Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 1 TR-ResiScan TR-ResiScan BSI-Richtlinie 03138 BSI-Richtlinie 03138 zum ersetzenden Scannen zum ersetzenden Scannen 30. Juni 2014 30. Juni 2014
Nov 22, 2014
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 1
TR-ResiScanTR-ResiScanBSI-Richtlinie 03138 BSI-Richtlinie 03138
zum ersetzenden Scannenzum ersetzenden Scannen
30. Juni 201430. Juni 2014
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 2
Agenda
Einleitung
Rechtliche Aspekte
Der modulare Anforderungskatalog
Die Zertifizierung
Ausblick
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 3
● Auftraggeber: BSI; Laufzeit: Mitte 2011 – Anfang 2013● Auftragnehmer:
– ecsec GmbH●
● Unterauftragnehmer:– secunet Security Networks AG
● Rechtliche Begleitung– provet
● Projektbeirat– Wirtschaftsvertreter, Unternehmen und Verbände,
Behörden/Verwaltungen/Gerichte, EDV-Gerichtstag, Versicherungswesen, Gesundheitswesen, Steuerberatungswesen, BMI, BMF, BfDI, Bundeskanzleramt, Datenverarbeitungszentrum M-V
Projekt-AufstellungProjekt – Team und Organisation
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 4
Gesetzliche Anforderungen
Unterschiedliche rechtliche Anforderungen an das ersetzende Scannen hinsichtlich Inhalt und Wortlaut – Ausnahme: qelSig → z.B. Sozialversicherungsunterlagen
§§ 110a Abs. 2, 110d SGB IV
Weitgehende Homogenität hins. der gesetzlichen Anforderungen an den Scanprozess und das Scanprodukt:– Bildliche und inhaltliche Übereinstimmung
zwischen Papieroriginal und Scanprodukt
– Übereinstimmungsnachweis
– Schutz vor Informationsveränderungen und Informationsverlusten
– Dauerhafte Datenträger
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 5
Herausforderungen
Rechtlich-technischer Rahmen:
● Mediumwechsel von analogen in elektronische Daten
● Rechtlich bedeutsam: die dem Papier immanenten Sicherheitsmerkmale zum Integritäts- und Authentizitätsschutz gehen verloren
Wesentliche Fragen im Rahmen der TR:
→ (rechtliche und) technisch-organisatorische Anforderungen an den Scanprozess und das Scanprodukt
→ Erreichung eines möglichst hohen, dem Original angenäherten Beweiswert des Scanproduktes für ein Gerichtsverfahren
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 6
Lösungsansätze
Beweiskraft-erhaltende Erstellung & Aufbewahrung elektronisch signierter Daten/Dokumente/Akten
→ Lösungsansätze für den Beweiswerterhalt: TR-ESOR
→ Lösungsansätze für das ordnungsgemäße ersetzende Scannen: TR-RESISCAN
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 7
Optimierungspotenzial
Lösungen, die eine Vernichtung des Originals unter maximal erreichbarer Wahrung der Rechts- und Beweissicherheit ermöglichen
Berücksichtigung der heterogenen Prüf-Landschaft, vgl. u.a.:
DOMEA→ Organisationskonzept elektronische Verwaltungsarbeit
GoBS (→ GoBIT?) GDPdU IDW-FAIT TÜV-IT-Zertifizierung nach PK-DML (VOI)
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 8
Agenda
Einleitung
Rechtliche Aspekte
Der modulare Anforderungskatalog
Die Zertifizierung
Ausblick
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 9
Rechtliche Betrachtung
Ziel: Suche nach Lösungen für die Rechtsfragen des Scannens unter Berücksichtigung der Interessen der Anwender und Wahrung der Vorteile der e-Vorgangsbearbeitung und Aufbewahrung
Gesetzliche Ausgestaltung des Scanprozesses nur vereinzelt, obwohl das Bedürfnis auch anwendungsübergreifend besteht
Selbst bestehende Regelungen: wenig Anhaltspunkte des Scanprozesses
Unsicherheiten und Probleme beim Anwender
Vermeidung durch Aufbewahrung von Dokumenten → Bürokratischer Aufwand, Effizienz?
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 10
Rechtliche Betrachtung
Scannen von Papierdokumenten und Vernichtung der Originale
Rechtsfragen
Zulässigkeit Dokumentations-,
Aktenführungs- und Dokumentationspflichten
Beweiswert
Gegenstand des Augenscheins (§ 371 Abs. 1 S. 2 ZPO); Vernichtung des
Originals führt zu einer Verschlechterung der
Beweissituation
Teilweise Regelungen zum ersetzenden Scannen im jeweiligen Fachrecht (tlw.
Homogenität der Regelungen)
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 11
Anlage R
Unverbindliche rechtliche Erläuterungen zur Anwendung der TR RESISCAN
Ziel: - Erläuterung der Zusammenhänge zwischen Recht und TR RESISCAN- Darstellung der aktuellen Rechtslage- Hilfestellung für den Anwender bei der Einordnung und Beantwortung rechtlicher Fragen und Probleme
Aufbau:- Sicherheitsziele und exemplarische Schutzbedarfsanalysen
- Rechtliche Fragen im Zusammenhang mit ersetzendem Scannen
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 12
Gesetzliche Referenz (1)
§ 7 EGovG: Übertragen und Vernichten des Papierorignals
Erlaubnis zum ersetzenden Scannen mit Verweis auf TR ResiScan, umfasst Teilbereich der Bundesbehörden
„Die Behörden des Bundes sollen, soweit sie Akten elektronisch führen, an Stelle von Papierdokumenten deren elektronische Wiedergabe in der elektronischen Akte aufbewahren. Bei der Übertragung in elektronische Dokumente ist nach dem Stand der Technik sicherzustellen, dass die elektronischen Dokumente mit den Papierdokumenten bildlich und inhaltlich übereinstimmen, wenn sie lesbar gemacht werden.“
„Papierdokumente (…) sollen nach der Übertragung in elektronische Dokumente vernichtet oder zurückgegeben werden, sobald ein weitere Aufbewahrung nicht mehr aus rechtlichen Gründen oder zur Qualitätssicherung des Übertragungsvorgangs erforderlich ist.“
→ als Beispiel für den Stand der Technik kann die TR ResiScan des BSI herangezogen werden.
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 13
Gesetzliche Referenz (2)
§ 371b ZPO: Beweiskraft gescannter öffentlicher Urkunden
„Wird eine öffentliche Urkunde nach dem Stand der Technik von einer öffentlichen Behörde oder von einer mit öffentlichem Glauben versehenen Person in ein elektronisches Dokument übertragen und liegt die Bestätigung vor, dass das elektronische Dokument mit der Urschrift bildlich und inhaltlich übereinstimmt, finden auf das elektronische Dokument die Vorschriften über die Beweiskraft öffentlicher Urkunden entsprechende Anwendung.“
→ die TR ResiScan des BSI enthält ausführliche Hinweise für einen Scannvorgang nach dem Stand der Technik
→ die Einhaltung des Stands der Technik kann aber auch durch andere Scannverfahren gewährleistet werden
→ der Beweisführer trägt hierbei im Bestreitensfalle die volle Beweiskraft für die Einhaltung des Stands der Technik
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 14
Agenda
Einleitung
Rechtliche Aspekte
Der modulare Anforderungskatalog
Die Zertifizierung
Ausblick
15
Zu sichernde Elemente im Scan-System
16
Modularer Maßnahmenkatalog
Maßnahmen in der Dokumenten-vorbereitung
Maßnahmen beim
Scannen
Maßnahmen bei der Nachverarbeitung
Maßnahmen bei der Integritätssicherung
Basismodul
Aufbaumodule mit zusätzlichen Sicherheitsmaßnahmen
Grundlegende Anforderungen
OrganisatorischeMaßnahmen
Personelle Maßnahmen
TechnischeMaßnahmen
Generelle Maßnahmen bei der Verarbeitung von Dokumenten mit erhöhtem Schutzbedarf.
Zusätzliche Maßnahmen bei Schutzbedarf „sehr hoch“
bzgl. Integrität
Zusätzliche Maßnahmen bei Schutzbedarf „hoch“
bzgl. Integrität
Zusätzliche Maßnahmen bei Schutzbedarf „sehr hoch“
bzgl. Vertraulichkeit
Zusätzliche Maßnahmen bei Schutzbedarf „hoch“
bzgl. Vertraulichkeit
Zusätzliche Maßnahmen bei Schutzbedarf „sehr hoch“
bzgl. Verfügbarkeit
Zusätzliche Maßnahmen bei Schutzbedarf „hoch“
bzgl. Verfügbarkeit
17
Das Basismodul (für alle) – Beispiele
Maßnahmen in der Dokumenten-vorbereitung
Maßnahmen beim
Scannen
Maßnahmen bei der Nachverarbeitung
Maßnahmen bei der Integritätssicherung
Basismodul
Grundlegende Anforderungen
OrganisatorischeMaßnahmen
Personelle Maßnahmen
TechnischeMaßnahmen
Durchführung derVollständigkeitsprüfung
Zugangs- und Zugriffskontrollen
Festlegung von Verantwortlichkeiten, Regelung zur Wartungsarbeiten
Sensibilisierung,Schulung
Schutz vor Schadprogrammen,Festlegung der zulässigenKommunikationsverbindungen
MUSS: Verfahrensdokumentation,Fachliche Schutzbedarfsanalyse
Sorgfältige Vorbereitungder Papierdokumente
18
Aufbaumodul – Beispiele
Aufbaumodule mit zusätzlichen Sicherheitsmaßnahmen
Generelle Maßnahmen bei der Verarbeitung von Dokumenten mit erhöhtem Schutzbedarf.
Zusätzliche Maßnahmen bei Schutzbedarf „sehr hoch“
bzgl. Integrität
Zusätzliche Maßnahmen bei Schutzbedarf „hoch“
bzgl. Integrität
Zusätzliche Maßnahmen bei Schutzbedarf „sehr hoch“
bzgl. Vertraulichkeit
Zusätzliche Maßnahmen bei Schutzbedarf „hoch“
bzgl. Vertraulichkeit
Zusätzliche Maßnahmen bei Schutzbedarf „sehr hoch“
bzgl. Verfügbarkeit
Zusätzliche Maßnahmen bei Schutzbedarf „hoch“
bzgl. Verfügbarkeit
Pflicht zur Protokollierung, Auditierung,Beschränkung des Zugriffs aufsensible Dokumente
Vollständige Sichtkontrolle
Fehlertolerante Protokolle,Redundante Datenhaltung
Besondere Zuverlässigkeit undVertrauenswürdigkeit der Mitarbeiter
Löschen von Zwischenergebnissen
Verhinderung ungesicherterNetzzugänge
Eigenständiges Netzsegment,4-Augen-Prinzip, QES, Zeitstempel
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 19
Agenda
Einleitung
Rechtliche Aspekte
Der modulare Anforderungskatalog
Die Zertifizierung
Ausblick
Zertifizierung und Konformitätssprüfung im BSI
2) Zertifizierung nach TR
3) Zertifizierung nach IT-Grundschutz
4) Neu: Mindeststandard nach § 8 I BSIG
1) Zertifizierung nach CC und ITSEC(+ ggf. Bestätigung nach SigG)
Zertifizierungsverfahren (TR)
Weitere Informationen, Antragsformular, … unter: www.bsi.bund.de/zertifizierungtrwww.bsi.bund.de/zertifizierungtr
Erstellung dererforderlichen
Dokumentation
Erstellung dererforderlichen
DokumentationAntragstellungAntragstellung Beauftragung
IT-GS AuditorBeauftragungIT-GS Auditor
Konformitäts-prüfung
Konformitäts-prüfung
Beratungs-gespräch mit BSI(optional)
Beratungs-gespräch mit BSI(optional)
AbnahmePrüfberichtdurch BSI
AbnahmePrüfberichtdurch BSI
ZertifizierungZertifizierung
Verfahrensablauf
Alternativen zur Zertifizierung durch BSI Auditor-Testat
Konformitätserklärung
Konformitätsprüfung durch zertifizierte IT-Grundschutz Auditoren Zertifikatsgültigkeit: 3 Jahre Kosten
Zertifizierungsgebühren BSI (Erst-Zertifizierung): 2600,- € pauschal
+ Kosten der Konformitätsprüfung
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 22
Agenda
Einleitung
Rechtliche Aspekte
Der modulare Anforderungskatalog
Die Zertifizierung
Ausblick
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 23
Ausblick
● Umsetzungen: Elektronischer Rechtsverkehr (Justiz), BÄK/KBV
● Proof of Concepts:
• Bundesverwaltungsgericht: Verwaltungs- & Gerichtsakten, Schwerpunkt Basismodul
• Datenverarbeitungszentrum Mecklenburg-Vorpommern: Landesbesoldungsakten, hoher Schutzbedarf
● Erstes Zertifikat erteilt, weitere Verfahren kurz vor Abschluss.
● TR-Evaluierung in 2014.
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 24
Vielen Dank für Ihre Aufmerksamkeit
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Dr. Astrid Schumacher
Referatsleiterin S11 Sicherheit in eID-Anwendungen