diesem Thema auch eine ausführliche Diskussion:
    https://www.xing.com/net/informationlifecyclemanagement/digital-preservation-332785/de-vertrauenswurdige-archivierung-nur-mit-elektronischer-signatur-26619628/p0

    Frohe Weihnachten!

    Ulrich Kampffmeyer

    Comment | 24 December 2009
  • Dr. Martin Bartonitz

    Es gibt zumindest eine Branche, die sich dem Thema Signatur verstärkt zugewendet hat und sich daher mit dem Thema der Langzeitspeicherung auseinandersetzen musste. Das Gesundheitswesen hat seit längerem die Einführung des Heilberufeausweises und der Gesundheitskarte mit Signaturfunktionen vor der Brust und hat daher entsprechenden Klärungsbedarf, wie mit signierten Dokumenten umzugehen ist. Daher hat sich im Verband der Hersteller von IT-Lösungen im Gesundheitswesen e.V. eine Arbeitsgruppe SigDMSArchive gegründet, um hier Klärung zu schaffen. Auf der Web-Site mit der Beschreibung der Tätigkeiten der Arbeitsgruppe wird zwar noch nicht auf die TR 03125 verwiesen, aber die Inhalten deuten klar auf diese hin, zumal von Zertifizierungen gesprochen wird, u.a. auch unter dem Hinweis angemessener Kosten: http://www.vhitg.de/vhitg/int/04_Arbeitsgruppen/AG_Profile/Profil_SigDMSArchive.php?sub=3&bereich=Arbeitsgruppen&bereich_sub=AG+SigDMSArchive&bereich_subsub=&ausgabe_ID=

    Comment | 31 December 2009
  • Hier wird Zensur betrieben?

    Ihre Aussagen sind noch immer nicht korrekt.

    Hier ist eine Übersicht der bereits zertifizierten Produkte nach TR des BSI.

    https://www.bsi.bund.de/cln_183/DE/Themen/ZertifizierungundAkkreditierung/ZertifizierungnachTR/zertifizierungnachtr_node.html

    Wie Sie sehen, ist dort noch kein Sec-Docs aufgeführt.

    mfg
    HM

    Comment | 5 January 2010
  • Dr. Martin Bartonitz

    Guten Tag Herr Marder,

    da wir gewisse Umgangsformen auf unserem Blog wahren, behalten wir uns vor, nicht passende Kommentare nicht freizuschlaten.
    Dennoch hatten wir Ihre erste Kritik Ihres damals noch völlig anonymen Kommentars (vermutlich vertreten Sie einen der angesprochenen profitierenden Protagonisten?) ernst genommen und die Aussage bzgl. der Zertifizierung korrigiert. Es lautet nun:
    “… gibt es auch schon ein erstes Produkt, das meint, die Kriterien der BSI zu erfüllen …”
    Damit ist nicht gesagt, dass es auch zertifiziert sei.
    Mit unsererr Meinung zu der TR-VELS stehen wir nicht mehr allein, wie dem Thread hier zu entnehmen ist:
    https://www.xing.com/net/informationlifecyclemanagement/digital-preservation-332785/de-vertrauenswurdige-archivierung-nur-mit-elektronischer-signatur-26619628/p0
    Mit inzwischen 5.000 Klicks ist er der meist gelesenen in der Xing Gruppe Information & Document Management
    Das Credo ist aktuell:
    a) Die TR-VELS diskrediert alle bisher implentierten Archiv-Lösungen als nicht vertrauenswürdig
    b) Die Architektur und Spezifikationen der TR-VELS enthalten grobe Fehler, die einen protuktiven Einsatz, wie sie bisher mit den aktuellen Lösungen im großen Stil weltweit eingesetzt sind, nicht gewährleisten.
    Gerne stehe ich Ihnen für einen weiteren Austausch zur Verfügung. Leider hatten Sie eine nicht korrekte E-Mail-Adresse verwendet, so dass ich nicht weiß, ob Ihr Name auch korrekt ist.
    Mit freundlichen Grüßen
    Dr. Martin Bartonitz

    Comment | 22 January 2010
  • Heinz Marder

    Hallo,

    mal wieder.

    EMail Adressen gebe ich grundsätzlich nicht in irgendwelchen Blogs an.

    Desweiteren hatte mich nur die inkorrektheit des Inhalts, des sicherlich mit etwas Frust geschriebenen Artikels gestört.

    Seinen wir doch mal ehrlich. Die TR ist sehr unscharf und verlangt garnicht die vorgegebene Architektur als “muss”.

    Es heulen doch nur die Anbieter rum, die nicht mithalten können.

    Oracle, Fujitsu oder BOS haben fast alle fertige Lösungen parat!

    Und lesen Sie die TR vielleicht noch einmal durch. Sie stellt lediglich einen zusätzlichen Sicherheitslayer dar, der in belibige Software integriert werden kann. Falls gewünscht. Das sehen sicher einige Leute anders und auch die TR muss dahingehend noch ein wenig umdesignt werden. Aber im Grunde wollte das BSI genau das.

    Das Sie leider falsch interpretiert wird, hat verschiedene Gründe, die alle hier nicht erörtert werden sollen.

    Wenn Sie sich sicher sind, das Sie sicher sind. Schön.

    Was stört Sie etwas, das Sie eh nicht benötigen?

    Comment | 22 January 2010
  • Dr. Martin Bartonitz

    Herr Marder,
    da verkennen Sie die Anbieter. Viele von denen, die sich kritisch zur zur TR-VELS geäußert haben, haben zumindest das LTANS/ERS-Verfahren in Petto. Aber so integriert, dass das auch umfassend funktioniert.
    Die TR-VELS ist insgesamt so schlecht, dass damit kein ordnungsgemäßes, revisionssicheres Archivieren inkl. ordentlicher Migration möglich ist.
    Aber das ist der weniger kritische Punkt.
    Die Diskreditierung von weit über 10.000 Kundenlösungen als nicht vertrauenswürdig hinzustellen, bringt den Markt (nicht nur die Hersteller) auf die Palme. Die Richtlinie ist in weiten Teilen so schwammig und unpräziese, dass sie nur missverstanden werden kann. Und wenn sie entsprechend “MÜSSEND” ausgelegt wird, muss mehr Geld in die Hand genommen werden. Und das sind dann gerade im öffentliche Bereich auch Ihre ganz persönlichen Steuergelder.
    Nichts für ungut.

    Comment | 22 January 2010
  • Dr. Martin Bartonitz

    Dr. Kampffmeyer hat auf den anonymen Eintrag von Herrn Marder nochmals in XING noch detaillierter Stellung bezogen:
    https://www.xing.com/net/informationlifecyclemanagement/digital-preservation-332785/de-vertrauenswurdige-archivierung-nur-mit-elektronischer-signatur-26619628/27566190/#27566190

    Comment | 22 January 2010
  • Dr. Martin Bartonitz

    Zwar wurde die Freigabe TR VELS erst im Dezember letzten Jahres offiziell in der Presse angekündigt. Dafür ist aber schon ganz schön rumgekommen. Es gibt auch kaum noch einen Ort, wo man die Mitteiling nicht findet. Der Anspruch geht entgegen alle Aussagen deutlich an den ganzen Markt und beschränkt sich nicht auf die Behörden. Aufgrund der detaillierteren Situation als neuer Post:
    Können zukünftig nur noch TR-VELS konforme Speichersystem in DACH verkauft werden?

    Comment | 23 January 2010
  • Hallo Kollege Bartonitz,
    der Liste der Veröffentlichungen seit Dezember liessen sich noch gut 100 weitere Links hinzufügen – aber die Nennung allein als Link in einem Blog führt schon in den Suchmaschinen zur Aufwertung und zum besseren Auffinden der Seiten.
    Übrigens gibt es diese Einflüsse nicht erst seit Dezember – seit Jahren schon mit ArchiSig, ArchiSafe und TransiDoc und besonders seit Januar 2009 mit der BSI TR VELS zieht sich dies wie ein roter Faden durch die Landschaft. Übrigens in Punkto Normung ist man ja be der IETF und im DIN auch schon länger unterwegs. Wie ich schon mehrfach im Beitragsstrang auf XING (https://www.xing.com/net/informationlifecyclemanagement/digital-preservation-332785/de-vertrauenswurdige-archivierung-nur-mit-elektronischer-signatur-26619628/) ausführte, ist das Thema durch … und nicht nur bei Bundesbehörden, sondern auch bei Rechenzentren, Kommunen und GmbHs.
    Anbieter und Verbände reagieren deutlich zu spät.
    Das BSI kann und wird die TR VELS nicht zurückziehen. Es wird allenfalls eine leicht überarbeitete, korrigierte Version geben, wobei dann alle, die an dieser Version mitgearbeitet haben, “mitverhaftet” sind, denn dann ist ja die TR VELS OK und in Zusammenarbeit mit Anbieter und Verbänden entstanden.
    Meine Meinung zum Verfahren ändert sich dadurch nicht – die TR 03125 ist technisch unsinnig und fehlerhaft, der Anspruch des BSI ist überzogen, die deutschen Archivsystemanbieter werden auf einen Sonderweg getrieben, der ihre Wettbewerbsfähigkeit und internationale Reputation beeinträchtigt. Die Anwender werden in die Irre geführt, dass es bis zu 100 Jahre lang beim Einsatz eines Archivsystemspeicherbox “Rechtssicherheit” und “Beweissicherheit” gibt.
    Wir sind alle zu spät dran, man kann den Schaden nur noch begrenzen – zum Beispiel, in dem man die Vorteile für den die Anwender “herauskitzelt”:
    Die Anbieter dieser Systeme müssen verpflichtet werden auf eigene Kosten für die Aufbewahrungsfrist von bis zu 100 Jahren die “Rechtssicherheit”, die “Beweissicherheit” und die “Vertrauenswürdigkeit” zu garantieren. Zur Absicherung sind Bankbürgschaften zu hinterlegen (je nach Branche und Größe der Lösung zwischen 50 Tausend und 100 Millionen je Installation). Die Anbieter sind so vertraglich auch mit Konventionalstrafen zu verpflichten, jede rechtlice Änderung mit Auswirkung auf die Archivsicherheit und die Rechtskraft der gespeicherten Objekte jederzeit über die Aufbewahrungsfrist vollständig wiederherzustellen. Dies gilt auch für die verlustfreie Migration bei Wechsel von Systemkomponenten. Sollte es dann doch noch zu einem Gerichtsstreit kommen, den der Anwender auf Grund nicht anerkannter oder nicht auffindbarer elektronischer Dokumente aus dem rechtssicheren Archiv verliert, dann ist dafür natürlich der Anbieter des Systems über die Lebensdauer des Archives voll haftbar (daher auch die Höhe der Bankbürgschaften). Wenn sich die Anbieter von VELS-konformen Archivsystemen hierauf vertraglich bindend einlassen, dann dürfen sie auch gern mit “Rechtssicherheit”, “Beweissicherheit” und “Vertrauenswürdigkeit” werben. Andernfalls ist dies nur irreführende, den Wettbewerb unzulässig diskreminierende Werbung.

    Ein schönes Wochenende,

    Ulrich Kampffmeyer

    (mehr zum Thema: https://www.xing.com/net/informationlifecyclemanagement/digital-preservation-332785/de-vertrauenswurdige-archivierung-nur-mit-elektronischer-signatur-26619628/)

    Comment | 24 January 2010

RSS feed for comments on this post. TrackBack URL

Leave a comment


3 − = zero

Theme: TheBuckmaker.com Web Templates | Bankwechsel Umschuldung, Iplexx IT Solutions