Apr
16
2010

Und der ECM-Krimi geht weiter: Hersteller melden unlauter Zertifizierung auf Basis der BSI TR 03125

Hatte ich gestern noch berichtet, dass der VOI nun alle die Liste der kritischen Punkte, sowohl aus technischer als auch auf sprachlicher Ebene, an das BSI übermittelt hat, so habe ich gerade gefunden, dass Anfang der Woche die bisherigen Protagonisten der TR VELS (siehe den initialen Post ECM-Krimi), wie die TR 03125 noch alternativ genannt wird, im U-Boot schon weitergefahren sind. Im Dokumenten Management Portal documanager.de ist am 12.04.2010 ein Artikel mit dem Titel “Fujitsu und OpenLimit bereiten vertrauenswürdige Langzeitarchivierungslösung vor” veröffentlicht worden, worin zu lesen ist:

“Fujitsu und OpenLimit haben ihre gemeinsame Lösung für die vertrauenswürdige Langzeitarchivierung SecDocs nun für den internationalen Einsatz auf den Weg gebracht. Bereits zur CeBIT 2010 hatte Fujitsu die Zertifikats-ID für die Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. Damit ist SecDocs die erste Lösung, die bezüglich der für die Beweiswerterhaltung bei der Langzeitarchivierung entscheidenden Basistechnologien vom BSI evaluiert- und im Ergebnis die weltweit erste Zertifizierung gemäß der internationalen Sicherheitskriterien “Common Criteria EAL4+” auf Grundlage des ArchiSafe-Schutzprofils und der Technischen Richtlinie 03125 erhalten wird. Da das Zertifikat bislang global das einzige seiner Art ist, wird es auch im Ausland anerkannt und maßgeblich gewichtet. SecDocs ist damit fit für den Einsatz auch jenseits der EU-Grenze wie etwa in Ländern in Asien oder USA.”

Fujitsu und OpenLimit waren an dem Klärungstermin zwischen BSI und VOI am 19.02.2010 in Bonn zugegen. Da ist es dann doch verwunderlich, dass gerade die Sprachlichkeit in diesem Artikel kaum geändert ist. Aber viel erstaunlicher ist, dass die Firmen die Zertifizierung nach TR 03125 als angemeldet bezeichnen, obwohl ein solcher Prozess seitens des BSI noch gar nicht erstellt, geschweige freigegeben ist. Maximal nach dem Schutzprofil a la Common Criteria kann geprüft werden. Eine Richtigstellung im Sinne der Korrektur der Kundenerwatungshaltung wäre da angebracht.

Post to Twitter Post to Delicious Post to Digg Post to Facebook Post to MySpace

Download PDF
Written by Dr. Martin Bartonitz in: deutsch,general,language | Tags: , , , , , ,

7 Comments »

  • Hallo Martin,

    zu der 1. Pressemitteilung von Fujitsu/OpenLimit hatte ich ja schon auf XING gepostet:
    https://www.xing.com/net/pri6b5a4cx/informationlifecyclemanagement/digital-preservation-332785/de-vertrauenswurdige-archivierung-nur-mit-elektronischer-signatur-26619628/28793534/#28793534

    Nun wurde lediglich mit gleichem Tenor nachgelegt …

    In unserem letzten Newsletter im März unter dem Titel “Sturm im Wassergals” hatte ich kommentiert (Ausgabe 20100326, S. 9 – 10)

    Die Diskussion um die Technische Richtlinie „Vertrauens-würdige elektronische Langzeitspeicherung“ (BSI TR 03125) lief auf XING (http://bit.ly/9CLuy9) gut drei Monate. Nach 16.000 Aufrufen des Diskussionsstranges hat sich das Thema in die Gremien verlagert, zu VOI, DIN und BSI. Der Termin zwischen BSI und VOI hatte zumindest eine Stellungnahme als Ergebnis, die Hoffnung schöpfen liess. Im Vorfeld der CeBIT hatte das BSI zumindest auf der Webseite zur Richtlinie einen Link im ursprünglichen Text auf das Ergebnis des Gespräches mit dem VOI gepostet (https://www.bsi.bund.de/ContentBSI/Publikationen/TechnischeRichtlinien/tr03125/index_htm.html). Trotz des Gesprächs mit dem VOI stehen aber ursprüngliche Texte sowie Dokumente, Vorträge und Artikel weiterhin im Internet. Auch der DIN macht mit der Umsetzung der BSI TR 03125 in eine DIN Norm zunächst einmal weiter. Der zuständige DIN Arbeitskreis NABD 15 AK 6 “Arbeitskreis Rechtssichere Aufbewahrung von digital signierten Dokumenten” hat die Interessierten für den 21.04.2010 nach Braunschweig in die Physikalisch-Technische Bundesanstalt (PTB) eingeladen.

    Die CeBIT 2010 haben dann einige Kollegen und ich als Anlass genommen, nachzusehen, welche Auswirkungen oder Nichtwirkungen die Diskussion um das Nachsignieren in elektronischen Archiven hat.

    In den Messehallen in Hannover wurden eine Reihe von Lösungen nach den BSI TR VELS präsentiert. Diese fanden sich gehäuft in Halle 3 (DMS AREA), Halle 8 (eHealth) und besonders in Halle 9 (eGovernment). Dabei handelte sich um eine übersichtliche Zahl von Archivsystemlösungen, aber mehr noch integrierte ArchiSafe-Funktionalität in Anwendungssystem. Ich bitte um Verständnis, dass ich hier diese Unternehmen nicht aufliste und verlinke, schließlich will ich nicht noch Werbung für die „Nachsignierer“ machen. Die Werbung an den Ständen und auf den Broschüren lautete z.B. “rechtssichere Archivierung”, “ArchiSafe-Kompatibilität”, “Vertrauenswürdige Langzeitarchi¬vie¬rung” oder “beweiswertserhaltende Langzeitarchivierung” (diese Interpretation ist neu und zeigt, dass zumindest ein Anbieter die Diskussion auf XING verfolgt hat). Die meisten der Anbieter machen also unbeeindruckt weiter. So kündigte Fujitsu an, dass man zusammen mit Open Limit sich zur Produktzertifizierung nach BSI TR „Vertrauenswürdige elektronische Langzeitarchivierung“angemeldet hat und schon die Nummer des zukünftigen Zertifikates zugewiesen erhalten hat. Das System wird übrigens als “Vertrauenswürdige Langzeitarchivierung nach TR 03125“ beworben – der feine Unterschied zwischen „Langzeitarchivierung“ und „Langzeitspeicherung“ interessiert offenbar niemanden.

    Ein Geschäftsführer eines namhaften ECM-Anbieters sagte mir direkt: „Ich bin absolut gegen den Unsinn mit dem Nachsignieren. Wenn aber ein Kunde das unbedingt haben will, dann schnallen wir halt ein solches System unter unser Archivsystem. Gerade in der öffentlichen Verwaltung sind die Menschen ängstlich und dort greift man dann gern nach Produkten mit Zertifikaten wie rechtssicher oder beweissicher. Rechtssicher und vertrauenswürdig klingen einfach gut“. Da man mit dem Nachsignieren zudem gut Geld verdienen kann und das Nachsignieren eine extreme Kundenbindung darstellt (man kann ja zur „Beweiswerterhaltung“ nicht einfach zwischendurch mit dem Nachsignieren aufhören …), wird der Widerstand der Handvoll Anbieter, die sich gegen die TR VELS positioniert haben, auch schnell bröckeln. Dies geschieht spätestens dann, wenn eine überarbeitete TR VELS erscheint, die der Branchenfachverband miterarbeitet (oder zumindest mitüberarbeitet) hat.

    Bleibt der § 17 SigV, die Ursache „allen Übels“. Auch hier tut sich hinter den Kulissen bei Datenzentralen, BMWi und einigen Unentwegten etwas. Ob dies zur einer Abschaffung der Formulierung oder zumindest zu einer Änderung des Paragrafen führt, muss man – eher skeptisch – abwarten. QES-Signatur-Vertreter haben bisher ein erstaunliches Beharrungsvermögen gezeigt.

    Aus heutiger Sicht hat sich also an den drei Frontlinien BSIT TR VELS, DIN 31644 und § 17 SigV wenig Konkretes getan. Meine Forderung bleibt also bis auf Weiteres bestehen:

    Ceterum censeo
    Carthaginem (§ 17 SigV) esse delendam et
    TR VELS esse delendam et
    DIN turma VELS esse delendam. (Kff)

    Ein schönes Wochenende,

    Ulrich Kampffmeyer

    Comment | 16 April 2010
  • Dr. Martin Bartonitz

    Hallo Uli,
    Danke für Deine wichtigen Ergänzungen!
    Wie hatte mal der Marketingleiter von FileNet gesagt:”Wir müssen immer wieder eine neue Sau durchs Dorf treiben.” Damit wir erneut auf uns aufmerksam machen können.
    Liegt es nun an den Marketiers, dass das notwendig ist, oder vergessen wir Menschen zu schnell oder gewöhnen uns zu schnell, so dass wir immer wieder erneut getriggert werden müssen?
    Wenn diese aktuelle Sau unserem Markt wenigstens etwas bringen würde. Aber leider sehe ich hier ein Spiel, das uns eher in ein schlechtes Licht stellt.
    Ob es dem Markt nutzt?
    Ob es dem Kunden nutzt?
    Du fürchtest, es wird kaum Jemand durchblicken. Also wird man lieber vertrauensvoller als bisher archivieren wollen?
    Ich habe die Hoffnung in den gesunden Menschenverstand noch nicht aufgegeben, dass erkannt wird, wenn etwas Unsinn ist, zumindest wenn man genau hin sieht.
    Aber schau´n mer mal, wie der eine Bayer zu sagen pflegte.
    Auch Dir ein schönes Wochenende

    Comment | 16 April 2010
  • Hallo Martin,
    alle Zeichen in Punkto Nachsignieren deuten auf Durchmarsch. Ob dies dem Anwender nutzt, ist dabei keine ernsthafte Frage. Es geht um die Erschließung eines großen Marktes für einen technologischen Ansatz mit äußerst langfristiger Kundenbindung – wer einmal mit dem Nachsignieren angefangen hat, der kann auch währendd er Aufbewahrungsfristen nicht damit aufhören ohne den “Beweiswert” zu verlieren.
    In unserer XING-Diskussion (http://www.bit.ly/aGfktP) wird inzwischen mit Mikrofilm als dem sicheren Langzeitarchivierungsmedium argumentiert. Mit dem altbekannten COM-Verfahren “Computer Output on Microfilm” lassen sich schließlich auch Daten wie elektronische Signaturen und sogar Hash-Bäume unveränderbar auf Film bannen.
    Angesichts des Nutzens des Nachsignierens halte ich die Kombination von Nachsignieren und Mikrofilm für die ideale Lösung im Web-2.0-Zeitalter!
    Mal sehen was jetzt bei den Gremien rauskommt- am 21.04. beim DIN und irgendwann dürfte es ja auch eine Antwort auf die “Checkliste” des VOI durch das BSI egeben.
    Es geht also weiter – allerdings mehr im “Verborgenen”. Herzliche Grüße,
    Ulrich Kampffmeyer

    Comment | 19 April 2010
  • Dr. Martin Bartonitz

    Hallo Uli,
    das Verborgene liegt in der Wertschätzung der Beteiligten an den gerade laufenden Prozessen beim BSI und dem DIN. Hier müssen nun die Arbeitsergebnisse abgewartet werden. Zwischenergebnisse zu publizieren, machen keinen Sinn. Hier hießt es nun für alle Nicht-Involierten geduldig abzuwarten.
    Aber so viel vorweg. Es wird darauf hinauslaufen, dass das Nachsignieren nicht nur eine mögliche technische Lösung für die Anforderungen der Beweiswerterhaltung kryptographisch signierter Dokumente sein wird. Siehe dazu später auch noch meinen nächsten Post zur NABD 15 AK 6 Sitzung des DIN.
    Gruß Martin

    Comment | 22 April 2010
  • Dr. Martin Bartonitz

    Und die nächste Zertifizierung ist seitens des BSI angenommen worden, trotz der Kritik des VOI an den technischen Mängeln der Spezifikation. Was dann wohl so ein Zertifikat wert ist?
    http://www.pressebox.de/pressemeldungen/bremen-online-services-gmbh-co-kg-bos-kg/boxid/338958
    Immerhin folgt man der am 21. April stattgefundenen DIN-Sitzung und spricht hier Beweiswerterhaltung und nicht von vertrauenswürdig (gut, das steht noch immer der alte, nicht geänderte Alternativtitel der TR 03125, aber nicht in Bezug auf die Produkteigenschaften)

    Comment | 12 May 2010
  • Dr. Martin Bartonitz

    Nach etwas Aufklärung etwas mehr Licht ins Dunkel:
    Freigegebene Technische Richtlinien werden durch das BSI grundsätzlich nicht zurückgezogen sondern behalten ihre Gültigkeit. Sind Ergänzungen notwendig, so werden diese in eine neue Version eingearbeitet, wie dies aktuell bei der TR 03125 erfolgt.
    Für die TR 03125 gibt es derzeit noch kein Zertifizierungsverfahren. Es gibt aber für die TR 03125 ein Schutzprofil nach Common Criteria, nach dem ein Produkt zur Zertifizierung angemeldet werden kann. Und dies ist inzwischen von Fujitsu und OpenLimit erfolgt. Weitere Produkte werden nun folgen.

    Demnach ist diese Pressemeldung mit einer Falschdarstellung versehen: “(PresseBox) Bremen, 21.04.2010, Die Zertifizierung der gemeinsam mit IBM entwickelten Lösung der bos KG zur beweiswerterhaltenden Langzeitspeicherung auf Basis von Governikus gemäß der Technischen Richtlinie für die vertrauenswürdige elektronische Langzeitspeicherung 03125 des BSI läuft.” Zudem wird hier dem System noch das Attribut rechtssicher gegeben. BSI und VOI waren sich wie in der gemeinsamen Erklärung vor der letzten CeBIT veröffentlicht einig, dass dies rechtskonform heißen muss. Denn Rechtssicherheit kann Niemand gewährleisten, denn dann würde ein Richter nicht mehr eine freie Beweiswürdigung führen können. Im Falle der Rechtskonformität kann der Eine konformer sein als der Andere und der Richter kann entscheiden, welcher vorgelegte Beweis mehr Kraft hat.

    Comment | 26 May 2010
  • Dr. Martin Bartonitz

    Die Diskussion beginnt schon wieder. Herr Scholdt legt auf Xing heftig einen drauf:

    Ich darf mir erlauben, mal wieder für Neuleser kurz aufzuzeigen worum es eigentlich geht. Ausgangsbasis ist §17 der Verordnung zum Signaturgesetz:

    ——————————

    § 17 Zeitraum und Verfahren zur langfristigen Datensicherung

    Daten mit einer qualifizierten elektronischen Signatur sind nach § 6 Abs. 1 Satz 2 des Signaturgesetzes neu zu signieren, wenn diese für längere Zeit in signierter Form benötigt werden, als die für ihre Erzeugung und Prüfung eingesetzten Algorithmen und zugehörigen Parameter als geeignet beurteilt sind. In diesem Falle sind die Daten vor dem Zeitpunkt des Ablaufs der Eignung der Algorithmen oder der zugehörigen Parameter mit einer neuen qualifizierten elektronischen Signatur zu versehen. Diese muss mit geeigneten neuen Algorithmen oder zugehörigen Parametern erfolgen, frühere Signaturen einschließen und einen qualifizierten Zeitstempel tragen.Anstelle einer neuen qualifizierten elektronischen Signatur nach Satz 2 kann ein qualifizierter Zeitstempel aufgebracht werden, wenn dieser selbst eine qualifizierte elektronische Signatur trägt.

    ——————————

    Da im öffentlichen Bereich fast ausschließlich qualifiziert signiert werden soll, müssten gemäss obiger Verordnung alle dermaßen signierten Dokumente vor Ablauf der Eignung der aktuell verwendeten Verschlüsselungsalgorithmen mit einem noch länger geeigneten Zeitstempel “nachsigniert” werden.

    Das BSI hatte eine technische Richtlinie (TR) hinsichtlich Langzeitspeicherung veröffentlicht, die zumindest für Behörden verbindlich sein soll. Leider wurde dies aber missinterpretiert, diese TR sei auch für die Wirtschaft verbindlich. Dieses Missverständnis wurde dann noch von QES Protagonisten wie OpenLimit und Fujitsu aus Marketinggründen angeheizt, um mit per TR erforderlichen Signaturlösungen sich einen Markt zu schaffen.

    Parallel wurde / wird versucht, diesen Unfug auch noch mit einer DIN Norm verbindlich für die Wirtschaft vorzuschreiben.

    Völlig außer Acht gelassen wird dabei der Umstand, dass auch sogenannte “revisionssichere Archive” die Unveränderbarkeit individuell signierter elektronischer Dokumente gewährleisten. In diesem Umfeld sind deutsche Anbieter führend.

    Im Prinzip geht es also darum, dass einige wenige Signatur-Anbieter, allen voran OpenLimit, sich eine Lex-Nachsignieren per BSI-TR schaffen möchten, um Ihre Produkte auf Basis des §17 Signaturverordnung vor allem im öffentlichen Bereich unterbringen zu können.

    Dies könnte man auch als amtsverordnende Technik-Regulierung durch das BSI bezeichnen. Den Anbietern revisionssicherer Archive wäre damit der Zugang zu Behörden und bei Etablierung einer entsprechenden DIN Norm selbst zu Wirtschaftsunternehmen verbaut.

    Das ist kein Lobbyismus mehr, das nenne ich MISSBRAUCH amtlicher Befugnisse und gehört eigentlich angezeigt. Zu gerne möchte ich wissen, WIE die entsprechenden Personen aus dem BSI dazu kommen, solch eine TR zu veröffentlichen und unsere Steuergelder zu verschleudern. Auch wüsste ich gerne, WER aus dem BSI zu welchen Meetings mit OpenLimit gefahren ist und ob dabei alles mit rechten Dingen zuging. Eigentlich müsste man das BMI selbst oder den Bundestag einschalten um eine Untersuchungkommission zu fordern.

    Wie können sich ein paar Leute einbilden, eine ganze Branche aushebeln zu wollen?
    Ich selbst bin davon zwar nicht direkt betroffen, doch machen mich solche Machenschaften mehr als stutzig. Wer kollaboriert da eigentlich mit wem ?

    Comment | 3 September 2012

RSS feed for comments on this post. TrackBack URL

Leave a comment


× 7 = fourteen

Theme: TheBuckmaker.com Web Templates | Bankwechsel Umschuldung, Iplexx IT Solutions