Die Technische Richtlinie zielt darauf ab, eine der
wesentlichen verbliebenen Hürden auf dem Weg zu einer möglichst
vollständigen digitalen Dokumentenverarbeitung zu beseitigen – die
vertrauenswürdige elektronische Langzeitspeicherung von elektronischen
Dokumenten, Akten und sonstigen Daten aller Art. Durch die immer schneller fortschreitende „Virtualisierung“ von
Vorgängen und Dokumenten in die elektronische Form ergeben sich neue
Herausforderungen, die in der „alten Welt“ der Papierdokumente nicht –
oder zumindest nur in deutlich abgeschwächter Form – bestehen.
- Elektronische Dokumente können aus sich heraus weder wahrgenommen, d. h.
gelesen werden, noch liefern sie aus sich heraus Anhaltspunkte für ihre
Integrität und Authentizität und damit dem Schutz und der Wahrung von
Rechtsansprüchen des Ausstellers oder Dritter und dem Nachweis der
Ordnungsmäßigkeit im elektronischen Rechts- und Geschäftsverkehr. Diese
Eigenschaften müssen vielmehr, insbesondere für die Zwecke der
längerfristigen Aufbewahrung elektronischer Dokumente, durch
zusätzliche technische und organisatorische Maßnahmen hergestellt und
dauerhaft erhalten werden.
- Über die geforderten langen
Aufbewahrungszeiträume und damit auch über die immer kürzer werdenden
informationstechnischen Innovationszyklen hinweg müssen die Lesbarkeit
und Verfügbarkeit von Speichermedien und Datenformaten gewährleistet
sein – unabhängig von einzelnen Produkten und Herstellern.
- Der
Zugriff auf Daten und Dokumente muss auch und gerade in der
elektronischen Welt den Anforderungen des Datenschutzes und der
Datensicherheit genügen, auch über lange Zeiträume und den Wechsel von IT-Systemen hinweg.
Bislang wird diesen Herausforderungen entweder dadurch begegnet,
dass die Lösung des Problems – insbesondere im Hinblick auf stabile
Speicherformate und die Unabhängigkeit von den Produkten einzelner
Hersteller – unter dem Hinweis auf fehlende Standards und Richtlinien
in die Zukunft vertagt wird, oder die Daten und elektronischen
Dokumente zum Ende ihrer operativen Relevanz wieder in die klassisch
archivierbare Papierform gebracht werden. Beide Strategien sind
unbefriedigend, unzureichend und auch unwirtschaftlich.
Diese Richtlinie beseitigt nun die bisherigen Unsicherheiten und
gibt eine klare Orientierung, durch welche Maßnahmen und Lösungen eine
vertrauenswürdige elektronische Langzeitspeicherung gewährleistet
werden kann. Bindend ist diese Technische Richtlinie nur für den
Bereich der Bundesverwaltung. Aber in nahezu allen Wirtschaftsbereichen
gibt es heute eine Vielzahl gesetzlicher oder anderer Auflagen, die das
Thema Langzeitspeicherung bei fortschreitender Digitalisierung der
Geschäftstätigkeiten in den Fokus rücken und einer Lösung bedürfen:
elektronische Unterlagen im Gesundheitswesen, elektronische Rechnungen
und Belege im täglichen Geschäftsverkehr, digitale technische
Unterlagen in der Musterzulassung von Luftfahrzeugen, elektronische
Akten im Bereich der Medikamentenzulassung. Schon diese wenigen
Beispiele zeigen die hohe Relevanz der vertrauenswürdigen
elektronischen Langzeitspeicherung auch in der Privatwirtschaft. Die
vorliegende Richtlinie gibt also für alle Wirtschafts- und
Verwaltungsbereiche gleichermaßen Orientierung und Hilfestellung, um
den vielfältigen Anforderungen hinsichtlich
- Verfügbarkeit und Lesbarkeit
- Integrität und Authentizität
- Datensicherheit und Datenschutz
von elektronischen Daten aller Art über lange Aufbewahrungszeiträume hinweg zu genügen.
Das BSI hat dabei die folgenden Gestaltungskriterien zugrunde gelegt:
- Berücksichtigung der relevanten internationalen Standards
- Konsequente und vollständige Plattform– und Herstellerneutralität
- Beschreibung
einer mandantenfähigen Referenzarchitektur, die sich auch für den
Aufbau anwendungs- und produktübergreifender
Archiv-Infrastrukturdienste eignet
- Umsetzungsorientierung durch
Einbeziehung konkreter Hilfestellungen zur Komponenten- und
Schnittstellenentwicklung (insbesondere im Bereich kryptographischer
Sicherungsmittel mit dem eCard-API-Framework)
Konkret beschreibt diese Technische Richtlinie einen differenzierten
Katalog von verpflichtenden (Muss), von empfohlen (Soll) und auch von
optionalen (Kann) Anforderungen im Hinblick auf alle Elemente und
Bereiche, in denen ein Gestaltungsbedarf besteht, um für Behörden und
Institutionen wirkungsvolle, zukunftssichere und wirtschaftliche
technische Szenarien für eine vertrauenswürdige Langzeitarchivierung
elektronischer Dokumente und Daten aufzubauen. Im Wesentlichen sind dies
- empfohlene Dokumentenformate
- ein empfohlenes Speicherformat für Archivdatenobjekte (XAIP)
- Empfehlungen zu einer IT-Referenzarchitektur oder alternativen Architekturen
- Anforderungen an Komponenten (z. B. vorgelagerte Anwendungssysteme) und an Module (z. B. Krypto-Modul) sowie deren Zusammenspiel
Auf der Basis des vorliegenden Anforderungskatalogs können nun
Anbieter und Produkthersteller zu dieser Richtlinie konforme
Lösungsangebote entwickeln.
Die Dokumente der BSI TR-03125