Beweiskraft

Was dies nicht ist

Dies ist kein Zeitstempeldienst nach Maßgabe des Signaturgesetzes. So etwas scheint bisher nur im Rahmen von professionellen Dokumentenarchivierungssystemen angeboten zu werden. Dieser Dienst ist dagegen als Einzelfalllösung gedacht, für Leute, die so etwas nur gelegentlich benötigen.

Die Registrierung von Hashwerten bei unserem Dienst bringt Ihnen natürlich nur dann etwas, wenn dies von den relevanten Instanzen auch als Nachweis anerkannt wird. Zwingen kann man dazu niemanden. Das Vertrauen in die Bestätigung dieses Dienstes hat zwei Aspekte:

persönliches Vertrauen
Derjenige muss dem Betreiber die Glaubwürdigkeit zubilligen, dass er nach bestem Wissen und Gewissen arbeitet (und nicht etwa irgendwem "Gefälligkeitssignaturen" ausstellt).
technisches Vertrauen
Auch wenn die Betreiber des Dienstes persönlich integer sind, kann der Server natürlich gehackt werden – theoretisch. Das Betriebssytem kann ausnutzbare Sicherheitslücken haben, die Webserversoftware ebenso und natürlich auch und erst recht die Software, die wir selber geschrieben haben.

Die persönliche Glaubwürdigkeit ist einerseits dadurch gegeben, dass wir ein neutraler Dritter sind, dem (vor Gericht) zunächst einmal geglaubt wird, wenn nichts konkret dagegen spricht. Aus diesem Grund mag dieses Angebot für diejenigen, die eine direkte oder indirekte persönliche Beziehung zum Betreiber haben, weniger wert sein.

Technisches Vertrauen sollte dadurch entstehen, dass der Code dieses Dienstes sehr klein und überschaubar ist. Eine Seite Code kann man durchaus noch ohne Sicherheitslöcher schreiben. Die Interaktionsmöglichkeit der Nutzer ist sehr gering und damit auch die Angriffsfläche. Allerdings läuft dieser Dienst gegenwärtig auf einem shared server bei 1&1. Wir haben also weder Einfluss auf das Betriebssystem noch die Webserversoftware. Auf den Datenbankserver auch nicht. Zum gegenwärtigen Zeitpunkt gibt es keinen unabhängigen Dritten, der dieses System überprüft hat.

Wert der Daten

Wie bei so vielen Aspekten der IT-Sicherheit ist auch hier die Frage entscheidend, welchen Wert die Daten für Sie haben. Je unattraktiver der technische Aufwand, diesen Dienst zu knacken, angesichts des vergleichsweise geringen Wertes der Daten ist, desto mehr Vertrauen wird ein Dritter unserer Bestätigung entgegenbringen. Und solange Sie niemandem mitteilen, dass Sie Ihren Hash in diesem Dienst hinterlegt haben, hat auch keiner ein Interesse an Manipulationen (jenseits von Vandalismus). Gezielte Manipulationen sind ohne Kenntnis Ihres Hashs auch gar nicht möglich, da man den Datenbankeinträgen nicht ansieht, von wem sie sind (wie auch, nicht einmal der Betreiber weiß das). Wenn Sie diese Information bekanntmachen, um den Nachweis erbringen zu können, dann können Sie möglichst viele Zeugen bitten, den Hash-Eintrag zeitnah selber zu prüfen. Damit wäre eine Manipulation der Datenbank nicht mehr viel wert.

Diese Seite ist standardkonform. Wenn Sie bei Ihnen komisch angezeigt wird, liegt das an Ihrem Browser. Versuchen Sie es mal hiermit.

Valid XHTML 1.0 Strict Valid CSS!