Tagung der ISSS

Datenarchivierung beschäftigt nicht nur die IT

Uhr | Updated

Der Sicherheitsverband Information Security Society Switzerland hat in Zürich seine Jahrestagung veranstaltet. Das Hauptthema war die elektronische Archivierung. Dabei wurde deutlich, dass der Prozess nicht nur den IT-Bereich betrifft.

Diese Woche hat die Information Security Society Switzerland (ISSS) an ihrer diesjährigen Zürcher Tagung das Thema "Sichere elektronische Archivierung" diskutiert. Ein Thema das insbesondere Aktuare und Archivare ansprach, die von berufswegen an der Datenarchivierung interessiert sind. Insgesamt folgten rund 90 Gäste der Einladung ins Hotel Widder, wie Umberto Annino, Präsident des Fachverbandes, sagte.

Einer der Besucher war Christoph Gähler vom Verwaltungsrechenzentrum St.Gallen (VRSG). In seinem Unternehmen stünde ein grosses Archivierungsprojekt bevor, sagte er in einem Gespräch. Für das VRSG sei die Datenarchivierung ausserhalb des Unternehmens rechtlich nicht erlaubt, weswegen sie Daten unternehmensintern lagern müssen. Gähler erhoffte sich vom Event, einige nützliche Informationen darüber zu erhalten, was bei der Datenarchivierung beachtet werden muss und wo die Herausforderungen liegen.

Die Nutzung der archivierten Objekte sei zentral

Zahlreiche Informationen hierzu vermittelte Niklaus Stettler, Leiter Schweizerisches Institut für Informationswissenschaft der HTW Chur. Stettler zeigte in seiner Keynote die Risiken der digitalen Langzeitarchivierung auf. Er beleuchtete die Thematik dabei aus der Nutzerperspektive.

Bei der Archivierung müsse man sich aus der Sicht des Anwenders fragen, wie Daten erhalten werden können, damit man diese auch nutzen kann. Mithilfe der Archivierung sollte man "in der Lage sein, Objekte zu erhalten, darzustellen und verstehen zu können", sagte Stettler.

Kontrollierter Informationsverlust

Hier ergebe sich sogleich das erste Problem: nicht alle Datenformate seien archivtauglich. Excel-Dateien etwa zählten nicht zu den archivtauglichen Formaten, könnten aber als CSV-Datei abgespeichert werden. Die Funktionen einer Tabelle gingen dadurch jedoch verloren.

Die Lösung sieht Stettler in der Kontrolle der Prozesse. Der Informationsverlust müsse kontrolliert und dokumentiert, und diese Dokumentation zusammen mit den Objekten abgelegt werden. Diese Pakete umfassen die Dateien, die technischen und inhaltlichen Erklärungen dazu, die Dokumentation der Veränderung und des Verlusts sowie eine Beschreibung, damit das Objekt wiedergefunden werden kann.

Weitere Herausforderung sieht Stettler vor allem bei komplexen Objekten, wie etwa Vektorgrafiken, dynamischen Objekten oder Containerformaten. Lösungen dafür, wie solche Dateiformate über längere Zeit archiviert werden können, gäbe es noch keine. Da also nicht alles archiviert werden kann, müsse der Informationsverlust kalkuliert ablaufen und durch Prozesse und zusätzliche Informationen ersetzt werden, schlug Stettler vor.

Prüfbarkeit von elektronisch signierten Dokumenten

Auch Daniel Muster, Geschäftsführer des Unternehmens für Informationssicherheit IT-Risikomanagement, setzte sich in seinem Referat mit der langfristigen Informationserhaltung auseinander. Anhand der Archivierung von elektronisch signierten Dokumenten zeigte er das Problem elektronischer Signaturen auf. Wie können diese in der Zukunft rechtsverbindlich geprüft werden? Und wie bleibt die Beweiskraft von elektronisch signierten Dokumenten erhalten?

Die Gesetzgebung liefere nicht genug bis keine Vorschriften, beklagte Muster. Die Verordnung des Eidgenössischen Finanzdepartements über elektronische Daten und Informationen etwa verlangt, dass die Übermittlung und Aufbewahrung von Daten mit einer elektronischen Signatur abgesichert wird. Wie die elektronische Signatur geprüft werden kann, sei jedoch nicht definiert.

Als Lösungsansatz schlug er einen Zeitstempel vor. Dieser soll beglaubigen, dass ein Dokument zu einer bestimmten Zeit gültig war. Der Zeitstempel wird dann zusammen mit der entsprechenden Datei archiviert.

Stärkere Zusammenarbeit zwischen Rechtsbereich und IT

Abschliessend sagte Muster, dass es zwar technische Standards zur Archivierung von elektronisch signierten Dokumenten gibt. Doch fehlten rechtlich anerkannte Prüfmethoden. Deswegen müssten Techniker und Juristen zusammenarbeiten, um diese Lücke zu schliessen.

Auch ISSS-Präsident Annino betonte, dass eine stärkere Zusammenarbeit zwischen Rechtsbereich und IT-Organisationen nötig sei, um die Herausforderungen der elektronischen Datenarchivierung zu meistern.

Archivierung kein reines IT-Problem

Aber nicht nur der rechtliche und technische Aspekt, sondern auch der organisatorische sei bei der Datenarchivierung wichtig. Brigitte Roth-Grüter, Principal Consultat für Information Management bei IBM, zeigte in diesem Zusammenhang die Grundsätze der revisionssicheren Archivierung auf. Hierzu zählen etwa die Vollständigkeit und Verfügbarkeit der Daten.

Diese Grundsätze beträfen nicht nur den technischen Bereich. Aspekte wie die Dokumentation des Verfahrens seien rein dem organisatorischen Bereich zuzuschreiben. Auch beim Design der Archivierungsarchitektur müssten sich Unternehmen und Organisationen Gedanken über Kosten, Risiko, Sicherheit und Funktionalität machen. Deswegen betonte Roth-Grüther, dass die Datenarchivierung "nicht nur eine IT-Lösung ist, sondern viele organisatorische Prozesse miteinbezogen werden müssen".

Webcode
8547