TR-RESISCAN Codia 1.0 · „Transfervermerk“ ... ersetzendes Scannen mit Legitimierung der...
Transcript of TR-RESISCAN Codia 1.0 · „Transfervermerk“ ... ersetzendes Scannen mit Legitimierung der...
TR-RESISCAN
Sinnvolle Lösung oder neues Problem für ersetzendes Scannen?
Bernhard Zöller, Zöller & Partner
codia DMSforum
Codia DMSforum, TR RESISCAN© Zöller & Partner GmbH, www.zoeller.de
Inhalt
Technische Richtlinie des BSI 03138 (TR-RESISCAN), verfügbar seit März 2013
Kernthema: Ersetzendes Scannen– Wer die Richtlinie einhält, kann Originale vernichten
(vereinfacht ausgedrückt)
– Erwartungshaltung: Hohe Rechtssicherheit (RESISCAN steht für Rechtssicheres Scannen)
Bisher ist das Thema ersetzendes Scannen nur für kaufmännische Dokumente gut geregelt, für alle anderen Dokumentarten muss das Unternehmen oder die öffentliche Verwaltung selbst entscheiden, wie groß das Risiko der Originalvernichtung ist
– Daher eigentlich eine gute Idee!
Aktuell: kontroverse Diskussion um Aufwand, Nutzen und Umsetzbarkeit.
2
Codia DMSforum, TR RESISCAN© Zöller & Partner GmbH, www.zoeller.de
Hohe öffentliche Sichtbarkeit zum Thema
NEIN!! Nicht bekannt, wo irgendein Finanzamt das tut. Und sicherlich nicht wegen fehlender kryptografischer Signaturkomponenten im Scanprozess.
Und für die Anhänger des Primärquellenstudiums: Das ersetzende Scannen ist seit 1995 mit dem BMF-Schreiben ausdrücklich erlaubt (IV A 8 - S 0316 - 52/95-BStBl 1995 I S. 738)
Tickende Zeitbombe? Uns ist kein Fall aus den letzten 25 Jahren bekannt, wo ein Unternehmen deswegen zu Schaden kam.
Handelsblatt Online 11.10.2013
© Zöller & Partner GmbH, www.zoeller.de Codia DMSforum, TR RESISCAN
Muss man sie beachte? Relevanz der TR RESISCAN
TR RESISCAN wird als „Stand der Technik“ in diversen Kommentaren zum eGovG gesehen. Ein Anwender kann die TR daher nicht ignorieren. Er wäre in der Beweisnot, darzulegen, dass seine andere Vorgehensweise der TR RESISCAN gleichwertig oder besser ist.
4
Quelle: BMI, Minikommentar zum Gesetz zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften
© Zöller & Partner GmbH, www.zoeller.de Codia DMSforum, TR RESISCAN
Was gehört zur RESISCAN, was muss/soll man lesen?
5
Dokument Relevanz Umfang
TR 03138 Normativ (MUSS) 39 S.
Anlage P: Prüfspezifikation Normativ (MUSS) 28 S.
Anhang A: Ergebnis Risikoanalyse
Informativ, muss aber gelesen und verstanden werden, weil nur dort wesentliche Definitionen zu finden sind
46 S.
Anlage R: Rechtshinweise (Autoren: Prof. Rossnagel u.a.)
Informativ, aber wichtig: Hier werden umfangreiche Erläuterungen zu zentralen Begrifflichkeiten (zum Bsp. die Sicherheitsziele) der TR aus rechtlicher Sicht dargestellt. Diese kann der Anwender nicht einfach ignorieren, außer er begründet eine andere Position aus rechtlicher Sicht.
50 S.
Anlage V: VerfahrensdokuGliederung
Informativ, enthält nur eine einfache Gliederungsstruktur 3 S.
BSI Grundschutz Ausschnittweise wichtig, da mehrfacher Verweis. Sind aber zum Teil extrem veraltet und NICHT anwendbar. Das muss aber der Leser selbst recherchieren, es gibt keinen Hinweis, welche Kapitel ungültig sind.
>4.500 S. (alte PDF-Version)
Common Criteria Ausschnittweise wichtig, mehrfacher Verweis in der TR 650 S.
TR-ESOR (TR 03125) WICHTIG, mehrfacher Verweis in der TR. Empfohlen Archivierungskomponente für bestimmte Schutzklassen
98 S.
© Zöller & Partner GmbH, www.zoeller.de Codia DMSforum, TR RESISCAN
Warum man auch die Anlage A lesen muss
Weil hier Basisbegriffe der TR definiert sind. Beispiel Schutzbedarfskategorien
6
Bitte merken
© Zöller & Partner GmbH, www.zoeller.de Codia DMSforum, TR RESISCAN
Warum man auch die Anlage A lesen muss
Weil hier Basisbegriffe der TR definiert sind. Beispiel Datenobjekte
7
Das liest sich erst mal unverdächtig.
© Zöller & Partner GmbH, www.zoeller.de Codia DMSforum, TR RESISCAN
„Transfervermerk“
Inhalt des Transfervermerks: so weit, so gut.
8
ABER: wenn Schutzklasse HOCH, – dann SOLL auch der Transfervermerk mit kryptografischen Maßnahmen geschützt werden. Ein
„Transfervermerk“ ist aber in aller Regel ein Set von Attributen in einer DB-Anwendung eines DMS oder einer Fachapplikation ist, das lässt sich nicht kryptografisch verschlüsseln/signieren.
– SOLL = „Nachdrückliche Empfehlung“
© Zöller & Partner GmbH, www.zoeller.de Codia DMSforum, TR RESISCAN
Warum man auch die Anlage A lesen muss
Beispiel „Integritätsschutzkomponenten“ in der Scan-Station.
Wir sprechen hier nicht von Integritätsschutzmechanismen in der DMS-Ablage!! Wichtiger Unterschied.
Wenn also mit SmartPhone, Fax, Multifunktionsgeräten etc., gescannt werden soll, gelten diese Anforderungen ebenso. Bitte merken!
9
Codia DMSforum, TR RESISCAN© Zöller & Partner GmbH, www.zoeller.de
Warum man auch die Anlage R (unverbindliche rechtliche Hinweise) lesen muss/sollte
Zahlreiche Verweise auf die Anlage R. Ein Abweichen dürfte den meisten Anwendern ohne Rechtsbeistand wohl schwerfallen.
An keiner einzigen Stelle wird darauf hingewiesen, dass für kaufmännische oder steuerrelevante Unterlagen, dass das BMF das ersetzende Scannen mit einer Verwaltungsanweisung seit Nov. 1995 schriftlich für zulässig erklärt hat mit weit weniger Anforderungen wie in der RESISCAN und den mitgeltenden Dokumenten beschrieben. Das ist Basiswissen und sollte eigentlich bekannt sein. Statt dessen wurden in der Presse die bisherigen Verfahren massiv angezweifelt.
– Das schädigt die (deutsche) DMS-Industrie, die seit 25 Jahren ersetzendes Scannen mit Legitimierung der Finanzverwaltung ermöglicht
– Es bremst papierlose Prozesse und es bremst E-Government Projekte, weil den Anwendern Angst gemacht und der Aufwand unnötig erhöht wird
10
© Zöller & Partner GmbH, www.zoeller.de Codia DMSforum, TR RESISCAN
Schrullen aus der Anlage R (unverbindliche rechtliche Hinweise) lesen muss/sollte
Verwendung von Bildverbesserungsalgorithmen Kap. R.2.6.1.1.)
11
Bei solchen Stellen merken Sie sich bitte, dass die Anlage R unverbindlich ist.
ABER: Wie soll man als Nicht-Jurist einen guten Rat von einer schlechten Empfehlung unterscheiden?
© Zöller & Partner GmbH, www.zoeller.de Codia DMSforum, TR RESISCAN
Weiterer Lesestoff: Verweise auf Grundschutz
12
Dokument Umfang Anmerkungen
TR RESISCAN 1.0 vom 20.3.2013 39 Seiten Verweis auf folgende Module des BSI Grundschutz
B 1.11, 1.15, 1.6, 3.101, 3.201, 3.301, 3.406, 5.7
M 1.32,
M 2.08, 2.1, 2.11, 2.164, 2.165, 2.199, 2.157, 2.158, 2.159, 2.198, 2.204, 2.207, 2.25, 2.399, 2.400, 2.4, 2,42, 2.46, 2.5, 2.62
M 3.11, 3.2, 3.35, 3.4, 3.26
M 4.300, 4.301, 4.302, 4.303, 4.7, 4.78, 4.80,
M 5.146
M 6.32, 6.56
Bei Schutzklasse HOCH zusätzlich:
NIST-800-57-1, NIST-800-57-2, NIST-800-133
TR 02102, TR 03116 oder schriftlicher Nachweis… (S. 29)
Nur Produkte gem. FIPS-140, CC, ITSEC sollten primär herangezogen werden
Für Beweiswerterhaltung TR ESOR (TR 03125)
© Zöller & Partner GmbH, www.zoeller.de Codia DMSforum, TR RESISCAN
Wesentliche Kritikpunkte
Im Vergleich zu einer sehr viel einfacher zu erstellen Dokumentation eines normalen ordnungsgemäßen Verfahrens deckt die RESISCAN sogar nur einen sehr kleinen Ausschnitt ab
– Nicht im Scope: Erfassung elektronischer Dokumente, die anderen Funktionen eines DMS (Ablage, Löschfristen, Verwaltung etc.) Diese sind aber seit 25 Jahren Bestandteil JEDER ordnungsgemäßen Archivanwendung
13
Erfassung Papierdokumente
Erfassung elektronischerDokumente und E-Mail
Dokumentenverwaltung, Aktenverwaltung,
Archivierung
Erfassung Dokumente und Daten aus Hintergrundsystemen
Scope TR RESISCANScope „normale“ DMS-Lösung und Verf.doku
Codia DMSforum, TR RESISCAN© Zöller & Partner GmbH, www.zoeller.de
Unsere wesentlichen Kritikpunkte
Krypto-/Signatur-zentrisch– Kryptografische Elemente bringen keinen rechtlichen Mehrwert bei der
Transformation analoger Dokumente in Digitalisate.
– Wird eine (qualifizierte) Signatur beim Scannen angebracht, wird ja nur die Behauptung des Scanpersonal signiert (mit der Signaturkarte einer natürlichen Person in der Scanstelle), dass das, was sie am Bildschirm sieht, ok sei. Das hat mit der Erläuterung in Anlage R zur gerichtsbelastbaren Authentizität NICHTS zu tun. Daher ist die Anlage R nicht nur wichtig, sondern gleichzeitig auch inhaltlich irreführend, weil sie suggeriert, dass die Signatur beim Scannen die Authentizität des Original-Dokumentes bestätigt. Genau das tut sie NICHT!
– Wer mit Signaturen und lange aufbewahren möchte, kommt als öffentlicher Anwender nicht um das Thema Nachsignatur und damit automatisch um das Thema TR-ESOR herum.
– Auch der Schutz gegen Manipulation muss in der Regel von einem nachgelagerten Archivverfahren vorgenommen und die dortige Integrität dort dokumentiert werden.
– Der einzige für die Praxis aber irrelevante Nutzen wäre die technische Verkehrsfähigkeit zertifikats-basierter Hashprüfungen (QES oder Zeitstempel). Aber hier ist jede gutachterliche Bestätigung der Unveränderbarkeit in einem „normalen“ DMS genauso gut und vermeidet den Aufwand einer Signaturlösung.
14
© Zöller & Partner GmbH, www.zoeller.de Codia DMSforum, TR RESISCAN
Integritätsschutz
Wenn Schutzklasse HOCH oder SEHR HOCH
15
Dann Kryptokomponenten in der Scanstrecke!
© Zöller & Partner GmbH, www.zoeller.de Codia DMSforum, TR RESISCAN
Und das bedeutet…
Kryptografische Mechanismen zum Integritätsschutz in der Scanstrecke oder der schriftliche Nachweise, dass der „andere“ Schutz gleichwertig ist
Und dieser schriftliche Nachweise erfordert…..
16
© Zöller & Partner GmbH, www.zoeller.de Codia DMSforum, TR RESISCAN
Aus kryptografischem Integritätsschutz beim Scannen folgt TR ESOR beim Archivieren
Aus HOCH oder sehr HOCH folgt TR-ESOR
17
© Zöller & Partner GmbH, www.zoeller.de Codia DMSforum, TR RESISCAN
Wesentliche Kritikpunkte: Krypto-/Signaturfokus
Logisch: Solange kein Digitalisat besteht, kann Kryptografie/Signatur nicht verwendet werden.
– Nach dem Signieren/Zeitstempeln ist das Objekt aber noch nicht geschützt.
– Eine Manipulation wäre jetzt nur nachträglich feststellebar, aber nicht verhinderbar. Hierzu benötigt man also ein DMS-/Archivlösung. Wurde mit Hilfe von Signaturen abgelegt, wird auf die TR-ESOR verwiesen. Wer also „RESISCAN mit Signaturen“ sagt, kommt kaum um die TR-ESOR als Archivspeicher herum.
18
Zeit
DigitalisierenEinzelblatt- oder StapelscanErzeugen von Rohbitmaps
(TIFF, JPG etc.) oder finalen Formatcontaintern (PDF)
t-3
BildoptimierungKontrast-
verbesserung, Leerseitenlöschen, Entrauschen etc.
t-0
Entgegen-nahme Post
t-1
Separation Scan-relevantes
SchriftgutGgf. Wegwerfen von irrelevantem
Beiwerk
t-2
Vorbereiten Scan-Schriftgut:
EntklammernUmkopieren
Trennen, Umkleben, Auftrennen,
Entfernen von Nicht-Scan-Elementen
t-4 t-5 t-6 t-8
Indexierung
Minutenbis
Stunden
Minutenbis
Stunden bei frühem Scannen
bis Monate bei
spätem Scannen
Minutenbis
Tage, bei später
Erfassung bis Monate
Sekunden bis Minuten
Millisekunden bis Minuten
Millisekunden bis
Sekunden
Sekunden bis Tage
t-7
SignaturZeitstempel
ArchivierungUnveränderbare
Ablage im Archiv-Repository
Durch Signatur nicht geschütztes Zeitfenster Prüfbarkeit Schutz und Prüfbarkeit
Erfassungsschritte im Zeitverlauf - frühe Archivierung
© Zöller & Partner 2010
Protokollierungsicherheitsrelev.
Ereignisse, Transfervermerk
Millisekundenbis
Sekunden
Kurze Dauer, unkritisch Dauer kann Risiko sein Kritische Dauer (lang)
Codia DMSforum, TR RESISCAN© Zöller & Partner GmbH, www.zoeller.de
Wesentliche Kritikpunkte
„Schwere Kost“, komplex strukturiert, mehrstufige Referenzierungen, „fremde“ Terminologie.
– Ohne sachverständige Dritte ist die TR nicht verständlich
– Umsatz für Krypto-/Signaturexperten ohne erhöhte Rechtssicherheit
Umfang der mitgeltenden Dokumente, die zum Teil veraltet sind fragwürdige / unsinnige Aussagen enthalten (zahlreiche Beispiele in Anlage R)
Da sind GoBS und seit Ende 2014 die GoBD vorbildlich. Diese können auch von kleineren und mittelständischen Anwenderunternehmen gelesen, verstanden und daher auch umgesetzt werden. Und sie decken nicht nur die Papiererfassung ab.
19
Codia DMSforum, TR RESISCAN© Zöller & Partner GmbH, www.zoeller.de
Wesentliche Kritikpunkte
Keine höhere Rechtssicherheit – im Vergleich zu anderen bewährten und ordnungsgemäßen Erfassungs-
und Aufbewahrungsverfahren (z.B. nach GoBS/GoBD).
– Es ist kein Verlass darauf, dass eine Drittprüfung (Prüfung des gleichen Sachverhaltes durch einen anderen sachverständigen Dritten) zum gleichen Ergebnis kommt.
– Ursache: Zu viele frei wählbare Parameter wie Schutzklassen und deren Definitionen. Wann ist die Schutzklasse für ein Dokument oder den Transfervermerk HOCH oder SEHR HOCH? Die Definitionen sind sehr generisch und helfen dem Anwender nicht bei der Einschätzung.
– Man ist daher gezwungen, vereinfachend zu interpretieren um nicht Hunderte von Personentagen aufzuwenden, geht dann aber das Risiko ein, dass eine Drittprüfung durch einen anderen Sachverständigen diese Lücken kritisiert und das Verfahren als nicht RESISCAN-konform verwirft. Im Vergleich zu seit 25 Jahren ordnungsgemäßen DMS-Lösungen entsteht hier eine dramatische Verschlechterung der Rechtssicherheit.
20
Codia DMSforum, TR RESISCAN© Zöller & Partner GmbH, www.zoeller.de
Fazit
Die TR wäre gut, – Wenn sie das Gesamtverfahren umfasst, nicht nur Erfassung
– Wenn sie die Erfassung aller Unterlagen umfasst, nicht nur den Papiereingang
– Wenn Sie nicht jedes Problem mit Kryptografie lösen möchte
– Wenn die technischen Integritätsschutzfunktionen in die DMS/Archiv-Ebene verlagert sind, NICHT in die Erfassungsprozesse
– Wenn Sie von textlichem Ballast, Skurrilitäten und Unmöglichkeiten befreit wird.
– Wenn sie auch für KMUs anwendbar wäre (heißt: umsetzbar zu deren Budgets). Das bedeutet, ein KMU muss sie anwenden können ohne Berufszertifizierer oder externe Berater für x Personentage alle 36 Monate im Haus zu haben.
– Aber dazu müsste man die Arbeitsgruppe so besetzen, dass keine Interessenkonflikte vorhersehbar sind (Nähe zu Produkten, Technologien).
21
Codia DMSforum, TR RESISCAN© Zöller & Partner GmbH, www.zoeller.de
Positionspapier zur TR RESISCAN
Autoren– PriceWaterhouseCoopers
– Zöller & Partner
Kostenloser Download auf www.zoeller.de
© Zöller & Partner GmbH, www.zoeller.de Codia DMSforum, TR RESISCAN
Nochmal zum Thema Panikmache
23
Tickende Zeitbombe? Kein Fall aus den letzten 25 Jahren bekannt, wo ein Unternehmen deswegen zu Schaden kam.
Hinweis an das Auditorium: Prüfen Sie mal nach, wer die Befürworter sind und überlegen Sie dann, ob da vielleicht nicht nur wissenschaftliche Interessen vorliegen.
Fazit von Ulrich SchwenkertVorsitzender Richter am Finanzgericht Berlin-Brandenburg
"Im Regelfall dürften selbst die eigenhändig ohne besondere Vorkehrungen eingescannten Belege nicht zu einem Rechtsnachteil
führen."
www.zoeller.de
Vielen Dank für Ihre Aufmerksamkeit !
Bernhard Zöller