Re: Dokumentenarchiv

On Tue, 13 Mar 2018 11:00:24 +0100 (CET), Oliver Fromme wrote:
> Polytropon wrote:
> > On Mon, 12 Mar 2018 11:35:28 +0100 (CET), Oliver Fromme wrote:
> > > Damit digitale Dokumente vom Finanzamt anerkannt werden,
> > > müssen sie eine qualifizierte elektronische Signatur gemäß
> > > Vertrauensdienstegesetz (VDG, ehemals Signaturgesetz SigG)
> > > haben. Zur Erstellung solcher Signaturen ist spezielle
> > > (kommerzielle) Soft- und Hardware notwendig, und man muss
> > > ein Zertifikat (oder mehrere) von einem akkreditierten
> > > Zertifizierungsdienstanbieter (ZDA) erwerben; diese werden
> > > von der Bundesnetzagentur verwaltet.
> >
> > Ja. Beim Software-Zertifikat ist das nur eine Datei, es ist
> > keine weitere Hardware erforderlich.
>
> In dem Fall kannst Du aber keine qualifizierten elektronischen
> Signaturen erstellen, sondern nur „einfache“ Signaturen.
>
> Für qualifizierte elektronische Signaturen hat der Gesetzgeber
> bewusst strenge technische Anforderungen definiert, da diese
> juristisch einer eigenhändigen Unterschrift gleichgestellt
> sind (§ 126a BGB), mit allen Rechten und Pflichten, die sich
> daraus ergeben. Auch vor Gericht haben solche Dokumente die
> gleiche Beweiskraft wie Papier (§ 371a ZPO).
>
> Theoretisch könnten diese Anforderungen auch von einer reinen
> Softwarelösung erfüllt werden, aber in der Praxis wird nur
> Hardware zertifiziert, weil es dabei erheblich einfacher ist,
> die Integrität des Signaturschlüssels zu gewährleisten. Dabei
> handelt es sich um spezielle Prozessor-Chipkarten, die ein
> Klasse-3-Kartenlesegerät erfordern. Es gibt auch USB-Stöpsel
> (mit kleinem Display und Ziffern-Tasten), bei denen quasi die
> Chipkarte und das Lesegerät fest miteinander integriert sind.
>
> Übrigens, der Fachbegriff hierfür ist SSEE („sichere Signatur-
> erstellungseinheit“).
>
> Bei der BNetzA gibt es eine kleine FAQ zu dem Thema:
> https://www.bundesnetzagentur.de/DE/Service-Funktionen/ElektronischeVertrauensdienste/FAQ/_functions/faq_QES-table.html
>
> Wikipedia ist leider nur bedingt empfehlenswert, da sich die
> Artikel dort überwiegend noch auf das Signaturgesetz (SigG)
> beziehen, das es aber seit letztem Jahr nicht mehr gibt.

Interessanter Hinweis. Das würde bedeuten, daß unter Zuhilfenahme
dieser qualifizierten elektronischen Signaturen ein erhöhter
Funktionsumfang möglich wäre (Dokumentenübermittlung, also nicht
nur Datenübermittlung / -übertragung aus einem Programm heraus).

> > Gewisse Zertifikate scheinen sich auch im Gebrauch zu
> > verändern, der Benutzer muß sie regelmäßig sichern (aus
> > dem Programm heraus).
>
> Da ist mir jetzt unklar, was Du meinst. Ein Zertifikat ändert
> sich nicht. Im Gegenteil: Sobald sich irgendetwas daran
> ändert, wird es ungültig.

Dann hat der Hersteller der Software hier einen in die Irre
führenden Begriff für das gewählt, was diese speziellen
Dateien sind bzw. machen sollen.

Das paßt gut in den Kontext einer schweineteuren Arztsoftware,
wo man als Psychiater "Intelegenztest" abrechnen konnte... :-)

> > > Open Source Software gibt es dafür leider nicht. Ob es
> > > kommerzielle Produkte gibt, die unter Linux laufen (und
> > > dann evtl. auch unter dem Linuxulator von FreeBSD), weiß
> > > ich nicht, aber ich bezweifle es.
> >
> > Ich finde es eine absolute Frechheit, daß der Staat hier
> > erzwingt, daß proprietäre, d. h. für kein Audit und keine
> > Inspektion durch die Betroffenen, nur kommerziell verfügbare
> > Systeme genutzt werden können, um mit den staatlichen Stellen
> > digital kommunizieren zu können - und das Ganze natürlich
> > ausschließlich auf Basis von "Windows" (besonders sicher!).
> > Import, Export, Kommunikation mit Zusatzprogrammen? Is nich!
> > Gips nich! Hier, kaufen Sie lieber was von UNS!
>
> „Der Staat“ hat sich natürlich nicht auf Windows festgelegt.

Nein, das haben die Hersteller der Software gemacht. Diese
lassen sich aus verständlichem Motiven nicht in die Karten
gucken (natürliches Profitinteresse, meist verhärtet durch
Vendor Lock-in, zusätzlich gern auch Lobby-"Arbeit").

Ich kann mich erinnern, daß es vor Jahren mal ein BA-HR-XML-
Format nebst öffentlich verfügbarer Dokumentation gab: Das
ist eine Schnittstelle, die es erlaubt, mit der Bundesagentur
für Arbeit (BA) Personaldaten, d. h. menschliche Rohstoffe,
also Human Resources (HR) im XML-Format auszutauschen, also
z. B. offene Stellen zu melden, Anforderungen zu spezifizieren,
aber auch Arbeitskraftlieferantendaten zu melden (Stellengesuche).
Ich stelle mir vor, daß es für ein Zusammenspiel mit den
Finanzbehörden auch so eine Art öffentlichen Standard geben
müßte, und wer den implementiert, der kann Daten senden und
empfangen - also wie HTTP. :-)

> Theoretisch ist es durchaus möglich, dass jemand eine Software
> für Linux / BSD schreibt und zertifizieren lässt, die mit der
> o. g. Hardware in geeigneter Weise kommuniziert. Vielleicht
> gibt es sowas sogar und ich weiß es nur nicht?

Würde mich sehr interessieren. Ich glaube aber, sowas gibt es
nicht - es ist mir jedenfalls noch nicht begegnet (was natürlich
nichts heißen will). Allerdings fällt mir in diesem Kontext immer
ein, daß Zertifizierungen sehr teuer sind und daher nur für
Unternehmen relevant sind, die bereits gut Geld haben / machen.
Und die dazu notwendige Hardware... "Das ist Firmengeheimnis,
dazu können wir nichts sagen. Nehmen Sie einfach 'Windows'
und tun Sie einfach, was es Ihnen sagt!" ;-)

> Vielleicht läuft entsprechende Windows-Software auch mit WINE
> unter Linux / BSD. Nicht dass das eine besonders schöne
> Lösung wäre, aber besser als nichts.

Aufgrund der starken Einbeziehung von System- und Drittdiensten
in das Anwendungsprogramm würde ich WINE für die komplexeren
Programme ausschließen. Virtualisierung geht natürlich immer,
aber da holt man sich denselben Trödel ins Haus, den man im
Grunde loszuwerden versucht hat.

-- 
Polytropon
Magdeburg, Germany
Happy FreeBSD user since 4.0
Andra moi ennepe, Mousa, ...
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message