TR-RESISCAN und dann!

Olaf Rohsotck 09. Oktober

TR-RESISCAN – und dann?

15.10.2014 Seite 1 BITKOM-FORUM / DMS-Expo

15.10.2014 Seite 2 Governikus LZA

Agenda

Wer ist die Governikus KG

Dokumentenlebenszyklus und Umwelteinflüsse

TR-03138 RESISCAN des BSI

TR-03125 ESOR des BSI

Governikus LZA

15.10.2014 Seite 3

• 1999 als bremen online services gegründet

• Public Private Partnership

• Freie Hansestadt Bremen: 55,1%

• Telekom Deutschland GmbH: 15%

• Die Sparkasse Bremen: 15%

• Brekom GmbH (EWE): 14,9%

• Rechtsform: GmbH & Co. KG

• Geschäftsführer: Dr. Stephan Klein

• Aufsichtsratsvorsitzender: Dr. Martin Hagen

• ca. 100 Beschäftigte

• 2014 Fusion mit Vertriebstochter und Umbenennung in Governikus KG

Daten und Fakten

Governikus LZA

15.10.2014

Unsere Kernkompetenzen

• Entwicklung von Standard-

und Individualsoftware

• Projektberatung für Kunden und Partner

• Betrieb und Wartung von Servern

• Schulungen für Betreiber,

Entwickler und Anwender

• IT-Support: Unterstützung für

Betreiber und Anwender

Leistungen

Governikus LZA Seite 4

Governikus-Portfolio

Secure

Identitiy

Suite

Authentisierung • nPa

• Zertifikate

Secure

Communication

Suite

Datentransport • OSCI/EGVP

• De-Mail

Secure

Data

Suite

Beweiswerte • Kryptografie

• Signatur

• TR-ESOR

• (TR-RESISCAN)

Zyklus der elektronischen Kommunikation

15.10.2014

Unsere Lösungskompetenzen


• Individuell lassen sich

unsere

Lösungskomponenten je

nach Bedarf

zusammenstellen

• ›Fertige‹ Produkte für

unterschiedliche

Einsatzszenarien, die

ständig weiterentwickelt

werden: evaluiert und

zertifiziert (Common

Criteria, SigG-bestätigt,

TR-ESOR-zertifiziert,

Common PKI …)

• Governikus: Anwendung

des IT-Planungsrates

• Basis unserer

Entwicklung: nationale und

internationale (EU)

Gesetzeslagen und

Standards

15.10.2014 Seite 6

Umwelt

Governikus LZA

15.10.2014 Seite 7

Herausforderungen elektronischer Dokumente und Daten

Gesetzliche Anforderungen an Aufbewahrungsfristen Gesetzliche Anforderungen an Aufbewahrungsfristen

Sicherstellung Beweiswert Sicherstellung Beweiswert

Sichere Speicherung und Datenhaltung Sichere Speicherung und Datenhaltung

Zurückgehende Lebenszyklen von IT-Anwendungen Zurückgehende Lebenszyklen von IT-Anwendungen

Minimierung Kosten und Ressourceneinsatz Minimierung Kosten und Ressourceneinsatz

Wirtschaftlichkeit

Governikus LZA

15.10.2014 Seite 8

Zentrale Datenhaltung vs. Beweismittel

Governikus LZA

15.10.2014 Governikus LZA Seite 9

Papier entsorgen?

15.10.2014 Governikus LZA Seite 10

Umwelteinflüsse auf den Dokumentenlebenszyklus

§

§

Rechtliche

Anforderungen

AO, BDSG, BetrVG, BGB, HGB, GDPdU,

SigG, SigV, ZPO, Bundes- und

Landesarchivgesetze, etc.

Rechtliche

Anforderungen

AO, BDSG, BetrVG, BGB, HGB, GDPdU,

SigG, SigV, ZPO, Bundes- und

Landesarchivgesetze, etc.

EGovG | Europa 2020

eAkte

EIDAS – Verordnung, Vertrauensdienste Langzeitaufbewahrung

EGovG | Europa 2020

eAkte

EIDAS – Verordnung, Vertrauensdienste Langzeitaufbewahrung

Empfehlungen

z. B. Prüfleitfäden

Empfehlungen

z. B. Prüfleitfäden

DIN Standards

Compliance

DIN Standards

Compliance

P23R

Langzeitaufbewahrung von Benachrichtigungen

Protokolleinträgen

P23R

Langzeitaufbewahrung von Benachrichtigungen

Protokolleinträgen

15.10.2014

TR-RESISCAN – ersetzendes Scannen


Gegenstand der TR-RESISCAN

Prozesshandbuch für Verwaltungen und Unternehmen

Governikus LZA 15.10.2014 Seite 12

Dokumenten-vorbereitung Dokumenten-vorbereitung

Eingang eines Dokuments

Scannen Scannen Nachver-arbeitung Nachver-arbeitung

Integritäts-sicherung Integritäts-sicherung

Beweiswert -erhaltende

Aufbewahrung

Integritäts-sicherung

15.10.2014

Rechtssicher gescannt – und dann?


Anforderungen

15.10.2014

• Authentizität (Echtheit)

• Integrität (Unveränderlichkeit)

• Verlässlichkeit

• Verkehrsfähigkeit

• Lesbarkeit

Beweiswerterhaltung

• aus Bearbeitungssystemen

(ERP, CRM, Fachverfahren, CAD etc.)

• aus ECM/DMS

• aus Kommunikationssystemen

(E-Mail, De-Mail, OSCI etc.)

• gescannte Unterlagen

Relevant für ALLE

elektronischen Daten


Nachweise = Zertifikate = Beweis!

… verlieren:

15.10.2014

• Zertifikate laufen aus, sind

nicht mehr prüfbar

• Algorithmen werden unsicher

(z.B. SHA-1)

• Eine 50 Jahre alte Signatur ist

ALLEINE nicht mehr beweiskräftig

ABER, Beweiswerte …

• Nachvollziehbarkeit von früheren

Signaturprüfungen ermöglichen

• Detaillierte Prüfergebnisse aufbewahren

(Antworten der Trustcenter)

• Prüfergebnisse müssen ggf.

übersigniert werden

• Nachweis, dass früher mal eine

(positive) Prüfung stattgefunden hat

• Dokumente neu signieren

• Signaturen prüfen, solange sie noch

prüfbar sind

• Daten übersignieren (stärker), deren

Signatur bald nicht mehr sicher ist

• Neusignierung nach § 17 SigV

… erhalten:


15.10.2014 Seite 16

… denn die Folgen sind

• Verfahrens- und Systemgebundenheit

• Mehrfachaufwände zur Sicherstellung der Anforderungen an Langzeitspeicherung

• Keine Standardisierung, sprich keine Prozessintegrationsmöglichkeit

Verfahrensspezifische Langzeitspeicherung ist KEINE Lösung …

Governikus LZA

Scan Scan Fachverfahren Fachverfahren Mail Mail

15.10.2014 Seite 17

Lösungsansatz Standardisierung

Governikus LZA

• ArchiSig (langfristiger Erhalt der Beweiskraft

elektronisch signierter Dokumente)

• ArchiSafe (Spezifikation einer Archiv-Middleware)

• DIN Normen

• 31644 (Kriterien für vertrauenswürdige

elektronische Langzeitspeicherung)

• 31645 (Leitfaden zur Informations-

übernahme in elektronische Langzeitarchive)

• RFC 4998 der IETF (Internet Task Force)

• Referenzmodell OAIS (Open Archival Information

System)

• etc.

TR-03125 alias

TR-ESOR

TR-03125 alias

TR-ESOR

15.10.2014

Governikus LZA


TR-M2

TR-M3 TR-M1

15.10.2014 Seite 19

Funktionen Governikus LZA

Governikus LZA

• Evidence Records nach RFC-4998 gemäß ArchiSafe und TR-03125

• Umfangreiche Volltextsuche über Metadaten und Archivobjekte

• Anzeige mit Trusted Viewer

• Automatisierte Signaturerstellung und –prüfung

• Bedienerloses Nachsignieren nach ArchiSig

• Verwaltung von Aufbewahrungsfristen und sicheres Löschen

• Redundante Beweiswerterhaltung durch mehrere Hash-Algorithmen

• Client zur Suche und Upload

15.10.2014 Seite 20

Ihre Vorteile

Governikus LZA

• Compliance-Readyness

• Senkung von Haftungsrisiken

• Internationale Akzeptanz der Beweiswerte

• Höchste Gerichtsverwertbarkeit elektronischer Dokumente

• Format- und lösungsneutrale Beweisführung am Dokument

• Parallel für verschiedene Applikationen nutzbar

• Anwenderfreundlich – ohne Signaturhandling

• Leichte Implementierung auf SOA-Basis

• Hoher Investitionsschutz dank offener Standards

• Anbindung an alle führenden ECM- und Storagesysteme

• Cloud-fähig durch sichere Datenverschlüsselung nach AES 256-bit

• Als lokale Instanz, SaaS und Appliance verfügbar

15.10.2014 Seite 21

Integration

Governikus LZA

ECM / DMS

Unternehmens-software

(ERP, CRM etc.)

Unternehmens-software

(ERP, CRM etc.)

Kommunikation


Kommunikation


Scanner Scanner Datenbanken Datenbanken

Storage

SAP SAP Ceyoniq Ceyoniq SER SER d.velop d.velop MS Sharepoint MS Sharepoint OS OS Standardisiertes,

selbsttragendes Archivpaket

Metadaten + Inhalt + Beweisdaten

Exportmöglichkeit §§

etc. etc.

15.10.2014 Seite 22

Beweiswerterhalt

Governikus LZA

TR-ESOR TR-ESOR

Archi-Sig-konform Archi-Sig-konform

revisionssicher revisionssicher

Datei & ›Drucker‹ Datei & ›Drucker‹

2008 — 2011

2001 — 2007

1992 — 1996

1941 — 1980

Vielen Dank für Ihre Aufmerksamkeit

15.10.2014 Seite 23 BITKOM Forum

Olaf Rohstock

Tel.: +49 421 204 95-965

[email protected]

Governikus GmbH & Co. KG

www.governikus.com

[email protected]

Am Fallturm 9

28359 Bremen

Tel.: +49 421 204 95 -0

Friedrichstraße 88

10117 Berlin

Tel.: +49 30 408 17 33 -10

Technology

TR-RESISCAN und dann!