TR-RESISCAN Codia 1.0 · „Transfervermerk“ ... ersetzendes Scannen mit Legitimierung der Finanzverwaltung ermöglicht – Es bremst papierlose Prozesse und es bremst E-Government

TR-RESISCAN

Sinnvolle Lösung oder neues Problem für ersetzendes Scannen?

Bernhard Zöller, Zöller & Partner

codia DMSforum

Codia DMSforum, TR RESISCAN© Zöller & Partner GmbH, www.zoeller.de

Inhalt

Technische Richtlinie des BSI 03138 (TR-RESISCAN), verfügbar seit März 2013

Kernthema: Ersetzendes Scannen– Wer die Richtlinie einhält, kann Originale vernichten

(vereinfacht ausgedrückt)

– Erwartungshaltung: Hohe Rechtssicherheit (RESISCAN steht für Rechtssicheres Scannen)

Bisher ist das Thema ersetzendes Scannen nur für kaufmännische Dokumente gut geregelt, für alle anderen Dokumentarten muss das Unternehmen oder die öffentliche Verwaltung selbst entscheiden, wie groß das Risiko der Originalvernichtung ist

– Daher eigentlich eine gute Idee!

Aktuell: kontroverse Diskussion um Aufwand, Nutzen und Umsetzbarkeit.

2


Hohe öffentliche Sichtbarkeit zum Thema

NEIN!! Nicht bekannt, wo irgendein Finanzamt das tut. Und sicherlich nicht wegen fehlender kryptografischer Signaturkomponenten im Scanprozess.

Und für die Anhänger des Primärquellenstudiums: Das ersetzende Scannen ist seit 1995 mit dem BMF-Schreiben ausdrücklich erlaubt (IV A 8 - S 0316 - 52/95-BStBl 1995 I S. 738)

Tickende Zeitbombe? Uns ist kein Fall aus den letzten 25 Jahren bekannt, wo ein Unternehmen deswegen zu Schaden kam.

Handelsblatt Online 11.10.2013

© Zöller & Partner GmbH, www.zoeller.de Codia DMSforum, TR RESISCAN

Muss man sie beachte? Relevanz der TR RESISCAN

TR RESISCAN wird als „Stand der Technik“ in diversen Kommentaren zum eGovG gesehen. Ein Anwender kann die TR daher nicht ignorieren. Er wäre in der Beweisnot, darzulegen, dass seine andere Vorgehensweise der TR RESISCAN gleichwertig oder besser ist.

4

Quelle: BMI, Minikommentar zum Gesetz zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften


Was gehört zur RESISCAN, was muss/soll man lesen?

5

Dokument Relevanz Umfang

TR 03138 Normativ (MUSS) 39 S.

Anlage P: Prüfspezifikation Normativ (MUSS) 28 S.

Anhang A: Ergebnis Risikoanalyse

Informativ, muss aber gelesen und verstanden werden, weil nur dort wesentliche Definitionen zu finden sind

46 S.

Anlage R: Rechtshinweise (Autoren: Prof. Rossnagel u.a.)

Informativ, aber wichtig: Hier werden umfangreiche Erläuterungen zu zentralen Begrifflichkeiten (zum Bsp. die Sicherheitsziele) der TR aus rechtlicher Sicht dargestellt. Diese kann der Anwender nicht einfach ignorieren, außer er begründet eine andere Position aus rechtlicher Sicht.

50 S.

Anlage V: VerfahrensdokuGliederung

Informativ, enthält nur eine einfache Gliederungsstruktur 3 S.

BSI Grundschutz Ausschnittweise wichtig, da mehrfacher Verweis. Sind aber zum Teil extrem veraltet und NICHT anwendbar. Das muss aber der Leser selbst recherchieren, es gibt keinen Hinweis, welche Kapitel ungültig sind.

>4.500 S. (alte PDF-Version)

Common Criteria Ausschnittweise wichtig, mehrfacher Verweis in der TR 650 S.

TR-ESOR (TR 03125) WICHTIG, mehrfacher Verweis in der TR. Empfohlen Archivierungskomponente für bestimmte Schutzklassen

98 S.


Warum man auch die Anlage A lesen muss

Weil hier Basisbegriffe der TR definiert sind. Beispiel Schutzbedarfskategorien

6

Bitte merken



Weil hier Basisbegriffe der TR definiert sind. Beispiel Datenobjekte

7

Das liest sich erst mal unverdächtig.


„Transfervermerk“

Inhalt des Transfervermerks: so weit, so gut.

8

ABER: wenn Schutzklasse HOCH, – dann SOLL auch der Transfervermerk mit kryptografischen Maßnahmen geschützt werden. Ein

„Transfervermerk“ ist aber in aller Regel ein Set von Attributen in einer DB-Anwendung eines DMS oder einer Fachapplikation ist, das lässt sich nicht kryptografisch verschlüsseln/signieren.

– SOLL = „Nachdrückliche Empfehlung“



Beispiel „Integritätsschutzkomponenten“ in der Scan-Station.

Wir sprechen hier nicht von Integritätsschutzmechanismen in der DMS-Ablage!! Wichtiger Unterschied.

Wenn also mit SmartPhone, Fax, Multifunktionsgeräten etc., gescannt werden soll, gelten diese Anforderungen ebenso. Bitte merken!

9


Warum man auch die Anlage R (unverbindliche rechtliche Hinweise) lesen muss/sollte

Zahlreiche Verweise auf die Anlage R. Ein Abweichen dürfte den meisten Anwendern ohne Rechtsbeistand wohl schwerfallen.

An keiner einzigen Stelle wird darauf hingewiesen, dass für kaufmännische oder steuerrelevante Unterlagen, dass das BMF das ersetzende Scannen mit einer Verwaltungsanweisung seit Nov. 1995 schriftlich für zulässig erklärt hat mit weit weniger Anforderungen wie in der RESISCAN und den mitgeltenden Dokumenten beschrieben. Das ist Basiswissen und sollte eigentlich bekannt sein. Statt dessen wurden in der Presse die bisherigen Verfahren massiv angezweifelt.

– Das schädigt die (deutsche) DMS-Industrie, die seit 25 Jahren ersetzendes Scannen mit Legitimierung der Finanzverwaltung ermöglicht

– Es bremst papierlose Prozesse und es bremst E-Government Projekte, weil den Anwendern Angst gemacht und der Aufwand unnötig erhöht wird

10


Schrullen aus der Anlage R (unverbindliche rechtliche Hinweise) lesen muss/sollte

Verwendung von Bildverbesserungsalgorithmen Kap. R.2.6.1.1.)

11

Bei solchen Stellen merken Sie sich bitte, dass die Anlage R unverbindlich ist.

ABER: Wie soll man als Nicht-Jurist einen guten Rat von einer schlechten Empfehlung unterscheiden?


Weiterer Lesestoff: Verweise auf Grundschutz

12

Dokument Umfang Anmerkungen

TR RESISCAN 1.0 vom 20.3.2013 39 Seiten Verweis auf folgende Module des BSI Grundschutz

B 1.11, 1.15, 1.6, 3.101, 3.201, 3.301, 3.406, 5.7

M 1.32,

M 2.08, 2.1, 2.11, 2.164, 2.165, 2.199, 2.157, 2.158, 2.159, 2.198, 2.204, 2.207, 2.25, 2.399, 2.400, 2.4, 2,42, 2.46, 2.5, 2.62

M 3.11, 3.2, 3.35, 3.4, 3.26

M 4.300, 4.301, 4.302, 4.303, 4.7, 4.78, 4.80,

M 5.146

M 6.32, 6.56

Bei Schutzklasse HOCH zusätzlich:

NIST-800-57-1, NIST-800-57-2, NIST-800-133

TR 02102, TR 03116 oder schriftlicher Nachweis… (S. 29)

Nur Produkte gem. FIPS-140, CC, ITSEC sollten primär herangezogen werden

Für Beweiswerterhaltung TR ESOR (TR 03125)


Wesentliche Kritikpunkte

Im Vergleich zu einer sehr viel einfacher zu erstellen Dokumentation eines normalen ordnungsgemäßen Verfahrens deckt die RESISCAN sogar nur einen sehr kleinen Ausschnitt ab

– Nicht im Scope: Erfassung elektronischer Dokumente, die anderen Funktionen eines DMS (Ablage, Löschfristen, Verwaltung etc.) Diese sind aber seit 25 Jahren Bestandteil JEDER ordnungsgemäßen Archivanwendung

13

Erfassung Papierdokumente

Erfassung elektronischerDokumente und E-Mail

Dokumentenverwaltung, Aktenverwaltung,

Archivierung

Erfassung Dokumente und Daten aus Hintergrundsystemen

Scope TR RESISCANScope „normale“ DMS-Lösung und Verf.doku


Unsere wesentlichen Kritikpunkte

Krypto-/Signatur-zentrisch– Kryptografische Elemente bringen keinen rechtlichen Mehrwert bei der

Transformation analoger Dokumente in Digitalisate.

– Wird eine (qualifizierte) Signatur beim Scannen angebracht, wird ja nur die Behauptung des Scanpersonal signiert (mit der Signaturkarte einer natürlichen Person in der Scanstelle), dass das, was sie am Bildschirm sieht, ok sei. Das hat mit der Erläuterung in Anlage R zur gerichtsbelastbaren Authentizität NICHTS zu tun. Daher ist die Anlage R nicht nur wichtig, sondern gleichzeitig auch inhaltlich irreführend, weil sie suggeriert, dass die Signatur beim Scannen die Authentizität des Original-Dokumentes bestätigt. Genau das tut sie NICHT!

– Wer mit Signaturen und lange aufbewahren möchte, kommt als öffentlicher Anwender nicht um das Thema Nachsignatur und damit automatisch um das Thema TR-ESOR herum.

– Auch der Schutz gegen Manipulation muss in der Regel von einem nachgelagerten Archivverfahren vorgenommen und die dortige Integrität dort dokumentiert werden.

– Der einzige für die Praxis aber irrelevante Nutzen wäre die technische Verkehrsfähigkeit zertifikats-basierter Hashprüfungen (QES oder Zeitstempel). Aber hier ist jede gutachterliche Bestätigung der Unveränderbarkeit in einem „normalen“ DMS genauso gut und vermeidet den Aufwand einer Signaturlösung.

14


Integritätsschutz

Wenn Schutzklasse HOCH oder SEHR HOCH

15

Dann Kryptokomponenten in der Scanstrecke!


Und das bedeutet…

Kryptografische Mechanismen zum Integritätsschutz in der Scanstrecke oder der schriftliche Nachweise, dass der „andere“ Schutz gleichwertig ist

Und dieser schriftliche Nachweise erfordert…..

16


Aus kryptografischem Integritätsschutz beim Scannen folgt TR ESOR beim Archivieren

Aus HOCH oder sehr HOCH folgt TR-ESOR

17


Wesentliche Kritikpunkte: Krypto-/Signaturfokus

Logisch: Solange kein Digitalisat besteht, kann Kryptografie/Signatur nicht verwendet werden.

– Nach dem Signieren/Zeitstempeln ist das Objekt aber noch nicht geschützt.

– Eine Manipulation wäre jetzt nur nachträglich feststellebar, aber nicht verhinderbar. Hierzu benötigt man also ein DMS-/Archivlösung. Wurde mit Hilfe von Signaturen abgelegt, wird auf die TR-ESOR verwiesen. Wer also „RESISCAN mit Signaturen“ sagt, kommt kaum um die TR-ESOR als Archivspeicher herum.

18

Zeit

DigitalisierenEinzelblatt- oder StapelscanErzeugen von Rohbitmaps

(TIFF, JPG etc.) oder finalen Formatcontaintern (PDF)

t-3

BildoptimierungKontrast-

verbesserung, Leerseitenlöschen, Entrauschen etc.

t-0

Entgegen-nahme Post

t-1

Separation Scan-relevantes

SchriftgutGgf. Wegwerfen von irrelevantem

Beiwerk

t-2

Vorbereiten Scan-Schriftgut:

EntklammernUmkopieren

Trennen, Umkleben, Auftrennen,

Entfernen von Nicht-Scan-Elementen

t-4 t-5 t-6 t-8

Indexierung

Minutenbis

Stunden

Minutenbis

Stunden bei frühem Scannen

bis Monate bei

spätem Scannen

Minutenbis

Tage, bei später

Erfassung bis Monate

Sekunden bis Minuten

Millisekunden bis Minuten

Millisekunden bis

Sekunden

Sekunden bis Tage

t-7

SignaturZeitstempel

ArchivierungUnveränderbare

Ablage im Archiv-Repository

Durch Signatur nicht geschütztes Zeitfenster Prüfbarkeit Schutz und Prüfbarkeit

Erfassungsschritte im Zeitverlauf - frühe Archivierung

© Zöller & Partner 2010

Protokollierungsicherheitsrelev.

Ereignisse, Transfervermerk

Millisekundenbis

Sekunden

Kurze Dauer, unkritisch Dauer kann Risiko sein Kritische Dauer (lang)



„Schwere Kost“, komplex strukturiert, mehrstufige Referenzierungen, „fremde“ Terminologie.

– Ohne sachverständige Dritte ist die TR nicht verständlich

– Umsatz für Krypto-/Signaturexperten ohne erhöhte Rechtssicherheit

Umfang der mitgeltenden Dokumente, die zum Teil veraltet sind fragwürdige / unsinnige Aussagen enthalten (zahlreiche Beispiele in Anlage R)

Da sind GoBS und seit Ende 2014 die GoBD vorbildlich. Diese können auch von kleineren und mittelständischen Anwenderunternehmen gelesen, verstanden und daher auch umgesetzt werden. Und sie decken nicht nur die Papiererfassung ab.

19



Keine höhere Rechtssicherheit – im Vergleich zu anderen bewährten und ordnungsgemäßen Erfassungs-

und Aufbewahrungsverfahren (z.B. nach GoBS/GoBD).

– Es ist kein Verlass darauf, dass eine Drittprüfung (Prüfung des gleichen Sachverhaltes durch einen anderen sachverständigen Dritten) zum gleichen Ergebnis kommt.

– Ursache: Zu viele frei wählbare Parameter wie Schutzklassen und deren Definitionen. Wann ist die Schutzklasse für ein Dokument oder den Transfervermerk HOCH oder SEHR HOCH? Die Definitionen sind sehr generisch und helfen dem Anwender nicht bei der Einschätzung.

– Man ist daher gezwungen, vereinfachend zu interpretieren um nicht Hunderte von Personentagen aufzuwenden, geht dann aber das Risiko ein, dass eine Drittprüfung durch einen anderen Sachverständigen diese Lücken kritisiert und das Verfahren als nicht RESISCAN-konform verwirft. Im Vergleich zu seit 25 Jahren ordnungsgemäßen DMS-Lösungen entsteht hier eine dramatische Verschlechterung der Rechtssicherheit.

20


Fazit

Die TR wäre gut, – Wenn sie das Gesamtverfahren umfasst, nicht nur Erfassung

– Wenn sie die Erfassung aller Unterlagen umfasst, nicht nur den Papiereingang

– Wenn Sie nicht jedes Problem mit Kryptografie lösen möchte

– Wenn die technischen Integritätsschutzfunktionen in die DMS/Archiv-Ebene verlagert sind, NICHT in die Erfassungsprozesse

– Wenn Sie von textlichem Ballast, Skurrilitäten und Unmöglichkeiten befreit wird.

– Wenn sie auch für KMUs anwendbar wäre (heißt: umsetzbar zu deren Budgets). Das bedeutet, ein KMU muss sie anwenden können ohne Berufszertifizierer oder externe Berater für x Personentage alle 36 Monate im Haus zu haben.

– Aber dazu müsste man die Arbeitsgruppe so besetzen, dass keine Interessenkonflikte vorhersehbar sind (Nähe zu Produkten, Technologien).

21


Positionspapier zur TR RESISCAN

Autoren– PriceWaterhouseCoopers

– Zöller & Partner

Kostenloser Download auf www.zoeller.de


Nochmal zum Thema Panikmache

23

Tickende Zeitbombe? Kein Fall aus den letzten 25 Jahren bekannt, wo ein Unternehmen deswegen zu Schaden kam.

Hinweis an das Auditorium: Prüfen Sie mal nach, wer die Befürworter sind und überlegen Sie dann, ob da vielleicht nicht nur wissenschaftliche Interessen vorliegen.

Fazit von Ulrich SchwenkertVorsitzender Richter am Finanzgericht Berlin-Brandenburg

"Im Regelfall dürften selbst die eigenhändig ohne besondere Vorkehrungen eingescannten Belege nicht zu einem Rechtsnachteil

führen."

www.zoeller.de

Vielen Dank für Ihre Aufmerksamkeit !

Bernhard Zöller

[email protected]

Documents

TR-RESISCAN Codia 1.0 · „Transfervermerk“ ... ersetzendes Scannen mit Legitimierung der Finanzverwaltung ermöglicht – Es bremst papierlose Prozesse und es bremst E-Government