6. Revisionssicherheit
6.1. Grundsatz
Eine revisionssichere Archivierung ohne Beschreibung des Archivs, seiner Arbeitsweise, seiner Aufbewahrungs-, Verwaltungs- und Entsorgungsregeln ist sicher nicht denkbar. Schon für die Papierablage gab es Verfahrensanweisungen, wie ein Archiv gestaltet wird, wie in ihm zu suchen, wie mit Entnahmen und Rückgaben umzugehen ist. Diese Verfahrensbeschreibung ist heute nur auf digitale Daten erweitert worden. Der traditionelle Dokumentenbegriff geht vom Papier aus, im Vordergrund steht das papiergebundene Dokument. Daher stand zunächst auch die bildhafte Reproduktion in der elektronischen Archivierung im Vordergrund. Dieser Dokumentenbegriff erfährt zur Zeit eine Wandlung. Der Gesetzgeber hat die elektronische Signatur eingeführt. Dies schafft die Möglichkeit der Abkehr von der bildhaften Wiederverfügbarkeit in Archiven. Auch Datenströme, die Dokumente darstellen, lassen sich so in Archive einbinden. Dies ergibt noch keine neuen Anforderungen an Verfahrensdokumentationen, denn die Qualität der Archivierung ist unverändert geblieben. Es gelten immer noch ZPO und BGB. Internet und Signaturgesetz schaffen die Möglichkeit des Datenaustauschs im Geschäftsleben. Die Grundlage für sichere elektronische Unterschrift und ebenso sichere Identifizierung des Unterzeichners sind gegeben; auch die Sicherung der Unverfälschtheit des „Dokuments“ ist da. Dass das Verfahren sich bislang noch nicht durchsetzte, liegt eher an seiner Komplexität, seinen Kosten und spricht nicht gegen die rechtlichen Möglichkeiten. Die Änderung des BGB führte zur Abkehr von der Schriftform und zur „Textform“. Auch die Änderung der AO muss in diesem Kontext gesehen werden. Die Betriebsprüfung gab es in der AO schon immer, nunmehr darf sie auch Werkzeuge nutzen, die einer modernen Unternehmensverwaltung entsprechend sind. Die §§ 146, 147 AO beschreiben ganz klar die Regeln, unter denen Betriebsprüfungen in einer zunehmend digitalen Welt ablaufen. Die Ausführungsbestimmungen dazu entwickeln sich weiter. Die Dokumentformate, die längerfristige Archive abgeben können müssen, sind
• Gescannte Papiere tiff (s/w) und jpg (Farbe)
• Digitales Fax tiff
• Farbbilder jpeg
• eMails ASCII-Basis, zB XML oder MIME
Signaturen nur im Originalformat
• Screen-dumps ASCII-basierter Druckstrom, XML
• Datenstrom d.o.
• Output-Dateien d.o.
• MultiMedia Objekte alle in Frage kommenden
• Sprachdateien d.o.
• Digitales Video d.o.
• Office-Dokumente steuerl. Relevanz: Originalformat
Wandlung in XML
Nicht steuerl. Relevanz:
pdf, tiff, jpg
6.2. Aussage der Verfahrensdokumentation
Die Verfahrensdokumentation zum Archiv muss Auskunft geben über
• Ordnungsmässigkeit
• Vollständigkeit
• Verfahrenssicherheit
• Schutz vor Änderung und Verfälschung
• Sicherung vor Verlust
• Berechtigungskonzepte, Zugriffskonzepte
• Aufbewahrungsfristen, Alterung, Lösch-Konzepte
• Nachvollziehbarkeit
• Prüfbarkeit
Schon an dieser Aufzählung wird sichtbar, dass es keine Neuerungen in den Grundanforderungen an Archive gibt. Bei Konstruktion, Aufbau und Betrieb eines digitalen Archivs gibt es verschiedene Beteiligte. Deren Verantwortlichkeit ist in einem Pflichtenheft zu regeln und auch dieses Pflichtenheft ist Bestandteil der Verfahrensbeschreibung.
• Der Anwender selbst ist für den ordnungsgemässen Betrieb unter Einhaltung der Herstellervorgaben verantwortlich.
• Der Lieferant des Systems verantwortet die Funktionsfähigkeit der einzelnen Bausteine wie Speichersysteme, Software, Scannersysteme, Drucker, Laufwerke etc.
• Der Konstrukteur verantwortet die Funktionsfähigkeit des Gesamtsystems, sofern es nach seinen Vorgaben aufgebaut wurde.
6.4. Beschreibung der Funktionsfähigkeit
Ein funktionierendes Archiv erfüllt nachstehende Massgaben:
Jedes Dokument wird unveränderbar archiviert. Die Sicherungsmedien erfüllen diese Bedingung auch über Generationenwechsel von software.
Dokumente gehen im Archiv nicht verloren. Das bedeutet nicht nur die Speicherung auf Speichermedien, es umfasst auch die Speichermedien selbst und ihre Haltbarkeit. Die Konsistenz der Verwaltungsdateien ist immer gesichert. Sicherungskopien, ggf. Doppelung oder Spiegelung sind Verfahren, die das Archiv beherrscht.
Jedes Dokument wird planvoll gesucht und plangemäss gefunden. Informationen werden schnell und ohne Medienbrüche zur Verfügung gestellt. Das bedeutet, dass der Anwender sich über Verschlagwortung und Indexierung Gedanken machen muss. Wenn Dokumente nicht wiedergefunden werden, sind zumeist inkonsistente oder unzureichende Indexierung die Gründe.
Es wird genau das Dokument gefunden, nach dem gesucht wird. Indexe sind und bleiben klar und trennscharf, sie verrutschen nicht. Dies setzt hohe Anforderungen an die Qualität der Eingabe.
Dokumente sind während der vorgesehenen Archivzeit vor Zerstörung absolut sicher. Eine der härtesten Anforderungen. Archive müssen Entsorgungskonzepte haben, sonst wuchern sie ins Unendliche und werden unbeherrschbar. Während der vorgesehenen Zeit aber muss das Dokument immer vorhanden sein. Das bedeutet, dass ein Archiv ein Sicherungskonzept einschliesslich desaster recovery und Wiederanlaufplanung braucht.
Ein Dokument muss formidentisch wieder verfügbar gemacht werden. In standardisierten Formaten ist das leicht einhaltbar, anders aber in Office-Umgebungen, wo verschiedenste Formate benutzt werden und diese in unterschiedlichen Dialekten vorkommen können und dynamische Verknüpfungen ein weiteres tun, um Formate zu individualisieren. Reine Archivsysteme lösen dies Problem mit Speicherplatz und Indexierung. Jedes Dokument, das in einer neuen Erscheinungsform auftritt, wird als neues Dokument archiviert. Dynamische Verfahren versionieren die Dokumente. Unterschiedliche Formate werden mit „Viewern“ bewältigt.
Jedes Dokument wird schnell gefunden. Die Zeit, ein full recovery durchlaufen zu lassen, gibt es nicht. Das ist der Vorteil der digitalen Welt.
Alle Manipulationen, die Organisation und/ oder Struktur des Archivs verändern, werden protokolliert; eine Wiederherstellung des Ausgangs-Zustands ist möglich. Diese Forderung bleibt auch für den Fall aufrechterhalten, dass in einer Datenbank Felder wegfallen oder hinzukommen oder zusammengeführt werden. Auch auf ältere Dokumente muss immer sicher zugegriffen werden können. Die tools und Verfahren hierzu sind in der Verfahrensbeschreibung zu dokumentieren.
Migrationen auf neue Plattformen, Medien, Software-Stände und auch das Hinzufügen neuer hardware sind ohne Verlust an Informationen möglich. Dies ist eine ungeheuer wichtige Anforderung. Ständig ändern sich IT-Systeme, sie „leben“. Archivinformationen aber müssen langzeitig verfügbar sein. Die Verantwortung dafür liegt allein beim Anwender. Der muss seine Strategie festlegen und sichern.
Das Archiv ist rechtssicher, gesetzliche Bestimmungen werden eingehalten. Hierzu gehört, dass personenbezogene Daten geheim bleiben müssen und dass nur logisch gelöscht wird. Die betrieblichen Regeln zur Archivierung sind über die gesamte Archivierungszeit zu gewährleisten, genauso wie die handels-, steuer- und datenschutzrechtlichen Bestimmungen. Darauf muss die Architektur des Systems schon in seiner Entwicklung ausgelegt werden. Der Betrieb des Archivs liegt allein in der Veranwortung des Betreibers. Die Architektur des Systems und die Regeln, unter denen es arbeitet, wird er mit den Anbietern der einzelnen Komponenten verhandeln und danach Kauf- und Leistungsverträge abschliessen. All dies ist idealerweise Anlage zur Verfahrensbeschreibung.
Neben funktionalen Anforderungen enthält die Verfahrensbeschreibung auch die technische Systembeschreibung. Die Prüfer, seien sie wirtschaftsprüfend tätig oder steuerliche Betriebsprüfer, sollen die Einhaltung der rechtlichen Vorschriften zur Archivierung aller Dokumente auf den Speichermedien prüfen können. Sie sollen auch die Funktionsfähigkeit dieser Speicherung nach Systemänderungen beurteilen können. Zur Darstellung einer geordneten Migration brauchen sie dazu Ablaufbeschreibungen, dokumentierte Schnittstellen und definierte Aufzeichnungsformate. Deshalb gibt die Verfahrensbeschreibung vorzugsweise im Anhang ein Verzeichnis der Versionierung, verweist auf Verträge zB zur Wartung, gibt Auskunft über die Ablage der Hersteller-Handbücher, über Testunterlagen, über Sicherheitshandbücher und Arbeitsanweisungen. So gesehen ist eine Verfahrensbeschreibung auch Qualitätssicherung.
Im allgemeinen Teil wird das Unternehmen eine kurze Beschreibung seiner selbst liefern, weiter die von diesem Dokument betroffenen Unternehmensbereiche bezeichnen und über deren Aufgabenstellung und die Einbindung in die Unternehmensorganisation darstellen.
6.5. Beschreibung der Schnittstellen-Funktionen
Zum Verständnis des Zusammenwirkens der rechtlichen Bestimmungen sollten diese angeführt werden. Da der Datensicherheit in Produktions- und Archivsystemen eine besonders große Bedeutung zukommt, sollte in der Verfahrensbeschreibung klar dargestellt werden, wie die Datensicherung organisiert ist. Dabei kommt es an auf:
• Langfristige Verfügbarkeit
• Migrationskonzepte
• Vollständigkeit der Information
• Unveränderbarkeit der Information
• Bildliche Übereinstimmung da, wo es der Gesetzgeber oder die Betriebsabläufe im Unternehmen fordern
• Auffinden der Information in angemessener Zeit
• Sperrkonzepte
• Löschkonzepte
• Zugriffsberechtigungen
Da in jedem Unternehmen umfangreiche personenbezogene Daten erhoben und aufbewahrt werden und diese einem besonderen gesetzlichen Schutz unterliegen, sind geeignete Schutzmassnahmen zu treffen und zu beschreiben. Es gilt der Grundsatz, dass die Mitarbeiter die zu ihrer jeweiligen Aufgabe notwendigen Informationen zur Verfügung gestellt erhalten. Darüber hinaus sollten sie keine personenbezogenen Daten Dritter zur Kenntnis nehmen können. Auch Unbefugte wie zB Wartungspersonal darf keinen Zugriff auf solche Daten haben. Das gilt nicht nur bei der Arbeit mit diesen Daten, sondern auch bei Wartungsarbeiten, bei Aufbewahrung, Transport und Vernichtung. Die hardware eines Unternehmens sollte dazu physikalisch gesichert werden, die Benutzerverwaltung sowohl zentral als auch da, wo erforderlich, anwendungsspezifisch organisiert werden. Vertretungsregeln sind dabei ebenso zu beachten wie Bewegungen im Personalbereich, also das Ersetzen von Personen und Rollen.
6.6. Beschreibung des Datenschutzes
Ein Archiv darf nur Daten nur logisch löschen. Reicht diese Art der Löschung nicht, muss der Umweg durch Migration über umkopieren der nicht zu löschenden Teile gegangen werden.
Der Datenschutz erfordert in den betrieblichen Richtlinien hierzu Aussagen zu
• Benutzergruppen und/ oder Funktionsklassen
o Ein- und Ausstellen von Benutzerprofilen
o Protokollierung von Änderungen durch die Benutzerverwaltung
o Vergabe von Benutzerrechten
Einstellen von Informationen
Recherchieren, Anzeigen, Drucken, Kopieren
Ändern von Informationen
o Passwort-Konzept
• Steuerung des Zugriffs auf Systemteile
o User-ID
• Bildschirmschoner mit Passwortschutz
• LogIn-Prozeduren
o Arbeitsbeginn
o Kurzfristige Unterbrechung
o Remote access
o Zulässige Anzahl von Fehlversuchen beim LogIn
• Keine unverschlüsselten Daten auf dem Arbeitsplatzrechner, die über das Betriebssystem aufrufbar sind
• Absicherung der output-Schnittstellen am Arbeitsplatz
o Schloss am Disketten-Laufwerk, soweit noch solche Laufwerke vorhanden
o Software-mässige Sicherung von CD- und DVD-Laufwerken, serieller, paralleler und USB-Schnittstelle, Sicherung des PCMCIA-Schachts
• Sicherungskonzepte für notebooks
o Verschlüsselung
o Transportabler Diebstahlschutz
• Viren-Vorsorge
• Physikalischer Schutz der Arbeitsplätze und der Arbeitsräume
o Schliessanlage
o Klimatisierung
o Brandschutz
o Schutz vor Überspannung
o Pufferung der Energieversorgung
o Zugangsbarriere zu den Servern, Archivanlagen und zu offline-Medien
• Verschlüsselung bei Datentransfer über Telekommunikations-Anlagen
Der Umfang der Sicherungsmassnahmen ist individuell unterschiedlich und an die betrieblichen Erfordernisse anzupassen.
6.7. Beschreibung der Zugriffsbeschränkungen für die Prüfer
Da die steuerlichen Betriebsprüfer verschiedene Zugriffsrechte auf die Daten haben, sind für diese Zugriffe Beschreibungen zu erstellen. Aussagen zu nachstehenden Feldern sollten enthalten sein:
• Beschreibung der Zugriffsmöglichkeiten
• Definition der prüfungsrelevanten Datenbestände
• Beschreibung der prüfungsrelevanten Datenbestände
• Berechtigungskonzept
o Wie darf der Prüfer auf steuerlich relevante Informationen zugreifen?
o Wie wird der Datenschutz dabei gewährleistet?
• Schutzmechanismen
o Löschungssperre
o Veränderungs-Protokolle
6.8. Beschreibung des Archiv-Betriebs
Einführung und Betrieb eines Archivs müssen organisiert werden. Dabei ist zu beachten:
• Im System sind definierte Rollen mit zugewiesenen Kompetenzen zu schaffen
• Verständliche Arbeitsanweisungen sichern den Arbeitsablauf
• Jede Software braucht einen Nachweis der Funktionsfähigkeit und der Ordnungsmässigkeit der Verarbeitung. Dies Dokument gehört zur Verfahrensbeschreibung
• Unbefugte Eingriffe in den Arbeitsablauf sind nicht möglich.
• Die Eingriffskompetenz einzelner Personen richtet sich ausschliesslich nach ihrer Funktion, nicht nach ihrer hierarchischen Stellung.
• Die Betroffenen akzeptieren diese Vorschrift als ihren Beitrag zur ordnungsgemässen Funktion des Systems
• Nur berechtigte Benutzer können Auswertungen erstellen
• Das technische Umfeld wird in der Verfahrensbeschreibung abgebildet.
Die einzelnen Vorgänge im System –im Sinne von Prozessschritten- ist hinreichend beschrieben. Informationen im Archiv haben zwei Komponenten, einerseits den Inhalt und andererseits den Index. Der Index soll so gestaltet sein, dass die Information in angemessener Zeit aufgefunden wird. In der Verfahrensbeschreibung müssen neben der Beschreibung der Übernahme von Informationen die genutzten Formate offen zu legen. Bearbeitungs-Schritte sollen durch eine Vorgangsbeschreibung nachvollziehbar sein.
6.8.1. Beschreibung des Daten-Inputs
Beispielsweise sollte der Prozess „Dokumenten-Scan“ genau beschrieben sein. Dazu ist der Vorgang selbst genau zu beschreiben und die Massnahmen zu schildern, die die Unveränderbarkeit des gespeicherten Dokuments sichern. Zudem ist zu beschreiben, wie der Index gebildet wird
6.8.2. Beschreibung von Ein- und Auslagerung
Die Ein- und Auslagerung von Daten, der Austausch zwischen Produktivsystem und Archivsystem ist transparent darzustellen. Es kommt darauf an, den vollständigen, unveränderbaren und fehlerfreien Datentransport zu schildern. Das sichere Archiv ist ein Kernstück der Unternehmens-IT. Deshalb sollte neben der Darstellung des Datenflusses beschrieben sein
• Massnahmen der Vorbeugung des Datenverlustes bei Systemstörungen und –ausfällen
• Verfahren bei Spiegelung oder mehrfacher Sicherung
• Garantie der schnellen Suche des Dokuments
• Falls redundante Zwischenspeicherung auf Arbeitsplätzen erlaubt ist: Verfahren der Datenentnahme und –wiedereingliederung
• Protokollierung aller Vorgänge
• Wiederanlaufplanung/ desaster recovery
• Auslastungskontrolle
Die Indexdatenbank des Archivs ist einer seiner inneren Bestandteile. Diese integrierte Referenzdatenbank enthält die Indexmerkmale der archivierten Dokumente sowie alle nötigen Informatonen zu ihrer Verwaltung. Diese Indexdatenbank muss unzerstörbar sein oder sie muss in jedem Fall wieder hergestellt werden können. Deshalb ist in der Verfahrensbeschreibung zu nachstehenden Punkten Stellung zu nehmen:
• Wiederanlaufplanung/ desaster recovery
• Reorganisation der Daten
• Permanenter Konsistenzabgleich
• Verfahren des Im- und Exports
• Teilung und Auslagern von Datenbeständen
• Rücksichern von Datenbeständen/ Einspielen von Datenbeständen
• Statistiken
• Migration der Datenbank
Alle Änderungen und Ergänzungen der Datenbank sind zu protokollieren.
Es versteht sich von selbst, dass die hard- und software-Komponenten einschliesslich der Systemarchitektur hinreichend zu beschreiben sind.
6.8.3. Beschreibung der Speichermedien
Für die Archivierung der Dokumente sind heute optische Speicher Standard. Das Überschreiben der Daten muss durch die Wahl eines entsprechenden Aufzeichnungsverfahrens ausgeschlossen werden. In der Verfahrensbeschreibung sollte Auskunft gegeben werden über
• Art der Speichermedien
• Aufzeichnungsverfahren
o Formatierung
o Sicherung der Information
o Sicherung gegen Überschreiben
• Verfügbarkeit
• Kompatibilität
• Datenorganisation
o Gruppierung
o Clustering
• Gewährleistungs- und Haftungsvereinbarung
• Wiederherstellung
Die Funktion des Archivs wird durch Laufwerke beeinflusst. Diese technischen Teile sind deshalb in der Verfahrensbeschreibung zu erläutern:
• Hersteller
• Typ
• Betriebsbedingungen
o Spannung
o Klima
o Spannungspufferung
• Schnittstellen
• Austausch
• Serviceverfügbarkeit
• Generationen-Folge
• Lieferanten und Ersatz-Lieferanten
• Gewährleistung und Garantie
• Liefer- und Supportzusagen über den Garantiezeitraum hinaus
6.8.4. Beschreibung der Systemwartung
Der Anwender ist für die Funktionsfähigkeit seines Systems verantwortlich. Diese Verantwortung kann er nicht allein tragen, er braucht dazu Aussagen der Hersteller der Systemkomponenten hinsichtlich
• Support-Zeiträumen
• Reaktions-Fristen
• Kompatibilität der einzelnen Bestandteile
• Format-Standards bei Kompression
• Update-Garantien
Das System muss eine nahezu 100%ige Verfügbarkeit aufweisen. Es sollte daher so ausgelegt sein, dass ein Ausfall einzelner Teile die Systemstabilität nur insoweit beeinträchtigt, als dass mindestens ein Notbetrieb möglich sein muss. Dies und die Routinen zum Wiederanlauf muss in der Verfahrensbeschreibung enthalten sein. Bei besonders sensiblen Systemen kann vom Hersteller durchaus eine Garantie verlangt werden, auch sollten bei weniger sensiblen Systemen die Werte von Ausfallsicherheit und Lebensdauer zugesagt werden.
Das Datensicherungskonzept schützt Daten vor Verlust und Zerstörung. Die Anbieter von Sicherungs-Systemen sollen zur Verfahrensbeschreibung ihren Beitrag leisten und ausführen, welche Datensicherung sie mit ihren Systemen anbieten. Dazu gehören auch Testkonzepte und Wiederanlaufplanungen.
6.8.5. Beschreibung des Wiederanlauf-Konzepts
Diese Wiederanlauf-Konzepte müssen sicherstellen, dass bei nach Systemausfällen notwendigen Restarts keine Datenverluste und keine Inkonsistenzen entstehen. Darüberhinaus muss das Wiederanlauf-Konzept so gestaltet sein, dass nach Ausfall die Wiederanlaufzeit kurz ist. Auch die Darstellung der Konsistenz-Sicherung ist in der Verfahrensbeschreibung zu hinterlegen. Dazu gehört das Verfahren der Transaktions-Rücknahme, das Löschen teilvollständiger Dokumente und der Abgleich mit der Archivdatenbank.
6.8.6. Beschreibung der Betriebsbedingungen
Die Betriebsbedingungen des Archivs sind zu beschreiben. Dazu gehören insbesondere
• Stellenbeschreibungen für das Betriebspersonal
• Beschreibung der Kompetenzen der Mitarbeiter
o Aufgabentrennung
o Berechtigungskonzepte
• Benutzerhilfen
• Menusteuerung
• Beschreibung der Abnahme- und Freigabe-Prozesse
• Beschreibung der Löschfunktion
Zu den Betriebsbedingungen gehören auch die Wartungen. Deshalb sind Umfang und Rhythmus der Wartung aufzunehmen und auch die Verträge zur laufenden präventiven Wartung zu bezeichnen. Eigenwartung sollte in Handbüchern dokumentiert werden. Die Planung der Wartungsarbeiten sollte darauf ausgerichtet sein, den laufenden Betrieb eines Archivs möglichst nicht zu behindern.
Die technische Entwicklung schreitet schnell voran, und die Systemkomponenten müssen gelegentlich ausgetauscht werden, weil sich auch die Produktivsysteme erneut, modernisiert haben. In der Verfahrensbeschreibung wird daher das Thema Migration einen breiten Raum einnehmen. Vorzugsweise der Anbieter neuer Systeme liefert das Migrationskonzept mit und garantiert seine fehlerfreie Umsetzung. Bei einer Aufteilung zwischen verschiedenen Anbietern ist auf eine überschneidungsfreie, lückenlose Zuweisung der Verantwortung zu achten. In diese Garantien sind software-Komponenten einzubeziehen; und sollten die von anderen Herstellern kommen, dann sind auch diese Komponenten in die Garantie einzubeziehen.
6.8.7. Beschreibung der Prüfung der Ordnungsmässigkeit
Abschliessend sind in der Verfahrensbeschreibung Ausführungen zu Prüfungen der Ordnungsmässigkeit zu machen. Die formale Prüfung vergleicht die Verfahrensbeschreibung mit den System- und Anwendungsdokumentationen. Sie prüft, ob die Verfahren wahrheitsgemäß beschrieben werden, die Indexierung konsistent ist und die Wiederherstellung von Daten originalgetreu geschieht.
Die praktische Prüfung ist ein Funktionstest mit Testdaten. Erfassung, Indexierung, Suche und Finden werden „durchgespielt“. Die Abläufe und Ergebnisse müssen dem Tagesgeschäft gleichen. Sodann werden Manipulations- und Störungstests durchgeführt, um die Systemstabilität einschätzen zu können. Insbesondere die Abwehr unberechtigter Zugriffe, der Schutz der Datenkonsistenz, der Manipulationsschutz oder Eingriffe in die Indexdatenbank werden getestet. Danach sind Wiederanlaufroutinen zur Begutachtung dran. Für alle Tests gilt: Unter keinen Umständen darf ein Dokument verloren gehen, verändert werden, nicht mehr gefunden werden oder nicht in Übereinstimmung mit dem Original reproduziert werden.
Diese Tests führt ein sachkundiger neutraler Dritter durch. Im Prüfungszertifikat die die Prüfverfahren zu beschreiben, Testmaterial und Testfälle zu dokumentieren und die Ergebnisse niederzulegen.