DOK.Expertenrunde
TR-RESISCAN: Gut gemacht oder gut gemeint?

Die DOK.Expertenrunde besteht aus
Dr. Astrid Schumacher, Referatsleiterin Sicherheit in eID-Anwendungen beim BSI (AS)
Hans-Joachim Hübner, Spezialist für ersetzendes Scannen beim ECM-Systemintegrator und Scandienstleiter SRZ Berlin (HH) und
Bernhard Zöller vom ECM-Beratungsunternehmen Zöller & Partner GmbH (BZ).

Seit das Bundesamt für Sicherheit in der Informationstechnik (BSI) im März 2013 die Version 1.0 der technischen Richtlinie für das ersetzende Scannen (BSI TR-03138 RESISCAN) veröffentlicht hat, sorgt das Regelwerk in der Fachöffentlichkeit für kontroverse Diskussionen. Ziel dieser Richtlinie ist, die Lücke zwischen abstrakten und uneinheitlichen rechtlichen Anforderungen sowie der zuverlässigen technischen Realisierung des Scannens zu schließen. Sie „dient daher zum einen dem Anwender im behördlichen und privaten Bereich zur Erleichterung der Auswahl von Scan-Lösungen, indem eine Vereinheitlichung der Anforderungen und Sicherheitsmaßnahmen angestrebt wird. Zum anderen werden Herstellern und Dienstleistern notwendige Spezifikationen an die Hand gegeben, mittels derer diese ihre Leistungen TR-konform gestalten und anbieten können“ – so die Intention [1].

Mit diesem Interview geht das DOK.magazin der Frage nach, ob RESISCAN dem Anspruch als umfassende Leitlinie zur Gestaltung von Prozessen zum beweiserhaltenden, ersetzenden Scannen gerecht wird oder etwas überreguliert, was durch bestehende Richtlinien seit Jahren und für alle Beteiligten praktikabel umgesetzt wird. Sowohl Befürworter als auch Kritiker stellten sich unseren Fragen, die Expertenrunde besteht aus Dr. Astrid Schumacher, Referatsleiterin Sicherheit in eID-Anwendungen beim BSI (AS), Hans-Joachim Hübner, Spezialist für ersetzendes Scannen beim ECM-Systemintegrator und Scandienstleiter SRZ Berlin (HH) und Bernhard Zöller vom ECM-Beratungsunternehmen Zöller & Partner GmbH (BZ).

Erklärtes Ziel der TR-RESISCAN ist es, die Rechtssicherheit im Bereich des ersetzenden Scannens zu steigern. Welche diesbezüglichen Defizite gab es in der Vergangenheit, und wie werden diese durch die TR-RESISCAN beseitigt?

HH: Die TR-RESISCAN unternimmt erstmalig den Versuch, die Digitalisierung von Dokumenten in ihre technischen, organisatorischen und personellen Einzelteile zu zerlegen und über einen generischen Ansatz für verschiedene Anwendungsbereiche und Schutzbedarfe anwendungsbezogen und modular wieder zusammen zu setzen.
Vieles ist nicht neu. Jedes Unternehmen und jede Verwaltungsorganisation kennt Regeln, um Informationen in den verwalteten Papierdokumenten vor unerlaubtem Zugriff zu schützen und setzt verschieden hohe Schutzbedarfsanforderungen. Dies wird in der Regel in Prozessbeschreibungen und Verfahrensanweisungen festgelegt und daraus resultierende Maßnahmen vorgeschrieben. Die TR-RESISCAN sagt hier nichts anderes und weist darauf hin, dass die beispielhaften Schutzbedarfsanalysen der Anlage unverbindlich sind. Jeder Anwender ist somit frei, seinen besonderen Schutzbedarf in Hinsicht auf Integrität, Vertraulichkeit und Verfügbarkeit selbst festzulegen und kann sich dabei auf seine bereits vorhandenen Festlegungen für den Umgang mit den Papierdokumenten stützen.
Ein wichtiges Defizit, das die TR RESISCAN hilft zu verringern, ist das Hinterherhinken der gesamten öffentlichen Verwaltung hinter den Anforderungen einer wirtschaftlich sinnvollen und bürgerfreundlichen E-Government Praxis. Durch das Aufstellen allgemeingültiger Regeln hat die TR-RESISCAN in Behörden die Diskussion über das ersetzende Scannen in Schwung gebracht – das ist ein wichtiger Verdienst.

BZ: Gegenüber einem ordnungsgemäßen DMS-Verfahren sehe ich keine Steigerung der Rechtssicherheit. Die Branche betreibt seit über 30 Jahren ersetzendes Scannen. Das ist auch nichts Neues. Es war gerade bei elektronischer Ablage immer wichtig, dass die Verfahren so ausgestaltet und dokumentiert wurden, dass ein sachverständiger Dritter bei Prüfung zum Ergebnis kommen konnte, dass keine Unterlagen absichtlich oder versehentlich manipuliert oder gelöscht werden konnten. Dies hat dann sogar dazu geführt, dass das Bundesfinanzministerium die ausdrückliche, schriftliche Erlaubnis zum ersetzenden Scannen gab, gerade aktuell erneuert in den GoBD vom November 2014. Und damit sind Tausende von Anwendern gut gefahren. Ein TR-RESISCAN zertifizierter Erfassungsprozess ist kein Quäntchen besser geeignet bzgl. der Frage des Originalersatzes als ein GoBD-konformer Erfassungsprozess.
In der jetzigen Version wird die RESISCAN sogar zu einer deutlich erhöhten Rechtsunsicherheit führen. Es ist kein Verlass darauf, dass eine Prüfung des gleichen Sachverhaltes durch einen sachverständigen Dritten zum gleichen Ergebnis kommt. Ursache sind zu viele frei wählbare Parameter wie Einschätzung von Schutzzielen und Datenobjekten zu Schutzklassen. Um potenzielle ‚Bewertungsrisiken’ zu vermeiden, wird es in der Praxis häufig auf die Schutzklasse ‚Hoch’ hinauslaufen und damit auf eine komplexe, kryptobasierte Erfassungsinfrastruktur. Viele Erfassungsszenarien mit Multifunktionsgeräten, Abteilungsscannern, direkter Faxübernahme etc. sind dann prinzipiell nicht mehr möglich. Das wird dem Leser aber erst klar, wenn man sich durch die mehrfach referenzierenden Definitionen und mitgeltenden Dokumente durchgearbeitet hat.

AS: Während es im Bereich der Buchhaltungsbelege etwa durch GOBS/GOBD bereits entsprechende praxiserprobte Regelungen gibt, gilt dies so leider nicht in anderen Bereichen wie z.B. dem allgemeinen elektronischen Rechtsverkehr, dem Gesundheitswesen sowie in der öffentlichen Verwaltung und im Justizwesen.
Rechtsunsicherheiten entstehen insbesondere daraus, dass sowohl die Zulässigkeit des ersetzenden Scannens als auch der Beweiswert eines eingescannten Dokuments nicht hinreichend geregelt sind. Aktenführungs-, Dokumentations- und Aufbewahrungspflichten führten in vielen Bereichen in der Vergangenheit dazu, dass ‚sicherheitshalber’ und aufwändig auch nach dem Scannen die Originaldokumente archiviert worden sind. In bestehenden Regelwerken zum Scannen sind sicherheitstechnische Belange überwiegend nur von untergeordneter Bedeutung. Das BSI hat mit der TR-RESISCAN auf diesen Bedarf reagiert und dadurch die Realisierung eines von A-Z strukturierten und angemessen sicheren Scanprozesses erleichtert. Die Simulationsstudie der Uni Kassel/provet hat nachgewiesen, das mit einem RESISCAN-konformen Scanprozess vor Gericht der Beweiswert des so eingescannten Dokuments nachweislich und signifikant erhöht wird.

Seit das BSI im März 2013 die Version 1.0 der TR RESISCAN veröffentlicht hat, sorgt das Regelwerk in der Fachöffentlichkeit für kontroverse Diskussionen. Abwarten und beobachten halten die einen für den richtigen Weg, andere setzen die Richtlinie um. Wie wird sich Ihrer Meinung nach die Anwendung und Umsetzung der Richtlinie in Zukunft entwickeln?

HH: Seit der Veröffentlichung der Richtlinie hat es drei Zertifizierungen für Unternehmen gegeben, mindestens zwei weitere sind im Prozess der Zertifizierung, so auch eine SRZ-Lösung, und laut BSI gibt es weitere konkrete Nachfragen.
Spätestens seit der CeBIT 2015 ist das Thema im Markt angekommen. Wir hatten am Messestand eine ganze Reihe von ernsthaften Interessenten, die entweder nach RESISCAN-konformer Dienstleistung oder nach Systemlösungen, Scanner und die Vorgaben der Richtlinie unterstützender Software, gefragt haben. Daraus hat sich bisher zumindest ein Scandienstleistungs-Auftrag für das ersetzende Scannen von Verträgen eines Finanzdienstleisters ergeben. Systemlösungen dauern naturgemäß immer etwas länger bis zur Umsetzung, wir sind aber sehr zuversichtlich, hier einige Lösungen in der öffentlichen Verwaltung und im Gesundheitsbereich zeitnah zu realisieren. Es gibt schon sehr konkrete Gespräche und Planungen.

AS: Die Richtlinie konnte in kürzester Zeit sowohl von großen Unternehmen als auch von KMUs erfolgreich umgesetzt werden. Das entspricht unserer Erwartung, da die TR-RESISCAN unter besonderer Berücksichtigung der informationstechnischen Belange in enger Kooperation mit Wirtschaft und Verwaltung erarbeitet worden ist. Der Bedarf an standardisierten Lösungen für die zunehmende Digitalisierung wird kurz- bis mittelfristig eher zu- als abnehmen. Die Richtlinien des BSI werden dabei eine relevante Rolle spielen, da sie in adäquater Weise den Stand der Technik abbilden.

BZ: Das BSI hat auf der CeBIT 2015 – zwei Jahren nach Veröffentlichung der TR – einen ersten Anwender mit Zertifizierung präsentiert. Das war eine 1-Platz-Lösung eines Signatur-Anbieters, also einer Firma, die ein primäres Interesse an der Verbreitung der Signatur-affinen TR hat. Ich bitte Sie! Gibt es denn zwei Jahre nach Veröffentlichung der Richtlinie nicht bereits Dutzende ‚echter’ Anwender mit Hunderten oder Tausenden von Dokumenten pro Tag, die berichten können, mit welchem Aufwand man die TR-RESISCAN umgesetzt hat?
Ich denke, ohne eine Überarbeitung wird sie sich nicht in der Fläche durchsetzen. Viele Anwender ignorieren sie derzeit. Im öffentlichen Bereich kann man sie aber nicht einfach ignorieren und hier entsteht das aus unserer Sicht größere Problem, dass viele E-Akte-Projekte inkl. vieler E-Government-Projekte ausgebremst werden. Das ist keine dunkle Vorahnung, sondern konkrete Erfahrung aus aktuellen öffentlichen Projekten sowohl auf Bundesebene, aber auch – und das ist noch viel schlimmer – auf kommunaler Ebene. Dort hat man nicht die Budgets und das Know-how mancher Bundesbehörde, um sich das Gesamtwerk zu erarbeiten und dann noch in die Zertifizierungsphasen zu gehen. Und ab Schutzbedarf „Hoch“ mindestens alle 36 Monate! Hier widerspreche ich ganz entschieden der Aussage des BSI, der Aufwand sei moderat.

Die TR-RESISCAN, mit ihren zahlreichen Anhängen und Verweisen auf den BSI-Grundschutz, ist nach Ansicht von Kritikern zu komplex geworden. Sind dadurch nicht potentielle Anwender – insbesondere im Bereich kleiner und mittelständischer Unternehmen – mit der Umsetzung besonders herausgefordert?

HH: Es zeigt sich, dass das BSI nicht ganz unempfindlich gegenüber Kritik reagiert. In der aktuellen Version 1.1, der Prüfspezifikationen zur Zertifizierung nach der Richtlinie aus Dezember 2014, wird hinsichtlich des IT-Grundschutzes eingeschränkt, dass nur noch fünf Bausteine berücksichtigt werden müssen. Es ist zu erwarten, dass weiteres Feedback aus der Praxis weitere Änderungen in Richtlinie und Prüfspezifikation hervorruft. Des Weiteren existieren bereits einige frei verfügbare Angebote in Hinsicht auf Muster-Verfahrensdokumentationen, die nur noch an die konkreten Gegebenheiten angepasst werden müssen. So hat das BSI selbst ein Muster auf der Webseite veröffentlicht und verweist auf ein weiteres des Deutschen Steuerberaterverbandes und der Bundessteuerberaterkammer. Dasselbe bieten inzwischen auch kleinere Beratungsunternehmen an, die sich im Bereich KMUs tummeln.

BZ: Die TR RESISCAN umfasst mit den mitgeltenden Anlagen über 160 Seiten. Ausnahmslos kein leichter Lesestoff, mehrfach miteinander referenziert, sehr viele generische Definitionen, die an anderer Stelle in anderen Anlagen aber zu erheblichen Konsequenzen führen. Hinzu kommen Hunderte von Seiten aus dem BSI Grundschutz, die man berücksichtigen sollte, da die TR auf über 50 Module aus dem BSI Grundschutz referenziert oder diese sogar zur Anforderung erhebt. Wir hören sehr harsche Kritik auch von Bundesbehörden, die derzeit überlegen müssen, die TR-RESISCAN umzusetzen.
Massiver Vorbereitungsaufwand entsteht beispielsweise im Rahmen der so genannten Schutzbedarfsanalyse: Die TR setzt zwingend voraus, dass „für jedes Dokument anhand der Sicherheitsziele Integrität, Authentizität, Lesbarkeit, Vollständigkeit, Nachvollziehbarkeit, Verfügbarkeit, Verkehrsfähigkeit, Vertraulichkeit und Löschbarkeit die Schadensauswirkungen im konkreten Fall festgestellt werden“. Und zwar „sorgfältig begründet“ und dies für 7 verschiedene Datenobjekte. Macht 63 sorgfältig begründete Einschätzungen des DMS-Teams je Dokumentart. Die Liste mit Aufwandstreibern in der TR ist lang und hier ist nicht der Platz, sie alle aufzulisten, geschweige denn, im Einzelnen zu erörtern.

AS: Konkrete Anwendungen entsprechend der Richtlinie sowie zunehmende Referenzierung auf diese in branchenspezifischen Regelwerken (wie z.B. Steuerberatungs- und Gesundheitswesen, Sozialversicherungsträger, öffentliche Verwaltung und Justiz) zeigen deutlich, dass es ganz offenbar nicht zu kompliziert ist, der TR zu folgen. Für deren Umsetzung dient der Maßnahmenkatalog mit nur 20 DIN A 4-Seiten. Die Anlagen dienen dem interessierten Anwender als weiterführende Informationen. Aus dem IT-Grundschutz müssen 5 Bausteine geprüft werden. Bei der teilweise geäußerten Kritik an der notwendigen Schutzbedarfsanalyse wird oftmals vergessen, dass bereits im analogen Verfahren der Anwender wissen muss, was er tut – d.h. auch bei Papierdokumenten muss jeder sorgfältige Anwender bereits Kategorien seiner Dokumente bilden und demnach die erforderlichen Sicherheitsmaßnahmen ergreifen. Für kleinere Anwender wurde darüber hinaus z.B. mit der DATEV eG ein pragmatisches Modell einer Musterzertifizierung realisiert, auf die sich deren Kunden beziehen und auf dieser Basis auch ohne eigene Zertifizierung RESISCAN-konform arbeiten können.

Oft kritisiert wird der Einsatz von fortgeschrittenen und qualifizierten Signaturen. Welche Pluspunkte bietet die von vielen Anwendern als aufwändig empfundene Signaturnutzung, und ist sie tatsächlich notwendig?

BZ: Was vielen Anwendern nicht klar ist: Nicht der Absender (Willenserklärer) signiert das Dokument; dann entstünde tatsächlich eine nicht unterbrochene Prüfkette und eine gerichtsbelastbare Unterschrift, die die Schriftformerfordernis erfüllt. Vielmehr wird sehr viel später von einem Scan-Mitarbeiter im Rahmen eines QS-Prozesses signiert. Ob der Scan-Mitarbeiter bemerkt, dass eine Seite nicht gescannt wird oder in der Poststelle ein Blatt verloren geht, ist rein technisch nicht prüfbar. Daher ist die Funktionalität einer elektronischen Signatur beim Scannen reduziert auf die Prüfbarkeit der Dateiintegrität ab dem Signaturzeitpunkt. Alle anderen Kernfunktionen einer Signatur wie zum Beispiel gerichtsbelastbare Absenderbehauptung oder Integrität / Vollständigkeit der Unterlagen ab Absendezeitpunkt sind hier logischerweise nicht verfügbar und damit auch nicht gerichtsfest beweisbar.
Meiner festen Überzeugung nach gehören qualifizierte Signaturen nicht in die Scanstrecke. Sie bringen keine erhöhte Rechtssicherheit, sie schützen nicht gegen Manipulation und Verlust, und sie erhöhen ganz erheblich Komplexität und Aufwand ohne ausgleichenden Nutzen im Vergleich zu einem ‚normalen’ ordnungsgemäßen Erfassungsverfahren.

HH: Die Kritiker sagen, dass hier der eigentliche Sinn der Signatur, nämlich die Authentifizierung des Erstellers und Nachweis der Integrität und Vollständigkeit des signierten Dokumentes nicht zur Verfügung steht, sondern nur der Nachweis, dass das Dokument nach Digitalisierung nicht verändert wurde. Da sage ich: Immerhin!
Halten wir uns vor Augen, dass Sinn und Zweck der ganzen Übung ist, die Nachvollziehbarkeit der Digitalisierung und die Glaubwürdigkeit des digitalisierten Dokumentes zu erreichen. So ist idealerweise das Ergebnis, wenn man nach TR-RESISCAN verfährt, eine lückenlose Protokollierung aller Schritte beim Scannen, eventueller Nachbearbeitung, eventueller Erfassung von Metadaten, bei der Qualitätskontrolle und das kann – muss nicht immer – mit der Signatur ‚besiegelt’ werden. Die Anwendung der Signatur auch bei Schutzbedarf ‚normal‘ eröffnet außerdem die Möglichkeit eines immer gleich ablaufenden Scanworkflows. Das gibt dem Anwender Sicherheit.

AS: Um ein dem festgestellten Schutzbedarf angemessenes Schutzniveau zu erreichen, sind elektronische Signaturen als am Dokument verankerte Maßnahme vor allem für die oftmals geforderte Verkehrsfähigkeit Status quo der integritätsschützenden Sicherungstechnik. Systembezogene Sicherungsmechanismen sind je nach Bedarf ebenso möglich, wenn das zu erreichende Sicherheitsziel damit auch erreicht werden kann. Nach RESISCAN sollen erst im sehr hohen Schutzbedarf qualifizierte Signaturen eingesetzt werden. Dies ist insbesondere dem Ziel der erwünschten Rechtssicherheit geschuldet. Zeitstempel oder entsprechendes Dokumentenmanagement sind für die Dokumentation des für die Rechtssicherheit wesentlichen Scanzeitpunkts darüber hinaus wichtig.

Die TR-RESISCAN definiert nicht nur klare Anforderungen an Bearbeitungsprozesse, sondern auch hinsichtlich der Funktionalität der benötigten Hardware und Software. Wie reagieren die Infrastrukturanbieter, sind entsprechende Produkte in angemessener Auswahl am Markt verfügbar?

AS: Wir haben uns bei RESISCAN bewusst gegen umfangreiche Vorgaben für Hard- und Software entschieden und uns auf den Scanprozess fokussiert. Beim Scannen kommt es entscheidend auf organisatorische und personelle Maßnahmen an. Hinsichtlich der geeigneten Software werden im wesentlichen Empfehlungen zu sicherheitsrelevanten Funktionalitäten ausgesprochen. Geeignete, am Markt verfügbare Software kann hier den Anwender signifikant bei der Einhaltung der Anforderungen unterstützen. Dies gilt auch für Hardware, die z.B. durch die Integration kryptographischer Funktionen das Erreichen von Schutzzielen gerade im höheren Schutzbedarf erleichtern kann.

HH: Es gibt eine ganze Reihe von Anbietern am Markt, die behaupten, gemäß TR-RESISCAN digitalisieren und signieren zu können. Wenn man genau hinschaut, so bilden sie nicht den gesamten Prozess ab, den die Richtlinie umfasst, sondern immer nur einen kleinen Teil. Meistens handelt es sich dabei um die Signatur. Mir ist bisher nur eine Lösung bekannt, die den gesamten Prozess von der Erstregistrierung durch Barcodeerzeugung, über Scannen, Erfassen, Qualitätskontrolle, Erzeugung geeigneter Formate, wie PDF/A, Signatur und Ausgabe des Transferlogs, abdeckt. Diese TR-RESISCAN-Variante ist eine spezielle Version einer Standard Capturing Lösung, also keine Sonderentwicklung.
Was die Hardware angeht, so sind die meisten ‚normalen‘ Scanner in der Lage, die Ansprüche zu erfüllen. Selbst aktuelle Multifunktionsgeräte lassen sich heute über TWAIN ansprechen, so dass der interne Speicher bei Benutzung als Scanner nicht mehr befüllt wird, sondern die Bilder direkt an das steuernde Programm gesendet werden.

BZ: Ich glaube, dass die meisten Anbieter noch nicht wissen, was da auf sie zurollt. Vielen ist nicht klar, dass Standard-Fax, viele Multifunktionsgeräte und viele normale Scanner-Arbeitsplätze für Dokumente ab Schutzklasse HOCH regelmäßig nicht mehr geeignet sind. Ich denke aber nicht, dass internationale Hersteller für den deutschen Markt eine Sonder-Edition RESISCAN zur Verfügung stellen werden. Aber selbst wenn ein Anbieter eine RESISCAN-Version baut: Wer trägt das Risiko, dass diese Nischenprodukte mangels Absatzmengen nicht mehr gepflegt werden? Das Debakel um die ungepflegten DOMEA-Versionen draußen bei den Anwendern sollte hier eigentlich eine deutliche Warnung vor nationalen Sonderwegen sein.

Bislang haben drei Anbieter ihre Produkte beziehungsweise Dienstleistungen durch das BSI nach den TR-RESISCAN-Vorgaben zertifizieren lassen. Werden sich Anwender in Zukunft eher dafür oder dagegen entscheiden, diese Zertifizierung durchzuführen?

AS: Mehrere Zertifizierungsverfahren stehen nach den drei bereits vergebenen Zertifikaten kurz vor dem Abschluss. Wir sind sowohl mit Behörden der öffentlichen Verwaltung als auch mit privaten Unternehmen sowie der Justiz im Gespräch zu RESISCAN-bezogenen Fragen und stellen ein zunehmendes Interesse sowohl an Konformitätsbestätigung als auch Zertifizierung fest.
Nach § 6 EGovG (E-Government Gesetz) sollen die Behörden ihre Akten elektronisch führen, nach § 7 EGovG sind sie angehalten, ersetzend zu scannen und zwar „nach dem Stand der Technik“. Der Gesetzgeber hat hier also die Technischen Richtlinien des BSI bereits als nützlichen Standard anerkannt und für geeignet befunden, mittels dieser das Ziel der Regelungen, verbindliche Rechtsfolgen an verlässliche Scanprodukte knüpfen zu können, zu erreichen. Praktische Umsetzungen in den Behörden und diesbezüglich Ausschreibungen werden sich erwartungsgemäß daran orientieren.

HH: Das BSI ist eine Bundesbehörde und zumindest für andere Bundesbehörden ist die TR-RESISCAN durch die Benennung im E-Government Gesetz quasi ‚verbindlich’. Da die Ländergesetze die Referenzierung darauf übernehmen, ist stark davon auszugehen, dass auf Länder- und Kommunal-Ebene die Richtlinie ebenfalls eine wichtige Rolle spielen wird. Es gab schon einige Ausschreibungen in der öffentlichen Verwaltung, der Justizverwaltung und im Gesundheitswesen, die für die Digitalisierungs-Komponenten mindestens die Kompatibilität zu RESISCAN gefordert haben, wenn nicht sogar explizit die Frage gestellt wurde, ob und wann der Anbieter sich zertifizieren lassen wird. Diese Tendenz wird sich verstärken.
Viele Anwender in den genannten Bereichen werden mit ziemlicher Sicherheit auch eine Zertifizierung anstreben, wenn schon in den E-Government Gesetzen des Bundes und der Länder auf die Richtlinie verwiesen wird, bedeutet das ja so etwas wie eine Vorgabe.

BZ: Praktisch hat die TR-RESISCAN bereits heute bei allen öffentlichen ECM-Projekten hohe Aufmerksamkeit und kann nicht einfach ignoriert werden. Anwender in öffentlichen Einrichtungen werden RESISCAN-Konformität oder sogar Zertifizierung anstreben, um sich abzusichern. Ausschreibungen werden entsprechende Anforderungen beinhalten. Sollte sich bestätigen, dass die TR zu viel Aufwand verursacht, könnten Anwender auch dazu übergehen, bestimmte Originale (z.B. solche mit eigenhändiger Unterschrift) selektiv nicht zu vernichten. Viele Anwender werden aber einfach mit ihren ordnungsgemäßen Erfassungs- und Gesamtverfahren fortfahren. Was bisher ordnungsgemäß war, bleibt es auch weiterhin, die Richtlinie schafft ja keine neue Rechtslage.

Besteht Ihrer Ansicht nach konkreter Nachbesserungsbedarf für die TR-RESISCAN und was würde dadurch gewonnen?

BZ: Die jetzige TR-RESISCAN ist meines Erachtens zu komplex, beschränkt auf den Teilaspekt Erfassung, signaturlastig und absolut nicht mittelstandsgeeignet. Das wären die Kernbereiche, in denen ich dringenden Nachbesserungsbedarf sehe, sonst droht eine Lähmung von E-Government-Projekten und das Ignorieren außerhalb der öffentlichen Hand.

AS: Die Empfehlungen wurden gemeinsam mit der Praxis erarbeitet. Die seit 2013 gesammelten Umsetzungserfahrungen finden gegenwärtig Eingang in die Richtlinie. Weitere Anregungen werden in einer Folgeversion berücksichtigt werden, wobei auch die anstehende Modernisierung des IT-Grundschutzes eine Rolle spielen wird. Das BSI ist auch weiterhin im regelmäßigen Austausch mit den Fachleuten aus Wirtschaft und Verwaltung, um in einem sachlich geführten Austausch zur weiteren Optimierung der Empfehlungen zu gelangen.
Das Gesamtkonstrukt der Richtlinie hat sich nach unserem Eindruck bewährt: Die Zusammenführung der notwendigen Empfehlungen ermöglicht eine strukturierte Darstellung eines Scanprozesses für unterschiedliche Einsatzbereiche. Die Richtlinie hat keinen Anspruch auf Allgemeingültigkeit – viele unserer Empfehlungen werden jedoch bereits umgesetzt, ob ohne oder mit Zertifizierung.

HH: Optimierungspotenziale in der Praxis gibt es. Als Beispiel: Viele Kritiker nehmen immer die Signatur aufs Korn, die ja erwiesenermaßen auch Vorteile mit sich bringt. Was ich wirklich für unrealistisch halte und was bei einem Digitalisierungsprozess viel mehr Zeit in Anspruch nimmt, ist die Forderung bei hohem und sehr hohem Schutzbedarf nach bis zu hundertprozentiger Sichtkontrolle.
Erstens erfolgt der Scanprozess in der Regel unter Sichtkontrolle des Bedieners. Zweitens kann man beim heutigen Stand der Scan-Technik und dem Trend, durchgehend alles originalgetreu in Farbe zu scannen, davon ausgehen, dass diese Forderung viel zu hoch gegriffen ist. Dies sagt sogar das Bundesverwaltungsamt. Das Thema wird sicher für weitere Diskussionen sorgen! Ihnen allen vielen Dank für die ausführliche Darstellung Ihrer Standpunkte.

Das Thema wird sicher für weitere Diskussionen sorgen! Ihnen allen vielen Dank für die ausführliche Darstellung Ihrer Standpunkte.

Quellen
[1] https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03138/index_htm.html

www.bsi.bund.de
Dr. Astrid Schumacher, Referatsleiterin Sicherheit in eID-Anwendungen beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Als nationale Sicherheitsbehörde ist es das Ziel des BSI, die IT-Sicherheit in Deutschland voran zu bringen. Dabei versteht sich die Behörde in erster Linie als der zentrale IT-Sicherheitsdienstleister des Bundes. Mit seinem Angebot wendet sich das BSI aber auch an die Hersteller sowie die privaten und gewerblichen Nutzer und Anbieter von Informationstechnik.

www.srz.de
Hans-Joachim Hübner, Spezialist für ersetzendes Scannen beim ECM-Systemintegrator und Scandienstleiter SRZ Berlin. Das SRZ bietet seinen Kunden seit über 45 Jahren in den drei Geschäftsbereichen Digitalisierung, Systemlösungen und Publishing leistungsfähige Produkte, ganzheitliche Systemlösungen und hochwertige Dienstleistungen an. Im Bereich Systemlösungen fokussiert man sich auf präzise abgestimmte Scan- und ECM-Systeme zur Erfassung, Verarbeitung und Archivierung von Dokumenten verschiedenster Art.

www.zoeller.de

Bernhard Zöller vom ECM-Beratungsunternehmen Zöller & Partner GmbH. Die Zöller & Partner GmbH ist eine anbieter- und produktneutrale Technologie-, Prozess- und Organisationsberatung, fokussiert auf Enterprise Content Management (ECM). Dazu gehören die Themen Elektronische Ablage und Archivierung, Dokumenten Management, Collaboration, Web Content Management, Output Management und Workflow.