Das BSI Bundesamt für Sicherheit in der Informationstechnik hat auf die "XEROX-Story" (http://bit.ly/1ABn4EY, http://bit.ly/1EnrMHO, http://bit.ly/XEROXscan und http://bit.ly/1BQUIKY) aufgegriffen. Das BSI ist der Meinung (http://bit.ly/ReSiScan), dass technisch und kaum sichtbar veränderte Scans ein Sicherheitsproblem sind. Die Richtlinie TR 03138 "ResiScan" wird entsprechend überarbeitet. JBIG2 soll zukünftig nicht mehr verwendet werden dürfen. Dies betrifft nicht nur den verlustbehafteten Pattern-Matching-Modus bei geringer Auflösung sondern gleich JBIG2 generell. Damit müssten alle Scanner- und Softwareprodukte, die dieses Komprimierungsverfahren einsetzen, nunmehr geändert werden. Aber dies betrifft nicht nur Deutschland. Auch die Schweizer "Koordinationsstelle für die dauerhafte Archivierung elektronischer Unterlagen" kommt zum gleichen Ergebnis und lehnt JBIG2 auch gleich ganz ab. Die Erkenntnisse von David Kriesel (siehe auch unseren Beitrag hier http://bit.ly/XEROXscan) zeigen Wirkung.
Könnte eine sehr interessante Frage beim CeBIT-Besuch sein - "welches Komprimierungsverfahren setzt ihre Scan-Software ein" :)
Da kommt einiges an Arbeit auf Anbieter und Anwender zu - wenn man das wirklich ernst nimmt. Aber ich möchte noch einmal daraufhinweisen, dass der Fehler nur bei sehr geringer Auflösung und der Wahl eines bestimmten Modus auftrat. Man schießt nun über das Ziel hinweg. Und - allein ein XEROX-Problem ist das wahrlich nicht.
Es wird die Bedeutung der Qualität des Scan-Prozesses selbst ignoriert. Verbieten eines Algorithmus hilft nicht. Elektronische Signaturen zu fordern, um aus den Scans "rechtssichere Dokumente" zu machen, hilft auch nicht. Es geht um die Sorgfalt im Prozess selbst. Aktivismus wie seitens BSI und KOST hilft nicht weiter.
Wir brauchen mehr Qualität und Sorgfalt in den Prozessen der Informationsgewinnung und Informationsaufbereitung. Wie anderen Ortes bereits postuliert (http://bit.ly/Scan-Vertrauen) - durch die automatische Erkennung und Verarbeitung der Inhalte der Dokumente selbst lassen sich auch solche Scan-Fehler finden. Der automatischen Prüfung ist damit der Vorzug vor der Sichtkontrolle zu geben, da die automatische Verarbeitung schneller und sorgfältiger als die rein visuelle Überprüfung durch den Menschen ist.
Und noch einmal - eigentliche Skandal beim "XEROX-Fall" ist, dass bei tausenden von installierten Geräten niemand über Jahre die auftretenden Fehler bemerkt hat. Und ich könnte mir auch vorstellen, dass es elektronisch signierte fehlerhafte Dokumente gibt - die nun mehr als beweiswerterhaltend und rechtssicher einzustufen sind.
Und - damit sind wir bei der abschließenden Frage: "was machen wir denn mit allen den Milliarden Dokumenten, die mit dem JBIG2-Verfahren gescannt wurden"? Sind diese nun - ob mit oder ohne Signatur - alle nicht mehr "rechtssicher"?