![\"\"](\"\/de\/media\/pany1.jpg\")
Pfaffhausen, 13. Juli 2010:<\/strong> Heute ist ein Tag der Freude. Wer h\u00e4tte gedacht, dass wir die Signaturl\u00f6sungen je wieder aus den europ\u00e4ischen Gesetzen herauskriegen? Und wenn Sie nun eher „Bahnhof“ verstehen, dann lesen Sie trotzdem weiter, der nachfolgende Blog soll kurz zusammenfassen, um was es ging und warum der heutige Entscheid des EU-Ministerrates ein weiser Entscheid ist. Wer mehr zum Entscheid selber lesen m\u00f6chte, findet bei heise.de eine Zusammenfassung.<\/strong><\/a><\/p>\nDarum sind Signaturl\u00f6sungen bei Rechnungen sinn- und zwecklos<\/h2>\n
Im Zeitalter der Informatik werden zunehmend alle Unternehmensinformationen digital gespeichert. Vorbei die Zeit, als eine jede Firma riesige Papierberge in Archiven f\u00fchrt(e). Hier setzt ein Dokumenten-Management-System (DMS) ein. Ganz egal, ob ein Beleg in Papierform oder als Computerdatei vorliegt, mit einer DMS-L\u00f6sung werden s\u00e4mtliche Informationen elektronisch gef\u00fchrt.<\/p>\n
An sich f\u00fchrt ein DMS-System dazu, dass die Informationen sicherer gef\u00fchrt bzw. „gelagert“ werden k\u00f6nnen. Einerseits k\u00f6nnen die Informationen ohne nennenswerten Aufwand in mehrfacher Ausf\u00fchrung gespeichert werden, auf der anderen Seite k\u00f6nnen Informationen automatisiert abgelegt werden. Allerdings, elektronisch gespeicherte Informationen k\u00f6nnen von „Natur“ (d.h. systembedingt) jederzeit ge\u00e4ndert werden.<\/strong> Bei entsprechendem „Vorsatz“ k\u00f6nnen mit einigen Zeilen Programmcode die B\u00fccher elegant „gef\u00e4lscht“ werden.<\/p>\n Die Signaturl\u00f6sungen waren urspr\u00fcnglich dazu gedacht, dass die Authentizit\u00e4t (Echtheit) der Informationen zweifelsfrei auch nach langer Zeit festgestellt werden kann. Dazu werden sogenannte Schl\u00fcsseldateien erstellt. Meist wird mit einem privaten Schl\u00fcssel (diese Datei darf nicht weitergegeben werden) und einem \u00f6ffentlichen Pendant (Public Key) gearbeitet.<\/strong> Der \u00f6ffentliche Teil wird zusammen mit den zu verifizierenden Informationen (z.B. Rechnungen) weitergegeben. Der \u00f6ffentliche Teil des Schl\u00fcssels dient dazu, festzustellen, ob eine mit einem privaten Schl\u00fcssel erstellte Datei in der Zwischenzeit nicht ge\u00e4ndert wurde. Ohne den privaten Schl\u00fcssel kann keine Modifikation der Daten erfolgen bzw. der \u00f6ffentliche Schl\u00fcssel w\u00fcrde dann nicht mehr „passen“.<\/p>\n Soweit die Theorie. In der Praxis gestaltet sich vieles weit schwieriger. So ist z.B. ein privater Schl\u00fcssel selber beliebig kopierbar.<\/strong> Wer nicht auf „seinen“ privaten Schl\u00fcssel aufpasst, sieht sich mit der Problematik konfrontiert, dass ein jeder Dritter, der den privaten Schl\u00fcssel „kopieren“ konnte, ab diesem Zeitpunkt die gleiche „Identit\u00e4t“ einnehmen kann. Eine weitere Problematik besteht darin, dass der private Schl\u00fcssel mit „brute-force“ erraten wird.<\/strong> D.h. es werden systematisch alle m\u00f6glichen privaten Schl\u00fcssel erstellt, wobei nach jedem Versuch getestet wird, ob der \u00f6ffentliche Schl\u00fcssel passt. Ist dies der Fall, wurde der private Schl\u00fcssel erraten.<\/p>\n Je nachdem wie lange ein Schl\u00fcssel ist, muss ein massiv erh\u00f6hter Aufwand an Versuchen abgearbeitet werden, um den privaten Schl\u00fcssel zu erraten. Je l\u00e4nger der Schl\u00fcssel je h\u00f6her der Rechenaufwand, um den Schl\u00fcssel zu „knacken“. Allerdings k\u00f6nnen nicht beliebig lange Schl\u00fcssel festgelegt werden, das Berechnen der Signatur w\u00fcrde sonst zu lange dauern. Und weil gleichzeitig die Rechenkapazit\u00e4t der Computer ein jedes Jahr um Faktoren zunimmt, gilt ein Schl\u00fcssel der heute erstellt wird, nur f\u00fcr eine bestimmte Dauer als sicher.<\/strong> Meist werden daher entsprechende Schl\u00fcssel nur f\u00fcr ca. 1 bis 2 Jahre generiert. Vor Ablauf dieser Zeitspanne wird eine neue Signatur (mit einem neuen Schl\u00fcssel) \u00fcber die Originaldatei(en) sowie die bisherigen (alten) Signaturen erstellt.<\/p>\n Und genau hier liegt das Problem. Dokumente, die w\u00e4hrend einer Lebensdauer von 10, 20 oder 30 Jahren verf\u00fcgbar gehalten werden sollen, m\u00fcssen fast alle Jahre wieder nachsigniert werden.<\/strong> Dadurch entstehen mit der Zeit viele wertlose (alte) Schl\u00fcssel, die aber gleichwohl archiviert werden m\u00fcssen, damit die Authentizit\u00e4t r\u00fcckverfolgt werden kann. Weiter muss die Identit\u00e4t des Schl\u00fcsselinhabers festgestellt werden k\u00f6nnen. Dies ist aber nur solange m\u00f6glich, wie kein Dritter Zugang zum privaten Schl\u00fcssel erh\u00e4lt. Zudem gilt es beim Erstellen des Schl\u00fcssels zweifelsfrei festzustellen, ob der Berechtige auch jener ist, f\u00fcr den er sich ausgibt.<\/p>\n Ich h\u00e4tte kaum derart weit ausholen m\u00fcssen, wenn das System einfach w\u00e4re. Und w\u00e4re das System einfach(er), so w\u00e4re es von den Unternehmen akzeptiert worden. Da dem aber nicht so ist, haben viele Unternehmen bislang einen grossen „Bogen“ um Signaturl\u00f6sungen gemacht und z.B. explizit darauf verzichtet, elektronische bzw. signierte Rechnungen zu erstellen. Kurz gesagt, solange der Postversand einer Rechnung massiv kosteng\u00fcnstiger ist als die Infrastruktur zum Erstellen von signierten Rechnungen, ist es ganz einfach im Verh\u00e4ltnis nicht stimmig, es zu tun.<\/strong> Alle entsprechend aufgewendeten Ressourcen sind etwas b\u00f6se gesagt entweder hinausgeworfenes Geld oder m\u00fcssen als Trial-and-Error-Versuche abgehandelt werden.<\/p>\n Als Anbieter eines DMS-Systems stellt sich immer wieder die Frage, ob und wann es sinnvoll ist, Trends und neue Funktionen in ein Produkt aufzunehmen. So stellen wir uns bei unseren Produkten bei jeder Funktion die Frage, wo der Nutzen liegt und zu welchem Preis wir den Mehrwert realisieren k\u00f6nnen. Nur wenn wir einen Nutzen zu einem vern\u00fcnftigen Preis (d.h. in erster Linie ohne Erh\u00f6hung der Preise) realisieren k\u00f6nnen, werden Sie ein neues Feature vorfinden.<\/strong> Je h\u00f6her der Mehrwert, je schneller die Realisierung.<\/p>\n Interessanterweise haben wir bei den Signaturl\u00f6sungen zwar viele Anfragen erhalten, aber kein einziger Kunde war letztlich bereit, eine entsprechende L\u00f6sung mitzufinanzieren. Und weil uns das Kosten\/Nutzen-Verh\u00e4ltnis ebenfalls nicht erf\u00fcllt schien, haben wir darauf verzichtet, Signaturl\u00f6sungen selber zu implementieren. Damit wir uns richtig verstehen, selbstverst\u00e4ndlich k\u00f6nnen wir signierte Dokumente seit Urzeiten ablegen, Ebenfalls k\u00f6nnen wir seit mehr als f\u00fcnf Jahren die Seiten verschl\u00fcsselt ausliefern,<\/strong> nicht m\u00f6glich ist einzig das Signieren der von Archivista erstellten Dokumente.<\/p>\n Und wie wir seit heute wissen, wird die Bedeutung der Signaturl\u00f6sungen durch die Richtlinie des EU-Ministerrates massiv abgewertet. Die Richtlinie ist f\u00fcr alle EU-Staaten bindend, ob die Schweiz diese \u00fcbernehmen wird, bleibt abzuwarten. Allgemein kann aber gesagt werden, dass Signaturl\u00f6sungen in der Schweiz weit weniger \u00fcberhaupt je eine Rolle spielten.<\/p>\n Kern Wir hoffen, mit diesen Grunds\u00e4tzen dazu beizutragen, effiziente Systeme bereitzustellen und ganz allgemein mitzuhelfen, eine jegliche B\u00fcrokratie im Keim ersticken zu k\u00f6nnen.<\/p>\n\n\n\n\t![\"\"](\"\/de\/media\/pany2.jpg\")
<\/p>\nArchivistaBox hat darauf verzichtet, Signaturl\u00f6sungen je einzuf\u00fchren<\/h2>\n
![\"\"](\"\/de\/media\/axalp.jpg\")
Und ja, wir geben es zu, wir sind k\u00e4uflich, d.h. ein Kunde kann jederzeit eine Funktion bei uns in Auftrag geben. Nicht k\u00e4uflich sind wir allerdings darin, dass wir ein Feature von allgemeinem Nutzen nur einem bestimmten Kunden zur Verf\u00fcgung stellen bzw. dass die \u00fcbrigen Kunden nicht auch „mitprofitieren“ k\u00f6nnen\/d\u00fcrfen. Und ja, ein Kunde, der ein Feature bestellt, darf uns selbstverst\u00e4ndlich klar mit auf den Weg geben, wie er es denn gerne haben m\u00f6chte. Wir denken, dass nur im Zusammenspiel mit dem Kunden \u00fcberhaupt gute neue L\u00f6sungen entstehen k\u00f6nnen.<\/p>\nDas k\u00f6nnen wir f\u00fcr die Authentizit\u00e4t der Daten tun<\/h2>\n
\npunkt bei DMS-Systemen ist es, Informationen verf\u00fcgbar zu halten. Wurden Sie f\u00e4lschlicherweise ge\u00e4ndert, ist die Authentizit\u00e4t der Daten dahin. Die EU-Richtlinie f\u00fchrt aus, dass jede geeignete Massnahme anzuwenden ist, um die Datenintegrit\u00e4t sicherzustellen. Erlauben Sie mir hier zum Schluss, einige Punkte aufzuz\u00e4hlen, die nach unserer Erfahrung \u00e4usserst n\u00fctzlich sind, die Datum \u00fcber lange, lange Zeit am Leben zu erhalten:<\/p>\n\n
Das k\u00f6nnen Sie f\u00fcr Ihre Archive tun<\/h2>\n
\n