E-Siegel nach eIDAS sind in Deutschland verfügbar. Siegel sind eine Option in der europäischen eIDAS-Richtlinie für elektronische Signaturen, die auch seit letztem Sommer in Deutschland gilt. Server-basierte Siegel können das personengebundene Signieren mit herkömmlichen Signaturkarten ablösen (hierauf hatten wir mehrfach in der Diskussion um die TR Resiscan und eIDAS hingewiesen). 

Solche Server-basierten E-Siegel und Zeitstempel sind inzwischen von verschiedenen Anbietern in Deutschland verfügbar: „Das elektronische Siegel ist ein EU-weit anerkanntes Signaturwerkzeug für juristische Personen und weist den Ursprung (Authentizität) und die Unversehrtheit (Integrität) von Dokumenten sicher nach. Es ist der digitale Stempel für Unternehmen und Organisationen der Privatwirtschaft, für Behörden und für Einrichtungen des Gesundheitswesens. Rechtswirksam: anerkannter Nachweis über Herkunft und Unversehrtheit von Dokumenten; Effektiv: keine Medienbrüche in elektronischen Geschäftsprozessen. Rechtssicher: standardkonforme und rechtssichere Verwaltungsprozesse durchführen; und Zertifiziert: höchste Datensicherheit, gewährleistet durch D-TRUST“

Ausdrücklich wird in der Bewerbung durch die Firma secrypt auch auf den Vorteil hingewiesen, dass das E-Siegel beim ersetzenden Scannen (Integritätssicherung nach BSI TR RESISCAN) eingesetzt werden kann. Liest man etwas weiter, so kommen doch noch einige Restriktionen zum Vorschein. Auch für das E-Siegel braucht an eine Signaturkarte und das Zertifikat ist drei Jahre gültig. Das Thema „Nachsignieren“ hat sich hier also noch nicht erledigt.

Auch bietet das Unternehmen weiterhin das Scannen mit traditionellen Signaturkarten im bisherigen Verfahren an – „Einzeldokumente manuell siegeln“ (nicht mehr „signieren“ … hier passiert gerade ein Begriffswandel …) und „Dokumentenstapel manuell siegeln“. Es sind die bekannten Verfahren des Signierens von Einzeldokumenten und das sogenannte „Massen-Scannen“.

Gemessen an diesen, lassen sich die Potentiale von Server-basierten Signaturen ohne dauerndes Eingeben von Pins für alle Eingänge und Ausgänge von Informationen kaum erschließen. Es geht nicht mehr nur ums Scannen! Alle Informationen sollten gleichartig, mit gleicher Qualität behandelt werden. Und ungeachtet der neuen e-Siegel – Signieren beim Scannen macht keinen Sinn, erhöht nicht die Qualität wie seinerzeit der XEROXbug deutlich machte. Und traditionelles „Signieren“ jetzt als „Siegeln“ zu bezeichnen, hilft auch nicht weiter. Schon allein die Frage, wer darf ein (Amts)Siegel führen? Darf eine Scann-Kraft „siegeln“? Wir hatten schon einmal die Frage aufgeworfen … „Beamte an die Scanner?!„.

Das Umetikettieren des Begriffes – vom „Signieren“ zum „Siegeln“ … schafft nur Verwirrung und gebiert neue „Nebel“.

Und … die Aussage in Bewerbung unter „Anwendungen: Kontoauszüge und Rechnungen“ passt nun gar nicht. Rechnungen müssen nach GoBD ausdrücklich nicht signiert werden, und Kontoauszüge 😉   (ach so, es geht nicht ums „Signieren“ sondern ums „Siegeln“, aha).  
Und … auch „Anwendungen: digitale Archivierung“ muss man differenzieren. Das Signieren von Eingangs-, Archivierungs-, Lösch- und anderen Protokollen mit Zeitstempeln (in der öffentlichen Verwaltung meinetwegen mit behördlichen E-Siegeln) macht im Rahmen der revisionssicheren Archivierung Sinn. Das unsägliche „Nachsignieren“ (oder jetzt neu „Nach-Siegeln“ ???) nach TR 03125 TR-ESOR im Archivierungsumfeld macht keinen Sinn. Wenn man also von „digitaler Archivierung“ spricht, muss man auch schon die Art und die Konsequenzen der Lösung darlegen.

Die durchaus möglichen Erleichterungen durch serverbasierte Komponenten seitens eIDAS werden so in Deutschland nicht erreicht. Man versucht immer noch, die bisherigen Verfahren irgendwie zu retten. Es geht einfacher! 

RESISCAN-Richtlinie für Kommunen macht das Leben auch nicht wesentlich einfacher

Auch die am 9.5.2017 vom BSI veröffentlichte „Leitlinie zum ersetzenden Scannen von Dokumenten in Kommunen“ hilft nicht wirklich weiter. Eher irritieren einige Texte in der Ankündigung: „Für die rechtskonforme elektronische Aktenführung definiert die BSI-TR 03138 „Ersetzendes Scannen“ (RESISCAN) Anforderungen für ordnungsgemäße und risikominimierende Gestaltung des Scanprozesses. Die BSI-TR 03125 „Beweiswerterhaltung kryptografisch signierter Dokumente“ (TR-ESOR) adressiert insbesondere den gesetzlich erforderten Beweiswerterhalt kryptografisch signierter Dokumente durch Verwendung qualifizierter Zeitstempel.“ 

Es wird deutlich, dass das Thema „Nachsignieren“ zum Erhalt des Beweiswertes nicht vorbei ist. Die gewählte Begrifflichkeit dehnt das Anwendungsfeld auch auf Zeitstempel, also Server-basierte Signaturen wie das Siegel nach eIDAS aus. Die Lobby der Verfechter der QES und des Nachsignierens versuchen hier offenbar mit den durch eIDAS kommenden Veränderungen Schritt zu halten. Im Rahmen des Nationalen IT-Gipfels wurde ein Runder Tisch „Rechtskonforme E-Akte“ eingerichtet, dessen eine Arbeitsgruppe „Vitako“ (Bundesarbeitsgemeinschaft der Kommunalen IT-Dienstleister e.V.) es wenigstens versucht pragmatisch anzugehen.  Die Leitlinie für Kommunen findet sich hier. Die grundsätzlichen Probleme bleiben bestehen.

Das BSI hat auf seiner Webseite den aktuellen Stand der ResiScan, auch in Englisch, veröffentlicht, jedoch sind die Informationen auf der Seite selbst teils veraltet. Noch immer kursiert dort das Thema DOMEA obwohl längst durch OKeVA abgelöst. So wird auch immer noch auf die GDPdU verwiesen, obwohl seit Jahren die GoBD gültig sind. Auch beim Thema „Musterverfahrensdokumentation“ wird zu kurz gesprungen. Zum Einen geht es bei der Verfahrensdokumentation nach GoBD um weit mehr als nur um das Scannnen. Die Erfassung von papiergebundenen Dokumenten ist nur ein ganz kleiner Ausschnitt des Themas Verarbeitung und Aufbewahrung handelsrechtlich und steuerrechtlich relevanter Daten. Es wird zum Thema Verfahrensdokumentation ein falscher, irreführender Fokus gesetzt. Das zeigt sich auch beim Thema elektronische Signatur beim Scannen. Für handelsrechtlich und steuerrechtlich relevante Dokumente und Daten ist keine elektronische Signatur erforderlich. Signieren beim Scannen ist nicht nur unnötiger Overhead sondern führt zu einer proprietären Informationsbasis, die für die Unternehmen bei langfristiger Aufbewahrung ein Risiko darstellt (z.B. Aufbewahrungsfrist 30 Jahre heißt dann 30 Jahre lang per TR ESOR und Nachsignieren die Zertifikate aktuell und gültig zu halten). Bei Archiven gilt, keine kryptografisch enkodierten oder verschlüsselten Dokumente einbringen.

Ceterum censeo Carthaginem (TR ESOR, QeS … ) esse delendam.

<Edit> Direkte Bereitstellung der diskutierten TR 03138 Dokumente auf dieser Webseite wurde auf Wunsch des BSI entfernt. Für den Zugriff auf die BSI Dokumente besuchen Sie bitte die Webseite des Bundesamtes für Sicherheit in der Informationstechnik. [Admin 20170513]