23.03.2015 (eh) Drucken
(4.7 von 5, 9 Bewertungen)

Xerox-Fall wird nun amtlich: BSI aktualisiert »TR-ResiScan«

  • Inhalt dieses Artikels
  • Technische Richtlinie »TR ResiScan« direkt im E-Government-Gesetz verankert
  • Milliarden von Dokumenten mit dem JBIG2-Verfahren gescannt – nun nicht mehr rechtssicher?

Wegen Scannerfehler: BSI aktualisiert »TR-ResiScan« (Bild: BSI)Wegen Scannerfehler: BSI aktualisiert »TR-ResiScan« (Bild: BSI)Der vom Systemingenieur David Kriesel vor rund drei Monaten auf dem Chaos Communication Congress 31C3 aufgedeckte Scanfehler in diversen Xerox-Geräten zieht nun amtliche Aktivitäten nach sich. So hat das BSI Bundesamt für Sicherheit in der Informationstechnik die »Xerox-Story« nun aufgegriffen, und empfiehlt, dass JBIG2 zukünftig nicht mehr verwendet werden soll. Dies betrifft nicht nur den verlustbehafteten Pattern-Matching-Modus bei geringer Auflösung, sondern gleich JBIG2 generell, schreibt Dr. Ulrich Kampffmeyer, Geschäftsführer von Project Consult, in seinem Blog

Damit müssten alle Scanner- und Softwareprodukte, die dieses Komprimierungsverfahren einsetzen, nunmehr geändert werden. Aber dies betrifft nicht nur Deutschland. Auch die Schweizer Koordinationsstelle für die dauerhafte Archivierung elektronischer Unterlagen (KOST) kommt laut Dr. Kampffmeyer zum gleichen Ergebnis, und lehnt JBIG2 auch gleich ganz ab. Die technische Richtlinie TR 03138 »ResiScan« wird nun laut BSI entsprechend überarbeitet.

Technische Richtlinie »TR ResiScan« direkt im E-Government-Gesetz verankert

»Da kommt einiges an Arbeit auf Anbieter und Anwender zu – wenn man das wirklich ernst nimmt. Zumindest in der öffentlichen Verwaltung in Deutschland dürften jetzt viele Fragezeichen in den Köpfen sein – sind doch TR 03138 und TR 03125 über das Organisationskonzept elektronische Verwaltungsarbeit direkt im E-Government-Gesetz verankert«, schreibt Dr. Kampffmeyer. »Was tun mit den vorhandenen Lösungen, was tun in Zukunft? Aber ich möchte noch einmal darauf hinweisen, dass der Fehler nur bei sehr geringer Auflösung und der Wahl eines bestimmten Modus auftrat. Man schießt nun über das Ziel hinweg. Und – allein ein Xerox-Problem ist das wahrlich nicht.«

Denn: Verbieten eines Algorithmus hilft nicht. Elektronische Signaturen zu fordern, um aus den Scans »rechtssichere Dokumente« zu machen, hilft auch nicht. »Es geht um die Sorgfalt im Prozess selbst«, betont Dr. Kampffmeyer. »Aktivismus wie seitens BSI und KOST hilft nicht weiter.«

Milliarden von Dokumenten mit dem JBIG2-Verfahren gescannt – nun nicht mehr rechtssicher?

Gefordert ist mehr Qualität und Sorgfalt in den Prozessen der Informationsgewinnung und Informationsaufbereitung. Denn der eigentliche Skandal beim Xerox-Fall ist, dass bei tausenden von installierten Geräten niemand über Jahre die auftretenden Fehler bemerkt hat. »Und ich könnte mir auch vorstellen, dass es elektronisch signierte fehlerhafte Dokumente gibt – die nun mehr als beweiswerterhaltend und rechtssicher einzustufen sind«, moniert der Unternehmensberater. »Und, damit sind wir bei der abschließenden Frage: Was machen wir denn mit allen den Milliarden Dokumenten, die mit dem JBIG2-Verfahren gescannt wurden?« Sind diese nun – ob mit oder ohne Signatur – alle nicht mehr »rechtssicher«?

.
Kommentare (1)
23.03.2015 - UKampffmeyer

hmmm - vielen Dank für den Beitrag, aber auf eines muss man noch hinweisen: David Kriesel hat den #XEROX_bug bereits im Juli 2013 entdeckt (www.dkriesel.com/blog/2013/0802_xerox-workcentres_are_switching_written_numbers_when_scanning) und auch in 2013 umfangreich publiziert. Aber in Bezug auf das BSI und die ResiScan geht es auch nicht so sehr darum, wann reagiert wurde, sondern dass mit dem Begriff "rechtssicher" dem Anwender suggeriert wird, man müsse nur eine bestimmte Technik einsetzen, dann sei man auf der sicheren Seite. Die aufgezeigte JBIG-Problematik macht deutlich, dass dem nicht so ist.
Ulrich Kampffmeyer


Special
»ECMguide.de-News«
powered by:
Kodak alaris