WORM-Speicher und Legal Hold: Wann Sie Write-Once-Archive benötigen
Die meisten Dokumentenarchive sind veränderlich. Eine Datei auf einem Standard-Dateisystem oder einem Objektspeicher kann von jedem mit den entsprechenden Berechtigungen überschrieben, gelöscht oder still verändert werden, einschließlich Systemadministratoren. Für die meisten betrieblichen Zwecke ist das in Ordnung. Für regulierte Dokumentenaufbewahrung entsteht ein Problem: Sie können nicht glaubhaft behaupten, dass ein archiviertes Dokument unverändert ist, wenn das System, das es speichert, es hätte verändern können.
WORM-Speicher und Legal Hold sind die beiden Mechanismen, die dies auf der Speicherschicht adressieren.
Was WORM bedeutet
WORM steht für Write Once, Read Many (einmal schreiben, beliebig oft lesen). Ein WORM-Speichersystem akzeptiert einen Schreibvorgang genau einmal für jedes Objekt. Nachdem der Schreibvorgang committet wurde, kann das Objekt nicht mehr geändert, überschrieben oder gelöscht werden, bis die konfigurierte Aufbewahrungsfrist abläuft.
Dies ist eine physische oder logische Einschränkung auf der Speicherschicht, keine Zugangskontrollrichtlinie. Der Unterschied ist wesentlich: Eine Zugangskontrollrichtlinie kann von einem Administrator geändert werden. Eine WORM-Einschränkung kann nicht durch Neukonfiguration von Berechtigungen umgangen werden, weil die Write-Once-Eigenschaft vom Speichersystem selbst erzwungen wird, nicht von einer darüber liegenden Richtlinienschicht.
Hardware-WORM: Optische Medien (CD-R, BD-R), bestimmte Enterprise-Bandformate und spezialisierte WORM-Festplattenanlagen erzwingen dies auf physischer Ebene. Einmal geschrieben, können die Daten unabhängig von der darüber laufenden Software nicht verändert werden.
Objektspeicher-WORM (softwareerzwungen): Die meisten modernen S3-kompatiblen Objektspeicher unterstützen einen “Object Lock”-Modus, der WORM-Semantik in Software implementiert. Wenn Object Lock mit einem Aufbewahrungsdatum aktiviert ist, verweigert die Speicher-API Lösch- und Überschreibanfragen für dieses Objekt bis zum Ablauf der Aufbewahrungsfrist, auch für Anfragen mit Administratorrechten.
Aufbewahrungsmodi
WORM-fähige Objektspeicher bieten typischerweise zwei Aufbewahrungsmodi:
Governance-Modus: Administratoren mit einer bestimmten Berechtigung können die Aufbewahrungssperre überschreiben. Nützlich zur Korrektur von Fehlern während der anfänglichen Aufbewahrungsperiode. Nicht geeignet für regulierte Archive, da die administrative Überschreibmöglichkeit erhalten bleibt.
Compliance-Modus: Kein Benutzer, einschließlich des Root-Kontos, kann das Objekt vor dem Aufbewahrungsdatum löschen oder ändern. Die Aufbewahrungsfrist kann verlängert, aber nicht verkürzt werden. Dies ist der Modus, der in den meisten Rechtssystemen für die regulatorische Compliance erforderlich ist.
Der Unterschied ist bei Prüfungen bedeutsam. Auf die Frage eines Prüfers “Hätte dieses Dokument nach der Archivierung verändert werden können?” sollte die Antwort lauten: “Nein, technisch unmöglich” und nicht: “Nein, nur Admins hätten es gekonnt, und wir vertrauen unseren Admins.”
Was Legal Hold bedeutet
Legal Hold (auch Litigation Hold genannt) ist ein von der Aufbewahrung getrennter Mechanismus. Die Aufbewahrung legt fest, wie lange ein Dokument aufbewahrt werden muss. Legal Hold setzt die Löschung eines bestimmten Dokuments aus, unabhängig davon, ob die Aufbewahrungsfrist abgelaufen ist.
Wenn eine Organisation einen Gerichtsbeschluss, eine behördliche Anfrage erhält oder über potenzielle Rechtsstreitigkeiten informiert wird, ist sie verpflichtet, alle relevanten Dokumente aufzubewahren. Legal Hold erzwingt diese Aufbewahrung automatisch: Dokumente unter Hold können nicht gelöscht werden, auch wenn ihre reguläre Aufbewahrungsfrist abgelaufen ist.
Der Hold wird durch ausdrückliche Freigabe aufgehoben, in der Regel durch den Rechtsbeistand, sobald die Angelegenheit beigelegt ist.
Operativ erfordert Legal Hold das Markieren von Dokumenten auf Metadatenebene und die Durchsetzung durch das Speichersystem. In Objektspeichern mit WORM-Fähigkeiten wird dies in der Regel als unbefristetes Hold-Flag neben der zeitlich begrenzten Aufbewahrungsfrist implementiert.
Wann WORM erforderlich ist
Regulatorische Anforderungen an unveränderlichen Speicher sind branchenspezifisch, aber zunehmend verbreitet.
Finanzdienstleistungen (EU): MiFID II verlangt, dass Transaktions- und Kommunikationsaufzeichnungen in einem Format gespeichert werden, das Änderungen verhindert. Die Anforderung gilt ausdrücklich für manipulationssicheren Speicher, den WORM erfüllt. Die Aufbewahrungsfristen betragen fünf Jahre für die meisten Transaktionsaufzeichnungen, sieben Jahre für einige Kategorien.
Gesundheitswesen: Die DSGVO in Verbindung mit branchenspezifischen Vorschriften (in Deutschland das Patientendatenschutzgesetz) verlangt, dass medizinische Unterlagen 10 bis 30 Jahre lang je nach Typ in einer Form aufbewahrt werden, die die Integrität gewährleistet. WORM ist die am besten vertretbare Implementierung.
Öffentlicher Sektor: Viele Beschaffungsvorschriften der EU-Mitgliedstaaten verlangen, dass Vertragsdokumentationen in unveränderlicher Form für die Dauer der Verjährungsfrist zuzüglich der Aufbewahrungsfrist archiviert werden, was 15 Jahre übersteigen kann.
Buchführung (GoBD, Deutschland): Die GoBD verlangen Unveränderbarkeit für archivierte Buchführungsunterlagen. Das Merkblatt stellt ausdrücklich fest, dass archivierte Dokumente vor nachträglichen Änderungen geschützt sein müssen. WORM-Speicher erfüllt diese Anforderung konstruktionsbedingt.
WORM ersetzt keine Hash-Ketten
WORM-Speicher beweist, dass die gespeicherten Bits seit dem Schreiben nicht verändert wurden. Er beweist nicht, welcher Prozess diese Bits produziert hat oder ob der Prozess korrekt war.
Eine Hash-Kette beweist, dass die Abfolge der Verarbeitungsereignisse konsistent und unverändert war. Sie verhindert nicht, dass der zugrunde liegende Speicher verändert wird (es sei denn, der Speicher ist ebenfalls WORM).
Zusammen adressieren sie verschiedene Bedrohungsmodelle:
| Mechanismus | Was er verhindert |
|---|---|
| WORM-Speicher | Nachträgliche Änderung oder Löschung archivierter Dateien |
| Hash-Kette | Nachträgliche Fälschung der Verarbeitungshistorie |
| RFC 3161-Zeitstempel | Rückdatierung von Dokumenten oder Ereignissen |
Ein vollständig vertretbares Langzeitarchiv verwendet alle drei: WORM für die Speicherschicht, Hash-Ketten für den Prüfpfad und RFC 3161-Zeitstempel als externe Zeitanker. Jede Schicht schließt Lücken, die die anderen offen lassen.
Beweisportabilität
Ein spezifisches Risiko bei WORM-Archiven ist der Vendor-Lock-in auf der Speicherschicht. Wenn Ihre WORM-Implementierung ein proprietäres Format oder eine proprietäre API verwendet, kann die Migration zu einem anderen Speicheranbieter vor Ablauf der Aufbewahrungsfrist unmöglich oder rechtlich riskant sein.
Die sicherste Architektur trennt die Beweise vom Speichermechanismus: Die Beweise (Dokument + Hash-Kette + Zeitstempel) sind unabhängig davon, wo sie gespeichert sind, eigenständig verifizierbar. Die WORM-Eigenschaft stellt sicher, dass sie nach der Archivierung nicht geändert wurden, aber das Evidence Pack beweist die Integrität, selbst wenn die WORM-Eigenschaft theoretisch umgangen werden könnte.
Das bedeutet, das Evidence-Pack-Format und das Speicherformat sollten unabhängig voneinander gewählt werden. PDF/A-3 für Dokumente, Standard-JSON für Prüfpfade und RFC 3161-Token in ihrer Standard-CMS-Kodierung sind allesamt formatunabhängig. Sie können mit Open-Source-Tools ohne Anforderung an das originale Speichersystem verifiziert werden.
SealDoc und unveränderliche Archivierung
SealDocs Archivmodus schreibt Dokumente in WORM-kompatiblen Objektspeicher mit Compliance-Mode-Aufbewahrungssperren. Die Aufbewahrungsfrist ist je nach Dokumenttyp konfigurierbar: sieben Jahre für Rechnungen, zehn Jahre für Verträge, benutzerdefinierte Fristen für branchenspezifische Anforderungen.
Im Archivmodus gespeicherte Dokumente kombinieren WORM-Speicher mit Hash-verketteten Prüfpfaden und RFC 3161-Zeitstempeln, was drei unabhängige Ebenen von Manipulationsschutz ergibt. Legal Hold kann über die API angewendet werden und wird nur bei ausdrücklicher Freigabe aufgehoben.
Das Legal Evidence Pack, das zum Archivierungszeitpunkt erstellt wird, wird selbst unter WORM-Aufbewahrung gespeichert, wodurch sichergestellt wird, dass die Beweis-Artefakte genauso unveränderlich sind wie die Dokumente, die sie abdecken.