Standards wie ArchiSig und ArchiSafe
Umfassende Archivierungsstrategie grundlegend für Unternehmen jeder Größe
Der Beweiswert von archivierten Dokumenten muss auch nach vielen Jahren erhalten und uneingeschränkt rechtswirksam bleiben
Von Peter Falk, Business Development Manager bei Fujitsu Technology Solutions
(01.12.09) - Die revisionssichere elektronische Archivierung setzt Archivsysteme voraus, die den Datenbestand nach gesetzlichen Vorgaben und internen Vorschriften sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei, reproduzierbar und datenbankgestützt recherchierbar verwalten.
Die verwendeten Datenformate müssen dabei eindeutig, zuverlässig und langfristig interpretierbar sein. Die Daten müssen wirksam gegen ein mögliches Überschreiben geschützt und die technische Infrastruktur stabil verfügbar sein.
Darüber hinaus verlangt die Revisionssicherheit, dass standardisierte und wirtschaftliche Techniken und Technologien eingesetzt werden – wie beispielsweise zertifizierte Storage-Komponenten –, um die Daten möglichst kosteneffizient speichern und verarbeiten zu können.
Ein Archivierungskonzept besteht allerdings nicht nur aus einer technischen und einer organisatorischen, sondern auch aus einer rechtlichen Komponente. So sind die relevanten Rechtsvorschriften – wie die gesetzlichen Aufbewahrungsfristen von Dokumenten – bei der Archivierung einzuhalten. Unter einer rechtssicheren elektronischen Archivierung versteht man daher Archivsysteme, die die Kriterien der Revisionssicherheit erfüllen und die Daten und Dokumente zudem beweiswerterhaltend verwalten. Sie folgen Vorgaben von öffentlich geförderten Projekten und offenen Standards wie ArchiSig und ArchiSafe.
ArchiSafe – Rechtssichere Langzeitarchivierung
Der Beweiswert von archivierten Dokumenten muss auch nach vielen Jahren erhalten und uneingeschränkt rechtswirksam bleiben. Fachleute erwarten, dass sich Schlüssel und Algorithmen zur Signierung und Verschlüsselung über den Lebenszyklus eines Dokuments im Abstand von fünf bis sieben Jahre verändern.
Für elektronische Signaturen, deren Wirksamkeit an mathematische Verfahren und damit korrespondierende Schlüssel gekoppelt ist, muss eine Technologie eingesetzt werden, die den Beweiswert von Signaturen langfristig erhält und damit ein gleich bleibendes Sicherheitsniveau im Archiv gewährleistet. Über öffentlich geförderte Projekte wie ArchiSig und ArchiSafe sind dazu im universitären Bereich Lösungen entwickelt und als Spezifikation veröffentlicht worden.
Aufbauend auf rechtlichen Normen und dem ArchiSig/ArchiSafe-Standard erarbeitet das Bundesamt für Sicherheit in der Informationstechnik (BSI) derzeit mit TR-03125 eine Technische Richtlinie für die vertrauenswürdige elektronische Langzeitarchivierung von Dokumenten.
Elektronische Signatur für mehr Sicherheit
Die Basis für die sichere Übermittlung, Speicherung und Archivierung von Daten unter Verwendung der qualifizierten elektronischen Signatur ist die Verschlüsselungstechnologie. Dabei spielen der Algorithmus selbst – also die Schlüsselqualität – und die Schlüssellänge eine wesentliche Rolle. Mit dem Einsatz von Public-Key-Infrastrukturen (PKI) werden Technologien bereitgestellt, die eine sichere, aber zeitlich befristete Beweiswerterhaltung von elektronisch signierten Dokumenten ermöglichen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, für die rechtssichere Beweiswerterhaltung mathematische Verfahren einzusetzen, die Hash-Bäume – also Signaturdateien, die in einer Baumstruktur miteinander verknüpft sind – erzeugen und dabei gemäß deutschem Signaturgesetz qualifizierte Zeitstempel auf Basis einer so genannten Public-Key-Infrastruktur (PKI) verwenden. Eine PKI ermöglicht es, digitale Zertifikate zu empfangen, zu verteilen und zu prüfen. (Fujitsu Technology Solutions: ra)
Fujitsu Technology Solutions GmbH
Mies-van-der-Rohe-Straße 8,
80807 München
Tel. +49(0)89 62060-1210
