(29. Juni 2012) Sind elektronische Kopien eines wissenschaftlichen Artikels genauso gut vor Manipulationen geschützt, wie auf Papier gedruckte, die in Bibliotheken stehen? Teil zwei des Interviews mit Peter Schirmbacher, Direktor des Computer- und Medienservice der Humboldt-Universität Berlin.
Laborjournal: Herr Schirmbacher, wir haben bereits über die Sicherheit der Publikations- und Dokumentenserver gesprochen. Wie steht es um die Sicherheit der elektronischen Dokumente?
Peter Schirmbacher: Wir haben bisher behandelt 'wie sicher ist der Server gegen Zerstörung oder Verlust?'. Aber es geht natürlich auch um die Wahrung der Integrität des Artikels, der eingespeichert wird. Wie sicher ist der Server gegen Manipulation? Die Deutsche Initiative für Netzwerkinformation (DINI) schreibt natürlich vor, dass es ein scharfes Regime geben muss, wer auf einen solchen Server zugreifen darf. Das heißt, wer kann den Server manipulieren? Letztlich läuft es darauf hinaus, dass das nur die Administratoren des Servers dürfen und dass jede ihrer Aktivitäten automatisch protokolliert wird, ohne dass diese Personen es selbst beeinflussen können. Ich habe damit also erreicht, dass der Server selbst nicht manipuliert werden kann.
Schließt das alleine schon aus, dass Dokumente manipuliert werden können?
Peter Schirmbacher: Nehmen wir einmal an, irgendeinem Hacker ist es gelungen in solch einen Server einzudringen. Man kann ja nie alles zu hundert Prozent ausschließen, obwohl wir es zu einem hohen Prozentsatz versuchen. Dann habe ich noch eine weitere Möglichkeit, um die Integrität und Authentizität des Dokuments zu sichern. Wir arbeiten hier mit mit einem sogenannten Hashwert. Das ist vergleichbar mit einer Art Prüfsumme: Ich habe einen zehn Seiten langen Beitrag und lasse über die Datei, die diese zehn Seiten enthält, einen besonderen Algorithmus laufen. Als Ergebnis bekomme ich eine Zeichenkette, die zum Beispiel 50 Zeichen lang ist, also deutlich kürzer, als diese 10 Seiten. Jedes Mal in der Folgezeit, wenn ich denselben Algorithmus über dieselbe Datei laufen lasse, bekomme ich denselben Hashwert. Verändere ich auch nur ein Zeichen in den zehn Seiten – ob das ein Leerzeichen oder ein i-Punkt ist – ändert sich auch der Hashwert. Aus diesem Grunde kann ich auch nach zehn Jahren sagen, wenn ich denselben Algorithmus laufen lasse, dass die Datei noch genauso beschaffen ist wie vor zehn Jahren oder aber verändert worden ist. Wenn sie manipuliert wurde, weiß ich zwar nicht an welcher Stelle, aber ich weiß, dass sie nicht mehr identisch mit dem Ursprungsdokument ist.
Wir haben auch schon über die Migration von Dateien gesprochen, kann man dabei nichts manipulieren? Bleiben die Prüfsummen gleich, nachdem man ein Dokument migriert hat?
Peter Schirmbacher: Nein, ich muss dann neue Prüfsummen bilden. Wenn ich migrieren will, nehme ich mir die Datei und sehe nach, ob die Prüfsumme stimmt. Wenn sie stimmt, ist die Integrität der Datei gegeben. Nun bin ich eine vertrauenswürdige Person und migriere diese Datei in ein nächstes Format. Wenn ich das gemacht habe, bin ich persönlich der festen Überzeugung, dass ich nichts verfälscht habe. Anschließend bilde ich eine neue Prüfsumme, die dann gilt. Es gibt Diskussionen darüber, ob man diese Art von Dateien, die in der Folge entstehen, kapselt, das heißt, ob man sie alle gemeinsam in einen sogenannten Container steckt, sodass später noch einmal die Chance besteht den Werdegang der „Veränderung“ der Datei nachzuvollziehen. Ob das realistisch ist, ist im Moment nicht klar. Auch nicht, ob man diesen Prozessablauf so dokumentieren kann, dass er zweifelsfrei nachvollzogen werden kann.
Wie könnte man noch manipulieren?
Peter Schirmbacher: Man muss auch die Authentizität des Autors klären. Ich kann ja behaupten irgendwer hätte eine Arbeit eingereicht, die aber gar nicht von demjenigen ist. Ich gehe einmal zurück in die traditionelle Welt, also zum klassischen Publizieren. Wenn ein Verlag eine Arbeit zugeschickt bekommt, ist es Sache des Verlages zu prüfen, ob der Autor der Autor ist. Zunächst gehe ich davon aus, dass die Verlage ihre Autoren kennen. Sollten sie sie nicht kennen, haben sie natürlich ein Problem. Wie prüft beispielsweise ein internationaler Verlag, der von irgendwo aus Asien einen Artikel bekommt, ob es tatsächlich die Person ist oder nicht? In der elektronischen Welt gibt es diese Verunsicherung genauso. Was wir als Möglichkeit hätten, was aber noch nicht im breiten Stile angeboten wird, ist die sogenannte digitale Unterschrift. Ich erinnere an den digital lesbaren Personalausweis. Mit diesem kann ich ein Dokument unterzeichnen, wodurch belegt wird, dass dieses Dokument vom Inhaber dieses Ausweises ist. Das kann ich natürlich genauso mit wissenschaftlichen Arbeiten machen. Damit erreiche ich die Gewissheit, dass der Autor der Autor ist. Ich gebe fairerweise zu, dieses Verfahren wird noch nicht allzu häufig benutzt. Aber es ist prinzipiell möglich und macht deutlich, dass beim elektronischen Publizieren die Verunsicherung nicht größer sein muss.
Ist es einfacher Open Access-Publikationen langfristig zu archivieren? Kann man Bezahl-Artikel in ein Archiv überhaupt einspeisen?
Peter Schirmbacher: Das elektronische Publizieren ist unabhängig von Open Access. Es gibt genügend Verlage, die ausschließlich elektronisch veröffentlichen. In dem Sinne ist die Langfrist-Archivierung von elektronischem Material auf den ersten Blick unabhängig von der rechtlichen Situation. Wenn ich eine Open Access-Publikation habe – und damit in der Mehrzahl der Fälle die Urheberrechte sauber geklärt sind – habe ich es natürlich einfacher, weil für die einzelne Datei keine rechtlichen Dinge zu berücksichtigen sind, zum Beispiel Rechte Dritter oder Ähnliches. Daher ist das Speichern einer Open Access-Datei natürlich ein bisschen problemfreier. Wenn ich die elektronischen Veröffentlichungen nehme, an der zum Beispiel Rechte von Verlagen hängen, ist das höchst kompliziert und in vielen Fällen eine Einzelfallentscheidung.
Interview: Valérie Labonté
Bild: privat
Teil 1: Können elektronische Publikationen auf Dokumentenservern irgendwann verloren gehen?