TR 03138 RESISCAN gerät immer mehr in die Kritik

BSI TR 03138 Resiscan gerät immer mehr in die Kritik

Ja, ja, die geliebte Resiscan - auch BSI TR 03138 genannt. Inzwischen mehrt sich die Kritik - auch Wirtschaftsprüfer und andere namhafte Unternehmensberatungen positionieren sich jetzt gegen den Overhead des Klassifizierens und den Unsinn des Signierens. Doch reicht dies? Ist die TR 03138 nicht nur ein kleiner Teil des großen Problems mit der QES?

In den vergangenen Jahren gab es hier bei uns und in der XING-Gruppe "Information & Document Management" mehrfach Diskussionen, warum das Signieren beim Scannen keinen Sinn macht (Liste siehe unten). Das Scannen mit elektronischer Signatur gibt es im Bereich der Sozialversicherungen schon länger, wurde aber erst durch die TR 03138 RESISCAN "Ersetzendes Scannen" formalisiert und in weitere Standardisierungen (z.B. Organisationskonzept elektronische Verwaltungsarbeit, dort z.B. die elektronische Akte) und Gesetze (z.B. das E-Government-Gesetz) eingebettet. Inzwischen wird versucht, die Anforderungen von zunächst den Bundesbehörden auf die Länder und ihre Verwaltung aber auch vermehrt auf die freie Wirtschaft auszudehnen. In der Branche der Dokumentenmanagement- und Scanning-Anbieter wurde diese Technik einfach hingenommen, bot sie doch die Möglichkeit, mehr Komponenten und Service zu verkaufen - und mit dem Kunden eine langfristige Bindung einzugehen. Wer einmal mit dem Signieren und regelmäßigen Nachsignieren angefangen hat, kommt davon kaum noch los - es sei denn, er igoriert die "Beweiswerterhaltungsargumente". Das Scannen mit qualifizierter elektronischer Signatur, mit einer entsprechenden Klassifikation des Schutzbedarfes nach Dokumentenklassen und dem Nachsignieren zum Erhalten der sogenannten "Rechtssicherheit" ist eine deutsche "Sonderlocke" erster Güte, die uns vom Rest der Welt abkoppelt. Der Argumente gegen das Signieren gibt es viele - beginnend dass die signierende Person nicht der Ersteller des Dokumentes ist über die mangelnde Qualitätskontrolle bei Massensignaturverfahren bis hin zur Entwertung der QES durch die Idee des "Weichwerdens über die Zeit". Das Signieren beim Scannen ist unnötig wie ein Kropf - wie wir das bei PROJECT CONSULT bereits seit Jahren immer wieder schreiben (Liste siehe unten).

Auf E-Government-Computing fasst ein Artikel mit dem Titel "Der Teufel steckt in Detail" die Argumente gut zusammen. Dazu gibt es auch einen Artikel auf ECMguide, der auf das Positionspapier von PWC und Zöller&Partner referenziert. 

Ich hoffe, der Kritik schließen sich noch mehr Leute an. PROJECT CONSULT tut dies schon seit Zeiten vor Erscheinen von BSI TR 03125 und BSI TR 03138!

Immerhin haben wir auch in unserer XING-Gruppe wiederholt auf die Unzulänglichkeiten und Unangemessenheit der TR 03138 Resiscan hingewiesen und dort Unterstützung von zahlreichen Diskussionsteilnehmern erfahren. Weiterer Widerstand ist dringend erforderlich, da auch versucht wird, außerhalb der öffentlichen Verwaltung in der freien Wirtschaft das Scannen mit Signatur schmackhaft zu machen - bis hin zu Musterverfahrensdokumentationen nach GoBD, die auf die TR 03138 verweisen. Bei steuerrechtlichen und handelsrechtlichen Belegen spielt das Signieren keine Rolle.

Was etwas untergeht, ist, dass die Resiscan-Richtlinie nur Teil eines größeren Gebildes rund um die qualifizierte elektronische Signatur ist. Man muss also tiefer graben, um an die Wurzel des "Übels" zu gelangen: die qualifizierte elektronische Signatur. Mit viel Kosten für die Anbieter eingeführt, nicht richtig in Fahrt gekommen und jetzt versucht man sie überall reinzubringen, um doch noch etwas Profit aus der deutschen Sonderlocke QES zu schlagen.

Das eigentliche Problem ist allerdings nicht die BSI TR 03138 Richtlinie selbst, sondern die gesetzliche Verankerung im E-Government-Gesetz von 2014, die zahlreichen Behörden dieses unsinnige Verfahren auferlegt. Aber sie betrifft durchweg nicht alle in der öffentlichen Verwaltung, die jetzt mit dem Thema "angespitzt" werden, und schon garnicht die Privatwirtschaft. Das Signieren gehört generell aus den Scan-Prozessen raus!

Also lassen Sie uns einen Schritt weitergehen als nur die TR 03138 Resiscan überarbeiten zu wollen. Eine Überarbeitung wird nämlich nichts bringen. Das haben wir auch bereits bei der TR 03125-VELS erlebt, aus der nach Überarbeitung die TR-ESOR wurde. Gleicher Tenor und man hatte alle mitwirkenden Kritiker durch ihre Mitarbeit am neuen Werk "eingefangen". Die TR-ESOR ist der Kern des Themas "Nachsignieren" und findet sich so auch in der TR-Resiscan. Es gilt die unsinnige Verwendung der qualifizierten elektronischen Signatur generell anzugreifen - nicht nur bei der erwähnten Regelungen zum Scannen. Die Harmonisierung auf europäischer Ebene bietet hierfür die Chance, gleich im Signaturgesetz für 2016, die richtigen Weichen zu stellen. Man wird sich zwar nicht von der deutschen Variante trennen wollen, aber man sollte den Einsatz in die Schranken weisen.

Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!

Urich Kampffmeyer

 

Artikel und Diskussionen kontra Signatur beim Scannen

2003 Qualifiziert elektronisch signieren und archivieren  [PROJECT CONSULT]

2003 Übersignieren notwendig? [PROJECT CONSULT]

2006 Nachsignieren ... auf ein Neues! [PROJECT CONSULT]

2007 Nachsignieren [PROJECT CONSULT]

2009 Vertrauenswürdige Archivierung nur mit elektronischer Signatur ? [XING]

2010 De-Mail, E-Post-Brief oder gar keine E-Mail ... [XING]

2010 Sturm im Wasserglas [PROJECT CONSULT]

2010 Nachsignieren und die Rolle der deutschen Normung [PROJECT CONSULT]

# 2011 Vernichtung gescannter Belege nur bei Verwendung der elektronischen Signatur zulässig? [PROJECT CONSULT] 

2011 Nachsignieren ... auf ein Neues! [PROJECT CONSULT]

2012 Nachsignieren: nochmal auf eine Neues! [PROJECT CONSULT]

2013 BSI veröffentlicht TR 03138 Resiscan [PROJECT CONSULT]

2013 Bundestag verabschiedet E-Government-Gesetz [PROJECT CONSULT]

2013 Simulierte Grichtsfälle sollen Beweiskraft gescannter Dokumente klären - das Signieren lässt grüßen [XING]

2013 Rechtsgültigkeit gescannter Dokumente? Eine Simulation in Nürnberg [PROJECT CONSULT]

2013 BAG Bundesarbeitsgericht verurteilt Angestellte zum Einsatz der elektronischen Signatur bei ihrer Arbeit [PROJECT CONSULT]

2014 Das Wiesbadener Urteil zum Scannen mit Signatur - Beamte an die Scanner [PROJECT CONSULT]

2015 Scan-Geräte fälschten jahrelang Daten beim Scannen und keiner merkte was [XING]

2015 Resiscan ... eine never ending Story [XING]

Kommentare

TR 03138 ResiScan wird überarbeitet

Ja, die geliebte TR ResiScan wird überarbeitet. Aber die kursierende Fassung 1.1 zeigt nur kosmetische Änderungen. Da tut es mir leid für diejenigen Kollegen, die an der Überarbeitung beteiligt sind: nach der Verabschiedung sind sie dann "verhaftet" - d.h., da sie selbst mitgearbeitet haben, können sie nicht mehr gegen die TR 03138 argumentieren. Mitgefangen, mitgehangen.
Angesichts des Werbeartikels "Pro-Resi" in der E-Government Computing meint Peter Rösch auf Facebook lakonisch "Sollte man öffentliche Stellen nach solchen Publikationen wegen Falschaussage verklagen? Wo bleibt die kritische Würdigung des BITKOM und der DATEV?" 

Was ist eigentlich aus der Überarbeitung der Resiscan geworden?

Es hieß, die TR 03138 ResiScan wird überarbeitet. 
Sieht man sich aber die letzten ausgestellten Zertifikate an (z.B. BSI-K-TR-0233-2016 für die Deutsche Telekom vom 22.03.2016), dann wird immer noch nach der alten BSI TR-03138 – Technische Richtlinie Ersetzendes Scannen BSI TR-03138 – Technische Richtlinie Ersetzendes Scannen Version 1.0 vom 20. März 2013 und dem Anhang BSI TR-03138-P – Technische Richtlinie Ersetzendes Scannen, Anlage P: Prüfspezifikation Version 1.1 vom 04. Dezember 2014 gearbeitet. 
Und was wurde aus der Initiative von Bernhard Zöller (http://bit.ly/Weg-mit-Resiscan)?
Aktuell sind nach Resiscan zertifiziert:

  • BSI-K-TR-0233-2016 | Scanprozess im De-Mail Accountmanagement der Deutschen Telekom AG | gültig bis 17.12.2017
  • BSI-K-TR-0178-2016 | Ersetzendes Scannen nach TR-RESISCAN als Dienstleistungsanwendung auf Grundlage des Capturing-Systems CROSSCAP Enterprise beim SRZ-Berlin | gültig bis 14.03.2019
  • BSI-K-TR-0230-2016 | Ersetzendes Scannen für Scan-Dienstleistung der Enteos GmbH | 24.02.2019
  • BSI-K-TR-0144-2015 | Scandienstleistung am Produktionsstandort Leisnig der DMI GmbH & Co. KG | gültig bis 13.08.2016

... und das wars auch schon. 
Stellt sich heute die Frage - was passiert nach dem 1.7.2016, wenn die europäische eIDAS-Richtlinie auch in Deutschland gilt? Machen dann die "ResiScan-Fans" einfach so weiter wie bisher? Die Zertifikate gelten ja noche ine Weile länger.

Klage wegen Falschaussage

Der Gedanke mit einer Klage (-Androhung) ist gar nicht so abwegig, zumindest hätte ich dafür Verständnis ... hatte ich es doch einmal selbst gewagt, dem BSI zu drohen:

Nachdem das - damals sehr wohlwollende - BMWI in 2004 die von mir (in Teilen) initiierte Änderung des Signaturgesetzes auf den Weg gebracht hatte und diese Änderung dann in 2005 in Kraft getreten war, hatte ich dem BSI 2006 nach ca. fünf vergeblichen moderaten Versuchen gedroht, es auf Schadensersatz zu verklagen, wenn es nicht die gemäß EU-Richtlinie von 1999 schon immer falsche und trotz 1.SigÄndG weiterhin auf der BSI Web-Site aufgestellte Behauptung, für fortgeschrittene Signaturen müsse man dem Unterzeichner wie bei einer QES einen Signaturprüfschlüssel zuordnen, von ihrer Web-Site nehmen würde. Nach 3 Wochen war die Falschbehauptung dann verschwunden.

Ich bin mir dessen bewusst, dass mein etwas rustikaler Stil so Manchem nicht gefällt, doch diesen habe ich mir erst nach Erkenntnis über das skrupellose, ignorante und hochmütige Verhalten der von mir als Krypto-Mafia bezeichneten Unternehmen und Organisationen angeeignet.

Nur durch fundiertes Fachwissen, Kenntnis der entscheidenden Gesetze (auch ich kenne nicht alle im Detail) kann man dagegen halten. Man muss dann aber konsequent dort hinein beißen, wo es wehtut. Freunde findet man dabei jedoch nur selten.

Und wer macht da schon mit? So gibt es im heutigen VOI selbst ernannte IT-Rechtsanwälte, die noch immer nicht verstehen, von was ich überhaupt rede ... was diese nicht davon abhält, mich hinter meinem Rücken zu diffamieren, übrigens einer der Gründe, warum ich mich nach Rettung des VOI als selbständige Organisation ebenfalls von dieser Lame Duck verabschiedet habe.

Schon wieder: die ResiScan

In der Fachzeitschrift E-Government Computing findet sich ein länglicher Artikel "Wichtige Antworten zur TR-Resiscan" http://www.egovernment-computing.de/wichtige-antworten-zur-tr-resiscan-a-506732/ .
Alte und neue Argumente für das Scannen mit Signatur.
Oh arme öffentliche Verwaltung in Deutschland :(  
Erst mal ganz klar an die freie Wirtschaft - Finger weg von diesem Scheiß, den braucht keiner.
Liebe öffentliche Verwaltung - letzte Seite des famosen Pro-ResisScan-Artikels lesen: nächstes Jahr kommt eIDAS und damit die Anerkennung einfacherer, ausländischer Signaturen auch in Deutschland. Die qualifizierte elektronische Signatur ist dann tot! Für die Nutzung durch Verwaltungen und Unternehmen wird es dann "Siegel" geben, die man Server-basiert einsetzen kann.
Ach ja - Thema Massensignaturen - den Schuss mit dem #XEROXbug nicht gehört? Sicherheit in Bezug auf Lesbarkeit, Vollständigkeit und Richtigkeit, auf Authentizität und Integrität, gibt es durch visuelle Kontrollen nicht - und schon garnicht, wenn nur jedes 50ste Dokument mal flüchtig angesehen wird.
Und bitte - keine Signaturen in Archiven und kein Nachsignieren. Ebenso wie die TR 03138 gehört auch die TR 03125 ersatzlos gestrichen! Scannen wird durch Signieren weder sicherer noch besser noch rechtskräftiger.
P.S. ... aber es besteht Hoffnung. Nein, nicht durch die jüngst laufende Überarbeitung der TR Resiscan sondern durch die Erkenntnis, das originär elektronische Informationsobjekte auch die elektronsichen Originale sind, und dass Ausdrucke dieser originär elektronischen Originale keine rechtliche Bindung haben. Dafür müssen wir allerdings erst ein weni9g an unseren uralten Gesetzen arbeiten und uns von der proprietären Signaturarie verabschieden.
 
Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!
 

Noch ein RESISCAN Fan

Heute wurde mir der Artikel "Integrität und Athentizität von gescannten Dokumenten" zugespielt

http://www.datakontext.com/download/OED2015/#/36

Keine neuen Informationen, aber immer wieder die gleiche mehr als wage Herleitung "Stand der Technik = TR RESISCAN". Der Knaller komt aber im letzten Satz: "Vielleicht gelingt es TR-RESISCAN und TR-ESOR im Doppelpack, das papierlose Büro doch noch zu verwirklichen." Ohne Worte.

Wichtige Antworten zur TR Resiscan

Ich habe mir den Artikel aus Neugierde reingezogen und bin echt baff. DEN Stil kannte ich doch und war nicht besonders erstaunt, dass sich als einer der Autoren ein gewisser Steffen Schwalm von Bearingpoint entpuppte. Scheinbar alles sehr logisch, aber leider unwahr ... ResiScan ist bis jetzt wohl kein Standard ...
Steffen Schwalm ist neben Arno Fiedler einer derjenigen Lobbyisten, die nach 15 Jahren noch immer auf Signatur-Veranstaltungen und in Gremien rumspringen und als Moderator oder schlicht als Interessenvertreter unbedarften Ministerialbeamten irgendwelchen Krypto-Müll in die Ohren labern und die QES schönreden.
Realitätsnahe Betrachtungen aus Sicht der Anwender oder der Industrie können Sie bei den beiden Herren vergessen, schließlich leben solche Leute von staatlichen Förderungsgeldern und immer wieder neuen Studien. Dass Herr Fiedler u.a. auch beim TeleTrusT Signaturtag dann in Erscheinung tritt, darf nicht verwundern. Armes Deutschland, was aufgrund dieser Krypto-Lobbyisten ein Steuergeld und vor allem Volksvermögen verplempert wird ...
@ Dr. Kampffmeyer ... diese beiden o.g. Namen muss man sich merken, denn genau diese Herren kann man nicht bekehren, sie sind aufgrund eigener Interessen derart von sich und ihrer Sache überzeugt (von oben überstülpen ist die Masche), da kommen Sie nicht ran. Genau solche Leute sind die katastrophale Schnittstelle, über die Ministerien und Gesetzesgeber falsch informiert werden. Solche Leute kann man nur diskreditieren, indem man der Öffentlichkeit aufzeigt, was diese Leute als Lobbyisten uns für einen Mist aufdrücken wollen. Eigentlich müsste man sie für den angerichteten Volksschaden haftbar machen.

Unwichtige Antworten zur TR-Resiscan

"Als der Herr das las, wandte er sich ab und weinte bitterlich",
so möchte man sinngemäß zitieren, wenn man den "länglichen Artikel" in der Fachzeitschrift E-Government Computing ausführlich studiert.

Das verzweifelte Festhalten an der QES, trotz der im Nachgang zur "Beweisführung" der DATEV zusammen mit der Uni Kassel geführten Diskussionen und den Erkenntnissen um den #XEROXbug, ist nicht zu erklären. Schon gar nicht, wenn die eIDAS vor der Tür steht.

Wieso sollte jemand qualifiziert digital unterschreiben, dass ein "vorab bearbeitetes" Dokument vollständig korrekt durch den danach durchgeführten Scan abgebildet wurde? Oder kommt hier doch wieder die "Beurkundung" zum Tragen? [Die Diskussion um 'Beamte an die Scanner' hatten wir hier doch auch schon.]

Ich schließe mich dem Aufruf gerne an:
Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!

Kopfschüttelnd aber mit Zuversicht in die neue Woche.
Beste Grüße
Ulrich Schmidt

Hätte man besser mal nichts gesagt..

Interessanter Artikel erneut, doch leider auch wieder - zumindest aus meiner kommunalen Sicht - mit einigen Schwachpunkten und der typischen Überstilisierung der RESISCAN zum Allheilsbringer behaftet.

Die Wirtschaftlichkeit des ersetzenden Scannens wird angesichts der in der RESISCAN geforderten personellen und technischen "Knebel" wohl niemals zum Tragen kommen. Zumal die oft (nicht hier) genannten "entgangenen Einsparpotenziale durch Prozessoptimierung" als Kostenfaktor – gerade im Zusammenhang mit der Einführung eines RESISCAN konformen Scanprozess – in meinen Augen geradezu lächerlich anmuten. Art. 20 III GG entbindet mich zudem auch nicht generell von wirtschaftlichen Überlegungen, wie sie auch das EGovG an diversen Stellen immer wieder hervor hebt (§ 7 I S. 3, § 6 S. 2, § 9 II ), und kettet die Kommunalverwaltung daher auch nicht an eine schlichte Empfehlung des BSI.

Fraglich bleibt, inwiefern die Verwaltung von Land und Kommune RESISCAN überhaupt beachten muss. Aus praktischen Gründen sicherlich nicht. Aus rechtlichen meines Erachtens ebenso wenig. Wo § 7 EGovG den "Stand der Technik" für Behörden des Bundes (kein Land, keine Kommune!) fordert, ist die RESISCAN am Ende in der Gesetzesbegründung (d. h. kein Gesetzesstatus!) nur als Beispiel genannt. Zudem könnte ich auch andere Schutzmechanismen einsetzen (RESISCAN S. 26 Fn. 15).

Der von den Autoren als weiteres Argument angeführte § 55b II VwGO gilt nicht für Verwaltungsakten sondern nur für Prozessakten (vgl. u. a. Köbler JurPC Web-Dok. 51/2015, Abs. 14). Den erwähnten Urteile des VG Wiesbaden wird in der Rechtsliteratur (z. B. Kurznachricht zu "Elektronische Verwaltungsakten und verwaltungsgerichtliche Kontrolle" von Vors. RiBVerwG Prof. Dr. Uwe Berlit, original erschienen in: NVwZ 2015 Heft 4, 197 – 200 und Skrobotz, jurisPR-ITR 5/2015 Anm. 2.) zu recht nicht gefolgt. Dem zu folgen ginge sogar noch über die Anforderungen der RESISCAN hinaus! Hier scheint es schon weniger um Recht sondern um handelnde Personen zu gehen.

Interessant ist der Gedanke des Outsourcings, der jedoch bei näherer Betrachtung ebenfalls keinen Mehrwert bringt. Die Aufgabe der Schutzbedarfsanalyse – die im Artikel meines Erachtens beinah bagatellisiert wird – kann nicht ausgelagert werden und stellt bei allen technischen Herausforderungen die erste und größte Hürde für unaffine Verwaltungen dar. Wie soll ich den Schutzbedarf von etwas einschätzen (Post), das ich noch nicht einmal kenne? Wie soll ein Mitarbeiter in der Poststelle das verantworten können, wenn er (bisher) noch nicht einmal die Post öffnen durfte? Für eine externe Lösung gibt es zudem aktuell nur zwei zertifizierte Lösungen für den öffentlichen Sektor. Da ist die Marktlage schwierig. Was hier verschwiegen wurde ist auch der nachgelagerte Aufwand. Wer TR RESISCAN sagt, muss auch TR-ESOR sagen!

Hätte man besser mal nichts gesagt…

Resiscan ein Produkt von Digitaliserungsboykotteuren?

Als ich den Artikel geelsen habe, dacht ich, dass sich da Digitalsierungsboykotteure austoben mit der klaren Message: "Lasst die Finger weg vom dem digitalen Scheiß! Nehmt Papier!"
Es ist absurd, was sich da deutsche Verhinderer im nationalen Alleingang ausdenken. Als Designkriterium wird immer die Beweisfähigkeit angeführt. Dabei war schon bei der Urkunde der Beweiswert zweifelhaft. Niemand kann sagen, ob die Unterschrift von dem Behaupteten ist, aber weil es auf Papier ist, muss es der Richter als Beweis würdigen. Es wird also der Gerichtsprozess im Streitfall als Maß aller Dinge genommen, statt des Nutzens im normalen Geschäftsprozess.
Das ist eine perverse Entartung, die sich offenbar nur Deutsche ausdenken können. Andere Länder haben solchen Mist nicht. Deshalb haben die auch 70% Nutzer bei E-Governmentangeboten, während D nur 34 % hat, Tendenz nachlassend. Hier sollte der Normenkontrollrat im Kanzleramt ansetzen. Hier werden Normen geschaffen, die der Bundesrepublik Deutschland nachhaltig schaden. Aber die werden wohl erst wach, wenn ein paar hunderttausend Menschen auf der Straße sind. Vorher lässt man das Land enthemmt verrotten. Ich wäre mal gespannt auf eine Begründung, warum nur Deutsche so einen enthemmt bürokratischen und nutzlosen Mist brauchen und der Rest der Welt nicht? Sind da nur frei herum laufende Irre am Werk? Aber bei uns kann man wohl auch ohne Begründung und ohne WiBe Gesetze und Verordnungen durchdrücken. Gegen die Bürger, gegen die Wirtschaft.
Nach dem Obama Motto: "Yes we can!" Wir bürokratisieren, weil uns niemand in den Arm fällt in unseren absurden, weltfremden Nische.

Ich bin für Ignorieren

Hallo Dr. Kampffmeyer,

ich kann mich nur Herrn Rösch anschließen: EINFACH IGNORIEREN ! Zumindest dort, wo es sich nicht um staatliche Bereiche handelt. Immerhin kommt ja einige Kritik inzwischen aus den staatlichen Stellen selbst, da braucht man anscheinend von außen gar nicht dran rühren.

Ansonsten möchte ich an dieser Stelle mal ein paar Gedanken loswerden, die das ganze Thema ELEKTRONISCH SIGNIEREN, egal ob beim Scannen, Archivieren, bei der Abgabe einer Willenserklärung oder bei einer Bestätigung ohne Einlassung auf die vom BSI aufgestellten Behauptungen beleuchten.

Lässt man sich nämlich auf die Ebene der RESISCAN Diskussion ein, dann hat man nur als Berater etwas davon. Einige dieser Berater sind nämlich genau DIE Leute, die bereits mit der TR-ESOR als Speichellecker des BSI (der damalige VOI als Steigbügelhalter der TR-ESOR :) ) ihr Ziel erreicht haben ... zuerst noch mehr Verwirrung durch eine TR-Überarbeitung stiften (übrigens schon damals die Fachleute ausgrenzend) und dann noch mehr Geld durch angeblich "neutrale" Beratung der verwirrten Kunden zu verdienen.

IT - Beratung ist inzwischen ein ziemlich mieses Geschäft. Seriös sind nur noch wenige Berater. Quatschen die nämlich den Kunden nicht nach dem Mund, sind sie raus aus den Projekten.

Für die Neulinge in diesem Bereich: Ich hatte bereits 2003 prophezeit, dass die QES für elektronische Rechnung Unfug ist und irgendwann fallen wird. Es hat immerhin fast 10 Jahre gedauert ... aber ich kann nur wiederholen ... solange das BMJ (nicht das BMI) und der BGH daran festhalten, dass die Unterschrift einer Urkunde ( == "verkörperte" Gedankenerklärung ) bei elektronischen Dokumenten mit gesetzlicher Anforderung der Schriftform nur durch eine QES ersetzt werden kann (siehe BGB §126 a), kommen wir auf der Ebene der sogenannten "gesetzlichen" Schriftform und den gesetzlichen Verankerungen der QES nicht weiter.

Dort liegt der Hase im Pfeffer ... die Probleme sind nicht in der Signatur selbst, sondern u.a. die durch per Gesetz notwendige Zuweisung eines SignaturPRÜFschlüssels (Public Key) und der daraus technisch resultierenden Zuweisung des Signaturschlüssels (Private Key) an den Benutzer, vor allem aber die Verwaltung der zeitlich begrenzten Zertifikate (über die erteilte Zuweisung). Weitere Probleme entstehen aus der sogenannten Nachsignierung von archivierten Signaturen (mit dem Private Key verschlüsselte Hash-Werte), da die Private Keys theoretisch zu einem späteren Zeitpunkt aus den Public Keys errechnet werden können, dann der Inhalt des elektronischen Dokuments verändert und mit dem errechneten Private Key erneut signiert und damit gefälscht werden kann. Es sei der Hinweis erlaubt, dass dieses Problem bereits mittels Nutzung sogenannter revisionssicherer Archive längst gelöst wurde.

Erst bei Einsicht der Politiker, dass sie von der sogenannten Krypto-Mafia (PostCom, Bundesdruckerei, secunet, und, und, und ...) im ersten Jahrzehnt dieses Jahrtausends massiv missbraucht wurden, indem ihnen selbst von solch Irrenden wie Otto Schily weisgemacht wurde, nur mit zertifikatsbasierten digitalen Signaturen könne man Terroristen identifizieren, gibt es vielleicht ein Umdenken. Noch heute hält die Angst, etwas falsch zu machen, die meiste Kritik unter dem Topfdeckel.

Erst bei massivem Leidensdruck werden die Normen- und Verordnungsfanatiker in ihre Schranken gewiesen werden. Dass Leute wie PWC und Zöller & Partner sich scheinbar kritisch zu RESISCAN äußern, ist reine Augenwischerei, vielleicht ist den Protagonisten ihr seltsames Verhalten selbst nicht bewusst.

Resican ist unsinnig

Mit Resiscan wird weiter versucht, nach 18 Jahren Signaturgesetz doch noch einen Einsatzfall für die qualifizierte Signatur zu finden. Dabei kann man die Technologie als gescheitert ansehen:
- die Trusctcenter von Post, Telekom und dne Banken haben sich aus dem Massengeschäft zurückgezogen.
- den Bürgern wurden mit der Gesundheitskarte und der Jobcard (Projekt Elena) Versprechungen gemacht, sie bekämen Signaturmöglichkeiten. Dieses Versprechen war ein leeres Versprechen der Bundesregierung.

Im Finanzministerium, wo es um Geld geht und nicht um Wirtschaftsförderung für eine winzige Nische, die nicht aus dem Quark kommt, hat man im §14 Umsatzsteuergesetz auf qualifizierte Signaturen verzichtet, weil sie nicht genutzt wurden und nur die Digitalisierung behindert haben.

Das Versprechen der Beweiswerterhaltung ist grober Unsinn. In der Schweiz gelingt es Richtern, Betrüger, die eine E-Mail verändern, wegen Urkundenfälschung in den Knast zu stopfen. Den Schweizern reicht der Beweis des Augenscheins (gibt es in Deutschland auch: im Strafrecht richterliche Augenscheinseinnahme (§ 86 StPO) und im Zivilrecht Augenschein (§§ 371 ff. ZPO)).

An der Verfassung vorbei, die unserem staatlichen Handeln Verhältnismäßigkeit abverlangt, bringt man mit Resiscan aber absurde bürokratische Krebsgeschwüre in Umlauf, die keinen Nutzen stiften, aber Staat, Bürger und Wirtschaft enorme Kosten verursachen würden, wendete man sie an, aber in Wahrheit nur die Digitalisierung behindern durch technischen unverhältnismäßigen Exzess.

Deutschland ist mittlerweile Schlusslicht in der Digitalisierung.
Was ist zu tun?
1.) Das BSI auflösen und zwei Behörden neu gründen. Eine kann sich weiter mit illegaler Spionage beschäftigen, wie der Vizepräsident des BSI, der vom BND kommt und regelmäßig zur NSA fährt, um dort Beihilfe zur Spionage für eine fremde Macht zu leisten.
2.) Eine von Spionen (auch die aus der Gründungsmasse, der ehemaligen Abteilung 6 des BND) freie Behörde, deren Mitarbeiter sich nur um Sicherheit von Behörden, Bürger und Wirtschaft kümmern, nicht aber um Spionage, Wirtschaftsspionage und Totalüberwachung der Bevölkerung. Für diese Mitarbeiter Zusatzausbildung: Verpflichtend Verfassungskunde (Siehe Verhältnismäßigkeit) und Betriebs- und Volkswirtschaft. In Zukunft dann nur noch Regelungsvorschläge, die extern validierte WiBes (Business Cases) vorlegen können. Externe müssen aus Bürgern, Wirtschaft und Staat rekrutiert werden, also den Opfern.

3.) Benchmark: wie macht das Ausland das?
- warum gibt es Urkundenfälschung bei E-Mails in der Schweiz und in Deutschland nur ein Kavaliersdelikt wie das Fälschen von Dissertationen in Bayern ohne Strafbewehrung?
- warum sind Verträge in UK rechtlich bindend, wenn als Unterschrift eine US-ASCII Zeichenkette des Namens oder eine eingescannte Unterschrift (also eine einfache Signatur nach EU-Signaturrichtlinie) eingefügt ist?
- warum soll man noch deutschnationale Regulierungen verfolgen, wenn die EU sich nicht noch einmal von Deutschland verarschen und verhöhnen lässt, wenn man einerseits nach Artikel 8 EU-DLR unterschreibt und andererseits EU-Ausländer vorsätzlich mit bösem Willen (wie Bayerns CIO im IT-Planungsrat) von der Umsetzung ausschließt und sie eben nicht einfach und online ihr Gewerbe anmelden lässt? Wer kommt für den Schadensersatz auf, wenn wir jetzt noch deutschnational ausrüsten und dann die EU was anderes fordern wird (wie wir das auf vielen Rechtsgebieten haben, die in D die Digitalisierung behindern, siehe z.B. das deutschnationale ZugFERD, das eher wieder ein lahmer Gaul werden wird).)
- welche Erlebniswelt haben die USA und China? Es ist völlig unzumutbar für die deutsche Wirtschaft, wenn über 180 Nationalstaaten auf der Welt nationale Sonderlocken basteln, die die Globalisierung behindern und den Bürokratieaufwuchs maximieren.
- Warum kann man im Ausland Belege einfach mit dem iPhone fotografieren und rechtsverbindlich anhängen, in Deutschland aber sich auf die Suche nach Anbietern für Lösungsmöglichkeiten für qualifizierte Signaturen auf einem zusammengebrochenen Markt machen?

Wenn die Fragen nach 18 Jahren immer noch nicht ordentlich beantwortet werden, warum den Deutschen mehr Aufwand aufgebürdet wird als in anderen freien und unfreien Ländern (selbst in kommunistischen Diktaturen), ist das Spielzeug der Techniker mit denen sie Juristen hereingelegt haben, einfach rundum abzulehnen. Der Boykott der Digitalisierung ist jetzt genug. Wir brauchen keine weitere Behinderung.

Dran bleiben oder noch besser: einfach ignorieren

Der immer wieder aufkommende Versuch in Deutschland in der IT Normen und Gesetze einführen zu wollen folgt dem Sprichwort "Und wenn ich nicht mehr weiter weiß, dann verfasse ich einen Normen...". Oh, das darf ich jetzt nicht fertigschreiben.

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht öffentlich zugänglich angezeigt.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.

Weitere Informationen über Formatierungsoptionen

CAPTCHA
Diese Frage hat den Zweck zu testen, ob Sie ein menschlicher Benutzer sind und um automatisiertem Spam vorzubeugen.
Bild-CAPTCHA
Enter the characters shown in the image.