04.12.2013 (as)
3.8 von 5, (6 Bewertungen)

Interview zu TR-RESISCAN mit Hans-Joachim Hübner, SRZ

Mit der technischen Richtlinie TR-RESISCAN hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein detailliertes Rahmenwerk für den rechtssicheren Ersatz von Papierdokumenten durch digitale Kopien geschaffen. Welchen konkreten Nutzen Unternehmen, Organisationen und Behörden daraus ziehen können, und wie sich die Vorgaben praktisch umsetzen lassen, erläutert Hans-Joachim Hübner, Spezialist für elektronische Archivierung und digitale Dokumentenerfassung beim Satz-Rechen-Zentrum (SRZ) in Berlin.

Die TR-RESISCAN hat nach Angaben des BSI ohne besondere rechtliche Bestimmungen lediglich einen »empfehlenden Charakter«. Welchen Stellenwert besitzt die TR-RESISCAN, wenn es um die Sicherung des Beweiswertes von Dokumenten geht?

Hans-Joachim Hübner, SRZ (Bild: SRZ)
Hübner: Bei dokumentiertem Nachweis der Einhaltung dieser formulierten Regeln und Verfahren ist sicher gestellt, dass sich der justizverwertbare Beweiswert digitaler Dokumente auf jeden Fall erhöht. Im Zusammenhang mit dem neuen E-Government-Gesetz, das explizit auf die TR-RESISCAN verweist, dem Gesetz zur Förderung des elektronischen Gerichtsverkehrs, der TR-ESOR (Technische Richtlinie zur Beweiswerterhaltung krypthografisch signierter Dokumente) und entsprechenden Maßnahmen in Landes- und Kommunalverwaltungen, wird diese Richtlinie zumindest in der öffentlichen Verwaltung, in der Justizverwaltung und im Gesundheitsbereich eine wichtige Rolle spielen. In wie weit die TR-RESISCAN auch von Unternehmen in der freien Wirtschaft aufgegriffen wird, bleibt abzuwarten. Solange der Einsatz nicht verpflichtend vorgeschrieben ist, werden diese Unternehmen Kosten- und Nutzen-Aspekte sehr genau abwägen. Ich erwarte, dass TR-RESISCAN hier nur in kleinem Umfang zum Einsatz kommt.

Für das kaufmännische und steuerlich relevante Umfeld existieren im Rahmen der Abgabenordnung (AO) und des Handelsgesetzbuchs (HGB) bereits alternative Grundsätze, nach denen auch ersetzend gescannt wird. In wie weit geht die TR-RESISCAN darüber hinaus, beziehungsweise schließt bestehende Lücken?

Hübner: Für das kaufmännische und steuerliche Umfeld haben sich in den letzten 20 Jahren Regeln und Verfahren entwickelt, die in die genannten Gesetze und Vorschriften Eingang gefunden haben und in diesen Bereichen allgemeiner Konsens sind. Häufig haben Wirtschaftsprüfer diese Prozesse begleitet und Revisionssicherheit testiert. Geholfen hat in vielen Fällen sicherlich auch die Einbeziehung der zuständigen Finanzämter. Die TR-RESISCAN stellt deutlich weitreichendere Verfahrensregeln zur Verfügung. Dazu zählt die detaillierte Schutzbedarfs- und Risikoanalyse am Anfang eines jeden Verfahrens. Ein weiteres Beispiel von vielen ist die detallierte Protokollierung aller Tätigkeiten und Vorgänge beim Digitalisieren und der sogenannte Transferlog. Dabei muss der komplette Prozessablauf, wie ein Papierdokument in eine elektronische Form gebracht wurde, dokumentiert und unter Umständen digital signiert abgelegt werden. Die elektronische Signatur, die nicht zuletzt durch die erlassene Vereinfachung der Umsatzsteuergesetzgebung an Bedeutung verloren hatte, erlebt mit TR-RESISCAN eine Wiedergeburt.

Gerade die Notwendigkeit der elektronischen Signatur stellen einige Experten derzeit im Zusammenhang mit der Rechtssicherheit von gescannten Dokumenten in Frage. Aus deren Sicht verkompliziert sie Prozesse und verursacht Investitionen, die nicht notwendig wären. In welchen Fällen ist eine elektronische Signatur aus Ihrer Sicht erforderlich?

Hübner: Überall dort, wo die Integrität, Authentizität und Verkehrsfähigkeit (das heisst der Nachweis über die Integrität des digitalen Dokuments ist direkt an die Datei gekoppelt, sodass eine Weiterleitung möglich wird) elektronischer Dokumente eine besonders hohe Bedeutung besitzt, ist eine E-Signatur förderlich, aber nicht unbedingt erforderlich. Interessierte sei auf eine von der DATEV und dem Institut für Wirtschaftsrecht durchgeführte Simulationsstudie »ersetzendes Scannen« verwiesen , die zeigt, wie vor Gericht mit elektronischen Beweisdokumenten verfahren wird. Die Vorlage eines gescannten Dokuments führte in allen Fällen zur Annahme als Beweisstück. Der kritischste Streitpunkt war jeweils der ausgewiesene Zeitpunkt, sprich, ob die angegebene Zeit manipuliert werden konnte. In diesem Fall wäre eine digitale Signatur mit Zeitstempel sicher hilfreich.

Wo sehen Sie bei TR-RESISCAN generelle Einsatzszenarien und können Sie bereits konkrete Anwendungs- und Implementierungsbeispiele nennen?

Hübner: Generell überall dort, wo ein Anspruch an die Beweiskraft eines Dokuments vorausgesetzt wird - das heißt an seine Authentizität, Integrität und Verfügbarkeit. Geradezu ersehnt wurde die Richtlinie durch Vertreter des Gesundheitssektors. Hier geht es vor allem um die Befund- und Behandlungsdokumentation, die ja sehr lange aufzubewahren ist. Im Bereich des Sozialgesetzbuches SGB III gilt schon länger die gesetzliche Regelung, dass alle Originaldokumente, die vernichtet werden sollen, in elektronischer Form digital signiert werden müssen. Bislang zurückhaltend reagieren die Vertreter der Finanz- und Versicherungswirtschaft, die als kommerziell ausgerichtete Unternehmen den Kostenaufwand scheuen. Da die TR-RESISCAN erst im März 2013 veröffentlicht wurde, befinden wir uns aktuell in einem sehr frühen Stadium der Umsetzung. Die Richtlinie taucht gerade in den ersten öffentlichen Ausschreibungen auf, wo RESISCAN-konforme beziehungsweise -zertifizierte Scankomponenten gefordert werden. Aussagekräftige Referenzinstallationen fehlen noch.

Die TR-RESISCAN sieht, abhängig von fachspezifischen Anwendungsumgebungen, einen modularen Anforderungskatalog und diverse praxisrelevante Sicherheitsstufen vor. Welche Vorgehensweise empfehlen Sie interessierten Unternehmen und Verwaltungen, um – angesichts der daraus erwachsenden Komplexität – die Umsetzung der TR-RESISCAN in Angriff zu nehmen?

Hübner: Am Anfang steht immer eine Analyse des Schutzbedarfs und des Gefährdungsrisikos der zu verarbeitenden Dokumente in Bezug auf Integrität, Authentizität, Verfügbarkeit und Datenschutz. Fragen, die es zu klären gilt, sind beispielsweise: Was passiert im Falle eines Dokumentenverlustes? Wer könnte Interesse haben, das Dokument zu verändern oder - mit krimineller Absicht - Informationen daraus zu ziehen? Derartige Analysen kann man mit entsprechend qualifiziertem Personal entweder selbst in Angriff nehmen oder mit externen Spezialisten lösen. Im Rahmen dieses Prozesses wird ermittelt, welche Verfahren aus dem RESISCAN-Maßnahmenkatalog anzuwenden sind, wie stark ich die Prozesse abschirmen und reglementieren sowie welche Aufwände ich in die Qualitätssicherung (QS) stecken muss. Dazu zählt natürlich auch der mögliche Einsatz technischer Vorkehrungen wie die Abschirmung von Netzen und der Einsatz kryptographischer Maßnahmen und digitaler Signaturen. Allerdings sollte das Augenmerk darauf liegen, nicht über das Ziel hinaus zu schießen und die Aufwände in einem vertretbaren Rahmen zu halten. Da der Blick von außen auf die internen Verfahren und Geschäftsgänge eines Unternehmens oder einer Verwaltung häufig neutraler und unvoreingenommener ist, würde ich für diese wichtige Aufgabe die Beauftragung eines externen Spezialisten empfehlen.

Welche konkreten softwaretechnischen Werkzeuge und organisatorischen Dienstleistungen bietet das SRZ, um Kunden bei der Umsetzung der TR-RESISCAN-Richtlinie zu unterstützen?

Hübner: Aktuell arbeiten wir an der Fertigstellung eines Erweiterungsmoduls für unsere eigenentwickelte Digitalisierungssoftware »CROSSCAP«. Das Modul wird alle TR-RESISCAN relevanten Prozessinformationen dokumentieren und bündeln sowie in der Lage sein, diese Informationen auch verschlüsselt und signiert an nachfolgende Systeme zu übergeben. Wir werden diese Funktionalitäten durch das BSI zertifizieren lassen und rechnen mit der Verfügbarkeit der Lösung noch im ersten Quartal 2014. Darüber hinaus planen wir, unsere Angebote im Bereich der Digitalisierungsdienstleistungen zu erweitern. Auch hier werden wir im kommenden Jahr durch das BSI zertifizierte RESISCAN-konforme Lösungen anbieten. Selbstverständlich werden unsere Experten bei Bedarf Anwendern beim Einrichten und Beschreiben der erforderlichen RESISCAN-Verfahren und sonstiger organisatorischer und technischer Maßnahmen auch persönlich zur Seite stehen.