Fachkonzept. Standort:

Transkript

1 Dokumententitel: Fachkonzept Dateiname: Version: 1.1 Anzahl Seiten: 112 Status: Freigabe zur externen Vorlage im Nutzerbeirat erstellt am: von: Dr. U. Rausch geprüft am: von: geändert am: von: Tobias Schäfer Freigegeben am: von: Tobias Schäfer Standort: Verteiler: PTB Nutzerbeirat

2 Inhalt 0 Versionshistorie Dokumentverantwortlicher Verteilerliste Zielsetzung des Dokumentes Ausgangslage und Zielsetzung Ausgangslage Projekt ArchiSafe Ziele und Vorgehen Ist-Aufnahme und Ist-Analyse Verwaltungsrechtliche Rahmenbedingungen Ist-Prozess Übergreifende Ausgangssituation MELODI Datenobjekte Übergreifende Ausgangssituation MELODI Aufbewahrungsfristen Übergreifende Ausgangssituation MELODI Schutzbedarfsanalyse IT-Infrastruktur der PTB Prinzipielle technische Herausforderungen und Lösungsansätze Technische Problemstellung Emulation Migration Technische Herausforderungen Dauerhafte Sicherstellung der Verkehrsfähigkeit der Zeichensätze und Metadaten Erhaltung der Rechtskraft digitaler Dokumente (Authentizität und Integrität) Nationale und internationale Lösungsansätze...44 Seite 2 von 112

3 3.8.1 Dublin Core Metadata Initiative NESTOR VERS ArchiSig Universitätsklinikum Heidelberg IZN Hannover LVA Rheinprovinz Zusammenfassung der Situation Marktrecherche Fachliche Anforderungen Soll-Prozesse Szenario 1: Eingang eines elektronisch signierten Dokuments Szenario 2: Erstellung eines Dokumentes innerhalb der Behörde und dessen Versand Szenario 3: Überarbeitung eines bereits abgelegten, von der Behörde selbst erstellten Dokuments Szenario 4: Schließen einer Akte im Fachsystem Allgemeine funktionale Anforderungen Prozessbezogene funktionale Anforderungen Konzeptionelle Überlegungen zur Systemarchitektur Zielinfrastruktur Dokumentenformate Metadatenstrukturen und Schnittstellen Konzeptionelle Festlegungen MELODI (Pilot) Prämissen für die Konzeption Verwaltungsrechtliche Prämissen Ausschließliche Nutzung der qualifizierten elektronischen Signatur Weitere verwaltungsrechtliche Prämissen IT-technische Prämissen Stufenweise Übernahme von Datenobjekten in den Langzeitspeicher Festlegung auf PDF als Objektformat für Dokumente im Langzeitspeicher Datenobjektbasierte Ablage im Langzeitspeicher Seite 3 von 112

4 XML-basierte Ablagestruktur Überprüfung qualifizierter elektronischer Signaturen durch die Virtuelle Poststelle Sicherheitstechnische Prämissen Prämissen für den Prototypen (Stufe 1) Soll-Prozess Zielinfrastruktur Fachanwendung MELODI Zeitstempeldienst/ Signaturdienste ArchiSafe-Schnittstelle zur Übergabe an die Langzeitspeicherung Langzeitspeicher Such- und Darstellungsdienst Dokumentenformate Metadatenstruktur/ Schnittstellen Funktionale Anforderungen Allgemeine Anforderungen Konkrete Anforderungen Dokumenterstellung Signaturerzeugung Signaturverifikation Einstellung in das (technische) Archiv (= elektronischer Langzeitspeicher) (Technische) Archivierung (=Langzeitspeicherung) selbst Signaturerneuerung Transformation Dokumentabruf Migration Sonstige konkrete Anforderungen Seite 4 von 112

5 Abbildungsverzeichnis Abbildung 1 Schematische Darstellung der Aufgaben der PTB Abbildung 2 Übersicht über die BundOnline-Dienstleistungstypen Abbildung 3 Datenfluss im Antragsverfahren MELODI Abbildung 4 Im Kontext von MELODI aufzubewahrende Datenobjekte Abbildung 5 Schema des VERS-Standards Abbildung 6 Schema des VERS Encapsulated Objects Abbildung 7 Struktur des Signaturblocks in VERS Abbildung 8 Metadatenstruktur in Anlehnung an die Aktenstruktur Abbildung 9 ArchiSig Systemarchitektur Abbildung 10 Archivzeitstempel mit ArchiSig Abbildung 11 Arbeitsablauf Arztbrieferstellung mit elektronischer Signatur Abbildung 12 Ebenenmodell des IZN Hannover Abbildung 13 Verteilung der Daten und Prozesse in der LVA Rheinprovinz Abbildung 14 Nutzung des Langzeitspeichers für eingehende Dokumente Abbildung 15 Nutzung des Langzeitspeichers für selbst erstellte Dokumente Abbildung 16 Nutzung des Langzeitspeichers für zu überarbeitende, eigene Dokumente Abbildung 17 Nutzung des Langzeitspeichers bei Schließen einer eakte Abbildung 18 DOMEA-konformes Verständnis von Archivierung Abbildung 19 Parallelität von VBS und elektronischem Langzeitspeicher Abbildung 20 Zielinfrastruktur ArchiSafe Abbildung 21 Schematische Darstellung des XML-Archivobjektes Abbildung 22 Datenobjektbasierte Ablage im Langzeitspeicher Abbildung 23 Signieren von MELODI-Zertifikaten (Teil 1) Abbildung 24 Signieren von MELODI-Zertifikaten (Teil 2) Abbildung 25 Zielarchitektur Stufe 1 (Teil 1) Abbildung 26 Zielarchitektur Stufe 1 (Teil 2) Abbildung 27 Zielarchitektur ArchiSafe Prototyp Abbildung 28 Auslösen der Langzeitspeicherung in MELODI Abbildung 29 ARS: ArchiSafe Record Strategy Seite 5 von 112

6 Tabellenverzeichnis Tabelle 1 Dokumententypen in MELODI Tabelle 2 Datensätze in MELODI Tabelle 3 Aufbewahrungsfristen für Fachakten (Hauptgruppen 1-5) Tabelle 4 Sonstige Aufbewahrungsfristen der PTB Tabelle 5 Ebenen elektronischer Archivierung Tabelle 6 Maßnahmen zur Zielerreichung je Ebene Tabelle 7 Beispiel für Migrationen Tabelle 8 Element Set des Dublin Core Tabelle 9 Darstellung Einsatzbereich der Lösungsvorschläge Literaturverzeichnis ArchiSafe DV-Grobkonzept, Vers. 0.3, August ArchiSafe Schutzbedarf für Archivierungssysteme, Vers. 1.0, Stand: September ArchiSafe Verwaltungsrechtliche Rahmenbedingungen, Vers. 1.0, Stand: September ArchiSig Beweiskräftige und sichere Langzeitarchivierung digital signierter Dokumente. Anforderungskatalog Version 2.0, Dezember ARS ARS XML Datenpakete und Metadaten, September Borghoff, U., Rödig, P., Scheffczyk, J., Schmitz, L.: Langzeitarchivierung, dpunkt.verlag DOMEA Organisationskonzept 2.0, Dokumentenmanagement und elektronische Archivierung im ITgestützten Geschäftsgang, Schriftenreihe KBSt, Bd. 61, Okt DOMEA Erweiterungsmodul zum Organisationskonzept 2.0: Aussonderung und Archivierung elektronischer Akten, Schriftenreihe der KBSt, Bd. 66, Oktober DOMEA Erweiterungsmodul zum Organisationskonzept 2.0: Technische Aspekte der Archivierung elektronischer Akten, Schriftenreihe der KBSt, Bd. 67, Oktober ISIS-MTT Specification, Optional Profile, SigG-Profile, Version 1.1, März PTB: DV-technische Rahmenbedingungen, Version 0.4, Februar SAGA Standards und Architekturen für E-Government-Anwendungen, Schriftenreihe der KBSt, Bd.59, Dezember Schmücker/ Roßnagel (Hrsg.): Beweiskräftige Elektronische Archivierung, Hüthig Verlag VOI Schriftenreihe Technische Aspekte und Komponenten von digitalen Archivsystemen, Dezember Seite 6 von 112

7 0 Versionshistorie Version Editor Datum Kommentar 0.1 U. Rausch Gliederungsentwurf 0.2 U. Rausch Entwurfsfassung 0.3 U. Rausch Integration Marktanalyse 0.4 U. Rausch Überarbeitung Marktanalyse 0.5 U. Rausch Überarbeitung Analyse 0.6 U. Rausch Überarbeitung Marktstudie 0.7 U. Rausch Überarbeitung Konzeption 0.8 U. Rausch Überarbeitung Konzeption 0.9 U. Rausch Überarbeitung Dokument 0.10 U. Hanewald Überarbeitung, Einbettung überarbeitetes Kap. 5 von Dr. Zimmer 0.10bie J. Biester Überarbeitung Dokument 0.10TS T. Schäfer Überarbeitung Dokument 0.11 U. Rausch Konsolidierung 0.12 U. Rausch Integration der Kap. von Herrn Zimmer, Überarbeitung Kap. 3 und a U. Hanewald Revision Kap. 2 und J. Lautenschlager/ U Komplettrevision Rausch 0.14 J. Lautenschlager Einarbeitung der Anmerkungen vom J. Lautenschlager Einarbeitung der Anmerkungen vom U. Hanewald Überarbeitung Grafiken und Kap T. Schäfer Anmerkungen PTB 0.17wz W. Zimmer Überarbeitung 0.18 J. Lautenschlager Redaktionelle Überarbeitung 0.19 U. Rausch Endredaktion 1.0 T. Schäfer Freigabe 1.1 T. Schäfer Einarbeitung der Anmerkungen vom IZN, Überarbeitung Grafiken Kap Dokumentverantwortlicher Rolle Name / OE Bemerkung Dokumentverantwortlicher Dr. U. Rausch 0.2 Verteilerliste Rolle Name / OE Bemerkung

8 Projektleiter PTB CC DS CAT CC VBPO Tobias Schäfer Jobst Biester Uwe Hanewald Dr.Wolf Zimmer Jutta Lautenschlager Dr. Ulrike Rausch Seite 8 von 112

9 1 Zielsetzung des Dokumentes Aufgabenstellung Die Physikalisch-Technische Bundesanstalt ist im Rahmen der EfA-Dienstleistung ArchiSafe damit beauftragt, eine technische Lösung für die rechtssichere Ablage (signierter) elektronischer Dokumente zu entwickeln. Basis der konzeptionellen Überlegungen sind die bereits vorliegenden ArchiSig-Standards. Zielsetzung Ziel ist es, in einem analogen Verfahren sowohl abstrakte, allgemeingültige Anforderungen und konzeptionelle Ansätze an/ für die elektronische Langzeitspeicherung zu gewinnen als auch konzeptionelle Voraussetzungen für die Realisierung eines Piloten in der PTB zu schaffen. Adressat Zielgruppe des Fachkonzepts sind alle Behörden, die sich der Anforderung der revisionssicheren Ablage digitaler Dokumente zu stellen haben und hierbei konzeptionelle Anregungen suchen. Seite 9 von 112

10 2 Ausgangslage und Zielsetzung 2.1 Ausgangslage Die Physikalisch-Technische Bundesanstalt (PTB) plant im Rahmen der E-Government- Initiative BundOnline die schrittweise Umsetzung der internetgestützten Dienstleistungen Metrologische Dienstleistungen Online (Prüfungen, Zulassungen, Akkreditierungen) (kurz: MELODI Online). Das Ziel dieser internetbasierten Dienstleistungen ist die Online- Unterstützung folgender Aufgabenschwerpunkte der PTB: Kalibrierung Prüfung Zulassung Beratung. Zulassung Akkreditierung Prüfung Kalibrierung Beratung Gutachten Information Zertifizierung OIML Zertifizierung Genehmigung Abbildung 1 Schematische Darstellung der Aufgaben der PTB Damit sollen Teile des internen Bearbeitungsprozesses für die externen Kunden der Physikalisch-Technischen Bundesanstalt über das Internet zugänglich gemacht werden (z.b. Antragstellung, Dokumentationsaustausch, Bearbeitungsstatus, Zertifikats-/ Bescheid- Seite 10 von 112

11 zustellung, Arbeits-/ Stundennachweise, Abrechnung, etc.). Die interne Abwicklung dieser Dienstleistungen erfolgt bereits mit dem auf SAP-Basis realisierten Fachverfahren MELODI (Vorgangsbearbeitung, Zeiterfassung, Rechnungslegung, etc.). Für die in diesem Zusammenhang erstellten Dokumente, z.b. Zertifikate, Prüfergebnisse, rechnungsbegründende Unterlagen und amtliche Bescheide bestehen unterschiedliche Aufbewahrungsfristen. Innerstaatliche Bauartzulassungen nach dem EichG sind z.b. unbegrenzt gültig. Einige Bauarten von Verbrauchsmessgeräten für Elektrizität (z.b. Haushaltsstromzähler) befinden sich seit über 40 Jahren im Einsatz. Es besteht eine Aufbewahrungspflicht für die Zertifikate über mindestens 30 Jahre. Abrechnungs- und haushaltsrelevante Unterlagen müssen 10 Jahre vorgehalten werden. Für die elektronische Ablage derartiger rechtsverbindlicher und rechnungsbegründender Unterlagen muss daher eine technische Archiv -Lösung geschaffen (= elektronischer Langzeitspeicher) werden, die, neben der sicheren Ablage der Unterlagen, für elektronisch signierte Dokumente insbesondere auch die Anforderungen gemäß SigG/ SigV erfüllt. 2.2 Projekt ArchiSafe Ziele und Vorgehen Im Rahmen des Projektes ArchiSafe sollen die Grundlagen für eine skalierbare rechtssichere elektronische Aufbewahrungslösung im Sinne einer Einer-für-Alle-Dienstleistung geschaffen werden. Nach heutigem Kenntnisstand stehen alle Behörden der Bundesverwaltung insbesondere mit der Einführung elektronischer Geschäftsprozesse unter Verwendung elektronischer Signaturen, wie z.b. E-Vergabe in diesem Bereich vor den gleichen Herausforderungen. Um Erfahrungswerte mit dem ArchiSafe-Ansatz zu sammeln, ist vorgesehen, zunächst einen Prototypen zu schaffen, der mit Blick auf das Fachverfahren MELODI der PTB im ersten Schritt ausschließlich die rechtssichere elektronische Ablage von elektronisch signierten Dokumenten vorsieht. Dies umfasst die sichere Aufbewahrung/ Langzeitspeicherung und Herausgabe an Hand eineindeutiger Merkmale, z.b. einer Dokumenten-ID. Der Langzeitspeicher gewährleistet dabei den Erhalt des originären Zustandes und die Bewahrung der Beweiskraft der eingestellten elektronischen Dokumente. Seite 11 von 112

12 Elektronische Signaturen bieten zwar die Möglichkeit, die Integrität und Authentizität digitaler Daten zu sichern. Im Unterschied zu Papierdokumenten kann die Beweiseignung elektronisch signierter Dokumente jedoch mit der Zeit abnehmen. Ursachen hierfür sind insbesondere, dass die verwendeten kryptografischen Algorithmen und Schlüssel im Laufe der Zeit ihre Sicherheitseignung verlieren, und dass nicht gewährleistet ist, dass die für die Überprüfung von Zertifikaten notwendigen Verzeichnisse und Unterlagen über 30 Jahre und mehr verfügbar sind. Überdies soll ein Ausbau zu einer klassischen bzw. intelligenten Archivlösung grundsätzlich möglich sein, die eine Metadaten basierte Recherche oder gar Volltextrecherche und ggf. Präsentation der Dokumente insbesondere auch im Gesamtzusammenhang des abgelegten Vorgangs oder der übergeordneten Akte ohne Zugriff auf die ursprünglichen Dokumentationssysteme erlaubt. Allerdings ist nicht vorgesehen, die Funktionalitäten eines Dokumentenmanagementsystems abzubilden. Konzeptionelle Vorarbeiten wurden bereits geleistet: In dem vom BMWA geförderten Konsortialprojekt ArchiSig ( wurden bereits Archivierungskonzepte und -technologien aufgegriffen und dahingehend erweitert, dass sie die sichere und beweiskräftige Langzeitspeicherung digital erzeugter und signierter Daten über 30 Jahre und mehr ermöglichen und unterstützen. Dabei wurden Systemarchitekturen mit neuen technischen Komponenten und organisatorischen Konzepten zur Gewährleistung der Sicherheit elektronischer Signaturen entwickelt, die nicht nur rechtskonform, sondern vor allem auch praktikabel und kostengünstig sind. Die Anwendbarkeit der Konzepte wurde zudem durch eine prototypische Umsetzung und Evaluation im Universitätsklinikum Heidelberg und anderen Einrichtungen des Gesundheitswesens, durch vergleichende Untersuchungen in der öffentlichen Verwaltung und Justiz des Landes Niedersachsen sowie durch Beweisgutachten anhand fiktiver Rechtsfälle nachgewiesen. Das Projekt ArchiSafe der PTB will hieran anknüpfen. Ziel des Projektes ArchiSafe ist es, am Beispiel einer vorhandenen elektronischen Dokumenteninfrastruktur (wie des Projektes MELODI) eine rechtssichere und skalierbare elektronische Ablage zu implementieren. Diese soll den bestehenden Anforderungen an die Authentizität und Nachhaltigkeit elektronischer Dokumente im Sinne ordnungsmäßigen Verwaltungs- Seite 12 von 112

13 handelns ebenso Rechnung tragen, wie durch eine entsprechende Ausgestaltung und Offenlegung von Schnittstellen zu vor gelagerten Funktionen im Back-Office-Bereich, also Haushaltssystemen (SAP, Mach, PARFIS) oder elektronischen Antrags- bzw. Vergabeverfahren und den notwendigen kryptografischen Funktionen (Signatur, Verschlüsselung, Zeitstempel mit Hilfe der Basiskomponente Virtuelle Poststelle (VPS) nebst angeschlossenem Zeitstempelservice) die Nachnutzung der Erkenntnisse und Ergebnisse im Geschäftsbereich des BMWA und darüber hinaus erleichtern. Als Einer-für-Alle -Lösung der E-Government-Initiative BundOnline will ArchiSafe mit der Beschreibung generischer Vorgehensmodelle und Schnittstellen Behörden und Institutionen der öffentlichen Verwaltung Empfehlungen und Handlungsanleitungen zur Verfügung stellen, mit denen sie die rechtssichere Ablage elektronischer Dokumente in ihrem eigenen Geschäftsbereich erfolgreich in Gang setzen können. In einem ersten Schritt werden daher mit Unterstützung durch die Projektgruppe und die Kompetenzzentren der E-Government-Initiative BundOnline zunächst das vorliegende Fachkonzept und ein DV-Konzept sowie ein Betriebs- und Sicherheitskonzept entwickelt. Diesen konzeptionellen Arbeiten werden dabei die gleichen Ziele und Grundsätze, wie sie für ArchiSig definiert wurden, zugrunde liegen. Auf dieser Basis wird dann ein erster, funktional zwar noch eingeschränkter, aber voll funktionsfähiger Prototyp als Pilot in der PTB installiert werden, der es erlaubt, Erfahrungen vor allem hinsichtlich der Skalierbarkeit und der Anbindung von Back-Office-Systemen zu gewinnen. Seite 13 von 112

14 In einem weiteren Schritt soll, nach Verallgemeinerung der Erfahrungen und Erkenntnisse sowie der Verfeinerung der Leistungsbeschreibung, eine vollständige Realisierung und Einbettung in die elektronische Dokumenteninfrastruktur der PTB erfolgen. Die Leistungsbeschreibung, Schnittstellendefinitionen und Erfahrungsberichte werden zur Nachnutzung und Diskussion veröffentlicht. Die PTB hat zu diesem Zweck eine eigene Internetplattform eingerichtet ( Seite 14 von 112

15 3 Ist-Aufnahme und Ist-Analyse Das nachfolgende Kapitel betrachtet die Ausgangssituation für die Einführung einer Langzeitspeicherlösung. Dies umfasst eine einführende Betrachtung zu den verwaltungsrechtlichen Rahmenbedingungen, eine Darstellung der Prozesse, die Analyse der Datenobjekte und der bestehenden Aufbewahrungsfristen, Aussagen zum Schutzbedarf, eine Beschreibung der IT-Infrastruktur der PTB, die Darstellung prinzipieller technischer Anforderungen und Lösungsansätze sowie Aussagen zur Marktsituation. Dabei werden im vorliegenden Dokument ausgehend von behördenübergreifend archivierungsrelevanten Vorgängen die strukturellen Ausgangsbedingungen des Verfahrens MELO- DI in der PTB beleuchtet, um Ansätze für konzeptionelle Festlegungen aufzuzeigen und den Projektansatz übertragbar zu gestalten. 3.1 Verwaltungsrechtliche Rahmenbedingungen Zentrales Gebot für die öffentliche Verwaltung ist die Aktenmäßigkeit des Verwaltungshandelns. Dieses Gebot findet in den jeweiligen Geschäfts- und Dienstordnungen in der Regel durch die Vorschrift seinen Ausdruck, dass der Stand einer Sache aus den Akten jederzeit vollständig erkennbar sein muss. Das Gebot der Aktenmäßigkeit beinhaltet insbesondere auch das Gebot der Führung wahrheitsgetreuer Akten. Auf der obersten Bundesebene erfolgt eine Konkretisierung durch die Gemeinsame Geschäftsordnung der Bundesministerien (GGO), die durch die Registraturrichtlinie für das Bearbeiten und Verwalten von Schriftgut in Bundesministerien (RegR) ergänzt wird. Diese Vorschriften enthalten insbesondere auch ausdrücklich Regelungen für den Einsatz elektronischer Signaturen nach dem Signaturgesetz sowie Regelungen für die Aufbewahrung elektronisch gespeicherten Schriftguts. Für die Aufbewahrung von elektronisch gespeichertem Schriftgut gilt, dass die Vollständigkeit, Integrität, Authentizität und Lesbarkeit durch geeignete Maßnahmen zu gewährleisten ist. Die qualifizierte elektronische Signatur gemäß Signaturgesetz ggf. in Kombination mit einem elektronischen Zeitstempel ist prinzipiell geeignet, die Vollständigkeit, Integrität und Seite 15 von 112

16 Authentizität elektronischer Dokumente zu gewährleisten. Soweit ein gesetzliches Schriftformerfordernis besteht, wird die Verwendung qualifizierter elektronischer Signaturen i.d.r. durch Rechtsvorschriften zwingend gefordert. Elektronisches Schriftgut, das mit einer qualifizierten elektronischen Signatur versehen ist, hat einen besonders hohen Beweiswert. Da elektronische Akten häufig über einen langen Zeitraum aufzubewahren sind, ist sicherzustellen, dass die rechtlichen Vorgaben auch dauerhaft erfüllt werden können. Bedingt durch die technologische Weiterentwicklung in der Computer- und Softwarebranche besteht jedoch stets die Gefahr, dass sowohl die Lesbarkeit elektronisch gespeicherten Schriftguts als auch die Sicherheit elektronischer Signaturen zeitlich begrenzt ist. Deshalb kann nur durch ein geeignetes Archivsystem zuverlässig verhindert werden, dass ein schleichender Wertverlust elektronischen Schriftguts eintritt. Um die langfristige Lesbarkeit sicherzustellen, sollten ausschließlich langfristig stabile Datenformate verwendet werden, um eine Formattransformation des elektronischen Schriftguts zu vermeiden, die bei Verwendung elektronischer Signaturen mit nicht unerheblichem Aufwand verbunden ist. Um die Sicherheit elektronischer Signaturen langfristig aufrechtzuerhalten, muss das Archivsystem in der Lage sein, eine Signaturerneuerung nach 17 SigV, durchzuführen, die dem Schutz der Integrität dient. Daneben muss auch der Schutz der Authentizität, also der Identifizierbarkeit des Ausstellers einer qualifizierten elektronischen Signatur, langfristig gewährleistet sein. Ziel der Signaturerneuerung nach 17 SigV ist es, die Integrität der mit einer qualifizierten elektronischen Signatur versehenen Daten auch dann noch feststellen zu können, wenn eine Signaturprüfung aufgrund mangelnder Sicherheitseignung der verwendeten Algorithmen nicht mehr geeignet ist, die Integrität der signierten Daten zu belegen. Die Authentizität der Signatur muss dadurch gewährleistet werden, dass die für eine Signaturprüfung erforderlichen Prüfmittel jederzeit in geeigneter Form verfügbar sind. Die Anforderungen, die an ein sicheres Archivsystem gestellt werden müssen, ergeben sich zum Teil aus 17 SigV, müssen zum Teil jedoch auch aus dem Sinn und Zweck der Verwendung qualifizierter elektronischer Signaturen abgeleitet werden, die sich aus dem Signa- Seite 16 von 112

17 turgesetz und anderen Vorschriften, insbesondere der prozessualen Vorschriften über öffentliche und private Urkunden, ergeben, die auch für elektronische Dokumente gelten. Für eine ausführliche Darstellung der verwaltungsrechtlichen Rahmenbedingungen wird auf ein separates Dokument verwiesen, das im Anhang enthalten ist Ist-Prozess Übergreifende Ausgangssituation Behördliches Handeln ist gekennzeichnet dadurch, dass eingehender Schriftverkehr bearbeitet und damit verbundene Sachfragen inhaltlich geklärt werden, bevor das Resultat dieser Bearbeitung das Haus wieder verlässt, um Dritten zugestellt zu werden. Zusätzlich ist dieses Verwaltungshandeln durch Aktenbildung zu dokumentieren, um die stattgefundenen Prozesse auch retrospektiv transparent machen zu können. Entsprechend unterscheidet das DOMEA-Organisationskonzept vier Phasen des Geschäftsgangs: 2 1. Eingangsbehandlung 2. Bearbeitung 3. Postausgang 4. Aussonderung und Archivierung Dieses Grundmuster hat durch die Zunahme elektronischer Posteingänge vor allem deshalb neue Ausprägungen erfahren, weil der Posteingang in signifikanter Weise dezentralisiert wurde und somit neue Herausforderungen an die Aktenbildung und Ablage stellt. Diese Ausgangssituation erfährt aus organisatorischer Sicht eine weitere Verschärfung dadurch, dass künftig eine wachsende Anzahl dieser dezentral erfolgenden Posteingänge e- 1 ArchiSafe Verwaltungsrechtliche Rahmenbedingungen, Vers. 1.0, Stand: September DOMEA Organisationskonzept 2.0, Dokumentenmanagement und elektronische Archivierung im ITgestützten Geschäftsgang, Schriftenreihe KBSt, Bd. 61, Okt Seite 17 von 112

18 lektronisch signiert sein wird. Dies bedeutet eine neue Dimension hinsichtlich der revisionssicheren Ablage elektronischer Dokumente. Auch die Bearbeitung hat sich durch die zunehmende technische Unterstützung in den Behörden stark verändert. Heute kann davon ausgegangen werden, dass nahezu alle in einer Behörde entstehenden Dokumente elektronisch erstellt werden und auch entsprechend digital abgespeichert sind. Dies bedeutet insbesondere unter Berücksichtigung der Ziele der Initiative BundOnline dass künftig auch die Postausgänge verstärkt elektronisch erfolgen werden. Dabei wird zu unterscheiden sein zwischen ausgehenden Dokumenten, die eine qualifizierte elektronische Signatur umfassen und jenen, die ohne Signatur versandt werden. Unabhängig von der Form der Vorgangsbearbeitung und dem Versand von Dokumenten hat sich auch die Aussonderung und Archivierung in den letzten Jahren geändert. Wurde bisher die Papierakte als die führende Akte in Registraturen, Altschriftgutverwaltungen und abschließend in Archiven vorgehalten, geht es mittlerweile verstärkt darum, elektronische Daten und Dokumente entsprechend aufzubewahren und nach Ablauf der Aufbewahrungsfrist auszusondern. Ressortübergreifende Bedarfe Die Initiative BundOnline hat gezeigt, dass die sich aus den gestiegenen Anforderungen an die Dokumentation und rechtssichere Ablage ergebenden Bedarfslagen quer über alle Ressorts vorliegen. Dies umfasst sämtliche Dienstleistungstypen, insbesondere solche Prozesse, die Interaktion bzw. Transaktion mit einem behördlichen Kunden zum Gegenstand haben (Quelle: BMI). Seite 18 von 112

19 Abbildung 2 Übersicht über die BundOnline-Dienstleistungstypen Als prototypisch können in diesem Zusammenhang Antrags- und Förderverfahren gelten, die einen Großteil transaktionsbasierter Dienstleistungen ausmachen. In der Regel treten im Rahmen eines solchen online-basierten Antrags- bzw. Förderverfahrens drei Situationen auf, in denen eine rechtssichere Ablage erforderlich wird: bei Annnahme des elektronischen Antrags, während der Bearbeitung eines Antrags, wenn es verfahrenskritische Dokumente rechtssicher abzulegen gilt, bzw. am Ende der Antragsbearbeitung, wenn der Vorgang geschlossen wird, jedoch ggf. wieder verfügbar sein muss, weil beispielsweise rechtliche Schritte eingeleitet werden. Diese Beobachtung ist auf das Verwaltungshandeln generell übertragbar. Sie markiert daher den analytischen Ausgangspunkt für das vorliegende Fachkonzept. Anhand des Antragsverfahrens MELODI soll nachfolgend die Ausgangssituation spezifisch beschrieben werden. Seite 19 von 112

20 3.2.2 MELODI Die folgende Analyse beschreibt den Zertifizierungsvorgang auf Basis des PTB-eigenen Fachverfahrens MELODI. Ein Schwerpunkt liegt dabei auf den Informationsströmen, wie sie heute im (noch) papier-basierten Verfahren auftreten. Das Zertifizierungsverfahren baut auf einer Reihe von Dokumenten auf, die zu Beginn mit Antragstellung in zweifacher Ausfertigung einzureichen sind: Gebrauchsanweisungen Beschreibungen zu Ausführung und Betrieb des Messgeräts Pläne, Schaltbilder und Zeichnungen Beschreibung der Service- und Wartungsmöglichkeiten Angaben zu softwaretechnischen Komponenten Schnittstellenbeschreibungen Angaben zu Vorprüfungen Diese Dokumente gehen in der Regel mit dem Eingang eines formlosen, schriftlichen Antrags im zuständigen Fachlaboratorium der PTB ein. Dort werden die Antragsdokumente gesichtet und die relevanten Auftragsdaten manuell in MELODI übertragen, das auf der Basis von SAP R/3 läuft. Damit ist der Vorgang im System angelegt. Digital bereitgestellte Unterlagen (z.b. CD-ROM, ) werden zunächst auf Papier ausgedruckt, so dass die Ausgangsbasis für die interne Bearbeitung immer Papierdokumente darstellen. Der Bearbeiter generiert dann aus MELODI eine Eingangsbestätigung und versendet diese postalisch an den Antragsteller. Bei der anschließenden Planung der Bearbeitung durch den zuständigen Sachbearbeiter wird festgelegt, welche Organisationseinheiten am Prozess beteiligt werden sollen. Durch Seite 20 von 112

21 den integrierten Workflow unterstützt MELODI dabei die Koordination einzelner Aktivitäten (Vorgänge). Bei Bedarf tritt der zuständige Sachbearbeiter während der Durchführung der Prüfung und der Zertifikatserstellung in Kontakt mit dem Antragsteller. Die Notwendigkeit für einen gegenseitigen Austausch entsteht in folgenden Fällen: Nachforderung von Unterlagen und Informationen Berichterstattung (Zwischenbescheide bei Verzögerungen, Defekt am Prüfling, Prüfung ergab ein negatives Ergebnis) Klärung der Angaben zu Eigenschaften des Mustergeräts Verfahrensabbruch Der so entstehende Schriftwechsel zwischen Antragsteller und Sachbearbeiter wird durch in MELODI (SAP R/3) hinterlegten Vorlagen unterstützt, wobei der Versand jeweils auf dem Postweg erfolgt. Während der Prüfung werden Arbeitszeiten sowie sonstige Aufwendungen durch die Mitarbeiter der PTB im System erfasst. Sie dienen als Grundlage für die Kostenberechnung. Der Auftraggeber erhält dazu einen abschließenden Kostenbescheid. Parallel geht dem Zertifizierungsbeauftragten in der PTB ein Entwurf des Zertifikats zur Prüfung zu. Mit Beendigung des Auftrags wird das Zertifikat dem Auftraggeber in Papierform zugesandt. Im zugehörigen Anhang werden auf Basis der gelieferten Produktbeschreibungen und Prüfergebnisse die Geräteigenschaften, Beschränkungen der Zulassung sowie Auflagen und Anforderungen an das geprüfte Gerät dokumentiert. Diese Prüf- und Abschlussdokumente des Auftrags werden entsprechend ihrer rechtlichen Grundlage abgelegt. Des Weiteren werden diese Unterlagen veröffentlicht und in folgenden Quellen unterschiedlichen Interessengruppen zur Verfügung gestellt: Seite 21 von 112

22 Mitteilungsblatt der PTB Bundesanzeiger Europäische Zulassungsdatenbank (EMeTAS) Öffentliche Online-Datenbank PTB-Archive Der Zugriff auf die Informationen wird entsprechend dem Nutzerkreis reglementiert. Die breite Öffentlichkeit kann Zertifikate (Deckblätter) über eine Archivrecherche auf der PTB- Website einsehen. Fachbezogene Gruppen wie Eichämter oder staatlich anerkannte Prüfstellen haben die Möglichkeit, auf die vollständigen Vorgangsunterlagen zuzugreifen. Im Nachgang zur Zertifizierung wird bei Einsprüchen und Rückfragen des Antragstellers sowie Änderungen, Ergänzungen, Rücknahmen und Widerrufen der Zertifikate die Kommunikation zwischen Antragsteller und PTB fortgesetzt. Die Gültigkeitsdauer der Zertifikate ist in der Regel befristet, so dass diese innerhalb vorgeschriebener Zeiten aktualisiert bzw. verlängert werden müssen. Entsprechend werden die auftragsbezogenen Daten des geprüften Geräts mindestens über einen Zeitraum von 30 Jahren in der PTB vorgehalten. PTB kann für eine spätere Vergleichbarkeit auch die Verwahrung der Muster und Unterlagen durch den Antragsteller verlangen. Insgesamt lassen sich die Dokumenten- und Informationsströme wie folgt darstellen: Seite 22 von 112

23 Formloser Antrag (Papier) mit Anlagen: Gebrauchsanweisungen Beschreibungen zur Ausführung und Betrieb des Messgeräts Pläne, Schaltbilder und Zeichnungen (ggf. als CD-ROM) Beschreibung der Service- und Wartungsmöglichkeiten Angaben zu softwaretechnischen Komponenten postalischer Versand der Eingangsbestätigung Kunde Schnittstellenbeschreibungen ggf. Nachforderung von Unterlagen und Angaben zu Vorprüfungen Informationen ggf. Zwischenbescheide bei Verzögerungen od. Ggf. nachgeforderte Unterlagen negativen Prüfergebnissen Ggf. Rückfragen od. Einspruch ggf. Klärung der Angaben zu Eigenschaften des Mustergeräts Übersendung des Zertifikats mit Anhängen: Geräteigenschaften Eingabe der Antragsdaten in (SAP R/3) Beschränkungen der Zulassung Ausdruck digitaler Unterlagen Auflagen etc. Generieren einer Eingangsbestätigung (SAP) Durchführung der Prüfung und der Zertifikatserstellung in SAP Entwurf u. Finalisierung des Zertifikats Archivierung der Prüf- und Abschlussdokumente (unterschiedliche Archive) Bearbeiter/ in PTB Prüfen des Entwurfs Publikation Zertifikate (Deckblätter bzw. vollständige Unterlagen) Zertifizierungsbeauftragte/r Ggf. Änderungen, Ergänzungen, Rücknahmen und Widerrufen der Zertifikate Abbildung 3 Datenfluss im Antragsverfahren MELODI Die dargestellten Dokumente bzw. Daten gilt es im Hinblick auf deren spezifische Anforderungen an eine rechtssichere Langzeitspeicherung im konzeptionellen Teil (Kap. 5) zu berücksichtigen. Ausblick: MELODI Online Im geplanten Online-Prozess wird in MELODI an die Stelle des konventionellen Schriftwechsels der Austausch elektronischer Dokumente treten. Entsprechend werden sich aus dem künftigen Eingang elektronisch signierter Anträge neuartige Anforderungen an die rechtssichere Archivierung ergeben. Seite 23 von 112

24 3.3 Datenobjekte Übergreifende Ausgangssituation Dokumente in Papier- sowie in elektronischer Form sowie elektronisch gespeicherte Daten bilden die Grundlage der Betrachtung der Datenobjekte. Generell gilt dabei, wie in den verwaltungsrechtlichen Rahmenbedingungen beschrieben, die Forderung der Aktenmäßigkeit des Verwaltungshandelns. Um für die Konzeption von ArchiSafe eine Übersicht der relevanten Datenobjekte zu erhalten, soll an dieser Stelle auf die Klassifizierung von Dokumententypen nach ArchiSig zurückgegriffen werden: Dokumenttyp 1: Papierform ohne elektronische Signatur Dieser Typus betrifft besondere Urkunden, z.b. Kaufverträge für Immobilien, die eine hohe juristische Relevanz haben und über sehr lange Zeiträume aufgehoben werden müssen. Für diese Dokumente ist die digitale Form mit einer elektronischen Signatur gesetzlich nicht zulässig. Die Dokumente müssen daher auch weiterhin in Papierform erstellt und aufgehoben werden. Dokumenttyp 2: elektronische Dokumente mit elektronischer Signatur Hierzu zählen alle im täglichen Geschäftsablauf einer Verwaltung anfallenden Dokumente und internen Vermerke, die die Maßnahmen eines Verwaltungsaktes rechtlich verbindlich dokumentieren. Sie werden in ihrer elektronischen Form auch elektronisch signiert. Die Signatur muss entsprechend rechtskräftig erhalten werden. Zu diesem Typ gehören auch Dokumente, die außerhalb der Verwaltung als rechtsverbindliche Erklärung erstellt werden. Dokumenttyp 3: elektronische Dokumente mit temporärer elektronischer Signatur Dieser Typus betrifft den normalen Schriftwechsel einer Behörde, der in seiner elektronischen Form auch signiert wird. Da es sich jedoch nicht um Inhalte von juristischer Relevanz handelt, sondern die entsprechenden Dokumente nur der inhaltlichen Vollständigkeit wegen aufgehoben werden, entfällt die Beweiskrafterhaltung der Signatur durch eine Nachsignierung. Seite 24 von 112

25 Dokumenttyp 4: Dokumente ohne Signatur Alle übrigen Dokumente werden als Informationen ohne nennenswerte rechtliche Bedeutung klassifiziert. Diese Dokumente werden daher nicht elektronisch signiert und nur der Vollständigkeit halber bis zum Ende der Aufbewahrungsfristen in der Akte gehalten. Aus heutiger Sicht stellen maschinell auslesbare Datensätze einerseits und Images andererseits die maßgeblichen Datenobjekte dar, die es im Kontext behördlichen Handelns abzulegen gilt. Entsprechend verweist auch das DOMEA-Organisationskonzept auf zwei Kategorien: Als Coded Information (CI) gelten Informationen, die so kodiert sind, dass sie vom Rechner einfach interpretiert und weiter verarbeitet werden können. Hierzu gehören typischerweise in einem Standardcode wie ASCII, EBCDIC oder ISO 8859/1 gespeicherte Texte oder numerische Werte mit bekannter Kodierung. Aber auch die Texte eines Textverarbeitungssystems, Rechenblätter aus einem Tabellenkalkulationsprogramm oder Zeichnungen in einem CAD- oder Vektorformat gehören dazu. Primärinformationen in diesem Format zeichnen sich also dadurch aus, dass sie ohne Weiteres maschinell auswertbar und (inhaltlich) weiterverarbeitbar sind. Zur Kategorie der Non Coded Information (NCI) zählen Informationen, die unkodiert bzw. unstrukturiert gespeichert sind. Das bedeutet nicht, dass zur Speicherung kein Format oder Code verwendet wurde, sondern dass die Information sich erst durch eine Interpretation oder spezielle Umwandlung erschließt. Eingescannte Dokumente, die als Rasterbilder abgelegt sind, gehören typischerweise zu dieser Klasse von Informationen. Im Gegensatz zum CI-Format ist dieses Format dadurch charakterisiert, dass eine inhaltliche Auswertung und Weiterverarbeitung zunächst maschinell nicht möglich ist. Sollte dies erforderlich sein, ist eine Umwandlung in das CI-Format durch Anwendung von OCR- oder ICR-Technologien erforderlich. Seite 25 von 112

26 3.3.2 MELODI Wie bereits aus Prozesssicht aufgezeigt, kennzeichnet das Fachverfahren MELODI eine Vielzahl von Interaktionen, die im Backend unterschiedliche Datenobjekte erzeugen. Datenobjekte werden dabei verstanden als strukturierte, formatierte Daten, die in Form von Dateien bzw. Dokumenten vorliegen können. Aufgrund der unterschiedlichen IT-Systeme, die im Kontext von MELODI zum Einsatz kommen, können diese beiden Datenobjektarten in einer Vielfalt von Formaten auftreten. Grundsätzlich zu unterscheiden sind folgende Dokumententypen, die in unterschiedlichen Systemen vorgehalten werden: Dokumenttyp Papier Elektronisch Antragsdokumente Antrag und Dokumentation Novell: Dokumentation als Graphik (Zeichnungen, Visio- Graphiken etc.) oder Textformat (Word, PDF) Bearbeitungsakte, inklusive der technischen Dokumentationen Zertifikate Kostenbescheide Papierakte Ausdruck mit Siegel und Unterschrift Ausdruck mit Unterschrift (sachlich richtig gezeichnet) MELODI Online: Antrag als Datensatz in SAP Novell: siehe oben SAP R/3: PDF-Dokument SAP R/3: Datensatz Elektronischer Schriftverkehr Ausdruck Lotus Server ( s mit und ohne Attachments) / bisher keine Signaturen, für MELO- DI Online mit Signatur Tabelle 1 Dokumententypen in MELODI Zu den relevanten Datensätzen zählen insbesondere: Seite 26 von 112

27 Datensätze Elektronisch Antragsdaten SAP R/3 Messdaten Oracle, Novell, andere Server Kostenerfassungsliste SAP R/3 Beschreibende Metadaten SAP R/3 Tabelle 2 Datensätze in MELODI Die folgende Darstellung zeigt noch einmal im Überblick die im Kontext von MELODI aufzubewahrenden Datenobjekte. Eingangspost, VPS Messdaten Oracle Ablage Registratur Ausgangspost, VPS Aktennotizen, Vermerke , Telefax Lotus/Domino- Server SAP R/3 Daten DMS+Belege Office Dokumente Novell z. d. A. ARCHIV QM-Docs CMS Internet, PTB-Online CMS Zeichnungen / Bilder Belege / Scan-Images Abbildung 4 Im Kontext von MELODI aufzubewahrende Datenobjekte 3.4 Aufbewahrungsfristen Übergreifende Ausgangssituation Grundsätzlich gelten für die elektronische Archivierung analoge Vorgaben wie für die Ablage bzw. Aussonderung konventionell papiergebundener Vorgänge. Indessen wurden in die Seite 27 von 112

28 maßgeblichen Regelwerke Passagen aufgenommen, die sich speziell der elektronischen Archivierung widmen. Bereits im Kontext von ArchiSig wurde darauf verwiesen, dass sich die Fristen zur Aufbewahrung von Dokumenten aus dem Zweck der Aufbewahrung ergeben und nur teilweise gesetzlich geregelt sind. 3 Aus folgenden Dokumenten ergeben sich die organisatorischen Rahmenbedingungen: Bundesarchivgesetz (BArchG) bzw. Landesarchivgesetze Registraturrichtlinie des Bundes (RegRL) Strafgesetzbuch (StGB) bzw. Bürgerliches Gesetzbuch (BGB) Abgabenordnung (AO) bzw. Handelsgesetzbuch (HGB) Hierzu treten im Einzelfall Fristenregelungen, wie sie sich aus dem Datenschutzrecht und aus Fachgesetzen ergeben, sowie interne, fachverfahrensspezifische Fristen, wie sie in der Regel in den jeweiligen Geschäftsordnungen von Behörden hinterlegt sind MELODI Für MELODI ergeben sich die Aufbewahrungsfristen aus Anlage A der Geschäftsordnung der PTB. Demnach bestehen für Fachakten der Hauptgruppen 1-5 folgende Aufbewahrungsfristen: 4 Tabelle 3 Aufbewahrungsfristen für Fachakten (Hauptgruppen 1-5) 3 ArchiSig, Anforderungskatalog, Version 2.0, Dezember 2002, Abschnitt sowie ArchiSafe Verwaltungsrechtliche Rahmenbedingungen, Vers. 1.0, Stand: September 2005, Kap Siehe Geschäftsordnung der PTB, Stand: 1. Mai Seite 28 von 112

29 Für Akten der Hauptgruppen 6 0 lassen sich die Aufbewahrungsvorgaben wie folgt zusammenfassen, wobei ausgewählte Beispiele angeführt werden: Dokumentenart Frist Sprachendienst 3 Jahre Annahme und Versand (Außenhandelsangelegenheiten) Stellenausschreibungen, Bewerbungen Kraftfahrzeugbetrieb 5 Jahre Messen und Ausstellungen Bürotechnik, Textverarbeitung, Vordrucke Dienstbetriebsregelungen 10 Jahre Wohnungsverwaltung Sonstige Innere Hilfsdienste Genehmigungen, Auflagen für PTB-Aufgaben -PTB als Empfänger- Rechtsfragen zu Erfindungen, Patenten u. sonstigem Urheberrecht Pflichten (Lohnempfängerverhältnis) 15 Jahre Vollversammlung (nur: nicht gesetzliches Eichwesen) 30 Jahre Organisationspläne Generelle Organisationsänderungen Geschäftsverteilung Funktionsübertragung entsprechend dem Organigramm Tabelle 4 Sonstige Aufbewahrungsfristen der PTB 3.5 Schutzbedarfsanalyse Ziel der Schutzbedarfsanalyse ist es, für das Archivsystem und die darin zu speichernden Daten zu entscheiden, welche Sicherheitsmassnahmen bezüglich Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit erforderlich sind. An die elektronische Langzeitspeicherung müssen zum Teil hohe Sicherheitsanforderungen gestellt werden, um eine langfristige Rechtssicherheit bei der späteren Nutzung der gespeicherten Daten zu erreichen. Insbesondere muss durch die elektronische Langzeitspeicherung erreicht werden, dass die Beweiskraft der Daten zuverlässig aufrechterhalten werden kann. Daten müssen bereits während ihres Transports aus dem Fachverfahren in das Archivsystem geschützt werden. Es muss ausgeschlossen werden können, dass die Integrität zu archivierender Daten vorsätzlich oder zufällig verletzt werden kann. Auch die Vertraulichkeit der Daten ist hier zu gewährleisten, um den Anforderungen an den Daten- und Geheimschutz genügen zu können. Seite 29 von 112

30 Bei der Ablage der Daten im Archivsystem muss sichergestellt werden, dass nur authentische Daten archiviert werden. Vor der Ablage signierter Daten im Archivsystem ist deshalb ggf. eine vollständige Signaturverifikation durchzuführen (Eingangsprüfung). Während der Dauer der Speicherung im Archivsystem sind die Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit zu erhalten. Dem Erhalt der Integrität und Authentizität qualifiziert signierter Daten kommt hier unter Langzeitgesichtspunkten eine besondere Bedeutung zu. Für eine ausführliche Darstellung der Sicherheitsanforderungen und der geeigneten Sicherheitsmassnahmen wird auf das separate Dokument verwiesen, das im Anhang enthalten ist IT-Infrastruktur der PTB Die aktuelle IT-Architektur und -Infrastruktur wird durch ein PTB-internes Dokument ausführlich beschrieben. 6 Nachfolgend werden die Säulen der IT-Infrastruktur kurz dargestellt: Serverstruktur An ihren beiden Standorten Braunschweig und Berlin setzt die PTB im Serverbereich vorwiegend Hardware der Firma IBM ein sowie einige PCs als Windows Server. Die Server werden vorwiegend mit UNIX-Varianten betrieben. Es werden u.a. folgende Betriebssysteme genutzt: AIX 5.2 Debian GNU/Linux 3.0 HP-UX Microsoft Windows NT 4.0 Microsoft Windows ArchiSafe Schutzbedarf für Archivierungssysteme, Vers. 1.0, Stand: September PTB: DV-technische Rahmenbedingungen, Version 0.4, Februar Seite 30 von 112

31 Microsoft Windows 2003 Netware 5.1 Open VMS SuSE Linux Enterprise 8.0 SuSE Linux Enterprise 9.0 Tru64 Unix Server/ Datensicherheit Technische Grundlage für den IT-Einsatz bildet eine Client-/Server-Struktur. Die Server sind als Cluster bzw. RAID 1 und RAID 5 eingerichtet, was eine erhöhte Verfügbarkeit und Datensicherheit erzeugt. Für die Datensicherheit wird zusätzlich durch eine regelmäßige Bandsicherung gesorgt (feuersicherer Safe). Ein weiterer Schutz vor unberechtigtem Zugriff ist durch eine Zutrittskontrolle in das Rechenzentrum gegeben. Netz/ TCP/IP Das aktive Netzwerk der PTB wurde mit einem Datendurchsatz von 100 MBit/s bzw. 1 Gbit/s eingerichtet. Neben dem Datenbanknetzwerk existiert ein SAN zur Massenspeicherung (10 TB) von Daten, bereitgestellt durch die Firma EMC². Die Zuweisung des Speicherplatzes im SAN erfolgt dynamisch. Clients Auf den Clients werden nutzungsabhängig verschiedene Betriebssysteme eingesetzt. Dies sind u.a.: Windows 95 (als Messrechner) Windows 98 Windows NT4 Windows XP Professional Linuxsysteme der Derivate: SuSE 8.0/8.2/9.1, Debian 3.0/3.1 Mac OS 9.2/10.2/10.3 Für die Betriebssysteme WIN 98 und WINXP gibt es eine Standardkonfiguration, jedoch werden alle Konfigurationen je nach Nutzer und Nutzungszweck unterschiedlich angepasst. Seite 31 von 112

32 Anwendungen Die PTB nutzt SAP Enterprise R/3 mit insgesamt 17 Modulen, u.a. Personal, HR Finanzwesen, FI Reisekosten, HR Haushalt, IS-PS, PSM Servicemanagement, CS Projektsystem, PS Dokumentenmanagement, DVS Logistik, LO Instandhaltung, PM Nutzerverwaltung Die Benutzerverwaltung bei den SAP-Servern ist dezentral, wobei die Benutzernamen den Nutzernamen in Novell zu 99% entsprechen. Die Vergabe der Nutzerberechtigungen erfolgt ebenfalls dezentral, daher hat jeder Benutzer auf den unterschiedlichen Systemen unterschiedliche Zugriffsrechte. Die Zuweisung der TCP/IP-Adressen für die Clients erfolgt dynamisch. Schnittstellen Auf zwei Schnittstellen sei besonders hingewiesen: 1. Business Connector (BC) Der BC (Business Connector) ermöglicht über eine Http-Anfrage auf Daten im R/3 zuzugreifen. Der BC kommt im Moment nur im Bereich des CMS sowie beim Abgleich der Kommunikatikonsdaten der Mitarbeiter zwischen R/3 und Fax-Server zum Einsatz. Der Zugriff auf den BC ist nur für die Rechner/Server möglich, deren IP- Adressen im Admintool des BC frei geschaltet wurden. Seite 32 von 112

33 2. Content-Server Die im Rahmen von MELODI erzeugten Dokumente werden in der Datenbank (MAXDB) des SAP Content-Servers abgelegt. Auf diese kann entweder direkt im SAP GUI oder über den Business Connector zugegriffen werden. Der Zugriff auf die Dokumente in der Datenbank des Content-Servers erfolgt unter Einsatz eines Microsoft -IIS Servers. 3.7 Prinzipielle technische Herausforderungen und Lösungsansätze Bevor in den Kapiteln 4 und 5 die fachlichen Anforderungen und die konzeptionellen Überlegungen zur Systemarchitektur dargelegt werden, sollen zunächst noch einige technische Aspekte betrachtet werden. Zunächst geht es darum, die technische Problemstellung der Langzeitspeicherung aufzuzeigen. Daran anschließend werden mögliche Lösungsansätze, die Emulation und die Migration, diskutiert. Abschließend werden die technischen Herausforderungen unter der Berücksichtigung der Sicherstellung der Verkehrsfähigkeit der Zeichensätze und Metadaten sowie die Erhaltung der Rechtskraft digitaler Dokumente aufgezeigt Technische Problemstellung Das Ziel einer auch auf lange Zeiträume angelegten, rechtssicheren Ablage elektronischen Schriftguts ist die möglichst dauerhafte Speicherung (Konservierung) der digitalen Dokumenteninhalte sowie der den Dokumenten zugehörigen Metainformationen zu einem nachweisbaren Zeitpunkt T1. Für Dokumente mit rechtswirksamem Charakter sind zusätzlich Prüfinformationen über den Urheber des Dokuments und den Status der Konservierung dauerhaft vorzuhalten und gegebenenfalls zu erneuern. Der digitale Inhalt eines Dokumentes ist grundsätzlich als ein Strom (Folge) von Zeichen eines endlichen Zeichensatzes Z1 codiert. Die Metadaten lassen sich in zwei Kategorien unterscheiden: Der Metadatensatz M1 umfasst Informationen über den zur Codierung des Dokumenteninhalts verwendeten Zeichensatzes und umfasst somit Informationen zur Darstellung und Formatierung der eigentlichen Inhaltsdaten. Der Metadatensatz M2 enthält beschreibende Metainformationen zu dem digitalen Dokument (z.b. Ersteller, Datum, Aktenzei- Seite 33 von 112

34 chen) und stellt somit beispielsweise sicher, dass das Dokument wieder gefunden und einem Vorgang zugeordnet werden kann. Auch die Metadaten sind als Folge eines Zeichensatzes Z2 codiert. Die Zeichensätze Z1 und Z2 können, müssen aber nicht übereinstimmen. Darüber hinaus genügen die Metadaten bestimmten syntaktischen und semantischen Regeln, die in der Spezifikation der Metadatensätze begründet sind. Das Ziel und die Herausforderung der rechtssicheren Ablage elektronischen Schriftguts ist es, für die digitalen Dokumentinhalte sowie deren Metadatensätze M1 und M2 die Authentizität (Nichtabstreitbarkeit), Integrität (Unversehrtheit) und Verfügbarkeit für lange Zeiträume zu gewährleisten. Zur Sicherung der Verfügbarkeit elektronischer Dokumente gehört dabei insbesondere auch die Gewährleistung der Verkehrsfähigkeit über lange Zeiträume, womit vor allem die Lesbarkeit und Darstellbarkeit angesprochen sind. Zur Zielerreichung können grundsätzlich unterschiedliche Techniken auf unterschiedlichen Ebenen zum Einsatz gelangen: 7 Physikalische Ebene Logische Ebene Dokumentebene Speichermedien, File-Systeme, IT-Infrastruktur für Archivsysteme Index-Verwaltungen, Zugriffsmechanismen, Suchkriterien, Versionierungen Interner Aufbau von zu archivierenden Dokumenten, Codierungen Tabelle 5 Ebenen elektronischer Archivierung 7 Siehe: VOI Schriftenreihe Technische Aspekte und Komponenten von digitalen Archivsystemen, Dezember 2003, Kapitel 2 Dokument-Datenströme in der Archivierung, Seite 11. Seite 34 von 112

35 Auf welcher Ebene welche Techniken prinzipiell ansetzen können oder sollten, um den Herausforderungen an die elektronische Langzeitspeicherung zu begegnen, zeigt die nachfolgende Tabelle: Physikalische Ebene Logische Ebene Dokumentebene Authentizität Dokumentation / Nachweis über Verfahrenswege (Zugriffsprotokolle) Integrität Verkehrsfähigkeit (Lesbarkeit) Verfügbarkeit Veränderungsschutz bspw. auf Ebene der Speichermedien mittels WORM-Technologien 8 Bereitstellung von Technologien zum Lesen elektronischer Speichermedien Physische Redundanz von Speichermedien und Systemen Schutz / Nachweis über Verfahrenswege (Zugriffsschutz und Zugriffsprotokolle) Gewährleistung der Verkehrsfähigkeit der Index-Verwaltung Anforderungsgerechte Gestaltung von Suchkriterien und Zugriffsmechanismen Nachweis z.b. über elektronische Signaturen Nachweis z.b. über elektronische Signaturen und/oder Zeitstempel Gewährleistung der Lesbarkeit der Dokumentformate und Metadaten Gewährleistung der Lesbarkeit gespeicherter Dokumentformate und Metadaten Tabelle 6 Maßnahmen zur Zielerreichung je Ebene Der Aufbau und der Betrieb von elektronischen Archiven bzw. von IT-Systemen generell haben in der Vergangenheit allerdings auch einige Probleme deutlich gemacht. Auf der physikalischen Ebene hat sich gezeigt, dass elektronisch lesbare Datenträger sowie optische Speichermedien nur begrenzt haltbar sind. Zudem wurden und werden fortlaufend neue Speichertechnologien und -medien entwickelt, so dass heute noch eingesetzte Systeme relativ schnell überholt sind. Auf der Dokumentebene gab es zwar immer wieder ambitionierte Versuche der Formatstandardisierung. Ein wirklicher Durchbruch in diesem Bereich ist aber noch nicht abzusehen. 8 WORM steht für Write Once, Read Many. Dabei handelt es sich um spezielle digital-optische Speichermedien, die in ihrem Laufwerk mit einem Laser berührungsfrei nur einmal beschrieben werden können. Seite 35 von 112

36 Die Gewährleistung der Authentizität wurde in der Vergangenheit vor allem über den Ansatz der Ordnungsmäßigkeit der Verfahren (vor allem über organisatorische Richtlinien) in Kombination mit technischen Funktionen angestrebt. Mit dem Einsatz elektronischer Signaturen kann hier ein wesentlicher Durchbruch erreicht werden, da die Authentizität eines Dokumentes nicht mehr ausschließlich auf der logischen Ebene, sondern vor allem auf der Dokumentenebene selbst, nachgewiesen werden kann. Vor diesem Hintergrund besteht die große Herausforderung der rechtssicheren elektronischen Ablage (Langzeitspeicherung) darin, zu zeigen, wie trotz technischem Fortschritt bzw. Weiterentwicklung von Hard- und Software sowie Datenformaten die Verkehrsfähigkeit, Authentizität und Integrität digital gespeicherter Dokumente einschließlich der zugehörigen Metainformationen sichergestellt werden kann. Im Folgenden werden bislang gängige Herangehensweisen und Strategien, wie Emulation und Migration, beschrieben, sowie weitere für das Projekt ArchiSafe wichtige Lösungsansätze aufgezeigt Emulation Geht man davon aus, dass die dauerhafte Erhaltung einmal beschaffter Hard- und Software unrealistisch ist (keine Wartung mehr, keine Ersatzteile, fehlendes Know-how im Umgang mit den alten Systemen) und die Inanspruchnahme eines Technikmuseums nicht den heutigen Ansprüchen an Zugriffszeiten entspricht, muss die Frage beantwortet werden, wie Daten und Dokumente aus veralteten Systemen langfristig verfügbar, lesbar und wieder auffindbar gemacht werden können. Aus technischer Sicht sind hierfür zunächst vor allem zwei Maßnahmen denkbar: zum einen Maßnahmen, die möglichst nahe am Originaldokument und der originalen Erzeugungsumgebung zu bleiben trachten (Emulation); zum anderen Maßnahmen, die das elektronische Dokument fortlaufend dem neuesten Stand der Technik anzupassen versuchen (Migration). Seite 36 von 112

37 Der Begriff Emulation bezeichnet die Simulation einer älteren Umgebung auf einem neuen System, so dass Daten in ihrer ursprünglichen Form dargestellt werden können. Emuliert werden dabei Hardwarekomponenten, aber auch Betriebssysteme und Softwareanwendungen. Beim Emulationsansatz werden von jedem elektronischen Dokument nicht nur der Zeichenstrom und die Metadaten konserviert (z.b. durch Migration), sondern zusätzlich eine Emulator geeignete Spezifikation der Hardware und binäre Zeichenströme, welche die komplette Software der Abspielumgebung enthalten. 9 Die Emulation ist heute schon im Bereich der Betriebssystem- bzw. Benutzeroberflächensimulation sehr gebräuchlich. Hierbei wird z.b. auf dem Betriebssystem Linux oder Unix eine Windows-Oberfläche emuliert. Ein Emulator oder alternative Programme simulieren bzw. übersetzen dabei die Reaktion des Betriebssystems Windows auf Funktionsaufrufe des Wirt -Systems, im Beispiel also Linux oder Unix. Überträgt man den Gedanken der Emulation auf die rechtssichere Langzeitspeicherung, zeigt sich, dass sich die Emulation ggf. über sämtliche Ebenen einer solchen Ablage erstrecken kann. Der Aufwand für kommende technologische Entwicklungen ist daher kaum abzuschätzen und bei einem Paradigmenwechsel eines Tages eventuell gar nicht mehr durchzuführen. Hinzu kommen die Aufwände für die Emulation von Prüfprogrammen für den Nachweis der Integrität und Authentizität der ursprünglichen Dokumente auf Basis elektronischer Signaturen Migration Aus technischer Sicht ist die Migration eine Strategie, die versucht, elektronische Daten und Dokumente (Dokumentformate) fortlaufend dem neuesten Stand der Technik anzupassen. Vorrangiges Ziel der Migration ist es, die langfristige Verfügbarkeit und Verkehrsfähigkeit 9 Aus: Borghoff, U., Rödig, P., Scheffczyk, J., Schmitz, L.: Langzeitarchivierung, dpunkt.verlag 2003, Seite 18. Seite 37 von 112

38 (insbesondere die maschinelle Lesbarkeit) elektronischer Daten und Dokumente durch Transformation zu gewährleisten. Migration ist der periodische Transfer digitalen Materials von einer Hard-/ Softwarekonfiguration zu einer anderen Konfiguration, von einer Generation der Computertechnologie zur nachfolgenden Generation. Das Ziel der Migration ist es, die Integrität von digitalen Objekten zu erhalten. Auf Anwenderseite soll stets gewährleistet sein, dass Daten trotz sich ständig ändernder Technologie empfangen, angezeigt oder anders genutzt werden können. 10 Eine Migration kann somit auf allen im Abschnitt beschriebenen Ebenen zum Tragen kommen: Ebene Physikalische Ebene Logische Ebene Dokumentenebene Beispiel Hardwarewechsel durch Weiterentwicklung in der WORM- Laufwerk-Technologie (Verfügbarkeit, Lesbarkeit) Wechsel des Archivsystems z.b. nach Konkurs eines Anbieters (Verfügbarkeit) Konvertierung in ein neues Datenformat (Lesbarkeit) Tabelle 7 Beispiel für Migrationen Obwohl die Migration auch den Erhalt der Integrität zum Ziel hat, kann ein Integritätsverlust technisch grundsätzlich nicht ausgeschlossen werden und stellt somit stets auch ein Risiko für digitale Archive dar. Durch die Migration bzw. durch eine damit einhergehende Konvertierung verändert sich das ursprüngliche Dokument in jedem Falle und somit dessen Authentizität. Insbesondere die Umwandlung elektronisch signierter Dokumente wirft Fragen auf, die für die Anwendung er- 10 Aus: Borghoff, U., Rödig, P., Scheffczyk, J., Schmitz, L.: Langzeitarchivierung, dpunkt.verlag 2003, Seite 38. Seite 38 von 112

39 hebliche Unsicherheiten birgt. Die dabei auftretenden rechtlichen Probleme werden derzeit im Rahmen des Projektes TransiDoc diskutiert Technische Herausforderungen Die in Abschnitt dargestellten Anforderungen an die rechtssichere elektronische Ablage (Langzeitspeicherung) machen deutlich, dass weder die Emulation noch die Migration geeignete Verfahren darstellen, die Verkehrsfähigkeit sowie die Rechtskraft (Authentizität und Integrität) digitaler Dokumente und deren Metainformationen langfristig und nachhaltig sicherzustellen. Für die elektronische Langzeitspeicherung digitaler Dokumente ist es jedoch wichtig, genau diese beiden Kriterien zu erfüllen Dauerhafte Sicherstellung der Verkehrsfähigkeit der Zeichensätze und Metadaten Um die Verkehrsfähigkeit der Zeichensätze und Metadaten für lange Zeiträume sicherzustellen, ist es erforderlich, diese in Formaten vorzuhalten, die nach heutigem Kenntnisstand auch in eben diesen Zeiträumen noch maschinell lesbar sein werden. Zu empfehlen sind daher vor allem nicht proprietäre, offene und standardisierte Formate. Das DOMEA-Organisationskonzept und die SAGA-Standards empfehlen, für die Langzeitspeicherung von elektronischem Schriftgut die folgenden Formate zu benutzen: TIFF Das Tagged Image File Format (TIFF) erlaubt das Speichern von Grafikinformationen ohne Informationsverlust und ist nach ISO für die medienunabhängige Bildverarbeitung standardisiert worden. Die Kodierung des Formats erlaubt es, mehrere Darstellungen (z.b. Thumbnails) oder Versionen einer Grafik oder auch Textinformation als Metadaten in einer Datei abzulegen. Der Einsatz von TIFF ist vor allem immer 11 weitere Informationen unter 12 DOMEA Organisationskonzept 2.0, Erweiterungsmodul: Technische Aspekte der Archivierung elektronischer Akten, Schriftenreihe der KBSt, Bd. 67, Oktober SAGA Standards und Architekturen für E-Government-Anwendungen, Schriftenreihe der KBSt, Bd.59, Dezember Seite 39 von 112

40 dann angezeigt, wenn die grafischen Informationen eines Dokuments von maßgeblicher Bedeutung für die Aussagekraft sind. In der Formatspezifikation sind allerdings keine Sicherheitsmechanismen zur Gewährleistung von Integrität, Authentizität und Vertraulichkeit vorgesehen. 14 JPEG Das JPEG-Format (Joint Photographic Experts Group) steht für ein Kompressionsverfahren und ein Grafikformat und ist eines der häufigsten im Internet verwendeten Grafikformate. Der JPEG-Standard wurde als ISO DIS im Jahr 1992 veröffentlicht. Da die Definition der Struktur von JPEG-Dateien viele Freiheiten erlaubt, wurde mit dem JPEG File Interchange Format (JFIF) ein Standard definiert, der den Austausch von JPEG-komprimierten Bilddaten organisiert. JFIF baut auf den JPEG- Standard auf und ist plattformunabhängig. Die Verwendung des JPEG-Formates als Alternative zu TIFF kann angezeigt sein, wenn ein Kompromiss zwischen Bildqualität und Dateigröße gefunden werden muss. Im JPEG-Datenformat sind bis heute aber keine Sicherheitsmechanismen zur Gewährleistung von Integrität, Authentizität und Vertraulichkeit vorgesehen. Erst mit dem in Entwicklung befindlichen JPEG2000- Standard ( JPSEC ) sollen Sicherheitsmechanismen zur Gewährleistung der Integrität, Authentizität und Vertraulichkeit berücksichtigt werden 15. PNG PNG (Portable Network Graphics Format) wurde von der späteren PNG Development Group als Alternative zum GIF-Format entwickelt und eignet sich wegen der Möglichkeit der verlustfreien Kompression und inkrementellen Anzeige der Grafiken vor allem für Anwendungen im Internet. Die PNG-Spezifikation ist offen gelegt und wurde als ISO / IEC im Jahr 2003 zum internationalen Standard erhoben Das PNG-Format wird von den meisten Bildverarbeitungsprogrammen standardmäßig unterstützt. So genannte Kalibrierungs-Datenblöcke erlauben die Kalibrierung der Darstellung, damit z.b. der Ausdruck eines Bildes genauso aussieht, wie es der Autor an 14 A. Hollerbach, R. Brandner, A. Beß: Datenformate und ihre Eignung zu sicheren und beweiskräftigen Langzeitspeicherung, in: Schmücker/ Roßnagel (Hrsg.): Beweiskräftige Elektronische Archivierung, Hüthig Verl A. Hollerbach, R. Brandner, A. Beß: ebenda. Seite 40 von 112

41 seinem Bildschirm gesehen hat. Allerdings sind wie bei TIFF keine Mechanismen zur Sicherung von Integrität, Authentizität und Vertraulichkeit vorhanden 16. TXT (ASCII) ASCII (American Standard Code for Information Interchange) steht für einen Zeichensatz und für ein Textformat. Ein ASCII-Text beschreibt ein Dokument, das nur aus Zeichen des ASCII-Zeichensatzes besteht, also keine Steuerzeichen oder Layoutinformationen beinhaltet und eignet sich somit besonders für einfache Textinformationen und Metadaten. Der ASCII-Code wurde 1972 von der International Organization for Standardization als ISO 646 spezifiziert und bietet aus heutiger Sicht die besten Voraussetzungen für eine andauernde Verkehrsfähigkeit. Da ASCII definitionsgemäß keine Zeichensätze einbindet, ist eine korrekte Darstellung nicht in jedem Falle gewährleistet. Das Format besteht ursprünglich aus 7 bit, mit denen 128 (Zeichen-) Kombinationen dargestellt werden können, also ein Zeichensatz, der auf dem lateinischen Alphabet basiert, wie es in der modernen englischen Sprache verwendet wird. Um einige Sonderzeichen, z.b. die Umlaute der deutschen Sprache, abzubilden, wurden 8-bit- ASCII-Zeichensätze definiert. Eine Weiterentwicklung der ASCII-Kodierung stellt der sogenannte Unicode-Standard dar. Er basiert je nach Kodierungstabelle auf 8 (UTF- 8), 16 (UTF-16) oder 32 (UTF-32) Bit pro Zeichencode. In ASCII-Textdokumenten sind per se keine Sicherheitsmechanismen zur Gewährleistung von Integrität, Authentizität und Vertraulichkeit vorgesehen. 16 A. Hollerbach, R. Brandner, A. Beß: ebenda Seite 41 von 112

42 PDF PDF (Portable Document Format) ist ein von der Firma Adobe Systems Inc. entwickeltes Datenformat. Aufgrund der Tatsache, dass PDF, im Gegensatz zu TIFF oder JPEG, es ermöglicht, neben der grafischen Informationen auch die Textinformationen elektronischer Dokumente zu erhalten, und so beispielsweise auch Volltextrecherchen möglich bleiben, hat PDF sich zu einem De-facto-Standard für den Austausch von Textdokumenten entwickelt. Die Spezifikation des Datenformats ist von Adobe offen gelegt. Ein internationaler Normenausschuss der AIIM (Association for Information and Image Management) erarbeitet derzeit Kriterien, unter welchen PDF als Standard für die Langzeitspeicherung elektronischer Dokumente empfohlen werden soll. 17 Zur Anzeige von PDF-Dokumenten existieren Softwarekomponenten von Adobe selbst, aber auch von anderen Herstellern (nicht selten lizenzfrei). Unter Verwendung von Adobe Acrobat kann die Darstellung von PDF-Dokumenten als weitgehend eindeutig bezeichnet werden. Um die Sicherheit in der Darstellung noch zu erhöhen, wird derzeit ein so genannter Secure Viewer der Firma Openlimit SignCubes durch das BSI nach den internationalen Common Criteria for IT Security Evaluation in der Stufe EAL 4 evaluiert und zertifiziert. PDF unterstützt verschiedene Sicherheitsmechanismen, insbesondere auch die Einbettung elektronischer Signaturen im international anerkannten PKCS#7-Format. Insgesamt empfiehlt DOMEA, für die Langzeitspeicherung elektronischer Dokumente wenige und einheitliche Formate zu verwenden. Liegt das Dokument in einem CI-Format vor, so sollte das PDF-Format für die Archivierung gewählt werden (Speicherung von Text und Grafikinformation). Liegt das Dokument hingegen lediglich in NCI-Form vor, so ist vorrangig das TIFF-Format zu verwenden. 18 In Ergänzung dieser DOMEA-spezifischen Empfehlungen legt SAGA nahe, Metadaten und Datenschnittstellen zu Fremdsystemen grundsätzlich über XML und entsprechende Schemadefinitionen zu beschreiben und zu realisieren. 17 PDF-Archive, AIIM Standards International: 18 DOMEA Erweiterungsmodul zum Organisationskonzept 2.0: Technische Aspekte der Archivierung elektronischer Akten, Schriftenreihe der KBSt, Bd. 67, Oktober Seite 42 von 112

43 XML Extensible Markup Language (XML) ist ein vom W3C-Konsortium definierter Standard zur syntaktischen Strukturierung von Dokumenten, eine Metasprache mit der so genannte Auszeichnungssprachen definiert werden können. Mit XML lassen sich Dokumente logisch strukturieren und (zunächst logisch) auszeichnen. XML-Dokumente verfügen damit per se über keinerlei Formatierungs- oder Darstellungsinformationen, sie müssen den einzelnen Dokumentteilen zusätzlich mitgegeben werden. Die Festlegungen zum Aufbau eines XML-Dokuments oder einer ganzen Klasse gleichartiger Dokumente werden entweder in einer Document-Type-Defintion (DTD) oder, wie von SAGA empfohlen, über eine XML-Schemadefintion beschrieben. Anhand eines solchen Schemas lässt sich die syntaktische Vollständigkeit und Korrektheit eines XML-Dokumentes überprüfen. XML-basierte Beschreibungssprachen umfassen mittlerweile ein breites Spektrum diverser Auszeichnungssprachen für unterschiedliche Informationskomponenten. Die Vertraulichkeit von XML-Dokumenten kann beispielsweise durch XML Encryption sichergestellt werden, die Integrität und Authentizität durch XML Signatures. Dabei werden verschiedene Formen von XML- Signaturen unterschieden, abhängig davon, ob die Signatur innerhalb oder außerhalb des XML-Dokumentes liegt. Gemäß SAGA soll XML künftig als der universelle und primäre Standard für den Datenaustausch aller verwaltungstechnisch relevanten Informationssysteme dienen Erhaltung der Rechtskraft digitaler Dokumente (Authentizität und Integrität) Neben der Sicherstellung der Verkehrsfähigkeit von Zeichenströmen kommt es für die elektronische Langzeitspeicherung darauf an, die Authentizität und Integrität der digitalen Dokumente zu gewährleisten. Dies kann einerseits systemtechnisch durch die Speicherung der Datenströme und Zeichensätze auf nicht wieder beschreibbaren Medien realisiert werden. Eine andere Lösung ist die softwaretechnische Versiegelung der Daten mit Hilfe elektronischer Signaturen. Seite 43 von 112

44 Technisch ist die Konservierung der Zeichensätze und Datenströme gelöst. Durch den Einsatz von WORM-Medien (Write Once Read Multiple) können digitale Dokumente und deren Metainformationen authentisch und integer langfristig archiviert werden. Eine Veränderung oder Löschung der Daten auf dem Medium ist nicht möglich, sofern dieses nicht beschädigt oder vernichtet wird. Ein Problem stellt dabei die Wahrung des Datenschutzes dar. Sind Aufbewahrungsfristen überschritten, müssen bestimmte Dokumente vernichtet werden. Dies ist bei der Nutzung von WORM-Medien nur möglich, indem die nicht zu löschenden digitalen Daten auf ein anderes WORM-Medium übertragen werden. Ein weiteres Problem ist die Erneuerung von Signaturen in elektronischen Dokumenten beim Ablauf der Sicherheitseignung der den Signaturen zugrunde liegenden kryptografischen Algorithmen 19. Die direkte Einfügung neuer Signaturen ist bei der Verwendung von einmal beschreibbaren Massenspeichermedien, wie eben WORM, nicht möglich. 20 Die Sicherung und der Nachweis der Authentizität und Integrität der Zeichensätze und Datenströme mittels elektronischer Signaturen und Zeitstempel ist die zweite Möglichkeit, die Beweiskraft elektronischer Dokumente zu erhalten. 21 Durch die Verschlüsselung des elektronischen Fingerabdrucks eines Dokuments (Hash-Wert) kann zwar eine Manipulation per se nicht verhindert werden, allerdings kann jederzeit zweifelsfrei festgestellt werden, dass ein Dokument nach seiner Signierung verändert wurde. 3.8 Nationale und internationale Lösungsansätze National wie international stößt das Thema der Langzeitspeicherung elektronischer Dokumente auf reges Interesse. Und es sind nicht nur Archivare, die sich zunehmend für die Erhaltung der Authentizität und Integrität elektronischer Dokumente interessieren. Unterneh- 19 s. dazu 17 der Verordnung zur elektronischen Signatur (Signaturverordnung SigV). 20 R. Brandner, U. Pordesch, T. Gondrom: Archivzeitstempelung und Signaturerneuerung, in: Schmücker/ Roßnagel (Hrsg.): Beweiskräftige Elektronische Archivierung, Hüthig Verlag Eine ausführliche Beschreibung hierzu findet sich in dem Dokument ArchiSafe Verwaltungsrechtliche Rahmenbedingungen, Vers. 1.0, Stand: September 2005, Kapitel 5 und 6. Seite 44 von 112

45 men wie öffentliche Verwaltungen stehen gleichermaßen vor der Aufgabe, elektronische Dokumente aufgrund rechtlicher Vorgaben, aus inhaltlichen Gründen oder zur Sicherung von Beweismitteln für lange Zeiträume verfügbar zu halten. In den folgenden Abschnitten werden nationale und internationale Lösungsansätze vorgestellt und - im Falle von ArchiSig - anhand in Realisierung befindlicher Projekte illustriert Dublin Core Metadata Initiative DCMI die Dublin Core Metadata Initiative, auch kurz DC, Dublin Core, genannt, hat sich das Ziel gesetzt, eine erweiterbare Basismenge von Metadatenelementen zu definieren, die ein Dokument für die elektronische Archivierung ausreichend beschreibt. Dublin Core ist kein Konzept mit einer bestimmten Ausrichtung (z.b. bibliothekarische Archivierung). Es fokussiert vielmehr auf Plattformunabhängigkeit und Semantik der atomaren Dokumentbausteine. Um diesen Anspruch einzulösen, definiert der Dublin Core-Standard ein so genanntes Element Set, bestehend aus 15 Feldern. Feldnr. Beschreibung Beschreibung Erklärung englisch deutsch 1 Title Name des Dokuments Titel 2 Creator Ersteller des Inhaltes, kann auch Herausgeber sein Ersteller 3 Subject Abriss des Inhalts Gegenstand 4 Description Beschreibung des Inhalts Beschreibung 5 Publisher Person oder Institution, die die Inhalte verantwortlich veröffentlicht Herausgeber 6 Contributor Person, die an den Inhalten mitgewirkt hat Mitarbeiter 7 Date (Erstellungs- / Veröffentlichungs-) Datum Datum 8 Type Sachgruppe, in die sich der Inhalt einordnen lässt Sachgruppe 9 Format Physische oder digitale Erscheinungsform Format 10 Identifier Eindeutiger Identifikationswert, z.b. ISBN Identifikator 11 Source Quelle, aus der die Inhalte abgeleitet sind Quelle 12 Language Sprache der dargestellten Information Sprache 13 Relation Referenz auf eine Bezugsquelle Referenz 14 Coverage Bezug auf eine bestimmte Angabe zu den Inhalten, Erweiterte Referenz z.b. ein Ort oder ein historisches Datum 15 Rights Hinweis auf die Rechte an den Inhalten Rechte Tabelle 8 Element Set des Dublin Core Seite 45 von 112

46 Es gibt keine expliziten Regeln, wie diese Felder ausgefüllt werden sollen. So darf jedes Feld auch mehr als einmal aufgeführt sein. Die Semantik jedes einzelnen Elements wird durch zusätzliche Attribute festgelegt. Die Definition der Dublin Core Elemente lässt sich mit einem RDF-Schema 22 darstellen. Der Ansatz von DCMI adressiert vor allem semantische Definitionen auf der logischen Ebene und der Dokumentenebene und wird vor allem von Bibliotheken in den Bereichen Kunst, Bildung, Mathematik, Medizin und anderen Wissenschaften genutzt NESTOR Nestor (Network of Expertise in long-term Storage of digital Resources) ist ein Teilprojekt des Vorhabens Kompetenznetzwerk neue Dienste, Standardisierung, Metadaten des Bundesministeriums für Bildung und Forschung. Ziel ist der Aufbau eines Kompetenznetzwerkes für die Entwicklung und den Einsatz von Strategien zur Langzeitspeicherung und Langzeitverfügbarkeit digitaler Quellen im Kulturbereich in Deutschland. 24 Nestor will eine Informations- und Kommunikationsplattform schaffen, um bereits begonnene Aktivitäten zur Langzeitspeicherung digitaler Ressourcen öffentlich zu machen, synergetisch miteinander in Verbindung zu bringen und weitere kooperative Maßnahmen zur Zusammenarbeit anzuregen. Bis zum Abschluss des Projektes im Jahre 2006 will Nestor außerdem ein bereichsübergreifendes arbeitsteiliges Konzept erarbeiten, das Vorschläge für die effektive und ökonomische Zusammenarbeit aller Institutionen und Organisationen mit Langzeitarchivierungsaufgaben in einer dauerhaften Organisationsform macht. Hierbei ist auch an die Entwicklung von Standards gedacht. 22 Das Ressource Decsription Framework (RDF) wurde vom W3C im Jahre 1999 als Empfehlung verabschiedet und modelliert mit Mitteln der Aussagen- und Prädikatenlogik die Beziehungen zwischen einem Dokument und seinen Inhalten (Ressourcen). Die Identifikation der Ressourcen geschieht über so genannte URI (Uniform Resource Identifier). 23 Siehe auch 24 siehe auch Seite 46 von 112

47 3.8.3 VERS Die Idee zu VERS (Victorian Electronic Records Strategy) wurde 1995 im Auftrag der australischen Regierung mit der Überschrift Keeping Electronic Records Forever formuliert. Ziel war es, einen Weg zu finden, wie elektronische Dokumente für immer unvergänglich aufbewahrt werden können. Die Dokumente sollten, unter Gewährleistung der Authentizität, zugänglich elektronisch konserviert werden. Hierfür sollten IT-Lösungen (Hardware und Software) gefunden werden, die diese Aufgaben leisten können. Eine weitere wichtige Anforderung dabei war, dass die Kosten der Lösung in einem akzeptablen Verhältnis zu dem erwarteten Nutzen stehen sollten. Die Lösung einer fortwährenden Migration der Daten inklusive der Software, die zur Erstellung des Dokumentes genutzt wurde, wurde von Anfang an als nicht praktikabel verworfen. Die gewählte Lösung friert den Stand des Dokumentes ein und nutzt dafür Formate (XML und PDF), die nach heutigem Kenntnisstand die Verfügbarkeit elektronischer Dokumente über lange Zeiträume zu garantieren imstande sind. Das Projekt endete 2002 mit dem Roll-out von VERS in den Behörden der Regierung des Bundesstaates Victoria, Australien. Bereits im Jahr 2000 wurde der VERS-Standard veröffentlicht. 25 Zu diesem Standard gehören fünf Spezifikationen, die die Anforderungen an die Hardware, das Metadatenschema, die Datenstruktur, die Datenformate sowie den Export von elektronisch archivierten Dokumenten beschreiben. Rund um den Standard und die Spezifikationen wurden überdies einige Richtlinien definiert, die die Anwendung von VERS erleichtern sollen. 25 ausführliche Informationen zu VERS unter Seite 47 von 112

48 Abbildung 5 Schema des VERS-Standards VERS definiert einen XML-Datencontainer (VERS Encapsulated Object, VEO) für die Aufnahme elektronischer Dokumente. Jedem dieser Container wird eine eindeutige ID zugeordnet. Abbildung 6 Schema des VERS Encapsulated Objects Da die Zielmenge der Dokumente des VERS-Konzepts elektronische Akten sind, sind die einzelnen Dokumente in Akten (Records) strukturiert. Ein VERS-Objekt kann grundsätzlich mehrere Akten (Records) und eine Akte mehrere Dokumente enthalten. Innerhalb der Akten wird der Zustand der Dokumente als PDF eingefroren. Zusätzlich kann das Dokument unter Seite 48 von 112

49 Angabe der Kodierung auch in seinem Originalformat oder einem Grafikformat (TIFF) abgelegt werden. Da XML keine Binärdateien aufnehmen kann, werden die Dokumentdaten (PDF, TIFF) zuvor mittels Base64-Kodierung in ein Textformat umgewandelt. Die Signatur ist eine so genannte detached XML-Signatur 26 über den gesamten Objektblock (signed object). Für die Signaturdaten ist folgende Struktur definiert: Abbildung 7 Struktur des Signaturblocks in VERS Grundsätzlich ist es in VERS nicht vorgesehen, dass das Dokument oder die Metadaten in irgendeiner Art verändert werden. Sollte dies doch nötig werden, wird die Änderung mit dem ursprünglichen VERS-Objekt in einer weiteren Hülle abgelegt und erneut signiert (onion record). Darüber hinaus sollen die VERS-Objekte selbst beschreibend sein, d.h. es soll möglich sein, den gespeicherten Akteninhalt ohne zusätzliche Kenntnisse über die Erzeugungsumgebung interpretieren zu können. Die Metadaten bilden deshalb die Aktenstruktur als Hierarchiemodell ab. 26 Siehe Seite 49 von 112

50 Abbildung 8 Metadatenstruktur in Anlehnung an die Aktenstruktur Die Integrität der Dokumente wird in VERS sowohl durch den Einsatz elektronischer Signaturen als auch systemtechnisch durch protokollierende Zugriffsfunktionen gewährleistet. Um die Authentizität eines Dokumentes bzw. einer Akte zu beweisen, definiert VERS, dass es hinreichend ist, die Erstellung als authentisch zu beweisen. Zu diesem Zweck werden die Signaturzertifikate des Unterzeichners (der öffentliche Schlüssel) im VERS-Objekt abgelegt. Der Nachweis der Authentizität kann dann entsprechend dem VERS-Konzept entweder über die Zertifikatskette oder über einen Vergleich der Zertifikate erfolgen (ähnlich der In- Augenscheinnahme bei handschriftlichen Unterschriften) ArchiSig Das Projekt ArchiSig Beweiskräftige und sichere Langzeitspeicherung digital signierter Dokumente wurde vom Bundesministerium für Wirtschaft und Arbeit (BMWA) im Rahmen des Fördervorhabens VERNET Sichere und verlässliche Transaktionen in offenen Kommunikationsnetzen gefördert. Ziel des Projektes war es, gesetzeskonforme technische Lösungen und organisatorische Konzepte zur beweiskräftigen und sicheren Langzeitspeicherung elektronisch signierter Dokumente zu erarbeiten und auf ihre praktische Einsetzbarkeit und Beweiseignung zu prüfen. Archivierungskonzepte und -technologien sollten dahingehend erweitert werden, dass sie die sichere und beweiskräftige Langzeitspeicherung elektronisch erzeugter Dokumente über 30 Jahre und mehr ermöglichen. Dabei sollten Systemar- Seite 50 von 112

51 chitekturen mit neuen technischen Komponenten und organisatorischen Konzepten zur Gewährleistung der Sicherheit der elektronischen Signaturen entwickelt werden. Im Ergebnis kommt ArchiSig zu folgenden Richtlinien und Empfehlungen, die für eine Langzeitspeicherung elektronischer Dokumente Beachtung finden sollten: 27 Die Verwendung eindeutig interpretierbarer, langfristig stabiler und standardisierter Nutzdatenformate Elektronisch zu signierende Dokumente sollten in einem eindeutig interpretierbaren, langfristig stabilen und standardisierten, zumindest aber offen gelegten Nutzdatenformat vorliegen, zu deren Verarbeitung (elektronische Anzeige) möglichst geprüfte und bestätigte Komponenten genutzt werden sollten. Dies ist eine wichtige Voraussetzung für eine hohe Beweiskraft 28 hinsichtlich des Inhalts elektronischer Dokumente und erhält zudem die Aussicht, dass technische Komponenten zur Visualisierung über den Aufbewahrungszeitraum hin verfügbar sind und dass eine Transformation elektronisch signierter Dokumente vermieden werden kann. Die Verwendung eindeutig interpretierbarer, langfristig stabiler und standardisierter Signaturdatenformate Vor dem Hintergrund immer noch existierender unterschiedlicher Ausführungen elektronischer Signaturen (insbesondere bei der Verwendung von Signaturattributen) muss gewährleistet sein, dass nur eindeutig interpretierbare und langfristig stabile Signaturdatenformate Anwendung finden. Das bedeutet insbesondere zu sichern, dass die eingesetzten Signatur erzeugenden Prozeduren und Komponenten ebenso wie die Verifikationsprozeduren und Verifikationskomponenten eindeutige und stabile Resultate erzeugen. ArchiSig empfiehlt für die Signaturformate vor allem die grundlegenden internationalen Standards CMS und XML-Dsig. 27 Da die Ergebnisse von ArchiSig eine wesentliche Grundlage das Projekt ArchiSafe darstellen, sollen sie hier auszugsweise wiedergegeben werden, ausführliche Informationen in Schmücker / Roßnagel (Hrsg.): Beweiskräftige Elektronische Archivierung, Hüthig Verlag Der Einsatz geprüfter und bestätigter Signaturanwendungskomponenten ist in 17 SigG geregelt und erhöht den Beweiswert elektronischer Signaturen. Seite 51 von 112

52 Die Verwendung elektronischer Signaturen mit ausreichend hohem Sicherheitsniveau Elektronische Signaturen sollten in jedem Falle ein dem Verwendungszweck entsprechendes Sicherheitsniveau erfüllen. Für den Einsatz akkreditierter Signaturen spricht zweifellos ihre langfristige Überprüfbarkeit und die legal definierte Sicherheitsvermutung nach 15 Abs. 1 SigG. Die Archivierung erforderlicher Verifikationsdaten in verkehrsfähiger Form Danach sollten alle zur Verifikation elektronischer Signaturen und signierter Dokumente erforderlichen Verifikationsdaten rechtzeitig beschafft und über den vorgeschriebenen Aufbewahrungszeitraum hin in Beweis erhaltender und verkehrsfähiger Form gespeichert werden. Aufgrund der Tatsache, dass eine klare gesetzliche Regelung über Inhalt und Umfang der Verifikationsdaten derzeit nicht existiert, ist dies in die Risikoabwägung und Entscheidung des Anwenders gestellt. Nach Auffassung von ArchiSig sollte der Anwender aber in jedem Falle beachten, dass auch Verifikationsdaten elektronische Signaturen tragen, die gegebenenfalls zu erneuern sind. Rechtzeitige und beweiskräftige Signaturerneuerung Für qualifizierte elektronische Signaturen nach dem Signaturgesetz wurde in 17 SigV ein Verfahren zur langfristigen Datensicherung in Teilen normiert. Danach müssen Daten erneut elektronisch signiert werden, bevor die kryptografischen Algorithmen entsprechend der Veröffentlichungen der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (BNetzA) im Bundesanzeiger ihre Sicherheitseignung verlieren. 29 Die erneute elektronische Signatur muss die Daten und frühere Signaturen einschließen und mit sicherheitsgeeigneten kryptografischen Algorithmen erzeugt werden. Für die erneute elektronische Signatur ist zumindest ein qualifizierter Zeitstempel notwendig, der eine qualifizierte elektronische Signatur trägt. Das Erneuerungsverfahren kann automatisiert und viele Dokumente können gemeinsam elektronisch neu signiert werden. Bei akkreditierten elektronischen Sig- 29 Die BNetzA hat mit Datum vom 13. Juli 2005 die Regulierungsbehörde für Telekommunikation und Post (RegTP) abgelöst. Seite 52 von 112

53 naturen müssen qualifizierte Zeitstempel akkreditierter Zertifizierungsdienste-Anbieter verwendet werden. Im Projekt ArchiSig wurde hierfür ein zentralisierter Ansatz zur Erneuerung von Signaturen elektronischer Dokumente verfolgt und realisiert. Dieser Ansatz erlaubt, dass die Signaturerneuerung im Zusammenhang mit der langfristigen Speicherung elektronischer Dokumente beispielsweise durch ein zentrales Archivsystem erfolgen kann, das auch von einem externen Archivdienstleister betrieben werden könnte. 30 Abbildung 9 ArchiSig Systemarchitektur Das ArchiSig zugrunde liegende Konzept beruht auf der Verwendung von so genannten Hashwert-Bäumen: 30 Quelle: Schmücker/ Roßnagel (Hrsg.): Beweiskräftige Elektronische Archivierung, Hüthig Verlag Seite 53 von 112

54 Projekt Projekt ArchiSig ArchiSigBMWA (2003) (2003) Technologie Technologie Akkreditierte Akkreditierte Zeitstempel Zeitstempel Merkle-Hashbäume Merkle-Hashbäume Resultat Resultat Erhaltung Erhaltung der der elektronischen elektronischen Form Form Bewahrung Bewahrung des des hohen hohen Beweiswerts Beweiswerts Verifikationsdaten Verifikationsdaten bei bei Verifikation Verifikation im im Anwendungssystem Anwendungssystem einholen einholen und und im im Dokument Dokument vervollständigen vervollständigen Dokument Dokument archivieren archivieren und und wiederholt wiederholt zeit-stempeln zeit-stempeln Dokument Dokument mit mit integrierten integrierten Verifikationsdaten Verifikationsdaten und und Archivzeitstempeln Archivzeitstempeln später später abrufen abrufen Hash 5 (h 1 h 2 ) Hash 1 (d 1 ) Hash 2 (d 2 ) Dokument d1 Dokument d2 Zeitstempel Hash 7 (h 5 h 6 ) Zeitstempel-Siegel Hash 6 (h 3 h 4 ) Hashwert-Baum Hash 3 (d 3 ) Hash 4 (d 4 ) Dokument d3 Fingerabdruck bzw. Hashwert Dokument d4 Dokument d1 + Hash h 1 =H(d 1 ) Hash h 2 =H(d 2 ) Hash h 6 =H(h 3 h 4 ) Timestamp t=tsp(h 7 ) = Reduzierter Hash-Baum + Zeitstempel Beweis-Dokument Abbildung 10 Archivzeitstempel mit ArchiSig Wie funktioniert so ein Baum? Die Anwendung, die die elektronischen Dokumente und Signaturen erzeugt, speichert das Dokument einschließlich der Signatur und aller zugehörigen Informationen im Archivsystem. Beim Ablegen berechnet das Archivsystem von jeder Datei den Hashwert, den digitalen Fingerabdruck des Dokuments. Aus diesen einzelnen Hashwerten wird nun ein Hashwert-Baum aufgebaut (s. Abb.), dessen Spitze mit einem Zeitstempel versiegelt wird. Derartige Hashwerte haben vor allem zwei für diese Aufgabe wichtige Eigenschaften: 1. Ein solcher Hashwert ist eindeutig, d.h. jede Änderung in der Datei führt unweigerlich auch zu einem veränderten Hashwert. Anders gesagt, Manipulationen an der Datei bleiben auf diese Weise nicht unbemerkt. 2. Es handelt sich bei der Berechnung eines Hashwertes um eine Einwegfunktion, d.h. man kann aus der Kenntnis des Hashwertes nicht auf den Inhalt der Datei schließen. Das ist vor allem dann wichtig, wenn aus rechtlichen Gründen einzelne Dokumente gelöscht werden müssen. Man kann damit ohne weiteres einzelne Dokumente aus dem Archiv (= elektronischer Langzeitspeicher) löschen. Solange der zugehörige Seite 54 von 112

55 Hashwert im Archiv (= elektronischer Langzeitspeicher) verbleibt, ist das Siegel über alle Zweige und Blätter des Hashwert-Baums immer noch gültig und umgekehrt kann man aus dem Vorhandensein des Hashwertes eben nicht auf den Inhalt des gelöschten Dokumentes schließen. Was wurde damit aber nun gewonnen, denn die Hashwerte und Siegel beruhen ja ihrerseits ebenfalls auf der Verwendung von alternden Algorithmen? Die Signaturerneuerung und das Sicherheitsrisiko wurden von einer Vielzahl von Dokumenten auf eine überschaubare Zahl von Siegeln reduziert, die die einzelnen Hash-Bäume verschließen. Solange diese Baum-Siegel nicht gebrochen werden, sind die einzelnen Hashwerte und damit auch die Dokumente sicher. Falls nun gemäß 17 Signaturverordnung eine Signaturerneuerung durchgeführt werden muss, bedeutet dies, dass in diesem Fall lediglich die Siegel erneuert werden müssen, solange die Sicherheitseignung der verwendeten Hash-Algorithmen weiterhin gegeben ist. Die Hashwerte in den Bäumen sind davon nicht betroffen; eine unbemerkte Manipulation der einzelnen Dokumente und Signaturen kann weiterhin ausgeschlossen werden. Zusätzlich lässt sich das Risiko einer Hashbaum-Erneuerung noch dadurch reduzieren, dass zwei redundante Bäume mit unterschiedlichen Algorithmen aufgebaut werden. Falls nun ein Algorithmus unsicher wird, so ist der zweite Baum immer noch sicher und es bleibt genügend Zeit, ggf. auch die Hashwerte aller Dokumente mit einem weiteren Hash- Algorithmus neu zu berechnen und einen neuen Hash-Baum zu generieren. Das ArchiSig -Konzept sieht vor, bei der Archivierung eines signierten Dokumentes einen initialen Archivzeitstempel zu bilden. Das Dokument erzeugende und Dokument verwaltende System hat sicher zu stellen, dass das signierte Dokument mit allen Signaturen rechtzeitig zur Archivzeitstempelung übergeben wird. Die sichere Transformation elektronisch signierter Dokumente Wenn elektronische Dokumente oder ihre Signaturen in ein anderes Format konvertiert, e- lektronisch signierte Dokumente ausgedruckt oder Papierdokumente eingescannt werden, muss ein rechtssicheres Verfahren gewählt werden, das den Beweiswert dauerhaft erhält. Auf Grund derzeit unzureichender gesetzlicher Regelungen empfiehlt ArchiSig vorerst, zumindest für elektronische Dokumente, die jeweiligen Originaldokumente nach der Transfor- Seite 55 von 112

56 mation zu erhalten, um sie ggf. einer Sachverständigenbegutachtung zugänglich machen zu können. Lediglich im Bereich der Sozialgesetzgebung hat der Gesetzgeber zwischenzeitlich einige diesbezügliche verfahrensrechtliche Regelungen geschaffen. So regelt 36 SRVwV (Allgemeine Verwaltungsvorschrift über das Rechnungswesen in der Sozialversicherung) die Digitalisierung von Papierdokumenten unter Einbeziehung der elektronischen Signatur in der öffentlichen Verwaltung. Eine weitergehende Regelung nimmt der 33 VwVfG vor. Hier wird die Beglaubigung von Dokumenten nach deren Konvertierung von Papier in die elektronische Form oder von einem elektronischen Format in ein anderes elektronisches Format sowie die Beglaubigung des Ausdrucks eines signierten elektronischen Dokuments auf Papier eingeführt. Dabei wird für die Signierung der elektronischen Dokumente eine qualifizierte elektronische Signatur vorgeschrieben. Redundanz bei der Speicherung elektronischer Dokumente Bei einer elektronischen Speicherung muss, bedingt durch die Beschaffenheit des Mediums, damit gerechnet werden, dass sich im Laufe der Zeit durch magnetische oder sonstige Einflüsse einzelne Bitfehler in den gespeicherten Daten ereignen. Im Gegensatz zu normalen Papierdokumenten können solche verhältnismäßig kleinen Fehler zu entscheidenden Veränderungen führen. Insbesondere bei elektronischen Signaturen bedeutet schon die Änderung eines Bits in der Signatur oder dem Dokument, dass die Signatur ihre Gültigkeit verliert. Deshalb ist es bei elektronisch signierten Dokumenten besonders wichtig, Fehler zu erkennen und gegebenenfalls zu korrigieren. Dies ist durch normale Korrekturmechanismen der Speichersysteme oder durch eine redundante Speicherung der Daten auf mehrere Medien möglich. So können Daten, die z.b. auf einem Festplattenarchiv gespeichert sind, parallel auf CDs oder WORM-Platten gespeichert werden. Auf Basis der ArchiSig-Ergebnisse wurden in Deutschland bereits einige Vorhaben realisiert, von denen im Folgenden zwei Lösungsansätze exemplarisch dargestellt sind. Seite 56 von 112

57 Universitätsklinikum Heidelberg Aufgabe Im Projekt am Universitätsklinikum Heidelberg wurden zunächst konzeptionelle Ansätze entwickelt und diese dann beispielhaft am Arbeitsablauf der elektronischen Arztbrieferstellung abgebildet. Hier müssen innerhalb eines Workflows Assistenzarzt, Oberarzt und Chefarzt jeweils rechtsverbindlich den Arztbrief inklusive Diagnose unterschreiben. Das Klinikum ist verpflichtet, die Dokumente beweiskräftig 30 Jahre und länger aufzubewahren, um später jede Diagnose und jeden Eingriff entsprechend sicher dokumentieren zu können. Der Arztbrief wird mit dem System IS*H-MED von SAP abgebildet. In der Vergangenheit wurden die Arztbriefe zwar elektronisch erstellt, dann jedoch ausgedruckt und von Hand unterschrieben, was zu zahlreichen Prozessschleifen führte. Mit Hilfe der elektronischen Signatur sollte der Workflow komplett digitalisiert werden. 31 Abbildung 11 Arbeitsablauf Arztbrieferstellung mit elektronischer Signatur 31 Im nachfolgenden Schaubild ist die Funktion des Chefarztes nicht abgebildet, der als dritte Instanz mitzeichnet. Seite 57 von 112

58 Kernpunkte Fokus des Projektes für das Universitätsklinikum Heidelberg war es, den Arbeitsprozess der Arztbrieferstellung elektronisch abzubilden, ohne dass die Rechtsgültigkeit des Dokuments beeinträchtigt wird. Denn ein einmal als Arztbrief erstelltes Dokument ist beweiskräftig aufzubewahren. Dies betrifft pro Jahr 4,2 Mio. unterschriftsrelevante Dokumente. Übergeordnetes Ziel des Projektes war es, den Lösungsansatz als praxistauglich, effizient und standardisierend zu bestätigen. Durch eine Evaluierung konnte gezeigt werden, dass der vollständig elektronische Workflow die Zeit vom Anlegen bis zum Versenden/Archivieren des Arztbriefes dabei deutlich verkürzt. Lösung Nach der Erstellung werden die elektronisch signierten Dokumente in einem Enterprise- Content-Management-System (ECM-System) abgelegt. Beim Eingang der Dokumente werden Hash-Werte zu den Dokumenten berechnet, abends jeweils ein Hashwert-Baum daraus aufgebaut. Über diesen Baum wird ein initialer, akkreditierter Zeitstempel über alle Dokumente erstellt, die im Laufe des Tages eingegangen sind. Der akkreditierte Zeitstempeldienst wird durch die DATEV zur Verfügung gestellt. Mit der Vergabe des Zeitstempels erübrigt sich eine Prüfung der in den einzelnen Dokumenten verwendeten Algorithmen. Die weitere Signaturerneuerung bzw. -bestätigung wird auf Basis der für den akkreditierten Zeitstempel genutzten Algorithmen durchgeführt. Die zusammengefasste Signaturbestätigung über Haschwert-Bäume ist effizient und kostengünstig, ohne die Beweiskraft der Dokumente zu verringern IZN Hannover Aufgabe Das Informatikzentrum Niedersachsen (IZN) mit Sitz in Hannover hat als Systemhaus für Informationstechnologie die Aufgabe, für die Dienstleistungen im IT-Bereich der Landesverwaltung eine hohe Qualität und Wirtschaftlichkeit zu sichern. Seite 58 von 112

59 In der niedersächsischen Landesverwaltung entstehen jährlich Dokumente, die eine Menge von grob geschätzt etwa 130 Mio. Seiten Papier ergeben. Die Papierdokumente werden nach Schließen der Akten laut den gesetzlichen Bestimmungen fünf bis 30 Jahre aufbewahrt bzw. den niedersächsischen Staatsarchiven zur Aufbewahrung angeboten. Ungefähr 3-5 % werden nach entsprechender Aufarbeitung in die Langzeitspeicherung übernommen, der verbleibende Rest wird vernichtet. Kernpunkte Im Rahmen der umfassenden Digitalisierung des behördlichen Schriftverkehrs musste die rechtssichere Ablage verändert werden. Der Schriftverkehr trägt teilweise als Ersatz zur herkömmlichen Unterschrift die elektronische Signatur, die entsprechend erhalten werden muss. Eine weitere Anforderung der Behörden war es, die Akte als Ganzes abzulegen und deren Vollständigkeit zu sichern. Die bisherigen elektronischen Formate waren für die Langzeitspeicherung zu vereinheitlichen. Das Projekt Langzeitspeicherung sollte Modellcharakter für das Land Niedersachsen haben und die rechtssichere Ablage in allen Behörden des Landes vorbereiten. Als Konsortialpartner der Initiative ArchiSig konnte das IZN die Ergebnisse und Erfahrungen des Projektes nutzen. Lösung Die gewählte Architektur besteht aus vier Ebenen: Ebene 1: Dokument-Eingang/-Erzeugung Dokumente gehen in der Verwaltung bzw. Justiz über die analoge oder virtuelle Poststelle ( ) von außen ein oder werden durch eigene Mitarbeiter erzeugt. In diesem Bereich ist eine Eingangs- und Ausgangsinfrastruktur für elektronisch eingehende, digital signierte Dokumente aufgebaut. Ebenso werden eingehende Papierdokumente hier in eine sichere elektronische Form umgewandelt bzw. umgekehrt behandelt. Seite 59 von 112

60 Ebene 2: Elektronischer Kurzzeitspeicher (Dokumentenmanagement- / Vorgangsbearbeitungssystem) Die Vorgangsbearbeitung und (Kurzzeit-) Speicherung erfolgt in Dokumentenmanagement-/ Vorgangsbearbeitungssystemen oder Fachanwendungen. Die Dokumente werden zu Vorgängen und/ oder Akten zusammengefasst und während der Bearbeitungszeit durch weitere Dokumente ergänzt. Da die Einzelbehörden fachlich unterschiedliche Schwerpunkte haben, ist der Bereich der Fachanwendungen und damit auch die IT-Landschaft sehr heterogen. Es ist unvermeidlich, dass eine Vielzahl von Systemen zur Speicherung und digitalen Bearbeitung existieren. Ebene 3: Elektronischer Langzeitspeicher Ebene 1 und 2 sind aufgrund der Behördenstruktur sehr heterogen, im Langzeitspeicher werden die Systeme jedoch zusammengeführt: Mit Abschluss eines Vorgangs bzw. einer Akte werden die dazugehörigen Dokumente mit ihren Metadaten in den Langzeitspeicher abgegeben. Die digital signierten Dokumente durchlaufen das Zeitstempelverfahren nach ArchiSig. Dadurch wird gewährleistet, dass die Dokumente bis zum Ablauf ihrer Aufbewahrungsfrist beweiskräftig aufbewahrt werden. Ebene 4: Elektronischer Archivspeicher Nach Ablauf der jeweiligen Aufbewahrungsfristen werden die Akten dem Staatsarchiv angeboten. Die elektronischen Signaturen werden bei der Übernahme in den Archivspeicher einer letzten Prüfung auf ihre Integrität unterzogen. Danach werden sie entfernt und die Signaturinformationen selbst als Klartext bei den Metadaten des jeweiligen Dokuments archiviert. Die technischen Anforderungen an den Archivspeicher entsprechen weitestgehend den Anforderungen an den Langzeitspeicher (s. "Ebene 3"). Seite 60 von 112

61 Abbildung 12 Ebenenmodell des IZN Hannover LVA Rheinprovinz Eine weitere Lösung stellt das Versicherungsarchiv der LVA Rheinprovinz dar. Obwohl auch hier die gescannten Dokumente signiert abgelegt werden, findet bisher keine Signaturerneuerung nach dem ArchiSig-Prinzip statt, da hier eine Ausnahmeregelung des Sozialgesetzbuchs gilt. Aufgabe Anlässlich einer feuerpolizeilichen Überprüfung sah sich die LVA Rheinprovinz gezwungen, umfangreiche Sanierungen am Aufbewahrungsort des Papierarchivs vorzunehmen. Im Rahmen einer Machbarkeitsstudie zeigte sich, dass eine Investition in die rechtssichere Ablage digitaler Dokumente langfristig wirtschaftlicher ist, als ein Neubau oder eine umfangreiche Sanierung. Kernpunkte Sozialversicherungsdaten unterliegen den höchsten Datenschutzanforderungen; jedes Dokument entspricht einer Urkunde. Die Versicherungsunterlagen müssen über das Berufsle- Seite 61 von 112

62 ben eines Versicherten hinaus nachweislich unverändert, also beweiskräftig, gespeichert werden. Eingehende digitale Dokumente müssen daher eine Signatur führen. Dasselbe gilt für Papierdokumente, die von der LVA Rheinprovinz in eine elektronische Form umgewandelt werden, zumal in diesem Fall die Papierdokumente nach der Umwandlung vernichtet werden. Für die Bearbeitung wurde eine Reaktionszeit des Systems von unter zwei Sekunden gefordert. Weiterhin sollen die Bearbeiter auf einen Blick erkennen, ob es sich um das gesuchte Dokument in der Akte handelt. Die Dokumente unterliegen, wie oben beschrieben, einer erhöhten Sicherheitsanforderung. Mit allen diesen Anforderungen musste für die LVA Rheinprovinz eine Sonderlösung gefunden werden. Lösung Das Projekt wurde zweigleisig umgesetzt. Parallel zur Implementierung der Software-Lösung wurden die Akten in einem Scan-Zentrum digitalisiert. In diesem Prozess wurden die Akten aufbereitet, gescannt, elektronisch signiert und die digitalen Daten für den Rücktransport auf DVDs gebrannt. Das Zielformat der gescannten Akten ist PDF. Die Papierakten wurden vor Ort nach einer Freigabe vernichtet. Mit der vorhandenen Scan-Lösung wird das Dokument als Mehrseiten-PDF digitalisiert und jede Seite einzeln signiert. Die elektronisch vorliegenden Dokumente werden auf Magnetbandkassetten gespeichert und können unter Zuhilfenahme einer entsprechenden Applikation wieder lesbar gemacht werden. Über COLD-Verfahren wird das elektronische Dokument der Akte zugeordnet. Bei der Zuordnung wird auf ein von OCÉ entwickeltes Verfahren der intelligenten Zuordnung zurückgegriffen. Das System umfasste bei Abschluss des Altdatenimports 11,5 TByte. Zusätzlich sind für die Verwaltung rund zwei TByte Datenvolumen für die Datenbank und ein TByte für Thumbnails erforderlich. Die Thumbnails werden für die Voranzeige benötigt, die dem Sachbearbeiter die Navigation durch die Akte erleichtert. Um diese wachsenden Datenmengen zu meistern, wurde ein RAID-System gewählt. Dadurch wurde die Reaktionszeit von unter zwei Sekunden erfüllbar. Seite 62 von 112

63 Abbildung 13 Verteilung der Daten und Prozesse in der LVA Rheinprovinz Für die Sicherheit der Daten wurde ein Backup-System mit magnetooptischen Bändern gewählt. Das System besteht aus zwei Bändern, wovon eines als Datensicherung in einem externen Gebäude in einem feuersicheren Safe liegt. Das andere Band wird bei der LVA Rheinprovinz vor Ort gelagert und dient der Ausfallsicherheit. Hier kommen zwei Eigenschaften der IT-Lösung zusammen. Im Fall eines Hardware-Crashs einer RAID-Platte wird das File-System vom RAID-System wieder aufgebaut. Sobald das File-System wieder zugriffsbereit ist, werden die Bänder eingelegt und kontinuierlich wieder auf das RAID-System gespielt. Während dieser Zeit können die Mitarbeiter schon auf die Daten zugreifen. Der Zugriff erfolgt über das RAID-System auf die eingelegten Bänder, die über das RAID-System organisiert werden. Die LVA Rheinprovinz hat sich aus den beschriebenen Gründen gegen eine Speicherung mit WORM-Laufwerken entschieden. Die Vorteile der revisionssicheren WORM-Laufwerke wurde zugunsten der Zugriffszeiten abgewogen und dem RAID-System der Vorzug gegeben. Die Datensicherheit wurde, wie beschrieben, auf einem komplexeren Weg gelöst. Seite 63 von 112

64 3.8.6 Zusammenfassung der Situation Die vorgestellten Lösungsvorschläge decken unterschiedliche Bereiche der Langzeitspeicherung ab. Insgesamt ist festzustellen, dass es keine einheitliche Gesamtlösung gibt. Die einzelnen Initiativen ergänzen sich jedoch durchaus im Sinne einer Quasi-Komplettlösung. Bereiche der Langzeitspeicherung Hardware Metadaten Datenformate Signatur DCMI VERS ArchiSig Uni HD Umfangreiche Infrastrukturbeschreibung vorhanden (RAID- System + Bandsicherung) Allgemeingültiges Konzept für alle Arten von Dokumenten; Element- Set bestehend aus 15 Feldern Vorgaben für eine langlebige Infrastruktur Strukturelle und inhaltliche Abbildung über Metadaten; Aktenstruktur wird als Hierarchiemodell abgebildet XML- Datencontainer, in dem PDF- bzw. TIFF- Dokumente eingebettet sind; Base64- ECM-System Definierte Metadaten Definition von Standardformaten (PDF, XML) Kodierung Detached XML-Signatur über den gesamten Objektblock mit definierter Struktur, kein Konzept zur Beweiskrafterhaltung ArchiSig- Konzept zur Erhaltung der Beweiskraft von Signaturen (Hashwertbäume); Empfehlung der Standards CMS und XML-Dsig IZN Hannover LVA Rheinprovinz Plattformunabhängig Vier-Ebenen- Modell; einheitlicher Langzeitspeicher mit Zeitstempeldienst Definierte Metadaten TIFF, PDF (/A) sowie ASCII- Text (auch in XML- Ausprägung) ArchiSig- Lösung Tabelle 9 Darstellung Einsatzbereich der Lösungsvorschläge Definierte Metadaten Mehrseiten-PDF, jede Seite einzeln signiert Bisher keine Signaturerneuerung nach dem Archi- Sig-Prinzip (Ausnahmeregelung des Sozialgesetzbuchs) ArchiSafe nutzt für die Beweiswerterhaltung der Signaturen den ArchiSig-Ansatz, wie er auch im Universitätsklinikum Heidelberg verwendet wird. Hardwaretechnisch wird derzeit Seite 64 von 112

65 erwogen, ebenfalls der Infrastruktur des Universitätsklinikum Heidelberg zu folgen. Hinsichtlich der Metadaten und der Datenformate wurden die Ansätze des VERS-Konzeptes aufgegriffen, die in den folgenden Kapiteln dargestellt werden. 3.9 Marktrecherche Die in Kapitel 3.8 beschriebenen Ansätze machen deutlich, dass es bereits Lösungen am Markt gibt, die den ArchiSig-Anforderungen genügen und erfolgreich im Einsatz sind. Die Recherche hat zudem gezeigt, dass viele Archivierungssysteme grundsätzlich den hier formulierten Anforderungen entsprechen, allerdings das Übersignieren der einmal archivierten Dokumente noch nicht gelöst ist. Mit der Veröffentlichung des ArchiSig- Anforderungskatalogs wird jedoch auch diese Anforderung sicherlich bald erfüllt sein, da die Anbieter erkennen, dass das Thema Langzeitspeicherung, so wie es in diesem Fachkonzept diskutiert wird, Relevanz für viele Bereiche, insbesondere die öffentliche Hand, hat. Die Recherche 32 hat zu folgenden Erkenntnissen geführt: Art der elektronischen Signatur Die untersuchten Produkte nutzen durchgängig die qualifizierte Signatur zum Zwecke der Langzeitspeicherung. Diese kann entweder datei-intern gespeichert werden oder datei-extern angebracht und ggf. mit dem Dokument angezeigt werden. Dokumentenformate Die Ablage signierter Dokumente erfolgt entweder im PDF- oder im TIFF-Format. Retrieval/ Metadatenverwaltung Für die Wiederauffindbarkeit von Dokumenten werden die zugehörigen Metadaten in der Regel auf einem separaten, relationalen Datenbanksystem vorgehalten. Speicherart 32 Basis des Marktüberblicks war die Betrachtung der auf der CeBIT 2005 vorgestellten Systeme sowie eine Analyse von Beiträgen, Produktinformationen und Veröffentlichungen. Seite 65 von 112

66 Gespeichert werden die Daten i.d.r. sowohl auf Festplatten als auch auf optischen Medien. In einem Falle erfolgt die Auswahl des Speichermediums dabei abhängig vom Dokumententyp. Hier können die Zugriffszeiten durch ein intelligentes Caching deutlich verkürzt werden. Insgesamt zeigt sich also, dass der Markt darauf vorbereitet ist, neben intelligenten Archivierungssystemen auch die im folgenden beschriebenen spezifischen Anforderungen an eine Lösung zur rechtssicheren Ablage von Dokumenten und Daten anzubieten. Seite 66 von 112

67 4 Fachliche Anforderungen Mit dem vorliegenden Kapitel werden die Voraussetzungen dafür geschaffen, einen konzeptionellen Rahmen für die Realisierung von ArchiSafe zu definieren. Dies erfolgt in drei Schritten: Zunächst wird anhand von vier Szenarien der Sollprozess der Langzeitspeicherung entwickelt. Hieraus werden dann die funktionalen bzw. die prozessualen Anforderungen an eine technische Lösung zur rechtsicheren Ablage digitaler Dokumente abgeleitet. Dem DOMEA-Konzept folgend wird im Zusammenhang mit der IT-gestützten Vorgangsbearbeitung im Weiteren unter Archivierung die langfristige Speicherung von elektronischem Schriftgut unter folgenden Voraussetzungen verstanden: 33 Die Recherchierbarkeit und Lesbarkeit des elektronischen Schriftguts bleibt über die gesamte Dauer der Aufbewahrungsfrist hin gewährleistet. Das archivierte Schriftgut einschließlich der zugehörigen Prozessinformationen kann jederzeit verlustfrei reproduziert werden. Die Revisionssicherheit und Authentizität bleibt gewahrt. Mit Blick auf die Erhaltung der Beweiskraft elektronischen Schriftguts wird darüber hinaus für das Projekt ArchiSafe gefordert, dass die elektronische Ablage (Langzeitspeicherung) die Beweiseignung des archivierten Schriftguts mindestens für die Dauer der gesetzlich vorgeschriebenen Aufbewahrungsfristen gewährleisten muss. Über das DOMEA-Konzept hinausgehend soll damit die Revisionssicherheit des gespeicherten elektronischen Schriftguts auch systemtechnisch unterstützt werden. Die Tatsache, dass elektronische Archivsysteme herkömmlicher Fachanwendungen insbesondere der letzten Forderung kaum genügen, legt den Schluss nahe, für die rechtssichere 33 s. DOMEA Erweiterungsmodul zum Organisationskonzept 2.0, Aussonderung und Archivierung elektronischer Akten, Schriftenreihe der KBSt, Bd. 66, Okt Seite 67 von 112

68 Ablage elektronischen Schriftguts für die Dauer gesetzlicher Aufbewahrungsfristen einen dedizierten elektronischen Langzeitspeicher zu konzipieren, dessen grundlegende Eigenschaften in den folgenden Abschnitten näher beschrieben werden sollen. 4.1 Soll-Prozesse Nachfolgend werden zur Illustration der Soll-Prozesse vier mögliche Einsatzszenarien unterschieden: 1. Eingang eines elektronisch signierten Dokuments 2. Erstellung eines Dokumentes innerhalb der Behörde und dessen Versand 3. Überarbeitung eines bereits abgelegten, selbst erstellten Dokuments 4. Schließen einer Akte im Fachverfahren Szenario 1: Eingang eines elektronisch signierten Dokuments In diesem Falle erhält der Bearbeiter auf elektronischem Wege ein elektronisch signiertes Dokument (Antrag, Erklärung), das zunächst an einen kryptografischen Dienst zur Prüfung der Signatur (Verifikation) übergeben wird. Nach positiver Prüfung wird das Dokument, genauer eine Instanz des Dokumentes, einem Vorgang in einem Fachverfahren 34 zugewiesen, respektive ein neuer Vorgang angelegt und mit dem Dokument verknüpft. 34 Unter dem Begriff Fachverfahren/Fachsystem werden hier allgemein Anwendungssysteme verstanden, die eine Dokumentenverwaltung umfassen oder benötigen, u.a. elektronische Vorgangsbearbeitungssysteme, Haushaltsbewirtschaftungssysteme oder auch Systeme für Antrags- und Vergabeverfahren. Seite 68 von 112

69 Absenden des signierten und mit Anlagen versehenen elektronischen Antrags Kunde Annahme des kryptografisch geprüften Antrags Ggf. Eingabe der Antragsdaten in Fachverfahren Ggf. Generieren einer Eingangsbestätigung Fachverfahren/ VBS/ ERP Bearbeiter Anlegen eines neuen Vorgangs und Übergabe einer Dokumenteninstanz an den elektronischen Langzeitspeicher Ablage weiterer rechtsrelevanter Dokumente/ Anlagen im Langzeitspeicher Elektronischer Langzeitspeicher Abbildung 14 Nutzung des Langzeitspeichers für eingehende Dokumente Gleichzeitig wird eine weitere Instanz des Dokumentes angereichert um die Signatur- Verifikationsdaten und Metadaten aus dem Fachverfahren und verpackt in einem Container durch den Bearbeiter über die Archivschnittstelle in den elektronischen Langzeitspeicher eingestellt. Der elektronische Langzeitspeicher generiert eine eindeutige Dokumentkennung (ID), die automatisch als Metadatum im Fachsystem abgelegt wird und dort als Zeiger auf das abgelegte Dokument und Referenz zum Vorgang (Akte) dient Szenario 2: Erstellung eines Dokumentes innerhalb der Behörde und dessen Versand Die Annahme für dieses Szenario ist, dass der Bearbeiter ein im Rahmen der fachlichen Bearbeitung selbst erstelltes Dokument rechtssicher ablegen möchte. Auch in diesem Falle wird eine Instanz des Dokuments zum Vorgang genommen. Die Originalinstanz hingegen wird elektronisch signiert und mit ausgewählten Metadaten aus dem Fachverfahren (VBS), in einem Container verpackt, über eine Archivschnittstelle an den elektronischen Langzeitspei- Seite 69 von 112

70 cher übergeben. Die dort generierte Dokumentkennung wird automatisch als Metadatum im Fachsystem abgelegt. Erhalt des Nachforderungsschreibens Kunde Schreiben zur Nachforderung von Unterlagen und Informationen aufsetzen und ggf. elektronisch signieren Dokument versenden Fachverfahren/ VBS/ ERP Bearbeiter Übergabe einer Dokumenteninstanz an den elektronischen Langzeitspeicher Elektronischer Langzeitspeicher Abbildung 15 Nutzung des Langzeitspeichers für selbst erstellte Dokumente Szenario 3: Überarbeitung eines bereits abgelegten, von der Behörde selbst erstellten Dokuments Dieser Anwendungsfall tritt ein, wenn im Laufe der fachverfahrensspezifischen Bearbeitung intern erstellte Dokumente überarbeitet werden müssen. Wird das Dokument noch im Fachverfahren vorgehalten, ruft der Bearbeiter den Vorgang im Fachsystem auf, wählt das zu bearbeitende Dokument aus und nimmt darin die Veränderungen vor. Von dem überarbeiteten Dokument wird nun wie in Szenario 2 eine Instanz an den elektronischen Langzeitspeicher übergeben. Seite 70 von 112

71 Falls das Dokument nicht mehr im Fachsystem vorgehalten wird, muss der Bearbeiter anhand der im Fachverfahren oder anderweitig verfügbaren Dokumentkennung 35 im Fachsystem zunächst eine aktuelle Dokumentinstanz reproduzieren. Nach Übergabe an den elektronischen Langzeitspeicher erhält der Bearbeiter auch für die veränderte Dokumentinstanz eine Dokumentkennung. Der vorgangsbezogene Kontext für die beiden Dokumentinstanzen entsteht somit zunächst nur durch eine Klammerung im Fachsystem, während im elektronischen Langzeitspeicher keinerlei Logik notwendig vorgehalten werden muss. Nachgeforderte Unterlagen liefern Kunde Unterlagen entgegennehmen und Vorgang aufrufen Vorliegendes Dokument überarbeiten Fachverfahren/ VBS/ ERP Bearbeiter Übergabe einer Dokumenteninstanz an den elektronischen Langzeitspeicher Ggf. Ablage weiterer rechtsrelevanter Dokumente/ Anlagen im Langzeitspeicher Elektronischer Langzeitspeicher Abbildung 16 Nutzung des Langzeitspeichers für zu überarbeitende, eigene Dokumente Szenario 4: Schließen einer Akte im Fachsystem Mit dem Schließen einer Akte (z.d.a.-verfügung) im Fachverfahren kann eine finale Übergabe an den elektronischen Langzeitspeicher vorgesehen werden. Dennoch bleibt das Fachverfahren/ VBS das führende System. Sollte zu einem späteren Zeitpunkt der Vorgang bzw. 35 Eine Recherche im Archivsystem ist hier vorstellbar, um somit eine gültige Dokumentkennung für das Fachsystem zum Abruf des Dokumentes aus dem Archiv bereitzustellen. Seite 71 von 112

72 die Akte nicht mehr im Fachverfahren/ VBS vorliegen, so ist es dennoch erforderlich, zumindest die Dokument-ID, ggf. in Verbindung mit beschreibenden Metadaten, für die Recherche im Fachverfahren/ VBS vorzuhalten. Optional kann auch vorgesehen werden, eine entsprechende Recherche im Langzeitspeicher zu ermöglichen. Dies hängt jedoch von den spezifischen Anforderungen einzelner Nutzer/ Behörden ab. Ergebnis des Antragsverfahrens entgegennehmen und akzeptieren Kunde Antragsverfahren anschließen und Ergebnis mitteilen Vorgang z.a.a. verfügen aus Vorgang Dokumente aussortieren, für die es noch keine Archiv-ID gibt Fachverfahren/ VBS/ ERP Bearbeiter Übergabe einer Dokumenteninstanz an den elektronischen Langzeitspeicher Elektronischer Langzeitspeicher Abbildung 17 Nutzung des Langzeitspeichers bei Schließen einer eakte 4.2 Allgemeine funktionale Anforderungen Als allgemeine, übergreifende funktionale Anforderungen für das Projekt ArchiSafe gelten Anforderungen, wie sie im Kontext von ArchiSig gleichfalls als Allgemeine Anforderungen formuliert wurden. 36 Gemäß dem Verständnis des Projektes ArchiSafe gelten sie als grundsätzliche Anforderungen an eine rechtssichere Ablage elektronischen Schriftguts (zum besseren Verständnis werden sie hier auszugsweise wiedergegeben). 36 ArchiSig Beweiskräftige und sichere Langzeitarchivierung digital signierter Dokumente. Anforderungskatalog Version 2.0, Dezember Seite 72 von 112

73 Beweiseignung Die Ablage elektronischer, signierter Dokumente ist grundsätzlich so auszugestalten, dass die aus rechtlicher Sicht geforderten und vom Betreiber eines elektronischen Langzeit- Speichersystems zu erbringenden Nachweise noch nach langer Zeit geführt werden können. Signaturgesetzkonformität Die Erzeugung, Prüfung und Speicherung von elektronischen Signaturen, respektive elektronisch signierter Dokumente muss gesetzeskonform erfolgen. Das betrifft insbesondere: Den Einsatz qualifizierter und akkreditierter Signaturen Die gesetzeskonforme Signaturerneuerung Die gesetzeskonforme Verifikation elektronischer Signaturen Daten- und Geheimnisschutz Die Verarbeitung und Speicherung von Daten muss den gesetzlichen Anforderungen an den Daten- und Geheimnisschutz genügen. Insbesondere die Verarbeitung und Speicherung personenbezogener Daten im Zusammenhang mit Signaturen und den zugehörigen Verifikationsdaten muss auf ein Minimum begrenzt werden. Dabei muss zugleich sichergestellt sein, dass Unbefugte unter keinen Umständen Zugang zu personenbezogenen oder anderweitig dem Geheimnisschutz unterliegenden Daten erhalten. Spezielle, den Daten- und Geheimnisschutz betreffende Anforderungen an elektronische Langzeitspeicher müssen mit einem wirtschaftlich vertretbaren Aufwand erfüllbar sein. Die Dokumente müssen auf Anforderung auch verschlüsselt abgelegt werden können. Soweit für bestimmte Zwecke, wie z.b. die Einstellung in einen elektronischen Langzeitspeicher oder die Transformation von Daten, Signaturen des (technischen) Archivars benötigt werden, sollten diese ggf. auch unter einem Pseudonym möglich sein. 37 Bei der Signaturerneuerung müssen Verfahren gewählt werden, welche die Berichtigung, Sperrung und Löschung von Dokumenten bzw. Dokumententeilen wie auch 37 Pseudonym-Zertifikat i.s. des SigG Seite 73 von 112

74 Zertifikaten inklusive der Verifikationsdaten nicht behindern. Die Beweiseignung der im elektronischen Langzeitspeicher verbleibenden Unterlagen darf dadurch nicht verloren gehen. Integrierbarkeit und Interoperabilität Um proprietäre Lösungen zu vermeiden, muss die Integrierbarkeit der elektronischen Langzeitspeicher in bestehende Informationssysteme sowie die Interoperabilität der verwendeten Nutzdaten- und Signaturformate mindestens für die Dauer der gesetzlich vorgeschriebenen Aufbewahrungsfristen gewährleistet sein. Skalierbarkeit Grundsätzlich sind die technischen Lösungen hinsichtlich des angestrebten Sicherheitsniveaus elektronischer Signaturen und der in diesem Zusammenhang jeweils notwendigen Verifikationsdaten skalierbar zu gestalten. Hierzu gehört insbesondere, dass die technischen Konzepte und Lösungen den Betrieb mandantenfähiger Lösungen unterstützen. Das bedeutet: in Abhängigkeit vom Dokumenttyp und dem jeweiligen Aufbewahrungszweck müssen spezifische Parametrierungen (Aufbewahrungsdauer, Hinzufügen von Verifikationsund/oder Metadaten etc.) möglich sein, spezielle Anforderungen, wie etwa die Integritätssicherung logisch zusammengehöriger Dokumente (z.b. Vollständigkeit von Akten), müssen auf Anforderung berücksichtigt werden können. Weiterverwendung Die für die Langzeitspeicherung signierter elektronischer Dokumente eingesetzten Verfahren und technischen Lösungen sollten die weitere Verwendbarkeit der elektronischen Dokumente für unterschiedliche Anwendungszwecke und in unterschiedlichen Anwendungssystemen (Fachverfahren) nicht beeinträchtigen. Neben der anwendungsorientierten Nutzung muss auch die Beweisführung anhand signierter Dokumente langfristig und ohne Mithilfe Dritter möglich sein. Seite 74 von 112

75 Verkehrs- und Migrationsfähigkeit Durch Verfahren und technische Lösungen der Langzeitspeicherung und der Erneuerung von Signaturen dürfen keine Behinderungen entstehen für: den Austausch von Dokumenten zwischen Anwendungssystemen, den Wechsel von Datenformaten in Anwendungssystemen, den Austausch von Anwendungssystemen oder -komponenten. Administration Technische Lösungen der Langzeitspeicherung müssen eine sichere, externe Administration und Konfiguration unterstützen. 4.3 Prozessbezogene funktionale Anforderungen Mit Blick auf die in Kap. 4.1 beschriebenen Szenarien, die Ergebnisse des Projektes Archi- Sig 38 und die diesem Dokument zugehörige Beschreibung der verwaltungsrechtlichen und technischen Rahmenbedingungen und Zielstellungen 39 ergeben sich in Anlehnung an den Anforderungskatalog des Projektes ArchiSig die folgenden prozess- oder auch vorgangsbezogenen funktionalen Anforderungen an eine rechtssichere elektronische Ablage elektronischen Schriftguts. Eine rechtssichere Ablage muss zu jedem Zeitpunkt aus dem Fachverfahren und /oder vorgelagerten Prozessen heraus möglich sein Um ein flexibles und skalierbares System bereit zu stellen, soll es dem Bearbeiter vor Ort möglich sein, geschäftsrelevante Dokumente zu jedem Zeitpunkt im elektronischen Langzeitspeicher abzulegen. Dies gilt insbesondere für elektronisch signierte Dokumente, die rechtssicher abgelegt werden müssen. Eine derartige Ablage ist i.d.r. im Fachverfahren nicht möglich. 38 ArchiSig Beweiskräftige und sichere Langzeitarchivierung digital signierter Dokumente. Anforderungskatalog Version 2.0, Dezember Siehe ArchiSafe Verwaltungsrechtliche Rahmenbedingungen, Vers. 1.0, Stand: September 2005 und ArchiSafe Schutzbedarf für Archivierungssysteme, Vers. 1.0, Stand: September Seite 75 von 112

76 Somit bedeutet ArchiSafe die Weiterentwicklung des DOMEA-Prinzips, das noch von folgendem Grundverständnis von Ablage und Archivierung ausgegangen war: hausintern zda- Verfügung Eingang/ Neuerstellung Dokument Neuanlage einer Akte Verlagerung in die elektronische Altregistratur Abgabe an Archiv Ablageort VBS/ DMS Zwischenarchiv Endarchiv Elektron. Kurzzeitspeicher Speicherart Elektron. Langzeitspeicher Elektron. Archivspeicher Abbildung 18 DOMEA-konformes Verständnis von Archivierung Vor dem Hintergrund, dass die Ablage elektronisch signierter Dokumente in einem Fachverfahren per se nicht den Anforderungen an die Erhaltung der Beweiskraft genügen kann, muss die beweiskräftige Ablage kritischer Dokumente noch während der Bearbeitung eines Vorgangs gewährleistet werden können. Dies kann manuell oder automatisch (Batch- Verfahren) erfolgen. Seite 76 von 112

77 hausintern zda- Verfügung Eingang/ Neuerstellung Dokument Neuanlage einer Akte Verlagerung in die elektronische Altregistratur Abgabe an Archiv VBS/ DMS Archivsystem Rechtssicherer elektronischer Langzeitspeicher Endarchiv Ablageort Abbildung 19 Parallelität von VBS und elektronischem Langzeitspeicher Zugriff auf den elektronischen Langzeitspeicher Der Zugriff auf den elektronischen Langzeitspeicher zu Zwecken der Ablage, der Recherche oder des Aufrufs abgelegter Dokumente sollte in jedem Falle nachweisbar über definierte Schnittstellen und vorzugsweise aus dem Fachsystem erfolgen. Unberechtigte Zugriffe sind durch das System zu verhindern. Vorgangsbezogene Metadaten werden vorzugsweise im Fachsystem hinterlegt und verwaltet Aus technischen und wirtschaftlichen Gründen sollen vorgangs- oder prozessbezogene Metadaten vorrangig und vorzugsweise im Fachsystem angelegt, gespeichert und verwaltet werden. Für im Langzeitspeicher abgelegte Dokumente vergibt das Langzeitspeichersystem eine Dokumentkennung (ID, Garderobenmarke ), die im Fachverfahren verwaltet wird. Somit ist auch das Fachverfahren vorzugsweise das führende System, aus dem heraus der Aufruf abgelegter Dokumente per Request möglich ist. Das Langzeitspeichersystem quittiert dem Fachverfahren die ordnungsgemäße Ablage des Dokuments. Um zu gewährleisten, dass die im Langzeitspeicher abgelegten Dokumente auch ohne Zuhilfenahme des Fachsystems durch Dritte interpretiert und verifiziert werden Seite 77 von 112

78 können, sollten aus dem Fachverfahren heraus auch zusätzliche Metadaten generiert und gemeinsam mit den Dokumenten in langfristig verkehrsfähiger Form im Langzeitspeicher abgelegt werden können. Der Umfang dieser beschreibenden Metadaten ergibt sich aus den Anforderungen des Fachverfahrens/ VBS, sollte aber so restriktiv wie möglich gehandhabt werden. Der elektronische Langzeitspeicher sollte darüber hinaus definierte, sichere Schnittstellen zur Verfügung stellen, die Zugangsberechtigten Dokumentrecherchen über Drittanwendungen ermöglichen (optional). Einsatz langfristig stabiler und eindeutig interpretierbarer Nutzdatenformate Für die rechtssichere und dauerhafte Ablage elektronischer Dokumente müssen langfristig stabile und eindeutig interpretierbare Nutzdatenformate verwendet werden, für die eine nachhaltige Verkehrsfähigkeit über die Dauer der gesetzlichen Aufbewahrungsfristen nach heutigem Wissensstand zumindest vermutet werden kann und deren Spezifikation standardisiert oder mindestens öffentlich zugänglich ist 40. Den Empfehlungen von SAGA 41 und DOMEA folgend kommen dafür heute vor allem ASCII (7-bit), XML, TIFF und PDF (PDF-A) in Frage. Dort, wo in vorhandenen Fachsystemen eine Umstellung auf langzeitspeicherungstaugliche Formate (noch) nicht möglich ist, ist daher vorzusehen, die Daten unmittelbar vor dem Signieren und/ oder der Übergabe in den Langzeitspeicher in die empfohlenen Formate zu konvertieren. 40 Das gilt sowohl für die tatsächlichen Inhaltsdaten als auch für die in aller Regel als Metadaten kodierten Vorgangsdaten. 41 SAGA 2.0 Standards und Architekturen für E-Government Anwendungen, Schriftenreihe KBSt, Bd. 59, Dez DOMEA Organisationskonzept 2.0, Dokumentenmanagement und elektronische Archivierung im ITgestützten Geschäftsgang, Schriftenreihe KBSt, Bd. 61, Okt Seite 78 von 112

79 Einsatz sicherer Signaturanwendungen und Verwendung elektronischer Signaturen mit ausreichend hohem Sicherheitsniveau Hierunter sind folgende bereits in ArchiSig formulierte Anforderungen zu subsumieren 43 : Einsatz sicherer Signaturanwendungskomponenten Bei der Langzeitspeicherung elektronisch signierter Dokumente kann nur der Beweiswert erhalten werden, der von Anfang an besteht. Maßgeblich für den Beweiswert elektronisch signierter Dokumente ist die Qualität der eingesetzten Signaturen und Signaturanwendungskomponenten. Daraus folgt: Für die Signaturerstellung und Signaturprüfung sollten möglichst geprüfte und bestätigte Signaturanwendungskomponenten eingesetzt werden. Für die Visualisierung der eingesetzten Datenformate sollten standardisierte, besser noch, geprüfte und bestätigte Präsentationskomponenten zur Verfügung stehen. Die IT-Fachanwendungen, respektive IT-Einsatzumgebungen sollten über nachweislich wirksame Zugangs- und Zugriffskontrollen verfügen. Verwendung langfristig stabiler Signaturdatenformate Um die Prüfbarkeit und die Interoperabilität elektronisch signierter Dokumente über die verwaltungsrechtlichen Aufbewahrungsfristen hin zu gewährleisten, sollten bei der Signaturerstellung standardisierte Signaturdatenformate verwendet werden. Dies betrifft neben den eigentlichen Signaturdatenformaten auch die Formate von Zertifikaten, Sperrlisten und Zertifikatsstatusabfragen. Dabei sollte die Kompatibilität mit den Normen und Empfehlungen von ISIS-MTT und des Signaturbündnisses sichergestellt sein ArchiSig Beweiskräftige und sichere Langzeitarchivierung digital signierter Dokumente. Anforderungskatalog Version 2.0, Dezember ISIS-MTT Specification, Optional Profile, SigG-Profile, Version 1.1, März Seite 79 von 112

80 Verwendung akkreditierter Signaturen 126a BGB verlangt zur Erfüllung der gesetzlichen Schriftform, sofern diese elektronisch abgebildet werden soll, die Verwendung von qualifizierten Signaturen nach dem Signaturgesetz. Die Beweiseignung kann durch den Einsatz akkreditierter Signaturen noch gesteigert werden, da in diesem Fall auf die für die Nachweisführung erforderliche Dokumentation bei den akkreditierten Zertifizierungsdienste-Anbietern langfristig zugegriffen und zudem die Vermutung ihrer technisch-organisatorischen Sicherheit geltend gemacht werden kann ( 15 Abs. 1 Satz 4 SigG). Nachweis eines möglichst authentischen Signierzeitpunktes durch Zeitstempel Für den Nachweis, dass die einer elektronischen Signatur zugrunde liegenden bzw. beigefügten Zertifikate zum Signaturzeitpunkt gültig und nicht gesperrt und die eingesetzten kryptografischen Algorithmen und Parameter zum Signaturzeitpunkt sicherheitsgeeignet waren, sollte möglichst zeitgleich zur Signaturerstellung und/oder Signaturprüfung ein elektronischer Zeitstempel eingeholt und mitgespeichert werden. Die Qualität des Zeitstempels muss dabei der Qualität der Signatur entsprechen. Bereitstellung und Integration notwendiger Verifikationsdaten Die für eine spätere Signaturverifikation erforderlichen Verifikationsdaten sollten unmittelbar nach der Signaturerstellung und / oder -prüfung beschafft und in das Dokument, respektive das Archivobjekt in langfristig verkehrsfähiger Form reproduzierbar integriert werden. Die Gültigkeitsprüfung muss umfassend und vollständig sein. Sie muss sich auf die gesamten Zertifikatsketten (Signaturzertifikate des Users, der Zertifizierungsstelle und der Wurzelzertifizierungsinstanz) sowie alle Verifikationsdaten und Zeitstempel beziehen. Sämtliche Prüfschritte sollten in übersichtlicher Weise und nachvollziehbar protokolliert werden können. Wahl des Signaturzeitpunktes Bei der Verifikation elektronischer Signaturen sollte der Signaturzeitpunkt grundsätzlich aus einem vertrauenswürdigen Zeitstempel der Signatur entnommen werden können. Ist dieser nicht vorhanden, können auch andere authentische Zeitangaben verwendet werden. Seite 80 von 112

81 Sicherung signierter und unsignierter Dokumente Neben elektronisch signierten Dokumenten sollten auch die Authentizität und Integrität nicht signierter Daten ab dem Zeitpunkt der Überführung in einen elektronischen Langzeitspeicher automatisch durch elektronische Signaturen und qualifizierte Zeitstempel gesichert werden können. Löschen nicht benötigter Daten Mit Blick auf zu erfüllende datenschutzrechtliche Bestimmungen oder Aufbewahrungsfristen muss das Löschen einzelner elektronisch signierter Dokumente und / oder Daten einschließlich der zugehörigen Signaturen und Verifikationsdaten mit einem wirtschaftlich vertretbaren Aufwand möglich sein. Die Beweiskraft der im Langzeitspeicher verbleibenden Dokumente muss dabei erhalten bleiben. Um die Nachvollziehbarkeit des Handelns zu gewährleisten, muss der Löschvorgang von Dokumenten, Signaturen oder Verifikationsdaten protokolliert werden können. Signaturerneuerung Elektronische Signaturen müssen rechtzeitig vor Ablauf der Sicherheitseignung der verwendeten kryptografischen Algorithmen gemäß den Vorgaben des Signaturgesetzes erneuert werden. Die Signaturerneuerung sollte weitgehend automatisch und wirtschaftlich erfolgen. Verfügbarkeit archivierter Dokumente und Daten Elektronisch signierte und dauerhaft aufbewahrte Dokumente müssen über den gesamten Aufbewahrungszeitraum mit einem vertretbaren zeitlichen und technischen Aufwand zugänglich, darstellbar und vollständig überprüfbar sein. Das bedeutet, sie müssen zusammen mit allen notwendigen Verifikationsdaten und erneuten elektronischen Signaturen in einer beweiskräftigen Form mindestens für die Dauer der gesetzlich vorgeschriebenen Aufbewahrungsfristen verkehrsfähig gehalten werden. Seite 81 von 112

82 5 Konzeptionelle Überlegungen zur Systemarchitektur In die prinzipiellen Überlegungen zur ArchiSafe-Systemarchitektur sind vorhandene Lösungsansätze und Konzepte eingegangen, die nicht mehr in aller Ausführlichkeit im nachfolgenden Abschnitt erläutert werden. Dies gilt insbesondere für VERS DOMEA ArchiSig Ablage von Dokumenten eingebettet in XML-Datensätzen Empfehlungen zu Metadatenstandards und Dokumentenformaten für die Langzeitspeicherung Hashwertbaum-Prinzip zur kostengünstigen und effektiven Gewährleistung der Übersignatur in einem Langzeitspeicher 5.1 Zielinfrastruktur Ausgehend von den dargestellten Einsatzszenarien und Anforderungen muss eine mögliche Zielinfrastruktur (IT-Architektur) folgende Komponenten / Dienste bereitstellen: Ein Fachverfahren, resp. VBS / DMS als Plattform und führendes System zur Dokumentenverwaltung, Vorgangsbildung und Schnittstelle zur Langzeitspeicherung Das Fachverfahren initiiert den Request für die Ablage im elektronischen Langzeitspeicher und verwaltet die vom Langzeitspeichersystem erzeugten Dokumentkennungen für die im Langzeitspeicher abgelegten Dokumente. Hierzu gehört, die Dokumentkennungen gespeicherter Dokumente mit den für die operative Vorgangsbearbeitung vorgehaltenen Dokumentinstanzen zu verknüpfen. Kryptografische Dienste zur Erstellung und Verifikation von elektronischen Signaturen Die kryptografischen Dienste signieren auf Anforderung durch das Fachverfahren die in den elektronischen Langzeitspeicher einzustellenden Dokumente oder versehen sie mit einem Zeitstempel. Die kryptografischen Dienste verifizieren zudem die Signaturen und Zertifikate signierter Dokumente und stellen der Speicherschnittstelle die Seite 82 von 112

83 Verifikationsdaten zur Verfügung. Für den Fall, dass die Signaturprüfung abschlägig beschieden wird, darf keine Ablage im Langzeitspeicher möglich sein. Zeitstempeldienst Die Übergabe an den elektronischen Langzeitspeicher kann optional mit einem Zeitstempel für die zu speichernden Dokumente kombiniert werden. Darüber hinaus wird der Zeitstempel für die Übersignatur nach 17 SigV benötigt. Schnittstelle (Modul) zur Übergabe an die Langzeitspeicherung = ArchiSafe Middleware (ArchiService) Das Übergabemodul an den elektronischen Langzeitspeicher bildet die systemunabhängige Middleware zur Übergabe von elektronischem Schriftgut an das Langzeitspeichersystem. Das Übergabemodul generiert, evaluiert und prozessiert auf der Grundlage standardisierter Zeichensätze und Datenformate, sowie syntaktischer und semantischer Vereinbarungen für die Strukturen der im Langzeitspeicher abzulegenden Datenobjekte. Das Übergabemodul fordert kryptografische Funktionen wie Signaturen, Zertifikatsprüfungen und Zeitstempel an und sollte alle zukunftsfähigen Formate prozessieren können, insbesondere XML-Formate auf der Basis definierter XML- Schemata. Langzeitspeichersystem Im Backend liegt schließlich das Langzeitspeichersystem, in das grundsätzlich nur Original -Dokumente abgelegt werden sollen. Parallel hierzu werden Kopien dieser Dokumente zum Zwecke der Vorgangsbildung im Fachverfahren (VBS) vorgehalten. Über die Vergabe eindeutiger Dokumentkennungen (Dokument-ID Garderobenmarken ) stellt das Langzeitspeichersystem sicher, dass zu jedem Zeitpunkt aus dem Fachverfahren heraus auf die abgelegten Originale zugegriffen werden kann. Dieses Vorgehen garantiert die rechtssichere Ablage von Originaldokumenten, ohne das Langzeitspeichersystem mit vorgangsspezifischen Logiken zu überfrachten. Such- und Darstellungsdienst (Viewer) Um einen vom Fachverfahren unabhängigen Zugriff auf den Langzeitspeicher zu ermöglichen kann ergänzend ein Such- und Darstellungsdienst sinnvoll sein, insbeson- Seite 83 von 112

84 dere dann, wenn eine mandantenfähige Lösung angestrebt wird. Über diesen Dienst, der die im Langzeitspeicher vorhandenen Metadaten Datenbank-gestützt redundant vorhält, kann im Fall des Ausfalls des führenden Systems eine Rekonstruktion der Vorgänge oder Akten erfolgen. Bei Bedarf können die Daten und Dokumente in einer weiterverwendbaren Form präsentiert (Viewer) oder exportiert werden. Diese klassischen Funktionalitäten werden in unterschiedlicher Ausprägung durch die am Markt befindlichen Archivsysteme abgedeckt. Fachanwendung / VBS / DMS / ERP ID Signaturdienste Zeitstempeldienst Dokument-ID ( Garderobenmarke ) ArchiSafe Schnittstelle (ArchiService) XML Datenpaket XDP Base64 organizationalu nit Rechtssichere Ablage / Langzeitspeicher Such- und Darstellungsdienst (optional) Viewer (optional) Abbildung 20 Zielinfrastruktur ArchiSafe 5.2 Dokumentenformate Für die dauerhafte Speicherung von Dokumenten sollten gemäß den Empfehlungen des DOMEA-Organisationskonzeptes in der Version 2.0 nur einige wenige Formate zur Anwendung kommen. Das Nebeneinander unterschiedlichster Formate im Bereich der Langzeitspeicherung erhöht das Risiko, das einzelne Datentypen im Verlaufe der Aufbewahrungsfrist nicht mehr originalgetreu reproduziert werden können und somit die Authentizität der abgelegten Dokumente verloren geht. Überall dort, wo Bildinformationen für die Authentizität von Dokumenten maßgeblich sind, empfiehlt DOMEA den SAGA-Standards folgend die Dateiformate Seite 84 von 112

85 TIFF, JPEG, und PNG. Für die Speicherung von Metadaten oder einfachen Textinformationen sollte TXT (ASCII) und XML zur Anwendung kommen. Für nicht zur Veränderung vorgesehene Textdokumente eignet sich nach Auffassung der DOMEA-Experten PDF. Dieses Dokumentenformat ist plattformunabhängig einsetzbar und bietet wesentliche Vorteile gegenüber der Speicherung von Dokumenten im TIFF- bzw. JPEG-Format. Die Konvertierung von CI-Dokumenten in NCI-Formate (TIFF, JPEG) ist immer mit möglichen Informationsverlusten verbunden, da die Textinformationen in rein optische Informationen umgewandelt werden. PDF dagegen erlaubt neben der grafischen Information auch die Textinformationen zu speichern, so dass auch nach der Konvertierung eine Volltextrecherche möglich bleibt. Darüber hinaus verfügt das PDF-Format über weitere nützliche Funktionalitäten wie die Einbettung elektronischer Signaturen, so dass PDF ausdrücklich für die Archivierung von in CI-Formaten bereitgestellten Textdokumenten empfohlen wird. Dies wird zusätzlich durch die Ankündigung unterstrichen, dass noch in diesem Jahr ein ISO PDF-A(rchiv) Standard verabschiedet werden soll (siehe auch Kapitel ). Für das Projekt ArchiSafe werden in Abhängigkeit vom Format der zu archivierenden Daten folgende Empfehlungen ausgesprochen: TXT (ASCII 7-bit) für einfache Textinformationen, Metadaten und Stammdaten aus dem ERP-System PDF-Format für Dokumente, die in einem CI-Format vorliegen TIFF- oder / und PDF-Format für Dokumente, die in einem NCI-Format vorliegen und XML als Auszeichnungssprache für zu archivierende Metadaten oder Datensätze. Seite 85 von 112

86 5.3 Metadatenstrukturen und Schnittstellen Gemäß den Empfehlungen von SAGA 2.0 sollen Datenschnittstellen zu Fremdsystemen grundsätzlich über XML und entsprechende Schemadefinitionen realisiert werden. Die rechtssichere und dauerhafte Ablage elektronischer Dokumente erfordert, mit den eigentlichen Nutzdaten auch noch Zusatzinformationen abzulegen, die Auskunft über die Struktur, den Zustand, den Fundort und die Zuordnung (Kontext) der archivierten Dokumente geben können. Der Zusammenhang eines derartigen, maschinell lesbaren Archivobjektes lässt sich nachhaltig am besten mit einer XML-Datenstruktur modellieren, die sinnvollerweise über folgende Eigenschaftsblöcke verfügen sollte: einen Block für die Nutzdaten (Content) zusammen mit notwendigen Präsentationsinformationen einen Block für Metadaten, in dem Kontextinformationen abgelegt werden, die für die Verwaltung und Zuordnung der archivierten Dokumente von Bedeutung sind, und einen Block für kryptografische Informationen, in dem Signaturen, Zeitstempel und Signaturprüfergebnisse abgelegt werden können. Archiv-Objekt XDP(XML Datenpaket) Objekt Metadaten Objekt ID (OID) Objekttyp Objektformat Erzeugungsdatum Aufbewahrungszeitraum Content b7 Signatur Block Signaturinfos Signatur Block Signaturinfos Abbildung 21 Schematische Darstellung des XML-Archivobjektes Ein solches Archivobjekt (Archive Record) wird als abgeschlossene Einheit betrachtet, das sich über ein vereinbartes XML-Schema selbst beschreibt und so alle wichtigen und hinreichenden Informationen enthält, die man für einen späteren Zugriff benötigt. Seite 86 von 112

87 Die Beschreibung durch ein gültiges XML-Schema verspricht zudem folgende zusätzliche Vorteile das Archivobjekt kann vor der Übergabe an den elektronischen Langzeitspeicher auf syntaktische Richtigkeit evaluiert werden, behördenspezifische Erweiterungen der Metadaten sind mit wenig Aufwand durch Erweiterung und / oder Einschluss zusätzlicher XML-Schemata möglich. In Anlehnung an das Projekt Victorian Electronic Records Strategy (VERS) des Bundesstaates Victoria (Australien) besteht ein solches Archivobjekt im einfachsten Fall neben einer Versionsangabe und der Angabe der zugeordneten XML-Schemadatei, aus einem oder mehreren Signaturblöcken und einem Objektblock, der selbst wieder ein oder mehrere in XML eingebettete Dokumente enthält. Jeder Block enthält als Einleitung Metadaten, in denen eine Dokumentkennung (Dokument-ID), eine Beschreibung des Dokumentes und seiner Herkunft abgelegt werden können. Für das Dokument selbst wird als Standard PDF empfohlen, das um in XML eingebettet werden zu können, zunächst in ein Textformat (Base64) konvertiert wird. Darüber hinaus können die eigentlichen Nutzdaten (Dokumentinhalte, Inhaltsdaten) auch in mehreren, unterschiedlichen Formaten abgelegt werden. Für speicherintensive Binärdaten empfiehlt sich, nicht zuletzt auch aus Performancegründen bei häufigen Zugriffen auf den Langzeitspeicher, die Binärdaten als Anhang (attachment) im XML-Datenstrom zu referenzieren. Der Entwurf für ein XML-Schema mit dem Arbeitstitel ARS (ArchiSafe Record-Keeping Strategy) wird in dem Dokument ARS ARS XML Datenpakete und Metadaten spezifiziert. 45 Im Projekt ArchiSafe wird die Ablage eines Dokumentes inklusive der oben beschriebenen Metadaten angestrebt. An dieser Stelle sei darauf verwiesen, dass die im DOMEA-Konzept dargestellten Beziehungen zwischen einer Akte, Vorgängen und Dokumenten ausschließlich über die Metadaten eines Archivobjektes sprich eines Dokumentes abzubilden sind. Dies bedeutet, dass der Aufbau einer Akte oder eines Vorganges vorrangig außerhalb der Archi- 45 ARS ARS XML Datenpakete und Metadaten, September Seite 87 von 112

88 Safe-Lösung, sprich im VBS / DMS-System, zu realisieren und vorzuhalten ist. An Hand der Metadaten der archivierten Objekte kann jedoch dynamisch (z.b. über eine Suche) wieder eine Liste aller zu einem Vorgang, einer Akte gehörenden Dokumente im Langzeitspeicher erstellt werden. Informationen über den Aufbau und den Werdegang einer Akte oder eines Vorganges könnten über ein separates Dokument (z. B. auf Basis des XDOMEA-Standards) in den Langzeitspeicher eingestellt werden. Die angedachte Single -Dokument-/Objekt- Lösung ist somit auch für Nicht -DOMEA-konforme Systeme, d.h. beliebige Fachverfahren, nutzbar. Darüber hinaus kann jeder Nachnutzer eigene Akten- und Vorgangsstrukturen definieren, ggf. notwendige Metadaten dafür in ARS einpflegen. Hier verweist das Projekt Archi- Safe auf die in Niedersachsen beim IZN gesammelten Erfahrungen. Im Rahmen der Fortschreibung des Fachkonzeptes erfolgt darüber hinaus eine Prüfung, inwieweit die Basiskomponente Datensicherheit (bekannt als Virtuelle Poststelle VPS) für die Ausführung und Prüfung von kryptografischen Funktionen und Zertifikaten bzw. für die Einholung von Zeitstempeln genutzt werden kann. Die Schnittstelle mit der Virtuellen Poststelle könnte dann das so genannte Document Interface (DI) der VPS 46 sein. 46 Das Document-Interface (DI) ist die Schnittstelle zum Kernsystem der VPS. Seite 88 von 112

89 6 Konzeptionelle Festlegungen MELODI (Pilot) In diesem Kapitel geht es darum, die bisherigen konzeptionellen Überlegungen zur Systemarchitektur mit den spezifischen Anforderungen der PTB hinsichtlich des Fachverfahrens MELODI in Verbindung zu bringen. Dabei werden, wo erforderlich, Anforderungen und Festlegungen der vorangegangenen Kapitel aufgegriffen, um eine vollständige Sicht auf den Prototypen zu erhalten. Ziel ist es, zunächst einen Prototypen für die sichere Langzeitspeicherung in MELODI erstellter Dokumente zu entwickeln. Dieser soll in einer zweiten Stufe auch dazu dienen, von extern eingehende Dokumente mit qualifizierter elektronischer Signatur rechtssicher abzulegen. In einer dritten Stufe soll dann nach Verallgemeinerung der Erfahrungen und Erkenntnisse aus dem Pilotbetrieb eine vollständige Realisierung und Einbettung in die elektronische Dokumenteninfrastruktur der PTB erfolgen. Dabei ist derzeit beabsichtigt, neben der Speicherung von Dokumenten möglicherweise auch die Ablage von Daten und Datenbankinhalten aus MELODI vorzusehen. Zudem soll es dann auch möglich sein, s rechtssicher abzulegen. Dabei gilt wie bereits vorne dargelegt, dass die Recherchierbarkeit und Lesbarkeit des elektronischen Schriftguts über die gesamte Dauer der Aufbewahrungsfrist hin gewährleistet bleibt das archivierte Schriftgut einschließlich der zugehörigen Prozessinformationen jederzeit verlustfrei reproduziert werden kann die Revisionssicherheit und Authentizität gewahrt bleibt 47 das elektronische Archivsystem die Beweiseignung des archivierten Schriftguts mindestens für die Dauer der gesetzlich vorgeschriebenen Aufbewahrungsfristen gewährleistet In diesem Kapitel werden zunächst die MELODI-spezifischen Prämissen für die Realisierung des Prototypen genannt. Im zweiten Abschnitt wird dann der Soll-Prozess beschrieben. Der 47 Siehe DOMEA-Erweiterungsmodul zum Organisationskonzept 2.0, Aussonderung und Archivierung elektronischer Akten, Oktober Seite 89 von 112

90 dritte Abschnitt beschreibt die Ziel-Infrastruktur. Daran anschließend werden die Dokumentenformate sowie die Metadatenstruktur und Schnittstellen beschrieben. Abgeschlossen wird das Kapitel mit den funktionalen Anforderungen, die sich im Wesentlichen aus dem ArchiSig- Anforderungskatalog ergeben Prämissen für die Konzeption Nachfolgend werden die PTB-spezifischen Prämissen für die Realisierung des Prototypen dargelegt. Dies erfolgt, wie im Falle der übertragbaren konzeptionellen Festlegungen, in drei Stufen: Verwaltungsrechtliche Prämissen IT-technische Prämissen und Sicherheitstechnische Prämissen Verwaltungsrechtliche Prämissen Folgende verwaltungsrechtliche Prämissen gelten für die Konzeption der Langzeitarchivierung in der PTB: Ausschließliche Nutzung der qualifizierten elektronischen Signatur Durch das Dritte Verwaltungsverfahrensänderungsgesetz (3. VwVfÄG) wurden die bislang gültigen Festlegungen zum Schriftformerfordernis grundlegend revidiert. Per Generalklausel wurde die qualifizierte elektronische Signatur (elektronische Form) allgemein als gleichwertiges Äquivalent zur Schriftform festgelegt. Dies gilt u.a. für VwVfG, AO und SGB. Durch Rechtsvorschrift können folgende Ausnahmen bestimmt werden: Verschärfung der Anforderung an die qualifizierte elektronische Signatur durch Anordnung der dauerhaften Überprüfbarkeit Verringerung der Anforderungen an die Signatur bzw. gänzlicher Verzicht darauf, wenn für Erklärungen keine Beweis- und Sicherheitsanforderungen bestehen 48 ArchiSig Beweiskräftige und sichere Langzeitarchivierung digital signierter Dokumente - Anforderungskatalog, Version 2.0, Dezember Seite 90 von 112

91 Ausschluss der elektronischen Form, wenn sie als zur Schriftform nicht gleichwertig angesehen ( 3 a VwVfg) wird Weitere verwaltungsrechtliche Prämissen Für die Gesamtheit der verwaltungsrechtlichen Rahmenbedingungen die für die Bundesverwaltung im allgemeinen und für die PTB im besonderen gelten wird auf das separate Dokument verwiesen, das im Anhang enthalten ist IT-technische Prämissen Folgende IT-technische Prämissen gelten für die Konzeption der Langzeitspeicherung in der PTB: Stufenweise Übernahme von Datenobjekten in den Langzeitspeicher Im Sinne einer ausbaufähigen Lösung hat sich die PTB entschieden, die Übernahme von Datenobjekten in den Langzeitspeicher in Form eines Stufenmodells durchzuführen. Im Rahmen der Pilotierung sollen zunächst MELODI-Zertifikate (SAP) mit entsprechenden Metadaten im Langzeitspeicher abgelegt werden. Bis zum Endausbau sollen noch folgende weitere Datenobjekte einbezogen werden: Antragsdokumente (Dokumentation als Graphik oder Textformat; Antrag als Datensatz in SAP) 50 Bearbeitungsakte, inklusive der technischen Dokumentation (Dokumentation als Graphik oder Textformat) Kostenbescheide (SAP R/3: Datensatz) Elektronischer Schriftverkehr (Lotus Server ( s) / für MELODI Online mit Signatur) Antragsdaten (SAP R/3) Messdaten SAP-Bestandsdaten (SAP R/3) 49 ArchiSafe Verwaltungsrechtliche Rahmenbedingungen, Vers. 1.0, Stand: September Die entsprechenden Dokumenten- und Datenformate sind bereits in Kapitel beschrieben. Seite 91 von 112

92 Kostenerfassungsliste (SAP R/3) Festlegung auf PDF als Objektformat für Dokumente im Langzeitspeicher Mit Blick auf die Vorgaben im DOMEA-Konzept legt die PTB das PDF-Format als Standard für die Langzeitspeicherung fest. Dies ist auch das Format, in dem Zertifikate und andere ausgehende Dokumente im Rahmen von MELODI-Online an Dritte weitergegeben werden sollen Datenobjektbasierte Ablage im Langzeitspeicher Um eine maximale Unabhängigkeit vom Format zu archivierender Datenobjekte zu gewährleisten, werden die zu archivierenden Nutzdaten in einen XML-Archivcontainer gepackt. Zu den Nutzdaten gehören das jeweilige Datenobjekt (dokumenten-intern oder -extern signiert), die Verifikationsdaten, die im Kontext der Signaturprüfung verwendet werden bzw. entstehen, sowie die dokumentenspezifischen Metadaten. Der Archivcontainer, der alle diese Komponenten enthält, wird mit einem qualifizierten Archivzeitstempel versehen und im Langzeitspeicher abgelegt. Fall 1: dokument-extern signiertes Dokument Fall 2: dokument-intern signiertes Dokument Metadaten Metadaten Original Original Verifikationsdaten Verifikationsdaten Qualifiziert zeitgestempelter Archivcontainer Qualifiziert zeitgestempelter Archivcontainer Abbildung 22 Datenobjektbasierte Ablage im Langzeitspeicher Die datenobjektbasierte Ablagemethode bedeutet in der Konsequenz, dass im Langzeitspeicher eine rein chronologische Ablage der Dokumente erfolgen kann, während die Vorgangsbildung und Vorgangsverwaltung im Fachverfahren stattfindet. Seite 92 von 112

93 XML-basierte Ablagestruktur Um eine weitgehende Nachnutzbarkeit zu ermöglichen optiert die PTB für eine XML-basierte Ablagestruktur (XML Data Package, XDP), die eine größtmögliche Übertragbarkeit der Lösung zur Langzeitspeicherung (Vermeidung von Schnittstellenproblemen) verspricht. Das Datenobjekt wird dabei in Base64 codiert, um in ein XDP integriert werden zu können Überprüfung qualifizierter elektronischer Signaturen durch die Virtuelle Poststelle In der Regel wird die Virtuelle Poststelle (VPS) zur Überprüfung qualifizierter elektronischer Signaturen zum Einsatz kommen. Statusinformationen zu den Signaturzertifikaten sollen dabei vorwiegend über Online Certificate Status Protocol (OCSP) erfolgen Sicherheitstechnische Prämissen Für die sicherheitstechnischen Prämissen wird auf die ausführliche Darstellung in einem separaten Dokument verwiesen, das im Anhang enthalten ist. 51. Aus Sicht der PTB bestehen für den Piloten von ArchiSafe keine weitergehenden Prämissen Prämissen für den Prototypen (Stufe 1) Für den nun zu realisierenden Prototypen wurden die folgenden Prämissen festgelegt: Es werden in der ersten Stufe nur in MELODI erstellte Dokumente langzeitgespeichert Das Dokumentenformat ist PDF 52 Im Prototyp werden einzelne Dokumente, jedoch noch keine vollständigen Akten abgelegt Auf dieser Basis soll nun im Folgenden die Konzeption für ArchiSafe in der PTB spezifiziert werden. 51 ArchiSafe Schutzbedarf für Archivierungssysteme, Vers. 1.0, Stand: September In einer späteren Stufe sollen auch Dokumente im TIFF-Format gespeichert werden können. Seite 93 von 112

94 6.2 Soll-Prozess Der Soll-Prozess in MELODI gestaltet sich aus heutiger Sicht wie folgt: Wenn eine Zertifizierung abgeschlossen ist, wird in MELODI ein Zertifikat erstellt und dieses in das PDF-Format gewandelt und signiert. Dabei wird eine Inbound-Signatur zur Einsatz kommen. Die zu signierende PDF-Datei wird auf den Client-PC kopiert und im Dokumentenmanagementsystem der Vermerk ausgecheckt gesetzt. Auf dem Client-PC wird die PDF-Datei mit Adobe Acrobat geöffnet und qualifiziert signiert. Anschließend wird das erfolgreich signierte Dokument wieder in MELODI eingecheckt und ersetzt dabei die bisherige unsignierte Version. Dokument-Status Signatur Dokument zum Signieren öffnen Abbildung 23 Signieren von MELODI-Zertifikaten (Teil 1) Seite 94 von 112

95 MELODI- Zertifikat Qualifizierte Signatur Abbildung 24 Signieren von MELODI-Zertifikaten (Teil 2) Mit dem Zertifikat sind die zugehörigen Metadaten in MELODI abgelegt bzw. verknüpft. Neben den für die Bearbeitung erforderlichen Metadaten ist vorgesehen, auch die für die Langzeitspeicherung erforderlichen Metadaten bereits im Zuge der Vorgangsbearbeitung zu vergeben bzw. automatisch zu generieren (Aufbewahrungsfristen, Aussonderungshinweise etc.). Zum Zeitpunkt der Übergabe des Zertifikats an den Langzeitspeicher sollen dann keine weiteren Metadaten vergeben werden müssen. Dennoch werden aus heutiger Sicht einige Metadaten automatisch generiert und mit dem Zertifikat an den Langzeitspeicher übergeben (z.b. Zeitpunkt der Übergabe an den Langzeitspeicher). Seite 95 von 112

96 Geplant ist, dass ein Administrator den Archivierungsprozess manuell auslöst. Dieser wählt die Zertifikate aus, die an den Langzeitspeicher übergeben werden sollen und gibt das Signal zur Erzeugung der XML-Strukturen, welche die Zertifikate mit den Metadaten enthalten. Die XML-Strukturen werden dann an die ArchiSafe-Schnittstelle übergeben, welche eine Verifikation gegen das ArchiSafe-XML-Schema durchführt und die enthaltenen Signaturen auf Gültigkeit überprüft. Die Prüfergebnisse werden zusammen mit einer von der ArchiSafe- Middleware erzeugten eindeutigen Dokument-ID ( Garderobenmarke ) in die XML-Strukturen aufgenommen. Anschließend wird das vervollständigte XML-Paket an den Langzeitspeicher übergeben, der es rechtssicher archiviert. Der Prozess endet mit der Rückgabe der Dokument-ID und der Speicherung derselben in der MELODI-Datenbank. Der Prozess zur Langzeitspeicherung der Zertifikate ist im Folgenden noch einmal schematisch dargestellt: 53 Abbildung 25 Zielarchitektur Stufe 1 (Teil 1) 53 Siehe hiezu ArchiSafe DV-Grobkonzept, Vers. 0.3, August Seite 96 von 112

97 Abbildung 26 Zielarchitektur Stufe 1 (Teil 2) In der zweiten Phase ist zudem vorgesehen, dass auch qualifiziert signierte elektronische Antragsdokumente langzeitgespeichert werden sollen. Dafür ist der folgende Prozess vorgesehen: Nach der Plausibilitätsprüfung der eingegangenen Dokumente in der PTB werden diese einer Akte in MELODI zugeordnet. Sie können dann entweder sofort automatisch an den Langzeitspeicher übergeben oder zu einem späteren Zeitpunkt durch den Administrator für die Langzeitspeicherung vorgesehen werden. In der dritten Stufe soll dann der Umfang der zu speichernden Dokumente erweitert werden, so dass es möglich wird, vollständige Akten rechtssicher abzulegen. Dabei ist dann auch vorgesehen, in Papierform vorliegende Dokumente einzuscannen und im PDF-Format abzuspeichern. Darüber hinaus ist geplant, auch Daten, Datenbankinhalte und s im Langzeitspeicher rechtssicher abzulegen. Hinsichtlich der Aussonderung bzw. Löschung von Dokumenten aus dem Langzeitspeicher hat die PTB bereits eine Reihe von Festlegungen getroffen: Die Löschung erfolgt manuell, d.h. der Administrator entscheidet, welche Dokumente gelöscht werden sollen und erteilt dann den Löschbefehl. Diese Funktionalität wird noch nicht im Prototypen realisiert. Nach Ablauf der Aufbewahrungsfrist werden die Dokumente (in der Regel die ganze Akte) zunächst dem Bundesarchiv angedient, bevor sie in der PTB gelöscht werden. Seite 97 von 112

98 Die Löschung soll nach dem Vier-Augen-Prinzip erfolgen. Der Lösch-Workflow soll im Langzeitspeicher als Routine hinterlegt sein. Es sollen Löschlisten generiert werden, die anhand der hinterlegten Aufbewahrungsfristen anzeigen, welche Dokumente / Akten generell vernichtet bzw. dem Bundesarchiv angeboten werden können. Nach vollständiger Realisierung von ArchiSafe in der PTB und der Anbindung weiterer Fachverfahren kann es sein, dass sich einzelne Bearbeitungsprozesse ändern. Dies wird dann individuell zu betrachten sein. 6.3 Zielinfrastruktur Die Zielinfrastruktur ergibt sich im Wesentlichen aus den Festlegungen in Kapitel 5, ergänzt um die spezifischen Anforderungen der PTB. SAP - MELODI ID Signaturdienste Zeitstempeldienst Dokument-ID ( Garderobenmarke ) ArchiSafe Schnittstelle (ArchiService) XDP XML Datenpaket Base64 organizationalu nit Rechtssichere Ablage / Langzeitspeicher (econserver) Enterprise Content Repository ID Such- und Darstellungsdienst (PDMS) Viewer Abbildung 27 Zielarchitektur ArchiSafe Prototyp Die Zielinfrastruktur umfasst dabei fünf Komponenten: Fachanwendung MELODI Zeitstempeldienst / Signaturdienste Seite 98 von 112

99 ArchiSafe-Schnittstelle zur Übergabe an die Langzeitspeicherung (ArchiService) Langzeitspeicher Such- und Darstellungsdienst mit Viewer Fachanwendung MELODI In der Fachanwendung MELODI (SAP R/3) erfolgt die Vorgangsbearbeitung. Sie ist das führende System zur Dokumentenverwaltung und Vorgangsbildung. Dort sind maßgebliche Dokumente und die erforderlichen Daten in entsprechenden Datenbanken hinterlegt. Nach Abschluss der Bearbeitung eines Vorgangs archiviert das Fachverfahren die Daten und Dokumente. Sie stehen dann nicht mehr für die Vorgangsbearbeitung zur Verfügung, können jedoch recherchiert, angezeigt und reaktiviert werden. Im Fachverfahren ist die gesamte Akte bzw. der Vorgang, sofern die Dokumente elektronisch vorliegen, vorhanden. In der Fachanwendung wird auch die Garderobenmarke als Metainformation verwaltet. Langzeitspeicherung auslösen Auswahl der zu archivierenden Dokumente Fachspezifische Metadaten Garderobenmarke Abbildung 28 Auslösen der Langzeitspeicherung in MELODI Seite 99 von 112