Man fühlt sich häufig ziemlich allein und verlassen mit der Resi
20. November 2015 17:08 Uhr | Dr. Ulrich Kampffmeyer | Permalink
Wenn man seit Jahren gegen die Auswüchse deutscher Sonderlocken kämp(f)t, fühlt man sich häufig ziemlich allein und verlassen. Dies gilt auch für das Thema Scannen & Signieren – die TR Resiscan. So geht es dem Kollegen Bernhard Zöller auch.
Bernhard Zöller hat sich auch wiederholt gegen die Auswüchse der BSI-Richtlinie TR 03138 RESISCAN positioniert, weil sie die erfolgreiche Einführung von elektronischer Vorgangsbearbeitung, E-Government im Besonderen, behindert, unnötigen Aufwand schafft und keine höhere Rechtssicherheit für den Anwender bringt. In einer Gesprächsrunde mit Vertretern des BSI Bundesamt für Sicherheit in der Informationstechnik beim BITKOM zum Thema Resiscan wurde er mit der Ansicht konfrontiert, dass er einer der ganz Wenigen sei, die Kritik an der Resiscan äußern. Wie gesagt – man fühlt sich häufig ziemlich allein und verlassen mit der Resi. Dass sich in der Branche viele namhafte Spezialisten ebenfalls gegen die Richtlinie positionieren, wird offenbar vom BSI und den Vertretern des Einsatzes der qualifizierten elektronischen SIgnatur (qeS) deutscher Prägung ignoriert.
Ein starker Brief an das BSI
Kollege Zöller hat daher einen Brief mit wesentlichen Kritikpunkten verfasst und Kollegen aus der Branche gebeten, diesen Brief mit zu zeichnen: http://bit.ly/Zoeller_Resiscan Die Liste der Unterzeichner findet sich am Schluss des Dokumentes.
Auch wir haben diesen Brief unterzeichnet und tragen den Inhalt – teilweise – mit.
Warum nur teilweise?
Weil der Brief und das Anliegen darin uns nicht weit genug gehen. Bernhard Zöller fordert das BSI auf, die Richtlinie praxisgerecht zu überarbeiten. Wir sehen keine Chance in einer Überarbeitung, wie sich dies bereits bei der TR 03125 von der TR-VELS zur TR-ESOR gezeigt hat. Unsere Empfehlung: Resiscan ersatzlos streichen!
Was man sonst noch so dazu sagen kann
Aber gehen wir ergänzend auf einige der Positionen aus dem Brief von Bernhard Zöller einmal ein:
-
Die Forderung nach einer Überarbeitung läuft ins Leere – denn die TR 03138 wird aktuell überarbeitet und erste Entwürfe kursieren. Es stellt sich hier eher die Frage, wer macht die Überarbeitung und wie stark ist die Lobby der Signierer in dieser Gruppe.
Die Überarbeitung der Resi macht überhaupt keinen Sinn – oder?
-
Wir sehen die Ungleichbehandlung von Informationsobjekten als wesentlichen Kritikpunkt. Gescannte Dokumente werden signiert, wobei die Signatur quasi eine Beglaubigung darstellt, dass der Inhalt korrekt, vollständig lesbar und unverfälscht erfasst wurde. Wir alle wissen, beim Scannen – mittels Bildverarbeitung – zu fälschen, sehr schwierig und in einem kontrollierten Prozess kaum möglich. Dagegen werden Dateien aus Host-Systemen, aus Office-Anwendungen, aus der E-Mail-Kommunikation, aus Social Media usw. im Original-Format gespeichert. Diese Dateien sind viel einfacher und jederzeit manipulierbar. Und diese werden nicht signiert. Betrachtet man dies aus der Sicht eines einheitlichen Speicherortes oder Archivs, dann liegen dann dort dann Informationsobjekte unterschiedlicher Qualität – kaum oder nicht veränderbare signierte Bilder, und veränderbare unsignierte Datei-Objekte.
Die Resi fürs Scannen macht überhaupt keinen Sinn – oder?
-
Beim Scannen mit Signatur im Massenverfahren wird zwar jedes Informationsobjekt signiert, aber nur jedes 20ste, 50ste oder 100ste oberflächlich in Augenschein genommen. Gelesen und nachgeprüft, jede einzelne Seite wird aber nicht. Wir erinnern hier an den XEROX Bug. Scanner veränderten Zahlen und Buchstaben. EIn Problem des Kompressionsverfahrens JBIG2. Millionen Dokumente wurden mit XEROX-Scannern erfasst, die zu diesen Fehlern führten. Nachweislich. Aber die Technik ist hier nicht das Problem. Es musste nur ein anderer Algorithmus gewählt werden. Das Problem ist, dass die visuelle Kontrolle des Scan-Ergebnisses versagt hat. Der Fehler blieb über 7 Jahre unbemerkt. Dies ist das eigentliche Problem – über 7 Jahre lang hat keiner es gemerkt! Wenn man das Dokument nicht liest und intensiv Buchstabe für Buchstabe vergleicht, fällt dies auch nicht auf. Und nun wenden wir dies einmal auf das Massenscannen an, wo nur Stichproben flüchtig angesehen werden.
Die visuelle Kontrolle im Massenverfahren nach Resi macht überhaupt keinen Sinn – oder?
-
Die elektronische Signatur schützt das Dokument nicht vor Veränderung oder Verfälschung. Sie macht nur sichtbar, wenn das Dokument verändert wurde. und dies kann schon beim fehlerhaften Speichern, Weiterleiten oder Abrufen ungewollt passieren. Die revisionssichere Archivierung schützt dagegen die Informationsobjekte gegen Verlust und Veränderung. Sie protokolliert zudem alle Aktionen mitd en Informationsobjekten. Sie führt Nachweise, wann und in welchem Zustand Informationsobjekte in die Aufbewahrung oder das Archiv eingebracht wurden. Und das revisionssichere Archivieren ist schneller und einfacher als das Scannen mit Signatur.
Signierte Dokumente nach Resi archivieren macht keinen Sinn – oder?
-
Und damit sind wir beim Thema "Nachsignieren". Deutschland hat zwar mit der qeS die beste und sicherste elektronische Signatur aller Zeiten, aber es gibt Leute, die meinen, die Signatur werde "schwach", werde "weich". Nicht Signaturen werden ungültig sondern nur die Zertifikate haben ein Verfallsdatum. Deshalb gilt auch, wer TR RESISCAN sagt, muss auch TR-ESOR sagen. Also Nachsignieren. Aufwand, proprietär, kaum migrationsfähig. Ein Kropf bis zum geht-nicht-mehr. Wenn die qeS in der Resiscan bleibt, lässt sich das Nachsignieren kaum vermeiden.
Das Nachsignieren bei der Resi macht überhaupt keinen Sinn – oder?
-
In der Resican gibt es einen ausführlichen Abschnitt zum Thema "Klassifizieren des Schutzbedarfs". Wer soll denn dies beim Scannen – oder gar bei Massenscannen, wo es um Schnelligkeit und Kostenersparnis geht – leisten. Ein Overhead sondergleichen. Besonders dann, wenn man einen Dienstleister einsetzt, dessen Mitarbeiter überhaupt nicht das fachliche Knowhow haben, um Dokumente inhaltlich, nach ihrem Wert, ihrem Rechtscharakter oder ihrem Schutzbedarf zu klassifizieren.
Die Schutzbedarf-Klassifikation nach Resi ist doch einfach praxisfern – oder?
-
Wer erinnert sich noch an die "Nürnberger Prozesse" – wir meinen die Musterprozesse zum Thema elektronisch signierter Dokumente. Das Ergebnis war klar. Es gilt immer noch die freie Beweiswürdigung durch den Richter. Ob nun signiert oder unsigniert spielt da kaum eine Rolle. Und man stelle sich die Beweisführung mit einem Notebook im Gerichtsprozess einmal vor, wenn man ein Dokument anzeigt und das Signatur-Icon drückt und das sagt "die Signatur ist ungültig" (weil das Zertifikat abgelaufen ist oder keine Verbindung zum Internet zwecks Prüfung besteht oder das Dokument nebst Zahlendrehern mit XEROXbug erfasst wurde). Es wird hier nur unnötig Angst geschürt. Und das Dokumente nach Resiscan vor Gericht keine bessere Sicherheit bieten zeigt das "Wiesbadener Urteil".
Also Scannen mit Signatur nach Resi verbessert nicht wirklich den Beweiswert – oder?
-
Und dann ist doch noch ein großer Pferdefuss in der Resiscan verankert, mehrfach: das BSI Grundschutzhandbuch. Überdimensioniert, widersprüchlich, veraltet. Besonders wenn man sich die Teile zum Thema Archivierung sowie Signatur antut. Wenn man wirklich so richtig mit Resiscan und Signieren und Nachsignieren und Grundschutz nach BSI und Schutzklassenklassifikation arbeiten wollte könnte man es auch gleich lassen.
Die Resi dient so nur zur Verhinderung der Digitalisierung und der Digitalen Transformation – oder?
-
Das Signieren mit der qeS ist ein totes Pferd, denn die qeS selbst ist tot, und wenn das Pferd nunmal tot ist, sollte man absteigen. In 25 Jahren hat es die qualifizierte elektronische Signatur nicht geschafft in Deutschland ausreichende Verbreitung zu finden. Zweck der Signatur war es ursprünglich, Geschäfte zwischen unbekannten Dritten in Hinblick auf Authentifizierung und Integrität der Nachricht abzusichern. Da sich dies weder im B2B noch im B2C und schon garnicht im C2C oder G2C durchsetzen ließ (zu aufwändig), hat man sich andere Anwendungsgebiete ausgedacht, wo man dieses Verfahren einsetzen könnte: bei der digitalen Geburtsurkunde (>100 Aufbewahrungspflicht und Erhalt der Verarbeitungsfähigkeit) oder eben beim Scannen und Archivieren.
Letztere Anwendungsgebiete, die sich in der Resi manifestieren, machen überhaupt keinen Sinn – oder?
-
Aber es gibt Hoffnung. Ab kommenden Jahr gilt auch in Deutschland eIDAS. Dann müssen wir in Deutschland auch andere Signaturen mit anderer Qualität und anderen europäischen Mitgliedsstaaten anerkennen – einfache Signaturen wie E-Mail-Footer aus England oder fortgeschrittene biometrische Signaturen oder gar Handy-Signaturen aus Österreich. Darf dann im Scan-Center eine Mitarbeiterin mit englischer Staatsbürgerschaft einfach mit ihrem Login-Datensatz die Erfassung dokumentieren lassen? Dies wird alles noch sehr interessant werden, weil damit die Sinnhaftigkeit und Verbreitung des qeS generell in Frage gestellt wird. Und es wird schon recht einsam für die qeS, weil immer weniger Anbieter dieses Verfahrens am Markt sind und auch die Post kein Post-Ident mehr anbietet.
Wir sollten uns von der qeS – auch in der Resi – endlich verabschieden und Europäer werden – oder?
Fazit
…alles andere hat schon Bernhard Zöller geschrieben:
Das Signieren und Nachsignieren müsste aus der Resiscan ersatzlos entfernt werden.
Die Prozesse müssten realitätsnah und praktikabel gestaltet werden.
Lösungen zum Scannen müssten sich auch bei mehr als einer kleinen Handvoll von Anbietern am Markt finden lassen.
Die Resiscan müsste aus der "Ecke der Bundesbehörden" (Kommunen brauchen die Resi nicht) raus – und dies geht nur, wenn sie unbürokratisch, kurz und nützlich ist.
Und dies ist leider nicht zu erwarten.
Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!
Wir freuen uns auf Widerspruch – oder!
Dr. Ulrich Kampffmeyer
Geschäftsführer
PROJECT CONSUL Unternehmensberatung GmbH
Danke für die PR
Hi Uli
Danke für die Öffentlichkeitsarbeit zum Thema. Ein paar kleine Anmerkungen:
Zweiter Anstrich „Ungleichbehandlung von Informationsobjekten“: Genau deswegen ist einer der zentralen Kritikpunkte im Anschreiben, dass sich die RESISCAN ja nur auf den Ausschnitt der Erfassung und da nur auf die Untermenge der analogen Objekte fokussiert. Und wir alle wissen, dass der Löwenanteil der Eingangsobjekte mittlerweile digital geboren ist. Ein RESISCAN-Anwender hat also – selbst wenn es ihm gelingen sollte, eine RESISCAN-konforme Erfassungslösung zu implementieren – was in der Regel mit überschaubarem Aufwand nur funktioniert, wenn er einfach alle Schutzklassen auf NORMAL reduziert – dann ist für ihn noch lange nicht Schluss mit den Hausaufgaben. Ein irrsinniger Doppelaufwand. Dann lieber eine normale Verfahrensdoku zur Ordnungsmäßigkeit des Gesamtverfahrens machen, machen, da war Scanning schon immer Bestandteil.
Dritter Anstrich zur Signatur im Scanverfahren. 100% Zustimmung. Signaturen haben beim Scannen NICHTS, aber auch GAR NICHTS verloren. Ein technischer Integritätsschutz gehört in die Archivschicht, nicht in die Erfassung. Die Fehlerquelle beim Scannen sitzt immer vor dem Scanner, was soll da ein eine technische Komponenten verhindern? Aber dieser Sündenfall der von lästigen Details zu Scanning und DMS-Verfahren befreiten Regulierungswut ist ja bereits vor 10 Jahren im SBG entstanden, als dort das ersetzende Scannen nur mit Signatur für zulässig erklärt wurde. Die logische Folge waren skurille Erfassungsprozesse (Seitenvereinzelung bei PDFs, damit man noch Seitentrennungen vornehmen konnte ohne die Signatur zu brechen und solche Sachen). Trotz Eingaben und Erläuterungen (damals noch aus dem VOI heraus)an das zustündige Bundesministerium für Gesundheit, Soziales und Arbeit hat man aber nie nachgebessert. Es finden sich ja immer ein paar Anbieter, die diese neue Lücke gerne bedienen und ein paar Dienstleister, die hier eine Sonderlocke programmieren. Und wahrscheinlich hat man es im BMGSA auch gar nicht verstanden, welchen Unsinn man hier losgetreten hat. Und dann liest man wieder und wieder von Digitaler Agenda und Entbürokratisierung und Unterstützung und Beschleunigung elektronischer Verfahren. Das sind Ansprüche, die haben mit der traurigen Praxis nichts zu tun.
Anstrich zum BSI Grundschutz. GAAAANZ wunder Punkt, wir haben im Anschreiben nur keine zweite Baustelle aufmachen wollen. In der RESISCAN wird ca. 50 mal auf den Grundschutz referenziert, dieser ist aber DRINGENDST überholungsbedürftig. Da stehen auch in der aktuellen Fassung (habe eben noch mal nachgeschaut, um sicher zu gehen) so Sachen drin wie in Modul M. 169: Verwendung geeigneter Archivmedien: 5,25 Zoll WORM (vor über 10 Jahren ausgestorben!) 12 Zoll WORM (vor ca. 20 Jahren ausgestorben!). Diese Dinger gab’s schon nicht mehr bei EBay als die erste Version des Archivmoduls im Grundschutz herauskam. Ups, Denkfehler: Ich glaube sogar, die gab es schon nicht mehr, als Ebay herauskam. Wo kriegt das BSI denn solche Texte her? Das ist ja gruselig. Es ist aber leider nicht so, dass dem BSI diese Unzulänglichkeiten unbekannt sind. Wir haben seit Jahren wieder und wieder darauf hingewiesen. Es passierte aber nichts. Wie kann man denn den Grundschutz zur Quasi-IT Pflichtlektüre ernennen aber keinen Plan haben, wie man wie man die Texte aktuell hält, wir reden schließlich von IT (= hohe Aktualisierungsrate!). Gleichzeitig wird aber der BSI Grundschutz als der heilige Gral der IT Sicherheit hochgehalten und als Basis für IT-Sicherheitszertifizierungen herangezogen. Ein nicht mit den Materie vertrauter Projektleiter kann ja nicht einfach den BSI Grundschutz ignorieren, und schon gar nicht im öffentlichen Bereich. Und weiß er, welche Module aktuell und vernünftig und welche dagegen veraltet und zu ignorieren sind? Und so nimmt das Unheil seinen Lauf. High-Tech-Land Deutschland? Es ist doch nur noch ärgerlich, wie hier einer boomenden DMS-Branche (auch vielen Herstellern und Dienstleistern aus dem D.A.CH-Markt) Knüppel zwischen die Beine geworfen werden. Ich rede hier nicht von uns Beratern: Wie verdienen ja sogar an solchen bürokratischen Regularien, weil man wieder Checklisten, Mustervorlagen, Seminare und dergleichen verkaufen kann. Aber es BEHINDERT MASSIV die ganz normale Projektarbeit, von neuen, smarten E-Akte Lösungen ganz zu schweigen. Und damit behindert es uns alle – Anbieter, Anwender und Berater – weil es dem Anwender auf einmal gar nicht mehr so attraktiv vorkommt, in moderne ECM-Lösungen zu investieren.
Das ist lobenswert.
Lieber Bernhard,
vielen Dank für Deine Antwort und die ergänzenden Kommentare.
Ich kann auch Deine persönliche Kritik, die Anlass für das Schreiben war, gut nachvollziehen.
Ich betrachte das Ganze aber inzwischen gelassener. Wer immer sich einen Klotz wie die Resi langfristig ans Bein binden will, soll er – aber derjenige soll hinterher nicht sagen, er habe nicht gewusst, was für ein Blödsinn das Signieren beim Scannen ist. Das Signieren beim Scannen ist eine Initiative um die Digitalisierung zu verhindern und besonders das E-Government in Deutschland mit all seinen Agenden ad absurdum zu führen.
Ich habe mich anders als Du, Bernhard, schon vor einigen Jahren aus Verbänden, Standardisierungsgremien, Kommissionen, Arbeitskreisen und Pro-Bono-Aktivitäten zurückgezogen. Auch sehe ich das Thema angesichts anderer aktueller Probleme im Umfeld ITK und Gesellschaft als nachrangig an. Seit mehr als 15 Jahren habe ich mich in über 100 Artikeln, Vorträgen, Kommentaren und Posts mit der qeS, der qualifizierten elektronischen Signatur mit Anbieterakkreditierung nach deutschem Signaturgesetz vom 22. Juli 1997, und ihren Folgen wie SRVwV, TR VELS, eGovG, TR ESOR, TR Resiscan usw. usw. sehr kritisch auseinander gesetzt. Es gibt Wichtigeres.
Nun wäre es eigentlich auch einmal an der Zeit die positiven Effekte, die getätigten Anstrengungen und alles, was dankens- und lobenswert ist, zu würdigen.
Bereits bevor der Brief des Kollegen Zöller abgesendet wurde haben die zuständigen Behörden und Gremien mit der Überarbeitung der BSI-Richtlinie TR 03138 in einem vollkommen transparenten Verfahren und unter Beteiligung ausgewiesener Spezialisten begonnen. Das ist lobenswert.
Die akademische Forschung ist für den Industrie- und Wissensstandort Deutschland essentiell. Forschung muss finanziert werden. Wer es dann schafft mit seinen Ansätzen Fördermittel für immer wieder neue Vorhaben und Folgevorhaben zu erhalten, hat es aus Forschersicht richtig und professionell gemacht. So wurde die elektronische Signatur mit allen denkbaren Nutzungsformen ausführlich erforscht. Das ist lobenswert.
Was erfunden wird, wird auch eingesetzt; was theoretisch machbar ist, wird in die Praxis überführt. So findet Forschung statt und führt dann in sinnvolle, nützliche Produkte, die alle gern einsetzen und die zur Entwicklung einer fortschrittlichen (Informations)Gesellschaft hilfreich sind. So wurden auch Mechanismen aus dem Umfeld der elektronischen Signatur für vielfältige Anwendungen umgesetzt, auch außerhalb der ursprünglich vorgesehenen, aber zu eng gefassten Einsatzgebiete. Das ist lobenswert.
Der Einsatz der qualifizierten elektronischen Signatur deutscher Prägung bietet eine hohe Sicherheit und sorgt für Beweiswert vor Gericht. Die windelweichen europäischen Regelungen zu elektronischen Signaturen sollten die deutsche Qualität nicht ablösen. Besonders das Scannen, wo jedes Dokument einzeln gelesen, Buchstabe für Buchstabe mit dem Original verglichen und dann Authentizität, Lesbarkeit, Richtigkeit und Vollständigkeit beglaubigt wird, setzt den Qualitätsmaßstab für die Flut elektronischer, „digital born“ Dokumente, die uns überschwemmen. Das ist lobenswert.
Die Fähigkeiten von Forschern, Promotern und Industrievertretern, die es schaffen, ihre Innovationen auch in Gesetzen und Verordnungen zum Wohle der Gemeinschaft zu verankern, können nicht hoch genug gewürdigt werden. Auch die Verbreitung der elektronischen Signatur in zahlreichen Vorgaben profitiert hiervon, selbst an Stellen, wo man sie nicht erwartet hätte. Das ist lobenswert.
Öffentliche Institutionen, Behörden und deren Mitarbeiter werden mit Steuermitteln finanziert. Richtlinien zur Schaffung von einheitlichen Standards, Nutzung von Synergien und Förderung der jeweils besten Entwicklungen helfen Steuermittel zu sparen und diese nur sinnbringend und effizient einzusetzen. Siebzehn Jahre lang wurde so auch der Einsatz der elektronischen Signatur gefördert. Das ist lobenswert.
Das BSI Bundesamt für Sicherheit in der Informationstechnik hat vielfältige Herausforderungen zu meistern. So können Themen wie optische Speicher oder das Digitalisieren von Papier nur nachrangig sein. Es geht um Sicherheit, wie der Name schon sagt. Es gilt sich dort auf die Sicherheit der Netze des Bundestages, den Schutz der Bürger vor Ausforschung, die Absicherung von Innovationen der deutschen Industrie vor Industriespionage und die Telekommunikationsgeräte deutscher Politiker zu fokussieren. Das ist lobenswert.
Das Verwaltungswesen in Deutschland ist modern und auch aktuellen Techniken aufgeschlossen, die Erleichterungen und besseren Service für Kunden ermöglichen. So ist es mehr als konsequent, wenn sich Beamte bei der Umsetzung von technischen Verfahren an die Empfehlungen und Vorgaben der zuständigen Institutionen halten und sich nicht durch anderes, was sonst noch ginge, beeinflussen lassen. Vollständige Erfüllung der Vorgaben in allen denkbaren Anwendungsbereichen ist ein Zeichen deutscher bürokratischer Standfestigkeit. Das ist lobenswert.
Verbände haben die Aufgabe, die Interessen ihrer Mitglieder zur Erreichung der Ziele des Verbandes umzusetzen. Auch wenn sich Verbände manchmal in diesem Umfeld nur untereinander miteinander beschäftigen und manche Ziele nicht ganz eindeutig herauskommen, so ist dies jedoch bei den Anwendungsgebieten der elektronischen Signatur konsequent und klar im Sinne der Mitglieder umgesetzt worden. Das ist lobenswert.
Die Diskussion erfolgt sehr zivil und lässt persönliche Schuld- oder namentliche Verantwortungszuweisungen außen vor. Man bewegt sich neutral und höflich auf der Ebene von Institutionen, Gruppen und Projektteams. Herausragend ist aber das Eingehen auf andere Meinungen und das Aufgreifen aktueller Entwicklungen in der Diskussion – unerwartet gerade aus der öffentlichen Verwaltung. Das ist lobenswert.
Bei allen Produktbewerbungen, die die elektronische Signatur und auch das Scannen mit Signatur betreffen, ist eine objektive aber auch vorausschauende Offenheit festzustellen. Es wird auch außerhalb der betroffenen öffentlichen Verwaltung deutlich gemacht, dass wenn man mit der Verwaltung "auf Augenhöhe" sein will, man doch auch in der freien Wirtschaft auf diese innovativen, effizienten, rechtssicheren und kostengünstigen Verfahren setzen sollte. Das ist lobenswert.
Bei wem trotz des Lobes ein schaler Nachgeschmack geblieben ist, der bleibt halt bei unserem Merksatz:
Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!
Wir freuen uns auf Lob und Widerspruch!
Dr. Ulrich Kampffmeyer
Geschäftsführer
PROJECT CONSUL Unternehmensberatung GmbH
TR-RESISCAN und QES
Obwohl ich mich bereits vor Jahren aus der aktiven Verbandstätigkeit als ehemaliger Leiter des CCES Competence Center Elektronische Signaturen zurückgezogen hatte, erlaube ich es mir dennoch, gelegentliche Kommentare hier oder im XING zu posten.
Die vom BSI verfasste TR-RESISCAN betrifft zwar nicht mein eigenes Geschäftsfeld, weshalb ich mich auch nicht auf deren Inhalt einlassen möchte, aber zu elektronischen Signaturen und ihrer Gesetzeslage hat sich kaum etwas geändert und daher kann ich bestimmte Zusammenhänge zur QES oder anderen elektronischen Signaturen nur gebetsmühlenartig immer wieder verdeutlichen.
Unklar ist mir nach Lesen des "Briefes" an das BSI, ob es sich um ein Schreiben der BITKOM ECM Gruppe oder "lediglich" um ein Schreiben der unterschreibenden Unternehmen handelt. Nachstehender Kommentar ist dennoch für beide Fälle gültig.
Solange die QES als Beruhigungspille für Politiker/innen (siehe Frau Zypris, ehemalige BSI Mitarbeiterin), die sich natürlich auf das BSI verlassen, deren Mitarbeiter wiederum an der Beibehaltung ihrer Wichtigkeit interessiert sind, in Unkenntnis der wahren organisatorischen Sachverhalte in den Unternehmen (Irreführung durch Lobbyismus), weiterhin in Gesetzen implementiert oder beibehalten wird, ist alles hoffnungslos. Ich empfehle mal folgenden Link zum Eigenverständnis des BSI:
https://www.bsi.bund.de/DE/DasBSI/Historie/historie_node.html
Die ganze Situation mit der TR- RESISCAN erinnert mich an den VOI. Einige der heutigen BITKOM ECM Mitglieder hatten bereits zur Zeit ihrer VOI Mitgliedschaft, als sie mit dem BSI über die TR-VELS diskutiert hatten, nicht verstanden, dass man sich POLITISCH engagieren muss, also mit dem BMI und vor allem mit dem BMWI kommunizieren muss, anstatt sich auf die Diskussion über die technische Verfahrensweise der BSI Hardliner einzulassen.
Das ist so, als würde man mit dem Fahrer reden, anstatt mit dem zuständigen Sachbearbeiter. Den Chef-Vergleich will ich erst gar nicht anbringen. Dr. Bartonitz wird sich sicherlich noch erinnern, dass ich dem damaligen VOI Vorstand angeboten hatte, die bestehenden Kontakte zum BMWI (siehe ESMU Projekt) auch für das Problem der Scan-Signierung sowie der Nachsignierung zu nutzen.
Meine damalige Ausgrenzung, die Überheblichkeit der damaligen VOI-Verantwortlichen, deren Unfähigkeit, die wahren Sachverhalte richtig einzuordnen, sowie ihrer Harmoniebedürftigkeit mit dem BSI beobachte ich noch heute mit einem Lächeln. Tja, Überheblichkeit kommt eben vor dem Fall.
Sich mit dem BSI über die TR-RESISCAN zu unterhalten ist nichts anderes, als über die Farbe der Gitter vor dem eigenen Fenster zu verhandeln.
Im Gegensatz zum "mächtigen" BITKOM habe ich als Einzelkämpfer wenigstens erreicht, dass mit dem 1.SigÄndG (mit eingebracht vom damaligen BMWI) von 2005 fortgeschrittene Signaturen auch ohne Zertifikat gemäß EU-Direktive von 1999 als Beweismittel vor Gericht eingesetzt werden können. Das war Lobbyismus in eigener Sache und zwar ohne VOI. Auch meine – zugegeben inoffiziellen – Gespräche mit dem BMF und meine fast ein Jahrzehnt dauernde permanente – und immer begründete – Kritik an der Rechnungs-QES haben sicherlich ihren Teil zum Fall bzw. zur Gesetzesänderung hinsichtlich Aufhebung der bis dahin zwingenden Notwendigkeit einer QES für elektronische Rechnungen geführt.
Natürlich hat Herr Zöller hinsichtlich Verfahrensdokumentation bezüglich QES-freies Scannen und Sicherung der Beweisfähigkeit durch das revisionssichere Archiv inhaltlich völlig recht. Neben Dr. Kampffmeyer predige ich genau DAS bereits seit über 10 Jahren. Auch Dr. Bartonitz ist schon vor Jahren zu dieser Ansicht gekommen. Es wäre erfreulich, wenn nun auch Andere zu dieser Einsicht kommen würden. Die QES beim Scannen muss fallen. Alles andere ist einfach unwichtig und Verschleuderung von Ressourcen.
Das Problem ist jedoch: Die BITKOM ECM Gruppe bzw. die Unterzeichner des Briefes verhandeln einfach mit den falschen Leuten. Die sollten sich mal ein Beispiel am TeleTrusT oder Leuten wie Arno Fiedler nehmen, die wissen nämlich, wie man an die entsprechenden Ministerialräte kommt und diese zu entsprechenden Veranstaltungen einlädt.
Man könnte sich ja mal die Organigramme der Abteilungen in den Ministerien besorgen (gibt es als PDF zum Download) und dann gezielt die Referatsleiter oder Ministerialräte anschreiben. Ich befürchte jedoch, dass man wieder lieber das Gegenteil macht, anstatt der Einsicht zu folgen.
Entscheidet man sich dann, im Rahmen einer Initiative zu agieren, sollte man sich eine öffentliche Plattform suchen.
Ein weiteres Problem ergibt sich natürlich aus der Überschrift des Blogs … man verliert u.U. das Wohlwollen der Mächtigen und man muss sich die Frage stellen, ob man auf solch ein Wohlwollen angewiesen ist und eventuell kommerziell sich einschränken muss. Immerhin war die Hoffnung auf mehr Gehör im ECM Umfeld einer der wesentlichen Beweggründe, dass die mit dem VOI groß gewordenen DMS Anbieter zum BITKOM gewechselt waren. Ich hatte das Glück, mein dediziertes Geschäftsmodell trotz Meinung gegen den Mainstream beibehalten zu können.
Nachdem man kompetente Ansprechpartner in den Ministerien (nicht Ämtern) ermittelt hat, sollte man ihnen gebetsmühlenartig klipp und klar verdeutlichen, dass Großhersteller mit Verwendung der TR-RESISCAN kompatiblen Komponenten die Innovation (vor allem für die Behörden) verhindern und außerdem verteuern und dass es die kleinen deutsche DMS Anbieter waren/sind, die wesentlich zum technologischen Vorsprung beigetragen haben.
Rolf Schmoldt
Brief zur TR 03138 Resiscan
Der Brief von Bernhard Zöller an das Projektteam der BSI-Richtlinie TR 03138 RESISCAN findet sich jetzt auch im BLog auf der Zöller&Partner-Webseite: http://www.zoeller.de/initiative-zur-ueberarbeitung-der-tr-resiscan/