Anforderungen an die langfristige, veränderungssichere Aufbewahrung elektronischer Dokumente.

Transkript

1 Anforderungen an die langfristige, veränderungssichere Aufbewahrung elektronischer Dokumente. Die langfristige, veränderungssichere Aufbewahrung elektronischer Dokumente ist in vielen Anwendungsgebieten aus rechtlichen Gründen sicherzustellen. Ihre Umsetzung ist eine technische und organisatorische Herausforderung. Die Komplexität erhöht sich, wenn die Dokumente elektronisch signiert sind. Ausgehend von rechtlichen Grundlagen der Aufbewahrung elektronischer Dokumente geht der Vortrag auf bestehende Entwicklungen und Lösungsansätze ein. Dr. Stefanie Fischer-Dieskau Bundesamt für Sicherheit in der Informationstechnik, Referentin im Referat Justiziariat / Haushalt

2 Anforderungen an die langfristige, veränderungssichere Aufbewahrung elektronischer Dokumente Dr. Stefanie Fischer-Dieskau egov Fokus 2/2009 Bern, Agenda Herausforderungen der elektronischen Aktenführung Rechtliche Anforderungen an die Aufbewahrung elektronischer Dokumente Technische Sicherungsmittel und Auswirkungen der Zeit Lösungsansätze

3 Herausforderungen der elektronischen Aktenführung Überwindung von Medienbrüchen Notwendigkeit und Zulässigkeit des ersetzenden Scannen Lösungsansätze zur Ausgestaltung des ersetzenden Scannens Aufbewahrung elektronischer Daten/Dokumente/Akten Anforderungen an die Aufbewahrung elektronischer Dokumente Lösungsansätze für eine beweissichere Aufbewahrung Stefanie Fischer-Dieskau 18. September 2009 Folie 3 Aufbewahrung elektronischer Dokumente Zwecke der Aufbewahrung von Dokumenten Aufbewahrung im Interesse Dritter Aufbewahrung im eigenen Interesse Abhängigkeit von Erstellung und Aufbewahrung von Dokumenten Grundsätzliche Anmerkungen zur Aufbewahrung Die Aufbewahrung kann den Wert von Daten nicht verbessern Die Aufbewahrung sollte den Wert nicht verschlechtern Notwendigkeit der vorausschauenden Dokumenterstellung Stefanie Fischer-Dieskau 18. September 2009 Folie 4

4 Normative Anforderungen an die Aufbewahrung Branchenübergreifende Grundanforderungen Integrität Unverfälschtheit der Daten Authentizität Herkunft der Daten Lesbarkeit / Verfügbarkeit der Daten Verkehrsfähigkeit Transportfähigkeit der Daten Vertraulichkeit der Daten Branchenspezifische Anforderungen Unterschiedliche Aufbewahrungszeiträume Vereinzelte, gesetzlich angeordnete Signaturerfordernisse Freiwillig gesetzte Signaturerfordernisse wegen Aufbewahrungszwecken Stefanie Fischer-Dieskau 18. September 2009 Folie 5 Ausgestaltung der Aufbewahrung Bestehende Sicherungsmittel Systembezogene Sicherungsmittel Datenträgerbezogene Sicherungsmittel Dokumentbezogene Sicherungsmittel Eignung der Sicherungsmittel zum Nachweis der Anforderungen Generelle Eignung Langfristige Eignung Stefanie Fischer-Dieskau 18. September 2009 Folie 6

5 Stabilität der Sicherungsmittel Technische Verfall bestehender Sicherungsmittel, z.b. Verlust der Eignung der Hard- und Software Verlust der Sicherheitseignung von Kryptoverfahren Konsequenzen Dauerhafte Beobachtungspflichten Erfordernis rechtzeitiger Auffangmaßnahmen (auch als Lösungsansätze des Rechts) Neusignierung nach 17 SigV Verifikationsdatenbeschaffung Migration und Transformation Stefanie Fischer-Dieskau 18. September 2009 Folie 7 Beispielhafte bestehende nationale Lösungskonzepte / Standards Projekt ArchiSig - Langfristiger Erhalt der Beweiskraft elektronisch signierter Unterlagen PTB, Projekt ArchiSafe - Spezifikation einer Archiv-Middleware Projekt TransiDoc - Rechtssichere Transformation signierter Dokumente Nationale und internationale Standards (TAP, LTAP, ERS,..) Diese und weitere Projekte / Standards liefern technische Lösungsmöglichkeiten für die jeweiligen Teilaspekte Stefanie Fischer-Dieskau 18. September 2009 Folie 8

6 Projektüberblick TR-VELS Projektziel: Technische Richtlinie für vertrauenswürdige elektronische Langzeitspeicherung TR-VELS Hersteller wie Betreiber sollen sich gegen g diesen Standard zertifizieren lassen können Vorgabe: Ein Archiv-Dienst und eine Archiv-Schnittstelle als ein Service für alle Anwendungen Lose Kopplung zwischen dem Archiv und den Anwendungen Eindeutiges und dauerhaftes Archivdatenformat Rechtssicherheit und dauerhafte Beweissicherung Flexible und einfach zu erweiternde Umsetzung von Papierakten in elektronische Daten Vorgängen in elektronische Daten Veröffentlichung: voraussichtlich Herbst 2009 Auftragnehmer: Berater: CSC secunet Security Networks AG Stefanie Fischer-Dieskau 18. September 2009 Folie 9 Modulare & skalierbare Architektur Application Layer (ERP, DMS, , ) ArchiSafe XML-Adapter Trusted Archive Layer TR-VLA-S.4 ArchiSafe-Modul TR-VLA-M.1 BSI-CC-PP-0049 TR-VLA-S.6 Schutzprofil nach Common Criteria TR-VLA-S.1 ArchiSig-Modul TR-VLA-M.3 IETF RFC 4998 Projekt ArchSig und ERS aus RFC 4998 Auf Basis ecard- API Framework TR-VLA-S.3 Krypto-Modul TR-VLA-M.2 ecard-api / BSI-TR TR-VLA-S.2 TR-VLA-S.5 Storage Layer TR-VLA-M.4 (Harddisk, WORM, Datenbank, ) Stefanie Fischer-Dieskau 18. September 2009 Folie 10

7 Archivzeitstempel Archivzeitstempel bestehend aus einem binären Merkle-Hashbaum und einem qualifizierten Zeitstempel an der Wurzel Stefanie Fischer-Dieskau 18. September 2009 Folie 11 XAIP Datenstruktur TR-VELS Paten National Archives and Records Administration Informationen über die logische Struktur (en) der Archivdaten, den Absender und die Aufbewahrungszeit Informationen über den Geschäfts- und Archivierungskontext der Nutzdaten Enthält die eigentlichen Nutzdatenobjekte (XML oder Base64 kodiert) Kryptographische Beweisdaten, wie Signaturen, Zeitstempel, Verifikationsdaten (Zertifikate und Statusinformationen Stefanie Fischer-Dieskau 18. September 2009 Folie 12

8 TR VELS baut auf nationalen und internationalen Standards auf Architektur & Schnittstellen Authentizität & Integrität Lesbarkeit Verfügbarkeit & Vertraulichkeit TR zur vertrauenswürdigen elektronischen Langzeitspeicherung Stefanie Fischer-Dieskau 18. September 2009 Folie 13 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Dr. Stefanie Fischer-Dieskau Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0) Stefanie Fischer-Dieskau 18. September 2009 Folie 14