Praxis WorkshopBeweiswerterhaltende Langzeitspeicherung imSpannungsfeld gesetzlicher Vorgaben und technischerRichtlinienFr...
Agenda Compliance Ersetzendes Scannen (TR RESISCAN) Beweiswerterhaltende Langzeitspeicherung (TR ESOR)                 ...
Motivation, ZielsetzungBeweiswerterzeugung und –erhaltung auf der Basis gesetzlicherAnforderungen und Compliance Regularie...
Security and Compliance Rules   Security Claims & Targets *)           Compliance Rules    *)   (national & international)...
DE: Gesetz zur Förderung der elektronischenVerwaltung (E-Government-Gesetz – EGovG) Gesetzentwurf § 6                    ...
DE: Gesetz zur Förderung der elektronischenVerwaltung (E-Government-Gesetz – EGovG) Begründung zu § 6                    ...
Zu Erläuterung die wichtigsten Regelungen § 1 Geltungsbereich   (1) Dieses Gesetz gilt für die öffentlich-rechtliche Ver...
Agenda Compliance Ersetzendes Scannen (TR RESISCAN) Beweiswerterhaltende Langzeitspeicherung (TR ESOR)                 ...
TR RESISCANDie Transformation von Papierdokumenten und deren Ersetzung durchelektronische Dokumente stellt hohe Anforderun...
TR RESISCAN TR RESISCAN (TR 03138)  Zielsetzung: Steigerung der Rechtssicherheit im Bereich des ersetzenden Scannens.  ...
TR RESISCAN              10
TR RESISCANModulkonzept               11
Secure MailroomDie Vernichtung von papiergebunden Originalen erfordert den Einsatz vonLösungen, die eine rechtskonforme Tr...
Secure Mailroom   Generischer Prozess          TR RESISCAN                                                                ...
Secure MailroomIntegritätssicherungElektronische Signaturen Vorgesehen für Willenserklärung oder Beglaubigung Identität ...
Secure Mailroom    Use Case I (Transfervermerk)           TR RESISCAN                                                     ...
Secure Mailroom Transfervermerk (flexibler Aufbau)   Datum, Uhrzeit   Dokumentenprofil   System- und Beutzerprofil   ...
Secure Mailroom    Use Case II (Transfervermerk + elektronische Signatur)           TR RESISCAN                           ...
TR RESISCANPerspektiven   Technisch und organisatorisch          Konformitätsbewertung (Zertifizierung, Herstellererklär...
Secure Mailroom (Fujitsu – Implementierung)Secure Mailroom… … ist eine durchgängige Mailroom-Lösung zur ersetzenden und b...
Agenda Compliance Ersetzendes Scannen (TR RESISCAN) Beweiswerterhaltende Langzeitspeicherung (TR ESOR)                 ...
EinführungBeweiswerterzeugung und –erhaltung auf der Basis gesetzlicherAnforderungen und Compliance Regularien.Digitales A...
TR ESOR TR ESOR (TR 03125)  Zielsetzung: Beweiswerterhaltung kryptographisch signierter Dokumente.  Inhalt: … stellt da...
TR ESORReferenzarchitektur                      23
TR ESOR Zertifizierung Logisch-funktional: … Wesentliches Ziel dieser Konformitätsprüfung ist der Nachweis, dass  das Mo...
TR ESOR (FTS-Erweiterungen)Applikationsschicht                                        Anwendungs-                         ...
TR ESOR (FTS-Erweiterungen)                      26
Fujitsu Compliant Archiving - SecDocs®SecDocs®… … ist weltweit das erste “Common Criteria EAL4+” zertifizierte  Standardp...
Nächste SlideShare
Wird geladen in …5
×

Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien

876 Aufrufe

Veröffentlicht am

Jens Fromm, Fraunhofer FOKUS im Rahmen des Praxis-Workshop von Fujitsu, Fraunhofer Fokus, NetApp und PDV Systeme zu medienbruchfreien, sicheren und gerichtsfesten elektronischen Prozessen.

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
876
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
139
Aktionen
Geteilt
0
Downloads
7
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien

  1. 1. Praxis WorkshopBeweiswerterhaltende Langzeitspeicherung imSpannungsfeld gesetzlicher Vorgaben und technischerRichtlinienFraunhofer Fokus, Berlin, 31.01.2013Jens Fromm (Fraunhofer Fokus), Peter Falk (Fujitsu)
  2. 2. Agenda Compliance Ersetzendes Scannen (TR RESISCAN) Beweiswerterhaltende Langzeitspeicherung (TR ESOR) 1
  3. 3. Motivation, ZielsetzungBeweiswerterzeugung und –erhaltung auf der Basis gesetzlicherAnforderungen und Compliance Regularien. Analoges Archiv Digitales Archiv Sicheres Archiv § § § § Prüfbare Integritäts- und Authentizitätsnachweise sind essentiell 2
  4. 4. Security and Compliance Rules Security Claims & Targets *) Compliance Rules *) (national & international) DE: TR-03125 DE: eGov Law DE: SOX CZ: eGov Law CZ: SOX Reasons DE: TR-03138 AT: eGov Law AT: SOX TR: eGov Law TR: SOX „Prior Art“ DE: ArchiSafe PP CH: eGov Law CH: SOX ES: eGov Law ES: SOX INT: CC EAL 4+ PT: eGov Law ES: SOX INT: LTANS-ERS INT: IETF RFC 4998 EU: COM(2012) 238/2 NN: eGov Law NN: SOX *) in progress Security Claims & Targets, Legal Regulations & Requirements 3
  5. 5. DE: Gesetz zur Förderung der elektronischenVerwaltung (E-Government-Gesetz – EGovG) Gesetzentwurf § 6  Gesetzentwurf § 7 (Elektronische Aktenführung) (Übertragen und Vernichten des  „…Wird eine Akte elektronisch geführt, Papieroriginals) ist durch geeignete technisch  „…Bei der Übertragung in elektronische organisatorische Maßnahmen nach dem Dokumente ist nach dem Stand der Stand der Technik sicherzustellen, dass Technik sicherzustellen, dass die die Grundsätze ordnungsgemäßer elektronischen Dokumente mit den Aktenführung eingehalten werden.“ Papierdokumenten bildlich und inhaltlich • Quelle: Gesetzentwurf Seite 5 übereinstimmen, wenn sie lesbar gemacht werden… Papier-dokumente sollen nach der Übertragung in elektronische Dokumente vernichtet werden…“ • Quelle: Gesetzentwurf Seite 5 4
  6. 6. DE: Gesetz zur Förderung der elektronischenVerwaltung (E-Government-Gesetz – EGovG) Begründung zu § 6  Begründung zu § 7 (Elektronische Aktenführung) (Übertragen und Vernichten des  „Für den Erhalt des Beweiswerts Papieroriginals) qualifiziert elektronisch signierter  „Als Beispiel für den Stand der Technik Dokumente kann z. B. die Technische kann die Technische Richtlinie „Rechts Richtlinie des BSI (TR-03125 (TR- sicheres ersetzendes Scannen“ (TR- ESOR)) als Stand der Technik RESISCAN) des BSI herangezogen herangezogen werden….“ werden.“ • Quelle: Gesetzentwurf Seite 33 • Quelle: Gesetzentwurf Seite 33/34 19.09.2012: E-Government-Gesetz im Kabinett beschlossen 02.11.2012: Beschluß Bundesrat: Gültigkeit für Bund und Länder (Verpflichtung der Länder offen) 5
  7. 7. Zu Erläuterung die wichtigsten Regelungen § 1 Geltungsbereich  (1) Dieses Gesetz gilt für die öffentlich-rechtliche Verwaltungstätigkeit der Behörden des Bundes einschließlich der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts.  (2) Dieses Gesetz gilt auch für die öffentlich-rechtliche Verwaltungstätigkeit der Behörden der Länder einschließlich der der Aufsicht dieser Behörden unterstehenden juristischen Personen des öffentlichen Rechts, wenn diese Bundesrecht ausführen. Für die Gemeinden und Gemeindeverbände gilt dieses Gesetz, wenn sie Bundesrecht ausführen und ihnen die Aufgaben nach diesem Gesetz durch Landesrecht übertragen werden.  […] § 2 Elektronischer Zugang zur Verwaltung  (1) Jede Behörde ist verpflichtet, auch einen Zugang für die Übermittlung elektronischer Dokumente, auch soweit sie mit einer qualifizierten elektronischen Signatur versehen sind, zu eröffnen.  […] 6
  8. 8. Agenda Compliance Ersetzendes Scannen (TR RESISCAN) Beweiswerterhaltende Langzeitspeicherung (TR ESOR) 7
  9. 9. TR RESISCANDie Transformation von Papierdokumenten und deren Ersetzung durchelektronische Dokumente stellt hohe Anforderungen an die Rechtssicherheit.Analoges Archiv Digitales Archiv Prüfbare Integritäts- und Authentizitätsnachweise sind essentiell 8
  10. 10. TR RESISCAN TR RESISCAN (TR 03138)  Zielsetzung: Steigerung der Rechtssicherheit im Bereich des ersetzenden Scannens.  Inhalt: … soll als Handlungsleitfaden und Entscheidungshilfe dienen, wenn es darum geht, Papierdokumente nicht nur einzuscannen, sondern nach Erstellung des Scanproduktes auch zu vernichten.  Motivation: … es fehlen konkrete Umsetzungsvorgaben für die meisten Bereiche der öffentlichen Verwaltung (Ausnahme: Sozialversicherungsrecht)  Konkretisierung: … die mit einer Vernichtung des Originaldokuments stets einhergehende Verringerung des Beweiswerts für den jeweiligen Anwender durch einen an das Original möglichst weit angenäherten Beweiswert des - in einem nachweisbar ordnungsgemäßen Prozess erstellten - Scanproduktes selbst auszugleichen, zu minimieren oder sichtbar zu machen. 9
  11. 11. TR RESISCAN 10
  12. 12. TR RESISCANModulkonzept 11
  13. 13. Secure MailroomDie Vernichtung von papiergebunden Originalen erfordert den Einsatz vonLösungen, die eine rechtskonforme Transformation und eine sichere undstrukturierte Aufbewahrung der elektronische Dokumente ermöglichen.Digital Mailroom Secure Digital Mailroom § § Capture Analysis Routing Capture Analysis Routing § § Prüfbare Integritäts- und Authentizitätsnachweise: TR - RESISCAN 12
  14. 14. Secure Mailroom Generischer Prozess TR RESISCAN Workflow Dokumenten Metadaten, Management ReferenzenPhase 1: Preparation Phase 2: Scan + Capture Phase 3: Integrität Eingangs- Klassifizierung Integritäts- Dokumente Scan Capture Archiv Dokumente, prüfung Integritäts- nachweise TR ESOR Compliance - Anforderungen • Phase 1: Integritäts-Check (analog) • Phase 2: Transformation (Transfervermerk) • Phase 3: Beweiswerterzeugung und -erhaltung (Digital Mailroom, Archiv) 13
  15. 15. Secure MailroomIntegritätssicherungElektronische Signaturen Vorgesehen für Willenserklärung oder Beglaubigung Identität des Unterzeichners Integrität des signierten Dokuments Unsicherer Zeitpunkt der SignaturerzeugungZeitstempel Ermöglicht späteren Nachweis der Integrität seit dem Zeitpunkt des Einholens des Zeitstempels Geeignet für das Einfrieren oder Archivieren von Dokumenten in elektronischen Archiven 14
  16. 16. Secure Mailroom Use Case I (Transfervermerk) TR RESISCAN Workflow Referenzen DMS, ECMPhase 1: Phase 2: Scan + Capture Phase 3: IntegritätVorbereitung Audit Archiv- DFCD3454 BBEA788A BatchSign BatchSign Transfer- Integritäts- Archiv SecDocs 751A696C 24D97009 Scan eDocs Konnektor CA992D17 vermerk (SecDocs) prüfung Dokumente, eDocs Evidence records Integritäts- (LTANS, RFC 4998) nachweise TR ESOR Compliance - Anforderungen • Phase 1: Integritäts-Check (analog) • Phase 2: Transformation (Transfervermerk) • Phase 3: Beweiswerterzeugung und -erhaltung (Evidence records) 15
  17. 17. Secure Mailroom Transfervermerk (flexibler Aufbau)  Datum, Uhrzeit  Dokumentenprofil  System- und Beutzerprofil  Scan-Produkt  Workflow-Informationen (Viewing) Versiegelte Transfervermerke  Via Archivlösung  Elektronische Signaturen 16
  18. 18. Secure Mailroom Use Case II (Transfervermerk + elektronische Signatur) TR RESISCAN Workflow Referenzen DMS, ECMPhase 1: Phase 2: Scan + Capture Phase 3: IntegritätVorbereitung Audit Archiv- DFCD3454 BBEA788A Archive BatchSign BatchSign Transfer- SecDocs 751A696C 24D97009 Scan eDocs Konnektor El. Signatur CA992D17 vermerk (SecDocs) Dokumente, eDocs Evidence records Transfer- (LTANS, RFC 4998) vermerk, El. Signaturen TR ESOR Compliance - Anforderungen • Phase 1: Integritäts-Check (analog) • Phase 2: Transformation (Transfervermerk) • Phase 3: Beweiswerterzeugung (El. Signatur) Beweiswerterhaltung (Evidence records, Signaturerneuerung) 17
  19. 19. TR RESISCANPerspektiven  Technisch und organisatorisch  Konformitätsbewertung (Zertifizierung, Herstellererklärung)  Mindeststandards zur Erhöhung der Produktsicherheit  Empfehlung für Ausschreibungen und Beschaffungen  Spezifikation für Lösungen und Produkte  Rechtlich  Beweiswürdigung vor Gericht wird erleichtert  Referenzierung in zukünftigen Rechtsvorschriften  Erleichterung der Schaffung neuer Zulässigkeitstatbestände ( „Vernichtung des Originals zulässig wenn nach BSI, TR… gescannt wurde“)  Einheitliche Auslegung nach bestehenden und zukünftigen Regelwerken. 18
  20. 20. Secure Mailroom (Fujitsu – Implementierung)Secure Mailroom… … ist eine durchgängige Mailroom-Lösung zur ersetzenden und beweiswerterhaltenden Digitalisierung von Papierakten und Posteingangsdokumenten gemäß TR-03138 (TR- RESISCAN).  Sicheres und automatisiertes Input Management  Gerichtsverwertbare Beweiskraft  Einfach und kostensparend …’Full Range’-Infrastruktur, modularisiert  Leistungsstarke Scanner (PFU)  Sicheres Input Management (Scalaris, FTS)  Beweiswerterhaltende Langzeitspeicherung (SecDocs) … ermöglicht papierlose Geschäftsprozesse, gesetzeskonform, mit hoher Beweiskraft 19 Copyright 2013 FUJITSU
  21. 21. Agenda Compliance Ersetzendes Scannen (TR RESISCAN) Beweiswerterhaltende Langzeitspeicherung (TR ESOR) 20
  22. 22. EinführungBeweiswerterzeugung und –erhaltung auf der Basis gesetzlicherAnforderungen und Compliance Regularien.Digitales Archiv Beweiswerterhaltendes Archiv § § § § Prüfbare Integritäts- und Authentizitätsnachweise: TR ESOR 21
  23. 23. TR ESOR TR ESOR (TR 03125)  Zielsetzung: Beweiswerterhaltung kryptographisch signierter Dokumente.  Inhalt: … stellt das BSI einen Leitfaden zur Verfügung, der beschreibt, wie elektronisch signierte Daten und Dokumente über lange Zeiträume – bis zum Ende der Aufbewahrungsfristen – im Sinne eines rechtswirksamen Beweiswerterhalts vertrauenswürdig gespeichert werden können  Motivation: … Über die geforderten langen Aufbewahrungszeiträume und trotz der immer kürzer werdenden informationstechnischen Innovationszyklen hinweg müssen die Lesbarkeit und Verfügbarkeit von Speichermedien und Datenformaten gewährleistet sein – unabhängig von einzelnen Produkten und Herstellern. 22
  24. 24. TR ESORReferenzarchitektur 23
  25. 25. TR ESOR Zertifizierung Logisch-funktional: … Wesentliches Ziel dieser Konformitätsprüfung ist der Nachweis, dass das Modul bzw. das Gesamtsystem den entsprechenden Anteil für die Beweiswerterhaltung funktional umsetzt. Technisch-interoperabel: … wenn zusätzlich zum Nachweis der funktionalen Konformität auch alle bzw. die betreffenden Schnittstellen auf Basis der eCard-API [BSI-TR-03112], wie in [BSI-TR-03125-E] beschrieben, umgesetzt sind und ein definiertes XML-Datenformat (z.B. für selbsterklärende Archivdatenobjekte „XML Archiving Information Package“ (XAIP) gemäß [BSI-TR-03125-F]) für die Kommunikation und das Speichern verwendet wird.  Die Zertifizierung zum ArchiSafe-Schutzprofil ist Voraussetzung für eine erfolgreiche Prüfung zur technischen Konformität! 24
  26. 26. TR ESOR (FTS-Erweiterungen)Applikationsschicht Anwendungs- Dienst- Admin- systeme programme Clients XML-Adapter Webservice Webservice WebserviceTR-03125 ArchiSafe-Schnittstelle (TR-S.4) Erweiterte Funktionen Admin- FunktionenMiddleware Erweiterte Konfigurations-(SECDOCS V2) Zugriffskontrolle verwaltung ArchiSafe-Modul (TR-S.1) eCard-API (TR-S.3) Krypto-Modul Navigation & (Signcubes V3) Indexierung Signatur- ArchiSig-Schnittstelle prüfung TR-S.1 (TR-S.6) Hash ArchiSig-Modul Zeitstempel TR-S.3 Datenbankzugriffe Signaturen TR-S.2 TR-S.5 Storage Plugin[s] (TR-S.2, TR-S.5) 25
  27. 27. TR ESOR (FTS-Erweiterungen) 26
  28. 28. Fujitsu Compliant Archiving - SecDocs®SecDocs®… … ist weltweit das erste “Common Criteria EAL4+” zertifizierte Standardprodukt zur beweiswerterhaltenden Langzeitspeicherung von elektronischen von elektronischen Dokumenten.  Sichere und automatisierte Prozesse ohne Medienbrüche  Papierlos und gerichtsverwertbar  Einfach und kostensparend …bietet einzigartige Technologien zur Erzeugung und Erhaltung von Integrität und Authentizität. … unterstützt internationale Compliance Regularien … ist verfügbar als On Premises und Off Premises Modell … ermöglicht papierlose Geschäftsprozesse, gesetzeskonform, mit hoher Beweiskraft 27

×