Mit elektronischen Signaturen lassen sich Daten und Dokumente versiegeln. Man kann nachträgliche Änderungen erkennen und den Ersteller der Signatur überprüfen. Da absolute Sicherheit nicht existiert, stellt sich jedem sofort die Frage »Wie sicher ist denn das wirklich?«
von Oliver Berndt, B&L Management Consulting
Die Sicherheit hängt einerseits vom verwendeten mathematischen Algorithmus und der Länge des Schlüssels ab. Andererseits aber auch von der bestehenden Informationstechnik, da mit zunehmender Leistungsfähigkeit der IT durch intelligentes Ausprobieren die Ursprungsdaten auch ohne Verfügbarkeit des Schlüssels lesbar gemacht werden könnten. Eventuell könnten sogar inhaltliche Veränderungen unentdeckt bleiben.
Elektronische Signaturen haben ein Verfallsdatum
Aus diesem Grund sind die Zertifikate (elektronische Personalausweise), die auch den Algorithmus und den Schlüssel definieren, mit einem Gültigkeitszeitraum – einer Art Verfallsdatum – versehen. Gültigkeitszeiträume – typischerweise zwei bis drei Jahre – sind mit einem gewissen Risikospielraum ausgestattet, so dass sie gegebenenfalls auch für die gleichen Algorithmen einfach verlängert werden. Andererseits können sicherere Varianten eingeführt werden, noch bevor der alte Algorithmus geknackt ist. Wichtig ist dabei zu beachten, dass die erfolgten Signaturen rechtlich nicht ungültig werden, sondern nur das Zertifikat. Nach dem Verfallsdatum sollte das Zertifikat nicht mehr für neue Signaturen verwendet werden.
Code geknackt
Trotz allem: Ist der Algorithmus einmal geknackt, sinkt das Vertrauen in die damit signierten Daten. Daher fordert das Signaturgesetz in § 6, »dass Daten mit einer qualifizierten elektronischen Signatur bei Bedarf neu zu signieren sind, bevor der Sicherheitswert der vorhandenen Signatur durch Zeitablauf geringer wird.« Noch konkreter wird die Signaturverordnung in § 17, die auch einen Zeitstempel fordert.
Ausgehend von einem zwei- bis dreijährigen Gültigkeitszeitraum eines qualifizierten Zertifikats und einer 30-jährigen Aufbewahrungspflicht von Dokumenten wird das Nachsignieren zu einer kontinuierlichen Aufgabe, die – obwohl automatisierbar – nennenswerte Ressourcen binden kann. Nicht nur dass der Speicherbedarf auch ohne Dokumentenwachstum immer größer wird, es stellt sich die Frage, wie man die Vielzahl an benutzten Signaturen/Zertifikaten verwaltet und archiviert. Ob langfristig die Lesbarkeit eines x-fach nachsignierten Dokumentes noch gegeben ist, wo doch die kontinuierlichen Änderungen der Ursprungsformate schon Problem genug sind, ist ebenfalls fraglich.
Vor diesem Hintergrund wurde 2001 das ArchiSig-Konsortium gegründet, bei dem IT-Häuser zusammen mit Anwendern und Hochschulen ein Verfahren für die Langfristsignatur erfunden haben. Die grundsätzliche Idee dabei ist, dass nicht unbedingt jedes Dokument jedes Mal komplett neu signiert werden muss, sondern die neue Signatur (genauer Zeitstempel) der jeweiligen Prüfsummen oder alten Signaturen ausreichend ist. Dabei können auch sämtliche Signaturen eines Bereiches, zum Beispiel eines virtuellen Ordners oder eines Speichermediums zusammengefasst zeitgestempelt werden, was der Versiegelung der bestehenden Siegel gleichkommt. Der Prozess ist beliebig wiederholbar und es kann ein komplettes Archiv durch ein Siegel geschützt werden. So entstehen Signaturbäume, die wesentlich effizienter umzusetzen sind als die Nachsignierung jedes einzelnen Dokumentes. Man kann auch von »Übersignieren« sprechen.
Aufgrund der enthaltenen Dynamik müssen die Signaturbäume gegebenenfalls getrennt von den zu schützenden Daten gespeichert werden. Die Medien selbst unterliegen aber wiederum einer Alterung. Da Bits auch einmal umkippen können und damit das Siegel bereits gebrochen wäre, muss dies verhindert werden. Die Lösung wird teilweise in der redundanten Speicherung auf verschiedenen Medien gesehen. Damit erhöht sich der Overhead.
Weiter stellt sich die Frage, wie man den Überblick über notwendiges und erfolgtes Übersignieren behält und was bei Änderungen passiert, zum Beispiel beim Löschen von Dokumenten auf Grund des Datenschutzgesetzes? Lassen sich langfristig wirklich komplette Zweige des Baumes mit unterschiedlichsten Algorithmen verifizieren? Zusätzlich wird das Problem nicht gelöst, dass viele Datenformate kaum langfristig lesbar sind. Deshalb wird teilweise vorgeschlagen, Datenformate beim Eingang zu konvertieren und die Signaturprüfergebnisse elektronisch zu speichern.
Gerechtfertigter Aufwand?
Dies ist sicher ein sinnvoller und praktikabler Ansatz. Spätestens an diesem Punkt beginnt man jedoch an dem Sinn des Verfahrens zu zweifeln. Wenn man also die Daten mit Signatur und Signaturprüfungsdokumentation direkt beim Eingang archiviert (was z.B. bei Rechnungen vom Gesetzgeber ohnehin gefordert wird), wozu dann noch der Aufwand mit Nach- oder Übersignieren?
Für revisionssichere Archivierung elektronischer Dokumente liegen organisatorisch-technische Lösungskonzepte und über 15 Jahre Erfahrung vor. Signaturen hingegen waren nie für die Langfristarchivierung gedacht und sind eben auch nur begrenzt geeignet. Vor diesem Hintergrund erschließt sich uns die Notwendigkeit für Nach- und Übersignieren nicht vollständig. Hier beginnt das »Resignieren«.