Archivierung & Signaturen | Tagung in Marburg

30.06.2018

Vom 5. bis 6.. Juni 2018 fand das 23. Archivwissenschaftliche Kolloqium in Marburg statt [http://bit.ly/2NdoC67]. Dieses beschäftigte sich in starkem Maße mit der Frage elektronischer Signaturen. Hieraus einige interessante Überlegungen:

  • In Deutschland wird weiterhin die qualifizierte elektronische Signatur (QES) in allen Verwaltungsverfahren als unerlässlich. Nach eIDAS sind hier zulässig die bisherige personenbezogene, kartenbasierte QES, qualifizierte Siegel und qualifizierte Zeitstempel (mit oder ohne Signaturkarte). Letztere beiden erlauben zumindest automatisierte Signaturverfahren. 
  • Die Erhaltung des "Beweiswertes" durch Nachsignieren nach BSI 03125 TR-ESOR wird weiterhin forciert. Die Idee, dass es ausreicht den Nachweis zu führen, dass zum Zeitpunkt des Einganges in das Archiv (oder die Langzeitspeicherung) die Signatur geprüft und gültig war, setzt sich in diesen Kreisen nicht durch. Dies kratzt auch am Verständnis "Vertrauenswürdiger Archive" nach Nestor, die selbst für sich definieren können, wie sie Vertrauenswürdigkeit herstellen.
  • Die Vorgaben des BSI wie z.B. TR ESOR sind gesetzlich eigentlich nicht bindend, werden aber empfohlen. In der öffentlichen Verwaltung wird man aber in Deutschland nicht um den Einsatz qualifizierter Signaturen herumkommen, da hier das Verwaltungs- und E-Government-Recht "zuschlägt".
  • Interessant ist der Ansatz, die Verantwortung für die Beweiswerterhaltung den Archiven aufzuerlegen. Die Archivare der öffentlichen Verwaltung haben auch offenbar nichts dagegen sich aufwändige proprietäre Verfahren mit ArchiSafe, ArchiSig, ESOR, Resiscan usw. anzuziehen. Offenbar ist das Vertrauen, dass diese Techniken auch in 100 Jahren noch funktionieren sehr groß. Dem archivischen Grundsatz der Verfügbarkeit und Zugänglichkeit wird man aber bei solchen Verfahren nicht gerecht. 
  • Aufschlussreich ist die Darstellung, dass eIDAS für die Absicherung der Vertrauenswürdigkeit eine dritte Instanz erfordere. Wenn den mit Signaturen und Zertifikaten gearbeitet werde, sollte immer eine außenstehende Instanz für den unabhängigen Beweis sorgen. Ist es hier schon ausreichend, wenn dies das rechtlich eigenständige Rechenzentrum ist, dass die Verarbeitung für eine Behörde vornimmt und dann in ein Archiv eines Archivamtes überstellt das ebenfalls vom Rechenzentrum gehostet wird? Dies wäre eine einfache Möglichkeit einfach im Rechenzentrum alles an Informationsobjekten mit einem qualifizierten Zeitstempel automatisch zu signieren .. Dokumente, Audit-Trails usw. 
  • Sehr interessant ist die Überlegung der Verknüpfung von Signaturen und Zertifikaten mit den Archivobjekten (AIP) nach ISO 14721 OAIS Open Archival Information System bei der Langzeitspeicherung. Es werden hier die Signaturinformationen an das "Fixity"-Object zugeordnet, stehen aber außerhalb des Standard-OAIS-Modells. Hier gibt es inzwischen technische XML-basierte Standards, die dies im Objektmodell vorsehen (XAIP mit BARCHIV, XDOMEA und PREMIS). Übersehen wird hier unseres Erachtens, dass die AIPs im OAIS als selbsttragende, selbstbeschreibende Objekte entworfen sind und dass daher das Nachsignieren keine Auswirkungen auf das archivierte Objekt hat. Ein Hashbaum stände praktisch neben den Objekten, ohne deren Charakter und Beweiswert zu beeinflussen. Im OAIS entsteht der Beweiswert mit dem Archivieren. Der Einsatz von Zeitstempeln zur Absicherung beim Erstellen der Objekte, deren Zertifikate nicht verfallen, und eine revisionssichere Archivierung, die nachträgliche Veränderungen an Objekten und Metadaten verhindert, leisten hier bessere Dienste.
  • Neben den klassischen Hashbaum des Nachsignierenes treten inzwischen andere Verfahren, die auch im Kolleqium erörtert wurden. Dies sind zum einen "reduzierte Hashbäume", quasi als eigenständige Datensätze, und natürlich Distributed-Ledger- und Blockchain-Verfahren. Blockchain-artige Verfahren sind referentiell in sich geschlossen, benötigen kein Nachsignieren und entziehen sich letzterem auch durch ihre Architektur (sie haben im Prinzip ein ständiges, eingebautes Fortschreibend-Signieren). Die Vertrauenswürdigkeit kann auch bei Blockchain-Inhouse-Verfahren durch die Verwendung eines qualifizierten Zeitstempels einer unabhängigen Instanz erreicht werden.    
  • Die eID zum Signieren spielte in den ganzen Diskussionen offenbar keine Rolle.

Unsere Einschätzung (nicht unbedingt kompatibel mit den Vorträgen des Kolloqium):

  • Wenn schon gesetzlich gefordert, dann automatisiert alles mit (qualifizierten) Zeitstempeln und qualifizierten Siegeln signieren.
  • Dabei daran denken, das dies nach eIDAS auch per Fernsignatur möglich ist und dass man softwaretechnisch automatisierte Verfahren einsetzt, die ohne den "Verfall, das Weichwerden" der Zertifikate auskommen (z.B. in Kombination mit Audit-Trails als Blockchain zum Nachweis der ursprünglichen Gültigkeit). 
  • In einem "ordentlichen revisionssicheren elektronischen Archivsystem" ist ein Nachsignieren nicht notwendig. Dies gilt auch für objektorientierte Archivsysteme nach OAIS.
  • Die Privatwirtschaft braucht rechtlich gesehen keine Records-Management- und Archivsysteme mit Signieren und Nachsignieren wie die öffentliche Verwaltung. Hier werden diese Verfahren nur empfohlen. Es geht immer noch um den Anscheinsbeweis nach §§ 286, 371 ZPO.
  • Bevor man an das Signieren (wie z.B. bei Resiscan) denkt, sollte man sich klar machen, wo überhaupt die "hohe Qualität" mit qualifizierter Signatur erforderlich ist. Zahlreiche Dokumente benötigen diese nicht und andere, aus internen Prozessen, die sie benötigen könnten, entgehen der Signierung. Durchgängige, einheitliche Qualität ist wichtiger als vereinzelte "Inseln der Glückseligkeit" in bestimmten Verfahren.  
  • Wenn ein Objekt mit Signatur in einem Archiv ankommt, dann wird es auch mit der Signatur archiviert und es wird in den Metadaten eingetragen, dass das Dokument signiert war und das die Signatur zum Zeitpunkt des Archivierens gültig war. Das muss reichen. Man muss sogar soweit gehen, eine Signatur beim Archivierungsprozess brechen zu können, wenn es sich z.B. um ein kryptografisch verschlüsseltes Objekt handelt, das signiert ist, nun aber ausgepackt und konvertiert werden muss um es offen lesbar in einem Archiv langfristig verfügbar zu halten (als Referenzdokument zum nicht mehr lesbaren originären Dokument mit Signatur unter gleichem Index).
  • Im Vordergrund steht immer noch, das Dokument (besser das Informationsobjekt) vertrauenswürdig zu machen. Wie steht es aber um die Vertrauenswürdigkeit von Menschen, Prozessen und Systemen? Sind diese nicht viel entscheidender? Welchen Sinn macht es, dass eine Person per Signatur bezeugt, dass sie ein Dokument ordentlich erfasst hat, wenn der Nachweis fehlt, das die Unterschrift des Autors des Dokumentes richtig ist, dass es sich wirklich um den Urheber des Dokumentes handelt?
    Sich nur an das Dokument zu klammern, ist vielleicht der falsche Ansatz, wenn es um Vertrauenswürdigkeit geht. 
  • Der Dokument-Charakter von Informationsobjekten verschwindet zunehmend. TIFF, PDF, Word usw. werden in Verwaltungsverfahren durch Datensätze abgelöst, die in einer Maske angezeigt zwar so tun, als seien sie ein Dokument, aber längst Daten und Layout getrennt sind. Auch diese Datensätze mit "Dokument-Charakter" gilt es zu archivieren. Sie benötigen Prozess- und Transaktions-Informationen, um einen Nachweis führen zu können. Dies führt zu völlig neuen Formen von Objekten mit unterschiedlichsten Arten von Signaturen, von biometrischen bis zu Mobil-Signaturen, die nichts mehr mit den bisherigen Ansätzen wie "Signatur ist ein Attachment oder integriert in einem Dokument".
     

Zum Schluss:

Es herrscht weiterhin eine unselige Mißtrauenskultur.

Offenbar glaubt jeder, dass alle anderen es nur darauf anlegen, etwas zu fälschen.
Öffentlich-rechtliche Archive haben per se vertrauenswürdig zu sein!
Wenn man einem ordentlichen, "vertrauenswürdigen Archiv" der öffentlichen Hand nicht mehr trauen kann, wem denn dann? Warum müssen weiterhin - technisch mögliche, aber wenig sinnhafte - Sonderlocken-Verfahren eingesetzt, die dem archivischen Gedanken der langfristigen Zugänglichkeit und Verfügbarkeit zuwiderlaufen?
Warum muss in 100 Jahren noch nachgewiesen werden, dass eine Signatur damals nicht nur gültig war, sondern durch technische Prozesse immer wieder virtuell weitere Signaturen angebracht wurden, die nicht vom ursprünglichen Urheber des Dokumentes stammen.
Integrität kann man technisch unterstützen, Authentizität nur eingeschränkt wenn der Urheber selbst zeichnet (macht zukünftig in automatisierten Verfahren auch KI Künstliche Intelligenz - hat diese eine Unterschrift?), und "Availibility" bezieht sich auf die Zugriffsmöglichkeiten, den lesbaren Inhalt der Informationsobjekte (Availibility wird durch proprietäre Verfahren stark eingeschränkt).  
Nachweissicherheit im Records Management kann man auch anders erzeugen. Spätestens im Langzeitarchiv hat das Signieren und Nachsignieren nichts mehr verloren.
Die Sicherheit der Systeme selbst ist hier eher ein Thema, um das man sich kümmern sollte.

 

Kommentare

Neuen Kommentar schreiben

*
Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.