„TR RESISCAN“Der Teufel steckt wie immer im Detail02.06.15 | Autor / Redakteur: Ulrich Gerke / Susanne Ehneß

Das Bundesamt für Sicherheit in derInformationstechnik (BSI) hat mit dertechnischen Richtlinie „TR 03138RESISCAN“ Vorgaben für das ersetzendeScannen festgeschrieben. Das vor zweiJahren veröffentlichte Dokument bedarflaut Ulrich Gerke dringend einerÜberarbeitung.

Mit der „TR-03138 RESISCAN –Ersetzendes Scannen“ hat das BSI am 20.März 2013 eine technische Richtlinieveröffentlicht, die Anwendern bei Einhaltungder Vorgaben eine erhöhte Rechtssicherheitbeim sogenannten ersetzenden Scannenbieten soll. Unter ersetzendem Scannenversteht diese technische Richtlinie das

Scannen von Unterlagen mit (zeitnaher) anschließender Vernichtung der Scanvorlage(„Original“).

Die TR Resiscan hat ausschließlich empfehlenden Charakter und ist keine Pflicht, wiedie Entstehung des eGovernment-Gesetzes (EGovG) verdeutlicht. Wurde noch imReferentenentwurf des EGovG auf die TR Resiscan verwiesen, so wurde diese in dergültigen EGovG-Version in die Anlagen verwiesen.

Grundsätzlich besteht die befürchtete Rechtsunsicherheit darin, dass Organisationenbeziehungsweise Verwaltungen mit der Vernichtung von Scanvorlagen Unterlagenbeziehungsweise Urkunden verlieren und daher eine Beweisführung ausschließlich aufBasis elektronischer Kopien durchführen müssen, deren Beweiswert allerdingsangezweifelt werden könnte. Anwender von DMS-Lösungen (in jeder Branche)scannen bereits seit mehr als 20 Jahren Papierunterlagen (ersetzend) und vernichten„zeitnah“ die entsprechenden Vorlagen (Originale).

Der Autor: Ulrich Gerke, Seniorberater derZöller & Partner GmbH. eMail-Kontakt:ugerke@zoeller.de(Ulrich Gerke)

Juristische BetrachtungDem Autor ist genau ein Gerichtsprozess bekannt, bei dem dieses Vorgehen demAnwender juristisch zum Nachteil gereichte – allerdings nicht aufgrund einesunzureichend sicheren Vorgehens beim Scannen, sondern aufgrund der Tatsache,dass er Originale – Mietnebenkostenbelege – gescannt hatte, die zum damaligenZeitpunkt auf Verlangen des Mieters zwingend im Original vorzulegen waren.

Bislang gibt es also keine dem Autor bekannten nachteiligen Prozessurteile, die beiersetzendem Scannen bei den Nutzern von DMS-Lösungen zu entsprechendenRechtsnachteilen geführt haben. Erst recht sind keine Rechtsurteile bekannt, die miteiner Breitenwirkung Rechtsunsicherheit verursachen könnten.

Das hohe Vertrauen kommt nicht von ungefähr: In Deutschland ist das ersetzendeScannen aus handels- und steuerrechtlicher Sicht seit 1995 gesetzlich zulässig undetabliert. Voraussetzung für die Zulässigkeit ist lediglich die Einhaltung der GoBD (vordem 1. Januar 2015 die GOBS) im Scanverfahren. Hierfür ist es notwendig, die üblicheSorgfalt im kaufmännischen Handeln anzuwenden, ein ordnungsgemäßeselektronisches Aufbewahrungsverfahren anzuwenden (typischerweise ein DMS mitArchivfunktionen), die Verfahren zu organisieren und in einer Verfahrensdokumentationfestzuhalten – und sonst nichts! Und diese Haltung wurde im Herbst 2013 in den beider Datev durchgeführten Simulationsprozessen zum wiederholten Male bestätigt.

Lesen Sie auf der nächsten Seite weiter.

Hieran entfacht sich aktuell eine Debatteim DMS-Markt, wie sinnvoll die aktuellvorliegende TR Resiscan ist, wenn diesemit allen Anhängen im originalen Wortlautin der Praxis umgesetzt werden soll. Alswesentliches Ziel hat sich TR Resiscangesetzt, die angeblich bestehendeRechtsunsicherheit zu beseitigen undRechtssicherheit herzustellen. Sie enthältaber gleichzeitig den Hinweis, dass mitder TR Resiscan nicht die Zulässigkeitdes ersetzenden Scannens als solchesgeregelt wird (siehe Bildergalerie, Punkt

1).Umgekehrt gibt es Meinungen, dass mit der TR Resiscan das Gegenteil einerRechtssicherheit erreicht wurde. Während es in der Vergangenheit grundsätzlich keineRechtsunsicherheit gab, wurde durch die TR Resiscan Rechtsunsicherheit erzeugt, da– bei Einsatz der TR Resiscan – Verwaltungen und Organisationen nun bewertenmüssen, ob die Vorgaben der TR Resiscan (zwingend) umgesetzt werden sollen oder

sogar müssen. Was sind aber die wesentlichen Kritikpunkte an der TR Resiscan?

KritikpunkteDie TR Resiscan bietet keine Rechtssicherheit im Sinne eines garantierten Verzichtsdes Richters auf das Papieroriginal des Digitalisats, wie es in der Öffentlichkeit häufigdargestellt wird.

Die Korrektheit eines eingescannten Dokuments kann selbst bei einer TR-Resiscan-zertifizierten Erfassungslösung nicht gewährleistet werden, daher könnte ein Richter zuRecht die Beweisfähigkeit des Digitalisats, selbst bei Einsatz der TR Resiscan,anzweifeln. Warum aber?

Die Praktiker wissen: Beim Scannen werden Papierdokumente mit einem Zeitverzugvon x Stunden, Tagen oder sogar erst Wochen nach dem Absenden digitalisiert. Indem dazwischenliegenden Zeitfenster bestehen unterschiedliche Einflussmöglichkeitenauf dem Weg vom Original zum Digitalisat: Unterlagen vorsortieren, bereinigen,umkopieren, Leerseiten oder Werbeanhang löschen, Vorgangsarten bündeln etcetera.

Ein fachlich korrektes Digitalisat ist dasjenige Scanobjekt, welches am Ende einesfachlichen Erschließungs- und Bearbeitungsprozesses von einem mit Fachkenntnissenausgestatteten Menschen (oder einem technischen System) als „Rechnung“, „Antrag“,„Bescheid“ oder „Schriftwechsel“ attribuiert (verschlagwortet) wird. Daher werden auchin einem GoBD- oder Resiscan-konformen Verfahren Fehler auftreten, alleine schondurch menschliche oder technische Unzulänglichkeiten, die sich nicht per Definitionausschließen lassen.

Lesen Sie auf der nächsten Seite weiter.

Eine Scan-Richtlinie kann daher in keinem Fall eine ausreichende Gewähr dafürleisten, dass ein Mensch-Maschine-Prozess die fachliche Bearbeitung undphysikalische Transformation zu 100 Prozent korrekt durchführt. Solche Fehler könnennicht per Definition oder gar Zertifizierung ausgeschlossen werden, weder retrospektivnoch vorausschauend. Daher wird sich ein Richter, egal in welchem Rechtsgebiet, imStreitfall selbstverständlich nicht die freie Beweiswürdigung aller Umstände nehmenlassen.

Dieses gilt übrigens auch für die steuerliche Aufbewahrung gemäß GoBD. Die seit1995 mehrfach wiederholte Erlaubnis des BMF zum ersetzenden Scannen bindet nichtdie Finanzgerichte, sondern nur die nachgeordneten Finanzbehörden. Das ist aber einZusammenhang, der bereits zu Zeiten der ersetzenden Mikroverfilmung und seit über25 Jahren in ersetzenden DMS-Scananwendungen bekannt war, berücksichtigt wurde

und nicht zur Verhinderung von ersetzendem Scannen (beziehungsweise ersetzendemVerfilmen) führte.

Dieses gilt übrigens auch für durchgängig analoge, also reine Papier-basierteErfassungsprozesse. Auch hier traten und treten in der täglichen Praxis Fehler imPapierhandling der Originale auf, die aber weder dazu führ(t)en, dass kompletteEingangskuverts unverändert archiviert wurden noch die Anerkennung derverarbeiteten Papierbelege durch Prüfer und Gerichte verhinderten.

Im Vergleich zu anderen seit Jahren angewandten Verfahren bei ordnungsgemäßenScan- und Archivierungslösungen führt die TR Resiscan daher faktisch keine höhereBeweisqualität ein. Auch Konformitätsbehauptungen zur TR Resiscan können eineRechtssicherheit nicht steigern (siehe Bildergalerie, Punkt 2).

Wenn sich 99 Prozent der Fehler durch menschliche Fehler einschleichen: Wie vielWert hat dann der Nachweis, wenn die Zertifizierung mit anderen Bedienkräftengemacht wird, als denen, die am nächsten Tag oder zwei Jahre später die Erfassungdurchführen? Ist es nicht vielmehr nur eine vom Anwender behauptete Qualität?

Aber dennoch, die als Empfehlung gedachte TR Resiscan ist eine weitereHandlungsoption für eine strukturierte Vorgehensweise zur Risikobewertung vonDokumenten und Implementierung von Schutzverfahren während derDokumentenerfassung.

Welchen Aufwand verursacht TR Resiscan?Die TR Resiscan umfasst mit den mitgeltenden Anlagen über 160 Seiten; kein leichterLesestoff, sondern komplexe, teilweise komplizierte, vielfach leider unklare Hinweiseund Angaben. Hinzu kommen Verweise auf Hunderte von Seiten aus dem BSIGrundschutz, die man berücksichtigen sollte, da die TR auf über 50 Module aus demBSI Grundschutz (referenziert) oder diese sogar zur Anforderung erhebt.

Lesen Sie auf der nächsten Seite weiter.

Weiterer hoher Vorbereitungsaufwand entsteht auch im Rahmen der„Schutzbedarfsanalyse“ (Terminus der TR Resiscan). Hier ist für jedes Dokumentbeziehungsweise Dokumentenart und darin für jede der sechs vorgegebenenDatenobjekte (D0-D6: Schriftgut aus dem Posteingang; Scanrelevantes Original;Scanprodukt; Index- und Metadaten; Transfervermerk; Sicherungsdaten;Protokolldaten; D0 und D1 können vermutlich zusammengefasst werden) eineKategorisierung von neun unterschiedlichen Sicherheitszielen vorzunehmen (sieheBildergalerie, Punkt 3).

Eine sorgfältig begründete Sicherheitsanalyse also für 9 Sicherheitsziele mal 6

Datenobjekte mal Anzahl unterschiedlicher Dokumentarten je Fachgebiet in derVerwaltung beziehungsweise Behörde. Das wären je Dokumentart bereits 54Einzelaspekte, die sorgfältig begründet werden sollen.

Wenn man davon ausgeht, dass in einer Verwaltung je Abteilung 10 bis 50Dokumentarten existieren, multipliziert mit der Anzahl der Fachbereiche, in denen einDMS eingesetzt werden soll, ist bereits bei der Schutzbedarfsanalyse klar, dass hierein sehr hoher Aufwand entstehen kann. Wenn mindestens eine Dokumentart derSchutzklasse „Hoch“ bezüglich des Grundwertes Integrität zugeordnet ist, dann sindweitere technische Aufwandtreiber im Spiel, und die Sache wird noch komplizierter(siehe Bildergalerie, Punkt 4).

Kryptografie erhöht nicht die RechtssicherheitDer Integritätsschutz soll dann mit kryptografischen Maßnahmen hergestellt werden(siehe Bildergalerie, Punkt 5). Daher entsteht hoher Vorbereitungsaufwand bei dertechnischen Einrichtung einer TR-Resiscan-konformen Scanstrecke, sobald die in derTR vorgesehenen technischen Maßnahmen wie Verschlüsselung und Signatureinsatzumzusetzen sind.

Die in der technischen Richtlinie Resiscan geforderten Verschlüsselungs- undSignaturmaßnahmen sowie die neben dem Scanprodukt zusätzlich geforderten (Meta-)Datenobjekte (Stichwort Transfervermerke) sind lediglich in sehr wenigen Scan-Produkten im Standard enthalten.

Zusätzlich ergeben sich durch die Vielzahl der Datenobjekte erweiterte Anforderungenan die für die Aufbewahrung eingesetzten Komponenten – zum BeispielDokumentenmanagement –, die ebenfalls im Standard in der Regel nicht verfügbarsind.

Begriffsverwirrung „Authentizität“Wird eine qualifizierte Signatur beim Scannen angebracht (zum Beispiel, wenn dieSchutzklasse eines Dokumentes = Hoch), wird nur die Behauptung des Scanpersonalssigniert (mit der Signaturkarte einer natürlichen Person in der Scanstelle), dass das,was auch immer dem Scanpersonal als Vergleich vorliegt und am Bildschirm sichtbarist, in Ordnung sei. Beim Scannen von großen Mengen an Papierunterlagen werdenhäufig nur Stichprobenprüfungen vorgenommen.

Lesen Sie auf der nächsten Seite weiter.

Damit werden gegebenenfalls für nur 10 bis 20 Prozent Vergleiche mit dem Originalvorgenommen. Weiterhin ist vielleicht das Original durch den normalenBearbeitungsprozess zum Beispiel beim späten Scannen gegebenenfalls bereits nichtmehr das physische Original, welches der Absender vor einigen Tagen in ein Kuvert

gesteckt hat.

Ja, die Definition ist richtig („Unter ‚Authentizität‘ von Daten versteht man, dass dieQuelle der Daten eindeutig bestimmbar ist“), aber beim ersetzenden Scannen istgenau diese nicht gegeben, da das Digitalisat eben nicht von der Person hergestelltwird, mit deren Signaturkarte signiert wird. Hier wird nur eineÜbereinstimmungsbehauptung signiert.

Mit Authentizität des originalen Dokumenterstellers (Absenders des gescanntenPapierdokumentes) hat dies NICHTS zu tun. Und daher ist die Signatur eben nichtgeeignet, diesen Mangel zu heilen. Also braucht man sie auch nicht, da sie nichtschützt (wie jedes bessere DMS), sondern eine Abweichung vom signierten Originaldurch Vergleich der Hashwerte nur prüfbar macht.

Mit anderen Worten: Durch die Resiscan wird sich kein Richter die freieBeweiswürdigung nehmen lassen. Eine Signatur hätte erst dann eine höhereBeweisqualität, wenn der Absender selbst qualifiziert signiert und genau für solcheindividuellen Willenserklärungen ist die qualifizierte elektronische Signatur eigentlichgeschaffen worden.

Daher ist die Definition in der TR Resiscan so nicht plausibel. Über eine Signatur desScanpersonals lässt sich nicht die Quelle des Dokumentes, also der Originaldaten,bestimmen.

Somit ist ein Resiscan-Prozess für das Thema „rechtliche Belastbarkeit einer digitalenKopie“ genauso schlecht oder genauso gut wie jeder ordnungsgemäße Erfassungs-(oder Verfilmungs-)prozess der letzten fünfundzwanzig Jahre.

Wirklich auf dem Stand der Technik?Was dem Leser oder Anwender ohne sehr aufmerksames Studium der TR Resiscanund all seiner mitgeltenden Anlagen vielleicht als Konsequenz nicht sofort auffällt:Dokumente der Schutzklasse „Hoch“ können auch nicht mehr an beliebigen Scan-Stationen, Multifunktionsgeräten, per Eingangsfax (ein nach wie vor sehr häufigerZugangsweg) oder über neue Erfassungsgeräte wie Smartphones oder Tabletsdigitalisiert werden.

Grund dafür: Diese Gerätegattungen können eine Fülle an Muss- oder Soll-Anforderungen gar nicht erfüllen, wie beispielsweise keine Zugangskontrollen, keineprüfbaren Scan-Caches, keine verschlüsselbaren internen Kommunikationswege etcetera. Der Prüfer, der einem eigentlich normalen Erfassungsprozess ein Resiscan-Zertifikat erteilen möchte, muss hier eigentlich gegen die Intention der TR zertifizieren.

Lesen Sie auf der nächsten Seite weiter.

Man kann sich schon die Frage stellen, warum die TR Resiscan behauptet, den Standder Technik darzustellen (siehe Bildergalerie, Punkt 6), denn die verfügbaren und imEinsatz befindlichen Scan-Lösungen beziehungsweise die für die Aufbewahrungeingesetzten Komponenten erfüllen typischerweise diesen Stand derzeit häufig nurüber Zusatzimplementierungen beziehungsweise die Einbindung von Drittlösungen,aber nicht im Standard.

Warum einfach, wenn es auch schwer geht?Die TR Resiscan bietet noch einige Anforderungen, die aktuell fern der typischenPraxis sind. Einige erschweren die Umsetzung der TR Resiscan aber erheblich. Hiernur wenige Beispiele:

Was sind eigentlich kryptografische Schlüssel im Scanner? Noch gibt es keineScanner, die kryptografische Schlüssel vorhalten (siehe Bildergalerie, Punkt 7.1).Die normative Anlage A, Kapitel A.1.5, beschreibt die Schnittstelle K1 zwischenScanner-Hardware und Software und kritisiert unter anderem, dass weder TWAINnoch ISIS noch SANE einen Integritätsschutz als Bestandteil der Schnittstellevorsehen.Ebenso wird als Muss-Anforderung vorgeschrieben, dass ein Verfahrenimplementiert wird, welches sicherstellt, dass auch bei Wartungs- undReparaturarbeiten Manipulationen etwa am Scan-Cache verhindert werden (sieheBildergalerie, Punkt 7.2).

Solche Anforderungen mögen sinnvoll sein für streng geheime Unterlagen derallerhöchsten Ver-traulichkeitsstufe oder aus Datenschutzgründen, aber für 99 Prozentder Dokumente im Markt erscheinen uns solche Hochsicherheitsmaßnahmen nicht nurpraxisfremd, sondern schlichtweg undurchführbar. Auch dies ist aber nur ein Beispiel,stellvertretend für viele andere Anforderungen in dem Gesamtwerk Resiscan.

Was wäre sinnvoll für eine aktualisierte TR Resiscan?Ein preiswerter Scanner kann bei aufmerksamer Handhabung durch das geschulteScan-Personal und mit entsprechendem Zeitaufwand ein originalgetreues Abbildliefern. Umgekehrt kann selbst mit einem hochwertigen Scanner bei unaufmerksamerAnwendung ein schlechtes, für Prüfzwecke unzureichendes Abbild erzeugt werden.Hard- und Software sind hier nur Teilkomponenten in einem mehrstufigen Prozess,dessen Ergebnisqualität von Menschen beeinflusst wird.

Es sollte keine Richtlinie sein, die das Zertifizieren von Produkten (Hardware oderSoftware) nach sich ziehen würde, weil sich die notwendige Ordnungsmäßigkeit imErfassungsablauf weniger durch die technisch-funktionalen Eigenschaften einesScanners, der Treibersoftware, der Dokumentformatierung oder derErfassungssoftware, sondern zum größten Teil durch die Sorgfalt in denArbeitsprozessen ergibt, also im Wesentlichen organisatorisch (Ausbildung, Sorgfalt et

cetera) begründet ist. Schon in der Vergangenheit hat sich gezeigt, dass durchZertifizierungen Konzepte nicht durchgesetzt werden können (siehe DOMEA).

Die TR Resiscan sollte daher ein organisatorischer Handlungsleitfaden für Anwenderwerden. Am besten komplett technik-neutral. Optimal wäre eine so genannte ORResiscan („Organisationsrichtlinie RESISCAN“), also ein „Kochbuch“ für Dinge, diebeim ersetzenden Scannen und im Hinblick auf die Erfassungsprozesse ausorganisatorischer Sicht zu beachten sind und wirtschaftlich in der Praxis umgesetztwerden können.

Eine aktualisierte „TR Resiscan 2.0“ wäredaher wirklich sinnvoll und würde denBehörden und öffentlichen Verwaltungeneinen hoffentlich eher organisatorischenLeitfaden für ein wirtschaftliches undumsetzbares ersetzendes Scannen bieten.

Dokumentenmanagement im VergleichKlassisches DMS versus SharePoint – welche Unterschiede gibt es?05.05.14 - Der Markt für Dokumentenmanagement-Systeme (DMS) hat sichhierzulande noch nicht konsolidiert. Daher überrascht es nicht, dass vieletechnische und funktionale Unterschiede zwischen den einzelnen Produktenerkennbar sind. Ein genauer Blick unter die „DMS-Motorhaube“ ist also bei derAuswahl einer entsprechenden Lösung anzuraten. lesen

Unterschiedliches NiveaueAkte: Stand der Einführung in

Der Autor: Ulrich Gerke, Seniorberater derZöller & Partner GmbH. eMail-Kontakt:ugerke@zoeller.de (Ulrich Gerke)

den Bundesländern12.03.15 - Das eGovernment-Gesetzvom August 2013 sieht für zahlreicheBundesbehörden ab 2020verpflichtend eine elektronischeAktenführung vor. Aber auch fürbehördliche Einrichtungen, die nichtdirekt davon betroffen sind, kann sichdie Einführung der digitalenAktenführung lohnen. lesen

Copyright ©2018- Vogel Business Media

Dieser Beitrag ist urheberrechtlich geschützt.Sie wollen ihn für Ihre Zwecke verwenden?Infos finden Sie unter www.mycontentfactory.de.

Dieses PDF wurde Ihnen bereitgestellt von http://www.egovernment-computing.de

Die TR Resiscan ist ein Leitfaden für das ersetzende Scannen (Bild: Africa Studio_Fotolia.com)

(Bild: M. Schuppich_Fotolia.com)

1.: Die Zulässigkeit des ersetzenden Scannens als solches wird nicht geregelt (TR Resiscan, Seite 10).(Zöller & Partner)

2.: Auch Konformitätsbehauptungen zur TR Resiscan können eine Rechtssicherheit nicht steigern (TRResiscan, Seite 9). (Zöller & Partner)

3.: Sicherheitsziele und Hinweise zur Schutzbedarfsanalyse (TR Resiscan, Anlage R, Seite 9). (Zöller &Partner)

4.: Generelle Maßnahmen bei erhöhtem Schutzbedarf (TR Resiscan, Seite 26). (Zöller & Partner)

5.: Einsatz kryptografischer Mechanismen (TR Resiscan, Seite 28). (Zöller & Partner)

6.: Die TR Resiscan zum Stand der Technik (Seite 9). (Zöller & Partner)

7.1: Kryptografischer Schlüssel? (TR Resiscan, Seite 25). (Zöller & Partner)

7.2: Weitere Anforderungen (TR Resiscan, Seite 16). (Zöller & Partner)

Alle Querverweise aus der Richtlinie im Überblick (Bild: Ulrich Gerke)