Suchen

Ersetzendes Scannen – sicher, wirtschaftlich, pragmatisch

Wichtige Antworten zur TR-Resiscan

Seite: 7/7

Firmen zum Thema

eSignatur & Anforderungen

Der Autor: Steffen Schwalm, Business Advisor, Bearingpoint GmbH
Der Autor: Steffen Schwalm, Business Advisor, Bearingpoint GmbH
(Bild: Bearingpoint)

Nur sofern Dokumente mit einem Schutzbedarf von „hoch“ für die Integrität ersetzend gescannt werden sollen, empfiehlt die TR den Einsatz kryptographischer Mittel wie fortgeschrittene oder qualifizierte elektronische Signaturen. Werden diese nicht genutzt, ist nachzuweisen, dass die verwendeten Mittel den gleichen Schutz gewährleisten.

Sofern das Scanprodukt einen sehr hohen Schutzbedarf aufweist oder als potenziell als Beweismittel vor Gericht verwendet werden soll, was sich bei aktenrelevanten Dokumenten faktisch aus dem Prinzip der Aktenmäßigkeit ergibt, so sollen zur Integritätssicherung des Scanprodukts sowie des Transfervermerks vorzugsweise qualifizierte elektronische Signaturen und zur Sicherung der Integrität des Scanzeitpunkts qualifizierte Zeitstempel verwendet werden. Diese Empfehlung wird insbesondere auch durch aktuelle Rechtsprechung unterstützt.

Um den technischen Aufwand zu begrenzen, kann dabei eine Stapel- oder Massensignatur zum Einsatz kommen, sodass nicht für jedes Dokument einzeln die Signatur freizuschalten ist. Daneben ist zu beachten, dass mit der EU-Verordnung elektronische Vertrauensdienste (eIDAS) und die diese untersetzenden Ausführungsbestimmungen sowie europäischen Normen (ETSI/CEN) die Nutzung der QES voraussichtlich erheblich vereinfacht wird.

So wird es künftig mit dem sogenannten elektronischen Siegel, das technisch im Wesentlichen einer QES entspricht, eine QES basierend auf einem qualifizierten Zertifikat für eine Organisation möglich sein. Zudem muss diese nicht zwingend per Signaturkarte angebracht werden, sondern kann voraussichtlich auch automatisiert per Serverzertifikat angebracht werden.

Erfüllung der Richtlinie

Um sicherzustellen, dass der gewählte Scanprozess einschließlich des Scansystems die Anforderungen gemäß TR-Resiscan erfüllt, bietet das BSI die Möglichkeit einer Zertifizierung der eine Auditierung durch einen unabhängigen Auditor vorangeht.

Die Prüfung erfolgt anhand dezidierter Testfälle des BSI, wobei die Erstellung der Strukturanalyse und Schutzbedarfsanalyse, die Erstellung der Verfahrensdokumentation und die Umsetzung der entsprechenden Anforderungen aus dem modularen Maßnahmenkatalog obligatorische Voraussetzung ist. Die Zertifizierung bestätigt somit von unabhängiger dritter Stelle, dass der Scanprozess dem gesetzlich geforderten Stand der Technik (EGovG) nach TR-Resiscan entspricht und bietet zusätzliche Sicherheit gegenüber Gerichten, Prüfbehörden und Dritten.

Daneben bietet sie sich an, sofern ein öffentlicher oder privater IT-Dienstleister mit dem ersetzenden Scannen beauftragt werden soll, um die Erfüllung der TR zu gewährleisten. Vergleichbare Forderungen finden sich aktuell in zahlreichen öffentlichen Ausschreibungen zur Digitalisierung von Geschäftsunterlagen.

Langzeitspeicherung

Für den Erhalt des Beweiswerts kryptographisch signierter Daten wird in Maßnahme A.AM.IN.H.5 der TR-03138 der Einsatz der in der BSI TR-03125 spezifizierten Verfahren und Formate empfohlen.

Die Nutzung kryptographischer Mittel, wie fortgeschrittene oder qualifizierte elektronischer Signaturen und qualifizierte Zeitstempel, ermöglicht nach geltendem Recht zum einen ein ersetzendes Scannen mit höchstmöglicher Beweissicherung und zum anderen die Erhaltung des für die Nachweisführung notwendigen Beweiswerts im Rahmen einer elektronischen Langzeitspeicherung, ohne die essentielle Verkehrsfähigkeit einzuschränken . Auf dieser Basis entwickelte das BSI die Technischen Richtlinien TR-Resiscan und TR-Esor mit Lösungsansätzen und Empfehlungen für Hersteller und Anwender.

Sowohl die TR-03138 als auch die TR-03125 wurden auf Basis nationaler und internationaler Standards erstellt. Beide technischen Richtlinien fanden wie bereits erwähnt Eingang in das EGovG des Bundes, welches die Basis einer nachhaltigen sowie beweissicheren elektronischen Verwaltungsarbeit für die Öffentliche Verwaltung bildet.

Der Autor: Alexander Dörner, Geschäftsführer, itellent GmbH
Der Autor: Alexander Dörner, Geschäftsführer, itellent GmbH
(Bild: itellent GmbH)

Auf Landesebene werden aktuell korrespondierende Gesetze erarbeitet. Daneben wurden die Kerninhalte der TR-03125 in DIN 31647 normiert. Im Verbund mit diesen Technischen Richtlinien, Gesetzen und Standards wie zum Beispiel dem in ISO 14721 genormten OAIS-Modell lassen sich ganzheitliche elektronische Prozesse abbilden, die die Beweissicherheit aller elektronischen Unterlagen bis zum Ablauf der geltenden Aufbewahrungsfristen gewährleisten .

(ID:43636096)