Nachsignieren: auf ein Neues!

17. August 2012 10:38 Uhr  |  Dr. Ulrich Kampffmeyer  |  Permalink


Wer die Diskussion um die BSI TR 03125 im vergangenen Jahr verfolgt hat, war sicherlich der Meinung, dass substantielle Veränderungen der ursprünglichen TR-VELS in der neuen TR-ESOR zu einer Beschränkung der Einsatzfelder und klareren Zuordnung geführt hat. Mit der geänderten Version der Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik "Beweiswerterhaltung kryptografisch signierter Dokumente" schien Ruhe in der Diskussion ( auf XING http://bit.ly/TR-03125 ) eingekehrt.

Es gibt nun mehrere Gründe, das Thema "Nachsignieren" erneut aufzugreifen.

  1. Verankerung der TR-03125 im Organisationskonzept elektronische Verwaltungsarbeit
    Im Organisationskonzept elektronische Verwaltungsarbeit, Dokument "Elektronische Akte" ( http://bit.ly/E-Akte ) wird auch auf die TR-03125 eingegangen. Da es sich bei der "Elektronischen Akte" um ein Konzept für alle Behörden und Unternehmen öffentlichen Rechts handelt, wird der Eindruck erweckt, auch hier müsse generell das Nachsignieren elektronisch signierter Dokumente zur Beweiswerterhaltung vorgenommen werden. Auf die offene Frage, wie denn elektronisch signierte Dokumente, die mit De-Mail versendet wurden, nachsigniert werden sollen, wird nicht eingangen. Der Ansatz zur Erhöhung der Beweisfähigkeit ist ehrenwert, aber das Nachsignieren ist überflüssig.
     
  2. Umsetzung in eine DIN Norm
    Der umbenannte DIN Arbeitskreis NA 009-00-15-06 "AK Beweiswerterhaltung von kryptographisch signierten Dokumenten" setzt die Umsetzung der TR-ESOR in eine DIN-Norm fort. Diese soll unter der Nummer DIN 31647 veröffentlicht werden. Hierdurch gewinnt die TR-03125 universelle Bedeutung für alle qualifiziert elektronisch signierten Dokumente. Jede Organisation, die die Berücksichtigung von DIN-Normen in ihren Systemen verlangt und außerdem auf die Sicherheitsanforderungen des BSI setzt, wird sich auch mit der DIN 31647 beschäftigen müssen.  Der Ansatz zur Erhöhung der Beweisfähigkeit ist ehrenwert, aber das Nachsignieren ist überflüssig.
     
  3. Nachsignieren und De-Mail
    Das De-Mail-Gesetz sieht vor, dass Behörden De-Mail als das zukünftige altgernative Medium anstelle von Papierbriefen nutzen sollen. Darüber hinaus rechenen die Anbieter von De-Mail damit, dass auch in der Wirtschaft und im geschäftlichen privaten Bereich, sich die De-Mail als Ersatz von Papierbriefen etabliert. ungeklärt ist, ob die De-Mail die qualifizierte elektronische Signatur (QES) ersetzen kann (und soll) oder ob es aus rechtlicher Sicht notwendig ist, mit QES signierte elektronische Dokumente zu versenden (die dann bei Absender und Empfänger gleichmaßen beweisfähig gehalten, d.h. nachsigniert werden müssen). Der Ansatz zur Erhöhung der Beweisfähigkeit ist ehrenwert, aber das Nachsignieren ist überflüssig.
     
  4. Igonieren der Prinzipien der revisionssicheren Archivierung
    Seit 20 Jahren werden in Deutschland sichere Systeme angeboten, die den Grundsätzen der Revisionssicherheit folgen, und damit den Nachweis ermöglichen, dass seit dem Zeitpunkt der Archivierung keine Veränderung am archiverten Objekt vorgenommen wurde. Dies löst die gesamte Problematik des Nachsignierens. Zusäzlich können bei Bedarf die Prinzipien von Nestor für eine vertrauenswürdige elektronische Archivierung angewendet werden. Der Ansatz zur Erhöhung der Beweisfähigkeit ist ehrenwert, aber das Nachsignieren ist überflüssig.
     
  5. Der Zeitpunkt des Nachweises von Integrietät und Authentizität ist entscheidend
    Die qualifizierte elektronische Signatur hilft beim sicheren Dokumentenaustausch und beim Identifizieren des Absenders. Sie wird beim Empfang geprüft. Dieses Ergebnis wird festgehalten. Damit ist die weitere Absicherung im Rahmen des Workflows, im Rahmen von Collaboration, im Rahmen der Archivierung überflüssig. Man hat den Nachweis, das zum Zeitpunkt des Empfanges alles korrekt war. Dieser Nachweis wird mitarchiviert und durch Protokolle wird der Archivierungsvorgang mit der Sicherstellung der Unverändertheit nachvollziehbar. Der Ansatz zur Erhöhung der Beweisfähigkeit ist ehrenwert, aber das Nachsignieren ist überflüssig.
     
  6. Nachsignieren ist im Prinzip eine ständige Manipulation
    Die Prinzipien des Nachsignierens, sei es über Hash-Bäume sei direkt die Objekte neu zu "verpacken" ist eine ständige Manipulation der Verwaltungsinformationen. Nachsignieren erhöht die Risiken und hat keinen wesentlichen Beitrag zur Sicherheit. Der Ansatz zur Erhöhung der Beweisfähigkeit ist ehrenwert, aber das Nachsignieren ist überflüssig.
     
  7. Vertrauensverlust durch Argumentation "Weichwerden von Signaturen"
    Durch die Argumentation der Protagonisten des Nachsignierens wird der Wert der elektronischen Signatur in der Wahrnehmung beim Anwender untergraben. Das Nachsignieren ist kontraproduktiv für die Akzeptanz der elektronsichen Signatur. Nur Spezialisten können erkennen, dass es lediglich umd ie Gültigkeit von Zertifikaten geht. Deutschland hat eine der weltweit am besten abgesichersten elektronischen Signaturen, die qualifizierte elektronische Signatur mit Anbieterakkreditierung. Mit den Behauptungen, dass diese Signaturen "weich" oder "schwach" werden können, wird der Einsatz untergraben. Die Kombination der sicheren QES in der Übertragung mit der anschließenden Archivierung im revisionssicheren Archiv macht diese den Wert der Signatur herabsetzende Argumentation unnötig. Der Ansatz zur Erhöhung der Beweisfähigkeit ist ehrenwert, aber das Nachsignieren ist überflüssig.
     
  8. Zusätzliche Komplexität und Kosten machen Nachsignieren unwirtschaftlich
    Verwaltungen und Unternehmen werden mit dem Nachsignieren hohe Betriebskosten und langfristige Bindung an Systemauslegungen auferlegt. Gerade bei Unternehmen sind durch die Schriftform nur ganz wenige Dokumente betroffen und diese sind auch nur zum Teil signiert. Hieraus eine Verantwortung abzuleiten, durch TR-03125, OKeVA und/oder DIN, generell in das Nachsignieren zu investieren, ist unverantwortlich. Der Ansatz zur Erhöhung der Beweisfähigkeit ist ehrenwert, aber das Nachsignieren ist überflüssig.
     
  9. Welche Dokumente sind nach welcher gesetzlichen Grundlage überhaupt betroffen?
    Nicht alle elektronisch signierten Dokumente müssen auch nachsigniert werden. Um dies steuern zu können, müsste eine entsprechende Klassifikation und Unterscheidung vorgenommen werden. Diese kann in Abhängigkeit der Aufgaben einer Behörde oder Tätigkeit eines Unternehmens sehr unterschiedlich sein. Der Ansatz zur Erhöhung der Beweisfähigkeit ist ehrenwert, aber das Nachsignieren ist überflüssig.
     
  10. Nachteile durch unterschiedliche Qualität im Archiv
    Die Nutzung signierter Dokumente mit Nachsignieren führt zu einer unterschiedlichen Qualität in den Archiven. Zum Teil sind "hochqualitative elektronisch signierte/nachsignierte" Dokumente enthalten, zum Anderen sind im gleichen Vorgang, in der gleichen elektronischen Akte, im gleichen Sachzusammenhang gescannte Dokumente, E-Mails, importierte De-Mails, Fax, SMS, Office-Dokumente usw. Die eigentlich hohe Qualität des signierten Dokuments wird durch den Kontext mit den anderen "schwächer beweisfähigen" Dokumenten stark gemindert. Da Einzeldokumente immer weniger eine entscheidende Rolle spielen sondern der Sachzusammenhang im Kontext mit anderen dazugehörigen Dokumenten wichtiger wird (siehe auch in den USA das FRCP), stellt die isolierte Nutzung des Nachsignierens einen unnötigen Overhead dar. Der Ansatz zur Erhöhung der Beweisfähigkeit ist ehrenwert, aber das Nachsignieren ist überflüssig.
     
  11. Der Mythos von der Rechtssicherheit
    Gesetze können und werden sich ändern – auch nachträglich und rückwirkend. Diese haben wir gerade beim Thema "Zugriff auf Archive durch den Außenprüfer" erleben dürfen. Es ist nicht zu erwarten, dass über die Aufbewahrungsfristen, die mehr als 30 Jahre betreffen können, Technik und Gesetzeslage die dauerhafte "Rechtssicherheit" der archivierten signierten Dokumente garantieren können. Wird mit Rechtssicherheit beid er langzeitigen Aufbewahrung geworben, dann sollte sich der Anwender ein einklagbares Recht auf zukünftige rechtssichere Verfügbarkeit und Penalen vertraglich geben lassen. Der Ansatz zur Erhöhung der Beweisfähigkeit ist ehrenwert, aber das Nachsignieren ist überflüssig.
     
  12. Internationalität
    Das Nachsignieren ist fast nur in Deutschland verbreitet. Im internationalen Geschäftsverkehr spielt es keine Rolle und ist eher hinderlich (Empfang von nicht-qualifiziert aber dennoch elektronisch signierten Dokumenten aus dem Ausland; blocken von Dokumenten mit nicht identifizierbaren kryptographischen Anhängen beim Empfang auf ausländsichen Servern). Benötigt werden internationale Standards für die sichere Kommunikation, die in den Basis-Produkten der großen Anbieter wie Microsoft, Google etc. standardmäßig enthalten sein müssen. In einer globalisierten, auf Informations- und Kommunikationstechnik basierenden Wirtschaft und Gesellschaft  stellen nationale Sonderwege ein Hindernis dar und verringern deutlich die Chancen im Wettbewerb zu bestehen. Der Ansatz zur Erhöhung der Beweisfähigkeit ist ehrenwert, aber wie usn schon Shakespeare vor Augen hielt, ist "Ehrenwert" nicht immer "Ehrenwert" – und – das Nachsignieren ist einfach überflüssig.

 

Die Initiativen zum Nachsignieren müssen gestoppt werden!
Was technisch geht muss nicht unebdingt sinnvoll sein.
Bürgern, Wirtschaft und Verwaltung dürfen nicht durch das Nachsignieren unnötige organisatorische, finanzielle und technische Bürden aufgelegt werden.
Signaturen bei der elektronischen Kommunikation sind sinnvoll, in revisionssicheren Ablagen und Archiven müssen sie nicht durch Nachsignieren "manipuliert" werden.
Das "Schlechtmachen" der hochqualitativen elektronischen Signatur in Deutschland durch Äußerungen "die Signatur wird weich", "die Signatur wird schwach", "die Signatur ist nicht mehr beweisfähig" usw. muss unterbunden werden. Die Akzeptanz der elektronischen Signatur muss gestärkt werden, soll sie noch Erfolg haben!
Das Nachsignieren ist für Nutzung und Akzeptanz der elektronischen Signatur ein Sargnagel!

Dr. Ulrich Kampffmeyer

 

Dr. Ulrich Kampffmeyer

Curriculum auf Wikipedia https://de.wikipedia.org/wiki/Ulrich_Kampffmeyer

2 Kommentare zu “Nachsignieren: auf ein Neues!

  • Diskussionen auf XING QES Qualifizierte elektronische Signatur
    23. August 2012 um 10:24
    Permalink

    Auf XING in der Gruppe "Information & Document Management" ( http://bit.ly/X-IDM ) wird das Thema QES qualifizierte elektronische Signatur in mehreren Beiträgen wieder diskutiert, z.B. hier:

    Qualifizierte elektronische Signatur bei Rechnungen in Österreich war der Anlass, generell über Sinn und Unsinn der Signatur zu diskutieren: http://bit.ly/Pe7nN4 . Der neue Slogan ist "QES esse delendam": http://bit.ly/QES-esse-delendam . Besonders zwei Beiträge von Wolfgang Ksoll stellen die Signatur generell in Frage: http://bit.ly/NmHFnW und http://bit.ly/weg-mit-der-QES .

    Die BSI TR 03125 (TR-ESOR) macht sich überall breit und es gilt erneut die Frage nach der Sinnhaftigkeit des Nachsignierens zu stellen: http://bit.ly/MO0mW8

    Die Nichtanerkennung biometrischer Signaturen bei bestimmten Vertragsabschlüssen war hier der Anlass: http://bit.ly/Pe2Lqd

    Bei den letzten beiden großen Diskussionen zum Thema ("Elektronische Archivierung & elektronische Signatur" http://bit.ly/NH2G2y und TR-VELS / TR_03125 "Nachsignieren" http://bit.ly/Q1EojF ) hatten sich auch die Promotoren der QES udn des Nachsignierens eingeschaltet. Mal sehen, wie es diesmal weitergeht.

    Antwort
  • BSI TR 03125 : der Gesetzgeber drängt auf Beweissicherheit?
    29. August 2012 um 13:29
    Permalink

    Die Story um die TR 03125 geht weiter. Searchstorage.de ( http://bit.ly/OqpqQN ) titelt in einem Beitrag "Die Langzeitspeicherung ergänzt die Archivierung |
    Der Gesetzgeber drängt zur Beweissicherheit bei der Datenspeicherung".

     

    Damit sind wir wieder an der gleichen Stelle wie vor ein paar Jahren. Der Begriff Langzeitspeicherung wird weiter promotet. Die Kriterien sind – leider – bekannt. Wir sind wieder beim Thema elektronische Signatur und Nachsignieren. Als Drohmittel werden der Gesetzgeber, DIN und anderen Normen bemüht. Und über allem prangt die überarbeitete TR 03125, TR ESOR (früher mal TR VELS).

    Auszüge aus dem Artikel von Holm Landrock und Rainer Graefen vom 28.09.2012 ( http://bit.ly/OqpqQN ):

     

    <Zitatanfang>
    " …
    Seitens des BSI ist dafür die Vorschrift TR-03125 entwickelt worden.
    Gemeinsam mit den DIN-Normen 31644 (Kriterien für vertrauenswürdige digitale Langzeitarchive) und 31645 (Leitfaden zur Informationsübernahme in digitale Langzeitarchive), der SigV (Verordnung zur elektronischen Signatur), den den RFCs der IETF (Internet Engineering Task Force) und dem Referenzmodell OAIS (Open Archival Information System) umreißt die Technische Richtlinie TR-03125 des BSI das, was unter beweissichere Langzeitspeicherung zu verstehen ist.

    Vor allem für Behörden, Krankenhäuser und Einrichtungen der öffentlichen Hand sind Beweissicherheit und Rechtssicherheit zwei wesentlich Aspekte der Langzeitspeicherung. Angesichts des enormen Datenwachstums, von den elektronischen Akten in der Verwaltung bis zur elektronischen Patientenakte im Gesundheitswesen hat sich die Langzeitspeicherung zu einem ernst zu nehmenden Problem entwickelt. "

    <Zitatende>

     

    Der Wirkungsbereich der BSI TR 03125 wird eifrig ausgebaut. Überall wo Archivierung (nicht Langzeitarchivierung) und Langzeitspeicherung notwendig sind und signierte Objekte vorliegen, soll eifrig nachsigniert werden.

    Gern würde ich noch wissen wollen, wo und mit welchen Gesetzen denn der Gesetzgeber auf die Beweissicherheit bei der Datenspeicherung mit Einsatz der BSI TR 03125 drängt? (so zumindest der Titel des Promotions-Artikels [war nicht als Advertorial gekennzeichnet …])

    Kann denn niemand mal dieses stoppen?

    Hier noch der Link zur "TR-03125-Endlos-Diskussion"  auf XING: http://bit.ly/TR03125

    Antwort

Neuen Kommentar verfassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.

Ich versichere, mit meinem Kommentar alle gültigen Vorgaben des Urheberrechts beachtet zu haben. Ich habe keine Bilder, Grafiken, Texte oder Links in meinem Beitrag verwendet, die durch CopyRight, Leistungsschutzrecht oder Urheberrecht geschützt sind. Für den Inhalt meines Kommentars bin ich trotz Prüfung und Freischaltung durch PROJECT CONSULT ausschließlich selbst verantwortlich. Meine Rechte am Beitrag werden bei PROJECT CONSULT nur durch die CC Creative Commons by-nc-nd Vorgaben gewahrt.