Autorin – Pia Heine, Leiterin Marketing Drivve
Der Wunsch Dokumente in digitaler Form vorzuhalten, um sie flexibel und gleichzeitig an mehreren Orten und damit mehreren Personen zur Verfügung zu stellen, ist mehr und mehr in deutschen Unternehmen angekommen. Doch gibt es gerade hier viele Unsicherheiten. Die Frage, ob elektronisch erfasste, also gescannte Dokumente im Anschluss vernichtet werden dürfen, sehen viele Unternehmen als bis heute nicht klar und eindeutig beantwortet an. Anbieter von Dokumentenmanagement-Systemen werben oftmals mit leeren Lagerhallen und Büros ohne Aktenschränke – doch entspricht dies den reellen Möglichkeiten eines Unternehmens, das rechts- und revisionssicher archivieren möchte?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn, hat sich diesen Fragen angenommen und eine Richtlinie zum ersetzenden Scannen (RESISCAN) herausgegeben. RESISCAN möchte eindeutige Empfehlungen aussprechen, wie papierene Dokumente digital erfasst, aufbewahrt und anschließend vernichtet werden können – unter Einhaltung gesetzlicher Vorgaben oder weiterer Aufbewahrungs- und Dokumentationspflichten.
So bietet RESISCAN dem Leser eine gut strukturierte Übersicht an Fragestellungen und Maßnahmen, um die Rechtssicherheit beim ersetzenden Scannen zu erhöhen. Besonderer Wert wird auf die Tatsache gelegt, dass die Zuverlässigkeit jedes Scanprozesses in hohem Maß vom Anwender abhängt. Ein Schwerpunkt, der insbesondere bei der Bewertung von auf Hard- und Software angewiesenen Prozessen oft vernachlässigt wird. Unabhängig von absichtlicher Manipulation dürfen daher die enorme Bedeutung der richtigen Schulung, Einbeziehung und Information der eigentlichen Anwender nicht unterschätzt werden.
Sicherheit durch vorbereitende Analyse und Verfahrensdokumentation
Dieser Gedanke wird folgerichtig weitergeführt, indem die Richtlinie vorbereitende Überlegungen für den eigentlichen Scanprozess anspricht, bevor sie sich ausführlich dem modularen Maßnahmenkatalog für das ersetzende Scannen widmet. Hierzu gehört eine Strukturanalyse der am Scanprozess beteiligten Objekte (IT-Infrastruktur, Hard- und Software, Dokumente und weitere Datenträger). Es folgt die Analyse des Schutzbedarfs als Grundlage für alle weiteren Maßnahmen. Dabei werden die digital zu ersetzenden Dokumente zuerst nach vorgegebenen Kategorien (Integrität, Authentizität, Verfügbarkeit, Lesbarkeit, Vertraulichkeit, Löschbarkeit u.a.) bewertet und ihr Schutzbedarf als „normal“, „hoch“ oder „sehr hoch“ eingestuft. Im Anschluss werden bestehende Bedrohungen für ein Dokument ermittelt und unter Umständen eine Risikoanalyse vorgenommen.
Aufgrund dieser Analysen soll es dem Anwender möglich sein, notwendige Maßnahmen festzulegen, um die Sicherheit des Scanprozesses zu erhöhen. Dabei wird ausdrücklich darauf verwiesen, dass die Verantwortung für diese vorbereitende Analyse jedem Anwender selber obliegt und ausschließlich eine sorgfältige Durchführung selbiger die Integrität der folgenden Maßnahmen garantiert. Dieser Hinweis ist insbesondere für jedes Unternehmen, das das ersetzende Scannen oder die weiterführende Vorhaltung der digitalen Daten in einem Dokumentenmanagement-System plant oder bereits durchführt, von besonderer Bedeutung. Stets wird hierbei gesteigerter Wert auf die Sicherheit der im Unternehmen vorhandenen Daten und Informationen gelegt. Sowohl bezüglich des Scanprozesses als auch in nachgelagerten Schritten, hängt die Sicherheit eines jeden Prozesses jedoch stets von der sorgfältigen und verantwortungsvollen Vorbereitung, Durchführung und Kontrolle durch alle beteiligten Parteien und Personen ab.
So sind eine detaillierte Schutzbedarfsanalyse für zu erfassende Dokumente und eine korrekte Durchführung des Scanprozesses ebenso unerlässlich, wie eine Verfahrensdokumentation und die ordnungsgemäße Nutzung eines Dokumentenmanagement-Systems. Die digitale Erfassung und Verwaltung von Dokumenten ist stets nicht nur eine Angelegenheit technischer Komponenten. Soft- und Hardware können Prozesse erleichtern, unterstützen und teilweise standardisieren – Rechtssicherheit, Revisionssicherheit, Integrität und Nachhaltigkeit hängen jedoch vom verantwortungsvollen Umgang mit Dokumenten, Prozessen sowie Systemen und damit mit dem Vermögenswert Information im Unternehmen ab.
Basis- und Aufbaumodule für den Scanprozess
Im weiteren Verlauf stellt die Richtlinie nun dediziert Anforderungen an das ersetzende Scannen. RESISCAN unterteilt sich dabei in ein Basismodul, um ein grundlegendes Maß an Sicherheit im Scanprozess zu erreichen, und Aufbaumodule für Dokumente mit erhöhtem Schutzbedarf.
Bild: Basis- und Aufbaumodule für das Scannen (Quelle: BSI Technische Richtlinie 03138, Bundesamt für Sicherheit in der Informationstechnik, Bonn 2013)
Das Basismodul setzt als grundlegende Anforderungen die bereits ausführlich behandelte Schutzbedarfsanalyse sowie eine Verfahrensdokumentation voraus. Es folgen organisatorische Maßnahmen (Festlegung von Verantwortlichkeiten, Freigabeverfahren für Soft- und Hardware, Anforderungen für das Outsourcing des Scanprozesses u.a.), personelle Maßnahmen (Sensibilisierung der Mitarbeiter für Informationssicherheit, Verpflichtung der Mitarbeiter zur Einhaltung rechtlicher Rahmenbedingungen, verschiedene Schulungen u.a.) und technische Maßnahmen (Sicherheitsvorkehrungen bezüglich Hard- und Software sowie der genutzten IT-Infrastruktur). Die technischen Maßnahmen schließen dabei mit der Speicherung der digital abgebildeten Dokumente und zugehöriger Metadaten auf entsprechenden Speichermedien und mittels geeigneter Verfahren und Konfigurationen ab.
Hierauf aufbauend empfiehlt das RESISCAN Basismodul Maßnahmen zur Dokumentenvorbereitung, beim Scannen, bei der Nachverarbeitung und zur Integritätssicherung. So werden für die sorgfältige Vorbereitung der Papierdokumente Kriterien wie die vorsichtige Brieföffnung, Posteingangsstempel und eine entsprechende Vorsortierung aufgeführt. Weiterhin sei sicherzustellen, dass angewandte Verfahren und Geräte die Dokumente nicht beschädigen und der inhaltliche Zusammenhang der Dokumente, beispielsweise durch Heftklammern oder Klebezettel erkennbar, erfasst und in den Scanprozess eingebracht wird. Schließlich müssen laut Richtlinie die korrekte Reihenfolge, Orientierung und Trennung unabhängiger Dokumente gewährleistet werden. Es folgt ein ausführlicher Maßnahmenkatalog, der sich an den allgemein gültigen Vorgaben für die ordentliche Archivierung von Dokumenten orientiert und um spezielle Herausforderungen durch die Digitalisierung des Prozesses ergänzt wurde.
Den Abschluss der Richtlinie bilden die Aufbaumodule mit zusätzlichen Sicherheitsmerkmalen, die sich auf Dokumente mit hohem oder sehr hohem Schutzbedarf hinsichtlich Verfügbarkeit (redundante Datenhaltung und erweiterte Qualitätssicherung eingesetzter Soft- und Hardware u.a.), Integrität (Verschlüsselung von Informationen, 4-Augen-Prinzip und elektronische Signatur u.a.) oder Vertraulichkeit (Verhinderung ungesicherter Netzzugänge und besondere Kennzeichnung des Dokuments u.a.) eines Dokuments beziehen. Wie zuvor beim Basismodul nennt die Richtlinie auch hier zuerst generelle Maßnahmen, welche als zwingende Voraussetzung für die Integrität der darauf folgenden speziellen Maßnahmen dargestellt werden.
Umfassende Richtlinie für Scanprozesse
RESISCAN soll als Handlungsleitfaden für Unternehmen verschiedenster Branchen verstanden werden, um Scanprozesse zu prüfen, rechtssicher zu gestalten und sogar eine Zertifizierung über das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu ermöglichen. Anzumerken ist dabei, dass sich die Richtlinie ausschließlich auf das Scannen von Dokumenten – von der Vorbereitung der Dokumente über die digitale Erfassung bis zur Integritätssicherung – konzentriert. Nachgelagerte Schritte im Dokumentenmanagement werden ausdrücklich nicht behandelt. Sollte sich ein Unternehmen für das ersetzende Scannen im Zusammenhang mit der Einführung eines Dokumentenmanagement-Systems oder einer ähnlichen Lösung interessieren, so bleiben viele Fragen unbeantwortet.
Zudem bieten die genannten Maßnahmen auch bei vollständiger Beachtung aller Anforderungen keine umfassende Sicherheit für das ersetzende Scannen. Wie in der Richtlinie angedeutet, wird die Rechtssicherheit von vielen Faktoren beeinflusst und setzt eine intensive Auseinandersetzung mit den geltenden rechtlichen Bestimmungen, eine korrekte Schutzbedarfsanalyse und den einwandfreien Ablauf des Scanprozesses voraus. Daher ist auch eine Zertifizierung nach RESISCAN keinesfalls mit einer Garantie für Rechtssicherheit im Scanprozess gleichzusetzen.
Insgesamt gibt die Richtlinie dem Leser aber eine detaillierte, verständliche Liste an Maßnahmen an die Hand, um sichere Scanprozesse zu etablieren oder zu optimieren. Insbesondere wird auch der wichtige Faktor Mensch in diese Maßnahmen hinsichtlich Sensibilisierung, Schulung und Organisation einbezogen und so ergibt sich ein ganzheitliches Bild der fachlich kompetenten und umsichtigen Beurteilung eines bedeutenden Unternehmensprozesses auf dem Weg zur stets latent präsenten Vision des „papierlosen“ Büros.
www.drivve.de
Pia Heine, Leiterin Marketing Drivve. Das Unternehmen ist Hersteller vielfach ausgezeichneter Softwarelösungen zur Optimierung dokumentgebundener Unternehmensprozesse. Durch die Optimierung des gesamten Lebenszyklus eines Dokuments, von der Erfassung und Verarbeitung, über Dokumenten- und Workflow Management sowie Nutzung der Informationen in einer Wissensplattform, bis hin zum Druck und Output Management, bietet Drivve einen deutlichen Mehrwert für Ihr Unternehmen.
