Mit <kes>+ lesen

Scannen ersetzt Papier : Sichere und vertrauenswürdige Digitalisierung mit technischen Richtlinien des BSI

Die Digitalisierung erfasst immer mehr Prozesse in der Verwaltung. Daneben muss jedoch auch der Umgang mit papiergebundenen Dokumenten geregelt werden. Wenn die betreffenden Dokumente eingescannt werden, können sie auch im Rahmen digitalisierter Verwaltungsabläufe verwertet werden. Derzeit steht das BSI als Cybersicherheitsbehörde des Bundes selbst vor der Aufgabe, das ersetzende Scannen einzuführen.

Lesezeit 4 Min.

Von Jawad Ahmad und Sascha Neinert, BSI

Der Übergang zum „papierlosen Büro“, in dem Arbeitsprozesse vollständig elektronisch beziehungsweise digital abgewickelt werden, wird sich früher oder später in den meisten Organisationen vollziehen. Oft stellt ein papiergebundenes Dokument den Beginn eines digitalen Prozesses dar (Abb. 1) und wird eingescannt, um es ohne Medienbruch weiter bearbeiten zu können. Die Langzeitspeicherung steht am Ende des Bearbeitungsprozesses, sofern das Dokument nicht zwischenzeitlich gelöscht wird.

Für diese beiden wesentlichen Bereiche hat das BSI technische Richtlinien (TR) formuliert:

  • Die BSI TR-03138 „Ersetzendes Scannen“ (TR RESISCAN) [1] widmet sich dabei der rechtssicheren Überführung papierbasierter Aufzeichnungen in eine digitale Form.
  • Die BSI TR-03125 „Beweiswerterhaltung kryptografisch signierter Dokumente“ (TR-ESOR) [2] adressiert die ordnungsgemäße Aufbewahrung elektronischer Aufzeichnungen einschließlich der vollständigen Erhaltung von deren Beweiswert.
  • /ul>

    Nach E-Government-Gesetz und Vertrauensdienstegesetz wird der Stand der Technik eingehalten, wenn diese Richtlinien umgesetzt worden sind.

    Ersetzendes Scannen

    Die TR RESISCAN regelt, wie Papierdokumente ordnungsgemäß und risikominimierend in elektronische Abbilder übertragen werden. Sie wird branchenübergreifend überall dort angewendet, wo ein hohes Maß an Rechtssicherheit und Nachweisfähigkeit digitaler Aufzeichnungen erforderlich ist. Erst das rechtssichere Einscannen von papiergebundenen Dokumenten ermöglicht eine vollständige digitale Vorgangsbearbeitung. Auch andere durch Papierdokumente hervorgerufene Medienbrüche können dadurch behoben werden.

    Zahlreiche Institutionen und Dienstleister haben mit einer Zertifizierung nachgewiesen, dass sie die Vorgaben der TR RESISCAN erfüllen. Doch nicht nur die Nachweisfähigkeit elektronischer Prozesse wird auf diese Weise gewährleistet. Ein weiterer wesentlicher Vorteil liegt darin, dass sich Lagerkosten für Akten signifikant senken lassen, wenn das Papier im Anschluss an den Scanprozess vernichtet werden darf. Je nach Aufwand liegen alleine die Lagerkosten für einen laufenden Aktenmeter (entspricht 12 Aktenordern) zwischen 25 und 60 Euro pro Monat.

    Die TR RESISCAN standardisiert das ersetzende Scannen und gibt Anwendern einen praxisorientierten Handlungsleitfaden zur sicheren Gestaltung ihrer Prozesse an die Hand; sie ist somit ein essenzieller Baustein für eine Steigerung der IT- und Rechtssicherheit im Bereich des ersetzenden Scannens.

    Beweissichere Langzeitspeicherung

    Vor dem Hintergrund zum Teil jahrzehntelanger Aufbewahrungsfristen gilt es, geschäftsrelevante Aufzeichnungen eines digitalen Prozesses nach dem Stand der Technik sicher wie vertrauenswürdig aufzubewahren. Ein nach TR-ESOR zertifiziertes Produkt ermöglicht die beweiswerterhaltende Langzeitspeicherung basierend auf qualifizierten Zeitstempeln. Es gewährleistet die Integrität, die Authentizität und die Verkehrsfähigkeit der Dokumente. Die genannten qualifizierten Zeitstempel basieren auf elektronischen Signaturen und Siegeln; die bei der Erstellung dieser Signaturen und Siegel verwendeten kryptografischen Algorithmen können jedoch im Laufe der Jahrzehnte ihre Sicherheitseignung verlieren. Die TR-ESOR gibt dabei vor, wann und wie diese Signaturen beziehungsweise Siegel zu erneuern sind – und zwar rechtzeitig, bevor sie ihre Sicherheitseignung verloren haben.

    Die zu bewahrenden Dokumente können als selbsterklärende, standardisierte Archivdatenobjekte an einen Langzeitspeicherdienst übergeben werden – mitsamt der nötigen Meta- und Beweisdaten. Die TR-ESOR macht dabei Vorgaben zu den zu verwendenden Datei- und Signaturformaten, um eine möglichst langfristige Verwendbarkeit sicherzustellen. Aufgrund der Vielfalt der existierenden Formate wurde zudem ergänzend zur technischen Richtlinie TR-ESOR eine „Leitlinie für digitale Signatur-/Siegel-, Zeitstempelformate sowie technische Beweisdaten (Evidence Record)“ veröffentlicht [3]. Die Richtlinie liegt demnächst in der Version 1.3 vor, die auch die Maßgaben der eIDAS-Verordnung umfasst.

    Praktische Umsetzung im BSI

    Seit November 2019 ist die Annahme von E-Rechnungen für die unmittelbare Bundesverwaltung verpflichtend, also auch für das BSI. Rechnungen bis maximal 1.000 e (netto) können allerdings weiterhin in papierbasierter Form gestellt werden. Um die Vorteile einer einheitlichen digitalen Abwicklung der Rechnungsbearbeitung zu nutzen, hat sich das BSI für das ersetzende Scannen der Papierrechnungen nach TR RESISCAN entschieden; die gescannten Dokumente werden TR-ESOR-konform persistent gespeichert.

    Um die hierfür notwendigen technischen und organisatorischen Umsetzungsschritte durchzuführen, sind Vertreter der Fachabteilungen, der hausinternen IT sowie Wissensträger der TR RESISCAN am Projekt beteiligt.

Abbildung 1

Abbildung 1: Ersetzendes Scannen und beweiswerterhaltende Langzeitspeicherung

Das Projektteam wird durch die hauseigenen TR-Verantwortlichen für RESISCAN und TR-ESOR beraten. Im ersten Schritt wird ein Scankonzept erarbeitet, das die Themen der Langzeitspeicherung mit aufgreift. Im Zuge der Erarbeitung des Scankonzepts ergeben sich dabei Aufgaben und Anpassungsbedarfe, die im Vorfeld einer operativen Umsetzung gelöst werden müssen.

Die Erkenntnisse, die sich aus der Entwicklung des Scankonzepts ergeben, sollen Grundlage für ein MusterScankonzept sein, das dann durch weitere Organisationen und Behörden nachgenutzt werden kann. Das BSI unterstützt Behörden, die das ersetzende Scannen bei der Prozessdigitalisierung umsetzen möchten.

Hilfestellung zu den Themen „Ersetzendes Scannen“ und „Beweissichere Langzeitspeicherung“ gibt das Referat DI 15 „eID-Lösungen für die digitale Verwaltung“ unter referatdi15@bsi.bund.de.

Literatur

[1] BSI, Technische Richtlinie Ersetzendes Scannen (RESISCAN), BSI TR-03138 Version 1.4.1, April 2020, www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03138/index_htm.html
[2] BSI, Technische Richtlinie Beweiswerterhaltung kryptografisch signierter Dokumente, BSI TR-03125 Version 1.2.2, Mai 2019, www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03125/index_htm.html
[3] BSI, Leitlinie für digitale Signatur-, Siegel-, Zeitstempelformate sowie technische Beweisdaten (Evidence Record),
Version 1.0, März 2020, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03125/BSI_TR_03125_Leitlinie_fuer_digitale_Signatur-Siegel-Zeitstempelformate.pdf

Diesen Beitrag teilen: