Ein Backup ist kein Archiv

Warum digitale Langzeitarchivierung so wichtig ist

26.03.2014
Uwe Küll ist freier Journalist in München.

Versäumnisse können teuer werden

Wie teuer die Nichtbeachtung von Aufbewahrungspflichten im Ausland werden kann, zeigte sich schon im Jahr 2002 für die Deutsche Bank Securities, Goldman Sachs, Morgan Stanley und andere Banken: Sie wurden mit Bußgeldern von insgesamt mehr als acht Millionen US-Dollar belegt, weil sie E-Mails und andere geschäftliche Unterlagen nicht vorschriftsgemäß aufbewahrt hatten.

Im gleichen Jahr wurde der "Sarbanes-Oxley-Act" erlassen, wonach Unternehmen, die an der New York Stock Exchange notiert sind, aufbewahrungspflichtige elektronische Dokumente gegen vorsätzliche Löschung, Manipulation und Zerstörung schützen müssen. Darüber hinaus müssen sie auch nachweisen, dass keine Veränderungen oder Manipulationen an den Dokumenten stattgefunden haben.

Dennoch ergibt sich die Motivation vieler Firmen für die Beschäftigung mit Langzeitarchivierung nicht nur aus der Pflicht zur Einhaltung gesetzlicher Regelungen und Vorschriften (Compliance). Der Gesamtverband der Versicherungswirtschaft GDV etwa nennt in seinen "Aufbewahrungspflichten und Aufbewahrungsgrundsätze für Geschäftsunterlagen von Versicherungsunternehmen" eine Vielzahl von Unterlagen, für die eine Aufbewahrungspflicht aus betrieblichen Gründen besteht. Dabei geht es sowohl um die Erfüllung möglichen Informationsbedarfs in der Zukunft, als auch um firmenhistorische Aspekte sowie die Möglichkeit von Nachweisen im Falle rechtlicher Auseinandersetzungen.

Eigeninteresse als Motivator zur Archivierung

Die CAD/CAM-Entwicklungsgesellschaft zur Förderung des Erfahrungsaustausches in der Industrie (CEFE), nennt in ihrem "Leitfaden für die Langzeitarchivierung technischer Daten und Dokumente", an dessen Erstellung unter anderem Siemens und Volkswagen beteiligt waren, die Sicherstellung des betrieblichen Ablaufs im Katastrophenfall als erstes der Ziele des Leitfadens. Und die VDA Empfehlung 4958 "Langzeitarchivierung (LZA) digitaler, nichtzeichnungsbasierter Produktdaten dient neben der "Absicherung gesetzlicher Bestimmungen und Auflagen" ausdrücklich der Sicherstellung der Reproduzierbarkeit von 3D-Daten beispielsweise für das Ersatzteilgeschäft.

Branchenbezogene Regelungen reichen nicht aus

Allgemeiner formulierten die Forscher des Fraunhofer Instituts für Biomedizinische Technik IBMT in einer Pressemitteilung zum EU-Projekt ENSURE, das sich mit der digitalen Langzeitarchivierung von Gesundheitsdaten befasst: "Viele kommerziell ausgerichtete Organisationen stehen vor dem gravierenden Problem, eine Vielzahl von Daten zur zukünftigen Nutzung kostengünstig erhalten zu müssen und dabei den Schutz sensibler Geschäftsdaten oder persönlicher Daten sicherstellen zu müssen." Dennoch hat die von der EU geförderte Forschungsinitiative mit den anderen erwähnten Projekten zur Langzeitarchivierung gemeinsam, dass sie nur für bestimmte Branchen gilt.

Daraus ergeben sich vor allem für solche Firmen Probleme, die Geschäftsbeziehungen mit Kunden oder Lieferanten aus anderen Branchen unterhalten. Sie stehen vor der Frage, mit welchem Verfahren sie sicherstellen können, dass ihre digitale Langzeitarchivierung den unterschiedlichen rechtlichen Normen entspricht und sich gleichzeitig wirtschaftlich effizient betreiben lässt.

TR-ESOR: Eine Referenzarchitektur für alle

Antworten auf diese Frage liefert die Technische Richtlinie 03125 des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Unter der Bezeichnung TR-ESOR - Beweiswerterhaltung kryptographisch signierter Dokumente - beschreibt sie ein Referenzmodell für die beweiswerterhaltende elektronische Ablage aufbewahrungspflichtiger Unterlagen.

Im Fokus der Richtlinie stehen dabei alle mit der Erhaltung der Beweiskraft elektronischer Signaturen verbundenen Maßnahmen, da nur die Signatur den Nachweis über die Echtheit eines Dokumentes und die zweifelsfreie Zuordnung zu ihrem Urheber ermöglicht. Dabei gilt: Nur die Qualifizierte Elektronische Signatur (QES) gemäß deutschem Signaturgesetz darf die gesetzlich vorgeschriebene Schriftform ersetzen und nur sie haben gemäß Zivilprozessordnung (ZPO) einen erleichterten Anscheinsbeweis für elektronische Dokumente und verbindliche Erklärung in Gerichtsprozessen.

Damit dieser Anscheinsbeweis über Jahre und Jahrzehnte hinweg möglich bleibt, müssen Systeme für die digitale Langzeitarchivierung laut TR-ESOR sowohl für die digitalen Inhalte als auch für deren Metadatensätze sicherstellen:

• Verfügbarkeit und Lesbarkeit,

• Integrität (Unversehrtheit),

• Beweiswerterhaltung von Signaturen und Zeitstempeln, Authentizität (daraus folgt auch die Nichtabstreitbarkeit) sowie

• Datenschutz, Datensicherheit und Vertraulichkeit.

Den Nutzen der TR-ESOR für Unternehmen erläutert Petra Waldmüller-Schantz von Governikus so: "Die BSI TR-ESOR beschreibt in einer Referenzarchitektur, wie Archivsysteme aufgebaut sein müssen, um diese Anforderungen zu erfüllen. Sie regelt gleichzeitig die Zertifizierung von IT-Systemen, die der Referenzarchitektur entsprechen. Unternehmen, die eine nach TR-ESOR zertifizierte Lösung einsetzen, können damit sicher sein, alles Mögliche getan zu haben, um ihre Inhalte auch über lange Zeiträume sicher und gerichtsverwertbar zu erhalten." (hal)

Zur Startseite