Rezertifizierungs-Kurzgutachten
Opti.List Professional Version 7.0

Zeitpunkt der Prüfung

20.05.2005 – 10.08.2006

 

Adresse des Antragstellers

HSP Handels-Software-Partner GmbH
In den Tarpen 51
22848 Hamburg
http://www.archivierungspflicht.de

 

Adresse der Sachverständigen

Sachverständiger für IT-Produkte (rechtlich):

Rechtsanwalt Olaf Lange

Rahlstedter Bahnhofstr. 12
22143 Hamburg
info@it-rechtsberatung.de

Sachverständiger für IT-Produkte (technisch):

Dipl. Inf. (FH) Andreas Bethke

An de Au 6
25548 Mühlenbarbek
andreas@b3-gruppe.de

 

Kurzbezeichnung des IT-Produktes

Opti.List Professional Version 7.0

 

Änderungen und Neuerungen des Produktes

In der Version 6 war als Verschlüsselungsprogramm lediglich die Software „ArchiCrypt“ als sog. Third-Party-Produkt in den Ablauf implementiert. Die vorliegende Version bietet darüber hinaus Schnittstellen zu den Produkten „DynaZIP“ (der US-Firma „Inner Media Inc.“), sowie zu den Verschlüsselungs-Produkte der indischen Firma „Cypherix“ „SecureIT“ und „Cryptainer“.

Mit der Komponente „DynaZIP“ können ZIP-kompatible Kompression und Dekompression in Applikationen implementiert werden. Dabei unterstützt „DynaZIP“ auch starke AES-Verschlüsselung (also AES-256).

„SecureIT“ ist ein einfach anzuwendendes, funktionsreiches Dateiverschlüsselungsprogramm auf Basis des 448-Bit Blowfish Algorithmus. Mit „SecureIT“ können einzelne Dateien und Verzeichnisse individuell verschlüsselt werden. Es beinhaltet einen leistungsfähigen Aktenvernichter und erstellt selbst-entschlüsselnde Email Anhänge, die es dem Benutzer erlauben verschlüsselte Emails an jeden beliebigen Empfänger zu verschicken. Der Empfänger braucht das Programm dafür nicht auf seinem Rechner installieren.

„Cryptainer“ schützt Daten durch die Erstellung mehrerer verschlüsselter Safes (ähnlich wie ArchiCrypt) mit bis zu einer Größe von 25 GB, die nach Bedarf mit einem Passwort geladen und entladen werden können. Dabei wird eine 448-Bit starke Verschlüsselung eingesetzt. Das Produkt bietet die Wahl zwischen Blowfish und AES Verschlüsselungsalgorithmen. Weiterhin bietet Cryptainer ein sicheres Email-Modul, das einem ermöglicht verschlüsselte Dateien zu erstellen, die als Email-Anhang verschickt werden können.

In der Version 7.0 von Opti.List werden als Archiv-System nun auch die gängigen Produkte der d.velop AG namens „D³“ und das „Easy Archiv“ (oder besser gesagt „Easy Enterprise“) von der gleichnamigen Firma unterstützt.

In der alten Version wurde noch die Monarch Version 6 unterstützt; die aktuelle Version unterstützt entsprechend auch die aktuelle Monarch Version 8.

 

Version des Anforderungskatalogs, die der Prüfung zugrunde gelegt wurde

Anforderungskatalog Version 1.2

 

Zusammenfassung der Prüfungsergebnisse

In technischer Hinsicht sind die zwischenzeitlich erfolgten Änderungen am Produkt durchweg positiv zu bewerten.
Bei der Auswahl der integrierten Third-Party-Produkte wurde stets auf die Einhaltung der aktuellen Sicherheitsstandards geachtet.

Das Ablegen einer verschlüsselten Datei in der Datenbank bietet eine zusätzliche Sicherheitsstufe, da ein einfacher Zugriff auf die Progress-Datenbank nicht ohne weiteres möglich ist. Liegt die verschlüsselte Datei im Dateisystem ist diese u.U. Angriffen ausgesetzt, bzw. es könnte versucht werden die Datei zu entschlüsseln.

Aus datenschutzrechtlicher Sicht hat die Beseitigung am IT-Produkt, Berechtigungssperren zu umgehen zu können, die Datensicherheit und den Datenschutz im Sinne des § 5 Abs. 1 LDSG erhöht.

Zudem ist hervorzuheben, dass die Archivierung der Daten in der neuen Version 7.0 mit der Software DynaZip, SecureIT und ArchiCrypt verschlüsselt erfolgt. Die Ver-schlüsselung erhöht den Datenschutz und die Datensicherheit gem. § 5 Abs. 1 LDSG, weil die Daten nun besser vor dem Zugriff unberechtigter Dritter geschützt sind.

Aufgrund des Umstandes, dass die Archivierung nun für jedes Archivierungsobjekt einzeln vorgenommen werden kann, wird die Datensparsamkeit i.S.d. § 4 Abs. 1 LDSG gefördert, da es nun möglich ist, die Anzahl der Archivierungsdaten besser zu selektieren und damit auch zu reduzieren.

Eine Auflistung von erstellten und ausgelagerten Datenträgern ist nun auf Archivier-ungsobjektebene möglich. Die Rechte der Betroffenen auf Löschung gem. § 28 Abs. 2 LDSG, Sperrung i.S.d. § 28 Abs. 3 LDSG, Auskunft gem. §27 Abs. 1 LDSG, Berichtigung §28 Abs. 1 LDSG oder Gegendarstellung nach §29 Abs. 1 LDSG sowie der Zweckbindung nach § 13 Abs. 1 LDSG werden durch die Innovation gestärkt, weil der Aufbewahrungsort, die Anzahl der Vervielfältigungsstücke und damit die Durchsetzung der vorstehenden Rechte der Betroffenen besser gewährleistet werden kann.

Das IT-Produkt ermöglicht nun auch die Archivierung sowohl auf wieder beschreibbaren als auch auf revisionssicheren Datenträgern. Die Löschpflicht und Datenvermeidung kann nun vorteilhafter gewährleistet werden, da die verantwortliche Stelle jetzt auswählen kann, ob diese die Daten auf den wieder beschreibbaren Datenträger speichert, auf dem die Daten gelöscht werden können oder ob diese die Daten auf dem revisionssicheren Datenträger archiviert, wodurch im alle einer Löschung der gesamte Datenträger vernichtet werden muss. Durch die Selektionsmöglichkeit wird in der Praxis verhindert, dass zu löschende Daten nur deshalb nicht gelöscht werden, weil diese zusammen mit noch aufzubewahrenden Daten, aufgrund von unterschiedlichen Löschfristen nicht von der Datenverarbeitenden Stelle gelöscht werden.

Im Hinblick auf die implementierten Produktverbesserungen führte die vorliegende Prüfung zu einer positiven Bewertung.
Die erneute Erteilung des IT-Gütesiegels wird folglich empfohlen.

Die Gutachter befürworten aus technischer und rechtlicher Sicht eine Rezertifizierung von dem IT-Produkt „Opti.List Professional“, Version 7.0 der Firma HSP GmbH.