Datenvalidierung durch elektronische Siegel

Kurz und bündig

Diese Hinweise betreffen ein zwischen Vertragsparteien speziell (ad hoc) vereinbartes Verfahren zum Nachweis der Integrität von elektronischen Dokumenten durch ein einfaches elektronisches Siegel (Hashsiegel).

Glossar

„Elektronisches Dokument“ ist jeder in elektronischer Form, insbesondere als Text-, Ton-, Bild- oder audiovisuelle Aufzeichnung gespeicherte Inhalt.

„Elektronisches Siegel“ sind Daten in elektronischer Form, die anderen Daten in elektronischer Form beigefügt oder logisch mit ihnen verbunden werden, um deren Ursprung und Unversehrtheit sicherzustellen.

Verfahren

Für das Hashsiegel wird der Hashwert einer Datei ermittelt und in einer zwischen den Vertragsparteien vereinbarten Form dauerhaft dokumentiert. Durch diese Dokumentation wird der Hashwert mit dem Inhalt der Datei logisch verbunden (gesiegelt). Dadurch kann die Übereinstimmung (Integrität) einer Dateikopie mit dem Original überprüft werden.

Anwendungsbeispiele

  • Identifikation von Vertragsanlagen
  • Validierung von Datenraumkopien

Hintergrund

Ein Hashwert ist das Ergebnis eines Hash-Algorithmus (z.B. SHA1, SHA256, MD5 etc.). Das ist eine eine Art Quersumme über alle Bytes einer Datei. Ein Hashwert besteht aus einer Zahlen- und Buchstaben-Kombination zwischen 0 und 9 sowie A bis F. Dieser Wert ist eindeutig und unverwechselbar wie ein Fingerabdruck. Wenn man zu einem späteren Zeitpunkt (oder auf einem anderen Computer) den Hashwert der Datei erneut erzeugt und mit dem ersten Ergebnis vergleicht, lässt sich erkennen, ob die Datei verändert wurde. Abweichungen deuten darauf hin, dass es sich um eine manipulierte Dateiversion handelt. Hashwerte ermöglichen damit die Überprüfung der Integrität einer Datei. Sie werden in Kryptographieverfahren und bei digitalen Signaturen verwendet.

Rechtliche Grundlagen

eIDAS-Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen

Wie geht's?

Es gibt verschiedene Möglichkeiten, Hashwerte zu generieren. Wichtig ist, bei der Ermittlung des Hashwertes immer dieselbe Hashfunktion [HashAlgorithm] zu verwenden. Für das hier beschriebene Verfahren empfehlen wir z.B. SHA1.

  • Erstelle eine zip-Datei mit dem Inhalt der zu siegelnden elektronischen Dokumente
  • Prüfe, ob auf deinem PC ein Programm zur Ermittlung von Hashwerten vorhanden ist. Frage den Admin
  • Immer an Bord ist bei Windows das Tool CertUtil, das leider etwas unhandlich ist. Gebe an der Console (Windows Start, „cmd“) den folgenden Befehl ein und drücke Enter: „certutil -hashfile <Datei> [HashAlgorithm] > [Zieldatei]“ . Ersetze <Datei> durch den Pfad zur Datei (z.B. auf einem USB-Stick ), [HashAlgorithm] durch beispielsweise „SHA1“ und [Zieldatei] mit einem ausgedachten Dateinamen für die Datei, in die der Hashwert geschrieben werden soll.
  • Ermittle den Hashwert der zip-Datei. Halte den Hashwert in einer Notiz oder in einem Vertrag fest, um ihn später mit den genannten Tools wieder zu überprüfen.

In diesem Beispiel wird der Hashwert der Datei „datenraum.zip“ in das Textfile „hashsiegel.txt“ geschrieben:

Inhalt der Datei „hashsiegel.txt“:

Disclaimer

Dies ist keine allgemeine Empfehlung für die Verwendung des Hashsiegels. Diese Hinweise ersetzen keine rechtliche Beratung im Einzelfall. Nicht immer sind digitale Kopien im Rechtsverkehr den analogen, schriftlichen Varianten gleichgestellt. Wo das Gesetz Schriftform verlangt, ist eine qualifizierte elektronische Signatur (qeS) erforderlich (§ 126a BGB). Im Zivilprozess finden nur auf mit einer qualifizierten elektronischen Signatur versehene elektronische Dokumente die Vorschriften über die Beweiskraft privater Urkunden entsprechende Anwendung (§ 371a ZPO). Es besteht keine volle Gleichwertigkeit mit schriftlichen Urkunden. Das Hashsiegel hat nicht die Qualität einer qeS oder eines fortgeschrittenen oder qualifizierten elektronischen Siegels. Das beschriebene Verfahren eignet sich im Rechtsstreit unter Umständen nur eingeschränkt zum Beweis.