TR 03138 RESISCAN gerät immer mehr in die Kritik
3. September 2015 15:08 Uhr | Dr. Ulrich Kampffmeyer | Permalink
Ja, ja, die geliebte Resiscan – auch BSI TR 03138 genannt. Inzwischen mehrt sich die Kritik – auch Wirtschaftsprüfer und andere namhafte Unternehmensberatungen positionieren sich jetzt gegen den Overhead des Klassifizierens und den Unsinn des Signierens. Doch reicht dies? Ist die TR 03138 nicht nur ein kleiner Teil des großen Problems mit der QES?
In den vergangenen Jahren gab es hier bei uns und in der XING-Gruppe "Information & Document Management" mehrfach Diskussionen, warum das Signieren beim Scannen keinen Sinn macht (Liste siehe unten). Das Scannen mit elektronischer Signatur gibt es im Bereich der Sozialversicherungen schon länger, wurde aber erst durch die TR 03138 RESISCAN "Ersetzendes Scannen" formalisiert und in weitere Standardisierungen (z.B. Organisationskonzept elektronische Verwaltungsarbeit, dort z.B. die elektronische Akte) und Gesetze (z.B. das E-Government-Gesetz) eingebettet. Inzwischen wird versucht, die Anforderungen von zunächst den Bundesbehörden auf die Länder und ihre Verwaltung aber auch vermehrt auf die freie Wirtschaft auszudehnen. In der Branche der Dokumentenmanagement- und Scanning-Anbieter wurde diese Technik einfach hingenommen, bot sie doch die Möglichkeit, mehr Komponenten und Service zu verkaufen – und mit dem Kunden eine langfristige Bindung einzugehen. Wer einmal mit dem Signieren und regelmäßigen Nachsignieren angefangen hat, kommt davon kaum noch los – es sei denn, er igoriert die "Beweiswerterhaltungsargumente". Das Scannen mit qualifizierter elektronischer Signatur, mit einer entsprechenden Klassifikation des Schutzbedarfes nach Dokumentenklassen und dem Nachsignieren zum Erhalten der sogenannten "Rechtssicherheit" ist eine deutsche "Sonderlocke" erster Güte, die uns vom Rest der Welt abkoppelt. Der Argumente gegen das Signieren gibt es viele – beginnend dass die signierende Person nicht der Ersteller des Dokumentes ist über die mangelnde Qualitätskontrolle bei Massensignaturverfahren bis hin zur Entwertung der QES durch die Idee des "Weichwerdens über die Zeit". Das Signieren beim Scannen ist unnötig wie ein Kropf – wie wir das bei PROJECT CONSULT bereits seit Jahren immer wieder schreiben (Liste siehe unten).
Auf E-Government-Computing fasst ein Artikel mit dem Titel "Der Teufel steckt in Detail" die Argumente gut zusammen. Dazu gibt es auch einen Artikel auf ECMguide, der auf das Positionspapier von PWC und Zöller&Partner referenziert.
Ich hoffe, der Kritik schließen sich noch mehr Leute an. PROJECT CONSULT tut dies schon seit Zeiten vor Erscheinen von BSI TR 03125 und BSI TR 03138!
Immerhin haben wir auch in unserer XING-Gruppe wiederholt auf die Unzulänglichkeiten und Unangemessenheit der TR 03138 Resiscan hingewiesen und dort Unterstützung von zahlreichen Diskussionsteilnehmern erfahren. Weiterer Widerstand ist dringend erforderlich, da auch versucht wird, außerhalb der öffentlichen Verwaltung in der freien Wirtschaft das Scannen mit Signatur schmackhaft zu machen – bis hin zu Musterverfahrensdokumentationen nach GoBD, die auf die TR 03138 verweisen. Bei steuerrechtlichen und handelsrechtlichen Belegen spielt das Signieren keine Rolle.
Was etwas untergeht, ist, dass die Resiscan-Richtlinie nur Teil eines größeren Gebildes rund um die qualifizierte elektronische Signatur ist. Man muss also tiefer graben, um an die Wurzel des "Übels" zu gelangen: die qualifizierte elektronische Signatur. Mit viel Kosten für die Anbieter eingeführt, nicht richtig in Fahrt gekommen und jetzt versucht man sie überall reinzubringen, um doch noch etwas Profit aus der deutschen Sonderlocke QES zu schlagen.
Das eigentliche Problem ist allerdings nicht die BSI TR 03138 Richtlinie selbst, sondern die gesetzliche Verankerung im E-Government-Gesetz von 2014, die zahlreichen Behörden dieses unsinnige Verfahren auferlegt. Aber sie betrifft durchweg nicht alle in der öffentlichen Verwaltung, die jetzt mit dem Thema "angespitzt" werden, und schon garnicht die Privatwirtschaft. Das Signieren gehört generell aus den Scan-Prozessen raus!
Also lassen Sie uns einen Schritt weitergehen als nur die TR 03138 Resiscan überarbeiten zu wollen. Eine Überarbeitung wird nämlich nichts bringen. Das haben wir auch bereits bei der TR 03125-VELS erlebt, aus der nach Überarbeitung die TR-ESOR wurde. Gleicher Tenor und man hatte alle mitwirkenden Kritiker durch ihre Mitarbeit am neuen Werk "eingefangen". Die TR-ESOR ist der Kern des Themas "Nachsignieren" und findet sich so auch in der TR-Resiscan. Es gilt die unsinnige Verwendung der qualifizierten elektronischen Signatur generell anzugreifen – nicht nur bei der erwähnten Regelungen zum Scannen. Die Harmonisierung auf europäischer Ebene bietet hierfür die Chance, gleich im Signaturgesetz für 2016, die richtigen Weichen zu stellen. Man wird sich zwar nicht von der deutschen Variante trennen wollen, aber man sollte den Einsatz in die Schranken weisen.
Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!
Urich Kampffmeyer
Artikel und Diskussionen kontra Signatur beim Scannen
# 2003 Qualifiziert elektronisch signieren und archivieren [PROJECT CONSULT]
# 2003 Übersignieren notwendig? [PROJECT CONSULT]
# 2006 Nachsignieren … auf ein Neues! [PROJECT CONSULT]
# 2007 Nachsignieren [PROJECT CONSULT]
# 2009 Vertrauenswürdige Archivierung nur mit elektronischer Signatur ? [XING]
# 2010 De-Mail, E-Post-Brief oder gar keine E-Mail … [XING]
# 2010 Sturm im Wasserglas [PROJECT CONSULT]
# 2010 Nachsignieren und die Rolle der deutschen Normung [PROJECT CONSULT]
# 2011 Vernichtung gescannter Belege nur bei Verwendung der elektronischen Signatur zulässig? [PROJECT CONSULT]
# 2011 Nachsignieren … auf ein Neues! [PROJECT CONSULT]
# 2012 Nachsignieren: nochmal auf eine Neues! [PROJECT CONSULT]
# 2013 BSI veröffentlicht TR 03138 Resiscan [PROJECT CONSULT]
# 2013 Bundestag verabschiedet E-Government-Gesetz [PROJECT CONSULT]
# 2013 Simulierte Grichtsfälle sollen Beweiskraft gescannter Dokumente klären – das Signieren lässt grüßen [XING]
# 2013 Rechtsgültigkeit gescannter Dokumente? Eine Simulation in Nürnberg [PROJECT CONSULT]
# 2013 BAG Bundesarbeitsgericht verurteilt Angestellte zum Einsatz der elektronischen Signatur bei ihrer Arbeit [PROJECT CONSULT]
# 2014 Das Wiesbadener Urteil zum Scannen mit Signatur – Beamte an die Scanner [PROJECT CONSULT]
# 2015 Scan-Geräte fälschten jahrelang Daten beim Scannen und keiner merkte was [XING]
# 2015 Resiscan … eine never ending Story [XING]
Dran bleiben oder noch besser: einfach ignorieren
Der immer wieder aufkommende Versuch in Deutschland in der IT Normen und Gesetze einführen zu wollen folgt dem Sprichwort “Und wenn ich nicht mehr weiter weiß, dann verfasse ich einen Normen…”. Oh, das darf ich jetzt nicht fertigschreiben.
Resican ist unsinnig
Mit Resiscan wird weiter versucht, nach 18 Jahren Signaturgesetz doch noch einen Einsatzfall für die qualifizierte Signatur zu finden. Dabei kann man die Technologie als gescheitert ansehen:
– die Trusctcenter von Post, Telekom und dne Banken haben sich aus dem Massengeschäft zurückgezogen.
– den Bürgern wurden mit der Gesundheitskarte und der Jobcard (Projekt Elena) Versprechungen gemacht, sie bekämen Signaturmöglichkeiten. Dieses Versprechen war ein leeres Versprechen der Bundesregierung.
Im Finanzministerium, wo es um Geld geht und nicht um Wirtschaftsförderung für eine winzige Nische, die nicht aus dem Quark kommt, hat man im §14 Umsatzsteuergesetz auf qualifizierte Signaturen verzichtet, weil sie nicht genutzt wurden und nur die Digitalisierung behindert haben.
Das Versprechen der Beweiswerterhaltung ist grober Unsinn. In der Schweiz gelingt es Richtern, Betrüger, die eine E-Mail verändern, wegen Urkundenfälschung in den Knast zu stopfen. Den Schweizern reicht der Beweis des Augenscheins (gibt es in Deutschland auch: im Strafrecht richterliche Augenscheinseinnahme (§ 86 StPO) und im Zivilrecht Augenschein (§§ 371 ff. ZPO)).
An der Verfassung vorbei, die unserem staatlichen Handeln Verhältnismäßigkeit abverlangt, bringt man mit Resiscan aber absurde bürokratische Krebsgeschwüre in Umlauf, die keinen Nutzen stiften, aber Staat, Bürger und Wirtschaft enorme Kosten verursachen würden, wendete man sie an, aber in Wahrheit nur die Digitalisierung behindern durch technischen unverhältnismäßigen Exzess.
Deutschland ist mittlerweile Schlusslicht in der Digitalisierung.
Was ist zu tun?
1.) Das BSI auflösen und zwei Behörden neu gründen. Eine kann sich weiter mit illegaler Spionage beschäftigen, wie der Vizepräsident des BSI, der vom BND kommt und regelmäßig zur NSA fährt, um dort Beihilfe zur Spionage für eine fremde Macht zu leisten.
2.) Eine von Spionen (auch die aus der Gründungsmasse, der ehemaligen Abteilung 6 des BND) freie Behörde, deren Mitarbeiter sich nur um Sicherheit von Behörden, Bürger und Wirtschaft kümmern, nicht aber um Spionage, Wirtschaftsspionage und Totalüberwachung der Bevölkerung. Für diese Mitarbeiter Zusatzausbildung: Verpflichtend Verfassungskunde (Siehe Verhältnismäßigkeit) und Betriebs- und Volkswirtschaft. In Zukunft dann nur noch Regelungsvorschläge, die extern validierte WiBes (Business Cases) vorlegen können. Externe müssen aus Bürgern, Wirtschaft und Staat rekrutiert werden, also den Opfern.
3.) Benchmark: wie macht das Ausland das?
– warum gibt es Urkundenfälschung bei E-Mails in der Schweiz und in Deutschland nur ein Kavaliersdelikt wie das Fälschen von Dissertationen in Bayern ohne Strafbewehrung?
– warum sind Verträge in UK rechtlich bindend, wenn als Unterschrift eine US-ASCII Zeichenkette des Namens oder eine eingescannte Unterschrift (also eine einfache Signatur nach EU-Signaturrichtlinie) eingefügt ist?
– warum soll man noch deutschnationale Regulierungen verfolgen, wenn die EU sich nicht noch einmal von Deutschland verarschen und verhöhnen lässt, wenn man einerseits nach Artikel 8 EU-DLR unterschreibt und andererseits EU-Ausländer vorsätzlich mit bösem Willen (wie Bayerns CIO im IT-Planungsrat) von der Umsetzung ausschließt und sie eben nicht einfach und online ihr Gewerbe anmelden lässt? Wer kommt für den Schadensersatz auf, wenn wir jetzt noch deutschnational ausrüsten und dann die EU was anderes fordern wird (wie wir das auf vielen Rechtsgebieten haben, die in D die Digitalisierung behindern, siehe z.B. das deutschnationale ZugFERD, das eher wieder ein lahmer Gaul werden wird).)
– welche Erlebniswelt haben die USA und China? Es ist völlig unzumutbar für die deutsche Wirtschaft, wenn über 180 Nationalstaaten auf der Welt nationale Sonderlocken basteln, die die Globalisierung behindern und den Bürokratieaufwuchs maximieren.
– Warum kann man im Ausland Belege einfach mit dem iPhone fotografieren und rechtsverbindlich anhängen, in Deutschland aber sich auf die Suche nach Anbietern für Lösungsmöglichkeiten für qualifizierte Signaturen auf einem zusammengebrochenen Markt machen?
Wenn die Fragen nach 18 Jahren immer noch nicht ordentlich beantwortet werden, warum den Deutschen mehr Aufwand aufgebürdet wird als in anderen freien und unfreien Ländern (selbst in kommunistischen Diktaturen), ist das Spielzeug der Techniker mit denen sie Juristen hereingelegt haben, einfach rundum abzulehnen. Der Boykott der Digitalisierung ist jetzt genug. Wir brauchen keine weitere Behinderung.
Ich bin für Ignorieren
Hallo Dr. Kampffmeyer, ich kann mich nur Herrn Rösch anschließen: EINFACH IGNORIEREN ! Zumindest dort, wo es sich nicht um staatliche Bereiche handelt. Immerhin kommt ja einige Kritik inzwischen aus den staatlichen Stellen selbst, da braucht man anscheinend von außen gar nicht dran rühren. Ansonsten möchte ich an dieser Stelle mal ein paar Gedanken loswerden, die das ganze Thema ELEKTRONISCH SIGNIEREN, egal ob beim Scannen, Archivieren, bei der Abgabe einer Willenserklärung oder bei einer Bestätigung ohne Einlassung auf die vom BSI aufgestellten Behauptungen beleuchten. Lässt man sich nämlich auf die Ebene der RESISCAN Diskussion ein, dann hat man nur als Berater etwas davon. Einige dieser Berater sind nämlich genau DIE Leute, die bereits mit der TR-ESOR als Speichellecker des BSI (der damalige VOI als Steigbügelhalter der TR-ESOR 🙂 ) ihr Ziel erreicht haben … zuerst noch mehr Verwirrung durch eine TR-Überarbeitung stiften (übrigens schon damals die Fachleute ausgrenzend) und dann noch mehr Geld durch angeblich “neutrale” Beratung der verwirrten Kunden zu verdienen. IT – Beratung ist inzwischen ein ziemlich mieses Geschäft. Seriös sind nur noch wenige Berater. Quatschen die nämlich den Kunden nicht nach dem Mund, sind sie raus aus den Projekten. Für die Neulinge in diesem Bereich: Ich hatte bereits 2003 prophezeit, dass die QES für elektronische Rechnung Unfug ist und irgendwann fallen wird. Es hat immerhin fast 10 Jahre gedauert … aber ich kann nur wiederholen … solange das BMJ (nicht das BMI) und der BGH daran festhalten, dass die Unterschrift einer Urkunde ( == “verkörperte” Gedankenerklärung ) bei elektronischen Dokumenten mit gesetzlicher Anforderung der Schriftform nur durch eine QES ersetzt werden kann (siehe BGB §126 a), kommen wir auf der Ebene der sogenannten “gesetzlichen” Schriftform und den gesetzlichen Verankerungen der QES nicht weiter. Dort liegt der Hase im Pfeffer … die Probleme sind nicht in der Signatur selbst, sondern u.a. die durch per Gesetz notwendige Zuweisung eines SignaturPRÜFschlüssels (Public Key) und der daraus technisch resultierenden Zuweisung des Signaturschlüssels (Private Key) an den Benutzer, vor allem aber die Verwaltung der zeitlich begrenzten Zertifikate (über die erteilte Zuweisung). Weitere Probleme entstehen aus der sogenannten Nachsignierung von archivierten Signaturen (mit dem Private Key verschlüsselte Hash-Werte), da die Private Keys theoretisch zu einem späteren Zeitpunkt aus den Public Keys errechnet werden können, dann der Inhalt des elektronischen Dokuments verändert und mit dem errechneten Private Key erneut signiert und damit gefälscht werden kann. Es sei der Hinweis erlaubt, dass dieses Problem bereits mittels Nutzung sogenannter revisionssicherer Archive längst gelöst wurde. Erst bei Einsicht der Politiker, dass sie von der sogenannten Krypto-Mafia (PostCom, Bundesdruckerei, secunet, und, und, und …) im ersten Jahrzehnt dieses Jahrtausends massiv missbraucht wurden, indem ihnen selbst von solch Irrenden wie Otto Schily weisgemacht wurde, nur mit zertifikatsbasierten digitalen Signaturen könne man Terroristen identifizieren, gibt es vielleicht ein Umdenken. Noch heute hält die Angst, etwas falsch zu machen, die meiste Kritik unter dem Topfdeckel. Erst bei massivem Leidensdruck werden die Normen- und Verordnungsfanatiker in ihre Schranken gewiesen werden. Dass Leute wie […] und […] sich scheinbar kritisch zu RESISCAN äußern, ist reine Augenwischerei, vielleicht ist den Protagonisten ihr seltsames Verhalten selbst nicht bewusst.
[ [Namen] auf Wunsch der Genannten am 20.02.2018 17:29:50 von admin entfernt]
Schon wieder: die ResiScan
In der Fachzeitschrift E-Government Computing findet sich ein länglicher Artikel "Wichtige Antworten zur TR-Resiscan" http://www.egovernment-computing.de/wichtige-antworten-zur-tr-resiscan-a-506732/ .
Alte und neue Argumente für das Scannen mit Signatur.
Oh arme öffentliche Verwaltung in Deutschland 🙁
Erst mal ganz klar an die freie Wirtschaft – Finger weg von diesem Scheiß, den braucht keiner.
Liebe öffentliche Verwaltung – letzte Seite des famosen Pro-ResisScan-Artikels lesen: nächstes Jahr kommt eIDAS und damit die Anerkennung einfacherer, ausländischer Signaturen auch in Deutschland. Die qualifizierte elektronische Signatur ist dann tot! Für die Nutzung durch Verwaltungen und Unternehmen wird es dann "Siegel" geben, die man Server-basiert einsetzen kann.
Ach ja – Thema Massensignaturen – den Schuss mit dem #XEROXbug nicht gehört? Sicherheit in Bezug auf Lesbarkeit, Vollständigkeit und Richtigkeit, auf Authentizität und Integrität, gibt es durch visuelle Kontrollen nicht – und schon garnicht, wenn nur jedes 50ste Dokument mal flüchtig angesehen wird.
Und bitte – keine Signaturen in Archiven und kein Nachsignieren. Ebenso wie die TR 03138 gehört auch die TR 03125 ersatzlos gestrichen! Scannen wird durch Signieren weder sicherer noch besser noch rechtskräftiger.
P.S. … aber es besteht Hoffnung. Nein, nicht durch die jüngst laufende Überarbeitung der TR Resiscan sondern durch die Erkenntnis, das originär elektronische Informationsobjekte auch die elektronsichen Originale sind, und dass Ausdrucke dieser originär elektronischen Originale keine rechtliche Bindung haben. Dafür müssen wir allerdings erst ein weni9g an unseren uralten Gesetzen arbeiten und uns von der proprietären Signaturarie verabschieden.
Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!
Resiscan ein Produkt von Digitaliserungsboykotteuren?
Als ich den Artikel geelsen habe, dacht ich, dass sich da Digitalsierungsboykotteure austoben mit der klaren Message: "Lasst die Finger weg vom dem digitalen Scheiß! Nehmt Papier!"
Es ist absurd, was sich da deutsche Verhinderer im nationalen Alleingang ausdenken. Als Designkriterium wird immer die Beweisfähigkeit angeführt. Dabei war schon bei der Urkunde der Beweiswert zweifelhaft. Niemand kann sagen, ob die Unterschrift von dem Behaupteten ist, aber weil es auf Papier ist, muss es der Richter als Beweis würdigen. Es wird also der Gerichtsprozess im Streitfall als Maß aller Dinge genommen, statt des Nutzens im normalen Geschäftsprozess.
Das ist eine perverse Entartung, die sich offenbar nur Deutsche ausdenken können. Andere Länder haben solchen Mist nicht. Deshalb haben die auch 70% Nutzer bei E-Governmentangeboten, während D nur 34 % hat, Tendenz nachlassend. Hier sollte der Normenkontrollrat im Kanzleramt ansetzen. Hier werden Normen geschaffen, die der Bundesrepublik Deutschland nachhaltig schaden. Aber die werden wohl erst wach, wenn ein paar hunderttausend Menschen auf der Straße sind. Vorher lässt man das Land enthemmt verrotten. Ich wäre mal gespannt auf eine Begründung, warum nur Deutsche so einen enthemmt bürokratischen und nutzlosen Mist brauchen und der Rest der Welt nicht? Sind da nur frei herum laufende Irre am Werk? Aber bei uns kann man wohl auch ohne Begründung und ohne WiBe Gesetze und Verordnungen durchdrücken. Gegen die Bürger, gegen die Wirtschaft.
Nach dem Obama Motto: "Yes we can!" Wir bürokratisieren, weil uns niemand in den Arm fällt in unseren absurden, weltfremden Nische.
Hätte man besser mal nichts gesagt..
Interessanter Artikel erneut, doch leider auch wieder – zumindest aus meiner kommunalen Sicht – mit einigen Schwachpunkten und der typischen Überstilisierung der RESISCAN zum Allheilsbringer behaftet.
Die Wirtschaftlichkeit des ersetzenden Scannens wird angesichts der in der RESISCAN geforderten personellen und technischen “Knebel” wohl niemals zum Tragen kommen. Zumal die oft (nicht hier) genannten “entgangenen Einsparpotenziale durch Prozessoptimierung” als Kostenfaktor – gerade im Zusammenhang mit der Einführung eines RESISCAN konformen Scanprozess – in meinen Augen geradezu lächerlich anmuten. Art. 20 III GG entbindet mich zudem auch nicht generell von wirtschaftlichen Überlegungen, wie sie auch das EGovG an diversen Stellen immer wieder hervor hebt (§ 7 I S. 3, § 6 S. 2, § 9 II ), und kettet die Kommunalverwaltung daher auch nicht an eine schlichte Empfehlung des BSI.
Fraglich bleibt, inwiefern die Verwaltung von Land und Kommune RESISCAN überhaupt beachten muss. Aus praktischen Gründen sicherlich nicht. Aus rechtlichen meines Erachtens ebenso wenig. Wo § 7 EGovG den “Stand der Technik” für Behörden des Bundes (kein Land, keine Kommune!) fordert, ist die RESISCAN am Ende in der Gesetzesbegründung (d. h. kein Gesetzesstatus!) nur als Beispiel genannt. Zudem könnte ich auch andere Schutzmechanismen einsetzen (RESISCAN S. 26 Fn. 15).
Der von den Autoren als weiteres Argument angeführte § 55b II VwGO gilt nicht für Verwaltungsakten sondern nur für Prozessakten (vgl. u. a. Köbler JurPC Web-Dok. 51/2015, Abs. 14). Den erwähnten Urteile des VG Wiesbaden wird in der Rechtsliteratur (z. B. Kurznachricht zu “Elektronische Verwaltungsakten und verwaltungsgerichtliche Kontrolle” von Vors. RiBVerwG Prof. Dr. Uwe Berlit, original erschienen in: NVwZ 2015 Heft 4, 197 – 200 und Skrobotz, jurisPR-ITR 5/2015 Anm. 2.) zu recht nicht gefolgt. Dem zu folgen ginge sogar noch über die Anforderungen der RESISCAN hinaus! Hier scheint es schon weniger um Recht sondern um handelnde Personen zu gehen.
Interessant ist der Gedanke des Outsourcings, der jedoch bei näherer Betrachtung ebenfalls keinen Mehrwert bringt. Die Aufgabe der Schutzbedarfsanalyse – die im Artikel meines Erachtens beinah bagatellisiert wird – kann nicht ausgelagert werden und stellt bei allen technischen Herausforderungen die erste und größte Hürde für unaffine Verwaltungen dar. Wie soll ich den Schutzbedarf von etwas einschätzen (Post), das ich noch nicht einmal kenne? Wie soll ein Mitarbeiter in der Poststelle das verantworten können, wenn er (bisher) noch nicht einmal die Post öffnen durfte? Für eine externe Lösung gibt es zudem aktuell nur zwei zertifizierte Lösungen für den öffentlichen Sektor. Da ist die Marktlage schwierig. Was hier verschwiegen wurde ist auch der nachgelagerte Aufwand. Wer TR RESISCAN sagt, muss auch TR-ESOR sagen!
Hätte man besser mal nichts gesagt…
Unwichtige Antworten zur TR-Resiscan
“Als der Herr das las, wandte er sich ab und weinte bitterlich”,
so möchte man sinngemäß zitieren, wenn man den “länglichen Artikel” in der Fachzeitschrift E-Government Computing ausführlich studiert.
Das verzweifelte Festhalten an der QES, trotz der im Nachgang zur “Beweisführung” der DATEV zusammen mit der Uni Kassel geführten Diskussionen und den Erkenntnissen um den #XEROXbug, ist nicht zu erklären. Schon gar nicht, wenn die eIDAS vor der Tür steht.
Wieso sollte jemand qualifiziert digital unterschreiben, dass ein “vorab bearbeitetes” Dokument vollständig korrekt durch den danach durchgeführten Scan abgebildet wurde? Oder kommt hier doch wieder die “Beurkundung” zum Tragen? [Die Diskussion um ‘Beamte an die Scanner’ hatten wir hier doch auch schon.]
Ich schließe mich dem Aufruf gerne an:
Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!
Kopfschüttelnd aber mit Zuversicht in die neue Woche.
Beste Grüße
Ulrich Schmidt
Wichtige Antworten zur TR Resiscan
Ich habe mir den Artikel aus Neugierde reingezogen und bin echt baff. DEN Stil kannte ich doch und war nicht besonders erstaunt, dass sich als einer der Autoren ein gewisser Steffen Schwalm von Bearingpoint entpuppte. Scheinbar alles sehr logisch, aber leider unwahr … ResiScan ist bis jetzt wohl kein Standard …
Steffen Schwalm ist neben Arno Fiedler einer derjenigen Lobbyisten, die nach 15 Jahren noch immer auf Signatur-Veranstaltungen und in Gremien rumspringen und als Moderator oder schlicht als Interessenvertreter unbedarften Ministerialbeamten irgendwelchen Krypto-Müll in die Ohren labern und die QES schönreden.
Realitätsnahe Betrachtungen aus Sicht der Anwender oder der Industrie können Sie bei den beiden Herren vergessen, schließlich leben solche Leute von staatlichen Förderungsgeldern und immer wieder neuen Studien. Dass Herr Fiedler u.a. auch beim TeleTrusT Signaturtag dann in Erscheinung tritt, darf nicht verwundern. Armes Deutschland, was aufgrund dieser Krypto-Lobbyisten ein Steuergeld und vor allem Volksvermögen verplempert wird …
@ Dr. Kampffmeyer … diese beiden o.g. Namen muss man sich merken, denn genau diese Herren kann man nicht bekehren, sie sind aufgrund eigener Interessen derart von sich und ihrer Sache überzeugt (von oben überstülpen ist die Masche), da kommen Sie nicht ran. Genau solche Leute sind die katastrophale Schnittstelle, über die Ministerien und Gesetzesgeber falsch informiert werden. Solche Leute kann man nur diskreditieren, indem man der Öffentlichkeit aufzeigt, was diese Leute als Lobbyisten uns für einen Mist aufdrücken wollen. Eigentlich müsste man sie für den angerichteten Volksschaden haftbar machen.
Noch ein RESISCAN Fan
Heute wurde mir der Artikel “Integrität und Athentizität von gescannten Dokumenten” zugespielt
http://www.datakontext.com/download/OED2015/#/36
Keine neuen Informationen, aber immer wieder die gleiche mehr als wage Herleitung “Stand der Technik = TR RESISCAN”. Der Knaller komt aber im letzten Satz: “Vielleicht gelingt es TR-RESISCAN und TR-ESOR im Doppelpack, das papierlose Büro doch noch zu verwirklichen.” Ohne Worte.
TR 03138 ResiScan wird überarbeitet
Ja, die geliebte TR ResiScan wird überarbeitet. Aber die kursierende Fassung 1.1 zeigt nur kosmetische Änderungen. Da tut es mir leid für diejenigen Kollegen, die an der Überarbeitung beteiligt sind: nach der Verabschiedung sind sie dann "verhaftet" – d.h., da sie selbst mitgearbeitet haben, können sie nicht mehr gegen die TR 03138 argumentieren. Mitgefangen, mitgehangen.
Angesichts des Werbeartikels "Pro-Resi" in der E-Government Computing meint Peter Rösch auf Facebook lakonisch "Sollte man öffentliche Stellen nach solchen Publikationen wegen Falschaussage verklagen? Wo bleibt die kritische Würdigung des BITKOM und der DATEV?"
Klage wegen Falschaussage
Der Gedanke mit einer Klage (-Androhung) ist gar nicht so abwegig, zumindest hätte ich dafür Verständnis … hatte ich es doch einmal selbst gewagt, dem BSI zu drohen:
Nachdem das – damals sehr wohlwollende – BMWI in 2004 die von mir (in Teilen) initiierte Änderung des Signaturgesetzes auf den Weg gebracht hatte und diese Änderung dann in 2005 in Kraft getreten war, hatte ich dem BSI 2006 nach ca. fünf vergeblichen moderaten Versuchen gedroht, es auf Schadensersatz zu verklagen, wenn es nicht die gemäß EU-Richtlinie von 1999 schon immer falsche und trotz 1.SigÄndG weiterhin auf der BSI Web-Site aufgestellte Behauptung, für fortgeschrittene Signaturen müsse man dem Unterzeichner wie bei einer QES einen Signaturprüfschlüssel zuordnen, von ihrer Web-Site nehmen würde. Nach 3 Wochen war die Falschbehauptung dann verschwunden.
Ich bin mir dessen bewusst, dass mein etwas rustikaler Stil so Manchem nicht gefällt, doch diesen habe ich mir erst nach Erkenntnis über das skrupellose, ignorante und hochmütige Verhalten der von mir als Krypto-Mafia bezeichneten Unternehmen und Organisationen angeeignet.
Nur durch fundiertes Fachwissen, Kenntnis der entscheidenden Gesetze (auch ich kenne nicht alle im Detail) kann man dagegen halten. Man muss dann aber konsequent dort hinein beißen, wo es wehtut. Freunde findet man dabei jedoch nur selten.
Und wer macht da schon mit? So gibt es im heutigen VOI selbst ernannte IT-Rechtsanwälte, die noch immer nicht verstehen, von was ich überhaupt rede … was diese nicht davon abhält, mich hinter meinem Rücken zu diffamieren, übrigens einer der Gründe, warum ich mich nach Rettung des VOI als selbständige Organisation ebenfalls von dieser Lame Duck verabschiedet habe.
Was ist eigentlich aus der Überarbeitung der Resiscan geworden?
Es hieß, die TR 03138 ResiScan wird überarbeitet.
Sieht man sich aber die letzten ausgestellten Zertifikate an (z.B. BSI-K-TR-0233-2016 für die Deutsche Telekom vom 22.03.2016), dann wird immer noch nach der alten BSI TR-03138 – Technische Richtlinie Ersetzendes Scannen BSI TR-03138 – Technische Richtlinie Ersetzendes Scannen Version 1.0 vom 20. März 2013 und dem Anhang BSI TR-03138-P – Technische Richtlinie Ersetzendes Scannen, Anlage P: Prüfspezifikation Version 1.1 vom 04. Dezember 2014 gearbeitet.
Und was wurde aus der Initiative von Bernhard Zöller (http://bit.ly/Weg-mit-Resiscan)?
Aktuell sind nach Resiscan zertifiziert:
… und das wars auch schon.
Stellt sich heute die Frage – was passiert nach dem 1.7.2016, wenn die europäische eIDAS-Richtlinie auch in Deutschland gilt? Machen dann die "ResiScan-Fans" einfach so weiter wie bisher? Die Zertifikate gelten ja noche ine Weile länger.
Lösung!
So und welche Lösung kann ich den nun meinen Kunden anbieten, die Ihre Daten speichern wollen, eine Lösung die “rechtskonform” ist und vor allem praktikabel. Und mit welchem Dienstleister kann ich dies hier in München abbilden?
Scannprozess sicher gestalten
Sehr geehrter Herr Schulze,
bei den meisten Anwendern tut es eine ganz normale Standard-Scan-Strecke eines professionellen Anbieters.
Nur in wenigen Bereichen im Umfeld des Sozialgesetzes und der öffentlichen Verwaltung ist TR 03138 Resiscan noch ein Thema. Aber auch dort wird ein Wandel eintreten, da durch die europäische Richtlinie eIDAS, seit 1.7.2016 deutsches Recht, auch andere Formen von Signaturen wie Stempel, Siegel etc. erlaubt sind. Die qualifizierte elektronische Signatur deutscher Prägung macht beim Scannen überhaupt keinen Sinn. Sie verbessert nicht die Qualität und sichert schon garnicht die “Rechtssicherheit” oder “Rechtskonformität”. Siehe hierzu die Hunderttausende von Dokumenten mit Zahlendrehern beim XEROXbug, die die visuelle Kontrolle ad absurdum führen und über sieben Jahre lang nicht bemerkt wurden. Am Besten man vergisst das Signieren beim Scannen ganz, denn die Auswirkungen sind sehr langfristig. Wenn Sie z.B. einen Kunden haben, der eine technische Dokumentation scannt und über 50 Jahre aufbewahren muss, dann müssten Se auch über die 50 Jahre das Zertifikat der Signatur durch Übersignieren/Nachsignieren gültig halten. Glauben Sie ehrlich, dass es diese Technologie hierfür in 50 Jahren noch gibt? Die elektronische Signatur wird hier nicht wie konzipiert und ursprünglich im Gesetz festgehalten verwendet. Das Signieren behindert den technischen Fortschritt.
Das Wichtigste sind die Prozesse, die Organisation rund um das Scannen. Wie sorgfältig wird vorbereitet, wie sorgfältig wird indiziert, wie professionell ist der technisch-organisatorische Gesamtprozess.
Nehmen Sie also eine gute Standard-Scan-Lösung, entwickeln sie sichere Prozesse, vergessen Sie die Signatur und denken Sie daran, eine technische Lösung kann nie rechtssicher sein, da sich das Recht über die Zeit – auch rückwirkend – ändert.
Professionelle Dienstleister für den Scan-Prozess und die revisionssichere Archivierung gibt es zahlreiche – auch in München. Etwas Recherche hilft.
Die neue TR 03138 RESISCAN
Die überarbeitete RESISCAN-Richtlinie ist am 2.3.2017 erschienen: http://bit.ly/TR03138-2017.
BSI Technische Richtlinie 03138
TR RESISCAN – Ersetzendes ScannenKürzel: BSI TR 03138 RESISCAN
Version:1.1
Mit den Basis-Modulen kann man leben. Das Thema “Signatur” kommt erst in den Aufbaumodulen. So richtig wurde eIDAS nicht berücksichtigt. Und die Sichtprüfung der Qualität beim Scannen soll immer noch Allheilmittel sein. Das Thema Verfahrensdokumentation wird ebenfalls betont. Innovative Ansätze wie das Erkennen der Dokumente auf Lesbarkeit anstelle Sichtprüfung, selbstdokumentierende Systeme mit automatisch gefüllter Verfahrensdokumentation, Einsatz von Siegel und Zeitstempeln anstelle der personengebundenen QES, revisionssichere Archivierung statt Nachsignieren … alles dieses vermisst man.
Alle Unterschiede und Auswirkungen demnächst hier.
Kritik an der neuen TR 03138 aus verschiedenen Sichten
In ihrem interessanten Artikel “Ersetzendes Scannen Kernelement im Gesamtkonzept einer elektronischen Aktenführung?” (JurPC WebDok. 48/2017, Abs. 1 - 73) haben Jochen Krüger, Christoph Sorge und Stephanie Vogelgesang darauf aufmerksam gemacht, dass das “ersetzende Scannen” nach BSI TR 03138 Resiscan eigentlich die elektronische Aktenführung verhindert. Dies hat sich auch mit der neuen TR 03138 vom März 2017 nicht geändert. Die E-Akte wird durch Resiscan generell in Frage gestellt, da Resiscan nur den „Stand der Technik“ definieren will (aber andererseits die Technik der QES und des Nachsignierens verlangt) und kaum verbindlich ist (wenn man sie richtig liest). Grundproblem ist weiterhin, dass in Deutschland Papier und elektronische Dokumente immer noch unterschiedlich behandelt werden. Da ändert auch die laufende Entfernung vieler Schriftformerfordernisse nach BGB §§ 126, 127 in zahlreichen Gesetzen und Verordnungen nicht viel daran.
Aus Sicht von PROJECT CONSULT fällt weiterhin auf, dass die „elektronische Akte“ eher verhindert wird als dass diese gefördert wird, da unnötige Hürden aufgebaut werden. Die Probleme liegen dabei nicht so sehr ind er Technik selbst als in den manuellen Prozessen und Unzulänglichkeiten der Einschätzung der Werthaltigkeit von Information. Bei der TR 03138 ist “Basis“ ohne “Signatur” bei der Integritätssicherung soweit „OK“, die „Aufbau-Module“ mit elektronischer Signatur QES sind aber nicht sinnvoll. Auch der Aufwand für die Bewertung nach Schutzklassen ist immer noch vorhanden. Das ganze Verfahren mit Signieren mit der QES ist nicht verhältnismäßig, wenn beide Parteien in einem Rechtsstreit das gleiche Dokument vorlegen müssen (da bei Empfänger und Absender vorhanden). Das Risiko einer nur elektronischen “Kopie” ist hier vernachlässigbar. Zumal in Prozessen immer erstmal nur Kopien vorgelegt werden und erst bei Abweichungen es ans “Eingemachte” geht. Sehr kritisch ist, dass die eIDAS-Richtlinie in der Resiscan nicht beachtet wird. man könnte nämlich durchaus Siegel und Zeitstempel anstelle der QES einsetzen, hat den Ärger mit dem Verfall der Zertifikate nicht und kann die Prozesse voll automatisieren. Auch wurden laufende Änderungen zum Wegfall der „Schriftform“ (BGB) nicht berücksichtigt. Es fehlen saubere Festlegungen oder zumindest Empfehlungen für die Berücksichtigung von „Farbe“ (siehe Wiesbadener Urteil) und die Problematik des Weglassens von Rückseiten, wenn diese “keinen Inhalt” (leer) oder immer gleichförmigen Inhalt (z.B. AGB) aufweisen.Was ganz immer wieder vergessen wird, am Ende des Resiscan-Prozesses folgt zwingend die Speicherung nach TR 03125 ESOR und damit das unsägliche Verfahren des Nachsignierens. Man bindet sich dauerhaft einen proprietären Technologie-Klotz ans Bein. So verwundert es auch nicht, dass moderne Alternativen sicherer Prozesse und Speicherung nicht berücksichtigt wurden.
Nur einige wenige Ansätze als Beispiele:
„Lesbarkeit“
Anstelle „visuelle Sichtprüfung“ OCR/ICR: wenn die Maschine den Inhalt fehlerfrei lesen kann, dann auch der Mensch dies lesen. Dass die visuelle Prüfung durch Scan-Kräfte nicht funktioniert, zeigte der XEROXbug.
„Integrität“
Absicherung der Integrität, Unverändertheit usw. durch Protokolle (Posteingangsbuch) mit Zeitstempel bei der Erfassung und Archivierung. Der Vergleich der sicher protokollierten und ebenso archivierten Eingangsdaten mit Größen, Datumangaben, Prüfsummen der erfassten Informationsobjekte erlaubt Nachweis der „Unverändertheit“ im Vergleich mit den Daten des gespeicherten Objektes(bessere Qualität als vermeintlicher „Schutz“ durch Signatur). Diese Protokolle oder Journale kann man auch gleich mit einem Zeitstempel signieren und so den zusätzlichen Nachweis führen, dass die Angaben im Protokoll nicht verändert wurden. Alles Grundprinzipien der revisionssicheren Archivierung.
„Vollständigkeit“
Künstliche Intelligenz erlaubt die strukturelle, textuelle, kontextuelle und inhaltliche Auswertung (Prüfen der Seitenzahlen, Auswerten des Textverlaufs über den Seitenumbruch, Checken der Kapitelzahlen, Abgleich mit gesicherten Datenbeständen, usw., usw.) des erfassten Schriftguts mit immer gleicher Sorgfalt. Doubletten wie auch “zusammenklebende Blätter” (Doppeleinzug) werden sicher ermittelt..
Nur nicht sauber verarbeitbare oder erkannte Objekte müssen dann in Nachbearbeitungs- und Qualitätssicherungsprozesse ausgesteuert werden. Der Erfassungsprozess selbst kann bis zum Wegschreiben auf dem Archivspeicher dann “dicht gemacht” und vor Manipulation geschützt werden. Sicherer, sauberer und nachvollziehbarer als dass die Ansätze der TR 03138 Resiscan je könnten.
Rechtsfragen bei elektronischer Aktenführung
Das Thema elektronische Akte wird immer wiederneu diskutiert. Die Grundübel – keine Informationmanagement-gerechte Verwaltungsreform, unterschiedliche Würdigung von Papier und elektronischen Dokumenten, Sonderlocken und bürokratischer Overhead – stehen dem E-Government im Weg. Nun haben RiVGH Dr. Carsten Ulrich und RiAG Dr. Philipp Schmieder mit Ihrem Artikel “Rechtsfragen bei elektronischer Aktenführung” in JurPC WebDok. 56/2017, Abs. 1 70 (PDF http://bit.ly/eakte_JurPC) das Thema für die elektronische Akte bei Gerichten aus richterlicher Sicht erneut aufgegriffen. Umfangreiche Anmerkungen und Fußnoten zeigen eigentlich nur Eines – dass es so nicht geht. Hintergrund ist die Beweiskraft elektronischer Dokumente in Zivilgerichtsverfahren (ZPO §§ 286, 371). Auch hier geht es wieder um die qualifizierte elektronische Signatur und andere Effizienzhindernisse. Selbst mit elektronischer Signatur wird das Führen von Akten beim Gericht als unsicher eingestuft, da die elektronische Signatur ja auch scheitern kann. Nette weitere Fachbegriffe wie Zustellvermerk, Transferbescheinigung, Empfangsbekenntnis, Transportsignatur, Siegelbruch, Urteilsabschrift und vollstreckbare Ausfertigung und anderes behindern nicht nur das Verständnis sondern auch die Umsetzung.
Ist die Intension, dass alles beim Alten – sprich beim Papier – bleibt? Freue mich über fachkundige Kommentare …
Beweiskraft & elektronische Signaturen
Man muss nicht groß herumdiskutieren, in der öffentlichen Verwaltung wird natürlich weiterhin auf qualifizierte elektronische Signaturen gesetzt. Immerhin hat die eIDAS-Richtlinie (electronic IDentification, Authentication and trust Services; in Deutschland auch wenig gebräuchlich IVT abgekürzt; vollständiger Titel “Verordnung (EU) Nr. 910/2014 | Verordnung des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG”) hier die Möglichkeit geschaffen, Siegel für automatische Prozesse des Signierens einzuführen (auch wenn hier häufig noch die “Nachsignieren-Karte” nach TR 03125 TR-ESOR gezogen wird).
Interessanter ist die Frage, wie im Leben jedes Unternehmens der freien Wirtschaft und der Bürger selbst, die elektronische Signatur eine Rolle spielt. Hier kommt man sehr schnell zur Zivilprozessordnung, § 371a ZPO, Beweiskraft elektronischer Dokumente. Dort heißt es:
(1) Auf private elektronische Dokumente, die mit einer qualifizierten elektronischen Signatur versehen sind, finden die Vorschriften über die Beweiskraft privater Urkunden entsprechende Anwendung. Der Anschein der Echtheit einer in elektronischer Form vorliegenden Erklärung, der sich auf Grund der Prüfung der qualifizierten elektronischen Signatur nach Artikel 32 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73) ergibt, kann nur durch Tatsachen erschüttert werden, die ernstliche Zweifel daran begründen, dass die Erklärung von der verantwortenden Person abgegeben worden ist.
Es geht also auch hier um den “Anscheinsbeweis”. Eine Signatur erhöht die Beweiskraft. Aber muss hierfür die Signatur nebst Zertifikat “nachsigniert” werden? Muss jeder für “private elektronische Dokumente” sich nun eine TR-ESOR-Infrastruktur mit Archi-Sig-Komponente, Archi-Safe-Middleware, Krypto-Modul und LangzeitarchivSpeichersystemen anschaffen? Langt da nicht der Nachweis, dass die Signatur zum Zeitpunkt des Eingangs gültig war? Die Signatur selbst läuft doch nicht ab und wird auch nicht “weich”.
in Bezug auf den Anscheinsbeweis nach ZPO ist außerdem zu berücksichtigen, dass im Streitfall beide Seiten zunächst Kopien ihrer Beweise dem Gericht vorlegen. Wenn eine Partei Beweise nicht vorlegen kann, kommt es sowieso nicht zum Prozess. Legen die Parteien unterschiedliche Dokumente zum gleichen Sachverhalt vor, die inhaltlich identisch sein müssten (die meisten Dokumente gibt es zweimal, z.B. Verträge, Bescheide, Nachrichten, Korrespondenz, usw.), – erst dann wird im Detail geprüft, welche Dokumente authentischer sind als die der Gegenpartei. Dabei geht es noch nicht einmal im ersten Schritt um den Unterzeichner bzw. Absender sondern um die Unverfälschtheit, Inhalts- und Datum-Treue. Merkmale, die mit einem Zeitstempel oder in einer Blockchain sowieso besser als mit einer personenbezogenen qualifizierten Signatur abzusichern sind.
Und die Textform nach Bürgerlichem Gesetzbuch §126, 127 BGB sollte auch nicht vergessen werden. Immer mehr Dokumente, auch in Verwaltungsverfahren, sind ohne Unterschrift und damit auch ohne elektronische Signatur gültig.
Wenn heute immer noch versucht wird, Unternehmen der freien Wirtschaft aufwändige und proprietäre Verfahren wie TR-Resiscan und TR-ESOR aufzuschwatzen, sollte im Rahmen einer rechtlichen Prüfung, einer Risiko-Betrachtung und einer Wirtschaftlichskeitsbetrachtung abgelehnt werden. Wer dennoch nicht auf Signaturen verzichten will, sollte auf qualifizierte, automatisch vergebene Zeitstempel oder in der öffentlichen Verwaltung auf Siegel (ohne Karte und nicht ablaufend) setzen. Auch bei § 371a ZPO geht es immer noch um den “Anscheinsbeweis”, der “erschüttert werden muss, um ein signiertes Dokument abzulehnen. § 371a macht aus signierten Dokumenten nicht automatisch “Urkunden”.
Aktuell ist der Einsatz qualifizierter elektronischen Signaturen in Verfahren des EGVP Elektronisches Gerichts- und Verwaltungspostfach (dort ist die Signatur optional) auch heftig in der Kritik, wie man an beA, dem besonderen elektronischen Anwaltspostfach aktuell feststellen kann. Wenn es schon Probleme in öffentlichen Verfahren gibt, wozu dann noch in internen, gesicherten Umgebungen auf die proprietäre Technologie der deutschen personenbezogenen qualifizierten elektronischen Signatur mit Karte und sicherer Signatureinheit (QES) setzen?
Und die QES wird durch andere Verfahren in Frage gestellt. International sind “Handy-Signaturen” mit mobilen Geräten und “Fern-Signaturen” im Kommen. In Deutschland erwächst der QES auch noch Konkurrenz durch die eID auf dem nPA (neuer Personalausweis; wenn sie denn freigeschaltet ist). Diese Verfahren klingen im § 371a ZPO noch nicht an. Dagegen findet sich dort noch das De-Mail-Verfahren, welches sich nicht durchgesetzt hat.
Der Einsatz von Kryptografie-basierten Verfahren wie qualifizierten elektronischen Signaturen hat außerdem eine nicht zu vernachlässigende Langzeitwirkung, wenn man an die Archivierung denkt. Dort sind, 10, 20, 30, 80 und mehr Jahre dann Verfahren des Nachsignierens technisch aufrecht zu erhalten. Da ist der Nachweis, dass die Signatur und das Zertifikat bei der Archivierung gültig waren und danach nicht mehr verändert wurden, deutlich eleganter. Das Dokument wird durch den Audit-Trail und elektronische Posteingangsbücher abgesichert in einem revisionssicheren Archiv abgesichert. Wer noch mehr Verfälschungssicherheit haben möchte, baut sich gleich eine Blockchain-Architektur auf. In beiden Fällen ist Nachsignieren nicht nötig. Der einfachste Weg, eine einheitliche Qualität aller eingegangenen und erzeugten Informationsobjekte, sprich Daten und Dokumente, zu generieren ist immer noch ein Zeitstempel (auch als qualifizierter Zeitstempel) der automatisch alles signiert – Datensätze, Dokumente, E-Mails, Audit-Trails, usw. Eine einheitliche, durchgängige Qualität für alle Informationsobjekte. Das ist vertrauenswürdiger als einzelne Insel der Glückseligkeit mit nach TR-03138 gescannten Dokumenten.