Aug
15
2012

Status der TR-ESOR / TR-03125 – BEweiSwerterhaltung kryptOgraphisch signierteR Dokumente

Ich sitze noch immer im Treffen des Bitkom-Arbeitskreises Signaturen und nun berichtet Fr. Dr. Korte von den aktuellen Aktivitäten rund um die TR-03125. Und los geht es mit dem Neartime-Bericht:

Motivation

Wer seine Geschäftprozesse weg vom Papier hin zum elektronischen Postverkehrs bringen will, muss sich Gedanken über den Beweiswert dieser Objekte machen, besonders, wenn sie zwecks Sicherstellung des Nachweises von Authentizität und Integrität machen. Während der Beweis auf Papier relati klar auf der Hand lag, ist das mit der elektronischen Signatur  schwieriger. Die genutzten Algorithmen werden mit der Zeit schwach, so dass die Dokumente später einmal unnachweisbar manipuliert werden könnten.

Das Bundesamt in der Sicherheit in der Informationstechnologie hat zur CeBIT 2011 die Version 1.1 ihre Technische Richtlinie 03125 veröffentlicht, die empfiehlt, was ein System funktional leisten sollte, um entsprechende Objekte beweissichernd aufzubewahren.

Interessante Details der Richtlinie

Das Absichern der signierten Objekte soll mittels Hash-Baum-Verfahren a la ArchiSig-Konzept erfolgen. Dies beschreibt auch, wie nicht der ganze Hash-Baum sondern eine reduzierter für eine signiertes Objekt als Beweis vor Gericht vorgelegt werden kann.

Für Behörden wurde in der Richtlinie ein zusätzliches Austauschformat auf Basis von XML spezifiziert, das den Transfer von Daten aus einer Anwendung in die nächste Anwendung ermöglicht (übrigens ist diese nicht XDOMEA).

Zertifizierung

Derzeit wird für das zukünftige Prüfverfahren zur Konformität eines Systems das Artefakt Fachbegutachtung für die TR-03125 erstellt, so dass dan ein zertifizier Begutachter mit seiner Arbeit beginnen kann. Die Prüfung wird drei Level haben: funktional konform, technisch konfrom, und konform dem Bundesbehördenprofil (siehe Austauschformat).

Fazit

Es wird in ein bis zwei Jahren erste zertfizierte Produkte zu erwarten sein.

Geäußerte Bauchschmerzen der Hersteller

Ein Zertifikat wird immer für die geprüfte Version eines Produktes ausgegeben. In der Regel wird Software inzwischen alle 4-5 Monate via Service Pack fortgeführt. Diese Version ist dann schon nicht mehr zertifiziert. Der Wunsch besteht, dass eine Übertragung der Zertifikats mit stark reduziertem Aufwand möglich sein sollten. Andernfalls wäre kaum ein Hersteller in der Lage, die Zertifizierung anzugehen.

Was macht SAPERION?

Zur Beweissicherung hat SAPERION seit der Version 7 das Produkt digiSeal archive integriert. Dieses baut die Hash-Bäume für täglich neu eingegangene Objekte auf und signiert am Ende mit einem qualifizerten Zeitstempel. Als Beweis wird ein sogenannter Evidence Record nach dem Standard LTANS zur Verfügung gestellt. Sobald eine Neusignierung erforderlich wird, werden die Hash-Bäume auf Basis neuer Algorithmen erneuert und wieder signiert

Post to Twitter Post to Delicious Post to Digg Post to Facebook Post to MySpace

Download PDF
Written by Dr. Martin Bartonitz in: deutsch,document management,electronic signatures | Tags: ,

3 Comments »

  • Rudolf Gessinger

    Meine Anregung: wir brauchen keine kleindeutsche Lösung ala DOMEA, wir brauchen einen internationalen, allgemein akzeptierten Standard, der auch von internationalen IT Herstellern breit unterstützt wird. Internationale Unternehmen können doch nicht zig kleinstaatliche Lösungen nach territorialen Prinzipien installieren. Grundsätzlich begrüße ich eine BSI Iniative, hoffentlich zumindest in der EU standardisiert. Wir brauchen mehr ISO, weniger DIN.

    Comment | 16 August 2012
  • Zur TR 03125 haben wir in unserer Gruppe “Information & Document Management” ( http://bit.ly/X-IDM ) monatelang diskutiert und eine Reihe von Kollegen haben über einen Verband auch Änderungen an diesem Dokument durchgebracht. Aber es wird immer wieder neu ins Feld geführt, so z.B. auch im neuen Organisationskonzept elektronische Verwaltungsarbeit zur elektronischen Akte. Sollte die TR-VELS bzw. TR-ESOR eigentlich nur für Bundesbehörden gelten so heißt es jetzt schon wieder, immer und überall wo es um “Beweisfähigkeit” geht. Wir haben in Deutschland seit 20 Jahren das Konzept der revisionssicheren Archivierung, die in der Lage ist, nachzuweisen, dass archivierte Inhalte seit dem Archivierungszeitpunkt nicht mehr verändert wurden. Ich finde das Vorgehen der Protagonisten des Nachsignierens unverantwortlich! Wir haben die sicherste elektronische Signatur der Welt, mit höchster Qualität, die QES mit Anbieterakkreditierung, und dann laufen Leute rum und sagen, die Signatur wird weich, sie verliert ihre Beweiskraft. Damit wird das gesamte Thema elektronische Signatur konterkariert. Das Vertrauen in die Signatur wird zerstört. Es ist dringend an der zeit, dass diese kostenträchtigen deutschen Sonderlocken endlich abgeschafft werden. Elektronische Signaturen sind gut beim Versenden und sie sind sicher und unverändert in revisionssicheren Archiven!
    Dr. Ulrich Kampffmeyer

    Comment | 16 August 2012
  • Dr. Martin Bartonitz

    Dr. Ulrich Kampffmeyer hat gerade auf Xing noch ein Plädoyer geschrieben, doch bitte das Thema Nachsignieren und Signieren beim Scannen zu lassen. Die Technik gäbe es zwar her, aber einen echten Mehrwert sieht er nicht.

    Und wer mich kennt, weiß, dass ich als Pragmatiker auch gerne auf überbordende Funktionalität verzichte, bedeute es doch entsprechende Aufwände zu vermeiden. Aber wer sich unsicher fühlt und sich durch Einhaltung von TR-ESOR und TR-RESISCAN eine stärkere Versicherung mit Sicht auf Gerichtsverfahren zulegen möchte, ist da sicher gut aufgehoben.

    Sein Fazit der Erörterung von Sinn und Unsinn des Nachsignierens:

    Die Initiativen zum Nachsignieren müssen gestoppt werden!

    Was technisch geht muss nicht unebdingt sinnvoll sein. Bürgern, Wirtschaft und Verwaltung dürfen nicht durch das Nachsignieren unnötige organisatorische, finanzielle und technische Bürden aufgelegt werden.

    Signaturen bei der elektronischen Kommunikation sind sinnvoll, in revisionssicheren Ablagen und Archiven müssen sie nicht durch Nachsignieren “manipuliert” werden.

    Das “Schlechtmachen” der hochqualitativen elektronischen Signatur in Deutschland durch Äußerungen “die Signatur wird weich”, “die Signatur wird schwach”, “die Signatur ist nicht mehr beweisfähig” usw. muss unterbunden werden.

    Die Akzeptanz der elektronischen Signatur muss gestärkt werden, soll sie noch Erfolg haben! Das Nachsignieren ist für Nutzung und Akzeptanz der elektronischen Signatur ein Sargnagel!

    Hier geht es zu dem Artikel: Vertrauenswürdige Archivierung nur mit elektronischer Signatur?!

    Comment | 17 August 2012

RSS feed for comments on this post. TrackBack URL

Leave a comment


+ five = 7

Theme: TheBuckmaker.com Web Templates | Bankwechsel Umschuldung, Iplexx IT Solutions