Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 1
TR-ResiScanTR-ResiScan
BSI-Richtlinie 03138BSI-Richtlinie 03138
zum ersetze...
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 2
Agenda
 Einleitung
 Rechtliche Aspekte
 Der modulare Anforderungskatalog...
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 3
● Auftraggeber: BSI; Laufzeit: Mitte 2011 – Anfang 2013
● Auftragnehmer:
– ...
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 4
Gesetzliche Anforderungen
 Unterschiedliche rechtliche Anforderungen an da...
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 5
Herausforderungen
Rechtlich-technischer Rahmen:
●
Mediumwechsel von analoge...
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 6
Lösungsansätze
Beweiskraft-erhaltende Erstellung & Aufbewahrung
elektronisc...
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 7
Optimierungspotenzial
 Lösungen, die eine Vernichtung des Originals unter ...
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 8
Agenda
 Einleitung
 Rechtliche Aspekte
 Der modulare Anforderungskatalog...
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 9
Rechtliche Betrachtung
Ziel: Suche nach Lösungen für die Rechtsfragen des S...
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 10
Rechtliche Betrachtung
Scannen von Papierdokumenten und Vernichtung der Or...
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 11
Anlage R
Unverbindliche rechtliche Erläuterungen zur Anwendung
der TR RESI...
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 12
Gesetzliche Referenz (1)
§ 7 EGovG: Übertragen und Vernichten des Papieror...
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 13
Gesetzliche Referenz (2)
§ 371b ZPO: Beweiskraft gescannter öffentlicher U...
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 14
Agenda
 Einleitung
 Rechtliche Aspekte
 Der modulare Anforderungskatalo...
15
Zu sichernde Elemente im Scan-System
16
Modularer Maßnahmenkatalog
Maßnahmen in der
Dokumenten-
vorbereitung
Maßnahmen
beim
Scannen
Maßnahmen bei der
Nachverar...
17
Das Basismodul (für alle) –
Beispiele
Maßnahmen in der
Dokumenten-
vorbereitung
Maßnahmen
beim
Scannen
Maßnahmen bei de...
18
Aufbaumodul – Beispiele
Aufbaumodule mit zusätzlichen Sicherheitsmaßnahmen
Generelle Maßnahmen bei der Verarbeitung von...
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 19
Agenda
 Einleitung
 Rechtliche Aspekte
 Der modulare Anforderungskatalo...
Zertifizierung und
Konformitätssprüfung im BSI
2) Zertifizierung nach TR
3) Zertifizierung nach IT-Grundschutz
4) Neu: Min...
Zertifizierungsverfahren (TR)
Weitere Informationen, Antragsformular, … unter: www.bsi.bund.de/zertifizierungtrwww.bsi.bun...
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 22
Agenda
 Einleitung
 Rechtliche Aspekte
 Der modulare Anforderungskatalo...
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 23
Ausblick
●
Umsetzungen: Elektronischer Rechtsverkehr (Justiz),
BÄK/KBV
●
P...
Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 24
Vielen Dank für Ihre Aufmerksamkeit
Bundesamt für Sicherheit in der
Inform...
Nächste SlideShare
Wird geladen in …5
×

Technische Richtlinien ─ am Beispiel TR ResiScan ─ und deren Bedeutung für die rechtsverbindliche elektronische Kommunikation

1.146 Aufrufe

Veröffentlicht am

Dr. Astrid Schumacher, Bundesamt für Sicherheit in der Informationstechnik.
Vortrag anlässlich des Praxis-Workshop zum elektronischen Rechtsverkehr für die deutsche Justiz. https://blog.de.ts.fujitsu.com/branchen/egov/erfolgreiche-premiere-praxis-workshop-zum-elektronischen-rechtsverkehr-fuer-die-deutsche-justiz

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.146
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
250
Aktionen
Geteilt
0
Downloads
8
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Technische Richtlinien ─ am Beispiel TR ResiScan ─ und deren Bedeutung für die rechtsverbindliche elektronische Kommunikation

  1. 1. Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 1 TR-ResiScanTR-ResiScan BSI-Richtlinie 03138BSI-Richtlinie 03138 zum ersetzenden Scannenzum ersetzenden Scannen 30. Juni 201430. Juni 2014
  2. 2. Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 2 Agenda  Einleitung  Rechtliche Aspekte  Der modulare Anforderungskatalog  Die Zertifizierung  Ausblick
  3. 3. Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 3 ● Auftraggeber: BSI; Laufzeit: Mitte 2011 – Anfang 2013 ● Auftragnehmer: – ecsec GmbH ● ● Unterauftragnehmer: – secunet Security Networks AG ● Rechtliche Begleitung – provet ● Projektbeirat – Wirtschaftsvertreter, Unternehmen und Verbände, Behörden/Verwaltungen/Gerichte, EDV-Gerichtstag, Versicherungswesen, Gesundheitswesen, Steuerberatungswesen, BMI, BMF, BfDI, Bundeskanzleramt, Datenverarbeitungszentrum M-V Projekt-AufstellungProjekt – Team und Organisation
  4. 4. Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 4 Gesetzliche Anforderungen  Unterschiedliche rechtliche Anforderungen an das ersetzende Scannen hinsichtlich Inhalt und Wortlaut – Ausnahme: qelSig → z.B. Sozialversicherungsunterlagen §§ 110a Abs. 2, 110d SGB IV  Weitgehende Homogenität hins. der gesetzlichen Anforderungen an den Scanprozess und das Scanprodukt: – Bildliche und inhaltliche Übereinstimmung zwischen Papieroriginal und Scanprodukt – Übereinstimmungsnachweis – Schutz vor Informationsveränderungen und Informationsverlusten – Dauerhafte Datenträger
  5. 5. Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 5 Herausforderungen Rechtlich-technischer Rahmen: ● Mediumwechsel von analogen in elektronische Daten ● Rechtlich bedeutsam: die dem Papier immanenten Sicherheitsmerkmale zum Integritäts- und Authentizitätsschutz gehen verloren Wesentliche Fragen im Rahmen der TR: → (rechtliche und) technisch-organisatorische Anforderungen an den Scanprozess und das Scanprodukt → Erreichung eines möglichst hohen, dem Original angenäherten Beweiswert des Scanproduktes für ein Gerichtsverfahren
  6. 6. Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 6 Lösungsansätze Beweiskraft-erhaltende Erstellung & Aufbewahrung elektronisch signierter Daten/Dokumente/Akten → Lösungsansätze für den Beweiswerterhalt: TR-ESOR → Lösungsansätze für das ordnungsgemäße ersetzende Scannen: TR-RESISCAN
  7. 7. Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 7 Optimierungspotenzial  Lösungen, die eine Vernichtung des Originals unter maximal erreichbarer Wahrung der Rechts- und Beweissicherheit ermöglichen  Berücksichtigung der heterogenen Prüf-Landschaft, vgl. u.a.:  DOMEA → Organisationskonzept elektronische Verwaltungsarbeit  GoBS (→ GoBIT?)  GDPdU  IDW-FAIT  TÜV-IT-Zertifizierung nach PK-DML (VOI)
  8. 8. Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 8 Agenda  Einleitung  Rechtliche Aspekte  Der modulare Anforderungskatalog  Die Zertifizierung  Ausblick
  9. 9. Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 9 Rechtliche Betrachtung Ziel: Suche nach Lösungen für die Rechtsfragen des Scannens unter Berücksichtigung der Interessen der Anwender und Wahrung der Vorteile der e-Vorgangsbearbeitung und Aufbewahrung Gesetzliche Ausgestaltung des Scanprozesses nur vereinzelt, obwohl das Bedürfnis auch anwendungsübergreifend besteht Selbst bestehende Regelungen: wenig Anhaltspunkte des Scanprozesses Unsicherheiten und Probleme beim Anwender Vermeidung durch Aufbewahrung von Dokumenten → Bürokratischer Aufwand, Effizienz?
  10. 10. Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 10 Rechtliche Betrachtung Scannen von Papierdokumenten und Vernichtung der Originale Rechtsfragen Zulässigkeit Dokumentations-, Aktenführungs- und Dokumentationspflichten Beweiswert Gegenstand des Augenscheins (§ 371 Abs. 1 S. 2 ZPO); Vernichtung des Originals führt zu einer Verschlechterung der Beweissituation Teilweise Regelungen zum ersetzenden Scannen im jeweiligen Fachrecht (tlw. Homogenität der Regelungen)
  11. 11. Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 11 Anlage R Unverbindliche rechtliche Erläuterungen zur Anwendung der TR RESISCAN Ziel: - Erläuterung der Zusammenhänge zwischen Recht und TR RESISCAN - Darstellung der aktuellen Rechtslage - Hilfestellung für den Anwender bei der Einordnung und Beantwortung rechtlicher Fragen und Probleme Aufbau: - Sicherheitsziele und exemplarische Schutzbedarfsanalysen - Rechtliche Fragen im Zusammenhang mit ersetzendem Scannen
  12. 12. Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 12 Gesetzliche Referenz (1) § 7 EGovG: Übertragen und Vernichten des Papierorignals Erlaubnis zum ersetzenden Scannen mit Verweis auf TR ResiScan, umfasst Teilbereich der Bundesbehörden „Die Behörden des Bundes sollen, soweit sie Akten elektronisch führen, an Stelle von Papierdokumenten deren elektronische Wiedergabe in der elektronischen Akte aufbewahren. Bei der Übertragung in elektronische Dokumente ist nach dem Stand der Technik sicherzustellen, dass die elektronischen Dokumente mit den Papierdokumenten bildlich und inhaltlich übereinstimmen, wenn sie lesbar gemacht werden.“ „Papierdokumente (…) sollen nach der Übertragung in elektronische Dokumente vernichtet oder zurückgegeben werden, sobald ein weitere Aufbewahrung nicht mehr aus rechtlichen Gründen oder zur Qualitätssicherung des Übertragungsvorgangs erforderlich ist.“ → als Beispiel für den Stand der Technik kann die TR ResiScan des BSI herangezogen werden.
  13. 13. Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 13 Gesetzliche Referenz (2) § 371b ZPO: Beweiskraft gescannter öffentlicher Urkunden „Wird eine öffentliche Urkunde nach dem Stand der Technik von einer öffentlichen Behörde oder von einer mit öffentlichem Glauben versehenen Person in ein elektronisches Dokument übertragen und liegt die Bestätigung vor, dass das elektronische Dokument mit der Urschrift bildlich und inhaltlich übereinstimmt, finden auf das elektronische Dokument die Vorschriften über die Beweiskraft öffentlicher Urkunden entsprechende Anwendung.“ → die TR ResiScan des BSI enthält ausführliche Hinweise für einen Scannvorgang nach dem Stand der Technik → die Einhaltung des Stands der Technik kann aber auch durch andere Scannverfahren gewährleistet werden → der Beweisführer trägt hierbei im Bestreitensfalle die volle Beweiskraft für die Einhaltung des Stands der Technik
  14. 14. Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 14 Agenda  Einleitung  Rechtliche Aspekte  Der modulare Anforderungskatalog  Die Zertifizierung  Ausblick
  15. 15. 15 Zu sichernde Elemente im Scan-System
  16. 16. 16 Modularer Maßnahmenkatalog Maßnahmen in der Dokumenten- vorbereitung Maßnahmen beim Scannen Maßnahmen bei der Nachverarbeitung Maßnahmen bei der Integritätssicherung Basismodul Aufbaumodule mit zusätzlichen Sicherheitsmaßnahmen Grundlegende Anforderungen Organisatorische Maßnahmen Personelle Maßnahmen Technische Maßnahmen Generelle Maßnahmen bei der Verarbeitung von Dokumenten mit erhöhtem Schutzbedarf. Zusätzliche Maßnahmen bei Schutzbedarf „sehr hoch“ bzgl. Integrität Zusätzliche Maßnahmen bei Schutzbedarf „hoch“ bzgl. Integrität Zusätzliche Maßnahmen bei Schutzbedarf „sehr hoch“ bzgl. Vertraulichkeit Zusätzliche Maßnahmen bei Schutzbedarf „hoch“ bzgl. Vertraulichkeit Zusätzliche Maßnahmen bei Schutzbedarf „sehr hoch“ bzgl. Verfügbarkeit Zusätzliche Maßnahmen bei Schutzbedarf „hoch“ bzgl. Verfügbarkeit
  17. 17. 17 Das Basismodul (für alle) – Beispiele Maßnahmen in der Dokumenten- vorbereitung Maßnahmen beim Scannen Maßnahmen bei der Nachverarbeitung Maßnahmen bei der Integritätssicherung Basismodul Grundlegende Anforderungen Organisatorische Maßnahmen Personelle Maßnahmen Technische Maßnahmen Durchführung der Vollständigkeitsprüfung Zugangs- und Zugriffskontrollen Festlegung von Verantwortlichkeiten, Regelung zur Wartungsarbeiten Sensibilisierung, Schulung Schutz vor Schadprogrammen, Festlegung der zulässigen Kommunikationsverbindungen MUSS: Verfahrensdokumentation, Fachliche Schutzbedarfsanalyse Sorgfältige Vorbereitung der Papierdokumente
  18. 18. 18 Aufbaumodul – Beispiele Aufbaumodule mit zusätzlichen Sicherheitsmaßnahmen Generelle Maßnahmen bei der Verarbeitung von Dokumenten mit erhöhtem Schutzbedarf. Zusätzliche Maßnahmen bei Schutzbedarf „sehr hoch“ bzgl. Integrität Zusätzliche Maßnahmen bei Schutzbedarf „hoch“ bzgl. Integrität Zusätzliche Maßnahmen bei Schutzbedarf „sehr hoch“ bzgl. Vertraulichkeit Zusätzliche Maßnahmen bei Schutzbedarf „hoch“ bzgl. Vertraulichkeit Zusätzliche Maßnahmen bei Schutzbedarf „sehr hoch“ bzgl. Verfügbarkeit Zusätzliche Maßnahmen bei Schutzbedarf „hoch“ bzgl. Verfügbarkeit Pflicht zur Protokollierung, Auditierung, Beschränkung des Zugriffs auf sensible Dokumente Vollständige Sichtkontrolle Fehlertolerante Protokolle, Redundante Datenhaltung Besondere Zuverlässigkeit und Vertrauenswürdigkeit der Mitarbeiter Löschen von Zwischenergebnissen Verhinderung ungesicherter Netzzugänge Eigenständiges Netzsegment, 4-Augen-Prinzip, QES, Zeitstempel
  19. 19. Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 19 Agenda  Einleitung  Rechtliche Aspekte  Der modulare Anforderungskatalog  Die Zertifizierung  Ausblick
  20. 20. Zertifizierung und Konformitätssprüfung im BSI 2) Zertifizierung nach TR 3) Zertifizierung nach IT-Grundschutz 4) Neu: Mindeststandard nach § 8 I BSIG 1) Zertifizierung nach CC und ITSEC (+ ggf. Bestätigung nach SigG)
  21. 21. Zertifizierungsverfahren (TR) Weitere Informationen, Antragsformular, … unter: www.bsi.bund.de/zertifizierungtrwww.bsi.bund.de/zertifizierungtr Erstellung der erforderlichen Dokumentation Erstellung der erforderlichen Dokumentation AntragstellungAntragstellung Beauftragung IT-GS Auditor Beauftragung IT-GS Auditor Konformitäts- prüfung Konformitäts- prüfung Beratungs- gespräch mit BSI (optional) Beratungs- gespräch mit BSI (optional) Abnahme Prüfbericht durch BSI Abnahme Prüfbericht durch BSI ZertifizierungZertifizierung Verfahrensablauf  Alternativen zur Zertifizierung durch BSI  Auditor-Testat  Konformitätserklärung  Konformitätsprüfung durch zertifizierte IT-Grundschutz Auditoren  Zertifikatsgültigkeit: 3 Jahre  Kosten  Zertifizierungsgebühren BSI (Erst-Zertifizierung): 2600,- € pauschal  + Kosten der Konformitätsprüfung
  22. 22. Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 22 Agenda  Einleitung  Rechtliche Aspekte  Der modulare Anforderungskatalog  Die Zertifizierung  Ausblick
  23. 23. Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 23 Ausblick ● Umsetzungen: Elektronischer Rechtsverkehr (Justiz), BÄK/KBV ● Proof of Concepts: • Bundesverwaltungsgericht: Verwaltungs- & Gerichtsakten, Schwerpunkt Basismodul • Datenverarbeitungszentrum Mecklenburg-Vorpommern: Landesbesoldungsakten, hoher Schutzbedarf ● Erstes Zertifikat erteilt, weitere Verfahren kurz vor Abschluss. ● TR-Evaluierung in 2014.
  24. 24. Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 24 Vielen Dank für Ihre Aufmerksamkeit Bundesamt für Sicherheit in der Informationstechnik (BSI) Dr. Astrid Schumacher Referatsleiterin S11 Sicherheit in eID-Anwendungen astrid.schumacher@bsi.bund.de resiscan@bsi.bund.de

×