Bundesamt für Sicherheit in der Informationstechnik

G 2.72 Unzureichende Migration von Archivsystemen

Archivierte Daten sollen typischerweise über einen sehr langen Zeitraum gespeichert bleiben. Während dieses Zeitraums können die zugrundeliegenden technischen Systemkomponenten, Speichermedien und Datenformate physikalisch bzw. technologisch altern und dadurch unbrauchbar werden. Außerdem können sich im Laufe der Zeit Probleme mit der Kompatibilität der verwendeten Datenformate ergeben.

Wenn auf die Alterung des bestehenden Systems nicht reagiert wird, ist langfristig damit zu rechnen, dass

  • archivierte Rohdaten physikalisch nicht mehr von den Archivmedien lesbar sind,
  • archivierte Daten durch physikalische Fehler an Archivsystem und -medien verändert werden,
  • Ersatzteile für Hardware-Komponenten nicht mehr lieferbar sind,
  • Ergänzungen für Software-Komponenten nicht mehr lieferbar sind,
  • verwendete Datenformate nicht mehr den Integritätsanforderungen entsprechen,
  • elektronische Signaturen unbrauchbar werden,
  • verschlüsselte Daten für Unberechtigte lesbar werden.

Auch wenn rechtzeitig Systemkomponenten ausgetauscht oder die Daten kopiert werden, so können trotzdem noch Probleme durch die Verwendung kryptographischer Verfahren auftreten. Beispielsweise könnten Schwachstellen in integritätssichernden Verfahren entstehen, da Verschlüsselungs- und Signaturalgorithmen im Laufe der Zeit und mit steigender Rechenleistung an Schutzwirkung verlieren können (siehe auch G 2.79 Unzureichende Erneuerung von digitalen Signaturen bei der Archivierung ).

Beispiele:

  • Durch physikalische Langzeiteinflüsse (Materialverschleiß, Verformung, Verkratzen von Medienoberflächen, Weichmacher) können Datenträger beschädigt werden. Je nach Verwendungszweck des betroffenen Datenträgers als System- oder Archivmedium kann der Betrieb des Archivsystems gestört oder die auf den Archivmedien gespeicherten Daten verloren gehen.
  • Der Hersteller eines Archivsystems hatte in den Kontextdaten für Dokumente ein Debug-Feld vorgesehen. In der Pilotphase des Archivsystems wurden Dokumente aus dem normalen Geschäftsbetrieb zu Testzwecken archiviert, wobei der Teststatus in der Debug-Information festgehalten wurde. Beim Übergang in die Betriebsphase wurden die Testdokumente dann nicht gelöscht, da sie auf WORM-Datenträgern archiviert waren, sondern es wurden die mit der betreffenden Debug-Information markierten Dokumente nicht mehr angezeigt. Das Nachfolgesystem wurde von einem anderen Hersteller geliefert, der Debug-Informationen auf eine andere Weise darstellte. Bei der anschließenden Migration der Archivdaten auf das neue Archivsystem wurde jedoch versehentlich das alte Debug-Feld nicht ausgewertet. Die alten Testdokumente befanden sich nach der Migration der Daten weiterhin im Archiv, tauchten bei einer späteren Recherche jedoch plötzlich als vermeintlich authentische Dokumente auf.
  • Elektronische Signaturverfahren könnten durch Ausprobieren der Signaturschlüssel oder durch mathematische Verfahren kompromittiert werden. Sofern dies innerhalb des Archivierungszeitraums eintritt, ist es möglich, elektronische Signaturen auch rückwirkend zu fälschen.

Stand: Stand 2005