Ersetzendes Scannen – sicher, wirtschaftlich, pragmatisch

Wichtige Antworten zur TR-Resiscan

| Autor / Redakteur: Steffen Schwalm & Alexander Dörner / Susanne Ehneß

Aufwand

Das ersetzende Scannen unterscheidet sich nicht grundlegend von der in vielen Institutionen ­bereits etablierten Digitalisierung papierner Unterlagen, die zum ­Beispiel bei der Einführung einer eAkte ohnehin notwendig ist. So sind vorbereitende Maßnahme wie beispielsweise die Vollständigkeit der Vorlage beim Scannen, die Stapelbildung, das Entklammern, die Beschreibung der Anforderungen an das Scanprodukt (Farbe/Graustufen, Dateiformate) oder eine sachgerechte Nachbearbeitung und Qualitätskontrolle obligatorisch, um eine bedarfsgerechte Weiterverarbeitung im DMS/VBS oder einem Fachverfahren zu gewährleisten.

Der Teufel steckt wie immer im Detail

„TR RESISCAN“

Der Teufel steckt wie immer im Detail

02.06.15 - Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit der technischen Richtlinie „TR 03138 RESISCAN“ Vorgaben für das ersetzende Scannen festgeschrieben. Das vor zwei Jahren veröffentlichte Dokument bedarf laut Ulrich Gerke dringend einer Überarbeitung. lesen

Dabei sind auch die Sicherheitsanforderungen an das Scanverfahren und den Scanprozess zu betrachten. Unabhängig davon, ob ersetzend gescannt wird oder nicht, ist zudem für jedes Scannen eine Verfahrensanweisung zu erstellen, um eine anforderungsgerechte und ordnungsgemäße Digitalisierung zu gewährleisten.

Insofern wird die Mehrheit der in der TR-Resiscan definierten Anforderungen häufig bereits erfüllt und ist nur um die notwendigen Maßnahmen zu ergänzen, um die Papieroriginale vernichten zu können. Die TR beschreibt lediglich das Vorgehen hierzu prägnant als Leitfaden und unterstützt so die ordnungsgemäße Umsetzung, die zudem im Rahmen einer Zertifizierung von einem sachverständigen Auditor geprüft und vom BSI bestätigt werden kann.

Der Aufwand zur Umsetzung des ersetzenden Scannens nach TR-Resiscan ist wie jede Digitalisierung stark abhängig von der Art der zu scannenden Dokumente (unterschiedliche Dokumenttypen, rechtliche Bedeutung, personenbezogene Daten) sowie dem gewählten Betreibermodell. Sowohl bei einer Inhouselösung als auch beim Outtasking wird der Scanprozess durch die Behörde selbst konzipiert und technisch umgesetzt. Lediglich das Personal wird beim Outtasking durch den Dienstleister gestellt. In beiden Fällen liegt der volle Aufwand für Konzeption, Verfahrensanweisung und Umsetzung bei der Behörde.

Wird dagegen ein externer Dienstleister mit Aufbau und Betrieb des ersetzenden Scannens beauftragt, also das Outsourcing gewählt, so sind seitens der Behörde im Wesentlichen nur der Weg zum Dienstleister sowie der Hin- und Rücktransport der Originale und der Scanprodukte zur Behörde zu betrachten. Die übrigen Analysen zum Scanprozess sowie die Verfahrensanweisung sind vom Dienstleister zu erstellen.

Mit Blick auf die zunehmend begrenzten ­finanziellen wie personellen Ressourcen der Öffentlichen Verwaltung sowie der Bestrebungen zur IT-Konsolidierung auf allen Verwaltungsebenen (Bundesrechenzentrum, Landes- und kommunale IT-Dienstleister) ist die Zentralisierung des Scannens bei einem öffentlichen IT-Dienstleister daher eine ernsthafte Option.

Dabei sollte in der Vergabe der Dienstleistung der Nachweis einer Zertifizierung nach TR-Resiscan gefordert werden, sodass für die Behörde hier die Sicherheit des ersetzenden Scannens nach Stand der Technik gewährleistet wird. Entsprechend zertifizierte Dienstleister sind zudem am Markt etabliert.

Ergänzendes zum Thema
 
Wer wendet ersetzendes Scannen nach TR-Resiscan ­bereits an?

Bei der praktischen Umsetzung empfiehlt es sich pragmatische Lösungen orientiert am Schutzbedarf der besonders kritischen Dokumenttypen (Verträge, Urkunden) zu wählen. Denn ein hoher Differenzierungsgrad der Maßnahmen je Dokumenttyp würde absehbar zu einer unnötig hohen Komplexität im Scanprozess führen.

Da die Kosten seitens der Dienstleister erfahrungsgemäß, im Vergleich zu einer Inhouse- oder Outtaskinglösung überschaubar sind, erzeugt die Orientierung an den höheren Schutzbedarfen keinen signifikanten Mehraufwand. Im Gegenteil: Es wird ein effizientes ersetzendes Scannen für alle ersetzend scanbaren Dokumente ermöglicht – ohne aufwendige Sonderlocken. In aller Regel werden die Dienstleister ohnehin eine Zertifizierung auch für die Aufbaumodule gemäß TR-Resiscan und damit bis zum sehr hohen Schutzbedarf vorweisen können.

Der Einsatz der elektronischen Signatur schafft bei der Integritätssicherung darüber hinaus weitere Mehrwerte mit Blick auf die ab 01.07.2016 greifenden Ausführungsbestimmungen der eIDAS-Verordnung . Mit dem dort definierten elektronischen Siegel – faktisch einer „elektronischen Signatur für Organisationen“ – wird nur noch ein qualifiziertes Zertifikat für die komplette Behörde benötigt, was den Signatureinsatz erheblich erleichtert. Daneben ermöglicht die Verordnung voraussichtlich neben der QES auf einer Signaturkarte weitere Implementierungsoptionen in Verbindung mit sogenannten Hardware Sicherheitsmodulen (HSM) und der mobilen Signatur, sodass auch der technische Aufwand minimiert wird – egal ob Inhouse oder beim Dienstleister gescannt wird.

Bitte lesen Sie auf der nächsten Seite weiter.

Kommentar zu diesem Artikel abgeben
Wozu der Aufwand ? Ich bin in einem Ministerium zuständig für den Betrieb und die...  lesen
posted am 17.10.2015 um 14:43 von Unregistriert

Resiscan, QES, TR-ESOR, eIDAS ... aktuell gibt es bei uns im Blog zwei sehr interessante...  lesen
posted am 14.10.2015 um 16:51 von Unregistriert

Kommentare zur #ResiScan: Ulrich Kampffmeyer Schon wieder die Resi... http://bit.ly/RESI-Scan ...  lesen
posted am 08.10.2015 um 13:17 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43636096 / Standards & Technologie)