Warum eine Technische Richtlinie zu diesem Thema gar keine technische Richtlinie sondern nur eine organisatorische Richtschnur sein kann.

Wieso sich ersetzendes Scannen nicht standardisieren lässt.

Bernhard Zöller, Zöller & Partner, Hannover, 10.03.2014

Technische Richtlinie des BSI 03138 (TR-RESISCAN), verfügbar seit Frühjahr 2013

Kernthema: Ersetzendes Scannen

Wer die Richtlinie einhält, kann Originale vernichten (vereinfacht ausgedrückt)

Erwartungshaltung: Hohe Rechtssicherheit (RESISCAN steht für Rechtssicheres Scannen)

Praxis: Die RESISCAN ist weder bindend noch vereinfacht sie das Leben der Anwender

Mit der RESISCAN kommt SCHON WIEDER das Thema Signatur in die Scanprozesse, hat dort aber nicht verloren (von Zeitstempeln mal abgesehen)

Inhalt

2

Panikmache, nicht zweckdienlich

Nö. Nicht bekannt, wo das Finanzamt das tut. Und sicherlich

nicht wegen fehlender kryptografischer Signaturkomponenten

im Scanprozess.

Und für die Anhänger der Primärquellen: Das ersetzende

Scannen ist seit 1995 mit dem BMF-Schreiben ausdrücklich

erlaubt (IV A 8 - S 0316 - 52/95- BStBl 1995 I S. 738)

Tickende Zeitbombe? Uns ist kein Fall aus den letzten 25 Jahren

bekannt, wo ein Unternehmen deswegen zu Schaden kam. Bitte

um Info, wo uns etwas entgangen ist!! Gibt es aber keinen

solchen Fall, dann ist das hier Panikmache.

Hinweis an das Auditorium: Prüfen Sie mal nach, wer die

Befürworter sind und überlegen Sie dann, ob da vielleicht

nicht nur wissenschaftliche Interessen vorliegen.

Die TR-RESISCAN wäre eigentlich eine gute Sache …

Bisher ist das Thema ersetzendes Scannen nur für kaufmännische Dokumente gut geregelt, für alle anderen Dokumentarten muss das Unternehmen oder die öffentliche Verwaltung selbst entscheiden, wie groß das Risiko der Originalvernichtung ist

Also wie bei Mikrofilm vor 40 Jahren? Ja genau, Nix Neues!

Das Problem bei einer Technischen Richtlinie ist, dass es bei einem Erfassungsprozess gar nicht auf die TECHNISCHEN Aspekte ankommt. Die vorkommenden Fehler sind nicht durch Technik, sondern nur durch Sorgfalt, Aufmerksamkeit, Ausbildung, ergonomische Oberflächen und anderen Aspekten zu regeln, die sich allesamt einer technischen Zertifizierung entziehen.

Mit anderen Worten: Die Fehlerquelle sitzt vor dem Scanner!

Erschwerend kommt hinzu: diese bereits schwierige Ausgangslage wird nicht besser indem man versucht Komponenten durch die Hintertür wieder auf die Bühne zu holen, die hier nicht hingehören Signaturkomponenten und damit die TR-ESOR

4

Hindernis: Umfang & mangelnde Relevanz. Ohne Hilfe Dritter kann man das kaum

bewältigen. Umsatz für Berater und Berufs-Zertifizierer!

5

Dokument Relevanz Umfang

TR 03138 MUSS 40 S.

Anhang A: Ergebnis Risikoanalyse Informativ 46 S.

Anlage P: Prüfspezifikation Normativ, aber noch nicht verfügbar: „Anlage P – diese befindet sich

noch in der Erstellung und steht daher gegenwärtig noch nicht zur

Verfügung“ (Status 4.3.2014)

Anlage R: Rechtshinweise (Autoren:

Prof. Rossnagel u.a.)

Informativ Notiz: an keiner einzigen Stelle wird für kaufmännische oder steuerrelevante

Unterlagen darauf hingewiesen, dass das BMF Schreiben das ersetzende Scannen

seit Nov. 1995 für zulässig erklärt hat mit weit weniger Anforderungen wie in der

RESISCAN und den mitgeltenden Dokumenten beschrieben.

50 S.

Anlage V: Verfahrensdoku

Gliederung

Informativ 3 S.

BSI Grundschutzkataloge WICHTIG, da mehrfacher Verweis. Sind aber zum Teil extrem veraltet

und NICHT anwendbar. Das muss aber der Leser selbst recherchieren,

es gibt keinen Hinweis, welche Kapitel ungültig sind.

4.700 S.

Common Criteria WICHTIG, da mehrfacher Verweis 650 S.

TR-ESOR (TR 03125) WICHTIG, mehrfacher Verweis 98 S.

Erwartungshaltung: Nachweis der Konformität

Nein, können sie nicht. Es ist nur eine Behauptung. Es werden keine technischen Zwangsläufigkeiten

testiert, weil die Fehlerquelle VOR DEM SCANNER sitzt (und/oder vor der Fachanwendung, vor der

Indexieranwendung etc.)

Eine Erfassungsstrecke wird zum Zeitpunkt der Zertifizierung von anderen Personen besetzt sein, wie

irgendwann später. Eine Zertifizierung wäre wie ein Führerschein für die ganze Familie, aber nur 1

Person muss die Prüfung ablegen.

6

Regelungsgegenstand

7

Exkurs: wann ist ein Scanner gut genug?

8

Allemal gut genug: Foto-Handy

4 Megapixel: 200 dpi / DIN A4

6 Megapixel: 240 dpi / DIN A4

9 Megapixel: 300 dpi / DIN A4

Zum Vergleich

Standard-Fax: 200 dpi horizontal / 98 dpi vertikal (ca. 2 Megapixel)

Diese Geräte ermöglichen ergänzend die situative, mobile, standortunabhängige Erfassung. Zielgruppe: Knowledge Worker. Dokumente: Zeitschriften, Notizen, Whiteboards, etc.

Ablage in Cloud oder direkt im Teamraum, ECM-Lösung, E-Akte etc.

Neue Generationen von Mitarbeitern werden die „alten“ Verfahren ablehnen.

Unfug: QES in Massenscanverfahren Eine kryptografisch erzeugte Signatur (fortgeschritten oder qualifiziert) hat nur die Rolle der Prüfbarkeit auf Veränderung

zwischen dem Zeitpunkt des Signierens und der Ablage in einem Archiv (weil dort wieder eigene Schutzmaßnahmen wirken)

Daher bezieht sich die Signatur nur auf eine Übereinstimmungsbehauptung, ausgestellt durch Erfassungspersonal.

Scanperson Meier „signiert“ also ein Dokument von Müller, den er weder kennt und dessen Dokument er im Original ggf. auch

nicht gesehen hat.

9

Skurriles aus der TR 03138

Das schließt beispielsweise MFDs, Faxe und viele andere Capture-Lösungen aus wenn man „SOLL“ befolgt.

Nochmal: Nicht das was eingescannt wird, bestimmt über die Rechtmäßigkeit des Scangutes sondern die nachgelagerten QS-Prozesse.

Wer Papier manipulieren möchte, wird das wohl nicht im Scan-Cache tun, sondern BEVOR das

Papier in den Scanraum kommt. Was ist denn daran so schwer zu verstehen?

10

Skurriles aus der TR 03138

Was soll ein Anwender nach Wartung eines MFDs durch den Wartungsdienst tun, um diesen Punkt abzuhaken?

Eigentlich sind durch solche Text Fax- und MFD-Systeme für die Erfassung ausgeschlossen, weil sich mit diesen Geräten dieses MUSS Kritierium nicht wirklich erfüllten lässt (außer, man nimmt es nicht ernst und wurstelt vor sich hin).

11

Skurriles aus der TR 03138

Der offensichtliche Integritätsschutz, dass nämlich jemand prüft, bevor die technische Archivierung stattfindet, wird GAR NICHT erwähnt, das ist aber der in der Praxis – zu Recht - vorherrschende Fall.

Statt dessen wird auf die CC verwiesen, die für KMU vollkommen ungeeignet sind. Das dient nur der Arbeitsbeschaffung für CC-Zertifizierer, bringt aber keinen mm mehr Rechtssicherheit

12

Und natürlich wird häufig auf Signaturkomponenten verwiesen

Die Signatur schützt ja nicht, sie macht nur auf Änderung prüfbar. Ein modernes DMS macht beides.

Sie zeigt nicht, von wem das Dokument kommt (im Unterschied zu einer richtig verwendeten Signatur)

Liebe Branche: Mit der TR-RESISCAN wird das Thema Signatur nach 17 Jahren erfolglosem Signaturgesetz auch nicht zum Leben erweckt, weil es das falsche Einsatzfeld für Signaturen ist.

13

Mein Fazit

Die TR wäre gut,

Wenn es eine OR wäre (Organisationsrichtlinie) ähnlich der GOBS von 1995

Wenn sie die unterschiedlichen Erfassungsszenarien in der realen Welt kompetent berücksichtigen würde: frühe und späte Erfassung, Barcode- und andere Verknüpfungsszenarien mit externen Anwendungen, Archiv nur als Repository oder als komplette DB-DMS-Fachanwendung, Transfervermerk ist eher eine virtuelle Sache und nichts Binäres, was sich signieren lässt und va. 995 weitere Themen, wo wir einen Mangel an Nähe zum Thema Scannen/Erfassung feststellen

Wenn sie keine nationale Sonderlocke wäre

Wenn sie auch für KMUs anwendbar wäre (heißt: umsetzbar zu deren Budgets). Das bedeutet, ein KMU muss sie anwenden können ohne Berufszertifizierer oder externe Berater für x Personentage alle 36 Monate im Haus zu haben.

Mein Wunsch: OR RESISCAN 2.0, gerne vom BSI

14

Nochmal zum Thema Panikmache

15

Tickende Zeitbombe? Kein Fall aus den

letzten 25 Jahren bekannt, wo ein

Unternehmen deswegen zu Schaden

kam.

Hinweis an das Auditorium: Prüfen Sie

mal nach, wer die Befürworter sind und

überlegen Sie dann, ob da vielleicht

nicht nur wissenschaftliche Interessen

vorliegen.

Fazit von Ulrich Schwenkert

Vorsitzender Richter am Finanzgericht Berlin-Brandenburg

"Im Regelfall dürften selbst die eigenhändig ohne besondere

Vorkehrungen eingescannten Belege nicht zu einem Rechtsnachteil

führen."

www.bitkom.org www.digitalewelt.org

Ihr Referent

Bernhard Zöller

stell. Vorsitzender des BITKOM AK ECM-Standards;

Geschäftsführer, Zöller & Partner GmbH +49 6196 999 09-0 bzoeller@zoeller.de

www.bitkom.org www.digitalewelt.org

Weitere Informationen unter www.ecm-navigator.de

Ihr Ansprechpartner in der BITKOM-Geschäftsstelle

Willi Engel

Bereichsleiter ECM

030.27576 201 w.engel@bitkom.org