Sie befinden sich hier: Über uns / Newsarchiv
Freitag, 28.07.2017

FMI befasst sich mit Regeln zum rechtssicheren Scannen

Fachverband für multimediale Informationsverarbeitung e. V. (FMI) analysiert die erste Version der BSI-Richtlinie für das rechtssicher ersetzende Scannen: TR RESISCAN – 03138, Version 1.0 vom 20.03.2013. Der Branchenverband der Scan- und Archivierungs-Dienstleister unterstützt die Initiative der Bundesregierung.

Die Richtlinie bezweckt die Steigerung der Beweiskraft einer digitalen Kopie (Scan), die von einem analogen Dokument (Urkunde) erzeugt wurde. Urkundenfälschungen (§ 267 StGB) können mit Hilfe digitaler Techniken immer einfacher vorgenommen werden. Daher genießen Scans zurzeit noch eine geringe Beweiskraft vor Gericht. Das Regelwerk TR RESISCAN soll dem einzelnen Scan die identische Beweiskraft verschaffen, wie seinem analogen Original. Der FMI unterstützt diese Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und befasst sich derzeit intensiv mit dem Themenkomplex.
 
Rechtssicherheit von Scan-Prozessen ist für Kunden und Anwender von wesentlicher Bedeutung. In der Vergangenheit gab es eine Fülle voneinander teils unabhängig entwickelter Richtlinien und Bestimmungen zur Sicherstellung der Rechtssicherheit von Scan-Prozessen, jedoch lag nie ein konsolidiertes Regelwerk vor. Es fehlte ein homogenes Regelwerk zur Eingrenzung bestehender Problematiken im Dialog mit Kunden, Anwendern und Dienstleistern. Mit der TR RESISCAN ist erstmalig der Versuch unternommen worden, solch ein Regelwerk zu erstellen und damit einen weiteren Schritt Richtung Rechtssicherheit zu gehen. Ein weitestgehend akzeptiertes, nicht unbedingt gesetzlich anerkanntes Regelwerk bzw. eine Richtlinie, ein Fundament auf das aufgebaut werden kann.
 
Der FMI will mit dem Engagement seiner Mitglieder die TR RESISCAN unterstützen und seinen Kunden fachkundig vermitteln. Scannen und diesbezügliche Rechtssicherheit schließt eine Vielzahl von Gesetzen, technischen Richtlinien, Handlungsleitfäden und teils auch eigenen Unternehmensvorgaben (Aufgrund DIN/ISO Zertifizierung oder Compliance) ein. Der FMI ist der Meinung, dass der Versuch der Konsolidierung verschiedener Regelwerke und das klare Konzept der Stufungen und die Integration von bereits Bestehendem, z.B. dem IT-Grundschutz des BSI, GoBS , IDW RS FAIT , BDSG  etc., ein guter Anfang ist. Vorweggenommen, je nach dem was mit dem Scan-Prozess erreicht werden soll, muss u.U. auch weiterhin auf weitere Gesetze, Regelwerke etc. zugegriffen werden. Beispielsweise, geht es um Langzeitarchivierung, so ist auch neben der TR RESISCAN die TR ESOR  zu berücksichtigen.
 
Was macht also die TR RESISCAN so interessant? Ein Beispiel für die Notwendigkeit einer einheitlichen Strukturvorgabe ist die BSI TR RESISCAN-03138-A. In dieser Anlage, A.2 S.14 ff werden Aussagen zur Schutzbedarfsanalyse und die sie betreffenden Bereiche sowie Prozesse getroffen. Darüber hinaus werden für den Projektmanager die Risikofaktoren der Bereiche Datenobjekte, IT-System, Anwendung und Kommunikationsverbindungen der beteiligten IT-Systeme angesprochen.
 
Jedoch sind die Aussagen, aus Praxissicht, nicht vollumfänglich. Nimmt man das zu scannende Dokument, welches wohl der wesentliche Betrachtungsgegenstand der Prozesse ist, so wird die Erwartungshaltung wie damit durch die TR RESISCAN umzugehen ist, sehr deutlich. - Das Dokument ist zu qualifizieren. - Es stellt sich beispielsweise die Frage: Kann ein Dienstleister den Inhalt (Inhaltsbewertung unter fachlich, sachlichen Gesichtspunkten) bewerten? Die notwendige Schutzbedarfsanalyse gemäß TR RESISCAN-A, A.2.4 S.17 ff ist zwingend. Kann dies ein Dienstleister ohne weiteres? Die Dokumenteinstufung in die richtige Schutzklasse ist ebenfalls zwingend, die TR RESICAN lässt aber offen wer diese Einstufung vornehmen muss. Eindeutig ist aber, wenn nach TR RESISCAN gearbeitet wird und der Dienstleister dies zusagt, hat es zu erfolgen. Also, wer wägt ab, insbesondere wenn es sich um personenbezogene Daten handelt oder gar Daten aus dem Gesundheitswesen? Was ist mit den anfallenden Kosten in der höchsten Schutzklasse? Muss wirklich eine 1:1 Dokumentprüfung erfolgen, sind die diesbezüglichen Kosten den Auftraggebern klar?
 
Eine genauere Betrachtung zeigt, dass auch die TR RESISCAN noch einige Punkte offen lässt die wir in der Zukunft angehen müssen. Offen bleibt auch wie anstehende Änderungen durch die EU, in Bezug auf die Themen Signatur und Beweisnachweis, in ein paar Jahren erneute Anpassungen nötig machen. Das Thema ist somit sicherlich noch nicht abgeschlossen. Der FMI geht davon aus, dass Projekte dieser Art in Kooperation mit dem Auftraggeber, bereits im Vorfeld, geplant werden sollten. Das Hinzuziehen eines im Scan Umfeld tätigen Beraters ist sinnvoll. Derzeit gibt es keine speziellen Zertifizierer für die BSI TR-03138.
 
Mit dieser Darstellung soll nur auf einen Teil der noch offenen Fragen aufmerksam gemacht werden, aber nicht TR RESISCAN in Frage gestellt werden. Der Branchenverband FMI und seine Mitgliedsunternehmen möchten zur Rechtsicherheit und Klarheit im Geschäftsverkehr beitragen. Mit TR RESISCAN wird dieses Ziel deutlich schneller erreicht.

Freitag, 12.09.2014 07:37 07:37 Alter: 3 Years