Ersetzendes Scannen – sicher, wirtschaftlich, pragmatisch

Wichtige Antworten zur TR-Resiscan

Seite: 6/7

Firmen zum Thema

Aufwand

Das ersetzende Scannen unterscheidet sich nicht grundlegend von der in vielen Institutionen ­bereits etablierten Digitalisierung papierner Unterlagen, die zum ­Beispiel bei der Einführung einer eAkte ohnehin notwendig ist. So sind vorbereitende Maßnahme wie beispielsweise die Vollständigkeit der Vorlage beim Scannen, die Stapelbildung, das Entklammern, die Beschreibung der Anforderungen an das Scanprodukt (Farbe/Graustufen, Dateiformate) oder eine sachgerechte Nachbearbeitung und Qualitätskontrolle obligatorisch, um eine bedarfsgerechte Weiterverarbeitung im DMS/VBS oder einem Fachverfahren zu gewährleisten.

Dabei sind auch die Sicherheitsanforderungen an das Scanverfahren und den Scanprozess zu betrachten. Unabhängig davon, ob ersetzend gescannt wird oder nicht, ist zudem für jedes Scannen eine Verfahrensanweisung zu erstellen, um eine anforderungsgerechte und ordnungsgemäße Digitalisierung zu gewährleisten.

Insofern wird die Mehrheit der in der TR-Resiscan definierten Anforderungen häufig bereits erfüllt und ist nur um die notwendigen Maßnahmen zu ergänzen, um die Papieroriginale vernichten zu können. Die TR beschreibt lediglich das Vorgehen hierzu prägnant als Leitfaden und unterstützt so die ordnungsgemäße Umsetzung, die zudem im Rahmen einer Zertifizierung von einem sachverständigen Auditor geprüft und vom BSI bestätigt werden kann.

Der Aufwand zur Umsetzung des ersetzenden Scannens nach TR-Resiscan ist wie jede Digitalisierung stark abhängig von der Art der zu scannenden Dokumente (unterschiedliche Dokumenttypen, rechtliche Bedeutung, personenbezogene Daten) sowie dem gewählten Betreibermodell. Sowohl bei einer Inhouselösung als auch beim Outtasking wird der Scanprozess durch die Behörde selbst konzipiert und technisch umgesetzt. Lediglich das Personal wird beim Outtasking durch den Dienstleister gestellt. In beiden Fällen liegt der volle Aufwand für Konzeption, Verfahrensanweisung und Umsetzung bei der Behörde.

Wird dagegen ein externer Dienstleister mit Aufbau und Betrieb des ersetzenden Scannens beauftragt, also das Outsourcing gewählt, so sind seitens der Behörde im Wesentlichen nur der Weg zum Dienstleister sowie der Hin- und Rücktransport der Originale und der Scanprodukte zur Behörde zu betrachten. Die übrigen Analysen zum Scanprozess sowie die Verfahrensanweisung sind vom Dienstleister zu erstellen.

Mit Blick auf die zunehmend begrenzten ­finanziellen wie personellen Ressourcen der Öffentlichen Verwaltung sowie der Bestrebungen zur IT-Konsolidierung auf allen Verwaltungsebenen (Bundesrechenzentrum, Landes- und kommunale IT-Dienstleister) ist die Zentralisierung des Scannens bei einem öffentlichen IT-Dienstleister daher eine ernsthafte Option.

Dabei sollte in der Vergabe der Dienstleistung der Nachweis einer Zertifizierung nach TR-Resiscan gefordert werden, sodass für die Behörde hier die Sicherheit des ersetzenden Scannens nach Stand der Technik gewährleistet wird. Entsprechend zertifizierte Dienstleister sind zudem am Markt etabliert.

Bei der praktischen Umsetzung empfiehlt es sich pragmatische Lösungen orientiert am Schutzbedarf der besonders kritischen Dokumenttypen (Verträge, Urkunden) zu wählen. Denn ein hoher Differenzierungsgrad der Maßnahmen je Dokumenttyp würde absehbar zu einer unnötig hohen Komplexität im Scanprozess führen.

Da die Kosten seitens der Dienstleister erfahrungsgemäß, im Vergleich zu einer Inhouse- oder Outtaskinglösung überschaubar sind, erzeugt die Orientierung an den höheren Schutzbedarfen keinen signifikanten Mehraufwand. Im Gegenteil: Es wird ein effizientes ersetzendes Scannen für alle ersetzend scanbaren Dokumente ermöglicht – ohne aufwendige Sonderlocken. In aller Regel werden die Dienstleister ohnehin eine Zertifizierung auch für die Aufbaumodule gemäß TR-Resiscan und damit bis zum sehr hohen Schutzbedarf vorweisen können.

Der Einsatz der elektronischen Signatur schafft bei der Integritätssicherung darüber hinaus weitere Mehrwerte mit Blick auf die ab 01.07.2016 greifenden Ausführungsbestimmungen der eIDAS-Verordnung . Mit dem dort definierten elektronischen Siegel – faktisch einer „elektronischen Signatur für Organisationen“ – wird nur noch ein qualifiziertes Zertifikat für die komplette Behörde benötigt, was den Signatureinsatz erheblich erleichtert. Daneben ermöglicht die Verordnung voraussichtlich neben der QES auf einer Signaturkarte weitere Implementierungsoptionen in Verbindung mit sogenannten Hardware Sicherheitsmodulen (HSM) und der mobilen Signatur, sodass auch der technische Aufwand minimiert wird – egal ob Inhouse oder beim Dienstleister gescannt wird.

Bitte lesen Sie auf der nächsten Seite weiter.

(ID:43636096)