Digitale Archivierung mit BSI-Sicherheitszertifikat

8. Januar 2023 21:33 Uhr  |  Dr. Ulrich Kampffmeyer  |  Permalink


Das Bundesarchiv archiviert jetzt dauerhaft und sicher mit BSI Sicherheitszertifikat: Bundesarchiv Internet – Digitale Speicherung von Dokumenten im Bundesarchiv mit neuem Sicherheitszertifikat des BSI ausgezeichnet.

Stellit sich die Frage, was wurde geprüft und zertifiziert?

Es geht natürlich wieder einmal um elektronische Unterlagen rechtswirksam und im Sinne eines Beweiswerterhalts vertrauenswürdig speichern zu können. Beim Thema Vertrauenswürdigkeit denkt man natürlich gleich an das nestor-Zertifikat: https://files.dnb.de/nestor/zertifizierung/Kurzerlaeuterung_nestor_Siegel.pdf . Hierum handelt es sich aber bei der BSI-Zertifizierung nicht.

Im Vordergrund dürften die Begriffe „rechtswirksam“ und „Beweiswerterhaltung“ stehen, also eine Zertifizierung nach TR-ESOR mit Nachsignieren und allem drum-und-dran. Diese wurde inzwischen auch an die eIDAS-Richtlinie der Europäischen Union angepasst. Über den Sinn und Nutzen in einem vertrauenswürdigen Langzeitarchiv kann man geteilter Meinung sein.

Die Pressemitteilung schreibt zum „Hintergrund“:

<Zitat> Mit der entsprechenden technischen Richtlinie BSI-TR-03125 liegt ein Standard vor, der eine beweiswerterhaltende rechtswirksame Aufbewahrung geschäftsrelevanter elektronischer Daten, Dokumente und Akten über lange Zeiträume nach dem aktuellen Stand der Technik sicherstellt. Damit wird der verlustfreie Nachweis der Geschäftsunterlagen und -prozesse ermöglicht, wobei die Authentizität, Integrität und Nachvollziehbarkeit gewährleistet ist. Gemeinsam mit der Bundesagentur für Arbeit, die bereits ein hauseigenes Archiv betreibt, wurde das Digitalen Zwischenarchiv des Bundes (DZAB) basierend auf dem Produkt SecDocs der Fa. Fujitsu Technology Solutions GmbH entwickelt.

Mit dem DZAB bietet das Bundesarchiv gegenüber der gesamten Bundesverwaltung Dienste und Leistungen für eine rechtssichere und langfristige Aufbewahrung elektronischer Unterlagen an. Bereits abgeschlossene bearbeitete elektronische Daten wie Akten und Vorgänge können so sachgerecht und rechtskonform ausgelagert werden, ohne dass jede Behörde einzeln über Jahrzehnte hinweg technische, personelle, organisatorische und finanzielle Ressourcen für interne Langzeitspeicherung elektronischer Unterlagen aufwenden muss. Dabei bleibt der Zugriff auf die Daten erhalten. Gleichzeitig kann das Bundesarchiv die zwischenarchivierten Unterlagen auf ihre Archivwürdigkeit bewerten und das elektronische Archivgut in das Digitale Endarchiv übernehmen. </Zitat>

Bereits langzeitarchivierte Dokumente dürften nicht im Vordergrund stehen, da die wenigsten mit qualifizierten elektronischen Signaturen signiert angekommen sein dürften. Das Thema ist eher das sogenannte „Zwischenarchiv“. Hier wird bei der Aktenführung durchaus mit unterschiedlichsten Signaturen gearbeitet. Behörden haben bisher selten die Möglichkeiten für das „Records Management“ in elektronischer Form und die dazugehörige „Langzeitspeicherung“ schaffen können. Man wird sich also vielerorts freuen, jetzt schon aus laufenden Vorgängen Konvolute an das Bundesarchiv abgegeben zu können. Neu taucht übrigens hier auch der Begriff „Digitales Endarchiv“ auf. Nun gut.

Allerdings dürfte sich das BSI-Zertifikatwohl kaum als „Sicherheitszertifikat“ titulieren, denn TR-ESOR schützt nicht vor Cyberangriffen und stellt nicht sicher, dass die signierten Informationen auch in einigen Jahrzehnten noch verarbeitungsfähig sind. Über die „Sinnhaftigkeit“ des Scannen mit Signatur nach TR-Resiscan und des Nachsignierens nach TR-ESOR haben wir in unserem Blog vielfach kritisch geschrieben. Angesichts von Archivierungsdauern bis zu ewig sind solche technologischen Lösungen „Overkill“. Das Bundesarchiv ist als nationale Institution ausreichend vertrauenswürdig und bräuchte dies eigentlich nicht zu tun.

Dr. Ulrich Kampffmeyer

Curriculum auf Wikipedia https://de.wikipedia.org/wiki/Ulrich_Kampffmeyer

Neuen Kommentar verfassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.

Ich versichere, mit meinem Kommentar alle gültigen Vorgaben des Urheberrechts beachtet zu haben. Ich habe keine Bilder, Grafiken, Texte oder Links in meinem Beitrag verwendet, die durch CopyRight, Leistungsschutzrecht oder Urheberrecht geschützt sind. Für den Inhalt meines Kommentars bin ich trotz Prüfung und Freischaltung durch PROJECT CONSULT ausschließlich selbst verantwortlich. Meine Rechte am Beitrag werden bei PROJECT CONSULT nur durch die CC Creative Commons by-nc-nd Vorgaben gewahrt.