Bisher dachte man beim Begriff Blockchain immer an digitale Währungen, neue Geschäftsmodelle für Banken und Versicherungen. Aber Blockchain verändert auch andere traditionelle Anwendungsfelder - so zum Beispiel das Records Management.
Die "Blockkette" ist ein Verfahren, in dem kontinuierlich gemachte Einträge durch kryptografische Enkodierung der verketteter Einträge die Verfälschbarkeit ausschließen. In der Regel benutzt man eine Datenbank, deren Sicherung gegen Manipulation (Integrität, Authentizität) durch Speicherung des Hashwertes des vorangehenden Datensatzes im jeweils nachfolgenden durch kryptographische Verkettung gesichert ist. Ähnliche Prinzipien kennen wir bereits aus kaufmännischen Systemen, wo eine Buchung nicht einfach gelöscht werden kann. Hier muss im Journal ein neuer Eintrag gemacht, der alte als ungültig gekennzeichnet und vom neuen Datensatz referenziert werden.
Daher ist der Schritt in die gleichermaßen abzusichernde revisionssichere Archivierung naheliegend. Records Management und revisionssichere Archivierung betreffen auch vorrangig kaufmännische, handels- und steuerrechtliche Vorgaben, wo es um Verfälschungssicherheit und Nachweisfähigkeit geht.
Was man jedoch bedenken muss ist, es geht hier um eine spezielle Lösung für die Datenbank, also bei einer traditionellen Referenz-Datenbank-Architektur eines revisionssicheren Archives um die Metadaten und Verwaltungsdaten. Die Objekte (Belege, Dokumente etc.) werden ja in einem separaten Speicher referenziert. Dieser ist aber nicht durch Blockchain abgesichert. Lediglich wenn man die Dokumente auch direkt als BLObs Binary Large Objects in der Datenbank mitspeichern würde, ergäbe sich das gleiche Schutzprinzip. Das würde aber die Nutzung durch die großen Datenmengen entscheidend verlangsamen. Allerdings ist für die revisionssichere Archivierung dieser Schritt eigentlich nicht notwendig, weil die Informationsobjekte im WORM-Verfahren unveränderbar gespeichert werden und zu dem die Daten der Informationsobjekte wie Hash, Größe, Datum, Titel etc. ebenfalls in Eingangs-Protokollen verzeichnet wird, die ihrerseits auch revisionssicher archiviert werden. natürlich kann man aber auch bei den Audit-Trails das Blockchain-Prinzip zur Absicherung einsetzen. Der Einsatz von Blockchain wäre aber genaugenommen nur auf die Index- und Verwaltungsdatenbank zu beschränken und macht dort auch Sinn. Über die Indexdatenbank wird das Wiederfinden und der Zugriff auf die sicher archivierten Objekte umgesetzt. Veränderungen hier würden zwar nicht zu Veränderungen bei den revisionssicher archivierten Objekten führen, aber man würde durch Manipulation gegebenenfalls andere oder keine Dokumente finden. Durch Blockchain lässt sich also die Verwaltung der archivierten Objekte zusätzlich absichern. Aber man muss auch noch andere Records-Management-Prinzipien in Betracht ziehen - das Löschen von Informationen. Hier wird bisher unterschieden zwischen "logischem Löschen" des Eintrags, der auf das separat gespeicherte Dokument verweist, und das "physische Löschen", bei dem sowohl der Eintrag in der Indexdatenbank als auch das gespeicherte Objekt gelöscht werden. Dies funktioniert so mit Blockchain nicht.
Der Ansatz Blockchain für Records Management zu nutzen und generell Records Management zu automatisieren kommt wie vieles aus den USA. Dort geht es im Records Management vorrangig um die Verwaltung von Daten mit Datenbanken. Der zu nutzende Speicher, also z.B. ein sicheres WORM-Verfahren, ist eine nachgeordnete "Baustelle". Bei reinen Records-Management-Anwendungen wird sich ebenso wie bei Fibu-, ERP-, Bank- und anderen Anwendungen der Blockchain-Ansatz sinnvoll einsetzen lassen. Für Konzepte wie die revisionssichere Archivierung wird aber eine generelle Frage zu lösen sein: welche Zukunft hat die Referenz-Datenbank-Architektur? Werden hier BLOb-Datenbanken, Hadoop-Speicher, Cloud-Architekturen und andere Entwicklungen das traditionelle, liebgewonnene Konzept grundsätzlich in Frage stellen? Immerhin beschäftigen sich auch professionelle Archivdienstleistungsanbieter wie Iron Mountain damit und nicht nur Berater und Analysten wie Alan Pelz-Sharpe (Deep Analysis) und Steve Weissman (Holly Group). In den USA ist das Thema brandheiß.
Ach ja, ähnliche Ideen für einen anderen Anwendungszweck hatten wir in Deutschland schon mit den Verfahren zum Nachsignieren der Zertifikate von elektronischen Signaturen mittels Hash-Bäumen. Und das könnte auch jemanden auf die Idee bringen, man lässt das Ganze mit Signaturen und Nachsignieren und macht hier einfach auch auf Blockchain.
Ulrich Kampffmeyer
Zuletzt aktualisiert am 31.05.2017 , Autorenrechte, Persistente URL: http://archiv.pc.qumram-demo.ch/in_der_diskussion/blockchain-krempelt-das-records-management-um
Kommentare
Blockchain funktioniert nicht für Records Management
Nur ein paar klärende Argumente zur Erläuterung meines Ursprungsbeitrages und um Gregor Joeris' Kritik aufzugreifen:
Die Grundkonzepte der Blockchain funktionieren nicht für Records Management:
- verteilt und öffentlich
passen nicht in eher zentrale Inhouse-IT-Konzepte - sequentielle Absicherung
wird bei größeren Datenmengen ineffektiv und langsam - Anonymität der Einträge
widerspricht Verantwortlichkeit, Nachvollziehbarkeit und Prüfbarkeit - keine Möglichkeit zum Löschen
widerspricht dem Grundprinzip des Records Management in Bezug auf die Entsorgung veralteter, ungültiger und falscher Information
Besonders das Thema Datenschutz, DSGVo, wird noch einige Hürden für die Blockchain aufbauen. Und von der Stromrechnung einmal ganz zu schweigen ...
Trends im Records Management
Zwei Trends verändern aktuell das Records Management: Blockchain und Automatisierung.
Während Unternehmen wie Deep Analysis (Alan Pelze-Sharp), Holly Group (Steve Weissman), Inacta (Jens Beba), Iron Mountain und zahlreiche andere den Einsatz von Blockchain beim Records Management promoten, sieht SER Solutions (Gregor Joeris) dies in seinem Beitrag in unserem Blog kritisch. Auch wir bei PROJECT CONSULT reagieren eher zurückhaltend auf dieses Einsatzfeld von Blockchain.
Den Trend der Automatisierung im Records Management beflügelt Künstliche Intelligenz (KI). Bereits im Sommer 2014 hatten wir Anwendungsfelder der Automatisierung im Records Management beschrieben (Records Management und Automation) und das Thema in einem virtuellen Roundtable der Competence-Site zur Diskussion gestellt (Automatisierung als Zukunft des Records Management?). In unserem Artikel findet sich bereits damals eine lange Liste von Funktionen, die automatisiert werden.
Durch die rasch voranschreitenden Entwicklungen bei Bigdata Analytics und Artificial Intelligence (AI) hat sich der Trend nun beschleunigt. Gerade beim Aufbau von Ordnungssystematiken, bei der Erfassung von neuen Records (Records Declaration), bei intelligenter Vererbung von Ordnungskritierien und anderen Metadaten. und beim Erschließen der Inhalte sind Fortschritte zu verzeichnen. Besonders der aufwändige und fehlerträchtige Flaschenhals der manuellen Erfassung von Records und ihrer Metadaten kann überwunden werden. In verschiedenen Vorträgen, zuletzt im Juni 2017, und Artikeln sind wir auf die möglichen Einsatzfelder von KI Künstlicher Intelligenz im Information Management eingegangen.
Die Automatisierung im Records Management schreitet schneller voran und ist wichtiger als der rein technologische Ansatz von Blockchain. Künstliche Intelligenz, Analyse-Verfahren und Automatisierung entlasten direkt den Endanwender. Sie unterstützen nicht nur herkömmliche Verfahren und Ansätze des Records Management sondern bringen neue Funktionalität und Nutzungsmodelle in die angestaubte Branche, die sich auf die Verwaltung von klassischen Dokumenten mittels ihrer Metadaten konzentrierte. Voluminöse Konzepte der Vergangenheit, die besonders das Records Management in der öffentlichen Verwaltung und regulierten Branchen betreffen, werden obsolet. Bereiten wir uns auf eine Revolution der Schriftgutverwaltung vor! Auch die systematische Behinderung von effizienten Methoden zur Verwaltung, Erschließung und Nutzung elektronischer Records im Public Sector wird zu einem Ende kommen.
Blockchain & Records Management ?
Während bei uns im Blog Joeris von SER wie auch wir (siehe oben) den Einsatz von Blockchain-Technologien für Records Management eher "zurückhaltend" sehen, ist Beba von inacta durchweg positiv eingestimmt, was den Einsatz von Blockchain im Informationmanagement angeht. In unserem Jubiläums-Newsletter-Kompendium (http://bit.ly/PCJub25NL) hat er den Beitrag "Anwendungsmöglichkeiten von Blockchain-Technologie im Information Management" veröffentlicht: http://bit.ly/PCjub25Beba . Die kritischen Stimmen weisen auf Anforderungen der GDPR/DS-GVO und Architektur-Probleme hin, die den Einsatz für klassisches Records Management stark einschränken.
Ein praktisches Beispiel für Records Management & Blockchain
in unserem August-Newsletter (der quasi Band 2 unseres Jubiläum-Newsletters vom Juni ist) hat Sanooj Kutty (Mannai Trading Co., Qatar) ein aktuelles Beispiel für den Einsatz von Blockchain beim Records Management geliefert "Know your Expat - A case for Blockchain based Records Keeping in Qatar" (Seite 32ff, http://bit.ly/PCNLAug2017, PROJECT CONSULT Newsletter 04/2017, August 2017). In dem Workflow geht es um Beantragung und Genehmigung von Aufenthaltsgenehmigungen für Qatar.
Die Blockchain soll ja nun mal wieder alles revloutionieren, auch "Information Governance" oder "Records Management".
Als ITler denke ich da eher an "The Hype is a Cycle" [http://geek-and-poke.com/geekandpoke/2016/12/12/hype-cycle]
ich kann diese Euphorie inhaltlich leider nicht nachvollziehen, ganz im Gegenteil.
Im Ernst: Wenn man die Grundlagen der Blockchain-Technologie betrachtet, wie sie aus der Originalquelle [https://bitcoin.org/bitcoin.pdf] hervorgehen (deren Lektüre bei diesem Thema zu empfehlen ist), dann kann ich nur sehr wenig Potenzial für diese Technologie rund um "Information Governance" oder "Records Management" erkennen.
Das revolutionäre an Blockchain ist zunächst die Vermeidung einer zentralen Instanz. Bei der wichtigsten Anwendung von Blockchain – Bitcoin – werden Finanztransaktionen ohne eine zentrale Bank abgewickelt. Die Blockchain ist ein "Distributed Ledger", der zudem noch vollständig öffentlich ist. Dies ist die zweite wichtige Eigenschaft. Da dies natürlich ein Problem ist, sind sie z.B. bei Bitcoin komplett anonym (die Blockchain verwendet Signaturen; die verwendeten Zertifikate sind dann wieder anonymisiert, eigentlich ein schlechter Scherz).
Um ohne zentrale Instanz Transaktionen sicher abzuwickeln, bedarf ist zudem einer Lösung des Double-Spending Problems. Die Validierung der Transaktion erfolgt durch ein sog. "Proof-Of-Work". Die Beteiligten Knoten des Blockchain-Netzes "kämpfen" darum, als erste einen Block zu validieren (wodurch im Übrigen die neuen Bitcoins geschürft werden). Da dies sehr aufwendig ist, werden immer viele Transaktionen in einem Block zusammengefasst. Schließlich ist die Chain eine Chain, eine sequentielle Kette. Skalierung erreicht man damit nicht. Die Validierung einer Transaktion ist also langsam und die Technologie by-design nicht skalierungsfähig. Und etwas aus der Kette löschen bricht die Kette auch, wie im Artikel schon erwähnt wurde.
Zusammengefasst: Wir haben es also mit einer nicht-skalierbaren, langsamen, oft Einzelobjektebene nicht-transaktionalen Technologie zu tun deren Daten entweder komplett öffentlich sind (Datenschutz? Unternehmensgeheimnisse?) oder daher ggf. noch komplett anonym sind. Und damit möchte man nun "Information Governance" oder "Records Management" abbilden?
Wie geht Nachvollziehbarkeit bei Anonymität?
Wie geht Datenschutz bei öffentlichen Daten? Und ohne Löschmöglichkeit?
Wann bekommt man die Bestätigung, dass ein Dokument erfolgreich archiviert wurde?
Und vor allem: wo ist hier überhaupt der UseCase, auf eine zentrale Instanz verzichten zu müssen? Es ist ja nicht so, dass man seine aufbewahrungspflichtigen Dokumente heutzutage zu einem zentralen ArchivCenter bringen muss. Vielmehr steht doch jedes Unternehmen für sich in der Pflicht, die Dokumente selbst aufzubewahren. Es gibt hier weder den Bedarf, eine zentrale Instanz aus der Transaktionskette zu entfernen noch den Bedarf, ein "Distributed Ledger " nutzen zu wollen (abgesehen davon, dass man es in diesem Kontext wohl auch nicht so einfach darf). Der Austausch aufbewahrungspflichtiger Dokumente läuft heute und seit je her immer schon zwischen zwei Parteien und jeder bewahrt seine Dokumente auf. Die Echtheit kann man mit digitalen Signaturen schon ewig absichern, wenn denn überhaupt gewünscht.
Stopp, halt. Eine zentrale Instanz gibt es noch. Den Staat. U.a. als zentrale Stelle von Geburts- und Heiratsurkunden usw. Super, diese zentrale Instanz könnten wir natürlich ausbooten. Heiraten ohne Staat, das wird ein Erfolgsmodell…
Lassen wir das brandheiße Thema mal in Ruhe abkühlen.
Entspannte Grüße,
Gregor Joeris