„TR RESISCAN“

Der Teufel steckt wie immer im Detail

| Autor / Redakteur: Ulrich Gerke / Susanne Ehneß

Weiterer hoher Vorbereitungsaufwand entsteht auch im Rahmen der „Schutzbedarfsanalyse“ (Terminus der TR Resiscan). Hier ist für jedes Dokument beziehungsweise Dokumentenart und darin für jede der sechs vorgegebenen Datenobjekte (D0-D6: Schriftgut aus dem Posteingang; Scanrelevantes Original; Scanprodukt; Index- und Metadaten; Transfervermerk; Sicherungsdaten; Protokolldaten; D0 und D1 können vermutlich zusammengefasst werden) eine Kategorisierung von neun unterschiedlichen Sicherheitszielen vorzunehmen (siehe Bildergalerie, Punkt 3).

Eine sorgfältig begründete Sicherheitsanalyse also für 9 Sicherheitsziele mal 6 Datenobjekte mal Anzahl unterschiedlicher Dokumentarten je Fachgebiet in der Verwaltung beziehungsweise Behörde. Das wären je Dokumentart bereits 54 Einzelaspekte, die sorgfältig begründet werden sollen.

Wenn man davon ausgeht, dass in einer Verwaltung je Abteilung 10 bis 50 Dokumentarten existieren, multipliziert mit der Anzahl der Fachbereiche, in denen ein DMS eingesetzt werden soll, ist bereits bei der Schutzbedarfsanalyse klar, dass hier ein sehr hoher Aufwand entstehen kann. Wenn mindestens eine Dokumentart der Schutzklasse „Hoch“ bezüglich des Grundwertes Integrität zugeordnet ist, dann sind weitere technische Aufwandtreiber im Spiel, und die Sache wird noch komplizierter (siehe Bildergalerie, Punkt 4).

Kryptografie erhöht nicht die Rechtssicherheit

Der Integritätsschutz soll dann mit kryptografischen Maßnahmen hergestellt werden (siehe Bildergalerie, Punkt 5). Daher entsteht hoher Vorbereitungsaufwand bei der technischen Einrichtung einer TR-Resiscan-konformen Scanstrecke, sobald die in der TR vorgesehenen technischen Maßnahmen wie Verschlüsselung und Signatureinsatz umzusetzen sind.

Die in der technischen Richtlinie Resiscan geforderten Verschlüsselungs- und Signaturmaßnahmen sowie die neben dem Scanprodukt zusätzlich geforderten (Meta-)Datenobjekte (Stichwort Transfervermerke) sind lediglich in sehr wenigen Scan-Produkten im Standard enthalten.

Zusätzlich ergeben sich durch die Vielzahl der Datenobjekte erweiterte Anforderungen an die für die Aufbewahrung eingesetzten Komponenten – zum Beispiel Dokumentenmanagement –, die ebenfalls im Standard in der Regel nicht verfügbar sind.

Begriffsverwirrung „Authentizität“

Wird eine qualifizierte Signatur beim Scannen angebracht (zum Beispiel, wenn die Schutzklasse eines Dokumentes = Hoch), wird nur die Behauptung des Scanpersonals signiert (mit der Signaturkarte einer natürlichen Person in der Scanstelle), dass das, was auch immer dem Scanpersonal als Vergleich vorliegt und am Bildschirm sichtbar ist, in Ordnung sei. Beim Scannen von großen Mengen an Papierunterlagen werden häufig nur Stichprobenprüfungen vorgenommen.

Lesen Sie auf der nächsten Seite weiter.

Kommentar zu diesem Artikel abgeben
Interessant ist in diesem Zusammenhang auch folgendes Urteil: VG Wiesbaden, Urteil vom 28.2.2014-6...  lesen
posted am 25.07.2018 um 10:19 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43433715 / Standards & Technologie)