BSI überarbeitet Richtlinie RESISCAN, verbietet JBIG2

Im Nachgang zur Xerox-Saga und meinem 31C3-Vortrag überarbeitet das Bundesamt für Sicherheit in der Informationstechnik seine Richtlinie zum „Ersetzenden Scannen“ (= Rechtssicheres Scannen von Dokumenten unter Vernichtung der Originale). Vorab ist gestern einer der Kernpunkte der Überarbeitung auf der RESISCAN-Webseite des BSI erschienen. Ich zitiere:

Bei der Umsetzung der TR-RESISCAN ist hinsichtlich der Auswahl geeigneter Kompressionsverfahren folgende Regelung zu beachten:

  • Beim Scannen MUSS auf die Auswahl geeigneter Bildkompressionsverfahren geachtet werden.
  • Als grundsätzlich geeignet werden sowohl verlustfreie als auch verlustbehaftete Verfahren angesehen.
  • Verfahren, die zur Bildkompression die sog. „Pattern Matching & Substitution“ - Vorgehensweise nutzen, DÜRFEN NICHT eingesetzt werden. Auch das verwandte „Soft Pattern Matching“ DARF NICHT eingesetzt werden.

[…] Diese Regelung ist ab sofort (16.03.2015) gültig und wird mit dem nächsten Release in die Technische Richtlinie BSI TR-03138 aufgenommen.

Pattern Matching & Substitution ist die Standardvorgehensweise bei lossy JBIG2, und Soft Pattern Matching die bei lossless JBIG2 (Infos hier oder in den Veröffentlichungen von Paul Howard et al.1)). Es werden also sowohl die verlustfreie, als auch die verlustbehaftete Variante des verbreiteten JBIG2-Formats „verboten“. Im JBIG2-Standard heißt das ganze „Symbol Matching“.

Den ein oder anderen Leser mag es überraschen, dass auch Seiten, die mit lossless JBIG2 komprimiert wurden, nun plötzlich nicht mehr rechtssicher sein sollen. Immerhin ist es doch schon etwas wert, wenn mittels lossless JBIG2 sichergestellt ist, dass sich die Bilddaten nicht verändern. Die Krux liegt hier in der rechtlichen Praxis:

Rechtssicherheit heißt nicht nur „ich kann etwas scannen, und das ist dann nicht verändert“, sondern „ich kann etwas scannen, das ist nicht verändert, und das kann ich auch auf wirtschaftliche Weise vor einem Gericht glaubhaft machen“. Genaugenommen kann bei jedem Scanvorgang, auch zu einfacheren Bildkompressionsformaten, alles mögliche an Veränderungen passieren – wenn man so will, geht es also eigentlich ausschließlich ums „ich kann es wirtschaftlich glaubhaft machen“.

Das nun ist bei JBIG2-Bildern nicht so einfach, denn die können auf noch vielfältigere Weise als andere Formate pauschal angezweifelt werden. JBIG2 ist ein Dekompressionsstandard und kein Kompressionsstandard, ähnlich wie MP3. Das ermöglicht einen Wettbewerb zwischen komprimierenden Marktteilnehmern und das Nutzen von neuesten Technologien für die Komprimierung, ohne den Standard ändern zu müssen. Auf der anderen Seite kann aber auch jeder Kompressor sein eigenes Süppchen kochen, ohne dass man das dem fertigen JBIG2-Bild wirklich ansehen kann.

Zudem ist überhaupt nicht klar oder wäre zumindest fragwürdig, ob denn im juristischen Sinne eine „bildliche und inhaltliche Übereinstimmung“ gegeben ist, wenn ganze Blöcke von Pixeldaten beim komprimieren über eine Textseite oder ein ganzes Buch hinweg wiederverwendet werden, auch, wenn entstandene Fehler wie bei lossless JBIG2 durch Überlagerung mit Differenzbildern korrigiert werden. Ist eine „6“ juristisch immer noch dieselbe gescannte „6“, wenn sie in Wirklichkeit zusammengebastelt wurde aus einer „8“ von einer ganz anderen Stelle des Papiers und ein paar Korrekturpixeln, die aus der kopierten „8“ dann die ursprüngliche „6“ machen? Das ist jetzt keine graue Theorie, sondern ich kann hier ausdrücklich bestätigen, dass das Ansichten sind, die mir auch von Wirtschaftsunternehmen zugetragen wurden, die in dem Bereich arbeiten!

Rechtssicher heisst vor allem, dass die rechtliche Durchsetzung keinen Stress macht. Wenn einer aus reiner Böswilligkeit plausibel Dokumente anzweifeln kann, bloß weil JBIG2 draufsteht, und man dann erstmal aufwändigst die Richtigkeit nachweisen muss (oder vielleicht aufgrund theoretischer Erwägungen nicht kann), ist das halt einfach nicht rechtssicher. Da nimmt man dann lieber ein Kompressionsverfahren, was in der Praxis auch anerkannt wird, auch wenn es aus Informatikersicht weniger elegant ist, und kauft ein bisschen Storage mehr. So einfach ist das.

Update: Ich habe auch via Mail den Vorwurf gegenüber dem BSI erhalten, dass sie jetzt ganz JBIG2 eintüten, weil bei einem Hersteller jetzt mal ein Fehler bezüglich JBIG2 passiert ist. Ich möchte noch einmal ausdrücklich betonen: Die Anwürfe richten sich gegen JBIG2 selbst. Die Xerox-Saga war dabei nur der emotionale Trigger, der das BSI veranlasst hat, das mal anzugehen – aber nicht der Grund für die Maßnahme! Vielleicht kann man dem BSI vorwerfen, dass das etwas spät passiert ist, aber nicht die Maßnahme selbst.

Ich denke persönlich, hier ist eine große Portion juristisches Bauchgefühl dabei. Das muss nicht mathematisch nachvollzogen werden können! JBIG2-Artefakte sind der Sonderfall der „High quality Errors“ – wenn in JBIG2 was kaputt geht, sieht das Dokument dennoch perfekt aus. In Kombination mit dem durch-die-Gegend-kopieren von Pixelblöcken ist das halt der absolute Juristenschreck. Und vor Gericht gilt das nun mal einfach mehr als die Wahrheit eines Informatikers. Im Rechenzentrum gilt die Wahrheit des Informatikers ja auch mehr als die des Juristen. :-)

Betrachtet bitte auch das Ziel der Richtlinie! Die Richtlinie des BSI ist im Grunde ein Dokument, dass es Leuten ersparen soll, genau solche Detailbetrachtungen durchzuführen, wie wir das hier jetzt gerade bei JBIG2 machen. Wenn auch aus Sicht der Informatik ärgerlich, ist es also aus Sicht der Richtlinie angemessen, einfach pauschal zu sagen „nehmt halt kein JBIG2 sondern was anderes“. Damit ist für den Kunden gesorgt, der ist auf der sicheren Seite, ohne das ganze JBIG2-Format auseinandergepopelt zu haben.

Ich weiß, dass es im Netz in Mode ist, aufs BSI oder generell auf Behörden einzukloppen. In manchen Fällen mag das ja auch begründet sein. Aber dieser Fall ist in meinen Augen keiner davon. Update Ende.

Unabhängig vom BSI kommt die „Koordinationsstelle für die dauerhafte Archivierung elektronischer Unterlagen“ der Schweiz übrigens zu einem gleichartigen Schluss: […] empfiehlt die KOST, beim Erstellen von PDF-Dateien vorerst auf die Kompressionsart JBIG2 zu verzichten und die verschiedenen Quellen, insbesondere die Informatikdienstleister der abliefernden Stellen, zu sensibilisieren. Durch die Vermeidung von JBIG2 oder durch die Verwendung des neuen Xerox-Patches können die Anzahl fehlerhaften Scan-Dateien in Zukunft auf ein Minimum reduziert werden.

1)
vgl. z.B. Howard, P.G.; Kossentini, F.; Martins, B.; Forchhammer, S.; Rucklidge, W.J., „The emerging JBIG2 standard“, IEEE Transactions on Circuits and Systems for Video Technology, vol.8, no.7, pp.838,848, Nov 1998, doi: 10.1109/76.735380.