BSI TR-RESISCAN - AuthentiDate
BSI TR-RESISCAN - AuthentiDate
BSI TR-RESISCAN - AuthentiDate
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>BSI</strong> Technische Richtlinie 03138<br />
Ersetzendes Scannen<br />
Bezeichnung <strong>RESISCAN</strong> – Ersetzendes Scannen<br />
Kürzel <strong>BSI</strong> <strong>TR</strong> <strong>RESISCAN</strong> - 03138<br />
Version 0.90 (zur öffentlichen Kommentierung)<br />
Datum 09.10.12<br />
Das Dokument ist in Teilen nicht barrierefrei.
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Bundesamt für Sicherheit in der Informationstechnik<br />
Postfach 20 03 63<br />
53133 Bonn<br />
Tel.: +49 228 99 9582-0<br />
E-Mail: resiscan@bsi.bund.de<br />
Internet: https://www.bsi.bund.de<br />
© Bundesamt für Sicherheit in der Informationstechnik 2012<br />
2 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Vorwort des Präsidenten<br />
...Inhalte folgen...<br />
Bonn, im Dezember 2012<br />
Michael Hange, Präsident des <strong>BSI</strong><br />
Bundesamt für Sicherheit in der Informationstechnik 3
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Inhaltsverzeichnis<br />
Vorwort des Präsidenten........................................................................................................................3<br />
1. Vorbemerkungen..............................................................................................................................10<br />
1.1 Zielsetzung und Titel......................................................................................................................10<br />
1.2 Kennzeichnung...............................................................................................................................11<br />
1.3 Fachlich zuständige Stelle..............................................................................................................11<br />
1.4 Versionsverwaltung........................................................................................................................11<br />
1.5 Änderungsdienst / Fortschreibung..................................................................................................12<br />
1.6 Veröffentlichung.............................................................................................................................12<br />
1.7 Konventionen.................................................................................................................................12<br />
1.8 Anwendungsbereich.......................................................................................................................13<br />
2. Allgemeines und Übersicht...............................................................................................................14<br />
2.1 Regelungsgegenstand und wichtige Hinweise................................................................................14<br />
3. Methodik..........................................................................................................................................15<br />
3.1 Strukturanalyse...............................................................................................................................15<br />
3.2 Schutzbedarfsanalyse......................................................................................................................15<br />
3.3 Bedrohungsanalyse.........................................................................................................................16<br />
3.4 Risikoanalyse..................................................................................................................................16<br />
3.5 Sicherheitsmaßnahmen...................................................................................................................16<br />
3.6 Modularer Maßnahmenkatalog.......................................................................................................16<br />
4. Anforderungen für das ersetzende Scannen......................................................................................17<br />
4.1 Modulkonzept.................................................................................................................................17<br />
4.2 Basismodul.....................................................................................................................................18<br />
4.2.1 Grundlegende Anforderungen.....................................................................................................18<br />
4.2.2 Organisatorische Maßnahmen.....................................................................................................19<br />
4.2.3 Personelle Maßnahmen................................................................................................................21<br />
4.2.4 Technische Maßnahmen..............................................................................................................22<br />
4.2.5 Sicherheitsmaßnahmen bei der Dokumentenvorbereitung...........................................................23<br />
4.2.6 Sicherheitsmaßnahmen beim Scannen.........................................................................................24<br />
4.2.7 Sicherheitsmaßnahmen bei der Nachbearbeitung........................................................................28<br />
4.2.8 Sicherheitsmaßnahmen bei der Integritätssicherung....................................................................29<br />
4.3 Aufbaumodule................................................................................................................................30<br />
4.3.1 Generelle Maßnahmen bei erhöhtem Schutzbedarf......................................................................30<br />
4.3.2 Zusätzliche Maßnahmen bei hohen Integritätsanforderungen......................................................31<br />
4.3.3 Zusätzliche Maßnahmen bei sehr hohen Integritätsanforderungen..............................................33<br />
4.3.4 Zusätzliche Maßnahmen bei hohen Vertraulichkeitsanforderungen............................................34<br />
4.3.5 Zusätzliche Maßnahmen bei sehr hohen Vertraulichkeitsanforderungen.....................................34<br />
4.3.6 Zusätzliche Maßnahmen bei hohen Verfügbarkeitsanforderungen..............................................35<br />
4.3.7 Zusätzliche Maßnahmen bei sehr hohen Verfügbarkeitsanforderungen.......................................36<br />
Abkürzungsverzeichnis.......................................................................................................................37<br />
Glossar.................................................................................................................................................39<br />
4 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Referenzen...........................................................................................................................................41<br />
Anlage A – Ergebnis der Risikoanalyse (informativ)..........................................................................45<br />
A.1 Strukturanalyse............................................................................................................................45<br />
A.1.1 Konventionen.............................................................................................................................45<br />
A.1.2 Datenobjekte..............................................................................................................................45<br />
A.1.3 IT-Systeme und Anwendungen..................................................................................................47<br />
A.1.4 Der „generische Scanprozess“...................................................................................................49<br />
A.1.4.1 Eingang des Dokumentes........................................................................................................50<br />
A.1.4.2 Dokumentenvorbereitung........................................................................................................50<br />
A.1.4.3 Scannen...................................................................................................................................50<br />
A.1.4.4 Nachverarbeitung....................................................................................................................50<br />
A.1.4.5 Integritätssicherung.................................................................................................................51<br />
A.1.4.6 Beweiswert-erhaltende Aufbewahrung ..................................................................................51<br />
A.1.4.7 Vernichtung des Originals .....................................................................................................51<br />
A.1.5 Kommunikationsverbindungen..................................................................................................51<br />
A.1.6 Informationsfluss der Datenobjekte...........................................................................................54<br />
A.2 Schutzbedarfsanalyse....................................................................................................................54<br />
A.2.1 Überblick...................................................................................................................................54<br />
A.2.2 Definition der Schutzbedarfskategorien und Sicherheitsziele....................................................55<br />
A.2.3 Fachliche Schutzbedarfsanalyse.................................................................................................57<br />
A.2.4 Schutzbedarf der Datenobjekte..................................................................................................57<br />
A.2.4.1 Schutzbedarf des Originals.....................................................................................................57<br />
A.2.4.2 Schutzbedarf des Scanproduktes.............................................................................................58<br />
A.2.4.3 Schutzbedarf der Index- und Metadaten..................................................................................59<br />
A.2.4.4 Schutzbedarf des Transfervermerkes......................................................................................60<br />
A.2.4.5 Schutzbedarf der Sicherungsdaten..........................................................................................61<br />
A.2.4.6 Schutzbedarf der Protokolldaten.............................................................................................62<br />
A.2.5 Schutzbedarf der IT-Systeme und Anwendungen......................................................................62<br />
A.2.6 Schutzbedarf der Kommunikationsverbindungen......................................................................63<br />
A.3 Bedrohungsanalyse.......................................................................................................................64<br />
A.3.1 Gefährdungen in der Dokumentenvorbereitung.........................................................................64<br />
A.3.2 Gefährdungen beim Scannen.....................................................................................................65<br />
A.3.3 Gefährdungen bei der Nachverarbeitung...................................................................................67<br />
A.4 Sicherheitsmaßnahmen.................................................................................................................70<br />
A.4.1 Allgemeine Sicherheitsmaßnahmen...........................................................................................70<br />
A.4.2 Sicherheitsmaßnahmen bei der Dokumentenvorbereitung.........................................................73<br />
A.4.3 Sicherheitsmaßnahmen beim Scannen.......................................................................................75<br />
Bundesamt für Sicherheit in der Informationstechnik 5
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
A.4.4 Sicherheitsmaßnahmen bei der Nachbearbeitung.......................................................................80<br />
A.4.5 Sicherheitsmaßnahmen bei der Integritätssicherung..................................................................82<br />
6 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Verzeichnis der Abbildungen<br />
Abbildung 1: Der „generische Scanprozess“......................................................................................14<br />
Abbildung 2: Modulkonzept..............................................................................................................17<br />
Abbildung 3: Das „typische Scansystem“..........................................................................................47<br />
Abbildung 4: Zeitliche Betrachtungen zum „generischen Scanprozess“ ...........................................49<br />
Abbildung 5: Wesentliche Kommunikationsverbindungen................................................................52<br />
Bundesamt für Sicherheit in der Informationstechnik 7
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Verzeichnis der Anforderungen<br />
Basismodul...........................................................................................................................................18<br />
Grundlegende Anforderungen.........................................................................................................18<br />
A.G.1 – Verfahrensdokumentation.............................................................................................18<br />
A.G.2 – Fachliche Schutzbedarfsanalyse....................................................................................18<br />
Organisatorische Maßnahmen.........................................................................................................19<br />
A.O.1 – Festlegung von Verantwortlichkeiten, Abläufen und Aufgaben im Scanprozess..........19<br />
A.O.2 – Regelungen für Wartungs- und Reparaturarbeiten........................................................20<br />
A.O.3 – Abnahme- und Freigabe-Verfahren für Hardware und Software..................................20<br />
A.O.4 – Aufrechterhaltung der Informationssicherheit...............................................................20<br />
A.O.5 – Anforderungen beim Outsourcing des Scanprozesses...................................................20<br />
Personelle Maßnahmen....................................................................................................................21<br />
A.P.1 – Sensibilisierung der Mitarbeiter für Informationssicherheit..........................................21<br />
A.P.2 – Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften,<br />
Regelungen und der Verfahrensweisung....................................................................................21<br />
A.P.3 – Schulung zur ordnungsgemäßen Bedienung des Scansystems.......................................21<br />
A.P.4 – Schulung zu Sicherheitsmaßnahmen im Scanprozess....................................................22<br />
A.P.5 – Schulung des Wartungs- und Administrationspersonals................................................22<br />
Technische Maßnahmen..................................................................................................................22<br />
A.T.1 – Grundlegende Sicherheitsmaßnahmen für IT-Systeme im Scanprozess........................22<br />
A.T.2 – Festlegung der zulässigen Kommunikationsverbindungen............................................23<br />
A.T.3 – Schutz vor Schadprogrammen.......................................................................................23<br />
A.T.4 – Zuverlässige Speicherung..............................................................................................23<br />
Sicherheitsmaßnahmen bei der Dokumentenvorbereitung...............................................................23<br />
A.DV.1 – Sorgfältige Vorbereitung der Papierdokumente.........................................................23<br />
A.DV.2 – Vorbereitung der Vollständigkeitsprüfung bei automatisierter Erfassung..................24<br />
Sicherheitsmaßnahmen beim Scannen.............................................................................................24<br />
A.SC.1 – Auswahl und Beschaffung geeigneter Scanner...........................................................25<br />
A.SC.2 – Geeignete Aufstellung von Druckern und Kopierern .................................................25<br />
A.SC.3 – Änderung voreingestellter Passwörter.........................................................................25<br />
A.SC.4 – Sorgfältige Durchführung von Konfigurationsänderungen.........................................25<br />
A.SC.5 – Geeignete Benutzung des Scanners.............................................................................26<br />
A.SC.6 – Geeignete Scan-Einstellungen....................................................................................26<br />
A.SC.7 – Geeignete Erfassung von Metainformationen.............................................................26<br />
A.SC.8 – Qualitätssicherung der Scanprodukte..........................................................................26<br />
A.SC.9 – Sichere Außerbetriebnahme von Scannern..................................................................27<br />
A.SC.10 – Sichere Zugriffsmechanismen bei Fernadministration..............................................27<br />
A.SC.11 – Informationsschutz und Zugriffsbeschränkung bei netzwerkfähigen Scannern.........27<br />
A.SC.12 – Protokollierung beim Scannen..................................................................................27<br />
Sicherheitsmaßnahmen bei der Nachbearbeitung............................................................................28<br />
A.NB.1 – Geeignete und nachvollziehbare Nachbearbeitung.....................................................28<br />
A.NB.2 – Qualitätssicherung der nachbearbeiteten Scanprodukte..............................................28<br />
A.NB.3 – Durchführung der Vollständigkeitsprüfung................................................................28<br />
A.NB.4 – Transfervermerk.........................................................................................................28<br />
Sicherheitsmaßnahmen bei der Integritätssicherung........................................................................29<br />
A.IS.1 – Nutzung geeigneter Dienste und Systeme für den Integritätsschutz.............................29<br />
Aufbaumodule......................................................................................................................................30<br />
Generelle Maßnahmen bei erhöhtem Schutzbedarf.........................................................................30<br />
A.AM.G.1 – Beschränkung des Zugriffs auf sensible Papierdokumente....................................30<br />
A.AM.G.2 – Pflicht zur Protokollierung beim Scannen.............................................................30<br />
A.AM.G.3 – Pflicht zur regelmäßigen Auditierung....................................................................31<br />
Zusätzliche Maßnahmen bei hohen Integritätsanforderungen..........................................................31<br />
A.AM.IN.H.1 – Einsatz kryptographischer Mechanismen zum Integritätsschutz.......................31<br />
A.AM.IN.H.2 – Geeignetes Schlüsselmanagement....................................................................32<br />
A.AM.IN.H.3 – Auswahl eines geeigneten kryptographischen Verfahrens................................32<br />
8 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
A.AM.IN.H.4 – Auswahl eines geeigneten kryptographischen Produktes..................................32<br />
A.AM.IN.H.5 – Beweiswerterhalt bei Einsatz kryptographischer Verfahren.............................32<br />
A.AM.IN.H.6 – Verhinderung ungesicherter Netzzugänge........................................................33<br />
Zusätzliche Maßnahmen bei sehr hohen Integritätsanforderungen..................................................33<br />
A.AM.IN.SH.1 – 4-Augen-Prinzip.............................................................................................33<br />
A.AM.IN.SH.2 – Einsatz qualifizierter elektronischer Signaturen und Zeitstempel...................33<br />
A.AM.IN.SH.3 – Eigenständiges Netzsegment..........................................................................33<br />
A.AM.IN.SH.4 – Kennzeichnung der Dokumente bzgl. Sensitivität..........................................34<br />
Zusätzliche Maßnahmen bei hohen Vertraulichkeitsanforderungen................................................34<br />
A.AM.VT.H.1 – Sensibilisierung und Verpflichtung der Mitarbeiter.........................................34<br />
A.AM.VT.H.2 – Verhinderung ungesicherter Netzzugänge.......................................................34<br />
A.AM.VT.H.3 – Löschen von Zwischenergebnissen.................................................................34<br />
Zusätzliche Maßnahmen bei sehr hohen Vertraulichkeitsanforderungen.........................................34<br />
A.AM.VT.SH.1 – Kennzeichnung der Dokumente bzgl. Sensitivität.........................................35<br />
A.AM.VT.SH.2 – Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln............35<br />
A.AM.VT.SH.3 – Sicherheitsüberprüfung von Mitarbeitern......................................................35<br />
A.AM.VT.SH.4 – Verschlüsselte Datenübertragung innerhalb des Scansystems ......................35<br />
Zusätzliche Maßnahmen bei hohen Verfügbarkeitsanforderungen..................................................35<br />
A.AM.VF.H.1 – Erweiterte Qualitätssicherung der Scanprodukte.............................................36<br />
A.AM.VF.H.2 – Fehlertolerante Protokolle und redundante Datenhaltung................................36<br />
Zusätzliche Maßnahmen bei sehr hohen Verfügbarkeitsanforderungen..........................................36<br />
A.AM.VF.SH.1 – Vollständige Sichtkontrolle zur Qualitätssicherung der Scanprodukte..........36<br />
A.AM.VF.SH.2 – Test der Geräte und Einstellungen mit ähnlichen Dokumenten.....................36<br />
Bundesamt für Sicherheit in der Informationstechnik 9
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
1. Vorbemerkungen<br />
Dieses Kapitel enthält Angaben zur Bezeichnung dieser Technischen Richtlinie (<strong>TR</strong>), zur fachlich<br />
zuständigen Stelle, zur Versionsverwaltung, zum Änderungsdienst und der Fortschreibung der <strong>TR</strong>.<br />
1.1 Zielsetzung und Titel<br />
Diese <strong>TR</strong> zielt auf eine Steigerung der Rechtssicherheit im Bereich des ersetzenden Scannens ab<br />
und trägt den Titel "Ersetzendes Scannen (<strong>RESISCAN</strong>)“.<br />
Hierbei wird unter dem „ersetzenden Scannen“ der Vorgang des elektronischen Erfassens von<br />
Papierdokumenten mit dem Ziel der elektronischen Weiterverarbeitung und Aufbewahrung des hierbei<br />
entstehenden elektronischen Abbildes (Scanprodukt) und der späteren Vernichtung des<br />
papiergebundenen Originals verstanden.<br />
Die <strong>TR</strong> <strong>RESISCAN</strong> hat zum Ziel, Anwendern in Justiz, Verwaltung und Wirtschaft als<br />
Handlungsleitfaden und Entscheidungshilfe zu dienen, wenn es darum geht, Papierdokumente nicht<br />
nur einzuscannen, sondern nach Erstellung des Scanproduktes auch zu vernichten. Dies betrifft<br />
insbesondere solche Anwendungen, in denen gesetzliche oder anders begründete Aufbewahrungs- und<br />
Dokumentationspflichten bestehen, die eine besondere Handhabung digitalisierter Dokumente nach<br />
sich ziehen, wenn das Original vernichtet werden soll. Die <strong>TR</strong> hat ohne besondere rechtliche<br />
Bestimmungen lediglich empfehlenden Charakter.<br />
Während in manchen Anwendungsbereichen, wie etwa dem kaufmännischen oder steuerlich<br />
relevanten Umfeld nach AO und HGB seit 1995 Grundsätze zur ordnungsgemäßen Ausführung der<br />
elektronischen Aufbewahrung existieren, nach denen bereits ersetzend gescannt wird, fehlen konkrete<br />
Umsetzungsvorgaben für die meisten anderen, aber zunehmend betroffenen Bereiche (Ausnahme:<br />
Sozialversicherungsrecht). Darüber hinaus gibt es auch in den bereits von unterschiedlich detaillierten<br />
Regelungen betroffenen Bereichen zunehmend davon nicht erfasste Dokumente (zum Beispiel solche,<br />
die nicht nur nach AO/HGB sondern auch zur zivilrechtlichen Beweissicherung aufbewahrt werden<br />
sollen), die vor allem aus Gründen der Wirtschaftlichkeit zukünftig ebenfalls ersetzend gescannt<br />
werden sollen. Um dies auf einer möglichst sicheren technisch-organisatorischen Grundlage tun zu<br />
können, wurden die Empfehlungen in dieser <strong>TR</strong> erarbeitet. Ziel ist es, die mit einer Vernichtung des<br />
Originaldokuments stets einhergehende Verringerung des Beweiswerts für den jeweiligen Anwender<br />
durch einen an das Original möglichst weit angenäherten Beweiswert des - in einem nachweisbar<br />
ordnungsgemäßen Prozess erstellten - Scanproduktes selbst auszugleichen, zu minimieren oder<br />
sichtbar zu machen. Schließlich kann die <strong>TR</strong> im Rahmen künftiger Regelungsvorhaben als Referenz<br />
dienen, wenn es z.B. konkret um die Schaffung weiterer Zulässigkeitstatbestände für das ersetzende<br />
Scannen insbesondere im Bereich der elektronischen Aktenführung geht.<br />
Die <strong>TR</strong> beruht auf den langjährigen Erfahrungen der Praxis in den verschiedenen Anwendungsbereichen<br />
in Verwaltung und Wirtschaft und berücksichtigt so umfassend wie möglich die hier<br />
etablierten Prozesse. Der Mehrwert für alle Scanprozesse, in denen das Scanprodukt das Original<br />
tatsächlich ersetzen soll, liegt insbesondere in der systematischen Darstellung der im Ablauf eines<br />
Scanprozesses bedeutsamen Bedrohungen für die wesentlichen Grundziele der Informationssicherheit.<br />
Diese werden die in einer Strukturanalyse u.a. dezidiert für alle betroffenen Datenobjekte und<br />
Kommunikationsbeziehungen dargestellt. Auf Grundlage einer darauf aufbauenden sorgfältigen<br />
Schutzbedarfsanalyse und anhand der entlang der verschiedenen Scanphasen durchgeführten<br />
Risikoanalyse werden konkrete Sicherheitsmaßnahmen beschrieben. Dadurch wird der Anwender in<br />
die Lage versetzt, die für seine Fachanwendung notwendigen Maßnahmen zu identifizieren und<br />
„seinen“ Scanprozess angemessen sicher zu gestalten. Durch die detaillierte Bedrohungsanalyse und<br />
die daraus abgeleiteten Sicherheitsempfehlungen profitieren voraussichtlich auch bereits etablierte<br />
Scanprozesse von der <strong>TR</strong>, indem diese, sofern gewünscht, ihre Konformität zu den hier erarbeiteten<br />
Empfehlungen mit angemessenem Aufwand feststellen können, und mit Hilfe der mit der <strong>TR</strong> zur<br />
Verfügung gestellten Checkliste ggfs. die bereits bestehende Ordnungsmäßigkeit ihres Scanprozesses<br />
bei Bedarf weiter optimieren können.<br />
10 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Aufgrund der enormen Unterschiede der fachspezifischen Anforderungen jedes Anwendungsbereichs,<br />
sieht die <strong>TR</strong> einen modularen Anforderungskatalog vor, der unterschiedliche praxisrelevante<br />
Sicherheitsstufen umfasst. In der Basisstufe geht es vor allem um einen grundsätzlich<br />
ordnungsgemäßen und mit grundlegenden Sicherheitsmaßnahmen ausgestalteten Scanprozess. In den<br />
Ausbaustufen wird besonderen Anforderungen an Integrität, Verfügbarkeit und Vertraulichkeit mit<br />
entsprechend angepassten und erhöhten Sicherheitsmaßnahmen Rechnung getragen.<br />
Gegenstand der <strong>TR</strong> (und damit potentieller Zertifizierungsgegenstand) ist der Prozess des<br />
(ersetzenden) Scannens als solcher in technischer und organisatorischer Hinsicht, nicht aber bestimmte<br />
Soft- oder Hardwarekomponenten zur tatsächlichen Durchführung des Scannens. Im Rahmen der nach<br />
der <strong>TR</strong> möglichen Nachweisführung der Konformität durch eine Zertifizierung des Scanprozesses<br />
werden daher Soft- und Hardware nicht explizit betrachtet. Ebenso ist die sich an einen Scanprozess<br />
im Rahmen eines Vorgangsbearbeitungssystems und/oder Dokumentenmanagementsystems<br />
anschließende Langzeitspeicherung oder Archivierung nicht Gegenstand der <strong>TR</strong>. Diesbezüglich wird<br />
lediglich die notwendige Interoperabilität und Kompatibilität zu gängigen Archivformaten<br />
berücksichtigt.<br />
Die hier formulierten Empfehlungen beinhalten nicht nur funktionale und auf die Sicherheitseigenschaften<br />
bezogene Maßnahmen, sondern auch gleichrangig organisatorische Empfehlungen, die<br />
gerade beim Scannen von besonderer Relevanz sind. Denn ein Scanprozess kann in keinem Fall<br />
vollständig automatisiert erfolgen, sondern bedarf immer auch der sorgfältigen Bedienung durch<br />
Menschen, die damit eine potentielle und nicht zu unterschätzende Fehlerquelle des Scanprozesses<br />
darstellen.<br />
1.2 Kennzeichnung<br />
Diese <strong>TR</strong> wird gekennzeichnet mit „<strong>BSI</strong> <strong>TR</strong> 03138“.<br />
1.3 Fachlich zuständige Stelle<br />
Fachlich zuständig für die Formulierung und Betreuung dieser <strong>TR</strong> ist das Bundesamt für Sicherheit in<br />
der Informationstechnik (<strong>BSI</strong>).<br />
Anschrift: Bundesamt für Sicherheit in der Informationstechnik (<strong>BSI</strong>)<br />
Postfach 20 03 63<br />
53133 Bonn<br />
Tel.: +49 228 99 9582-0<br />
E-Mail: resiscan@bsi.bund.de<br />
Internet: https://www.bsi.bund.de<br />
1.4 Versionsverwaltung<br />
Diese <strong>TR</strong> besteht aus diesem Dokument sowie der dazugehörigen Prüfspezifikation für die<br />
Konformitätsprüfung in Anhang 1. Darüber hinaus existiert eine informative Anlage (Ergebnis der<br />
Risikoanalyse) sowie die unverbindlichen rechtlichen Erläuterungen zur Anwendung der <strong>TR</strong>. Beide<br />
letztgenannten Dokumente sind nicht Gegenstand einer Konformitätsprüfung und dienen lediglich als<br />
erläuternde Hinweise.<br />
Die zur Zeit gültigen Teile dieser <strong>TR</strong> sind:<br />
Teil der <strong>TR</strong> Version Datum Bemerkung<br />
<strong>TR</strong> <strong>RESISCAN</strong> – Hauptdokument<br />
(dieses Dokument, inkl. Anlage A)<br />
'1.0 xx.12.2012<br />
Bundesamt für Sicherheit in der Informationstechnik 11
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Teil der <strong>TR</strong> Version Datum Bemerkung<br />
<strong>TR</strong> <strong>RESISCAN</strong> – Anlage P:<br />
'1.0 xx.12.2012 referenziert als<br />
Prüfspezifikation<br />
[<strong>BSI</strong>-<strong>TR</strong>03138-P]<br />
<strong>TR</strong> <strong>RESISCAN</strong> – Anlage R:<br />
'1.0 xx.12.2012 referenziert als<br />
Unverbindliche rechtliche Hinweise zur<br />
Anwendung der <strong>TR</strong>-<strong>RESISCAN</strong><br />
(informativ)<br />
[<strong>BSI</strong>-<strong>TR</strong>03138-R]<br />
<strong>TR</strong> <strong>RESISCAN</strong> – Anlage V:<br />
'1.0 xx.12.2012 referenziert als<br />
Exemplarische Verfahrensanweisung<br />
(informativ)<br />
[<strong>BSI</strong>-<strong>TR</strong>03138-V]<br />
1.5 Änderungsdienst / Fortschreibung<br />
Die <strong>TR</strong> sowie die Prüfspezifikation unterliegen einem fortwährenden Pflege- und Verbesserungsprozess,<br />
in dem neue und geänderte Anforderungen berücksichtigt werden. Die Fortführung muss geordnet<br />
verlaufen, d. h. dass abgestimmte Versionen der <strong>TR</strong> in einem formalen Akt freigegeben<br />
werden.<br />
Formal freigegebene Versionen werden im Bundesanzeiger und auf der Webseite des <strong>BSI</strong><br />
veröffentlicht.<br />
1.6 Veröffentlichung<br />
Die gültigen Versionen werden nach Veröffentlichung im Bundesanzeiger auf der Webseite des <strong>BSI</strong><br />
zum Download angeboten.<br />
In einem auf der Webseite des <strong>BSI</strong> verfügbaren Änderungsverzeichnis werden die Versionen mit Beschreibung<br />
der Erweiterung oder Änderung und des Datums geführt.<br />
1.7 Konventionen<br />
Die in dieser Technischen Richtlinie spezifizierten Anforderungen an Prozesse und Systeme zum<br />
ordnungsgemäßen ersetzenden Scannen werden eindeutig gekennzeichnet.<br />
Für die genauere Unterscheidung zwischen normativen und informativen Inhalten werden die dem<br />
[RFC2119] entsprechenden in Großbuchstaben geschriebenen, deutschen Schlüsselworte verwendet:<br />
• MUSS bedeutet, dass es sich um eine absolutgültige und normative Festlegung bzw.<br />
Anforderung handelt.<br />
• DARF NICHT bezeichnet den absolutgültigen und normativen Ausschluss einer Eigenschaft.<br />
• SOLL beschreibt eine nachdrückliche Empfehlung. Abweichungen zu diesen Festlegungen<br />
sind in wohlbegründeten Ausnahmefällen möglich.<br />
• SOLL NICHT kennzeichnet die Empfehlung, eine Eigenschaft auszuschließen.<br />
Abweichungen sind in begründeten Fällen möglich.<br />
• KANN bedeutet, dass die Eigenschaften fakultativ oder optional sind. Diese Festlegungen<br />
haben keinen Normierungs- und keinen allgemeingültigen Empfehlungscharakter.<br />
12 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
1.8 Anwendungsbereich<br />
Die vorliegende Technische Richtlinie bietet Anwendern in Justiz, Verwaltung und Wirtschaft einen<br />
Handlungsleitfaden zur möglichst rechtssicheren Gestaltung der Prozesse und Systeme für das<br />
ersetzende Scannen.<br />
Durch eine definierte Konformitätsprüfung können Anwender oder Anbieter von Scandienstleistungen<br />
einen dokumentierten Nachweis darüber erbringen, dass ihre Prozesse und Systeme für das ersetzende<br />
Scannen die hier aufgestellten technischen und organisatorischen Anforderungen nach dem jeweils<br />
gewählten Modul erfüllen.<br />
Eine nachgewiesene Konformitätsbestätigung und ein darüber erteiltes Zertfikat des <strong>BSI</strong> kann für<br />
Vergabeverfahren vom Bedarfsträger als Leistungskriterium herangezogen werden.<br />
Neben einer Zertifizierung kommen je nach Anwendungsfall auch Eigenerklärungen von<br />
Scandienstleistern oder auch Anwendern in Betracht. Die <strong>TR</strong> dient somit insgesamt als<br />
praxisorientierter Handlungsleitfaden für die Ordnungsmäßigkeit eines Scanprozesses ohne eine damit<br />
verbundene Verpflichtung zur Zertifizierung.<br />
Schließlich kann die <strong>TR</strong> z.B. für die Erfüllung des Stands der Technik im Rahmen von<br />
Gesetzgebungsverfahren referenziert werden sowie auf der untergesetzlichen Ebene der weiteren<br />
Konkretisierung technisch-organisatorischer Anforderungen dienen.<br />
Bundesamt für Sicherheit in der Informationstechnik 13
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
2. Allgemeines und Übersicht<br />
In diesem Kapitel werden der Aufbau und die Inhalte der Technischen Richtlinie sowie die grundsätzlichen<br />
Ziele und Herausforderungen für das rechtssichere ersetzende Scannen erläutert.<br />
2.1 Regelungsgegenstand und wichtige Hinweise<br />
Wie in Abbildung 1 dargestellt, umfasst der „generische Scanprozess“, der bei der Entwicklung der<br />
vorliegenden <strong>TR</strong> zu Grunde gelegt wurde,<br />
• die Dokumentenvorbereitung,<br />
• das Scannen,<br />
• die Nachverarbeitung und schließlich<br />
• die Integritätssicherung.<br />
E i n g a n g e i n e s<br />
D o k u m e n t e s<br />
G e g e n s t a n d d e r T R R E S I S C A N<br />
D o k u m e n t e n -<br />
v o r b e r e it u n g<br />
S c a n n e n<br />
N a c h v e r -<br />
a r b e i t u n g<br />
Abbildung 1: Der „generische Scanprozess“<br />
I n t e g r it ä t s -<br />
s ic h e r u n g<br />
B e w e i s w e r t -<br />
e r h a l t e n d e<br />
A u f b e w a h r u n g<br />
Prozessschritte jenseits der Integritätssicherung (z.B. Sachbearbeitung, Zwischenspeicherung, langfristige<br />
Aufbewahrung und Archivierung) sind nicht Gegenstand dieser <strong>TR</strong>. Auch die spezifischen<br />
Anforderungen der Beweiswert-erhaltenden Aufbewahrung von kryptographisch signierten Daten sind<br />
nicht Gegenstand der vorliegenden <strong>TR</strong>, sondern in [<strong>BSI</strong>-<strong>TR</strong>03125] adressiert.<br />
Diese <strong>TR</strong> regelt insbesondere nicht die Zulässigkeit des ersetzenden Scannens als solches. Die Zulässigkeit<br />
des ersetzenden Scannens ist von jedem Anwender in seinem Anwendungs- und Verantwortungsbereich<br />
auf der Grundlage der für diesen einschlägigen Rechtsvorschriften zu prüfen.<br />
Rechtliche Betrachtungen hierzu finden sich in [JaWi09] und [<strong>BSI</strong>-<strong>TR</strong>03138-R].<br />
14 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
3. Methodik<br />
Für die Risikoanalyse des Scanprozesses wurde eine an die internationalen Standards [ISO27001],<br />
[ISO27005], das IT-Sicherheitshandbuch [<strong>BSI</strong>-IT-SiHB] bzw. die IT-Grundschutz-Vorgehensweise<br />
(siehe [<strong>BSI</strong>-100-2], [<strong>BSI</strong>-100-3]) des <strong>BSI</strong> angelehnte Methodik herangezogen. Diese umfasste die<br />
folgenden Aufgaben:<br />
• Strukturanalyse<br />
• Schutzbedarfsanalyse<br />
• Bedrohungsanalyse<br />
• Risikoanalyse<br />
• Sicherheitsmaßnahmen<br />
• Modularer Anforderungskatalog<br />
Während in der hier angestellten generischen Betrachtung in der Regel nur allgemeingültige Aspekte<br />
berücksichtigt werden konnten, wurde soweit möglich auf die Bandbreite der unterschiedlichen in der<br />
Praxis auftretenden Ausprägungen der eingesetzten Systeme und Prozesse hingewiesen.<br />
3.1 Strukturanalyse<br />
In einem ersten Schritt wurden die im weiteren Verlauf zu betrachtenden Objekte erfasst. Dies<br />
beinhaltetee insbesondere die relevanten IT-Systeme, Netze, Anwendungen sowie die entsprechenden<br />
Datenobjekte (Schriftgut, Scanprodukte, Sicherungsdaten, Protokolle etc.).<br />
Die Ergebnisse der Strukturanalyse finden sich in Anlage A.1.<br />
3.2 Schutzbedarfsanalyse<br />
Für diese identifizierten Objekte wurde in zwei Schritten eine detaillierte fachliche und technische<br />
Schutzbedarfsanalyse durchgeführt.<br />
Im Rahmen der fachlichen Schutzbedarfsanalyse wurde in einem ersten Schritt für ausgewählte<br />
Klassen von Datenobjekten exemplarisch der Schutzbedarf ermittelt, wobei die gemäß ihrer<br />
rechtlichen Relevanz differenzierten Sicherheitsziele „Integrität“, „Authentizität“, „Vollständigkeit“,<br />
„Nachvollziehbarkeit“, „Verfügbarkeit“, „Lesbarkeit“, „Verkehrsfähigkeit“, „Vertraulichkeit“ und<br />
„Löschbarkeit“ betrachtet wurden.<br />
Jeder Anwender der vorliegenden Richtlinie MUSS für die konkret verarbeiteten Dokumente selbst<br />
eine solche Schutzbedarfsanalyse erstellen. Hierbei können die in [<strong>BSI</strong>-<strong>TR</strong>03138-R] dokumentierten<br />
Ergebnisse der exemplarischen Schutzbedarfsanalysen der Orientierung dienen.<br />
In einem zweiten Schritt wurde in einer technischen Schutzbedarfsanalyse der Schutzbedarf der IT-<br />
Systeme, Anwendungen und Kommunikationsbeziehungen hinsichtlich der Grundwerte „Integrität“,<br />
„Verfügbarkeit“ und „Vertraulichkeit“ bestimmt. Um die einfache Wiederverwendbarkeit der<br />
Ergebnisse im IT-Grundschutz-Kontext [<strong>BSI</strong>-100-2] zu gewährleisten, wurden die Klassen „normal“,<br />
„hoch“ und „sehr hoch“ genutzt. Hierbei wurde der jeweilige Schutzbedarf in Abhängigkeit des<br />
Schutzbedarfs des ursprünglichen Papierdokumentes ausgedrückt und die differenzierten<br />
Sicherheitsziele wurden den Grundwerten zugeordnet.<br />
Die Ergebnisse der Schutzbedarfsanalyse finden sich in Anlage A.2.<br />
Bundesamt für Sicherheit in der Informationstechnik 15
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
3.3 Bedrohungsanalyse<br />
Für die einzelnen Objekte wurden sodann entsprechende Bedrohungen bzw. Schwachstellen ermittelt.<br />
Hierbei wurde auf anwendbare IT-Grundschutz-Bausteine (z.B. Fehler: Referenz nicht gefunden,<br />
[<strong>BSI</strong>-B 3.201], [<strong>BSI</strong>-B 3.406] und [<strong>BSI</strong>-B 5.7]) aufgebaut. Bei Bedarf wurde eine entsprechende<br />
Präzisierung und Ergänzung vorgenommen, die die Anwendung und Umsetzung der maßgeblichen IT-<br />
Grundschutz-Bausteine erleichtert.<br />
Die Ergebnisse der Bedrohungsanalyse finden sich in Anlage A.3.<br />
3.4 Risikoanalyse<br />
Während auf Basis der Bedrohungsanalyse üblicherweise eine explizite Risikoanalyse vorgenommen<br />
wird, wurde hier auf diesen Schritt verzichtet, da die Eintrittswahrscheinlichkeit für einen auf Grund<br />
einer Gefährdung entstehenden Schaden sehr stark von der konkreten Ausgestaltung des<br />
Scanprozesses abhängt. Da in der hier durchgeführten generischen Betrachtung nur eine mögliche<br />
Bandbreite bzw. ein Mittelwert angegeben werden könnte, wurde auf die explizite Darstellung des<br />
Risikos verzichtet. Unabhängig davon kann eine Risikobetrachtung im konkreten Einzelfall notwendig<br />
sein. Darüber ist im Rahmen der Konzipierung des Scanprozesses zu entscheiden.<br />
In [<strong>BSI</strong>-<strong>TR</strong>03138-R] sind grundsätzliche rechtliche Betrachtungen zu den generellen Beweisrisiken<br />
durch unsachgemäßes ersetzendes Scannen dargestellt.<br />
3.5 Sicherheitsmaßnahmen<br />
In diesem Schritt wurden für die Behandlung der Risiken entsprechende Sicherheitsmaßnahmen<br />
erarbeitet, durch die das verbleibende Restrisiko auf ein angesichts des hier angestrebten Ziels einer<br />
möglichst hohen Beweissicherheit tragbares Maß reduziert wird. Die hier erarbeiteten Erkenntnisse<br />
finden sich in Anlage A.4 und bilden die Grundlage für die in Abschnitt 4 spezifizierten<br />
Anforderungen.<br />
3.6 Modularer Maßnahmenkatalog<br />
Damit die ausgesprochen heterogenen potentiellen Anwender der <strong>TR</strong> für ihren konkreten<br />
Anwendungsfall ein angemessenes Maß an Sicherheit erreichen können, wird den in Abschnitt 4<br />
spezifizierten Anforderungen für das ersetzende Scannen das in Abschnitt 4.1 näher erläuterte<br />
Modulkonzept zu Grunde gelegt.<br />
16 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
4. Anforderungen für das ersetzende Scannen<br />
4.1 Modulkonzept<br />
Um beim ersetzenden Scannen ein grundlegendes Maß an Sicherheit gewährleisten zu können, wird<br />
hier ein „Basismodul“ (siehe Abschnitt 4.2) vorgesehen, das grundlegende organisatorische,<br />
personelle und technische Maßnahmen sowie spezifische Maßnahmen in den verschiedenen Phasen<br />
des „generischen Scanprozesses“ (Dokumentenvorbereitung, Scannen, Nachverarbeitung,<br />
Integritätssicherung, vgl. Abbildung 1) umfasst.<br />
Um auch erhöhten Schutzbedarfsanforderungen bzgl. Verfügbarkeit, Integrität oder Vertraulichkeit<br />
gerecht werden zu können, sind zusätzlich entsprechende Aufbaumodule (siehe Abschnitt 4.3) vorgesehen.<br />
Neben generellen Maßnahmen, die grundsätzlich umzusetzen sind, falls Dokumente mit<br />
erhöhtem Schutzbedarf verarbeitet werden, existieren spezifische Maßnahmen für die Verarbeitung<br />
von Dokumenten mit Schutzbedarf „hoch“ bzw. „sehr hoch“ bzgl. der Integrität, Vertraulichkeit und<br />
Verfügbarkeit.<br />
Die in den verschiedenen Modulen beschriebenen Anforderungen wurden aus den im Rahmen der in<br />
Anlage A (Seite 45 ff.) näher dargestellten Risikoanalyse abgeleitet. Auf diese kann somit für<br />
weiterführende Informationen zurückgegriffen werden.<br />
M a ß n a h m e n i n d e r<br />
D o k u m e n t e n -<br />
v o r b e r e i t u n g<br />
A u f b a u m o d u l e m i t z u s ä t z l i c h e n S i c h e r h e i t s m a ß n a h m e n<br />
Z u s ä t z l i c h e M a ß n a h m e n<br />
b e i S c h u t z b e d a r f „ s e h r h o c h “<br />
b z g l . I n t e g r i t ä t<br />
Z u s ä t z l i c h e M a ß n a h m e n<br />
b e i S c h u t z b e d a r f „ h o c h “<br />
b z g l . I n t e g r i t ä t<br />
O r g a n i s a t o r i s c h e<br />
M a ß n a h m e n<br />
Z u s ä t z l i c h e M a ß n a h m e n<br />
b e i S c h u t z b e d a r f „ s e h r h o c h “<br />
b z g l . V e r t r a u l i c h k e i t<br />
M a ß n a h m e n<br />
b e i m<br />
S c a n n e n<br />
Z u s ä t z l i c h e M a ß n a h m e n<br />
b e i S c h u t z b e d a r f „ h o c h “<br />
b z g l . V e r t r a u l i c h k e i t<br />
G e n e r e l l e M a ß n a h m e n b e i d e r V e r a r b e i t u n g v o n D o k u m e n t e n m i t e r h ö h t e m S c h u t z b e d a r f .<br />
B a s i s m o d u l<br />
M a ß n a h m e n b e i d e r<br />
N a c h v e r a r b e i t u n g<br />
G r u n d l e g e n d e A n f o r d e r u n g e n<br />
P e r s o n e l l e<br />
M a ß n a h m e n<br />
Abbildung 2: Modulkonzept<br />
Z u s ä t z l i c h e M a ß n a h m e n<br />
b e i S c h u t z b e d a r f „ s e h r h o c h “<br />
b z g l . V e r f ü g b a r k e i t<br />
Z u s ä t z l i c h e M a ß n a h m e n<br />
b e i S c h u t z b e d a r f „ h o c h “<br />
b z g l . V e r f ü g b a r k e i t<br />
M a ß n a h m e n b e i d e r<br />
I n t e g r i t ä t s s i c h e r u n g<br />
T e c h n i s c h e<br />
M a ß n a h m e n<br />
Bundesamt für Sicherheit in der Informationstechnik 17
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
4.2 Basismodul<br />
Durch die nachfolgend dargestellten Anforderungen im Basismodul soll ein grundlegendes Maß an<br />
Sicherheit beim ersetzenden Scannen erreicht werden. Dies wird durch die Kombination von grundlegenden<br />
(A.G.x) und übergreifenden organisatorischen (A.O.x), personellen (A.P.x) und technischen<br />
Maßnahmen (A.T.x) mit spezifischen Maßnahmen in den einzelnen Phasen des generischen<br />
Scanprozesses erreicht. Wie in Abbildung 1 (Seite 14) und Abbildung 2 (Seite 17) dargestellt, umfasst<br />
dies Maßnahmen in der Dokumentenvorbereitung (A.DV.x), Maßnahmen beim Scannen (A.SC.x),<br />
Maßnahmen bei der Nachbearbeitung (A.NB.x) und schließlich Maßnahmen bei der Integritätssicherung<br />
(A.IS.x).<br />
4.2.1 Grundlegende Anforderungen<br />
ID Grundlegende Anforderungen<br />
A.G.1 Verfahrensdokumentation<br />
A.G.2 Fachliche Schutzbedarfsanalyse<br />
Tabelle 1: Grundlegende Anforderungen<br />
A.G.1 – Verfahrensdokumentation<br />
Um einen geordneten Ablauf beim ersetzenden Scannen zu ermöglichen MUSS eine Verfahrensdokumentation<br />
1 existieren. Diese Verfahrensdokumentation MUSS insbesondere die folgenden<br />
Aspekte umfassen:<br />
a. Die Art der verarbeiteten Dokumente (siehe auch A.G.2, unten) und Regelungen für nicht<br />
verarbeitbare Dokumente, die Festlegung von Verantwortlichkeiten, Abläufen und Aufgaben<br />
im Scanprozess (siehe auch A.O.1, Seite 19),<br />
b. die Festlegung von grundlegenden Anforderungen an die involvierten Mitarbeiter hinsichtlich<br />
ihrer Fähigkeiten und Kompetenzen sowie Maßnahmen zur Qualifizierung und<br />
Sensibilisierung der Mitarbeiter (siehe auch A.P.1, Seite 21),<br />
c. die Beschreibung der in den Scanprozess involvierten Räume, IT-Systeme, Anwendungen und<br />
Sicherungsmittel,<br />
d. Regelungen für die Administration und Wartung der IT-Systeme und Anwendungen (siehe<br />
auch A.O.2, Seite 19) sowie<br />
e. die Festlegung von Sicherheitsanforderungen für IT-Systeme, Netze und Anwendungen.<br />
A.G.2 – Fachliche Schutzbedarfsanalyse<br />
Damit ein für die jeweils verarbeiteten Dokumente angemessenes Sicherheitsniveau erreicht werden<br />
kann, MUSS für diese vor dem Hintergrund der anwendbaren rechtlichen Rahmenbedingungen eine<br />
sorgfältig begründete fachliche Schutzbedarfsanalyse 2 hinsichtlich der verschiedenen Sicherheitsziele 3<br />
(„Integrität“, „Authentizität“, „Vollständigkeit“, „Nachvollziehbarkeit“, „Verfügbarkeit“,<br />
„Lesbarkeit“, „Verkehrsfähigkeit“, „Vertraulichkeit“ und „Löschbarkeit“) durchgeführt werden.<br />
1 Eine beispielhafte Verfahrensdokumentation findet sich in [<strong>BSI</strong>-<strong>TR</strong>03138-V].<br />
2 Exemplarische Schutzbedarfsanalysen für verschiedene Anwendungsbereiche finden sich in [<strong>BSI</strong>-<strong>TR</strong>03138-R].<br />
3 Die Definition der Sicherheitsziele findet sich in Tabelle 21, Seite 56.<br />
18 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
4.2.2 Organisatorische Maßnahmen<br />
Im Basismodul sind die in Tabelle 2 aufgeführten organisatorischen Maßnahmen vorgesehen.<br />
ID Organisatorische Maßnahmen siehe auch<br />
A.O.1 Festlegung von Verantwortlichkeiten und Regelungen M 2.1 4 , Seite 70<br />
M 2.5, Seite 71<br />
M 2.225, Seite 71<br />
A.O.2 Regelungen für Wartungs- und Reparaturarbeiten M 2.4, Seite 71<br />
A.O.3 Abnahme- und Freigabe-Verfahren für Hardware und Software M 2.62, Seite 76<br />
A.O.4 Aufrechterhaltung der Informationssicherheit M 2.199, Seite 71<br />
A.O.5 Anforderungen beim Outsourcing des Scanprozesses [<strong>BSI</strong>-B 1.11]<br />
Tabelle 2: Organisatorische Maßnahmen im Überblick<br />
A.O.1 – Festlegung von Verantwortlichkeiten, Abläufen und Aufgaben im Scanprozess<br />
Um die Ordnungsmäßigkeit der Abläufe beim ersetzenden Scannen zu ermöglichen, MÜSSEN die<br />
Verantwortlichkeiten, Abläufe und Aufgaben im Scanprozess festgelegt werden. Dies MUSS<br />
insbesondere umfassen:<br />
a. welche Schritte durch wen ausgeführt werden müssen und wie dabei im Einzelnen vorzugehen<br />
ist,<br />
b. welche Daten hierbei erzeugt werden,<br />
c. welche Qualitätskontrollen durch wen in welchen Zeitabständen und nach welche Kriterien<br />
durchzuführen sind und<br />
d. welche Sicherungsdaten oder Sicherungssysteme für den Schutz der Integrität dieser Daten<br />
vorgesehen sind.<br />
e. Qualitätskontrollen SOLLEN zumindest stichprobenartig erfolgen und regelmäßig durch<br />
Mitarbeiter durchgeführt werden, die nicht mit der operativen Durchführung des zu<br />
kontrollierenden Arbeitsschrittes betraut sind.<br />
f. Für die in den Scanprozess involvierten Datenobjekte (Originaldokument, Scanprodukt, etc.)<br />
sowie für die im Scanprozess genutzten IT-Systeme und Anwendungen SOLLEN 5<br />
Verantwortliche benannt werden.<br />
g. Bei der Zuweisung des Personals zu den operativen Aufgaben im Scanprozess MÜSSEN<br />
potenzielle Interessenkonflikte berücksichtigt und sie SOLLEN nach Möglichkeit vermieden<br />
werden.<br />
h. Darüber hinaus SOLLEN typische Fehlerquellen berücksichtigt werden und es SOLLEN<br />
entsprechende Vorsichtsmaßnahmen festgelegt werden.<br />
i. Außerdem MUSS festgelegt werden, unter welchen Umständen und ab welchem Zeitpunkt<br />
das Originaldokument vernichtet werden darf.<br />
j. Hierbei MUSS auch ein Verfahren zur Klärung von „Zweifelsfragen“ etabliert werden.<br />
A.O.2 – Regelungen für Wartungs- und Reparaturarbeiten<br />
Es SOLLEN Regelungen für die Wartung und die Reparatur der für den Scanvorgang eingesetzten IT-<br />
Systeme und Anwendungen getroffen werden. Dies umfasst insbesondere:<br />
4 Die angegebenen Verweise M x.y beziehen sich auf Maßnahmen der IT-Grundschutz-Kataloge [<strong>BSI</strong>-GSK].<br />
5 Ungeachtet der Tatsache, dass hier lediglich eine Empfehlung ausgesprochen wurde, kann die Benennung von<br />
Verantwortlichen durch die anwendbaren Gesetze und Verordnungen zwingend gefordert sein.<br />
Bundesamt für Sicherheit in der Informationstechnik 19
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
a. Regelungen zur Authentisierung und zum Nachweis der Autorisierung des<br />
Wartungspersonals,<br />
b. die Dokumentation von sicherheitsrelevanten Veränderungen an den involvierten IT-Systemen<br />
und Anwendungen,<br />
c. die Dokumentation der erfolgreichen Durchführung der Maßnahmen zur Qualitätskontrolle<br />
und Freigabe (siehe auch A.O.3) vor der Wiederaufnahme des regulären Betriebs sowie<br />
d. die Festlegung der Verantwortlichkeit für die Beauftragung, Durchführung und ggf. Kontrolle<br />
von Wartungs- und Reparaturarbeiten (siehe auch A.O.1).<br />
A.O.3 – Abnahme- und Freigabe-Verfahren für Hardware und Software<br />
Um eine unbemerkte Manipulation der zum Scannen verwendeten IT-Systeme und Anwendungen zu<br />
verhindern und die Ordnungsmäßigkeit der Systeme zu dokumentieren, MUSS ein geregeltes<br />
Verfahren für die Abnahme und Freigabe der eingesetzten Hardware und Software etabliert werden.<br />
Dies umfasst sowohl den Scanner als auch die Scan-Workstation sowie den Scan-Cache. Neben der<br />
initialen Inbetriebnahme ist dieses Abnahmeverfahren auch bei der Wiederaufnahme des Betriebs<br />
nach Wartungs- und Reparaturarbeiten (siehe auch A.O.2, Seite 19) durchzuführen.<br />
A.O.4 – Aufrechterhaltung der Informationssicherheit<br />
In angemessenen zeitlichen Abständen SOLL eine Überprüfung der Wirksamkeit und Vollständigkeit<br />
der für die Informationssicherheit beim ersetzenden Scannen vorgesehenen Maßnahmen durchgeführt<br />
werden, in Bundesbehörden mindestens alle drei Jahre (vgl. [<strong>BSI</strong>-IS-Rev]). In diesen Audits MUSS<br />
geprüft werden,<br />
a. ob die implementierten Prozesse und Sicherheitsmaßnahmen korrekt implementiert wurden<br />
und tatsächlich wirksam sind, und<br />
b. ob die implementierten Sicherheitsmaßnahmen ausreichend vor den potenziellen Bedrohungen<br />
schützen oder ob zusätzliche Sicherheitsmaßnahmen notwendig sind.<br />
Um Interessenkonflikte zu vermeiden und eine unvoreingenommene Prüfung zu ermöglichen,<br />
SOLLEN die Audits möglichst von unabhängigen Personen, d.h. Personen, die nicht mit dem<br />
ersetzenden Scannen oder der Administration der verwendeten Systeme betraut sind und nicht an<br />
Weisungen dieser Personen gebunden sind, durchgeführt werden.<br />
Die Ergebnisse dieser Überprüfungen SOLLEN schriftlich dokumentiert werden. Sofern<br />
Sicherheitslücken oder andere Probleme gefunden werden, MÜSSEN aus den Prüfergebnissen<br />
notwendige Korrekturmaßnahmen abgeleitet werden. Für die Umsetzung der identifizierten<br />
Korrekturmaßnahmen MUSS ein Zeitplan mit Verantwortlichkeiten definiert werden. Die Umsetzung<br />
der Maßnahmen MUSS durch die dafür benannten Verantwortlichen verfolgt und überprüft werden.<br />
A.O.5 – Anforderungen beim Outsourcing des Scanprozesses<br />
Sofern der Scanprozess komplett oder teilweise von spezialisierten Scandienstleistern durchgeführt<br />
wird, sind die im vorliegenden Anforderungskatalog vorgesehenen Maßnahmen entsprechend<br />
umzusetzen. Zusätzlich SOLLEN die im Baustein „Outsourcing“ des IT-Gundschutz-Handbuches<br />
[<strong>BSI</strong>-B 1.11] aufgeführten Maßnahmen berücksichtigt werden. Darüber hinaus gelten folgende<br />
Anforderungen 6 :<br />
a. Die organisatorischen und technischen Schnittstellen zwischen Auftraggeber und<br />
Auftragnehmer (Übertragungswege, Datenablageorte, beteiligte Akteure, Rückfallverfahren<br />
etc.) MÜSSEN in der Verfahrensdokumentation (siehe A.G.1, Seite 18) explizit dargestellt<br />
werden.<br />
b. Der Auftragnehmer MUSS zur Einhaltung der vom Auftraggeber definierten<br />
Sicherheitsmaßnahmen verpflichtet werden.<br />
6 Darüber hinaus beleuchtet [<strong>BSI</strong>-<strong>TR</strong>03138-R] ausgewählte rechtliche Aspekte, die beim Outsourcing des Scanprozesses<br />
relevant sein können.<br />
20 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
c. Es SOLL eine Analyse der durch die Aufgabenteilung zusätzlich entstehenden Risiken<br />
erfolgen.<br />
d. Zusätzlich zur regelmäßigen Auditierung (siehe A.O.4 oben und A.AM.G.3, Seite 30)<br />
SOLLEN unangemeldete Stichprobenprüfungen durchgeführt werden.<br />
4.2.3 Personelle Maßnahmen<br />
Im Basismodul sind die in der folgenden Tabelle aufgeführten personellen Maßnahmen vorgesehen.<br />
ID Personelle Maßnahmen siehe auch<br />
A.P.1 Sensibilisierung der Mitarbeiter für Informationssicherheit M 2.198, Seite 71<br />
A.P.2 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze,<br />
Vorschriften und Regelungen<br />
M 3.2, Seite 72<br />
A.P.3 Schulung zur ordnungsgemäßen Bedienung des Scansystems M 3.4, Seite 72 und<br />
M 3.35, Seite 72<br />
A.P.4 Schulung zu Sicherheitsmaßnahmen im Scanprozess M 3.5, Seite 72 und<br />
M 3.26, Seite 72<br />
A.P.5 Schulung des Wartungs- und Administrationspersonals M 3.11, Seite 72<br />
Tabelle 3: Personelle Maßnahmen im Überblick<br />
A.P.1 – Sensibilisierung der Mitarbeiter für Informationssicherheit<br />
Die Mitarbeiter SOLLEN bzgl. der Sicherheitsmaßnahmen und der sicherheitsbewussten Handhabung<br />
von Dokumenten, Daten und IT-Systemen sowie der zu ergreifenden Vorsichtsmaßnahmen<br />
sensibilisiert werden.<br />
A.P.2 – Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften,<br />
Regelungen und der Verfahrensweisung<br />
Die im Rahmen der fachlichen Schutzbedarfsanalyse (siehe A.G.2, Seite 18) identifizierten rechtlichen<br />
Rahmenbedingungen für den betroffenen Einsatzbereich SOLLEN den in den Scanprozess<br />
involvierten Mitarbeitern zur Kenntnis gebracht werden und die Mitarbeiter SOLLEN auf die<br />
Einhaltung der einschlägigen Gesetze, Vorschriften, Regelungen und der Verfahrensanweisung (siehe<br />
A.G.1, Seite 18) verpflichtet werden. 7<br />
A.P.3 – Schulung zur ordnungsgemäßen Bedienung des Scansystems<br />
Die Mitarbeiter, die den Scanvorgang durchführen, MÜSSEN in geeigneter Weise hinsichtlich der<br />
eingesetzten Geräte, Anwendungen und sonstigen Abläufe geschult werden. Dies umfasst<br />
insbesondere:<br />
a. die grundsätzlichen Abläufe im Scanprozess einschließlich der Dokumentenvorbereitung, dem<br />
Scannen, der zulässigen Nachbearbeitung und der Integritätssicherung,<br />
b. die geeignete Konfiguration und Nutzung des Scanners und der Scan-Workstation,<br />
c. Anforderungen hinsichtlich der Qualitätssicherung,<br />
d. die Abläufe und Anforderungen bei der Erstellung des Transfervermerks (siehe A.NB.4, Seite<br />
28),<br />
e. die Konfiguration und Nutzung der Systeme zur Integritätssicherung und<br />
f. das Verhalten im Fehlerfall.<br />
7 Dies gilt unbeachtet ohnehin bestehender gesetzlicher Informations- und Hinweispflichten, auf die hier nicht näher<br />
eingegangen wird.<br />
Bundesamt für Sicherheit in der Informationstechnik 21
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
A.P.4 – Schulung zu Sicherheitsmaßnahmen im Scanprozess<br />
Die Mitarbeiter, die den Scanvorgang durchführen oder verantworten, MÜSSEN in geeigneter Weise<br />
hinsichtlich der dabei umzusetzenden sowie der implementierten Sicherheitsmaßnahmen geschult<br />
werden. Dies umfasst insbesondere<br />
a. die grundsätzliche Sensibilisierung der Mitarbeiter für Informationssicherheit<br />
b. Personen-bezogene Sicherheitsmaßnahmen im Scanprozess,<br />
c. System-bezogene Sicherheitsmaßnahmen im Scansystem,<br />
d. Verhalten bei Auftreten von Schadsoftware,<br />
e. Bedeutung der Datensicherung und deren Durchführung,<br />
f. Umgang mit personenbezogenen und anderen sensiblen Daten und<br />
g. Einweisung in Notfallmaßnahmen.<br />
A.P.5 – Schulung des Wartungs- und Administrationspersonals<br />
Das Wartungs- und Administrationspersonal für die in den Scanprozess involvierten IT-Systeme und<br />
Anwendungen benötigt detaillierte Kenntnisse über die eingesetzten IT-Komponenten. Das hierbei<br />
eingesetzte eigene Personal SOLL deshalb soweit geschult werden, dass<br />
• alltägliche Administrationsarbeiten selbst durchgeführt werden können,<br />
• einfache Fehler selbst erkannt und behoben werden können,<br />
• Datensicherungen regelmäßig selbsttätig durchgeführt werden können,<br />
• die Eingriffe von externem Wartungspersonal nachvollzogen und<br />
• Manipulationsversuche oder unbefugte Zugriffe auf die Systeme erkannt und rasch behoben<br />
werden können.<br />
4.2.4 Technische Maßnahmen<br />
ID Technische Maßnahmen siehe auch<br />
A.T.1 Grundlegende Sicherheitsmaßnahmen für IT-Systeme im<br />
Scanprozess<br />
[<strong>BSI</strong>-GSK]<br />
A.T.2 Festlegung der zulässigen Kommunikationsverbindungen M 2.42, Seite 75<br />
A.T.3 Schutz vor Schadprogrammen B 1.6, Seite 77,<br />
M 2.157, M 2.158,<br />
M 2.159, M 6.32 aus<br />
[<strong>BSI</strong>-GSK]<br />
A.T.4 Zuverlässige Speicherung<br />
Tabelle 4: Technische Maßnahmen im Überblick<br />
A.T.1 – Grundlegende Sicherheitsmaßnahmen für IT-Systeme im Scanprozess<br />
Für die in den Scanprozess involvierten IT-Systeme (z.B. Client-, Server- und Netzwerkkomponenten)<br />
SOLLEN die hierfür in den IT-Gundschutz-Katalogen [<strong>BSI</strong>-GSK] vorgesehenen Sicherheitsmaßnahmen<br />
umgesetzt werden.<br />
A.T.2 – Festlegung der zulässigen Kommunikationsverbindungen<br />
22 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Sofern die für das Scannen eingesetzten IT-Systeme über ein Netzwerk verbunden sind, MÜSSEN in<br />
diesem Netzwerk sowie auf den IT-Systemen selbst die zulässigen Kommunikationsverbindungen<br />
möglichst restriktiv 8 konfiguriert werden.<br />
A.T.3 – Schutz vor Schadprogrammen<br />
Um einer Infektion durch Schadprogramme vorzubeugen, MÜSSEN die Maßnahmen des<br />
Grundschutz-Bausteins B 1.6 (Schutz vor Schadprogrammen) berücksichtigt werden. Insbesondere<br />
SOLLEN die folgenden Maßnahmen umgesetzt werden:<br />
a. Auswahl eines geeigneten Viren-Schutzprogramms (M 2.157),<br />
b. Meldung von Schadprogramm-Infektionen (M 2.158),<br />
c. Aktualisierung der eingesetzten Viren-Schutzprogramme und Signaturen (M 2.159) und<br />
d. regelmäßige Datensicherung (M 6.32).<br />
A.T.4 – Zuverlässige Speicherung<br />
Die für die beweiswerterhaltende Aufbewahrung der Scanprodukte und Metadaten verwendeten<br />
Speichermedien, Verfahren (z.B. zur Datensicherung) und Konfigurationen MÜSSEN für die notwendige<br />
Aufbewahrungsdauer eine Verfügbarkeit gewährleisten, die dem Schutzbedarf der Datenobjekte<br />
angemessen ist.<br />
4.2.5 Sicherheitsmaßnahmen bei der Dokumentenvorbereitung<br />
ID Sicherheitsmaßnahmen bei der Dokumentenvorbereitung siehe auch<br />
A.DV.1 Sorgfältige Vorbereitung der Papierdokumente BM 2.1, Seite 72<br />
A.DV.2 Vorbereitung der Vollständigkeitsprüfung bei automatisierter<br />
Erfassung<br />
Tabelle 5: Sicherheitsmaßnahmen bei der Dokumentenvorbereitung<br />
BM 2.1, Seite 72<br />
A.DV.1 – Sorgfältige Vorbereitung der Papierdokumente<br />
Um eine zuverlässige und vollständige Erfassung der Papierdokumente im nächsten Schritt zu gewährleisten,<br />
MÜSSEN Papierdokumente sorgfältig auf diesen Schritt vorbereitet werden. Dies umfasst<br />
folgende Aspekte:<br />
a. Bei Bedarf die Erstellung von Posteingangsstempeln, die sorgfältige Brieföffnung, die Feststellung<br />
des spezifischen Schutzbedarfs und die entsprechende Vorsortierung. Hierbei MUSS<br />
insbesondere geprüft werden, ob die Dokumente grundsätzlich für die Erfassung vorgesehen<br />
sind (vgl. A.G.1 a)).<br />
b. Bei Bedarf die Prüfung dass die für die Dokumentenvorbereitung und das Scannen verwendeten<br />
Geräte, Verfahren und Einstellungen für die zu scannenden Dokumente geeignet<br />
sind und diese nicht wesentlich beschädigen können.<br />
c. Maßnahmen für die Bewahrung des logischen Kontextes der zu erfassenden Dokumente (z.B.<br />
durch geeignete Indizierung) oder zur Bewahrung der Zugehörigkeit der eingescannten Seiten<br />
zu einem Dokument (z.B. durch geeignete Heftung oder Klammerung 9 ) sind insbesondere<br />
auch beim „späten Scannen“ zu beachten.<br />
d. Die korrekte Orientierung von zu erfassenden Blättern. Sofern lediglich einseitig gescannt<br />
wird, MUSS sichergestellt werden, dass Blätter nicht versehentlich verdreht werden und deshalb<br />
statt der relevanten Inhalte eine leere Rückseite erfasst wird. Falls dies nicht möglich ist,<br />
SOLL beidseitig gescannt werden.<br />
8 Es wird EMPFOHLEN, dass die nur die notwendigen Kommunikationsverbindungen explizit erlaubt und alle anderen<br />
standardmäßig unterbunden werden.<br />
9 Rechtliche Betrachtungen und daraus abgeleitete Empfehlungen zur Handhabung von Dokumenten, die mit einer<br />
Siegelschnur versehen sind, finden sich in [<strong>BSI</strong>-<strong>TR</strong>03138-R].<br />
Bundesamt für Sicherheit in der Informationstechnik 23
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
e. Die Bewahrung der korrekten Reihenfolge von Blättern bei mehrseitigen Dokumenten.<br />
f. Die zuverlässige Trennung von unabhängigen Dokumenten.<br />
g. Das Entfernen von Klammern, Knicken und nicht relevanten Klebezetteln. Sofern der Inhalt<br />
eines Klebezettels relevant ist, MUSS dieser in geeigneter Weise (z.B. auf einer eigenen Seite)<br />
eingescannt werden.<br />
h. Andere vorbereitende Maßnahmen in Abhängigkeit des zu scannenden Schriftguts. Dies kann<br />
beispielsweise die Untersuchung des Schriftgutes auf möglicherweise existierende Abbildungen<br />
umfassen, die eine spezifische Konfiguration des Scanners (z.B. bzgl. Helligkeit<br />
oder Kontrast, vgl. A.SC.5) notwendig machen. Sofern im Rahmen des Scanprozesses ein<br />
Umkopieren notwendig ist, MUSS darauf geachtet werden, dass die Kopie alle relevanten<br />
Informationen enthält.<br />
A.DV.2 – Vorbereitung der Vollständigkeitsprüfung bei automatisierter Erfassung<br />
In einem automatisierten Prozess MÜSSEN zusätzliche Maßnahmen für die Sicherstellung der Vollständigkeit<br />
getroffen werden. Damit diese Vollständigkeitsprüfung im Rahmen der Nachbereitung<br />
(siehe A.NB.3, Seite 28) durchgeführt werden kann, SOLLEN hier bei Bedarf entsprechende Vorbereitungen<br />
getroffen werden. Dies KANN beispielsweise die Ermittlung der Anzahl der zu erfassenden<br />
Seiten umfassen.<br />
4.2.6 Sicherheitsmaßnahmen beim Scannen<br />
ID Sicherheitsmaßnahmen beim Scannen siehe auch<br />
A.SC.1 Auswahl und Beschaffung geeigneter Scanner M 2.399, Seite 76<br />
A.SC.2 Geeignete Aufstellung von Scannern M 1.32, Seite 75<br />
A.SC.3 Änderung voreingestellter Passwörter M 4.7, Seite 76<br />
M 2.11, Seite 71<br />
A.SC.4 Sorgfältige Durchführung von Konfigurationsänderungen M 4.78, Seite 77<br />
A.SC.5 Geeignete Benutzung des Scanners BM 2.5, Seite 74<br />
A.SC.6 Geeignete Scan-Einstellungen BM 2.4, Seite 74<br />
A.SC.7 Geeignete Erfassung von Metainformationen BM 2.6, Seite 75<br />
A.SC.8 Qualitätssicherung der Scanprodukte BM 2.7, Seite 75<br />
A.SC.9 Sichere Außerbetriebnahme von Scannern M 2.400, Seite 76<br />
A.SC.10 Sichere Zugriffsmechanismen bei Fernadministration M 4.80, Seite 77<br />
A.SC.11 Informationsschutz und Zugriffsbeschränkung bei netzwerkfähigen<br />
Scannern<br />
M 4.300, Seite 77<br />
M 4.301, Seite 77<br />
M 4.303, Seite 77<br />
A.SC.12 Protokollierung beim Scannen M 2.08, Seite 79<br />
M 4.302, Seite 77<br />
Tabelle 6: Sicherheitsmaßnahmen beim Scannen<br />
A.SC.1 – Auswahl und Beschaffung geeigneter Scanner<br />
24 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Damit beim Erfassungsprozess geeignete Scanner eingesetzt werden, SOLLEN bereits bei der<br />
Auswahl und der Beschaffung von Scannern die folgenden Kriterien berücksichtigt werden, die<br />
jeweils auf ihre Relevanz geprüft werden müssen:<br />
• für die betreffende Anwendung ausreichender Durchsatz,<br />
• Unterstützung geeigneter Datenformate,<br />
• Unterstützung von Patch- und/oder Barcodes zur Dokumententrennung und Übergabe von<br />
Meta-Informationen,<br />
• ausreichende Qualität der Scanprodukte (bzgl. Auflösung, Helligkeit und Kontrast etc.),<br />
• ausreichende Flexibilität der Konfiguration,<br />
• ausreichend zuverlässiger und leistungsfähiger automatischer Seiteneinzug (auch für<br />
doppelseitige Erfassung und mit zuverlässiger Doppeleinzugskontrolle),<br />
• bei Bedarf Möglichkeit zum Scannen von gebundenen Dokumenten, Überlängen, zum<br />
Scannen von Farbe sowie von Durchlichtdokumenten (z.B. Röntgenbilder),<br />
• geeignete Schnittstellen für die Übermittlung des Scanproduktes in DMS/VBS/Archive,<br />
• Möglichkeit der Absicherung der Administrationsschnittstelle (lokal und über Netz),<br />
• Nutzung eines internen Datenspeichers,<br />
• Möglichkeit zum sicheren Löschen oder verschlüsselter Speicherung von Scanprodukten auf<br />
dem internen Datenträger und<br />
• ausreichender Support.<br />
A.SC.2 – Geeignete Aufstellung von Druckern und Kopierern<br />
Um Störungen während des Erfassungsvorganges und Manipulationen am Scansystem zu verhindern,<br />
MUSS sichergestellt werden, dass Personen, die keinen Zugriff auf die Originale und Scanprodukte<br />
sowie das Scansystem haben dürfen, keinen unbeaufsichtigten Zugang zum Scansystem erhalten.<br />
Hierfür SOLLEN geeignete Zugangskontrollen und Besucherregelungen vorgesehen werden. Um<br />
einen hohen Schutz gegen Manipulationen des Scanners bzw. seiner Konfigurationen, der Dokumente<br />
beim Scannen, oder gegen das nachträgliche Auslesen von Scanprodukten vom internen Datenträger<br />
des Scanners zu erreichen, SOLL der Zugang zum Scanner generell (d.h. auch außerhalb des<br />
Scanvorganges) auf ein Minimum beschränkt werden.<br />
A.SC.3 – Änderung voreingestellter Passwörter<br />
Sofern die Administration des Scanners bzw. die Konfiguration der Kommunikationsschnittstellen bei<br />
netzwerkfähigen Scannern mit einem Passwort gesichert ist, MUSS ein solches Passwort nach der<br />
Installation des Scanners gesetzt bzw. geändert werden. Die Änderung von Passwörtern SOLL<br />
protokolliert werden (siehe auch A.SC.12, Seite 27). Basis für die Vergabe der Passwörter SOLLEN<br />
explizit formulierte interne Sicherheitsrichtlinien unter Berücksichtigung der Empfehlungen aus [<strong>BSI</strong>-<br />
GSK] (M 2.11) sein.<br />
A.SC.4 – Sorgfältige Durchführung von Konfigurationsänderungen<br />
Die Durchführung von Konfigurationsänderungen an einem IT-System im Echtbetrieb, wie z.B. einem<br />
Scanner und den entsprechenden Software-Komponenten, ist immer als kritisch einzustufen, weshalb<br />
hierbei entsprechend sorgfältig vorgegangen werden MUSS. Vor Änderung der Konfiguration SOLL<br />
die alte Konfiguration gesichert werden, so dass sie schnell verfügbar ist, wenn Probleme mit der<br />
neuen Konfiguration auftreten. Darüber hinaus SOLLEN alle durchgeführten Änderungen von einem<br />
Kollegen überprüft werden, bevor sie in den Echtbetrieb übernommen werden. Außerdem SOLLEN<br />
erfolgte Konfigurationsänderungen protokolliert werden (siehe auch A.SC.12, Seite 27).<br />
A.SC.5 – Geeignete Benutzung des Scanners<br />
Um eine zuverlässige und vollständige Erfassung der Papierdokumente zu gewährleisten, MUSS ein<br />
gemäß der Vorgaben des Herstellers gepflegter Scanner eingesetzt werden. Die Dokumente MÜSSEN<br />
Bundesamt für Sicherheit in der Informationstechnik 25
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
entsprechend der Vorgaben der Produkthandbücher und gemäß der physikalischen Struktur des<br />
Dokumentes dem Scanner übergeben werden. Dokumente, die nicht für den automatischen Einzug<br />
geeignet sind (z.B. ungeeignete Papiersorten, beschädigte Seiten, gebundene Dokumente), MÜSSEN<br />
manuell aufgelegt oder nach einem definierten Prozess umkopiert werden.<br />
A.SC.6 – Geeignete Scan-Einstellungen<br />
Die Scan-Einstellungen (z.B. ein- oder doppelseitiger Scan, Format, Auflösung, Kontrast, Helligkeit,<br />
Farbtiefe, automatische Dokumententrennung, Leerseitenerkennung, Blindfarbenfilter) MÜSSEN für<br />
die jeweiligen Dokumente geeignet gewählt werden. Hierbei SOLLEN geeignete Profile definiert, getestet,<br />
freigegeben und gemäß der zu verarbeitenden Dokumenttypen verwendet werden. Die Festlegung<br />
des zu nutzenden Profils KANN bereits während der Dokumentenvorbereitung erfolgen (siehe<br />
auch A.DV.1, Seite 23). Andernfalls SOLL spätestens beim Scannen geprüft werden, dass geeignete<br />
Scan-Einstellungen genutzt werden.<br />
A.SC.7 – Geeignete Erfassung von Metainformationen<br />
Damit eine spätere Zuordnung der Scanprodukte zu einem Geschäftsvorfall möglich ist, MÜSSEN<br />
Index- und Metadaten in geeigneter Weise erfasst werden. Bei hohem Scan-Durchsatz und wenn<br />
komplexe Kontexte (z.B. Kuvert-Zusammenhang) beachtet werden müssen, KÖNNEN entsprechende,<br />
automatisiert erfassbare Vorblätter zur Dokumententrennung und Spezifikation von weiteren Meta-<br />
Informationen, wie z.B. Seitenzahl, Scan-Einstellungen, Dokumentenkontext, Indexinformationen<br />
genutzt werden. In diesem Fall kann der Scanner diese Informationen dann automatisiert auswerten,<br />
die Einstellungen anpassen, Scanprodukte entsprechend zusammenfassen und die Meta-Daten zum<br />
Scanprodukt hinzufügen. Hierbei KÖNNEN auch Lösungen zum automatischen Auslesen von<br />
Indexinformationen genutzt werden. Allerdings SOLL in diesem Fall eine zuverlässige Konfiguration<br />
der Applikation bezüglich der Erkennung und Gültigkeit der ausgelesenen Werte und eine sorgfältige<br />
manuelle Qualitätssicherung und Nachbearbeitung erfolgen.<br />
A.SC.8 – Qualitätssicherung der Scanprodukte<br />
Um mangelhafte Scanvorgänge (z.B. fehlende Seiten, mangelnde Lesbarkeit, fehlender Dokumentenzusammenhang,<br />
beschädigte Dateien) zu erkennen, MUSS eine geeignete Qualitätskontrolle und bei<br />
Bedarf eine erneute Erfassung stattfinden. Die detaillierte Ausgestaltung des<br />
Qualitätssicherungsschrittes SOLL sich am Scan-Durchsatz sowie am Schutzbedarf der verarbeiteten<br />
Dokumente orientieren.<br />
Bei der Verarbeitung von Dokumenten mit einem Schutzbedarf von „normal“ und bei hohem<br />
Durchsatz KANN die Sichtkontrolle auf Stichproben reduziert werden, um systematische Fehler (z.B.<br />
ungeeignete Scan-Einstellungen, Fehlfunktionen des Scanners) zu erkennen. Die Größe der Stichprobe<br />
SOLL abhängig vom Schutzbedarf der gescannten Dokumente bestimmt werden. Zusätzlich<br />
KÖNNEN automatische Mechanismen zur Qualitätskontrolle eingesetzt werden, wie z.B. eine<br />
automatische Erkennung von Leerseiten, von unzureichender Bildqualität oder die Prüfung der<br />
Seitenzahl (z.B. gegen die auf Vorblättern angegebenen Meta-Daten). Da jedoch automatische<br />
Qualitätskontrollen grundsätzlich fehleranfällig sind (z.B. können Seiten mit ausschließlich<br />
handschriftlichen Vermerken, wie Paraphen, u.U. schlecht von Leerseiten unterschieden werden),<br />
SOLL eine manuelle Prüfung der automatisch identifizierten Probleme erfolgen.<br />
Die Vernichtung der Originaldokumente DARF NICHT vor Abschluss der Qualitätskontrolle<br />
erfolgen.<br />
A.SC.9 – Sichere Außerbetriebnahme von Scannern<br />
Bei der Außerbetriebnahme MÜSSEN alle sicherheitsrelevanten Informationen von den Geräten<br />
gelöscht werden. Dies gilt besonders dann, wenn die Komponenten ausgesondert und an Dritte<br />
weitergegeben werden. Insbesondere MÜSSEN Authentisierungsinformationen (z.B. Passwörter,<br />
private Schlüssel) sowie zwischenzeitlich gespeicherte Informationen im Scan-Cache gelöscht werden.<br />
Darüber hinaus SOLLEN spezifische Konfigurationsinformationen (z.B. IP-Adressen) gelöscht<br />
werden, die Rückschlüsse auf interne Netzwerkstrukturen liefern können. Sofern Dokumente gescannt<br />
26 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
werden, die einen Schutzbedarf hinsichtlich der Vertraulichkeit von „sehr hoch“ besitzen, MÜSSEN<br />
die zusätzlichen Maßnahmen aus dem „Aufbaumodul Vertraulichkeit“ (siehe Abschnitt 4.3.4)<br />
berücksichtigt werden.<br />
A.SC.10 – Sichere Zugriffsmechanismen bei Fernadministration<br />
Sofern bei netzwerkfähigen Scannern die Administration über das Netzwerk (z.B. über eine<br />
Webschnittstelle) erfolgen kann, MUSS diese Schnittstelle gegen unbefugten Zugriff geschützt<br />
werden. Hierzu MUSS der Zugriff auf die Administrationsschnittstelle durch ein geeignetes<br />
Authentisierungsverfahren (d.h. mindestens durch ein geeignet gewähltes Passwort) geschützt werden<br />
und der Zugriff MUSS durch eine geeignete Netzwerk-Konfiguration auf die notwendigen Systeme<br />
eingeschränkt werden.<br />
A.SC.11 – Informationsschutz und Zugriffsbeschränkung bei netzwerkfähigen Scannern<br />
Bei Scannern, die über ein Netzwerk angesprochen werden können, SOLLEN geeignete Maßnahmen<br />
zur Zugriffsbeschränkung und für den Schutz der über das Netzwerk übertragenen Informationen<br />
vorgesehen werden. Dies umfasst die Absicherung der Datenübertragung zwischen Scanner und Scan-<br />
Workstation oder Scan-Cache sowie die sichere Speicherung und Löschung von Daten auf einem<br />
internen Datenträger des Scanners. Sofern Netzlaufwerke für die Ablage von Zwischenergebnissen<br />
oder Scanprodukten genutzt werden, MUSS der Zugriff auf diese Netzlaufwerke auf das notwendige<br />
Minimum eingeschränkt werden. Bei der Nutzung von Multifunktionsgeräten, die eine Scan-to-Mail-<br />
oder Scan-to-Fax-Funktion unterstützten, MUSS durch eine geeignete Konfiguration der für die<br />
Übermittlung verwendeten Server der Versand an ungewünschte Empfängerkreise verhindert werden.<br />
Sofern Dokumente mit einem Schutzbedarf von „sehr hoch“ verarbeitet werden, SOLLEN geeignete<br />
kryptographische Mechanismen für die gesicherte Übertragung der Informationen und die<br />
Realisierung des Zugriffsschutzes eingesetzt werden.<br />
A.SC.12 – Protokollierung beim Scannen<br />
Für die Sicherstellung der Nachvollziehbarkeit des Scanprozesses SOLL eine geeignete 10 und in der<br />
Verfahrensanweisung näher geregelte Protokollierung erfolgen, die insbesondere die folgenden Punkte<br />
umfasst:<br />
• Die Änderung von kritischen Konfigurationsparametern sowie Authentisierungs- und<br />
Berechtigungsinformationen,<br />
• die Information wer das Scansystem wann und in welcher Weise genutzt hat,<br />
• die Information ob eine manuelle Nachbearbeitung des Scanproduktes stattgefunden hat und<br />
• fehlgeschlagene Authentisierungsvorgänge.<br />
Die Protokolldaten MÜSSEN vor unautorisiertem Zugriff geschützt werden und sie DÜRFEN NICHT<br />
zu Benutzer-spezifischen Auswertungen genutzt werden.<br />
4.2.7 Sicherheitsmaßnahmen bei der Nachbearbeitung<br />
10 Im übrigen gelten die einschlägigen Vorschriften des Datenschutzes.<br />
Bundesamt für Sicherheit in der Informationstechnik 27
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
ID Sicherheitsmaßnahmen bei der Nachbearbeitung siehe auch<br />
A.NB.1 Geeignete und nachvollziehbare Nachbearbeitung BM 4.1, Seite 72<br />
A.NB.2 Qualitätssicherung der nachbearbeiteten Scanprodukte BM 3.4, Seite 72<br />
A.NB.3 Durchführung der Vollständigkeitsprüfung BM 2.1, Seite 72,<br />
A.DV.2,<br />
Abschnitt 4.2.5<br />
A.NB.4 Transfervermerk [<strong>BSI</strong>-<strong>TR</strong>03138-R]<br />
zu weiteren<br />
unverbindlichen<br />
rechtlichen<br />
Erläuterungen<br />
Tabelle 7: Sicherheitsmaßnahmen bei der Nachbearbeitung<br />
A.NB.1 – Geeignete und nachvollziehbare Nachbearbeitung<br />
Die Nachbearbeitung des Scanproduktes (z. B. Veränderung des Kontrastes/Helligkeit, Farbreduktion,<br />
Beschneiden, Rauschunterdrückung) SOLL nur mit dem Ziel der Erhöhung der Lesbarkeit erfolgen.<br />
Sie MUSS entsprechend sorgfältig durchgeführt werden, damit keine potenziell relevanten<br />
Informationen zerstört werden. Außerdem MUSS, beispielsweise durch eine geeignete<br />
Protokollierung (siehe A.SC.12, Seite 27), ausgeschlossen werden, dass Inhalte unbemerkt verfälscht<br />
werden können. Welche Form der Nachbearbeitung in welchen Fällen zulässig ist, SOLL in der<br />
Verfahrensanweisung (siehe A.G.1, Seite 18) geregelt werden.<br />
A.NB.2 – Qualitätssicherung der nachbearbeiteten Scanprodukte<br />
Sofern eine Nachbearbeitung der Scanprodukte erfolgt, MUSS im Rahmen der durchgeführten<br />
Operationen in jedem Fall eine Qualitätssicherung erfolgen, so dass gewährleistet ist, dass durch die<br />
Nachbearbeitung keine relevanten Informationen verloren gegangen sind. Die ursprünglichen<br />
Scanprodukte DÜRFEN NICHT vor Abschluss der Qualitätskontrolle gelöscht werden.<br />
A.NB.3 – Durchführung der Vollständigkeitsprüfung<br />
In einem automatisierten Prozess MÜSSEN geeignete Maßnahmen für die Sicherstellung der Vollständigkeit<br />
getroffen werden. Hierfür KANN beispielsweise die Anzahl der durch den Scanner erfassten<br />
Seiten mit bei der Dokumentenvorbereitung (siehe A.DV.2, Seite 24) ermittelten Anzahl verglichen<br />
werden. Durch eine geeignete Doppeleinzugskontrolle am Scanner (siehe A.SC.1, Seite 24)<br />
KANN der gleichzeitige Einzug mehrerer Seiten mit großer Wahrscheinlichkeit verhindert oder zumindest<br />
erkannt werden.<br />
Sofern trotz der hier genannten Maßnahme die vollständige Erfassung in einem automatisierten<br />
Prozess nicht sichergestellt werden kann, MUSS die Erfassung manuell erfolgen.<br />
A.NB.4 – Transfervermerk<br />
Für jedes Scanprodukt SOLL ein zugehöriger Transfervermerk erstellt werden, der insbesondere<br />
folgende Aspekte dokumentiert:<br />
a. Ersteller des Scanproduktes,<br />
b. technisches und organisatorisches Umfeld des Erfassungsvorganges,<br />
c. Zeitpunkt der Erfassung und<br />
d. Ergebnis der Qualitätssicherung.<br />
Der Transfervermerk SOLL mit dem Scanprodukt logisch verknüpft oder in das Scanprodukt integriert<br />
werden. Die Integrität des Transfervermerks MUSS entsprechend dem Schutzbedarf der verarbeiteten<br />
Dokumente (vgl. A.IS.1, A.AM.IN.H.1 und A.AM.IN.SH.2) geschützt werden. Für die<br />
28 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Dokumentation des technischen und organisatorischen Umfelds KANN der Transfervermerk auf die<br />
zu diesem Zeitpunkt gültige Verfahrensanweisung verweisen.<br />
4.2.8 Sicherheitsmaßnahmen bei der Integritätssicherung<br />
ID Sicherheitsmaßnahmen bei der Integritätssicherung siehe auch<br />
A.IS.1 Nutzung geeigneter Dienste und Systeme für den Integritätsschutz BM 4.3, Seite 82<br />
Tabelle 8: Sicherheitsmaßnahmen bei der Integritätssicherung<br />
A.IS.1 – Nutzung geeigneter Dienste und Systeme für den Integritätsschutz<br />
Um eine unerkannte nachträgliche Manipulation der während des Scanprozesses entstehenden<br />
Datenobjekte (Scanprodukt, Transfervermerk, Index- und Metadaten, Protokolldaten etc.) zu<br />
verhindern, MÜSSEN geeignete Mechanismen für den Schutz der Integrität dieser Datenobjekte<br />
eingesetzt werden. Entscheidend für die Eignung eines Mechanismus zum Integritätsschutz ist die<br />
Widerstandsfähigkeit gegen gezielte Angriffe, die sich am Schutzbedarf der zu verarbeitenden<br />
Datenobjekte hinsichtlich der Integrität orientieren MUSS. Demnach KÖNNEN grundsätzlich<br />
beliebige Sicherungsdaten oder systembezogene Sicherheitsmaßnahmen eingesetzt werden, sofern der<br />
eingesetzte Mechanismus ausreichend 11 widerstandsfähig ist. Bei der Verarbeitung von Dokumenten<br />
mit Schutzbedarf „normal“ bezüglich der Integrität kann auf den Einsatz von Kryptographie verzichtet<br />
werden. Zum Schutz der Datenobjekte gegen zufällige Änderungen oder aufgrund von Systemfehlern<br />
SOLLEN diese jedoch mit einer Prüfsumme (CRC, ...) gesichert werden. Sofern Datenobjekte<br />
verarbeitet werden, die einen Schutzbedarf hinsichtlich der Integrität von „hoch“ oder „sehr hoch“<br />
aufweisen, MÜSSEN die zusätzlichen Maßnahmen aus dem „Aufbaumodul Integrität“ (siehe<br />
Abschnitt 4.3.2) berücksichtigt werden.<br />
11 Hinsichtlich der Entscheidung ob ein eingesetzter Sicherheitsmechanismus ausreichende Widerstandsfähigkeit besitzt<br />
kann bei Bedarf auf das im Rahmen der Common Criteria (vgl. [CC-P3-v3.1], Abschnitt 16 und Abschnitt B.4)<br />
formalisierte Angriffspotenzial eines Angreifers zurück gegriffen werden. Beispielsweise wird beim Schutzbedarf „sehr<br />
hoch“ dann ein angemessenes Maß an Sicherheit erreicht, wenn Angreifer mit einem Angriffspotenzial von „High“<br />
erfolgreich abgewehrt werden können.<br />
Bundesamt für Sicherheit in der Informationstechnik 29
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
4.3 Aufbaumodule<br />
Damit für den jeweiligen Anwendungsfall angemessene Maßnahmenbündel vorgesehen werden<br />
können, sind zusätzlich zum Basismodul spezifische Maßnahmen bei erhöhtem Schutzbedarf (vgl.<br />
Abbildung 2, Seite 17).<br />
Hierbei sind in Abschnitt 4.3.1 generelle Maßnahmen (A.AM.G.x) vorgesehen, die umgesetzt werden<br />
MÜSSEN, sofern der Schutzbedarf der verarbeiteten Dokumente bezüglich mindestens einem der<br />
betrachteten Grundwerte Integrität, Vertraulichkeit und Verfügbarkeit zumindest „hoch“ ist.<br />
Darüber hinaus MÜSSEN die spezifischen Maßnahmen in den Abschnitten 4.3.2 - 4.3.7 umgesetzt<br />
werden, wenn der Schutzbedarf bezüglich des entsprechenden Grundwertes (Integrität (gw=IN),<br />
Vertraulichkeit (gw=VT) oder Verfügbarkeit (gw=VF)) „hoch“ (A.AM.gw.H.x) oder „sehr hoch“ ist.<br />
4.3.1 Generelle Maßnahmen bei erhöhtem Schutzbedarf<br />
Die folgenden Maßnahmen MÜSSEN umgesetzt werden, sofern Dokumente verarbeitet werden, deren<br />
Schutzbedarf bezüglich mindestens einem der betrachteten Grundwerte Integrität, Vertraulichkeit oder<br />
Verfügbarkeit zumindest mit „hoch“ bewertet ist.<br />
ID Generelle Maßnahmen bei erhöhtem Schutzbedarf siehe auch<br />
A.AM.G.1 Beschränkung des Zugriffs auf sensible Papierdokumente BM 2.3, Seite 74<br />
A.AM.G.2 Pflicht zur Protokollierung beim Scannen A.SC.12, Seite 27<br />
A.AM.G.3 Pflicht zur regelmäßigen Auditierung<br />
Tabelle 9: Zusätzliche Maßnahmen bei erhöhtem Schutzbedarf<br />
A.AM.G.1 – Beschränkung des Zugriffs auf sensible Papierdokumente<br />
Bei der Verarbeitung von Dokumenten mit einem Schutzbedarf von zumindest „hoch“ bzgl. der<br />
Integrität, Vertraulichkeit oder Verfügbarkeit DÜRFEN während der Vorbereitung und während des<br />
Scanvorgangs KEINE unbefugten Personen Zugriff auf die Papierdokumente erhalten. Deshalb<br />
MÜSSEN in diesem Fall geeignete Maßnahmen für die Beschränkung des Zugriffs auf die sensiblen<br />
Papierdokumente getroffen werden. Dies umfasst:<br />
a. eine geeignete Zugangsbeschränkung zu den Räumlichkeiten, in denen die Dokumente verarbeitet<br />
werden,<br />
b. eine Aufbewahrung, die Schutz vor unbefugtem Zugriff, Einsichtnahme oder Beschädigung<br />
bietet, sowie<br />
c. die Verpflichtung der Mitarbeiter zur sorgfältigen Handhabung der Dokumente (z.B. kein<br />
unbeaufsichtigtes Liegenlassen, keine Weitergabe ohne Prüfung der Autorisierung).<br />
Sofern nicht bereits generelle Regelungen für den Zugriff auf sensible Papierdokumente existieren,<br />
MÜSSEN im Rahmen des ersetzenden Scannens entsprechende Reglungen geschaffen werden.<br />
A.AM.G.2 – Pflicht zur Protokollierung beim Scannen<br />
Bei der Verarbeitung von Dokumenten mit einem Schutzbedarf von zumindest „hoch“ bzgl. der<br />
Integrität, Vertraulichkeit oder Verfügbarkeit MUSS die in A.SC.12 (siehe Abschnitt 4.2.6)<br />
empfohlene Protokollierung erfolgen.<br />
A.AM.G.3 – Pflicht zur regelmäßigen Auditierung<br />
30 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Bei der Verarbeitung von Dokumenten mit einem Schutzbedarf von zumindest „hoch“ bzgl. der<br />
Integrität, Vertraulichkeit oder Verfügbarkeit MUSS die in A.O.4 (siehe Abschnitt 4.2.2) empfohlene<br />
Überprüfung der Wirksamkeit und Vollständigkeit der für die Informationssicherheit beim ersetzenden<br />
Scannen vorgesehenen Maßnahmen mindestens alle drei Jahre (vgl. [<strong>BSI</strong>-IS-Rev]). erfolgen.<br />
4.3.2 Zusätzliche Maßnahmen bei hohen Integritätsanforderungen<br />
Die in diesem Abschnitt vorgesehenen Maßnahmen MÜSSEN bei der Verarbeitung von Dokumenten<br />
mit einem Schutzbedarf von zumindest „hoch“ bezüglich der Integrität berücksichtigt werden.<br />
ID Zusätzliche Maßnahmen bei hohen<br />
Integritätsanforderungen<br />
siehe auch<br />
A.AM.IN.H.1 Einsatz kryptographischer Mechanismen zum Integritätsschutz BM 4.2, Seite 81<br />
A.AM.IN.H.2 Geeignetes Schlüsselmanagement M 2.46, Seite 75<br />
A.AM.IN.H.3 Auswahl eines geeigneten kryptographischen Verfahrens M 2.164, Seite 76<br />
A.AM.IN.H.4 Auswahl eines geeigneten kryptographischen Produktes M 2.165, Seite 83<br />
A.AM.IN.H.5 Beweiswerterhalt bei Einsatz kryptographischer Verfahren M 6.56, Seite 83<br />
A.AM.IN.H.6 Verhinderung ungesicherter Netzzugänge M 2.204, Seite 76,<br />
M 5.146, Seite 77,<br />
[<strong>BSI</strong>-B 3.301]<br />
Tabelle 10: Zusätzliche Maßnahmen bei hohen Integritätsanforderungen<br />
A.AM.IN.H.1 – Einsatz kryptographischer Mechanismen zum Integritätsschutz<br />
Bei der Verarbeitung von Datenobjekten mit einem Schutzbedarf von zumindest „hoch“ bezüglich der<br />
Integrität SOLLEN geeignete kryptographische Mechanismen (z.B. digitale Signaturen) zum Einsatz<br />
kommen. Andernfalls MUSS ein schriftlicher Nachweis erbracht werden, dass der für den Integritätsschutz<br />
eingesetzte Mechanismus im Sinne der obigen Festlegung ausreichend 11 widerstandsfähig ist.<br />
Mit einer fortgeschrittenen elektronischen Signatur gemäß § 2 Nr. 2 SigG kann neben der Integrität<br />
auch die Authentizität der entsprechenden Datenobjekte (z.B. Scanprodukt, Transfervermerk) sicher<br />
gestellt werden. Um auch die Verkehrsfähigkeit der Datenobjekte und Sicherungsdaten sicher zu<br />
stellen, wird die Verwendung von standardisierten Formaten (z.B. [CAdES], [PAdES] und Fehler:<br />
Referenz nicht gefunden) EMPFOHLEN.<br />
Eine besondere Form der fortgeschrittenen elektronischen Signatur ist die qualifizierte elektronische<br />
Signatur gemäß § 2 Nr. 3 SigG, die zusätzlich auf einem qualifizierten Zertifikat beruht und mit einer<br />
sicheren Signaturerstellungseinheit erzeugt wurde.<br />
Für den Integritätsschutz des dokumentierten Zeitpunktes des Scan-Vorganges (als Meta-Datum)<br />
können Zeitstempel gemäß [ISO18014-1] bzw. Fehler: Referenz nicht gefunden verwendet werden. Zu<br />
beachten ist jedoch, dass ein solcher Zeitstempel nur belegt, dass das mit dem Zeitstempel versehene<br />
Dokument (z.B. Scanprodukt, Transfervermerk) zu diesem Zeitpunkt vorgelegen hat, d.h. dass das<br />
Dokument nicht neuer als der im Zeitstempel angegebene Zeitpunkt ist. Um auch nachweisen zu<br />
können, dass das Dokument nicht älter als ein in einem Zeitstempel angegebener Zeitpunkt ist, kann<br />
der Zeitstempel zuerst mit einer fortgeschrittenen elektronischen Signatur versehen, und dann für diese<br />
elektronische Signatur ein weiterer Zeitstempel erstellt werden (siehe [HüKo06], Abschnitt 4.7). Die<br />
mit einem Zeitstempel verbundene Beweiskraft hinsichtlich des Signaturzeitpunktes hängt nicht<br />
zuletzt von den beim Aussteller des Zeitstempels implementierten Sicherheitsmaßnahmen ab. 12<br />
12 Eine besonders hohe Beweiskraft besitzen qualifizierte Zeitstempel gemäß § 2 Nr. 14 SigG, die mit<br />
einer qualifizierten elektronischen Signatur versehen sind, da diese ebenfalls in den Genuss des<br />
Anscheinsbeweises nach § 371a ZPO kommen.<br />
Bundesamt für Sicherheit in der Informationstechnik 31
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
A.AM.IN.H.2 – Geeignetes Schlüsselmanagement<br />
Sofern Schlüssel-basierte kryptographische Mechanismen eingesetzt werden, MÜSSEN geeignete<br />
Verfahren für das Schlüsselmanagement vorgesehen werden.<br />
Dabei MUSS insbesondere über den vorgesehenen Aufbewahrungszeitraum der Scanprodukte hin<br />
sichergestellt werden,<br />
• dass die Vertraulichkeit, Integrität und Authentizität der Schlüssel gewahrt bleibt,<br />
• dass private oder geheime Schlüssel nicht unbefugt verwendet werden können,<br />
• dass die zur Prüfung der Integritätssicherung erforderlichen Schlüssel und Zertifikate<br />
verfügbar bleiben.<br />
Hierbei SOLLEN die einschlägigen Empfehlungen aus [<strong>BSI</strong>-M 2.46], [NIST-800-57-1], [NIST-800-<br />
57-2] und [NIST-800-133] bei der Verwaltung des Schlüsselmaterials berücksichtigt oder vertrauenswürdige<br />
Dienstleister (z.B. akkreditierte Zertifizierungsdiensteanbieter) für das Schlüsselmanagement<br />
genutzt werden.<br />
A.AM.IN.H.3 – Auswahl eines geeigneten kryptographischen Verfahrens<br />
Sofern kryptographische Verfahren eingesetzt werden, MÜSSEN geeignete kryptographische<br />
Verfahren verwendet werden. Hierbei SOLLEN Verfahren gemäß [<strong>BSI</strong>-<strong>TR</strong>02102] oder [<strong>BSI</strong>-<br />
<strong>TR</strong>03116] eingesetzt werden. Andernfalls MUSS ein schriftlicher Nachweis erbracht werden, dass der<br />
eingesetzte Mechanismus im Sinne der obigen Festlegung ausreichend 11 widerstandsfähig ist.<br />
A.AM.IN.H.4 – Auswahl eines geeigneten kryptographischen Produktes<br />
Zur Integritätssicherung MÜSSEN geeignete Produkte hinsichtlich Funktionalität und Vertrauenswürdigkeit<br />
eingesetzt werden. Bei der Funktionalität ist vor allem auf eine ausreichende 11 Stärke und<br />
Widerstandsfähigkeit der eingesetzten Sicherheitsmechanismen zu achten. Hinsichtlich der Vertrauenswürdigkeit<br />
sind der Einsatz veröffentlichter und gemeinschaftlich analysierter Algorithmen<br />
(siehe A.AM.IN.H.3, oben) und Quellen sowie durchgeführte Prüfungen nach einem anerkannten<br />
Sicherheitsstandard wie FIPS-140, Common Criteria oder ITSEC positiv zu bewerten und sollten<br />
daher primär herangezogen werden.<br />
Für die Erstellung von qualifizierten elektronischen Signaturen MÜSSEN sichere<br />
Signaturerstellungseinheiten gemäß § 2 Nr. 10 SigG eingesetzt werden. Darüber hinaus SOLLEN<br />
geeignete Signaturanwendungskomponenten gemäß § 2 Nr. 11 SigG eingesetzt werden, die eine<br />
Herstellererklärung oder Bestätigung nach dem Signaturgesetz besitzen. Die Bundesnetzagentur hält<br />
Listen mit Bestätigungen und Herstellererklärungen für Produkte für qualifizierte elektronische<br />
Signaturen vor. Da sich die Sicherheitseignung der kryptographischen Algorithmen ändern kann,<br />
SOLL auf eine leichte Austauschbarkeit der entsprechenden Komponenten geachtet werden.<br />
Um eine sichere Nutzung der kryptographischen Produkte zu gewährleisten MÜSSEN die notwendigen<br />
Einsatzbedingungen und sonstigen Empfehlungen des Herstellers berücksichtigt werden.<br />
A.AM.IN.H.5 – Beweiswerterhalt bei Einsatz kryptographischer Verfahren<br />
Sofern kryptographische Verfahren eingesetzt werden, SOLL die Eignung der eingesetzten<br />
Algorithmen und Parameter regelmäßig evaluiert werden. Für digitale Signaturen ist die Eignung der<br />
Verfahren im Algorithmenkatalog [BNetzA-AlgKat] festgelegt. Dieser wird einmal jährlich durch die<br />
Bundesnetzagentur veröffentlicht. Sofern der Beweiswert von qualifiziert signierten Daten über<br />
längere Zeiträume erhalten bleiben soll, MUSS rechtzeitig vor Ablauf der Eignung der kryptographischen<br />
Verfahren eine Über-?Nachsignatur erfolgen. Für den Erhalt der Beweiskraft kryptographisch<br />
signierter Daten wird der Einsatz der in [<strong>BSI</strong>-<strong>TR</strong>03125] spezifizierten Verfahren und<br />
Formate EMPFOHLEN.<br />
A.AM.IN.H.6 – Verhinderung ungesicherter Netzzugänge<br />
32 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Sofern die für das Scannen eingesetzten IT-Systeme über ein Netzwerk verbunden sind, MUSS ein<br />
ungesicherter Zugang zu diesem Netzwerksegment verhindert werden. Ein Zugriff aus dem Internet<br />
auf dieses Netzsegment DARF NUR entkoppelt (z.B. über einen Proxy oder ein Gateway) und nur bei<br />
Initiierung der Verbindungen von innen möglich sein.<br />
4.3.3 Zusätzliche Maßnahmen bei sehr hohen Integritätsanforderungen<br />
Die in diesem Abschnitt vorgesehenen Maßnahmen MÜSSEN bei der Verarbeitung von Dokumenten<br />
mit einem Schutzbedarf von „sehr hoch“ bezüglich der Integrität berücksichtigt werden.<br />
ID Zusätzliche Maßnahmen bei sehr hohen<br />
Integritätsanforderungen<br />
siehe auch<br />
A.AM.IN.SH.1 4-Augen-Prinzip A.O.1 (insbesondere<br />
Punkt c), Seite 19<br />
A.AM.IN.SH.2 Einsatz qualifizierter elektronischer Signaturen und<br />
Zeitstempel<br />
BM 4.2, Seite 81,<br />
[<strong>BSI</strong>-<strong>TR</strong>03138-R]<br />
A.AM.IN.SH.3 Eigenständiges Netzsegment M 2.204, Seite 76,<br />
M 5.146, Seite 77,<br />
[<strong>BSI</strong>-B 3.301]<br />
A.AM.IN.SH.4 Kennzeichnung der Dokumente bzgl. Sensitivität BM 2.2, Seite 73<br />
Tabelle 11: Zusätzliche Maßnahmen bei sehr hohen Integritätsanforderungen<br />
A.AM.IN.SH.1 – 4-Augen-Prinzip<br />
Bei Schutzbedarf „sehr hoch“ hinsichtlich der Integrität, Nachvollziehbarkeit und Vollständigkeit<br />
MUSS im Rahmen der Aufgabenteilung (siehe A.O.1, ) ein 4-Augen-Prinzip umgesetzt werden.<br />
A.AM.IN.SH.2 – Einsatz qualifizierter elektronischer Signaturen und Zeitstempel<br />
Sofern Datenobjekte<br />
a. mit einem Schutzbedarf von „sehr hoch“ bezüglich der Integrität verarbeitet werden,<br />
b. die Verkehrsfähigkeit gefordert ist und<br />
c. die im Rahmen des Scanprozesses entstandenen Datenobjekten (Scanprodukt, Transfervermerk,<br />
Index- und Metadaten, Protokolldaten) voraussichtlich als Beweismittel genutzt werden,<br />
SOLLEN für die Integritätssicherung des Scanproduktes bzw. des Transfervermerkes qualifizierte<br />
elektronische Signaturen und für die Integritätssicherung des dokumentierten Zeitpunktes des Scanvorganges<br />
qualifizierte Zeitstempel eingesetzt werden (vgl. A.AM.IN.H.1).<br />
A.AM.IN.SH.3 – Eigenständiges Netzsegment<br />
Bei einem Schutzbedarf der Datenobjekte bzgl. Vertraulichkeit oder Integrität von „sehr hoch“<br />
MÜSSEN die für das Scannen eingesetzten IT-Systeme in einem eigenständigen Netzsegment eingebunden<br />
sein. Der Zugriff auf dieses Netzsegment aus anderen Netzsegmenten DARF NUR entkoppelt<br />
und nur bei Initiierung der Verbindungen von innen möglich sein.<br />
A.AM.IN.SH.4 – Kennzeichnung der Dokumente bzgl. Sensitivität<br />
Dokumente, die einen Schutzbedarf von „sehr hoch“ bzgl. der Integrität besitzen, SOLLEN als solche<br />
gekennzeichnet werden. Die Kennzeichnung SOLL deutlich sichtbar angebracht werden, damit die<br />
verarbeitenden Personen auf die Sensibilität des Dokumentes achten und dieses angemessen handhaben.<br />
Bundesamt für Sicherheit in der Informationstechnik 33
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
4.3.4 Zusätzliche Maßnahmen bei hohen Vertraulichkeitsanforderungen<br />
Die in diesem Abschnitt vorgesehenen Maßnahmen MÜSSEN bei der Verarbeitung von Dokumenten<br />
mit einem Schutzbedarf von zumindest „hoch“ bezüglich der Vertraulichkeit berücksichtigt werden.<br />
ID Zusätzliche Maßnahmen bei hohen<br />
Vertraulichkeitsanforderungen<br />
siehe auch<br />
A.AM.VT.H.1 Sensibilisierung und Verpflichtung der Mitarbeiter A.P.1, Seite 21<br />
A.P.2, Seite 21<br />
A.AM.VT.H.2 Verhinderung ungesicherter Netzzugänge A.AM.IN.H.6,<br />
Abschnitt 4.3.2<br />
A.AM.VT.H.3 Löschen von Zwischenergebnissen [<strong>BSI</strong>-B 1.15]<br />
Tabelle 12: Zusätzliche Maßnahmen bei hohen Vertraulichkeitsanforderungen<br />
A.AM.VT.H.1 – Sensibilisierung und Verpflichtung der Mitarbeiter<br />
Bei der Verarbeitung von Dokumenten mit einem Schutzbedarf bezüglich der Vertraulichkeit von<br />
zumindest „hoch“ MÜSSEN die Mitarbeiter bzgl. der Sicherheitsmaßnahmen und der sicherheitsbewussten<br />
Handhabung von Dokumenten, Daten und IT-Systemen und der zu ergreifenden Vorsichtsmaßnahmen<br />
sensibilisiert und geschult werden. Darüber hinaus MÜSSEN die Mitarbeiter durch<br />
eine explizite Verfahrensanweisung auf die Einhaltung der einschlägigen Gesetze, Vorschriften und<br />
Regelungen verpflichtet werden.<br />
A.AM.VT.H.2 – Verhinderung ungesicherter Netzzugänge<br />
Siehe A.AM.IN.H.6, Abschnitt 4.3.2.<br />
A.AM.VT.H.3 – Löschen von Zwischenergebnissen<br />
Bei der Verarbeitung von Dokumenten mit einem Schutzbedarf bezüglich der Vertraulichkeit von<br />
zumindest „hoch“ MÜSSEN die in der Verarbeitung entstehenden Zwischenergebnisse (z.B. rohe<br />
Scanprodukte, Daten im Scan-Cache, Auslagerungsdateien) zuverlässig gelöscht werden.<br />
4.3.5 Zusätzliche Maßnahmen bei sehr hohen Vertraulichkeitsanforderungen<br />
Die in diesem Abschnitt vorgesehenen Maßnahmen MÜSSEN bei der Verarbeitung von Dokumenten<br />
mit einem Schutzbedarf von „sehr hoch“ bezüglich der Vertraulichkeit berücksichtigt werden.<br />
ID Zusätzliche Maßnahmen bei sehr hohen<br />
Vertraulichkeitsanforderungen<br />
siehe auch<br />
A.AM.VT.SH.1 Kennzeichnung der Dokumente bzgl. Sensitivität BM 2.2, Seite 73<br />
A.AM.VT.SH.2 Ordnungsgemäße Entsorgung von schützenswerten<br />
Betriebsmitteln<br />
M 2.13, Seite 82<br />
A.AM.VT.SH.3 Sicherheitsüberprüfung von Mitarbeitern M 3.33, Seite 72<br />
A.AM.VT.SH.4 Verschlüsselte Datenübertragung innerhalb des Scansystems BM 4.2, Seite 81<br />
Tabelle 13: Zusätzliche Maßnahmen bei sehr hohen Vertraulichkeitsanforderungen<br />
A.AM.VT.SH.1 – Kennzeichnung der Dokumente bzgl. Sensitivität<br />
Dokumente, die einen Schutzbedarf von „sehr hoch“ bzgl. der Vertraulichkeit besitzen, SOLLEN als<br />
solche gekennzeichnet werden. Die Kennzeichnung SOLL deutlich sichtbar angebracht werden, damit<br />
34 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
die verarbeitenden Personen auf die Sensibilität des Dokumentes achten und dieses angemessen<br />
handhaben.<br />
A.AM.VT.SH.2 – Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln<br />
Sofern der Scanner einen internen Datenträger besitzt und Dokumente gescannt werden, die einen<br />
Schutzbedarf bzgl. der Vertraulichkeit von „sehr hoch“ besitzen, MUSS dieser Datenträger vor der<br />
Entsorgung des Scanners zuverlässig gelöscht werden. Sofern dies möglich ist, SOLL der Datenträger<br />
hierfür aus dem Scanner ausgebaut und mit einem geeigneten Verfahren zuverlässig gelöscht oder<br />
notfalls zerstört werden. Darüber hinaus MÜSSEN kryptographische Schlüssel, die im zu entsorgenden<br />
Scanner in Software vorgehalten werden, zuverlässig gelöscht oder anderweitig (z.B. durch<br />
entsprechende Maßnahmen in der zur Schlüsselverwaltung vorgesehenen Infrastruktur) deaktiviert<br />
werden.<br />
A.AM.VT.SH.3 – Sicherheitsüberprüfung von Mitarbeitern<br />
Sofern Dokumente gescannt werden, deren Schutzbedarf hinsichtlich der Vertraulichkeit „sehr hoch“<br />
ist, SOLLEN die Mitarbeiter, die für den Scanprozess verantwortlich sind und den Prozess<br />
durchführen, in geeigneter Weise hinsichtlich ihrer Zuverlässigkeit und Vertrauenswürdigkeit<br />
überprüft werden.<br />
A.AM.VT.SH.4 – Verschlüsselte Datenübertragung innerhalb des Scansystems<br />
Bei der Verarbeitung von Datenobjekten mit einem Schutzbedarf von „sehr hoch“ bezüglich der Vertraulichkeit<br />
SOLL die Datenübertragung zwischen Scanner, Scan-Workstation, Scan-Cache und<br />
anderen damit zusammenhängenden Systemen durch geeignete Verschlüsselungsverfahren gemäß<br />
[<strong>BSI</strong>-<strong>TR</strong>02102] oder [<strong>BSI</strong>-<strong>TR</strong>03116] erfolgen. Andernfalls MUSS ein schriftlicher Nachweis erbracht<br />
werden, dass diese Kommunikationsverbindungen durch alternative Maßnahmen ausreichend geschützt<br />
sind.<br />
4.3.6 Zusätzliche Maßnahmen bei hohen Verfügbarkeitsanforderungen<br />
Die in diesem Abschnitt vorgesehenen Maßnahmen MÜSSEN bei der Verarbeitung von Dokumenten<br />
mit einem Schutzbedarf von zumindest „hoch“ bezüglich der Verfügbarkeit berücksichtigt werden.<br />
ID Zusätzliche Maßnahmen bei hohen<br />
Verfügbarkeitsanforderungen<br />
siehe auch<br />
A.AM.VF.H.1 Erweiterte Qualitätssicherung der Scanprodukte A.SC.8, Seite 26<br />
A.AM.VF.H.2 Fehlertolerante Protokolle und redundante Datenhaltung<br />
Tabelle 14: Zusätzliche Maßnahmen bei hohen Verfügbarkeitsanforderungen<br />
A.AM.VF.H.1 – Erweiterte Qualitätssicherung der Scanprodukte<br />
Bei einem Schutzbedarf der Datenobjekte von „hoch“ bezüglich der Verfügbarkeit SOLL die<br />
Qualitätskontrolle der Scan-Produkte (siehe A.SC.8, Seite 26) durch eine vollständige Sichtkontrolle<br />
erfolgen. Falls keine vollständige Sichtkontrolle realisiert wird, MUSS eine manuelle Prüfung der im<br />
Rahmen einer automatisierten Qualitätskontrolle identifizierten Probleme erfolgen.<br />
A.AM.VF.H.2 – Fehlertolerante Protokolle und redundante Datenhaltung<br />
Bei Schutzbedarf „hoch“ bezüglich der Verfügbarkeit wird die Verwendung eines fehlertoleranten<br />
Übertragungsprotokolls sowie eine redundante Datenhaltung EMPFOHLEN.<br />
Bundesamt für Sicherheit in der Informationstechnik 35
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
4.3.7 Zusätzliche Maßnahmen bei sehr hohen Verfügbarkeitsanforderungen<br />
Die in diesem Abschnitt vorgesehenen Maßnahmen MÜSSEN bei der Verarbeitung von Dokumenten<br />
mit einem Schutzbedarf von „sehr hoch“ bezüglich der Verfügbarkeit berücksichtigt werden.<br />
ID Zusätzliche Maßnahmen bei sehr hohen<br />
Verfügbarkeitsanforderungen<br />
siehe auch<br />
A.AM.VF.SH.1 Erweiterte Qualitätssicherung der Scanprodukte A.SC.8, Seite 26<br />
A.AM.VF.SH.2 Test der Geräte und Einstellungen mit ähnlichen Dokumenten<br />
Tabelle 15: Zusätzliche Maßnahmen bei sehr hohen Verfügbarkeitsanforderungen<br />
A.AM.VF.SH.1 – Vollständige Sichtkontrolle zur Qualitätssicherung der Scanprodukte<br />
Bei einem Schutzbedarf der Datenobjekte von „sehr hoch“ bezüglich der Verfügbarkeit MUSS die<br />
Qualitätskontrolle der Scan-Produkte durch eine vollständige Sichtkontrolle erfolgen.<br />
A.AM.VF.SH.2 – Test der Geräte und Einstellungen mit ähnlichen Dokumenten<br />
Bei Datenobjekten mit einem Schutzbedarf „sehr hoch“ bezüglich der Verfügbarkeit MUSS die<br />
Eignung der verwendeten Geräte, Verfahren und Einstellungen vorher mit physikalisch ähnlichen<br />
Dokumenten, die selbst keinen hohen Schutzbedarf bzgl. Verfügbarkeit haben, getestet und das Prüfergebnis<br />
dokumentiert werden.<br />
36 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Abkürzungsverzeichnis<br />
Ax Anwendung<br />
A.x.y Anforderung<br />
B x.y Baustein aus dem Grundschutzhandbuch des <strong>BSI</strong><br />
BBG Bundesbeamtengesetz<br />
BDSG Bundesdatenschutzgesetz<br />
BGB Bürgerliches Gesetzbuch<br />
BGBl Bundesgesetzblatt<br />
BGH Bundesgerichtshof<br />
BM x.y Benutzerdefinierte Sicherheitsmaßnahme<br />
BMV-Ä Bundesmantelverträge Teil 1 (Ärzte)<br />
BNetzA Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post u. Eisenbahnen<br />
<strong>BSI</strong> Bundesamt für Sicherheit in der Informationstechnik<br />
CC Common Criteria for Information Technology Security Evaluation<br />
Dx Datenobjekt<br />
DMS Dokumentenmanagement-System<br />
DOMEA<br />
Organisationskonzept der Koordinierungs- und Beratungsstelle für Informationstechnik in<br />
der Bundesverwaltung (KBSt) zur Aktenführung im elektronischen Geschäftsgang<br />
ECM Enterprise Content Management<br />
EKV Bundesmantelverträge Teil 2 (Ärzte/Ersatzkassen)<br />
ETSI European Telecommunications Standards Institute<br />
GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen<br />
GoB Grundsätze ordnungsgemäßer Buchführung<br />
GoBS Grundsätze ordnungsgemäßer DV gestützter Buchführungssysteme<br />
HSM Hardware Security Module<br />
IT Informationstechnologie<br />
ITSEC Information Technology Security Evaluation Criteria<br />
Kx Kommunikationsbeziehung<br />
M x.y Sicherheitsmaßnahme aus dem Grundschutzhandbuch des <strong>BSI</strong><br />
MBO-Ä Musterberufsordnung für Ärzte<br />
ODF Open Document Format<br />
PDF Portable Document Format<br />
PK-DML Prüfkriterien für Dokumentenmanagement-Lösungen<br />
PKI Public-Key Infrastruktur<br />
PP Protection Profile<br />
RFC Request for Comments<br />
Sx IT-System<br />
SigG Gesetz über Rahmenbedingungen für elektronische Signaturen<br />
SigV Verordnung zur elektronischen Signatur<br />
TLS Transport Layer Security<br />
<strong>TR</strong> Technische Richtlinie<br />
TSP Time Stamp Protocol<br />
USB Universal Serial Bus<br />
VBS Vorgangsbearbeitungssystem<br />
Bundesamt für Sicherheit in der Informationstechnik 37
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
VSA Verschlusssachen-Anweisung<br />
XML eXtensible Markup Language<br />
ZDA Zertifizierungsdiensteanbieter<br />
ZPO Zivilprozessordnung<br />
38 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Glossar<br />
Authentifizierung Bei der „Authentifizierung“ wird eine „Behauptung“ über eine<br />
elektronische Identität geprüft. Hierbei besteht eine<br />
„Behauptung“ aus mindestens einem Identitätsattribut (z.B.<br />
dem Namen des Kommunikationspartners).<br />
Authentisierung Bei der „Authentisierung“ wird eine „Behauptung“ über eine<br />
elektronische Identität aufgestellt.<br />
Authentizität Unter der „Authentizität“ von Daten versteht man, dass die<br />
Quelle der Daten eindeutig bestimmbar ist.<br />
Bildliche Übereinstimmung Von einer „bildlichen Übereinstimmung“ zwischen einem<br />
Scanprodukt und einem Original spricht man, wenn das<br />
Scanprodukt ein im Rahmen der gewählten Auflösung<br />
identisches Abbild des Originals ist.<br />
Ergänzendes Scannen Wird nach dem „Scannen“ das papiergebundene Original<br />
weiterhin aufbewahrt, so spricht man vom „ergänzenden<br />
Scannen“.<br />
Ersetzendes Scannen Wird nach dem „Scannen“ das papiergebundene Original<br />
vernichtet, so spricht man vom „ersetzenden Scannen“.<br />
informativ Ein „informativer“ Teil eines Dokumentes enthält keine<br />
verbindlichen Vorgaben und Anforderungen und dient lediglich<br />
der Information des Lesers.<br />
Inhaltliche Übereinstimmung Von einer „inhaltlichen Übereinstimmung“ zwischen einem<br />
Scanprodukt und einem Original spricht man, wenn das<br />
Scanprodukt und das Original in den wesentlichen Inhaltsdaten<br />
übereinstimmen, nicht aber unbedingt in der visuellen<br />
Darstellung.<br />
Integrität „Integrität“ bedeutet, dass die Daten oder Systeme nicht verändert<br />
wurden. Bei einem wirksamen Integritätsschutz werden<br />
zudem zumindest Veränderungen erkannt.<br />
IT-System Der Begriff „IT-System“ beschreibt ein aus Hardware und<br />
Software bestehendes System zur Informationsverarbeitung.<br />
Lesbarkeit Lesbarkeit bedeutet, dass die in den Daten enthaltenen<br />
Informationen erkannt werden können. 13<br />
Löschbarkeit Unter Löschen von Daten ist das Unkenntlichmachen der<br />
gespeicherten Daten zu verstehen (§ 3 Abs. 4 Nr. 5 BDSG).<br />
Dies ist gegeben, wenn die Daten unwiderruflich so behandelt<br />
worden sind, dass eigene Informationen nicht aus gespeicherten<br />
Daten gewonnen werden können, wenn also der Rückgriff auf<br />
diese Daten nicht mehr möglich ist [ScWi10, § 3 Rn. 75],<br />
[Damann in Simi06, § 3 Rn. 180].<br />
Nachvollziehbarkeit Unter der „Nachvollziehbarkeit“ eines Vorgangs versteht man,<br />
dass alle wesentlichen Schritte des Vorgangs von einer<br />
13 Ein elektronisches Dokument ist nur dann lesbar, wenn die notwendige Hard- und Software die Daten verarbeiten, ihre<br />
Informationen interpretieren und dem menschlichen Betrachter in lesbarer Weise präsentieren kann.<br />
Bundesamt für Sicherheit in der Informationstechnik 39
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
unabhängigen Stelle nachgezeichnet werden können.<br />
normativ Ein „normativer“ Teil eines Dokumentes enthält verbindliche<br />
Vorgaben und Empfehlungen, deren Umsetzung auch Gegenstand<br />
eines im Prüfungs- und Zertifizierungsverfahrens ist.<br />
Scannen „Scannen“ bezeichnet das elektronische Erfassen von Papierdokumenten<br />
mit dem Ziel der elektronischen Weiterverarbeitung<br />
und Aufbewahrung des hierbei entstehenden<br />
elektronischen Abbildes (Scanprodukt).<br />
Sicherungsdaten „Sicherungsdaten“ sind Datenobjekte, die dem Schutz der<br />
Integrität und ggf. Authentizität anderer Datenobjekte dienen.<br />
Dies umfasst insbesondere elektronische Signaturen, Zeitstempel,<br />
Zertifikate, Sperrinformationen und Evidence Records<br />
(vgl. „Credential“ in [<strong>BSI</strong>-<strong>TR</strong>03125]).<br />
Sicherungsmittel Unter dem Begriff „Sicherungsmittel“ werden in dieser<br />
Technischen Richtlinie Sicherungsdaten oder<br />
Sicherungssysteme verstanden.<br />
Sicherungssysteme „Sicherungssysteme“ sind IT-Systeme und/oder Anwendungen,<br />
die dem Schutz der Integrität und ggf. Authentizität anderer<br />
Datenobjekte dienen.<br />
Verfügbarkeit Die „Verfügbarkeit“ von Daten, Diensten, IT-Systemen, IT-<br />
Anwendungen oder IT-Netzen ist vorhanden, wenn diese den<br />
Benutzern innerhalb akzeptabler Wartezeiten in der benötigten<br />
Form zur Verfügung stehen.<br />
Vertraulichkeit „Vertraulichkeit“ ist die Verhinderung einer unbefugten<br />
Kenntnisnahme.<br />
Verkehrsfähigkeit „Verkehrsfähigkeit“ bezeichnet die Möglichkeit, Dokumente<br />
und Akten von einem System zu einem anderen übertragen zu<br />
können, bei der die „Qualität“ des Dokuments sowie seine<br />
Integrität und Authentizität nachweisbar bleiben. 14<br />
Vollständigkeit „Vollständigkeit“ bedeutet, dass der gegenseitige Bezug<br />
mehrerer aufgrund eines inneren Zusammenhangs<br />
zusammengehörigen Datenobjekte sichergestellt ist.<br />
14 Es sei angemerkt, dass die Verkehrsfähigkeit von kryptographisch gesicherten Daten nur bei Verwendung von allgemein<br />
anerkannten (z.B. internationalen) Standards und interoperablen Systemen gewährleistet werden kann.<br />
40 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Referenzen<br />
[ADV-BVA10] ADV-Arbeitsgemeinschaft der Prüfdienste des Bundes und der Länder /<br />
Bundesversicherungsamt: Langzeitspeicherung elektronischer Daten, Version 3.5,<br />
Stand 14.11.2011,<br />
http://www.mgepa.nrw.de/mediapool/pdf/gesundheit/Langzeitspeicherung.pdf<br />
[AgElVa11] Arbeitsgruppe Elektronische Verwaltungsakte: Anforderungen der<br />
Verwaltungsgerichtsbarkeit an die Führung elektronischer Verwaltungsakten- eine<br />
Orientierungshilfe, JurPC Web-Dok. 66/2011.<br />
[BuKa08] Bundesärztekammer, Kassenärztliche Bundesvereinigung: Empfehlungen zur<br />
ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis,<br />
Technische Anlage, Deutsches Ärzteblatt, Jg. 105, Heft 19, 9. Mai 2008<br />
[Baum10] A. Baumbach et al.:Zivilprozessordnung, Kommentar, 68. Auflage, 2010<br />
[BaHo10] A. Baumbach, K. J. Hopt: Handelsgesetzbuch, Kommentar, 33. Auflage, München<br />
2010<br />
[BaRo11] J. Bader, M. Ronellenfisch: Beck´scher Online-Kommentar, Verwaltungsverfah-<br />
rensgesetz, Beck 2011<br />
[Berl08] U.-D. Berlit: Die elektronische Akte — rechtliche Rahmenbedingungen der<br />
elektronischen Gerichtsakte, JurPC Web-Dok. 157/2008, Abs. 1 – 132,<br />
http://www.jurpc.de/aufsatz/20080157.htm<br />
[BNetzA-AlgKat] Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und<br />
Eisenbahnen (BNetzA): Bekanntmachung zur elektronischen Signatur nach dem<br />
Signaturgesetz und der Signaturverordnung (Übersicht über geeignete<br />
Algorithmen),<br />
http://www.bundesnetzagentur.de/DE/Sachgebiete/QES/Veroeffentlichungen/Algorithmen/algorithme<br />
n_node.html<br />
[<strong>BSI</strong>-100-2] Bundesamt für Sicherheit in der Informationstechnik (<strong>BSI</strong>): <strong>BSI</strong>-Standard 100-2:<br />
IT-Grundschutz-Vorgehensweise,<br />
https://www.bsi.bund.de/cae/servlet/contentblob/471452/publicationFile/30758/sta<br />
ndard_1002.pdf<br />
[<strong>BSI</strong>-100-3] Bundesamt für Sicherheit in der Informationstechnik (<strong>BSI</strong>): <strong>BSI</strong>-Standard 100-3:<br />
Risikoanalyse auf der Basis von IT-Grundschutz,<br />
https://www.bsi.bund.de/cae/servlet/contentblob/471454/publicationFile/30757/sta<br />
ndard_1003.pdf<br />
[<strong>BSI</strong>-B 1.11] Bundesamt für Sicherheit in der Informationstechnik (<strong>BSI</strong>): IT-Grundschutz<br />
Baustein B 1.11 – Outsourcing,<br />
https://www.bsi.bund.de/Content<strong>BSI</strong>/grundschutz/kataloge/baust/b01/b01011.html<br />
[<strong>BSI</strong>-B 1.15] Bundesamt für Sicherheit in der Informationstechnik (<strong>BSI</strong>): IT-Grundschutz<br />
Baustein B 1.15 – Löschen und Vernichten von Daten,<br />
https://www.bsi.bund.de/Content<strong>BSI</strong>/grundschutz/kataloge/baust/b01/b01015.html<br />
[<strong>BSI</strong>-B 3.201] Bundesamt für Sicherheit in der Informationstechnik (<strong>BSI</strong>): IT-Grundschutz<br />
Baustein B 3.201 – Allgemeiner Client,<br />
https://www.bsi.bund.de/cln_165/Content<strong>BSI</strong>/grundschutz/kataloge/baust/b03/b03<br />
201.html<br />
[<strong>BSI</strong>-B 3.301] Bundesamt für Sicherheit in der Informationstechnik (<strong>BSI</strong>): IT-Grundschutz<br />
Baustein B 3.301 – Sicherheitsgateway (Firewall),<br />
https://www.bsi.bund.de/Content<strong>BSI</strong>/grundschutz/kataloge/baust/b03/b03301.html<br />
Bundesamt für Sicherheit in der Informationstechnik 41
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
[<strong>BSI</strong>-B 3.406] Bundesamt für Sicherheit in der Informationstechnik (<strong>BSI</strong>): IT-Grundschutz<br />
Baustein B 3.406 – Drucker, Kopierer und Multifunktionsgeräte,<br />
https://www.bsi.bund.de/Content<strong>BSI</strong>/grundschutz/kataloge/baust/b03/b03406.html<br />
[<strong>BSI</strong>-B 5.7] Bundesamt für Sicherheit in der Informationstechnik (<strong>BSI</strong>): IT-Grundschutz<br />
Baustein B 5.7 – Datenbanken<br />
https://www.bsi.bund.de/cln_174/Content<strong>BSI</strong>/grundschutz/kataloge/baust/b05/b05<br />
007.html<br />
[<strong>BSI</strong>-Glossar] Bundesamt für Sicherheit in der Informationstechnik (<strong>BSI</strong>): Glossar,<br />
https://www.bsi.bund.de/DE/Themen/InternetSicherheit/GlossarBegriffe/GlossarBe<br />
griffe_node.html<br />
[<strong>BSI</strong>-GSK] Bundesamt für Sicherheit in der Informationstechnik (<strong>BSI</strong>): IT-Grundschutz<br />
Kataloge,<br />
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html<br />
[<strong>BSI</strong>-IS-Rev] Bundesamt für Sicherheit in der Informationstechnik (<strong>BSI</strong>):<br />
Informationssicherheitsrevision, Ein Leitfaden für die IS-Revision auf Basis von<br />
IT-Grundschutz,<br />
https://www.bsi.bund.de/SharedDocs/Downloads/DE/<strong>BSI</strong>/ISRevision/Leitfaden_IS<br />
-Revision-v2_pdf.pdf<br />
[<strong>BSI</strong>-M 2.46] Bundesamt für Sicherheit in der Informationstechnik (<strong>BSI</strong>): IT-Grundschutz<br />
Maßnahme M 2.46 – Geeignetes Schlüsselmanagement,<br />
https://www.bsi.bund.de/Content<strong>BSI</strong>/grundschutz/kataloge/m/m02/m02046.html<br />
[<strong>BSI</strong>-<strong>TR</strong>02102] Bundesamt für Sicherheit in der Informationstechnik (<strong>BSI</strong>): Kryptographische<br />
Verfahren: Empfehlungen und Schlüssellängen, <strong>BSI</strong> <strong>TR</strong>-02102,<br />
https://www.bsi.bund.de/Content<strong>BSI</strong>/Publikationen/TechnischeRichtlinien/tr02102<br />
/index_htm.html<br />
[<strong>BSI</strong>-<strong>TR</strong>03116] Bundesamt für Sicherheit in der Informationstechnik (<strong>BSI</strong>): eCard-Projekte der<br />
Bundesregierung, Technische Richtlinie (<strong>TR</strong>) des <strong>BSI</strong> Nr. 03116, Teil 1-2<br />
https://www.bsi.bund.de/Content<strong>BSI</strong>/Publikationen/TechnischeRichtlinien/tr03116<br />
/index_htm.html<br />
[<strong>BSI</strong>-<strong>TR</strong>03125] Bundesamt für Sicherheit in der Informationstechnik (<strong>BSI</strong>): Beweiswerterhaltung<br />
kryptographisch signierter Dokumente (<strong>TR</strong>-ESOR), Technische Richtlinie (<strong>TR</strong>) des<br />
<strong>BSI</strong> Nr. 03125, Version 1.1, 2011,<br />
https://www.bsi.bund.de/Content<strong>BSI</strong>/Publikationen/TechnischeRichtlinien/tr03125<br />
/index_htm.html<br />
[<strong>BSI</strong>-<strong>TR</strong>03138-P] Bundesamt für Sicherheit in der Informationstechnik (<strong>BSI</strong>): Ersetzendes Scannen –<br />
Anlage P: Prüfspezifikation, Technische Richtlinie (<strong>TR</strong>) des <strong>BSI</strong> Nr. 03138 (<strong>TR</strong><br />
<strong>RESISCAN</strong>), Version 1.0, 2012<br />
[<strong>BSI</strong>-<strong>TR</strong>03138-R] S. Jandt, M. Nebel, A. Roßnagel: Unverbindliche rechtliche Hinweise zur<br />
Anwendung der <strong>TR</strong>-<strong>RESISCAN</strong>, 2012<br />
[<strong>BSI</strong>-<strong>TR</strong>03138-V] Bundesamt für Sicherheit in der Informationstechnik (<strong>BSI</strong>): Ersetzendes Scannen –<br />
Anlage V: Exemplarische Verfahrensanweisung, Technische Richtlinie (<strong>TR</strong>) des<br />
<strong>BSI</strong> Nr. 03138 (<strong>TR</strong> <strong>RESISCAN</strong>), Version 1.0, 2012<br />
[<strong>BSI</strong>-IT-SiHB] Bundesamt für Sicherheit in der Informationstechnik (<strong>BSI</strong>): IT-<br />
Sicherheitshandbuch – Handbuch für die sichere Anwendung der<br />
Informationstechnik, 1992<br />
[CAdES] ETSI: Electronic Signature Formats, Electronic Signatures and Infrastructures<br />
(ESI) – Technical Specification, ETSI TS 101 733, V1.8.3, 2011,<br />
42 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
http://www.etsi.org/deliver/etsi_ts/101700_101799/101733/01.08.03_60/ts_101733<br />
v010803p.pdf<br />
[CC-CEM-v3.1] Common Criteria: Common Methodology for Information Technology Security<br />
Evaluation - Evaluation methodology, July 2009, Version 3.1, Revision 3, Final,<br />
http://www.commoncriteriaportal.org/files/ccfiles/CEMV3.1R3.pdf<br />
[CC-P3-v3.1] Common Criteria: Common Criteria for Information Technology Security<br />
Evaluation - Part 3: Security assurance components, July 2009, Version 3.1,<br />
Revision 3, Final,<br />
http://www.commoncriteriaportal.org/files/ccfiles/CCPART3V3.1R3.pdf<br />
[Fisc06] S. Fischer-Dieskau: Das elektronisch signierte Dokument als Mittel zur<br />
Beweissicherung, Anforderungen an seine langfristige Aufbewahrung, Nomos<br />
2006<br />
[GoBS] Bundesministerium der Finanzen: Grundsätze ordnungsmäßiger DV-gestützter<br />
Buchführungssysteme (GoBS), Schreiben des Bundesministeriums der Finanzen an<br />
die obersten Finanzbehörden der Länder vom 7. November 1995 – IV A 8 – S 0316<br />
– 52/95 – BStBl 1995 I S. 738,<br />
http://www.bundesfinanzministerium.de/nn_314/DE/BMF__Startseite/Service/Downloads/Abt__IV/B<br />
MF__Schreiben/015,templateId=raw,property=publicationFile.pdf<br />
[HaBi93] V. Hammer, J. Bizer: Beweiswert elektronisch signierter Dokumente. In: DuD<br />
1993, S. 689-693.<br />
[HüKo06] D. Hühnlein, U. Korte: Grundlagen der elektronischen Signatur, Bundesamt für<br />
Sicherheit in der Informationstechnik und SecuMedia Verlag, Bonn / Ingelheim,<br />
2006,<br />
https://www.bsi.bund.de/Content<strong>BSI</strong>/Themen/ElektrSignatur/esiggrundlagen.html<br />
[ISIS] EMC Captiva: Image and Scanner Interface Specification,<br />
http://germany.emc.com/products/detail/software2/isis.htm<br />
[ISO18014-1] ISO/IEC 18014-1: Information technology - Security techniques - Time stamping<br />
services - Part 1: Framework, 2008<br />
[ISO27001] ISO/IEC 27001: Information technology — Security techniques — Information<br />
security management systems — Requirements, International Standard, 2005<br />
[ISO27005] ISO/IEC 27005: Information technology — Security techniques — Information<br />
security risk management, International Standard, 2008<br />
[JaWi09] S. Jandt, D. Wilke: Gesetzliche Anforderungen an das ersetzende Scannen von<br />
Papierdokumenten, K&R 2/2009<br />
[KSD+08] H. Kuhlemann, P. Schmücker, C. Dujat, V. Eder, C. Seidel: Schlierseer<br />
Memorandum zum beweissicheren Scannen, v1.1, 2008,<br />
http://www.ehealthopen.com/press/SchlierseerMemorandum_v1_1_20080402.pdf<br />
[NIST-800-57-1] E. Barker, W. Barker, W. Burr, W. Polk, M. Smid: Recommendation for Key<br />
Management – Part 1: General (Revised), NIST Special Publication 800-57, 2007,<br />
http://csrc.nist.gov/publications/nistpubs/800-57/sp800-57-Part1-revised2_Mar08-<br />
2007.pdf<br />
[NIST-800-57-2] E. Barker, W. Barker, W. Burr, W. Polk, M. Smid: Recommendation for Key<br />
Management – Part 2: Best Practices for Key Management Organization, NIST<br />
Special Publication 800-57, 2007, http://csrc.nist.gov/publications/nistpubs/800-<br />
57/SP800-57-Part2.pdf<br />
[NIST-800-133] E. Barker, A. Roginsky: Recommendation for Cryptographic Key Generation,<br />
NIST Special Publication 800-133, July 2011,<br />
Bundesamt für Sicherheit in der Informationstechnik 43
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
http://csrc.nist.gov/publications/drafts/800-133/Draft-SP-800-133_Key-<br />
Generation.pdf<br />
[PAdES] ETSI: Electronic Signature Formats, Electronic Signatures and Infrastructures<br />
(ESI) – Technical Specification, PDF Advanced Electronic Signature Profiles, Part<br />
1-6, ETSI TS 102 778, 2009-2010, http://www.etsi.org<br />
[RFC2119] S. Bradner: Key words for use in RFCs to Indicate Requirement Levels, IETF RFC<br />
2119, via http://www.ietf.org/rfc/rfc2119.txt<br />
[RoJa08] A. Roßnagel, S. Jandt: Handlungsleitfaden zum Scannen von Papierdokumenten.<br />
Herausgegeben im Auftrag des Bundesministeriums für Wirtschaft und<br />
Technologie, Nr. 571, Berlin April 2008<br />
[RoPf03] A. Roßnagel, A. Pfitzmann: Der Beweiswert von E-Mail, NJW (Neue Juristische<br />
Wochenschrift) 56/17 vom 22. April 2003, SS.1209-1214<br />
[SANE] SANE Project: SANE - Scanner Access Now Easy, http://www.sane-project.org/<br />
[SCATE] A. Roßnagel, S. Fischer-Dieskau, S. Jandt, D. Wilke: Scannen von<br />
Papierdokumenten – Anforderungen, Trends und Empfehlungen, Band 18 der<br />
Reihe „Der elektronische Rechtsverkehr“, Nomos, 2008<br />
[ScWi10] H. J. Schaffland, N. Wiltfang: Bundesdatenschutzgesetz, Loseblattsammlung,<br />
Erich Schmidt 2010<br />
[Simi06] S. Simitis: Bundesdatenschutzgesetz, Kommentar, Nomos 2006<br />
[TWAIN] TWAIN Organization: TWAIN – Standard for image acquisition devices,<br />
http://www.twain.org<br />
44 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Anlage A – Ergebnis der Risikoanalyse (informativ)<br />
Diese Anlage enthält das Ergebnis der Risikoanalyse. Hierbei wurde aus der Praxis ein „typisches<br />
Scansystem“ abstrahiert und der in Abbildung 1 dargestellte „generische Scanprozess“ zu Grunde<br />
gelegt.<br />
A.1 Strukturanalyse<br />
A.1.1 Konventionen<br />
Für die Benennung der relevanten Objekte werden die folgenden Konventionen verwendet:<br />
• Dxy - bezeichnet ein Datenobjekt (siehe Abschnitt A.1.2)<br />
• Sxy - bezeichnet ein IT-System (siehe Abschnitt A.1.3)<br />
• Axy - bezeichnet eine Anwendung (siehe Abschnitt A.1.3), die auf einem IT-System läuft<br />
• Kxy - bezeichnet eine Kommunikationsverbindung zwischen zwei IT-Systemen oder<br />
Anwendungen (siehe Abschnitt A.1.5)<br />
Anders als sonst bei der Anwendung des IT-Grundschutz-Handbuches üblich, wird hier auf die<br />
explizite Modellierung der involvierten Räumlichkeiten verzichtet. Statt dessen wird vorausgesetzt,<br />
dass geeignete Räumlichkeiten existieren, in denen ein geeigneter Zutrittskontrollmechanismus<br />
realisiert ist, so dass das Schriftgut sicher aufbewahrt werden kann und die relevanten IT-Systeme vor<br />
unbefugtem physikalischen Zugriff geschützt sind (vgl. BM 2.3, Seite 74).<br />
A.1.2 Datenobjekte<br />
Die nachfolgende Tabelle enthält die für das beweiskräftige und in diesem Sinne rechtssichere<br />
ersetzende Scannen relevanten Datenobjekte.<br />
Bundesamt für Sicherheit in der Informationstechnik 45
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
ID Datenobjekt Beschreibung<br />
D0 Schriftgut aus dem<br />
Posteingang<br />
D1 Scanrelevantes<br />
Original<br />
Schriftgut, das per Post o.ä. eingegangen ist.<br />
Papierdokument, das durch geeignete Vorbereitungsschritte (z.B.<br />
durch Entfernung des Kuverts 15 , Umkopieren, Entklammern etc.) aus<br />
dem eingegangenen Schriftgut (D0) gewonnen und dem Scanprozess<br />
zugeführt wird.<br />
D2 Scanprodukt Elektronisches Abbild des Papierdokumentes (D1). Dieses wird durch<br />
den Scanner erzeugt und ggf. von der Scansoftware nachbearbeitet.<br />
D3 Index- und Metadaten Daten, die das Auffinden und die Nutzung des später abgelegten<br />
Scanproduktes ermöglichen bzw. erleichtern. Durch die hier manuell<br />
oder automatisch durch eine Formularerkennungs-Software erfassten<br />
und ggf. im Rahmen der Sachbearbeitung überprüften oder ergänzten<br />
Index- und Metadaten wird die eindeutige Zuordnung von<br />
Dokumenten zu einem Geschäftsvorfall sichergestellt, wodurch ein<br />
wesentliches Element der Ordnungsmäßigkeit gegeben ist.<br />
D4 Transfervermerk 16 Mit dem Transfervermerk wird dokumentiert, wann und durch wen die<br />
Übertragung des Papierdokumentes in ein elektronisches Dokument<br />
stattgefunden hat.<br />
D5 Sicherungsdaten Sicherungsdaten sind Datenobjekte 17 , die dem Schutz der Integrität<br />
und ggf. Authentizität anderer Datenobjekte dienen.<br />
D6 Protokolldaten Die Protokolldaten dokumentieren zusätzliche sicherheitsrelevante<br />
Abläufe und Ereignisse. Sie unterstützen somit die<br />
Nachvollziehbarkeit der Abläufe und den Nachweis der<br />
Ordnungsmäßigkeit des Scanprozesses.<br />
Tabelle 16: Liste der Datenobjekte<br />
15 Sofern das Kuvert relevante Inhalte umfasst und deshalb dem Scanprozess zugeführt wird, ist das Kuvert als ein Teil des<br />
„Scanrelevanten Originals“ zu betrachten.<br />
16 Form und Inhalt des Transfervermerks sind abhängig von den anwendbaren rechtlichen Rahmenbedingungen. Der<br />
Transfervermerk kann im Scanprodukt, zusammen mit dem Scanprodukt in einer Akte oder in den Metadaten abgelegt<br />
werden. Die Integrität und Authentizität des Transfervermerks kann mit einer elektronischen Signatur geschützt werden.<br />
Rechtliche Betrachtungen zum Transfervermerk finden sich auch in [<strong>BSI</strong>-<strong>TR</strong>03138-R].<br />
17 Hierbei kann es sich beispielsweise um Signaturen, Zertifikate, Zeitstempel, Message Authentication Codes, CRC-<br />
Prüfsummen etc. handeln.<br />
46 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
A.1.3 IT-Systeme und Anwendungen<br />
Betrachtet man die verschiedenen in der Praxis genutzten Scansysteme, so erhält man durch<br />
Abstraktion das in Abbildung 3 dargestellte „typische Scansystem“, das im Folgenden näher erläutert<br />
und der hier vorliegenden Risikoanalyse zu Grunde gelegt wird.<br />
S e r v e r<br />
S 5<br />
S c a n - C a c h e<br />
S 3<br />
S c a n - W o r k s t a t i o n ( s )<br />
C l i e n t<br />
I n d e x - S W<br />
S c a n - S W<br />
S c a n n e r<br />
Abbildung 3: Das „typische Scansystem“<br />
I S - I n f r a -<br />
s t r u k t u r<br />
Bundesamt für Sicherheit in der Informationstechnik 47<br />
S 2<br />
A 1 A 2<br />
I S - S W<br />
A 3 A 4<br />
G e g e n s t a n d d e r T R - R E S I S C A N<br />
I S - H W<br />
S 4<br />
S 1<br />
S 6
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
ID IT-System Beschreibung<br />
S1 Scanner Scanner für die Erzeugung eines Scanproduktes (D2) aus dem<br />
scanrelevanten Papierdokument (D1). Dieser Scanner kann lokal<br />
(z.B. über USB) oder über ein Netzwerk an die Scan-Workstation<br />
(S2) angeschlossen sein.<br />
S2 Scan-Workstation Bildet die Ablaufumgebung für die Anwendungen (A1) – (A4) und<br />
produziert ggf. Protokolldaten (D6). In der Praxis kann die hier<br />
betrachtete „Scan-Workstation“ auch durch mehrere<br />
Rechnersysteme realisiert sein, auf denen die nachfolgend<br />
betrachteten Anwendungen in verteilter Form ablaufen.<br />
A1 Client Hierbei kann es sich um einen ECM-, DMS- oder VBS-Client<br />
handeln, in den ggf. die Anwendungen (A2) – (A4) integriert sind.<br />
A2 Scan-Software Softwarekomponente, die mit dem Scanner (S1) kommuniziert, um<br />
den technischen Erfassungsprozess zu steuern. Diese Komponente<br />
führt ggf. auch die Nachbearbeitung zur Qualitätsverbesserung<br />
durch und erzeugt bei Bedarf den Transfervermerk (D4).<br />
A3 Index-Software Softwarekomponente für die automatische (z.B. durch OCR) oder<br />
manuelle Bereitstellung von zum Scanprodukt (D2) gehörigen<br />
Index- und Metadaten (D3). Diese Index-Software kann wie hier<br />
dargestellt auf der Scan-Workstation, einem eigenständigen<br />
Indexier-Arbeitsplatz oder innerhalb einer entsprechenden<br />
Fachanwendung betrieben werden.<br />
A4 Integritätssicherungs-Software<br />
(IS-SW)<br />
Erzeugt in Zusammenarbeit mit der Integritätssicherungs-hardware<br />
(S4) geeignete Sicherungsdaten 18 (D5) für den Schutz der Integrität<br />
und ggf. Authentizität des Scanproduktes (D2) und ggf. der<br />
weiteren zugehörigen Daten. Hierbei kann es sich um eine<br />
Signaturanwendungskomponente gemäß § 2 Nr. 11 SigG handeln.<br />
S3 Scan-Cache Dient zur Ablage des Scanproduktes (D2). Dieser Zwischenspeicher<br />
kann ggf. Teil von (S1), (S2) oder einem dritten System<br />
sein. Entsprechend kann der Zugriff auf den Scan-Cache<br />
beispielsweise über lokale Speichermechanismen oder über das<br />
Netz erfolgen.<br />
S4 Integritätssicherungs-<br />
Hardware (IS-HW)<br />
Dient insbesondere der Speicherung und Anwendung von<br />
kryptographischem Schlüsselmaterial und wird von der<br />
Integritätssicherungssoftware (A4) für die Erzeugung von<br />
geeigneten Sicherungsdaten genutzt. Hierbei kann es sich<br />
beispielsweise um eine sichere Signaturerstellungseinheit gemäß §<br />
2 Nr. 10 SigG in Verbindung mit einem Chipkartenterminal<br />
handeln. Die IS-HW kann lokal an der Scan-Workstation<br />
angeschlossen sein oder über entsprechend gesicherte<br />
Netzwerkverbindungen genutzt werden.<br />
18 Alternativ zur Verwendung von „Sicherungsdaten“ kann die Integrität von Daten auch durch die Ablage derselben in<br />
einem geeigneten „Sicherungssystem“ erfolgen, das die dort abgelegten Daten beispielsweise durch entsprechende<br />
Zugriffskontrollmechanismen vor unberechtigten Zugriffen schützt. In diesem Fall können sowohl die<br />
Integritätssicherungs-Software (IS-SW) als auch die Integritätssicherungs-Hardware (IS-HW) durch ein geeignetes<br />
Sicherungssystem ersetzt werden. Allerdings ist in diesem Fall zu bedenken, dass die Verkehrsfähigkeit der darin<br />
abgelegten Daten möglicherweise stark eingeschränkt sein könnte, so dass die vollständige Substitution der<br />
Sicherungsdaten durch Sicherungssysteme wohlüberlegt sein sollte.<br />
48 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
S5 Server Hierbei kann es sich um ein oder mehrere ECM-, DMS- oder<br />
Archivsysteme bzw. Fachverfahren handeln, in dem die<br />
Scanprodukte (D2) sowie die zusätzlichen Daten (Index- und<br />
Metadaten (D3), Transfervermerk (D4), Sicherungsdaten (D5)<br />
und Protokolldaten (D6)) über den Aufbewahrungszeitraum<br />
beweiskräftig aufbewahrt werden (vgl. z.B. [<strong>BSI</strong>-<strong>TR</strong>03125]).<br />
Die langfristige Aufbewahrung dieser Daten und die<br />
Realisierung dieses Server-Systems ist nicht Gegenstand der<br />
vorliegenden Technischen Richtlinie.<br />
S6 IS-Infrastruktur Infrastruktur-Dienste, die die Integritätssicherung unterstützen<br />
und bei Bedarf - d.h. sofern elektronische Signaturen eingesetzt<br />
werden - Zertifikate, Zertifikatstatusinformationen und<br />
Zeitstempel bereitstellen. Diese Dienste können beispielsweise<br />
von einem Zertifizierungsdiensteanbieter gemäß § 2 Nr. 8 SigG<br />
bereitgestellt werden. Auch die Ausgestaltung der IS-<br />
Infrastruktur ist nicht Gegenstand der vorliegenden Technischen<br />
Richtlinie.<br />
Tabelle 17: Liste der IT-Systeme und Anwendungen<br />
A.1.4 Der „generische Scanprozess“<br />
Betrachtet man die typischen Abläufe im „generischen Scanprozess“ (siehe Abbildung 1) näher unter<br />
Berücksichtigung der Zeit 19 , so ergibt sich der in Abbildung 4 dargestellte Ablauf, wobei Px die<br />
verschiedenen Phasen des Scanprozesses bezeichnet.<br />
E i n g a n g e i n e s<br />
D o k u m e n t e s<br />
D o k u m e n t e n -<br />
v o r b e r e it u n g<br />
S c a n n e n<br />
N a c h v e r -<br />
a r b e it u n g<br />
P 0 P 1 . 1 P 1 . 2 P 2 P 3 . 1 P 3 . 2<br />
t 0<br />
M i n . – S t d .<br />
t 1<br />
M i n . – S t d .<br />
( f r ü h . S c . )<br />
/ – M o n a t e<br />
( s p ä t . S c . )<br />
I n t e g r it ä t s -<br />
s ic h e r u n g<br />
D u r c h S i g n a t u r n i c h t g e s c h ü t z t e s Z e i t f e n s t e r P r ü f b a r k e i t<br />
K u r z e D a u e r , g e r i n g e<br />
E i n t r i t t s w a h r s c h e i n l i c h k e i t , u n k r i t i s c h<br />
m i t t l e r e D a u e r,<br />
m ö g l i c h e r w e i s e k r i t i s c h<br />
P 4 P 5<br />
t 2 t 3 t 4 t 5 t 6 t 7<br />
M i n . – S t d .<br />
( f r ü h . S c . )<br />
/ – M o n a t e<br />
( s p ä t . S c . )<br />
i . d . R .<br />
S e k . – M i n .<br />
g g f . – T a g e<br />
M i l l i - S e k . –<br />
M i n .<br />
M i l l i - S e k . –<br />
S e k .<br />
M i l l i - S e k . –<br />
M i n .<br />
L a n g e D a u e r,<br />
k r i t i s c h<br />
Abbildung 4: Zeitliche Betrachtungen zum „generischen Scanprozess“<br />
B e w e i s w e r t -<br />
e r h a l t e n d e<br />
A u f b e w a h r u n g<br />
s e h r l a n g e r<br />
Z e i t r a u m<br />
S c h u t z<br />
+ P r ü f b a r k e i t<br />
19 Die Eintrittswahrscheinlichkeit eines Angriffes und dadurch das entsprechende Risiko ist im Regelfall auch abhängig<br />
vom Zeitfenster, das einem potenziellen Angreifer zur Verfügung steht. Diese unterschiedliche Risikoexposition ist in<br />
Abbildung 4 mit den Farben grün, gelb und rot dargestellt.<br />
Bundesamt für Sicherheit in der Informationstechnik 49<br />
Z e it
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
A.1.4.1 Eingang des Dokumentes<br />
In dieser ersten Phase (P0) wird das Schriftgut zum Zeitpunkt t0 empfangen. Wie in Abbildung 1<br />
dargestellt, sind die detaillierten Abläufe hierbei nicht Gegenstand der vorliegenden <strong>TR</strong>.<br />
A.1.4.2 Dokumentenvorbereitung<br />
Die Phase der Dokumentenvorbereitung umfasst im Regelfall die folgenden beiden Schritte:<br />
• P1.1 - Trennung Scan-relevantes und nicht-Scan-relevantes Schriftgut<br />
In diesem ersten Schritt werden Kuverts geöffnet und das eingegangene Schriftgut (D0) von<br />
irrelevantem Beiwerk (z.B. Werbung) getrennt. t1 liegt typischerweise um Minuten oder<br />
Stunden nach t0.<br />
• P1.2 - Vorbereitung Scan-relevantes Schriftgut<br />
In dieser Phase erfolgt insbesondere die Dokumentrennung (ggf. unter Verwendung von<br />
Barcodes oder Patchcodes). Abhängig von den konkreten organisatorischen Abläufen kann<br />
dieser Schritt im Detail zahlreiche und sehr umfangreiche Schritte umfassen, die die<br />
Zusammensetzung und die physikalische Repräsentanz des Schriftguts ändern können.<br />
Beispielsweise kann sich das eingegangene Schriftgut (D0) durch Umkopieren 20 ,<br />
Ausschneiden, Reihenfolge ändern bei Wickelfalz etc. vom scan-relevanten Schriftgut (D1)<br />
unterscheiden. Beim „frühen Scannen“ 21 liegt der Zeitpunkt t2 um Minuten oder Stunden nach<br />
t1. Beim „späten Scannen“ 22 können zwischen t1 und t2 unter Umständen jedoch mehrere<br />
Monate vergehen.<br />
A.1.4.3 Scannen<br />
In dieser Phase (P2) wird durch Zusammenwirken der Scan-Software (A2) mit dem Scanner (S1) aus<br />
dem Original Papierdokument (D1) das Scanprodukt (D2) erzeugt und in einem geeigneten<br />
Zwischenspeicher („Scan-Cache“, (S3)) abgelegt. Beim so genannten „frühen Scannen“ liegt der<br />
Zeitpunkt t3 um Minuten bis Tage nach t1. Beim so genannten „späten Scannen“ vergehen zwischen<br />
t0 und t3 aber möglicherweise Wochen und Monate, weil Dokumente nun erst in der Sachbearbeitung<br />
verbleiben, bis alle Dokumente eines Vorganges komplett vorhanden sind oder die Sachbearbeitung<br />
abgeschlossen ist und dann gescannt werden können.<br />
A.1.4.4 Nachverarbeitung<br />
Die Phase der Nachverarbeitung umfasst unter Umständen die folgenden beiden Schritte:<br />
• P3.1 - Bildoptimierung und Indexierung<br />
In diesem Schritt kann bei Bedarf zum Zeitpunkt t4 durch die Scan-Software (A2) eine<br />
Nachbearbeitung des Scanproduktes zur Qualitätsverbesserung vorgenommen werden. Dies<br />
kann beispielsweise eine Bildoptimierung, Kontrastverbesserung, Leerseitenlöschung oder<br />
Maßnahmen für das „Entrauschen“ umfassen. Außerdem können nun oder später in<br />
Verbindung mit der Index-Software (A3), in automatisierter (z.B. mittels OCR) oder<br />
manueller Weise, entsprechende Index- und Metadaten (D3) bereitgestellt und ggf. in das<br />
Scanprodukt (D2) integriert werden. Soweit notwendig und sinnvoll können die Metadaten<br />
auch Informationen über den Ort der bis zur Vernichtung strukturiert abgelegten Originale<br />
enthalten. Für die Bildverbesserung liegt t4 im Bereich von Sekunden bis Minuten nach t3.<br />
Für die Indexierung kann der Zeitverzug größer sein; durch entsprechende Fehlersituationen<br />
(z.B. nicht zuordenbare Barcodes) kann sich der Zeitraum zwischen t3 und t4 auf mehrere<br />
Tage erstrecken.<br />
20 Beim Umkopieren erfolgt selbst eine Transformation, bei der die verschiedenen beim Scannen und der Nachbereitung<br />
aufgeführten Gefährdungen und Maßnahmen (siehe Abschnitte A.3.2, A.3.3, A.4.4 und A.4.3) zu berücksichtigen sind.<br />
21 Beim „frühen Scannen“ erfolgt das Scannen vor der Sachbearbeitung.<br />
22 Beim „späten Scannen“ erfolgt das Scannen nach der Sachbearbeitung.<br />
50 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
• P3.2 - Qualitätskontrolle, Protokollierung und Transfervermerk<br />
In diesem Schritt erfolgt typischerweise eine Qualitätskontrolle, die eine Nachjustierung der<br />
Scan-Parameter oder eine erneute Erfassung des Schriftguts nach sich ziehen kann. Außerdem<br />
können während des Scannens und der Nachbearbeitung bei Bedarf sicherheitsrelevante<br />
Ereignisse dokumentiert und entsprechende Protokolldaten (D6) erzeugt werden. Schließlich<br />
kann ein Transfervermerk (D4) erzeugt werden, welcher dokumentiert, wann (Zeitpunkt t3)<br />
und durch wen die Transformation des Papierdokumentes zum Scanprodukt stattgefunden hat.<br />
Der Zeitpunkt t5 kann im Bereich von Sekunden oder Minuten nach t4 liegen, aber durch die<br />
vorherigen Zeiträume können seit dem ursprünglichen Eingang des Originals bereits Stunden,<br />
Tage, Wochen oder sogar Monate vergangen sein.<br />
A.1.4.5 Integritätssicherung<br />
Sofern dies nicht bereits zu einem früheren Zeitpunkt (ab t3) geschehen ist, kann das Scanprodukt<br />
(D2) in dieser Phase (P4) – ggf. einschließlich der Index- und Metadaten (D3), dem Transfervermerk<br />
(D4) und den Protokolldaten (D6) – zum Zeitpunkt t6 mit einem geeigneten Integritätsschutz versehen<br />
werden. Hierfür können explizit Sicherungsdaten (D5) – z.B. elektronische Signaturen oder Zeitstempel<br />
– erzeugt werden oder die zu schützenden Daten können zur impliziten Integritätssicherung<br />
in einem entsprechenden Sicherungssystem (S5) abgelegt werden. Mit den auf kryptographischen<br />
Mechanismen basierenden Sicherungsdaten können Manipulationen in der Regel nicht verhindert,<br />
wohl aber erkannt werden („Prüfbarkeit“).<br />
A.1.4.6 Beweiswert-erhaltende Aufbewahrung<br />
In dieser Phase (P5) wird das Scanprodukt (D2) samt der weiteren damit zusammenhängenden Daten<br />
(D3-D6) zum Zeitpunkt t7 zur langfristigen Aufbewahrung an ein geeignetes Sicherungssystem (S5)<br />
übergeben. Abhängig von Implementierungsdetails (z.B. synchrone oder asynchrone Abläufe) und der<br />
Anzahl der verarbeiteten Dokumente können zwischen t6 und t7 Millisekunden bis Minuten vergehen.<br />
Neben dem Beweiswerterhalt können in einem solchen Ablagesystem auch Zugriffskontroll-<br />
Mechanismen realisiert werden („Schutz + Prüfbarkeit“). Wie in Abbildung 1 dargestellt, ist die Beweiswert-erhaltende<br />
Aufbewahrung aber nicht Gegenstand der vorliegenden Technischen Richtlinie,<br />
sondern in [<strong>BSI</strong>-<strong>TR</strong>03125] geregelt.<br />
A.1.4.7 Vernichtung des Originals<br />
Schließlich kann das Original (D1) nach der zuverlässigen Übergabe des Scanprodukts (D2) und der<br />
damit zusammenhängenden Daten (D3-D6) an das Beweiswert-erhaltende Aufbewahrungssystem und<br />
ggf. dem Ablauf einer bestimmten zusätzlichen Frist vernichtet werden, sofern die Voraussetzungen<br />
hierfür gegeben sind.<br />
A.1.5 Kommunikationsverbindungen<br />
In Abbildung 5 sind die verschiedenen Kommunikationsverbindungen am Beispiel des „typischen<br />
Scansystems“ aus Abbildung 3 dargestellt.<br />
Bundesamt für Sicherheit in der Informationstechnik 51
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
S e r v e r<br />
S 5<br />
K 9<br />
K 4<br />
S c a n - C a c h e<br />
K 8<br />
S 3<br />
K 3<br />
S c a n - W o r k s t a t i o n ( s )<br />
K 6<br />
C l i e n t<br />
I n d e x - S W<br />
K 2<br />
S c a n - S W<br />
S c a n n e r<br />
Abbildung 5: Wesentliche Kommunikationsverbindungen<br />
I S - I n f r a -<br />
s t r u k t u r<br />
52 Bundesamt für Sicherheit in der Informationstechnik<br />
S 2<br />
A 1 A 2<br />
I S - S W<br />
A 3 A 4<br />
K 5<br />
I S - H W<br />
S 4<br />
K 1<br />
S 1<br />
K 7<br />
S 6
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
ID Von Zu Beschreibung<br />
K1 S1 A2 Umfasst die Schnittstelle zwischen der Scansoftware (A2) und dem Scanner (S1),<br />
die beispielsweise gemäß [ISIS], [TWAIN] oder [SANE] ausgeprägt sein kann.<br />
Bei [TWAIN] stehen für die Datenübertragung vom Scanner (bzw. der<br />
zugehörigen „Data Source Software“) zur Scansoftware („Application“) drei<br />
Übertragungsmodi zur Verfügung 23 („Native“, „Disk File“, „Buffered Memory“,<br />
siehe [TWAIN], Seite 2-21 und 4-17ff.):<br />
• Bei „Native“ wird ein einzelner Speicherblock für die Übergabe der<br />
Bilddaten (bzw. bei MacOS eines Verweises auf diese) genutzt.<br />
• Bei der „Disk File“ Variante, die nicht zwingend unterstützt werden<br />
muss, erzeugt die Scansoftware eine Datei, deren Inhalt vom Scanner<br />
(z.B. 24 über die Kommunikationsverbindung K2) geschrieben wird.<br />
Sobald die Erfassung komplett erfolgt ist, signalisiert dies der Scanner der<br />
Scansoftware über eine MSG_XFERREADY-Nachricht, worauf hin diese<br />
die weitere Verarbeitung übernimmt.<br />
• Bei der „Buffered Memory“-Variante erfolgt die Datenübergabe über<br />
mehrere Speicherblöcke, die jeweils von der Scansoftware allokiert und<br />
vom Scanner beschrieben werden.<br />
Wichtig ist, dass in keiner der drei bei [TWAIN] vorgesehenen Varianten (ähnlich<br />
wie bei anderen Scanner-Schnittstellen wie [ISIS] und [SANE]) spezifische<br />
Sicherheitsmechanismen für den Schutz der Vertraulichkeit, Integrität und<br />
Authentizität der übertragenen Daten vorgesehen sind.<br />
K2 S1 S3 Über diese Kommunikationsverbindung wird, beispielsweise bei der „Disk File“<br />
Variante der [TWAIN]-Schnittstelle, das Scanprodukt (D2) vom Scanner zum<br />
Scan-Cache übertragen.<br />
K3 A2 S3 Über diese Schnittstelle wird von der Scansoftware (A2) auf den Scan-Cache (S3)<br />
zugegriffen. Beispielsweise kann über diese Schnittstelle die Ablage des<br />
Scanproduktes (D2) erfolgen.<br />
K4 A3 S3 Über diese Kommunikationsverbindung werden beispielsweise die Index- und<br />
Metadaten (D3) übertragen, um sie im Scan-Cache abzulegen.<br />
K5 A4 S4 Über diese Schnittstelle kommuniziert die Integritätssicherungs-Software (A4)<br />
mit der Integritätssicherungs-Hardware (S4), um die Erstellung von<br />
Sicherungsdaten (D5) (z.B. elektronischen Signaturen) zu erwirken.<br />
K6 A4 S3 Über diese Kommunikationsverbindung kann die Integritätssicherungs-Software<br />
(A4) auf die zu schützenden Daten (Scanprodukt, Metadaten etc.) zugreifen und<br />
später die erstellten Sicherungsdaten (D5) wieder ablegen.<br />
K7 A4 S6 Durch diese Kommunikationsverbindung kann die Integritätssicherungs-Software<br />
(A4) mit einer möglicherweise vorhandenen Integritätssicherungsinfrastruktur<br />
(S6) kommunizieren und beispielsweise einen Zeitstempel anfordern.<br />
K8 A1 S3 Über diese Kommunikationsverbindung kann das Scanprodukt (D2) samt der<br />
Metadaten (D3) und den Sicherungsdaten (D5) aus dem Scan-Cache (S3)<br />
ausgelesen werden.<br />
23 Während die beiden Übertragungsmodi „Native“ und „Buffered Memory“ typischerweise bei lokal angeschlossenen<br />
Scannern verwendet werden, wird die „Disk File“ Variante oft bei Netzwerk-fähigen Scannern und<br />
Multifunktionsgeräten genutzt.<br />
24 Alternativ könnte die Übertragung in diesem Fall über die Kommunikationsverbindungen K1 und K3 erfolgen, wobei die<br />
Scan-Workstation S2 als Kommunikationsproxy fungiert.<br />
Bundesamt für Sicherheit in der Informationstechnik 53
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
K9 A1 S5 Schließlich können die im Rahmen des Scanprozesses erzeugten Datenobjekte<br />
(Scanprodukt, Index- und Metadaten, Transfervermerk, Sicherungsdaten,<br />
Protokolldaten) über diese Schnittstelle in dem oder die Server (S5) abgelegt<br />
werden.<br />
Tabelle 18: Liste der Kommunikationsverbindungen<br />
A.1.6 Informationsfluss der Datenobjekte<br />
In der nachfolgenden Tabelle wurde die Präsenz der Datenobjekte (Dx) in den verschiedenen<br />
Systemen (Sy) und der mögliche Informationsfluss über die jeweiligen Kommunikationsverbindungen<br />
(Kz) zusammgetragen.<br />
Datenobjekt System Kommunikationsverbindung<br />
D1 S1 -<br />
D2 S1, S2, S3 K1<br />
K3<br />
K2<br />
K8<br />
K9<br />
D3 S2, S3 K4<br />
K9<br />
D4 S2 K9<br />
D5 S2, S3, S4 K5<br />
K6<br />
K7<br />
K9<br />
D6 S2 K9<br />
Tabelle 19: Informationsfluss der Datenobjekte<br />
A.2 Schutzbedarfsanalyse<br />
A.2.1 Überblick<br />
Die Schutzbedarfsanalyse umfasst folgende Schritte:<br />
1. Definition der Schutzbedarfskategorien und Sicherheitsziele (siehe Anlage A.2.2)<br />
2. Fachliche Schutzbedarfsanalyse (siehe Anlage A.2.3 und [<strong>BSI</strong>-<strong>TR</strong>03138-R])<br />
3. Schutzbedarf der Datenobjekte (siehe Anlage A.2.4)<br />
4. Schutzbedarf der IT-Systeme und Anwendungen (siehe Anlage A.2.5)<br />
5. Schutzbedarf der Kommunikationsverbindungen (siehe Anlage A.2.6)<br />
54 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
A.2.2 Definition der Schutzbedarfskategorien und Sicherheitsziele<br />
In diesem ersten Schritt werden die Schutzbedarfskategorien sowie die wesentlichen Sicherheitsziele<br />
definiert. Angelehnt an [<strong>BSI</strong>-100-2] (Abschnitt 4.3.1), werden im vorliegenden Dokument die<br />
Schutzbedarfskategorien „normal“ und „hoch“ wie folgt definiert:<br />
Schutzbedarfskategorie Definition<br />
„normal“ Die Schadensauswirkungen sind in der Regel begrenzt und überschaubar.<br />
Ein solcher Schaden induziert im Regelfall keine nennenswerten<br />
Konsequenzen für die am Geschäftsvorfall beteiligten Personen und<br />
Institutionen.<br />
„hoch“ Die Schadensauswirkungen sind in der Regel beträchtlich.<br />
Ein solcher Schaden führt im Regelfall zu beträchtlichen Konsequenzen<br />
für die am Geschäftsvorfall beteiligten Personen und Institutionen.<br />
„sehr hoch“ Die Schadensauswirkungen können ein existenziell bedrohliches oder<br />
sogar katastrophales Ausmaß erreichen.<br />
Ein solcher Schaden kann zu existenziell bedrohlichen oder sogar<br />
katastrophalen Konsequenzen für die am Geschäftsvorfall beteiligten<br />
Personen und Institutionen führen.<br />
Tabelle 20: Definition der Schutzbedarfskategorien<br />
Da es von den konkreten Gegebenheiten eines Geschäftsvorfalles abhängt, welche Konsequenzen<br />
„nicht nennenswert“, „beträchtlich“, „existentiell bedrohlich“ oder „katastrophal“ sind, MUSS die<br />
fachliche Schutzbedarfsfeststellung (vgl. Abschnitt A.3.3) vor dem Hintergrund eines konkreten<br />
Anwendungsfalls überprüft und entsprechend angepasst werden.<br />
Die verschiedenen Sicherheitsziele („Integrität“, „Authentizität“, „Vollständigkeit“,<br />
„Nachvollziehbarkeit“, „Verfügbarkeit“, „Lesbarkeit“, „Verkehrsfähigkeit“, „Vertraulichkeit“ und<br />
„Löschbarkeit“) sind gestützt auf [<strong>BSI</strong>-Glossar], [RoJa08], [SCATE], [RoPf03] und [HüKo06], wie<br />
folgt definiert:<br />
Bundesamt für Sicherheit in der Informationstechnik 55
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
GW<br />
25<br />
Integrität<br />
Verfügbarkeit<br />
Vertraulichkeit<br />
Sicherheitsziel Definition<br />
Integrität<br />
Authentizität<br />
Vollständigkeit<br />
Nachvollziehbarkeit<br />
Verfügbarkeit<br />
Lesbarkeit<br />
Verkehrsfähigkeit<br />
Integrität bedeutet, dass die Daten oder Systeme nicht verändert<br />
wurden. Bei einem wirksamen Integritätsschutz werden zudem zumindest<br />
Veränderungen erkannt.<br />
Unter der Authentizität von Daten 26 versteht man, dass die Quelle der<br />
Daten eindeutig bestimmbar ist.<br />
Vollständigkeit bedeutet, dass der gegenseitige Bezug mehrerer<br />
aufgrund eines inneren Zusammenhangs zusammengehörigen<br />
Datenobjekte sichergestellt ist.<br />
Unter der Nachvollziehbarkeit eines Vorgangs versteht man, dass alle<br />
wesentlichen Schritte des Vorgangs von einer unabhängigen Stelle<br />
nachgezeichnet werden können.<br />
Die Verfügbarkeit von Daten, Diensten, IT-Systemen, IT-<br />
Anwendungen oder IT-Netzen ist vorhanden, wenn diese den Benutzern<br />
innerhalb akzeptabler Wartezeiten in der benötigten Form zur<br />
Verfügung stehen.<br />
Lesbarkeit bedeutet, dass die in den Daten enthaltenen Informationen<br />
erkannt werden können. 27<br />
Verkehrsfähigkeit bezeichnet die Möglichkeit, Dokumente und Akten<br />
von einem System zu einem anderen übertragen zu können, bei der die<br />
„Qualität“ des Dokuments sowie seine Integrität und Authentizität<br />
nachweisbar bleiben. 28<br />
Vertraulichkeit Vertraulichkeit ist die Verhinderung einer unbefugten Kenntnisnahme.<br />
Löschbarkeit<br />
Tabelle 21: Definition der Sicherheitsziele<br />
Unter Löschen von Daten ist das Unkenntlichmachen der gespeicherten<br />
Daten zu verstehen (§ 3 Abs. 4 Nr. 5 BDSG). Dies ist gegeben, wenn<br />
die Daten unwiderruflich so behandelt worden sind, dass eigene<br />
Informationen nicht aus gespeicherten Daten gewonnen werden können,<br />
wenn also der Rückgriff auf diese Daten nicht mehr möglich ist<br />
[ScWi10, § 3 Rn. 75], [Damann in Simi06, § 3 Rn. 180].<br />
Abgesehen von der Nachvollziehbarkeit, die für Vorgänge definiert ist, beziehen sich alle anderen<br />
Sicherheitsziele insbesondere auf Datenobjekte und werden deshalb in der „fachlichen<br />
Schutzbedarfsanalyse“ für das Original (vgl. Anlage A.2.3 und [<strong>BSI</strong>-<strong>TR</strong>03138-R]) und der daraus<br />
abgeleiteten Schutzbedarfsanalyse für die weiteren Datenobjekte (Abschnitt A.2.4) betrachtet. Auf der<br />
anderen Seite sind für Systeme, Anwendungen und Kommunikationsbeziehungen im Einklang mit der<br />
IT-Grundschutz-Vorgehensweise des <strong>BSI</strong> [<strong>BSI</strong>-100-2] lediglich die Sicherheitsziele bzw. Grundwerte<br />
Integrität, Verfügbarkeit und Vertraulichkeit definiert. Deshalb werden ab Abschnitt A.2.5 lediglich<br />
diese Grundwerte der IT-Sicherheit herangezogen.<br />
25 Grundwert der IT-Sicherheit (siehe z.B. [<strong>BSI</strong>-Glossar] und [<strong>BSI</strong>-100-2])<br />
26 Im Rahmen der vorliegenden Technischen Richtlinie werden insbesondere die in Tabelle 16 aufgeführten Datenobjekte<br />
betrachtet. Hierbei muss genau betrachtet werden, welches Datenobjekt von einer bestimmten Sicherheitsmaßnahme<br />
genau berührt wird. Beispielsweise könnte zwar die Integrität und Authentizität des Transfervermerks (D4) durch den<br />
Einsatz einer vom Scan-Operator erstellten qualifizierten elektronischen Signatur geschützt werden, aber die Integrität<br />
und Authentizität des papiergebundenen Originals (D0 oder D1) wäre von dieser Maßnahme völlig unberührt.<br />
27 Ein elektronisches Dokument ist nur dann lesbar, wenn die notwendige Hard- und Software die Daten verarbeiten, ihre<br />
Informationen interpretieren und dem menschlichen Betrachter in lesbarer Weise präsentieren kann.<br />
28 Es sei angemerkt, dass die Verkehrsfähigkeit von kryptographisch gesicherten Daten nur bei Verwendung von allgemein<br />
anerkannten (z.B. internationalen) Standards und interoperablen Systemen gewährleistet werden kann.<br />
56 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
A.2.3 Fachliche Schutzbedarfsanalyse<br />
Der Schutzbedarf der verschiedenen in Tabelle 1 aufgeführten Datenobjekte hängt maßgeblich vom<br />
Schutzbedarf des Originals (D0 bzw. D1) ab. Dieser fachliche Schutzbedarf kann naturgemäß nicht<br />
pauschal angegeben werden. Vielmehr MUSS dieser von jedem Anwender der <strong>TR</strong> vor dem<br />
ersetzenden Scannen anhand der konkret verarbeiteten Dokumente individuell bestimmt werden.<br />
Um diesen Prozess zu unterstützen, finden sich in [<strong>BSI</strong>-<strong>TR</strong>03138-R] einige beispielhafte fachliche<br />
Schutzbedarfsanalysen für ausgewählten Dokumenttypen, die zur Orientierung dienen können.<br />
A.2.4 Schutzbedarf der Datenobjekte<br />
Der Schutzbedarf der verschiedenen Datenobjekte leitet sich großteils aus dem Schutzbedarf des<br />
Originals ab, welcher im Rahmen der fachlichen Schutzbedarfsanalyse bestimmt werden MUSS (vgl.<br />
Anlage A.2.3 und [<strong>BSI</strong>-<strong>TR</strong>03138-R]).<br />
A.2.4.1 Schutzbedarf des Originals<br />
ID Datenobjekt<br />
D0<br />
und<br />
D1<br />
Sicherheitsziel Schutzbedarf Begründung<br />
Eingegangenes und scanrelevantes Original<br />
Integrität normal bis<br />
hoch<br />
Authentizität<br />
Vollständigkeit<br />
Nachvollziehbarkeit<br />
Verfügbarkeit<br />
Lesbarkeit<br />
Verkehrsfähigkeit<br />
Vertraulichkeit<br />
Löschbarkeit<br />
Der Schutzbedarf des eingegangenen (D0) oder<br />
scanrelevanten Originals (D1) hinsichtlich der<br />
verschiedenen Schutzziele ist abhängig von der Art des<br />
Dokumentes.<br />
Dieser Schutzbedarf MUSS im Rahmen der fachlichen<br />
Schutzbedarfsanalyse bestimmt werden. Exemplarische<br />
Schutzbedarfsanalysen finden sich in Anlage [<strong>BSI</strong>-<br />
<strong>TR</strong>03138-R].<br />
Tabelle 22: Schutzbedarfsanalyse des eingegangenen (D0) und scanrelevanten Originals (D1)<br />
Bundesamt für Sicherheit in der Informationstechnik 57
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
A.2.4.2 Schutzbedarf des Scanproduktes<br />
ID Datenobjekt<br />
Sicherheitsziel Schutzbedarf Begründung<br />
D2 Scanprodukt<br />
Integrität wie D1 Mit dem Vernichten oder der Rückgabe29 des Originals<br />
wird der Schutzbedarf des Scanproduktes hinsichtlich<br />
der Integrität, Verfügbarkeit, Lesbarkeit und<br />
Verfügbarkeit<br />
Verkehrsfähigkeit gleich dem Schutzbedarf des<br />
Originals und kann deshalb bis zu hoch sein.<br />
Lesbarkeit<br />
Verkehrsfähigkeit<br />
Authentizität mindestens so<br />
hoch wie D1<br />
Nachvollziehbarkeit<br />
Beim Scannen und Vernichten des Originals werden die<br />
Möglichkeiten die Authentizität des Originals durch<br />
Schriftsachverständige nachzuweisen teilweise 30<br />
beschnitten.<br />
Um diesen Verlust, soweit dies möglich ist, zu<br />
kompensieren, muss der Transformationsvorgang<br />
entsprechend nachvollziehbar gestaltet werden.<br />
Vollständigkeit wie D1 Der Schutzbedarf für die Vollständigkeit,<br />
Vertraulichkeit und Löschbarkeit des Scanproduktes ist<br />
Vertraulichkeit<br />
gleich dem im Rahmen der fachlichen<br />
Schutzbedarfsanalyse (vgl. Anlage A.2.3 und [<strong>BSI</strong>-<br />
Löschbarkeit <strong>TR</strong>03138-R]) zu bestimmenden Schutzbedarf für das<br />
Original (D1).<br />
31<br />
Tabelle 23: Schutzbedarfsanalyse des Scanproduktes (D2)<br />
29 Bei Rückgabe des Originals bleibt das Original zwar erhalten und könnte zu Beweiszwecken herangezogen werden,<br />
wodurch der Schutzbedarf des Scanproduktes lediglich mit „normal“ eingestuft werden würde. Da das zurückgegebene<br />
Original aber der aktenführenden Stelle im Streitfall unter Umständen nicht mehr zur Verfügung steht, führt eine<br />
konservative Abschätzung zum Ergebnis, dass auch durch das Zurückgeben des Originals der Schutzbedarf des<br />
Scanproduktes gleich dem Schutzbedarf des Originals wird.<br />
30 Während die Auswertung des Schriftzugs einer Unterschrift unter Umständen auch anhand einer Kopie möglich ist,<br />
können die physikalischen Merkmale des papiergebundenen Originals oder der Tinte nach der Vernichtung des Originals<br />
nicht mehr analysiert werden.<br />
31 Der Vorgang des Löschens muss in geeigneter Weise protokolliert werden und statt dem Scanprodukt ist während der<br />
vorgesehenen Aufbewahrungsdauer das Löschprotokoll aufzubewahren. Der Schutzbedarf des hierbei entstehenden<br />
Löschprotokolles hat in der Regel den gleichen Schutzbedarf wie das Scanprodukt.<br />
58 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
A.2.4.3 Schutzbedarf der Index- und Metadaten<br />
ID Datenobjekt<br />
Sicherheitsziel Schutzbedarf Begründung<br />
D3 Index- und Metadaten<br />
Integrität normal bis<br />
Authentizität<br />
hoch Der Schutzbedarf der Index- und Metadaten ist abhängig<br />
von Art und Umfang derselben und kann deshalb<br />
Vollständigkeit<br />
„normal“ oder „hoch“ sein.<br />
Sofern Metadaten nur als administrative Begleitobjekte<br />
Nachvollziehbarkeit<br />
dienen, haben diese nur einen normalen Schutzbedarf.<br />
Auf der anderen Seite ist für Index- und Metadaten ein<br />
Verfügbarkeit<br />
hoher Schutzbedarf hinsichtlich der Integrität,<br />
Authentizität, Vollständigkeit, Nachvollziehbarkeit,<br />
Lesbarkeit<br />
Lesbarkeit und Verkehrsfähigkeit anzunehmen, wenn<br />
die Index- und Metadaten selbst Beweisgegenstand<br />
Verkehrsfähigkeit<br />
werden können.<br />
Vertraulichkeit<br />
Eine Beeinträchtigung der Integrität, Vollständigkeit,<br />
Verfügbarkeit und Lesbarkeit der Index- und Metadaten<br />
Löschbarkeit<br />
kann sich auch negativ auf die faktische Verfügbarkeit<br />
der Nutzdaten auswirken. Außerdem könnten Indexund<br />
Metadaten für das Rechtemanagement genutzt<br />
werden. So kann eine Veränderung der Daten zu einer<br />
Veränderung des Personenkreises führen, der zum<br />
Zugriff berechtigt ist. Damit kann Unbefugten der<br />
Zugriff ermöglicht werden.<br />
Die Vertraulichkeit und Löschbarkeit der Index- und<br />
Metadaten hängt stark von Art und Umfang derselben<br />
ab. Enthalten die Index- und Metadaten alle per OCR<br />
aus dem Scanprodukt extrahierbaren Inhalte, so ist der<br />
Schutzbedarf hinsichtlich der Vertraulichkeit und<br />
Löschbarkeit gleich dem des Scanproduktes bzw. des<br />
Originals.<br />
Tabelle 24: Schutzbedarfsanalyse der Index- und Metadaten (D3)<br />
Bundesamt für Sicherheit in der Informationstechnik 59
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
A.2.4.4 Schutzbedarf des Transfervermerkes<br />
ID Datenobjekt<br />
Sicherheitsziel Schutzbedarf Begründung<br />
D4 Transfervermerk<br />
Integrität max. (Authentizität<br />
Authentizität<br />
Vollständigkeit<br />
Nachvollziehbarkeit<br />
von D2,<br />
Nachvollziehbarkeit<br />
von D2)<br />
Der Transfervermerk dient der ordnungsgemäßen<br />
und nachvollziehbaren Dokumentation des<br />
Transformationsvorgangs.<br />
Mit dem Vernichten oder der Rückgabe des<br />
Originals wird der Schutzbedarf des<br />
Transfervermerkes hinsichtlich der angegebenen<br />
Sicherheitsziele gleich dem Schutzbedarf des<br />
Scanproduktes (D2) hinsichtlich der Authentizität<br />
bzw. der Nachvollziehbarkeit.<br />
Verfügbarkeit wie D1 Mit dem Vernichten oder der Rückgabe des<br />
Originals wird der Schutzbedarf des<br />
Lesbarkeit<br />
Transfervermerks hinsichtlich der angegebenen<br />
Sicherheitsziele gleich dem Schutzbedarf des<br />
Verkehrsfähigkeit<br />
Originals (D1).<br />
Löschbarkeit<br />
Vertraulichkeit normal bis hoch Der Transfervermerk enthält im Regelfall den<br />
Namen des Erstellers und damit personenbezogene<br />
Daten, die grundsätzlich schützenswert sind.<br />
Für einen einzelnen Transfervermerk ist der<br />
Schutzbedarf hinsichtlich der Vertraulichkeit im<br />
Regelfall nur normal. Liegen jedoch mehrere<br />
Transfervermerke vor, so besteht die Möglichkeit<br />
mit Hilfe der personenbezogenen Daten<br />
Nutzerprofile zu erstellen. Dieser<br />
Kumulationseffekt kann unter Umständen dazu<br />
führen, dass der Schutzbedarf hinsichtlich der<br />
Vertraulichkeit auf hoch steigt.<br />
Tabelle 25: Schutzbedarfsanalyse des Transfervermerkes (D4)<br />
60 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
A.2.4.5 Schutzbedarf der Sicherungsdaten<br />
ID Datenobjekt<br />
Sicherheitsziel Schutzbedarf Begründung<br />
D5 Sicherungsdaten<br />
Integrität höchstens wie<br />
geschützte<br />
Authentizität Datenobjekte<br />
Vollständigkeit<br />
Nachvollziehbarkeit<br />
Verfügbarkeit<br />
Lesbarkeit<br />
Verkehrsfähigkeit<br />
Vertraulichkeit normal bis<br />
hoch<br />
Löschbarkeit höchstens wie<br />
D1<br />
Tabelle 26: Schutzbedarfsanalyse der Sicherungsdaten (D5)<br />
Der Schutzbedarf für die Sicherungsdaten hinsichtlich<br />
der angegebenen Sicherheitsziele ist höchstens so hoch<br />
wie der Schutzbedarf der davon geschützten<br />
Datenobjekte. Sie ist genau so hoch, wenn die<br />
Beeinträchtigung des Sicherheitszieles der<br />
Sicherungsdaten auch das Sicherheitsziel für das<br />
geschützte Datenobjekt beeinträchtigt.<br />
Sicherungsdaten, welche das Scanprodukt D2 schützen,<br />
haben also den entsprechenden Schutzbedarf des<br />
Scanproduktes D2 selbst. Wie oben erläutert, ist dieser<br />
Schutzbedarf nach dem Vernichten des Originals gleich<br />
dem Schutzbedarf des Originals D1 selbst.<br />
Sicherungsdaten können personenbezogene Daten (z.B.<br />
in einem Zertifikat) enthalten, die entsprechend zu<br />
schützen sind.<br />
Für ein einzelnes Sicherungsdatum ist der Schutzbedarf<br />
hinsichtlich der Vertraulichkeit im Regelfall nur normal.<br />
Liegen jedoch mehrere gleichartige Sicherungsdaten<br />
vor, so besteht die potenzielle Möglichkeit mit Hilfe der<br />
personenbezogenen Daten Nutzerprofile zu erstellen.<br />
Dieser Kumulationseffekt kann unter Umständen dazu<br />
führen, dass der Schutzbedarf hinsichtlich der<br />
Vertraulichkeit auf hoch steigt.<br />
Der Schutzbedarf hinsichtlich der Löschbarkeit für die<br />
Sicherungsdaten ist im Regelfall höchstens so hoch wie<br />
der Schutzbedarf des Originals (D1).<br />
Bundesamt für Sicherheit in der Informationstechnik 61
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
A.2.4.6 Schutzbedarf der Protokolldaten<br />
ID Datenobjekt<br />
Sicherheitsziel Schutzbedarf Begründung<br />
D6 Protokolldaten<br />
Integrität max. (Authentizität<br />
von D2,<br />
Authentizität Nachvollziehbarkeit<br />
von D2)<br />
Vollständigkeit<br />
Nachvollziehbarkeit<br />
Verfügbarkeit<br />
Lesbarkeit<br />
Verkehrsfähigkeit<br />
Mit dem Vernichten oder der Rückgabe des<br />
Originals wird der Schutzbedarf der<br />
Protokolldaten hinsichtlich der angegebenen<br />
Sicherheitsziele gleich dem Schutzbedarf des<br />
Scanproduktes (D2) hinsichtlich der<br />
Authentizität bzw. der Nachvollziehbarkeit, da<br />
die Protokolldaten der ordnungsgemäßen<br />
Dokumentation des Transformationsvorganges<br />
dienen.<br />
Vertraulichkeit höchstens wie D1 Der Schutzbedarf hinsichtlich der<br />
Vertraulichkeit und der Löschbarkeit für die<br />
Löschbarkeit<br />
Protokolldaten muss je nach Art und Umfang<br />
bewertet werden und ist im Regelfall höchstens<br />
so hoch wie der Schutzbedarf des Originals<br />
(D1).<br />
Tabelle 27: Schutzbedarfsanalyse der Protokolldaten (D6)<br />
A.2.5 Schutzbedarf der IT-Systeme und Anwendungen<br />
ID IT-Systeme und Anwendungen<br />
Grundwert Schutzbedarf Begründung<br />
{S,A}x IT-System bzw. Anwendung<br />
Vertraulichkeit wie Dx Der Schutzbedarf eines IT-Systems oder einer darauf<br />
laufenden Anwendung hinsichtlich der Vertraulichkeit,<br />
Integrität<br />
Verfügbarkeit<br />
Integrität oder Verfügbarkeit ist so hoch wie der<br />
Schutzbedarf der darin verarbeiteten Datenobjekte (Dx).<br />
Tabelle 28: Exemplarische Schutzbedarfsanalyse der IT-Systeme und Anwendungen<br />
62 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
A.2.6 Schutzbedarf der Kommunikationsverbindungen<br />
ID Kommunikationsverbindung<br />
Grundwert Schutzbedarf Begründung<br />
Kx Kommunikationsverbindung<br />
Vertraulichkeit wie Dx Der Schutzbedarf einer<br />
Kommunikationsverbindung hinsichtlich der<br />
Vertraulichkeit oder Integrität ist so hoch wie der<br />
Integrität<br />
Schutzbedarf der darüber übermittelten<br />
Datenobjekte (Dx).<br />
Verfügbarkeit max(SBVf(S),SBVf(E)) Der Schutzbedarf für die Verfügbarkeit einer<br />
Kommunikationsverbindung ist gegeben als das<br />
Maximum des Schutzbedarfs hinsichtlich der<br />
Verfügbarkeit des Start- (S) und Endpunktes (E)<br />
der Kommunikationsverbindung.<br />
Tabelle 29: Schutzbedarfsanalyse der Kommunikationsverbindungen<br />
Bundesamt für Sicherheit in der Informationstechnik 63
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
A.3 Bedrohungsanalyse<br />
Im Rahmen der Bedrohungsanalyse werden die verschiedenen Bedrohungen und potenziellen<br />
Schwachstellen für die Abläufe im „generischen Scanprozess“ (siehe Abbildung 1) erfasst.<br />
Im Folgenden werden benutzerdefinierte Gefährdungen und Maßnahmen mit BG.x bzw. BM.x und im<br />
Grundschutzhandbuch spezifizierte Gefährdungen und Maßnahmen mit G.x bzw. M.x bezeichnet.<br />
A.3.1 Gefährdungen in der Dokumentenvorbereitung<br />
ID Gefährdung<br />
Bedrohte<br />
Objekte<br />
Beschreibung<br />
BG 1.1 Manipulation oder Fälschung des Originals<br />
D1 Das Original könnte (z. B. mit Tipp-Ex) vor der Erfassung 32 manipuliert worden<br />
sein oder das Original könnte komplett gefälscht worden sein.<br />
BG 1.2 Austausch des Originals<br />
D1 Das Original könnte versehentlich oder absichtlich vor der Erfassung gegen ein<br />
anderes Dokument ausgetauscht worden sein. Diese Bedrohung existiert auch vor<br />
dem Eingang des Dokuments zum Zeitpunkt P0 oder während des Scannens.<br />
BG 1.3 Manipulation am Umfang des Originals<br />
D1 Dem Original könnten versehentlich oder absichtlich vor der Erfassung Seiten<br />
hinzugefügt oder entfernt worden sein. Diese Bedrohung existiert auch während<br />
des Scannens (vgl. BG2.1).<br />
BG 1.4 Versehentlich umgedrehte Blätter in Scan-Stapel<br />
D1 Es könnten sich versehentlich oder absichtlich umgedrehte Blätter im Scan-<br />
Stapel befinden. Hierdurch würde, sofern nur einseitig gescannt wird, das<br />
Original nur unvollständig erfasst werden.<br />
BG 1.5 Unautorisiertes Vernichten oder unautorisierte Rückgabe des Originals<br />
D1 Das Original könnte versehentlich oder absichtlich zu früh - insbesondere vor<br />
Abschluss der Qualitätssicherung des Scanprodukts - vernichtet oder<br />
zurückgegeben worden sein.<br />
BG 1.6 Unautorisierte Einsicht in vertrauliche Unterlagen<br />
D1 Eine Person könnte bei der Dokumentenvorbereitung unautorisierte Einsicht in<br />
vertrauliche Unterlagen erhalten. Diese Bedrohung existiert auch während des<br />
Scannens.<br />
BG 1.7 Vertauschte Reihenfolge der Seiten des Originals<br />
D1 Während der Dokumentenvorbereitung könnte die Reihenfolge der Seiten des<br />
Originals vertauscht werden (z. B. beim Zusammenstellen nach Herunterfallen).<br />
BG 1.8 Unsachgemäße Veränderung des Formates des Originals<br />
32 Diese Manipulation oder Fälschung könnte auch vor dem Eingang des Dokuments, z.B. durch den Absender,<br />
vorgenommen worden sein.<br />
64 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
ID Gefährdung<br />
Bedrohte<br />
Objekte<br />
Beschreibung<br />
D1 Durch Zerschneiden eines überformatigen Originaldokumentes könnten die<br />
Inhalte nicht mehr im Zusammenhang lesbar sein oder die Zuordnung zu einem<br />
Vorgang könnte dadurch nicht mehr zweifelsfrei gewährleistet werden.<br />
Tabelle 30: Gefährdungen in der Dokumentenvorbereitung<br />
A.3.2 Gefährdungen beim Scannen<br />
ID Gefährdung<br />
Bedrohte<br />
Objekte<br />
Beschreibung<br />
BG 2.1 Unvollständige Erfassung des Original Papierdokumentes<br />
D1, S1 Der Scanner (S1) könnte beim Einzug eines mehrseitigen Originals (D1)<br />
mehrere Seiten gleichzeitig eingezogen haben. Somit würde das Original nur<br />
unvollständig erfasst werden.<br />
D1, S1 Beim Einzug könnten Seiten des Originals z. B. durch Heftklammern beim<br />
Einzug beschädigt (geknickt, angerissen,…) werden. Somit würde das Original<br />
nur unvollständig erfasst werden.<br />
D1, S1 Explizit beschriebene Rückseiten könnten versehentlich oder absichtlich nicht<br />
erfasst werden.<br />
D1, S1 Endlospapier könnte nicht oder nicht geeignet vorbereitet worden sein.<br />
BG 2.2 Manipulation des Scanners<br />
D2, S1 Der Scanner (S1) könnte (z. B. mit einer veränderten Firmware) manipuliert<br />
worden sein. Integrität, Vertraulichkeit oder Verfügbarkeit des Scanproduktes<br />
(D2) könnte beeinträchtigt sein.<br />
BG 2.3 Manipulation der Scan-Workstation (S2)<br />
D1, D2,<br />
S2<br />
Die Scan-Workstation (S2) könnte manipuliert worden sein. Diese<br />
Manipulation könnte auf folgenden Wegen geschehen sein:<br />
- Angriffe über das Netzwerk,<br />
- Einspielen von Malware (z. B. nicht authentische Scan-Software oder<br />
Integritätssicherungs-Software) oder<br />
- lokaler Zugriff<br />
BG 2.4 Manipulation des Scanproduktes<br />
D2, K2 Verändern von D2 bei der Datenübertragung vom Scanner (S1) zum Scan-<br />
Cache (S3)<br />
D2, K1 Verändern von D2 bei der Datenübertragung vom Scanner (S1) zur Scan-<br />
Software (A2)<br />
Bundesamt für Sicherheit in der Informationstechnik 65
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
ID Gefährdung<br />
Bedrohte<br />
Objekte<br />
Beschreibung<br />
D2, K3 Verändern von D2 bei der Datenübertragung von der Scan-SW (A2) zum Scan-<br />
Cache (S3)<br />
D2, S3 Verändern von D2 im Scan-Cache (S3)<br />
BG 2.5 Unautorisierte Einsicht in vertrauliche Unterlagen<br />
D1 Unautorisierte Personen könnten Einsicht in das Original (D1) oder das<br />
Scanprodukt (D2) erhalten, wenn dieses nach einem Scanvorgang im Scanner<br />
vergessen wurde bzw. nicht adäquat geschützt wird. Dieser Aspekt ist<br />
insbesondere bei Dokumenten relevant, die personenbezogene Daten enthalten<br />
oder dem Geheimnisschutz unterliegen.<br />
D2 Personen mit Zugriff auf die Scan-Systeme könnten unautorisiert Einsicht in<br />
vertrauliche Scanprodukte (D2) erhalten.<br />
BG 2.6 Mangelnde oder ungeeignete Scan-Qualität<br />
D2 Durch mangelnde oder ungeeignete Scan-Qualität wie z. B.<br />
- Fehlfunktion der Scanneroptik,<br />
- fehlerhafte Konfiguration der Scanner-Optik,<br />
- zu gering gewählte Auflösung,<br />
- schwarz-weiß Scannen von farbigen Dokumente, sofern der Farbinformation<br />
eine Bedeutung zukommt, oder<br />
- Verschmutzung des Scanners<br />
- Scannen von Durchlichtdokumenten (z.B. Röntgenbilder) mit ungeeigneter<br />
Hardware<br />
könnte die Vollständigkeit und Lesbarkeit eines Scanproduktes nur teilweise<br />
oder gar nicht gegeben sein.<br />
BG 2.7 Abhören von Scanprodukten durch Belauschen einer Kommunikationsverbindung<br />
D2, K1 Abhören der Datenübertragung von D2 vom Scanner (S1) zur Scan-Software<br />
(A2)<br />
D2, K2 Abhören der Datenübertragung von D2 vom Scanner (S1) zum Scan-Cache<br />
(S3)<br />
D2, K3 Abhören der Datenübertragung von D2 von der Scan-SW (A2) zum Scan-<br />
Cache (S3)<br />
BG 2.8 Einspielen von Scanprodukten<br />
D2, S3 Einspielen eines nicht authentischen D2 in den Scan-Cache (S3)<br />
BG 2.9 Vortäuschen einer Identität<br />
S3, K3 Vortäuschen eines authentischen Scan-Cache (S3) über K3<br />
S1, K1 Vortäuschen eines authentischen Scanners (S1) über K1<br />
BG 2.10 Auslesen eines zur Entsorgung bestimmten Betriebsmittels<br />
S1, S2,<br />
S3, D2<br />
Durch Auslesen eines zur Entsorgung bestimmten Betriebsmittels (z. B.<br />
Festplatte) von S1, S2 oder S3 könnte die Vertraulichkeit von D2 nicht mehr<br />
66 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
ID Gefährdung<br />
Bedrohte<br />
Objekte<br />
Beschreibung<br />
gegeben sein.<br />
Tabelle 31: Gefährdungen beim Scannen<br />
A.3.3 Gefährdungen bei der Nachverarbeitung<br />
ID Gefährdung<br />
Bedrohte<br />
Objekte<br />
Beschreibung<br />
BG 3.1 Zuordnung falscher Index- und Metadaten<br />
D2 Dem Scanprodukt (D2) könnten falsche Index- und Metadaten zugeordnet<br />
worden sein. Somit würde das Auffinden des nachbearbeiteten Scanproduktes<br />
deutlich erschwert oder gar unmöglich werden.<br />
BG 3.2 Manipulation von Index- und Metadaten<br />
D3, D2,<br />
K4<br />
D3, D2,<br />
S3<br />
Verändern von D3 bei der Datenübertragung von der Index-SW (A3) zum Scan-<br />
Cache (S3). Hierdurch könnte das Auffinden des Scanproduktes (D2) deutlich<br />
erschwert oder gar unmöglich werden.<br />
Verändern (Hinzufügen, Ändern oder Entfernen) von D3 auf dem Scan-Cache<br />
(S3). Hierdurch könnte das Auffinden des Scanproduktes (D) deutlich erschwert<br />
oder gar unmöglich werden.<br />
BG 3.3 Unautorisiertes Löschen der Index- und Metadaten<br />
D2, K9 Durch das unautorisierte Löschen der Index- und Metadaten bei der Übertragung<br />
zum Server (S5) könnte das Auffinden des Scanproduktes deutlich erschwert<br />
oder gar unmöglich werden.<br />
BG 3.4 Fehlende Indizierung<br />
D2 Durch die fehlende Indizierung könnte das Auffinden des Scanproduktes deutlich<br />
erschwert oder gar unmöglich werden.<br />
BG 3.5 Unautorisierte Einsicht in vertrauliche Index- und Metadaten<br />
D3 Die mit dem Scan-Vorgang beauftragte Person könnte unautorisierte Einsicht in<br />
vertrauliche Index- und Metadaten erhalten.<br />
BG 3.6 Abhören von Index- und Metadaten<br />
D3, K4 Abhören der Datenübertragung von D3 von der Index-SW (A3) zum Scan-Cache<br />
(S3).<br />
Bundesamt für Sicherheit in der Informationstechnik 67
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
ID Gefährdung<br />
Bedrohte<br />
Objekte<br />
Beschreibung<br />
BG 3.7 Einspielen von Index- und Metadaten<br />
D3, S3 Einspielen eines nicht authentischen D3 in den Scan-Cache (S3).<br />
BG 3.8 Ungeeignete Nachbearbeitung<br />
D2 Verlust der Lesbarkeit des Scanproduktes oder Verlust relevanter Informationen<br />
aus dem rohen Scanprodukt durch ungeeignete Nachbearbeitung, z.B. durch zu<br />
starke Rausch-Filter, Farbreduktion, zu starke Bildkompression, Reduktion von<br />
Layern bei Multi-Layer-Bildformaten, zu starkes Beschneiden.<br />
BG 3.9 Technisches Versagen der Speicherung<br />
D2, D3 Verlust des Scanproduktes oder der Metadaten durch Fehler beim Abspeichern<br />
oder technisches Versagen des Speichermediums (z. B. Softwarefehler oder<br />
Hardware-Defekt).<br />
BG 3.10 Manipulation oder Löschung der Transfervermerke oder Protokolldaten<br />
D4, D6 Die erzeugten Transfervermerke oder Protokolldaten könnten versehentlich oder<br />
absichtlich manipuliert oder gelöscht werden.<br />
Tabelle 32: Gefährdungen bei der Nachverarbeitung<br />
A.3.4 Gefährdungen bei der Integritätssicherung<br />
ID Gefährdung<br />
Bedrohte<br />
Objekte<br />
Beschreibung<br />
BG 4.1 Verwendung ungeeigneter Sicherungsmittel<br />
D2 Das Scanprodukt (D2) könnte mit schwachen 33 elektronischen Signaturen<br />
und/oder Zeitstempeln versehen werden oder durch leicht überwindbare<br />
Sicherungssysteme geschützt werden. Hierdurch kann die Integrität der<br />
verarbeiteten und aufbewahrten Datenobjekte nicht gewährleistet werden, was<br />
wiederum zu Problemen bei der Beweisführung führen kann.<br />
BG 4.2 Eingesetzte Algorithmen verlieren Sicherheitseignung<br />
D2, D5 Die zur Sicherung des Scanproduktes verwendeten kryptographischen<br />
Algorithmen könnten mit der Zeit ihre Sicherheitseignung verlieren, so dass<br />
die Integrität der durch die Sicherungsdaten D5 gesicherten Objekte (D2) nicht<br />
mehr gewährleistet werden kann.<br />
BG 4.3 Unautorisiertes Löschen der Sicherungsdaten<br />
D2, D5,<br />
K9<br />
Die Sicherungsdaten (D5) könnten z.B. bei der Übertragung zum Server (S5)<br />
durch unautorisierte Personen gelöscht worden sein. Hierdurch würden<br />
sämtliche Dokumente (D4) ihre Integrität verlieren.<br />
33 Eine elektronische Signatur ist „schwach“, wenn sie mit ungeeigneten kryptographischen Algorithmen, unzureichend<br />
geschützten und deshalb möglicherweise kompromittierten Schlüsseln oder unter Verwendung ungeeigneter<br />
Infrastrukturdienste (IS) (z.B. unzureichend zuverlässige Zeitstempel, unzureichende Identifizierung beim<br />
Zertifizierungsdienst, unzureichende Archivierung oder unzureichenden Prozesse) erstellt wurde.<br />
68 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
ID Gefährdung<br />
Bedrohte<br />
Objekte<br />
Beschreibung<br />
BG 4.4 Kompromittierung kryptographischer Schlüssel<br />
D2, D5 Die zur Sicherung verwendeten kryptographischen Schlüssel in (D5) könnten<br />
kompromittiert worden sein. Hierdurch könnte die Integrität der Scanprodukt<br />
(D2) nicht mehr gewährleistet werden.<br />
BG 4.5 Infrastrukturdienste nicht verfügbar<br />
D2, D5,<br />
K7<br />
Die Infrastrukturdienste (S6) könnten zeitweise nicht verfügbar sein. Während<br />
dieser Zeit wäre es ggf. nicht möglich die Integrität von bereits erfassten<br />
Dokumenten zu prüfen bzw. – z.B. sofern der Infrastrukturdienst Signaturen<br />
oder Zeitstempel erzeugt – zu schützen.<br />
BG 4.6 Vortäuschen eines Infrastrukturdienstes<br />
D2, K7 Das Vortäuschen eines authentischen Infrastrukturdienstes (S6) könnte dazu<br />
führen, das die Integrität oder Authentizität von Scanprodukten nicht<br />
gewährleistet ist.<br />
BG 4.7 Erzeugen nicht authentischer Sicherungsdaten<br />
D2, D3,<br />
K5<br />
Manipulation von D2 und D3 durch die Integritätssicherungs-Hardware (IS-<br />
HW) oder Integritätssicherungs-Software (IS-SW). Damit wäre die Integrität<br />
der so geschützten Objekte (D3, D2) nicht gewährleistet.<br />
BG 4.8 Abhören von nachbearbeiteten Scanprodukten<br />
D2, K6,<br />
S3<br />
Abhören von D2 beim Transfer aus dem Scan-Cache (S3) zur<br />
Integritätssicherungs-Software (IS-SW).<br />
BG 4.9 Manipulation von nachbearbeiteten Scanprodukten<br />
D2, K6,<br />
S3<br />
Manipulation von D2 beim Transfer aus dem Scan-Cache (S3) zur<br />
Integritätssicherungs-Software (IS-SW).<br />
BG 4.10 Unautorisierte Nutzung von Systemen<br />
S2, S4 Durch unautorisierte Nutzung der Integritätssicherungs-Hardware oder der<br />
Integritätssicherungs-Software könnten unautorisierte Sicherungsdaten erzeugt<br />
werden.<br />
BG 4.11 Technisches Versagen der Speicherung<br />
D2, D5 Verlust des Scanproduktes oder der Sicherungsdaten durch technisches<br />
Versagen beim Abspeichern oder auf Grund eines technischen Problems des<br />
Speichermediums (z. B. Softwarefehler oder Hardware-Defekt).<br />
Tabelle 33: Gefährdungen bei der Integritätssicherung<br />
A.4 Sicherheitsmaßnahmen<br />
Im Folgenden werden Maßnahmen beschrieben, welche den o. g. Gefährdungen direkt entgegen<br />
wirken sollen (vgl. [KSD+08], [BuKa08]). Neben den Maßnahmen des IT-Grundschutzes (M) sind<br />
auch benutzerdefinierte Maßnahmen (BM) angegeben. Zusätzlich zu den nachfolgend genannten<br />
Maßnahmen sind die Maßnahmen aus den Bausteinen des IT-Grundschutzkataloges, die im Rahmen<br />
Bundesamt für Sicherheit in der Informationstechnik 69
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
der Modellierung des Informationsverbundes den einzelnen Objekten zugeordnet wurden, zu<br />
berücksichtigen.<br />
Welche Maßnahmen zum Schutz der Daten ergriffen werden müssen, hängt auch davon ab, ob die<br />
Daten (nur) im eigenen Interesse aufbewahrt werden oder ob dies auch im Interesse der Betroffenen<br />
oder Dritter erfolgt.<br />
A.4.1 Allgemeine Sicherheitsmaßnahmen<br />
Allgemein sind die folgenden Bausteine speziell im Hinblick auf den Scanprozess und die dabei<br />
eingesetzten Systeme zu berücksichtigen:<br />
• Sofern der Scanvorgang teilweise oder vollständig durch externe Dienstleister durchgeführt<br />
wird, der Baustein B1.11 (Outsourcing).<br />
• Beim Scannen von Dokumenten mit personenbezogenen Daten der Baustein 1.5<br />
(Datenschutz)<br />
• Für die Aufbewahrung der Dokumente der Baustein B1.12 (Archivierung).<br />
• Zur Absicherung des Scanners S1 der Baustein B 3.406 Drucker, Kopierer und<br />
Multifunktionsgeräte. Dieser Baustein umfasst explizit auch Dokumentenscanner.<br />
• Zur Absicherung der Scan-Workstation und des Scan-Cache die anwendbaren Bausteine der<br />
Ebenen 3 (IT-Systeme).<br />
• Zur Absicherung des Netzwerkes und des Netzzuganges der Systeme die Bausteine der<br />
Schicht 4.<br />
• Dort, wo entsprechende Anwendungen, wie z. B. E-Mail oder Datenbanken für den<br />
Scanvorgang, eingesetzt werden, sind die entsprechenden Bausteine der Schicht 5<br />
anzuwenden.<br />
Die Nummerierung der Maßnahmen M x.y bezieht sich auf den Maßnahmenkatalog des IT-<br />
Grundschutz-Handbuchs. Dieser Maßnahmenkatalog wird im Rahmen dieser <strong>TR</strong> bedarfsgerecht um<br />
spezifische Maßnahmen BM x.y für das ersetzende Scannen ergänzt.<br />
M 2.1 – Festlegung von Verantwortlichkeiten und Regelungen<br />
Da der Scanvorgang immer auch manuelle Bedienhandlungen umfasst, bei denen die Gefahr von<br />
Fehlern oder unberechtigten Handlungen besteht, müssen für den Scanvorgang klare Regelungen<br />
definiert werden um die Risiken zu minimieren. Eine vollständige Eliminierung dieser Risiken ist<br />
jedoch in der Praxis nicht zu erreichen. Diese Maßnahmen sollten die folgenden Aspekte festlegen:<br />
• Verantwortlichkeiten und Aufgaben beim Scanvorgang (siehe auch M 2.5). Diese sollten über<br />
ein Rollenkonzept festgelegt werden.<br />
• Festlegung des Scanprozesses. Hier ist festzulegen, welche Schritte durch wen ausgeführt<br />
werden müssen, wie dabei vorzugehen ist, welche Daten dabei erzeugt werden und welche<br />
Qualitätskontrollen durchzuführen sind (siehe BM 2.7, Qualitätssicherung der Scanprodukte).<br />
Dabei sind insbesondere typische Fehlerquellen zu berücksichtigen und entsprechende<br />
Vorsichtsmaßnahmen festzulegen (siehe BM 2.1). Außerdem sollte festgelegt werden, unter<br />
welchen Umständen das Originaldokument vernichtet werden darf. Hierbei sollte auch ein<br />
Verfahren zur Klärung von „Zweifelsfragen“ etabliert werden. Um eine hohe Sicherheit zu<br />
erreichen, kann durch Aufgabenteilung ein 4-Augenprinzip durchgesetzt werden (siehe M<br />
2.5).<br />
• Festlegung der einzusetzenden IT-Systeme, Anwendungen und Sicherungsmittel.<br />
• Anforderungen an die Mitarbeiter. Hier ist darauf zu achten, dass die mit dem Scanvorgang<br />
betrauten Mitarbeiter zur Handhabung der zu scannenden Dokumente und der zu verwendeten<br />
IT-Systeme berechtigt sind sowie die erforderliche Qualifikation, Erfahrung und<br />
Zuverlässigkeit besitzen (siehe M 3.33). Bei der Verarbeitung personenbezogener Dokumente<br />
müssen alle an der Verarbeitung beteiligten Personen zur Einhaltung der anzuwenden<br />
70 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Datenschutzgesetze verpflichtet werden (siehe M 3.2). Dies betrifft besonders die Mitarbeiter<br />
externer Dienstleister.<br />
• Qualifikation und Sensibilisierung der Mitarbeiter. Die mit dem Scanvorgang betrauten<br />
Mitarbeiter müssen hinsichtlich des Vorganges und der einzuhaltenden Regeln des<br />
Scanprozesses qualifiziert und sensibilisiert werden. Zu vermitteln sind sowohl das allgemeine<br />
Vorgehen, die vertrauenswürdige Handhabung der Dokumente und Daten, die Bedienung der<br />
einzelnen Systeme, das Verhalten bei Problemen und Fehlern, die Durchführung von<br />
Nachkontrollen sowie die für den Scanprozess nötige Sorgfalt (siehe M 2.198, M 3.4, M 3.5,<br />
M 3.11, M 3.26).<br />
• Regelungen für die Administration und Wartung der IT-Systeme (siehe M 2.4 und M 2.225).<br />
• Sicherheitsanforderungen an die IT-Systeme, Netze und Anwendungen.<br />
• Um einen besonders hohen Schutz der Vertraulichkeit zu erreichen, kann zusätzlich eine<br />
Verpflichtung und ggf. Sicherheitsüberprüfung der Mitarbeiter (siehe M 3.2 und M 3.33)<br />
vorgenommen werden.<br />
M 2.4 – Regelungen für Wartungs- und Reparaturarbeiten<br />
Es sollten klare Regelungen für Wartungs- und Reparaturarbeiten existieren. Dies betrifft in<br />
besonderem Maße die für den Scanvorgang eingesetzten IT-Systeme und Anwendungen.<br />
M 2.5 – Aufgabenverteilung und Funktionstrennung<br />
Um einen hohen Schutz in den Prozessen zu gewährleisten (z.B. beim Scannen besonders<br />
schutzbedürftiger Dokumente) kann es sinnvoll sein, die Verantwortung auf mehrere Mitarbeiter<br />
aufzuteilen. Insbesondere bei Nachkontrollen ist es sinnvoll, diese durch andere Mitarbeiter<br />
durchführen zu lassen, als die überprüften Arbeitsschritte. Weiterhin kann eine Aufgabenteilung<br />
sinnvoll sein, um Angriffe wie z.B. absichtliche Manipulationen durch Mitarbeiter zu verhindern. Dies<br />
betrifft insbesondere den Zugriff auf die Komponenten, mit denen die Sicherungsdaten erstellt werden,<br />
z.B. die Signaturerstellungseinheiten. Im Zuge dieser Maßnahme sind vielfältige organisatorische<br />
Aspekte zu berücksichtigen, die im Zuge einer individuellen Arbeitsanweisung für das ersetzende<br />
Scannen berücksichtigt werden müssen.<br />
M 2.11 – Regelungen für den Passwortgebrauch<br />
Es wird empfohlen, eine Regelung zum Passwortgebrauch einzuführen und die IT-Benutzer<br />
diesbezüglich zu unterweisen. Die Passwortrichtlinie soll die in M 2.11 von [<strong>BSI</strong>-GSK] aufgeführten<br />
Empfehlungen berücksichtigen.<br />
M 2.198 – Sensibilisierung der Mitarbeiter für Informationssicherheit<br />
Besonders beim Scannen hoch schutzbedürftiger Dokumente und der anschließenden Verarbeitung des<br />
Scanproduktes bestehen beträchtliche Risiken durch mangelnde Sorgfalt, unbedachte Handlungen und<br />
unangemessenem Umgang mit Dokumenten, Daten und IT-Systemen. Aus diesem Grund müssen die<br />
Mitarbeiter bzgl. der Sicherheitsmaßnahmen und der sicherheitsbewussten Handhabung von<br />
Dokumenten, Daten und IT-Systemen und der zu ergreifenden Vorsichtsmaßnahmen sensibilisiert<br />
werden (vgl. auch BM 2.1). Diese Sensibilisierung ist insbesondere dann nötig, wenn Dokumente mit<br />
personenbezogenen Daten oder Verschlusssachen verarbeitet werden.<br />
M 2.199 – Aufrechterhaltung der Informationssicherheit<br />
In angemessenen zeitlichen Abständen ist die Einhaltung der getroffenen und festgelegten<br />
Sicherheitsmaßnahmen durch eine Stelle, welche der Institution, die das ersetzende Scannen<br />
durchführt, organisatorisch nicht angehört, unangekündigt zu kontrollieren.<br />
M 2.225 – Zuweisung der Verantwortung für Informationen, Anwendungen und IT-<br />
Komponenten<br />
Bundesamt für Sicherheit in der Informationstechnik 71
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Für die zu scannenden Dokumente und die Scanprodukte sollten Mitarbeiter benannt werden, die für<br />
deren Sicherheit verantwortlich sind. Außerdem sollten Verantwortliche für die im Scanprozess<br />
genutzten IT-Systeme und Komponenten (z.B. Signaturerstellungseinheiten) benannt werden.<br />
M 3.2 – Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und<br />
Regelungen<br />
Dies betrifft die Einhaltung der Verantwortlichkeiten und Regelungen zum Scanprozess (siehe M 2.1)<br />
und den vertrauenswürdigen und verantwortungsbewussten Umgang mit sensiblen Dokumenten und<br />
Daten. Insbesondere sind die für die Durchführung des Scanvorganges relevanten gesetzlichen<br />
Regelungen zu identifizieren (vgl. Abschnitt A.2.3) und den Mitarbeitern zur Kenntnis zu bringen<br />
(siehe M 2.11, M 2.198, M 3.4, M 3.5, M 3.11, M 3.26, M 3.35). Sofern personenbezogene Daten<br />
verarbeitet werden, sind die entsprechenden Datenschutzregelungen zu beachten.<br />
M 3.4 – Schulung vor Programmnutzung bzw. Prozessdurchführung<br />
Die Mitarbeiter, die den Scanvorgang durchführen, müssen in geeigneter Weise hinsichtlich der<br />
eingesetzten Geräte, Anwendungen und sonstigen Abläufe eingewiesen werden.<br />
M 3.5 – Schulung zu Sicherheitsmaßnahmen<br />
Die Mitarbeiter, die den Scanvorgang durchführen oder verantworten, müssen in geeigneter Weise<br />
hinsichtlich der dabei umzusetzenden sowie der implementierten Sicherheitsmaßnahmen geschult<br />
werden.<br />
M 3.11 – Schulung des Wartungs- und Administrationspersonals.<br />
Dies betrifft alle für den Scanvorgang eingesetzten IT-Systeme und Anwendungen.<br />
M 3.26 – Einweisung des Personals in den sicheren Umgang mit IT<br />
Dies betrifft alle im Scanprozess eingesetzten IT-Systeme und Anwendungen (siehe auch M 3.35).<br />
M 3.33 – Sicherheitsüberprüfung von Mitarbeitern<br />
Sofern besonders sensible Dokumente gescannt werden müssen, z.B. Dokumente, deren<br />
Vertraulichkeit eingestuft ist, oder Dokumente deren Manipulation oder Verlust zu erheblichem<br />
Schaden führen könnte, sollten die Mitarbeiter, die für den Scanprozess verantwortlich sind und den<br />
Prozess durchführen, hinsichtlich ihrer Zuverlässigkeit und Vertrauenswürdigkeit überprüft werden.<br />
Der Umgang mit Dokumenten, die nach VSA eingestuft sind, erfordert außerdem eine entsprechende<br />
Ermächtigung.<br />
M 3.35 – Einweisung der Benutzer in die Bedienung des Archivsystems<br />
Diese Maßnahme sollte sinngemäß auch auf die für den Scanvorgang eingesetzten IT-Systeme und<br />
Anwendungen angewendet werden. Insbesondere sind die Mitarbeiter in die sichere Nutzung der<br />
Scan-Hardware und -Software sowie ggf. der Komponenten zur Erstellung der Sicherungsdaten (z.B.<br />
von Signaturanwendungskomponenten, Signaturerstellungseinheiten und/oder Zeitstempeldiensten) zu<br />
unterweisen.<br />
A.4.2 Sicherheitsmaßnahmen bei der Dokumentenvorbereitung<br />
BM 2.1 – Sorgfältige Vorbereitung der Papierdokumente<br />
Eine der größten Fehlerquellen beim Scannen sind Mängel bei der Vorbereitung der Papierdokumente.<br />
Diesen kann durch eine angemessene Sorgfalt vorgebeugt werden. Beispiele hierfür sind:<br />
72 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
• Der logische Kontext der Dokumente wie Kuvert-Zusammenhang, Dokumentenstruktur- und<br />
Vollständigkeit etc. muss bewahrt bleiben. Ein Anschreiben, welches eindeutigen Bezug zu<br />
einem Dokument (z.B. einem Antrag) hat, besitzt unter Umständen eine höhere Aussagekraft,<br />
wenn der Nachweis erbracht werden kann, dass beide Dokumente als ein Vorgang (ein<br />
Kuvert) erfasst wurden. Ist dies bei der späteren Recherche nicht mehr möglich, weil der<br />
Briefzusammenhang ohne entsprechende Dokumentation aufgelöst wurde (es gibt dann nur<br />
noch zwei Dokumente mit gleichem Eingangsdatum, aber die Tatsache, dass sie im gleichen<br />
Kuvert ankamen, ist nicht mehr ersichtlich) fehlt unter Umständen ein wesentliches Element<br />
der Beweisbarkeit. Daher sollten Maßnahmen ergriffen werden, die später die Vollständigkeit<br />
der eingescannten Dokumente bzw. Akten erkennen lassen, wie z.B. Vorblätter zur Trennung<br />
und Indizierung der Dokumente und Kuverts. 34<br />
• Bei mehrseitigen Dokumenten ist auf eine einheitliche Orientierung und die korrekte<br />
Reihenfolge der Seiten sowie die korrekte Trennung und Indizierung der Dokumente zu<br />
achten. Falls Seiten verdreht sind, können z.B. bei einem einseitigem Scanvorgang ganze<br />
Seiten fehlen. Falls die Trennung der Dokumente fehlerhaft erfolgt, können eingescannte<br />
Dokumente unvollständig sein oder wegen falscher Meta- und Indexinformationen nicht mehr<br />
aufgefunden werden. Sofern Vorblätter zur Trennung und Indizierung der Dokumente, z.B.<br />
mit Patch- oder Barcodes, verwendet werden, müssen diese sehr sorgfältig den Dokumenten<br />
zugeordnet und eingefügt werden.<br />
• Knicke, Heftklammern, Büroklammern, Klebezettel können zu einem fehlerhaften<br />
automatischen Einzug der einzelnen Seiten führen, und dadurch das Auslassen einzelner<br />
Seiten oder sogar deren Zerstörung bewirken. Vor dem Einlegen in den Scan-Einzug müssen<br />
daher die Papierdokumente auf solche Merkmale überprüft werden. Sofern möglich, sollten<br />
diese Hindernisse entfernt oder gemildert (z.B. Glättung der Falten oder geeignete<br />
Befestigung von Klebezetteln) werden. In Fällen, wo dies nicht möglich ist (z.B. beschädigte<br />
Seiten, gebundene Dokumente) sowie bei Papiersorten, die nicht für den automatischen<br />
Einzug geeignet sind, müssen die Dokumente manuell aufgelegt werden.<br />
• Manche Dokumente müssen „passend" aufbereitet werden, weil ihre Physis (Dicke,<br />
Bindung/Heftung) kein unverändertes Erfassen erlaubt. Es muss auch dafür Sorge getragen<br />
werden, dass für die physikalischen Bedingungen ausgelegte Scan-Komponenten verwendet<br />
werden (Großformatscanner, Buchscanner, etc.).<br />
• Die Papierdokumente sind vor Verschmutzung zu schützen.<br />
• Doppelseitige Dokumente müssen beim Scannen als solche klar erkennbar sein, damit die<br />
korrekten Scan-Einstellungen vorgenommen werden können. Insbesondere, wenn die ersten<br />
und letzten Seiten nur einseitig, die dazwischen liegenden Seiten aber doppelseitig bedruckt<br />
sind, besteht die Gefahr von Fehlern.<br />
• Sofern Passagen im Dokument spezielle Scan-Einstellungen erfordern (z.B. Kleingedrucktes,<br />
farbige oder kontrastarme Elemente) muss dies beim Scannen ersichtlich sein. Dazu kann es<br />
sinnvoll sein, diese Informationen den Dokumenten beizulegen, z.B. auf Vorblättern. Die<br />
Mitarbeiter werden hinsichtlich der potenziellen Fehlerursachen und der entsprechenden<br />
Vorsichtsmaßnahmen sensibilisiert (siehe M 2.198).<br />
• Beim Umkopieren von Dokumenten, die nicht unmittelbar erfasst werden können, ist darauf<br />
zu achten, dass die Kopien alle für die Aufbewahrung wesentlichen Informationen enthalten.<br />
Welche Informationen dies genau umfasst ist ggf. in einer Verfahrensanweisung festzulegen.<br />
BM 2.2 – Kennzeichnung der Dokumente bzgl. Sensibilität<br />
Vertrauliche oder anderweitig hoch schutzbedürftige Dokumente sollten entsprechend gekennzeichnet<br />
werden. Die Kennzeichnung sollte deutlich sichtbar angebracht werden, damit die verarbeitenden<br />
Personen die Sensibilität des Dokumentes nicht übersehen und dieses unangemessen<br />
handhaben. Diese Maßnahme ist insbesondere dann wichtig, wenn Dokumente mit personenbezogenen<br />
Daten oder Verschlusssachen verarbeitet werden.<br />
34 Betrachtungen zu mehrseitigen, beglaubigten Dokumenten finden sich in [<strong>BSI</strong>-<strong>TR</strong>03138-R].<br />
Bundesamt für Sicherheit in der Informationstechnik 73
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
BM 2.3 – Beschränkung des Zugriffs auf sensible Papierdokumente<br />
Um einen hohen Schutz vor der Manipulation, Entwendung, Vernichtung oder unbefugter<br />
Einsichtnahme bei Dokumenten mit hohem Schutzbedarf zu gewährleisten, dürfen während der<br />
Vorbereitung und während des Scanvorgangs keine unbefugten Personen Zugriff auf die<br />
Papierdokumente erhalten. Dies erfordert eine Zugangsbeschränkung zu den Räumlichkeiten, in<br />
denen die Dokumente verarbeitet werden, eine Aufbewahrung, die Schutz vor unbefugtem Zugriff,<br />
Einsichtnahme oder Beschädigung bietet, sowie eine angemessen vorsichtige Handhabung (z.B. kein<br />
unbeaufsichtigtes Liegenlassen, keine Weitergabe ohne Prüfung der Autorisierung). Sofern nicht<br />
bereits generelle Regelungen für den Zugriff auf sensible Papierdokumente existieren, sollten im<br />
Rahmen des ersetzenden Scannens entsprechende Reglungen geschaffen werden (siehe auch M 2.1).<br />
Gefährdungen<br />
Maßnahmen Bemerkung<br />
BG 1.1 BM 2.3 - Beschränkung des Zugriffs auf sensible Papierdokumente verbleibendes<br />
Restrisiko 35<br />
BG 1.2<br />
BG 1.3<br />
BG 1.4 BM 2.1 - Sorgfältige Vorbereitung der Papier-Dokumente<br />
BM 2.2 - Kennzeichnung der Dokumente bzgl. Sensibilität<br />
BG 1.5 M 2.1 - Festlegung von Verantwortlichkeiten und Regelungen<br />
BM 2.3 - Beschränkung des Zugriffs auf sensible Papierdokumente<br />
BG 1.6 BM 2.3 - Beschränkung des Zugriffs auf sensible Papierdokumente<br />
BG 1.7 BM 2.1 - Sorgfältige Vorbereitung der Papier-Dokumente<br />
BG 1.8<br />
Tabelle 34: Gefährdungen und Maßnahmen in der Dokumentenvorbereitung<br />
A.4.3 Sicherheitsmaßnahmen beim Scannen<br />
versehentlich<br />
absichtlich<br />
BM 2.4 – Sorgfalt beim Scannen<br />
Beim Scannen muss typischen Ursachen für Probleme durch eine angemessene Sorgfalt<br />
entgegengewirkt werden:<br />
• Der Scanner muss voll funktionsfähig und entsprechend der Vorgaben des Herstellers gepflegt<br />
sein.<br />
• Die Dokumente müssen entsprechend der Vorgaben der Produkthandbücher und gemäß der<br />
physikalischen Struktur des Dokumentes dem Scanner übergeben werden. Dokumente, die<br />
nicht für den automatischen Einzug geeignet sind (z.B. ungeeignete Papiersorten, beschädigte<br />
Seiten, gebundene Dokumente), müssen manuell aufgelegt werden.<br />
• Die Eignung der Scan-Einstellungen sollte jeweils vor dem Scannen geprüft werden.<br />
BM 2.5 – Geeignete Scan-Einstellungen<br />
Die Scan-Einstellungen (z.B. ein- oder doppelseitiger Scan, Auflösung, Kontrast, Helligkeit, Farbtiefe,<br />
automatische Dokumententrennung, Leerseitenerkennung, Blindfarbenfilter) müssen für die<br />
35 An dieser Stelle sei darauf hingewiesen, dass durch die Maßnahme BM 2.3 den Bedrohungen BG 1.1 und BG 1.2 nicht<br />
komplett entgegengewirkt werden kann, da eine Manipulation oder Fälschung auch vor dem Eingang des Dokumentes<br />
erfolgen kann und dies nicht ohne weiteres durch Maßnahmen im Scanprozess erkannt werden kann. Weitere<br />
Betrachtungen zu verbleibenden rechtlichen Risiken finden sich auch in [<strong>BSI</strong>-<strong>TR</strong>03138-R].<br />
74 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
jeweiligen Dokumente geeignet gewählt werden. Um die Wahrscheinlichkeit von Fehlern zu<br />
reduzieren, sollten geeignete Profile definiert und verwendet werden, oder Scan-Einstellungen bereits<br />
in der Dokumentenvorbereitung ermittelt und (z.B. auf Vorblättern) angegeben werden.<br />
BM 2.6 – Nutzung von Metainformationen aus der Dokumentenvorbereitung<br />
Insbesondere bei hohem Scan-Durchsatz und wenn komplexe Kontexte (z.B. Kuvert-Zusammenhang)<br />
beachtet werden müssen, sind entsprechende, automatisiert erfassbare Vorblätter zur<br />
Dokumententrennung und Spezifikation von weiteren Meta-Informationen, wie z.B. Seitenzahl, Scan-<br />
Einstellungen, Dokumentenkontext, Indexinformationen sinnvoll. Der Scanner kann diese Informationen<br />
dann automatisiert auswerten, die Einstellungen anpassen, Scanprodukte entsprechend<br />
zusammenfassen und die Meta-Daten zum Scanprodukt hinzufügen. Prinzipiell sind auch Lösungen<br />
zum automatischen Auslesen von Indexinformationen zulässig. Voraussetzung ist eine zuverlässige<br />
Konfiguration der Applikation bezüglich der Erkennung und Gültigkeit der ausgelesenen Werte mit<br />
sorgfältiger manueller Qualitätssicherung und Nachbearbeitung.<br />
BM 2.7 – Qualitätssicherung der Scanprodukte<br />
Um mangelhafte Scanvorgänge (z.B. fehlende Seiten, mangelnde Lesbarkeit, fehlender<br />
Dokumentenzusammenhang) zu erkennen, muss eine geeignete Qualitätskontrolle stattfinden.<br />
Abhängig vom Scan-Durchsatz und dem Schutzbedarf des Dokumentes kann eine vollständige<br />
manuelle Kontrolle des Scan-Produktes (z.B. bei einem Notar) sinnvoll sein. Alternativ, insbesondere<br />
bei hohem Durchsatz kann die manuelle Kontrolle auf Stichproben reduziert werden, um systemische<br />
Fehler (z.B. ungeeignete Scan-Einstellungen, Fehlfunktionen des Scanners) zu erkennen. Die Größe<br />
der Stichprobe ist vor allem nach dem Schutzbedarf der gescannten Dokumente zu bestimmen. Eine<br />
hundertprozentige Sichtkontrolle ist regelmäßig nicht 36 nötig. Zusätzlich können automatische<br />
Mechanismen zur Qualitätskontrolle eingesetzt werden, wie z.B. eine automatische Erkennung von<br />
Leerseiten, von unzureichender Bildqualität oder die Prüfung der Seitenzahl (z.B. gegen die auf<br />
Vorblättern angegebenen Meta-Daten). Da jedoch automatische Qualitätskontrollen grundsätzlich<br />
fehleranfällig sind (z.B. können Seiten mit ausschließlich handschriftlichen Vermerken, wie Paraphen,<br />
u.U. schlecht von Leerseiten 37 unterschieden werden), ist eine manuelle Prüfung der automatisch<br />
identifizierten Probleme zu empfehlen.<br />
M 1.32 – Geeignete Aufstellung von Druckern und Kopierern<br />
Diese Maßnahme ist sinngemäß auch auf den Scanner anzuwenden. Es muss sichergestellt werden,<br />
dass Personen, die keinen Zugriff auf die Originale und Scanprodukte haben dürfen, während des<br />
Scanvorganges keinen unbeaufsichtigten Zugang zum Scanner erhalten. Dies kann entweder durch<br />
eine Beaufsichtigung des Scanvorganges oder durch eine Zugangskontrolle zum Scanner erreicht<br />
werden. Um einen hohen Schutz gegen Manipulationen des Scanners bzw. seiner Konfigurationen<br />
(BG 2.2), der Dokumente beim Scannen (BG 1.2, BG 1.3 und BG 1.4), oder gegen das nachträgliche<br />
Auslesen von Scanprodukten vom internen Datenträger des Scanners (vgl. BG 2.5) zu erreichen, sollte<br />
der Zugang zum Scanner generell (d.h. auch außerhalb des Scanvorganges) auf ein Minimum<br />
beschränkt werden.<br />
M 2.42 – Festlegung der möglichen Kommunikationspartner<br />
Sofern die für das Scannen eingesetzten IT-Systeme über ein Netzwerk verbunden sind, sollten in<br />
diesem Netzwerk und auf den IT-Systemen selbst die zulässigen Kommunikationsverbindungen<br />
möglichst restriktiv konfiguriert werden.<br />
M 2.46 – Geeignetes Schlüsselmanagement<br />
36 Eine Ausnahme bildet das Scannen von Personalakten nach dem BBG.<br />
37 Eine Lösung für das Problem der falsch oder nicht erkannten Leerseiten, besteht darin, diese nur zu markieren und<br />
dennoch im Archiv abzulegen. Die entsprechende Fachanwendung kann beim Anzeigen diese Information interpretieren<br />
und die Leerseiten ausblenden oder bei Bedarf anzeigen.<br />
Bundesamt für Sicherheit in der Informationstechnik 75
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Sofern kryptographische Verfahren für die Absicherung der Datenübertragung zwischen Scanner,<br />
Scan-Workstation und Scan-Cache eingesetzt werden, muss diese Maßnahme berücksichtigt werden.<br />
M 2.164 – Auswahl eines geeigneten kryptographischen Verfahrens<br />
Sofern kryptographische Verfahren für die Absicherung der Datenübertragung zwischen Scanner,<br />
Scan-Workstation und Scan-Cache eingesetzt werden, muss diese Maßnahme berücksichtigt werden.<br />
M 2.62 – Software-Abnahme- und Freigabe-Verfahren<br />
Um eine Manipulation der zum Scannen verwendeten IT-Systeme zu verhindern, ist diese Maßnahme<br />
sowohl auf die Firmware des Scanners als auch auf die Software der Scan-Workstation und des Scan-<br />
Caches anzuwenden.<br />
M 2.204 – Verhinderung ungesicherter Netzzugänge<br />
Sofern die für das Scannen eingesetzten IT-Systeme über ein Netzwerk verbunden sind, muss diese<br />
Maßnahme in dem entsprechenden Netzwerksegment (vgl. M 5.146) berücksichtigt werden.<br />
M 2.399 – Kriterien für die Beschaffung und geeignete Auswahl von Druckern, Kopierern und<br />
Multifunktionsgeräten<br />
Diese Maßnahme ist auf den Scanner anzuwenden. Insbesondere können folgende Kriterien bei der<br />
Auswahl relevant sein:<br />
• ausreichender Durchsatz,<br />
• Unterstützung geeigneter Datenformate (z.B. PDF-A),<br />
• Unterstützung von Patch- und/oder Barcodes zur Dokumententrennung und Übergabe von<br />
Meta-Informationen,<br />
• ausreichende Qualität der Scan-Ergebnisse,<br />
• ausreichende Flexibilität der Konfiguration,<br />
• ausreichend zuverlässiger und leistungsfähiger automatischer Seiteneinzug (auch für<br />
doppelseitigen Scan), (zuverlässige Doppeleinzugskontrolle),<br />
• bei Bedarf Möglichkeit zum Scannen von Überlängen, zum Scannen von Farbe sowie von<br />
Durchlichtdokumenten (z.B. Röntgenbilder),<br />
• geeignete Schnittstellen für den Übermittlung des Scanproduktes,<br />
• Möglichkeit der Absicherung der Administrationsschnittstelle (lokal und über Netz),<br />
• Nutzung eines internen Datenspeichers,<br />
• Möglichkeit zum sicheren Löschen oder verschlüsselter Speicherung von Scans auf dem<br />
internen Datenträger und<br />
• ausreichender Support.<br />
M 2.400 – Sichere Außerbetriebnahme von Druckern, Kopierern und Multifunktionsgeräten<br />
Sofern der Scanner einen internen Datenträger besitzt und vertrauliche Dokumente gescannt werden,<br />
sollte diese Maßnahme für Scanner berücksichtigt werden.<br />
M 4.7 – Änderung voreingestellter Passwörter<br />
Die Administration des Scanners, insbesondere die Konfiguration der Kommunikationsschnittstellen<br />
bei netzwerkfähigen Scannern, kann bei vielen Produkten durch ein Passwort gesichert werden. Die<br />
voreingestellten Passwörter müssen nach Installation des Scanners geändert bzw. es sollte sofern<br />
möglich ein initiales Passwort gesetzt werden. Basis für die Vergabe der Passwörter sollten explizit<br />
formulierte interne Sicherheitsrichtlinien (vgl. M 2.11 – Regelung des Passwortgebrauchs) sein.<br />
76 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
M 4.78 – Sorgfältige Durchführung von Konfigurationsänderungen<br />
Diese Maßnahme muss insbesondere in Bezug auf den Scanner und die Scan-Software berücksichtigt<br />
werden.<br />
M 4.80 – Sichere Zugriffsmechanismen bei Fernadministration.<br />
Bei netzwerkfähigen Scannern kann in der Regel die Administration über das Netzwerk erfolgen, z.B.<br />
über eine Web-Schnittstelle. Diese muss gegen unbefugten Zugriff geschützt werden. Dazu sind der<br />
Zugriff auf die Administrationsschnittstelle durch ein Passwort zu schützen (vgl. M 4.7) und durch<br />
eine geeignete Netzwerk-Konfiguration auf die notwendigen Systeme (z.B. Rechner der Administratoren)<br />
einzuschränken.<br />
M 4.300 – Informationsschutz bei Druckern, Kopierern und Multifunktionsgeräten<br />
Diese Maßnahme ist sinngemäß auf über Netzwerk angesprochene Scanner anzuwenden und umfasst<br />
die Absicherung der Datenübertragung zwischen Scanner und Scan-Workstation oder Scan-Cache<br />
sowie die sichere Speicherung und Löschung von Daten auf einem internen Datenträger des Scanners.<br />
Ein hoher Schutz für die Datenübertragung vom und zum Scanner kann durch eine geeignete<br />
kryptographische Absicherung (Verschlüsselung, Authentifizierung und Integritätsschutz) erreicht<br />
werden (vgl. M 2.164).<br />
M 4.301 – Beschränkung der Zugriffe auf Drucker, Kopierer und Multifunktionsgeräte<br />
Diese Maßnahme ist sinngemäß auf den Scanner anzuwenden, insbesondere, wenn diese über<br />
Netzwerk angebunden ist.<br />
M 4.302 – Protokollierung bei Druckern, Kopierern und Multifunktionsgeräten.<br />
Diese Maßnahme ist sinngemäß auf den Scanner anzuwenden. Bei Scannern, die über Netzwerk<br />
angebunden sind, sollte eine netzwerkseitige Protokollierung der Zugriffe auf diesen in Betracht<br />
gezogen werden.<br />
M 4.303 – Einsatz von netzfähigen Dokumentenscannern<br />
Die Maßnahme ist auf Scanner anzuwenden, die über Netzwerk angebunden sind. Insbesondere sind<br />
in diesem Fall die spezifischen Maßnahmen M 5.146, M 4.300 und M 4.301 zu berücksichtigen.<br />
Sofern der Scanner ein Multifunktionsgerät mit integrierter Faxfunktionalität ist, sollte der Baustein B<br />
5.6 (Faxserver) berücksichtigt werden.<br />
M 5.146 – Netztrennung beim Einsatz von Multifunktionsgeräten<br />
Sofern hoch schutzbedürftige Dokumente gescannt werden, sollte der Scanner durch logische<br />
Trennung vor unbefugten Zugriffen über das Netzwerk geschützt werden. Generell empfiehlt sich eine<br />
Segmentierung des Netzwerkes, so dass sich die für das Scannen eingesetzten IT-Systeme in einem<br />
separatem Netzsegment befinden, und eine geeignete Abschottung dieses Netzsegmentes durch<br />
Paketfilter, Routing-Regeln, etc. Zumindest sollten die Systeme keinen Zugriff auf das Internet<br />
besitzen und von diesem auch nicht erreichbar sein. Die Abschottung vom Internet senkt bereits das<br />
Risiko einer Infektion durch Schadsoftware beträchtlich. Ein besonders hoher Schutz wird durch eine<br />
vollständige physische Trennung der Scan-Umgebung erreicht, so dass die für das Scannen<br />
eingesetzten IT-Systeme nicht mit anderen Netzwerken verbunden sind. Eine maximale Trennung des<br />
Scanners von der Scanumgebung wird bereits durch einen lokalen Anschluss des Scanners an die<br />
Scan-Workstation, z.B. über USB, erreicht.<br />
Baustein B 1.6 – Schutz vor Schadprogrammen<br />
Um einer Infektion vor Schadprogrammen vorzubeugen, sollten die Maßnahmen dieses Bausteines<br />
bzgl. der für das Scannen eingesetzten IT-Systeme möglichst konsequent umgesetzt werden.<br />
Bundesamt für Sicherheit in der Informationstechnik 77
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Gefährdungen<br />
Maßnahmen Bemerkung<br />
BG 2.1 M 2.399 – Kriterien für die Beschaffung und geeignete Auswahl von<br />
Druckern, Kopierern und Multifunktionsgeräten<br />
BM 2.4 – Sorgfalt beim Scannen<br />
BM 2.7 – Qualitätssicherung der Scanprodukte<br />
BM 2.1 – Sorgfältige Vorbereitung der Papier-Dokumente<br />
BM 2.4 – Sorgfalt beim Scannen<br />
BG 2.2 M 2.62 – Software-Abnahme- und Freigabe-Verfahren<br />
BG 2.3 M 4.303 – Einsatz von netzfähigen Dokumentenscannern<br />
M 5.146 – Netztrennung beim Einsatz von Multifunktionsgeräten<br />
M 4.301 – Beschränkung der Zugriffe auf Drucker, Kopierer und<br />
Multifunktionsgeräte<br />
M 4.80 – Sichere Zugriffsmechanismen bei Fernadministration<br />
M 2.04 – Verhinderung ungesicherter Netzzugänge<br />
M 4.7 – Änderung voreingestellter Passwörter<br />
Baustein B 1.6 – Schutz vor Schadprogrammen<br />
M 1.32 – Geeignete Aufstellung von Druckern und Kopierern<br />
BG 2.4 M 4.300 – Informationsschutz bei Druckern, Kopierern und<br />
Multifunktionsgeräten<br />
M 2.42 – Festlegung der möglichen Kommunikationspartner<br />
M 2.164 – Auswahl eines geeigneten kryptographischen Verfahrens<br />
M 2.204 – Verhinderung ungesicherter Netzzugänge<br />
BG 2.5 BM 2.3 - Beschränkung des Zugriffs auf sensiblen Papierdokumente<br />
M 3.2 – Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger<br />
Gesetze, Vorschriften und Regelungen<br />
M 3.33 – Sicherheitsüberprüfung von Mitarbeitern<br />
BG 2.6 BM 2.5 – Geeignete Scan-Einstellungen<br />
BM 2.4 – Sorgfalt beim Scannen<br />
BM 2.7 – Qualitätssicherung der Scanprodukte<br />
BG 2.7 M 2.42 – Festlegung der möglichen Kommunikationspartner<br />
M 2.164 – Auswahl eines geeigneten kryptographischen Verfahrens<br />
M 2.46 – Geeignetes Schlüsselmanagement<br />
Zuverlässiger<br />
Einzug<br />
Netz<br />
Netz<br />
Netz<br />
Netz<br />
Netz<br />
Malware<br />
Lokal / Netz<br />
78 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Gefährdungen<br />
Maßnahmen Bemerkung<br />
BG 2.8 M 4.300 – Informationsschutz bei Druckern, Kopierern und<br />
Multifunktionsgeräten<br />
M 2.42 – Festlegung der möglichen Kommunikationspartner<br />
M 2.164 – Auswahl eines geeigneten kryptographischen Verfahrens<br />
M 2.204 – Verhinderung ungesicherter Netzzugänge<br />
BG 2.9 M 4.300 – Informationsschutz bei Druckern, Kopierern und<br />
Multifunktionsgeräten<br />
M 2.42 – Festlegung der möglichen Kommunikationspartner<br />
M 2.164 – Auswahl eines geeigneten kryptographischen Verfahrens<br />
M 2.204 – Verhinderung ungesicherter Netzzugänge<br />
BG 2.10 M 2.400 – Sichere Außerbetriebnahme von Druckern, Kopierern und<br />
Multifunktionsgeräten<br />
Tabelle 35: Gefährdungen und Maßnahmen beim Scannen<br />
A.4.4 Sicherheitsmaßnahmen bei der Nachbearbeitung<br />
BM 3.4 – Qualitätssicherung der nachbearbeiteten Scanprodukte<br />
Eine geeignete Qualitätssicherung sollte insbesondere auch im Rahmen der Nachbearbeitung<br />
durchgeführt werden. Mit Anwendung der Maßnahme muss sichergestellt werden, dass durch die<br />
Nachbearbeitung keine relevanten Informationen verloren gegangen sind.<br />
BM 4.1 – Geeignete Nachbearbeitung<br />
Eine ungeeignete Nachbearbeitung kann das Scanprodukt oder relevante Informationen dessen<br />
unwiederbringlich zerstören oder verändern. Beispielsweise kann bei einem Bedien- oder<br />
Softwarefehler die bearbeitete Datei irreparabel beschädigt werden. Weiterhin kann die Anwendung<br />
von Bildbearbeitungsfunktionen (z. B. Veränderung des Kontrastes/Helligkeit, Farbreduktion,<br />
Beschneiden, Rauschunterdrückung, Kompression oder Dateikonvertierung) Informationen vernichten<br />
(z. B schwer sichtbare Wasserzeichen, Prägungen oder Details von Unterschriften), die zu einem<br />
späteren Zeitpunkt hätten relevant werden können. Daher sollte sehr vorsichtig und sparsam mit<br />
solchen Bildbearbeitungsfunktionen umgegangen werden. Außerdem muss im Rahmen der<br />
durchgeführte Operationen immer eine Qualitätssicherung (vgl. BM 3.4 Qualitätssicherung der<br />
nachverarbeiteten Scanprodukte) gewährleisten, dass durch die Nachbearbeitung keine relevanten<br />
Details verloren gegangen sind. Bei Dokumenten mit hohem Schutzbedarf sollte überlegt werden auf<br />
die Bildbearbeitung völlig zu verzichten oder neben der nachbearbeiteten Version auch das<br />
ursprüngliche Scanprodukt aufzubewahren.<br />
Außerdem scheidet eine Nachbearbeitungsmöglichkeit des Scanproduktes dann aus, wenn das Image<br />
unmittelbar nach dem Scanvorgang mit einer qualifizierten elektronischen Signatur des Scan-<br />
Operators oder einem (qualifizierten) Zeitstempel versehen wurde.<br />
M2.04 – Verhinderung ungesicherter Netzzugänge<br />
Siehe Abschnitt A.5.3.<br />
M 2.08 - Vergabe von Zugriffsrechten<br />
Bundesamt für Sicherheit in der Informationstechnik 79
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Zum Schutz vor unautorisierten Zugriff auf die in den Scanprozess involvierten Daten müssen bei<br />
Bedarf entsprechende Zugriffskontrollmechanismen genutzt werden. Dabei sollten immer nur so viele<br />
Zugriffsrechte vergeben werden, wie es für die Aufgabenwahrnehmung notwendig ist ("Need-toknow-Prinzip").<br />
Umgesetzt werden müssen die Zugriffsrechte durch die Rechteverwaltung des IT-<br />
Systems.<br />
M2.42 – Festlegung der möglichen Kommunikationspartner<br />
Siehe Abschnitt A.5.3.<br />
M 2.62 – Software-Abnahme- und Freigabe-Verfahren<br />
Siehe Abschnitt A.5.3.<br />
M 6.33 – Entwicklung eines Datensicherungskonzepts<br />
Diese Maßnahme sollte die Datenobjekte D2 bis D6 berücksichtigen.<br />
Baustein B 1.6 – Schutz vor Schadprogrammen<br />
Siehe Abschnitt A.5.3.<br />
80 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Gefährdungen<br />
BG 3.1 BM 2.6 – Nutzung von Meta-Informationen aus der<br />
Dokumentenvorbereitung<br />
Maßnahmen Bemerkung<br />
BG 3.2 M 4.300 – Informationsschutz bei Druckern, Kopierern und<br />
Multifunktionsgeräten<br />
M 2.42 – Festlegung der möglichen Kommunikationspartner<br />
M 2.164 – Auswahl eines geeigneten kryptographischen Verfahrens<br />
M 2.204 – Verhinderung ungesicherter Netzzugänge<br />
BG 3.3 M 4.301 – Beschränkung der Zugriffe auf Drucker, Kopierer und<br />
Multifunktionsgeräte<br />
M 2.204 – Verhinderung ungesicherter Netzzugänge<br />
BG 3.4 BM 2.6 – Nutzung von Meta-Informationen aus der<br />
Dokumentenvorbereitung<br />
BG 3.5 M 3.2 – Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger<br />
Gesetze, Vorschriften und Regelungen<br />
M 3.33 – Sicherheitsüberprüfung von Mitarbeitern<br />
BG 3.6 M 2.42 – Festlegung der möglichen Kommunikationspartner<br />
M 2.164 – Auswahl eines geeigneten kryptographischen Verfahrens<br />
M 2.46 – Geeignetes Schlüsselmanagement<br />
BG 3.7 M 4.300 – Informationsschutz bei Druckern, Kopierern und<br />
Multifunktionsgeräten<br />
M 2.42 – Festlegung der möglichen Kommunikationspartner<br />
M 2.164 Auswahl eines geeigneten kryptographischen Verfahrens<br />
M 2.204 Verhinderung ungesicherter Netzzugänge<br />
BG 3.8 BM 4.1 – Geeignete Nachbearbeitung<br />
BG 3.9 M 6.33 – Entwicklung eines Datensicherungskonzepts<br />
BG 3.10 M 2.08 - Vergabe von Zugriffsrechten<br />
Tabelle 36: Gefährdungen und Maßnahmen bei der Nachbearbeitung<br />
A.4.5 Sicherheitsmaßnahmen bei der Integritätssicherung<br />
BM 4.2 – Einsatz kryptographischer Mechanismen zum Integritätsschutz<br />
Die Maßnahmen zum Schutz der Integrität der Datenobjekte D2, D3, D4 und D6 sollen sich am<br />
ermitteltem Schutzbedarf der Datenobjekte orientieren. Bei Maßnahmen für den normalen Schutz<br />
kann auf den Einsatz von Kryptographie verzichtet werden. Zum Schutz der Datenobjekte gegen<br />
zufällige Änderungen oder aufgrund von Systemfehlern sollen diese jedoch mit einer Prüfsumme<br />
(CRC, ...) gesichert werden. Überall dort, wo ein höherer Schutz der Datenobjekte gefordert ist, sollen<br />
geeignete kryptographische Mechanismen (z.B. digitale Signaturen) zum Einsatz kommen. Hierbei<br />
kann danach unterschieden werden, ob der Signaturschlüssel in Software oder Hardware gespeichert<br />
ist. Mit einer fortgeschrittenen elektronischen Signatur gemäß § 2 Nr. 2 SigG kann neben der Integrität<br />
Bundesamt für Sicherheit in der Informationstechnik 81
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
der Datenobjekte auch nachgeprüft werden, wer diese erzeugt hat (Authentizität). Denn bei<br />
fortgeschrittenen elektronischen Signaturen muss der Signaturschlüssel unter der alleinigen Kontrolle<br />
des Signaturschlüsselinhabers sein. Eine besondere Form der fortgeschrittenen elektronischen Signatur<br />
ist die qualifizierte elektronische Signatur gemäß § 2 Nr. 3 SigG, die zusätzlich auf einem<br />
qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit erzeugt wurde.<br />
Dokumente, die mit einer qualifizierten elektronischen Signatur versehen sind, kommen in den Genuss<br />
des Beweisvorteils gemäß § 371a ZPO. Für Fälle, in denen zusätzlich der Zeitpunkt der<br />
Signaturerstellung relevant ist, bieten sich Zeitstempel an, bei denen eine Zeitinformation<br />
kryptographisch gesichert mit dem Datenobjekt verbunden wird. So kann im Nachhinein verifiziert<br />
werden, zu welchem Zeitpunkt das Datenobjekt integritätsgesichert wurde. Die mit einem<br />
Zeitstempels verbundene Beweiskraft hängt nicht zuletzt von den beim Aussteller des Zeitstempels<br />
implementierten Sicherheitsmaßnahmen ab. Eine besonders hohe Beweiskraft besitzen qualifizierte<br />
Zeitstempel gemäß § 2 Nr. 14 SigG. Weitere Details finden sich in den Maßnahmen M 2.165<br />
(Auswahl eines geeigneten kryptographischen Produktes), M 6.56 (Datensicherung bei Einsatz<br />
kryptographischer Verfahren) und M 2.46 (Geeignetes Schlüsselmanagement).<br />
BM 4.3 – Nutzung geeigneter Dienste und Systeme für den Integritätsschutz<br />
Bei Einsatz von Sicherungsdaten werden in der Regel geeignete Infrastrukturdienste für die<br />
Ausstellung und Prüfung von Zertifikaten sowie ggf. für die Ausstellung von Zeitstempeln benötigt.<br />
Alternativ kann die Sicherstellung der Integrität durch systembezogene Sicherheitsmaßnahmen (z.B.<br />
durch geeignete Zugriffskontrollmechanismen im Speichersystem) erfolgen.<br />
Bei sehr hohem Schutzbedarf der Datenobjekte D2, D3, D4 und D6 soll die Sicherung der Integrität<br />
und Authentizität mit einer qualifizierten elektronischen Signatur und/oder einem qualifizierten<br />
Zeitstempel erfolgen. In diesem Fall müssen die Aspekte des Beweiskrafterhaltes kryptographisch<br />
signierter Daten gemäß [<strong>BSI</strong>-<strong>TR</strong>03125] und ggf. branchenspezifische Anforderungen wie z.B. [ADV-<br />
BVA10] oder [Berl08] berücksichtigt werden. Bei erhöhten Anforderungen an die Archivierungsfrist 38<br />
und um die Prüfbarkeit der Zertifikate auch im Fall der Einstellung des ZDA-Betriebs gewährleisten<br />
zu können sollte zum Ausstellen der qualifizierten Zertifikate/qualifizierten Zeitstempel ggf. ein<br />
Zertifizierungsdiensteanbieter mit Anbieterakkreditierung 39 gewählt werden. Bei sehr hohem<br />
Schutzbedarf bezüglich der Verfügbarkeit sollen Zeitstempelanfragen an verschiedene<br />
Infrastrukturdienste möglich sein.<br />
M 2.13 – Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln<br />
Sofern der Scanner einen internen Datenträger besitzt und vertrauliche Dokumente gescannt werden,<br />
sollte diese Maßnahme für Scanner berücksichtigt werden. Insbesondere dann, wenn ein<br />
kryptographischer Schlüssel in Software vorgehalten wird.<br />
M 2.42 – Festlegung der möglichen Kommunikationspartner<br />
Siehe Abschnitt A.5.3.<br />
M 2.46 – Geeignetes Schlüsselmanagement<br />
Der Einsatz kryptographischer Verfahren setzt die authentische Erzeugung, Verteilung und Installation<br />
von geeigneten Schlüsseln voraus. Bei der fortgeschrittenen elektronischen Signatur ist zu beachten,<br />
dass der private Signaturschlüssel unter der alleinigen Kontrolle des Signaturschlüssel-Inhabers liegen<br />
muss.<br />
M 2.62 – Software-Abnahme- und Freigabe-Verfahren<br />
Siehe Abschnitt A.5.3.<br />
38 Während angezeigte ZDAs die Prüfbarkeit der Zertifikate nur für mindestens 5 Jahre sicher stellen müssen, verlängert<br />
sich diese Frist bei akkreditierten ZDA auf 30 Jahre nach Ablauf des Jahres an dem die Gültigkeit des Zertifikates endet.<br />
39 Die Unterschiede zwischen angezeigten und akkreditierten ZDA sind auch in Abschnitt 2.1.3.2 von [HüKo06] adressiert.<br />
82 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
M 2.164 – Auswahl eines geeigneten kryptographischen Verfahrens<br />
Siehe Abschnitt A.5.3.<br />
M 2.165 – Auswahl eines geeigneten kryptographischen Produktes<br />
Zur Integritätssicherung müssen geeignete Produkte eingesetzt werden. Als Kriterien zur Bewertung<br />
der Produkte dienen z. B. die Vertrauenswürdigkeit (etablierter Hersteller, verwendete<br />
Algorithmen,...), Qualität und Zuverlässigkeit. Als weiteres Kriterium kann in Betracht gezogen<br />
werden, ob das Produkt nach einem anerkannten Sicherheitsstandard wie FIPS-140, Common Criteria<br />
oder ITSEC geprüft wurde. Für die Erstellung von qualifizierten elektronischen Signaturen müssen<br />
gemäß SigG bestätigte sichere Signaturerstellungseinheiten eingesetzt werden. Außerdem sollen<br />
geeignete Signaturanwendungskomponenten (Anwenderprogramme (A4), Funktionsbibliotheken<br />
(A4), Chipkartenleser (S4)), welche eine Herstellererklärung oder Bestätigung nach dem<br />
Signaturgesetz besitzen, eingesetzt werden. Die Bundesnetzagentur hält Listen mit bestätigten<br />
Komponenten vor. Mittels Signaturanwendungskomponente kann der Nutzer qualifizierte<br />
elektronische Signaturen erzeugen und prüfen sowie einen qualifizierten Zeitstempel anfordern. Die<br />
von den Signaturanwendungskomponenten angebotene Verifikation qualifizierter elektronischer<br />
Signaturen und das Validieren der Zertifikatskette sollte stets genutzt werden. Mindestens für<br />
qualifizierte elektronische Signaturen dürfen nur sicherheitstechnisch geeignete kryptographische<br />
Verfahren verwendet werden. Die Eignung der Verfahren ist im Algorithmenkatalog festgelegt. Da<br />
sich die Sicherheitseignung der kryptographischen Algorithmen ändern kann, sollen auf eine leichte<br />
Austauschbarkeit der entsprechenden Komponenten geachtet werden.<br />
M 4.301 – Beschränkung der Zugriffe auf Drucker, Kopierer und Multifunktionsgeräte<br />
Siehe Abschnitt A.5.3.<br />
M 6.33 – Entwicklung eines Datensicherungskonzepts<br />
Diese Maßnahme sollte die Datenobjekte D2 bis D6 berücksichtigen.<br />
M 6.56 – Datensicherung bei Einsatz kryptographischer Verfahren.<br />
Sofern kryptographische Verfahren eingesetzt werden, soll die Eignung der eingesetzten Algorithmen<br />
und Parameter regelmäßig evaluiert werden. Für digitale Signaturen ist die Eignung der Verfahren im<br />
Algorithmenkatalog 40 festgelegt. Dieser wird einmal jährlich durch die Bundesnetzagentur<br />
veröffentlicht. Rechtzeitig vor dem Ablauf der Eignung der kryptographischen Verfahren sollte bei<br />
Bedarf eine Umschlüsselung und Übersignierung der Daten erfolgen. Für den Erhalt der Beweiskraft<br />
kryptographisch signierter Daten empfiehlt sich der Einsatz der in [<strong>BSI</strong>-<strong>TR</strong>03125] spezifizierten<br />
Verfahren und Formate.<br />
40 Siehe http://www.bundesnetzagentur.de/DE/Sachgebiete/QES/Veroeffentlichungen/Algorithmen/algorithmen_node.html.<br />
Bundesamt für Sicherheit in der Informationstechnik 83
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Gefährdungen<br />
Maßnahmen Bemerkung<br />
BG 4.1 BM 4.2 – Einsatz kryptographischer Mechanismen zum Integritätsschutz<br />
BM 4.3 – Nutzung geeigneter Infrastrukturdienste für den<br />
Integritätsschutz<br />
M 6.56 – Datensicherung bei Einsatz kryptographischer Verfahren<br />
BG 4.2 M 6.56 – Datensicherung bei Einsatz kryptographischer Verfahren<br />
BG 4.3 M 4.303 – Einsatz von netzfähigen Dokumentenscannern<br />
M 5.146 – Netztrennung beim Einsatz von Multifunktionsgeräten<br />
M 4.30 – Beschränkung der Zugriffe auf Drucker, Kopierer und<br />
Multifunktionsgeräte<br />
M 4.80 – Sichere Zugriffsmechanismen bei Fernadministration<br />
M2.04 – Verhinderung ungesicherter Netzzugänge<br />
M 4.7 – Änderung voreingestellter Passwörter<br />
M 1.32 Geeignete Aufstellung von Druckern und Kopierern<br />
BG 4.4 M 2.46 Geeignetes Schlüsselmanagement<br />
BG 4.5 BM 2.4 – Nutzung geeigneter Infrastrukturdienste für den<br />
Integritätsschutz<br />
Netz<br />
Netz<br />
Netz<br />
Netz<br />
Lokal / Netz<br />
Verschiedene<br />
Infrastrukturdienste<br />
BG 4.6 M 2.165 – Auswahl eines geeigneten kryptographischen Produktes Verifizieren<br />
Validieren<br />
BG 4.7 M 2.165 – Auswahl eines geeigneten kryptographischen Produktes<br />
M 2.62 – Software-Abnahme- und Freigabe-Verfahren<br />
BG 4.8 M 2.42 – Festlegung der möglichen Kommunikationspartner<br />
M 2.46 – Geeignetes Schlüsselmanagement<br />
M 2.164 – Auswahl eines geeigneten kryptographischen Verfahrens<br />
BG 4.9 M 2.42 – Festlegung der möglichen Kommunikationspartner<br />
M 2.46 – Geeignetes Schlüsselmanagement<br />
M 2.164 – Auswahl eines geeigneten kryptographischen Verfahrens<br />
BG 4.10 M 4.301 – Beschränkung der Zugriffe auf Drucker, Kopierer und<br />
Multifunktionsgeräte<br />
BG 4.11 M 6.33 – Entwicklung eines Datensicherungskonzepts<br />
Tabelle 37: Gefährdungen und Maßnahmen bei der Integritätssicherung<br />
84 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> Technische Richtlinie 03138<br />
Anlage R<br />
Unverbindliche rechtliche Hinweise<br />
zur Anwendung der <strong>TR</strong> <strong>RESISCAN</strong><br />
Version 0.2<br />
Stand: Oktober 2012<br />
Das Dokument ist in Teilen nicht barrierefrei.
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Bundesamt für Sicherheit in der Informationstechnik<br />
Postfach 20 03 63<br />
53133 Bonn<br />
Tel.: +49 228 99 9582-0<br />
E-Mail: resiscan@bsi.bund.de<br />
Internet: https://www.bsi.bund.de<br />
© Bundesamt für Sicherheit in der Informationstechnik 2012<br />
2 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Inhaltsverzeichnis<br />
Abkürzungsverzeichnis.........................................................................................................................5<br />
Glossar...................................................................................................................................................7<br />
Referenzen.............................................................................................................................................8<br />
R.1 – Exemplarische Schutzbedarfsanalysen (informativ)...................................................................11<br />
R.1.1 Gerichtsakten.............................................................................................................................11<br />
R.1.2 Verwaltungsunterlagen..............................................................................................................15<br />
R.1.3 Sozialversicherungsunterlagen...................................................................................................17<br />
R.1.4 Medizinische Dokumentation....................................................................................................19<br />
R.1.5 Kaufmännische Buchführungsunterlagen...................................................................................21<br />
R.1.6 Besteuerungsunterlagen.............................................................................................................23<br />
R.1.7 Personalakten.............................................................................................................................25<br />
R.2 - Rechtliche Betrachtungen zum ersetzenden Scannen (informativ).............................................26<br />
R.2.1 Betrachtungen zum Datenschutz................................................................................................26<br />
R.2.1.1 Zulässigkeitstatbestände..........................................................................................................26<br />
R.2.1.2 Erforderlichkeit.......................................................................................................................27<br />
R.2.2 Sicherheitsrisiken und mögliche Konsequenzen........................................................................27<br />
R.2.2.1 Rechtliche Konsequenzen nicht ordnungsgemäßer Dokumentation und Aufbewahrung........27<br />
R.2.2.1.1 Konsequenzen bei Verletzung öffentlicher Interessen .........................................................28<br />
R.2.2.1.2 Konsequenzen bei Verletzung individueller Interessen........................................................29<br />
R.2.3 Beweisrecht................................................................................................................................29<br />
R.2.3.1 Beweiswert des Scanproduktes...............................................................................................29<br />
R.2.3.2 Die Beweiswirkung des § 371a ZPO.......................................................................................30<br />
R.2.4 Gefährdung und Sicherung des Scanproduktes..........................................................................32<br />
R.2.4.1 Bildveränderung .....................................................................................................................32<br />
R.2.4.1.1 Bildverbesserung..................................................................................................................32<br />
R.2.4.1.2 Fehler und Manipulationen..................................................................................................32<br />
R.2.4.1.2.1 Fehler................................................................................................................................32<br />
R.2.4.1.2.2 Manipulation.....................................................................................................................33<br />
R.2.4.1.3 Barcode................................................................................................................................33<br />
R.2.4.2 Signatur und Zeitstempel........................................................................................................34<br />
R.2.4.2.1 Authentizität und Integrität eines Dokuments......................................................................34<br />
R.2.4.2.2 Signaturen............................................................................................................................35<br />
R.2.4.2.3 Zeitstempel...........................................................................................................................36<br />
Bundesamt für Sicherheit in der Informationstechnik 3
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
R.2.4.3 Transfervermerk......................................................................................................................37<br />
R.2.4.4 Qualitätssicherung / Sichtprüfung...........................................................................................38<br />
R.2.5 Mehrseitige, beglaubigte Dokumente.........................................................................................39<br />
R.2.6 Datenschutzrechtliche und strafrechtliche Beurteilung des externen Scannens..........................39<br />
R.2.6.1 Datenschutzrecht.....................................................................................................................39<br />
R.2.6.2 § 203 StGB..............................................................................................................................41<br />
R.2.7 Vernichtung von Originaldokumenten ......................................................................................42<br />
4 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Abkürzungsverzeichnis<br />
...grau hinterlegte Abkürzungen sind im vorliegenden Dokument nicht mehr enthalten und sollten entfernt<br />
werden; AV wird bei Bedarf ergänzt...<br />
Ax Anwendung<br />
A.x.y Anforderung<br />
B x.y Baustein aus dem Grundschutzhandbuch des <strong>BSI</strong><br />
BBG Bundesbeamtengesetz<br />
BDSG Bundesdatenschutzgesetz<br />
BGB Bürgerliches Gesetzbuch<br />
BGBl Bundesgesetzblatt<br />
BGH Bundesgerichtshof<br />
BM x.y Benutzerdefinierte Sicherheitsmaßnahme<br />
BMV-Ä Bundesmantelverträge Teil 1 (Ärzte)<br />
BNetzA Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post u. Eisenbahnen<br />
<strong>BSI</strong> Bundesamt für Sicherheit in der Informationstechnik<br />
CC Common Criteria for Information Technology Security Evaluation<br />
Dx Datenobjekt<br />
DMS Dokumentenmanagement-System<br />
DOMEA<br />
Organisationskonzept der Koordinierungs- und Beratungsstelle für Informationstechnik in<br />
der Bundesverwaltung (KBSt) zur Aktenführung im elektronischen Geschäftsgang<br />
ECM Enterprise Content Management<br />
EKV Bundesmantelverträge Teil 2 (Ärzte/Ersatzkassen)<br />
ETSI European Telecommunications Standards Institute<br />
GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen<br />
GoB Grundsätze ordnungsgemäßer Buchführung<br />
GoBS Grundsätze ordnungsgemäßer DV gestützter Buchführungssysteme<br />
HSM Hardware Security Module<br />
IT Informationstechnologie<br />
ITSEC Information Technology Security Evaluation Criteria<br />
Kx Kommunikationsbeziehung<br />
M x.y Sicherheitsmaßnahme aus dem Grundschutzhandbuch des <strong>BSI</strong><br />
MBO-Ä Musterberufsordnung für Ärzte<br />
ODF Open Document Format<br />
PDF Portable Document Format<br />
PK-DML Prüfkriterien für Dokumentenmanagement-Lösungen<br />
PKI Public-Key Infrastruktur<br />
PP Protection Profile<br />
RFC Request for Comments<br />
Sx IT-System<br />
SigG Gesetz über Rahmenbedingungen für elektronische Signaturen<br />
SigV Verordnung zur elektronischen Signatur<br />
TLS Transport Layer Security<br />
<strong>TR</strong> Technische Richtlinie<br />
TSP Time Stamp Protocol<br />
USB Universal Serial Bus<br />
Bundesamt für Sicherheit in der Informationstechnik 5
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
VBS Vorgangsbearbeitungssystem<br />
VSA Verschlusssachen-Anweisung<br />
XML eXtensible Markup Language<br />
ZDA Zertifizierungsdiensteanbieter<br />
ZPO Zivilprozessordnung<br />
6 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Glossar<br />
...wird bei Bedarf ergänzt...<br />
Authentifizierung Bei der „Authentifizierung“ wird eine „Behauptung“ über eine<br />
elektronische Identität geprüft. Hierbei besteht eine<br />
„Behauptung“ aus mindestens einem Identitätsattribut (z.B.<br />
dem Namen des Kommunikationspartners).<br />
Authentizität Unter der „Authentizität“ von Daten versteht man, dass die<br />
Quelle der Daten eindeutig bestimmbar ist.<br />
Bildliche Übereinstimmung Von einer „bildlichen Übereinstimmung“ zwischen einem<br />
Scanprodukt und einem Original spricht man, wenn das<br />
Scanprodukt ein im Rahmen der gewählten Auflösung<br />
identisches Abbild des Originals ist.<br />
Ersetzendes Scannen Wird nach dem „Scannen“ das papiergebundene Original<br />
vernichtet, so spricht man vom „ersetzenden Scannen“.<br />
Inhaltliche Übereinstimmung Von einer „inhaltlichen Übereinstimmung“ zwischen einem<br />
Scanprodukt und einem Original spricht man, wenn das<br />
Scanprodukt und das Original in den wesentlichen Inhaltsdaten<br />
übereinstimmen, nicht aber unbedingt in der visuellen<br />
Darstellung.<br />
Integrität „Integrität“ bedeutet, dass die Daten oder Systeme nicht verändert<br />
wurden. Bei einem wirksamen Integritätsschutz werden<br />
zudem zumindest Veränderungen erkannt.<br />
Informativ<br />
IT-System Der Begriff „IT-System“ beschreibt ein aus Hardware und<br />
Software bestehendes System zur Informationsverarbeitung.<br />
Scannen „Scannen“ bezeichnet das elektronische Erfassen von Papierdokumenten<br />
mit dem Ziel der elektronischen Weiterverarbeitung<br />
und Aufbewahrung des hierbei entstehenden<br />
elektronischen Abbildes (Scanprodukt).<br />
Sicherungsdaten „Sicherungsdaten“ sind Datenobjekte, die dem Schutz der<br />
Integrität und ggf. Authentizität anderer Datenobjekte dienen.<br />
Dies umfasst insbesondere elektronische Signaturen, Zeitstempel,<br />
Zertifikate, Sperrinformationen und Evidence Records<br />
(vgl. „Credential“ in Fehler: Referenz nicht gefunden).<br />
Sicherungsmittel Unter dem Begriff „Sicherungsmittel“ werden in dieser<br />
Technischen Richtlinie Sicherungsdaten oder Sicherungssysteme<br />
verstanden.<br />
Sicherungssysteme „Sicherungssysteme“ sind IT-Systeme und/oder Anwendungen,<br />
die dem Schutz der Integrität und ggf. Authentizität anderer<br />
Datenobjekte dienen.<br />
Bundesamt für Sicherheit in der Informationstechnik 7
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Referenzen<br />
...wird bei Bedarf ergänzt und nicht benötigte Referenzen (derzeit ausgegraut dargestellt) werden im<br />
Zuge der Schlussredaktion entfernt...<br />
[Baum10] A. Baumbach et al., Zivilprozessordnung, Kommentar, 68. Auflage, 2010.<br />
[BaHo10] A. Baumbach, K. J. Hopt, Handelsgesetzbuch, Kommentar, 34. Auflage,<br />
Beck 2010.<br />
[BaRo11] J. Bader, M. Ronellenfisch, Beck´scher Online-Kommentar, Verwaltungsverfahrensgesetz,<br />
Beck 2011.<br />
[<strong>BSI</strong>-Glossar] Bundesamt für Sicherheit in der Informationstechnik (<strong>BSI</strong>), Glossar,<br />
https://www.bsi.bund.de/DE/Themen/InternetSicherheit/GlossarBegriffe/GlossarBe<br />
griffe_node.html<br />
[BT-Drs.] Bundestagsdrucksachen, abrufbar unter<br />
http://www.bundestag.de/dokumente/drucksachen/index.html<br />
[BR-Drs.] Bundesratsdrucksachen, abrufbar unter<br />
http://www.bundesrat.de/nn_8340/DE/parlamentsmaterial/berat-vorg/sucheberatungsvorgaenge-node.html?__nnn=true<br />
[Eben08] C. T. Ebenroth et al., Handelsgesetzbuch, Kommentar, 2. Auflage, Beck<br />
2008.<br />
[Fisc06] S. Fischer-Dieskau, Das elektronisch signierte Dokument als Mittel zur<br />
Beweissicherung, Anforderungen an seine langfristige Aufbewahrung, Nomos<br />
2006.<br />
[Fisc11] T. Fischer, Strafgesetzbuch, Kommentar, 58. Auflage, Beck 2011.<br />
[GoBS] Bundesministerium der Finanzen, Grundsätze ordnungsmäßiger DVgestützter<br />
Buchführungssysteme (GoBS), Schreiben des Bundesministeriums der<br />
Finanzen an die obersten Finanzbehörden der Länder vom 7. November 1995 – IV<br />
A 8 – S 0316 – 52/95 – BStBl 1995 I S. 738,<br />
http://www.bundesfinanzministerium.de/nn_314/DE/BMF__Startseite/Service/Do<br />
wnloads/Abt__IV/BMF__Schreiben/015,templateId=raw,property=publicationFile.<br />
pdf<br />
[HaBi93] V. Hammer, J. Bizer, Beweiswert elektronisch signierter Dokumente. In:<br />
DuD 1993, S. 689-693.<br />
[HüKo06] D. Hühnlein, U. Korte, Grundlagen der elektronischen Signatur,<br />
Bundesamt für Sicherheit in der Informationstechnik und SecuMedia Verlag,<br />
Bonn / Ingelheim, 2006,<br />
https://www.bsi.bund.de/Content<strong>BSI</strong>/Themen/ElektrSignatur/esiggrundlagen.html<br />
[IDW RS FAIT 3]<br />
[JaRo11] S. Jandt, A. Roßnagel, Qualitätssicherung im Krankenhaus, in: Medizinrecht<br />
(MedR) 2011, 140-145.<br />
[JaRoWi11a] S. Jandt, A. Roßnagel, D. Wilke, Krankenhausinformationssysteme im<br />
Gesundheitskonzern, in: Recht der Datenverarbeitung (RDV) 2011, 222-228.<br />
[JaRoWi11b] S. Jandt, A. Roßnagel, D. Wilke, Outsourcing der Verarbeitung von<br />
Patientendaten – Fragen des Daten- und Geheimnisschutzes, in: Neue Zeitschrift<br />
für Sozialrecht (NZS) 2011, 641-646.<br />
[KoRa08] F. Kopp, M. Ramsauer, Verwaltungsverfahrensgesetz, Kommentar, 10.<br />
Auflage, Beck 2008.<br />
[KoRM11] I. Koller, W. H. Roth, W. Morck, Handelsgesetzbuch Kommentar, 7. Auflage,<br />
Beck 2011.<br />
8 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
[Krau11] D. Krauskopf, Soziale Krankenversicherung, Pflegeversicherung, Online-<br />
Kommentar, Beck 2011.<br />
[Krei08] R Kreikebohm, Sozialgesetzbuch IV, Kommentar, Beck 2008.<br />
[KSD+08] H. Kuhlemann, P. Schmücker, C. Dujat, V. Eder, C. Seidel, Schlierseer<br />
Memorandum zum beweissicheren Scannen, v1.1, 2008,<br />
http://www.ehealthopen.com/press/SchlierseerMemorandum_v1_1_20080402.pdf<br />
[LaUh02] A. Laufs, W. Uhlenbruck, Handbuch des Arztrechts, 3. Auflage, Beck<br />
2002.<br />
[LaKü11] K. Lackner, K. Kühl, Strafgesetzbuch, Kommentar, 27. Auflage, Beck<br />
2011.<br />
[Musi12] H. J. Musielak, Zivilprozessordnung, 9. Auflage, Vahlen 2012.<br />
[PaKo09] A. Palke, U. Koenig, Abgabeordnung, Kommentar, 2. Auflage, Beck 2009.<br />
[QuZu08] M. Quaas/R. Zuck, Medizinrecht, 2. Auflage, Beck 2008.<br />
[RWWO09] R. Richardi/H. Wißmann/O. Wlotzke/H. Oetker, Münchener Handbuch zum<br />
Arbeitsrecht, 3. Auflage, Beck 2009.<br />
[RFC2119] S. Bradner, Key words for use in RFCs to Indicate Requirement Levels, IETF RFC<br />
2119, via http://www.ietf.org/rfc/rfc2119.txt<br />
[RoFJ07] A. Roßnagel, S. Fischer-Dieskau, S. Jandt, Handlungsleitfaden zur<br />
Aufbewahrung elektronischer und elektronisch signierter Dokumnete.<br />
Herausgegeben im Auftrag des Bundesministeriums für Wirtschaft und<br />
Technologie, Nr. 564, Berlin August 2007.<br />
[RoJa08] A. Roßnagel, S. Jandt, Handlungsleitfaden zum Scannen von<br />
Papierdokumenten. Herausgegeben im Auftrag des Bundesministeriums für<br />
Wirtschaft und Technologie, Nr. 571, Berlin April 2008.<br />
[Roßn01] A. Roßnagel, Das neue Recht elektronischer Signaturen, in: Neue<br />
Juristische Woche 2001, S. 1817-1826.<br />
[Roßn03] A. Roßnagel: Handbuch Datenschutzrecht – Die neuen Grundlagen für<br />
Wirtschaft und Verwaltung, Beck 2003.<br />
[RoPf03] A. Roßnagel, A. Pfitzmann, Der Beweiswert von E-Mail, NJW (Neue<br />
Juristische Wochenschrift) 56/17 vom 22. April 2003, SS.1209-1214.<br />
[Roßn03a] A. Roßnagel, Das elektronische Verwaltungsverfahren, in: Neue Juristische Woche<br />
2003, S. 469-475.<br />
[Roßn03b] A. Roßnagel, Die fortgeschrittene elektronische Signatur, in: Multimedia<br />
und Recht (MMR) 2003, S. 164-170.<br />
[Roßn05] A. Roßnagel, Recht der Multimediadienste, Kommentar, Beck 2005.<br />
[RoWi06] A. Roßnagel, D. Wilke, Die rechtliche Bedeutung gescannter Dokumente.<br />
In: Neue<br />
Juristische Woche 2006, S. 2145-2150.<br />
[Roßn11] A. Roßnagel, Rechtsverbindliche Telekooperation, in: Schulte/Schröder<br />
(Hrsg.), Handbuch des Technikrechts, 2. Auflage, Berlin Heidelberg 2011.<br />
[RFJK07] A. Roßnagel, S. Fischer-Dieskau, S. Jandt, M. Knopp, Langfristige<br />
Aufbewahrung elektronischer Dokumente, Anforderungen und Trends, Band 17 der<br />
Reihe „Der elektronische Rechtsverkehr“, Nomos 2007.<br />
[SCATE] A. Roßnagel, S. Fischer-Dieskau, S. Jandt, D. Wilke, Scannen von<br />
Papierdokumenten – Anforderungen, Trends und Empfehlungen, Band 18 der<br />
Reihe „Der elektronische Rechtsverkehr“, Nomos, 2008.<br />
[Scha11] P. Schaar, 23. Tätigkeitsbericht des Bundesdatenschutzbeauftragten für die Jahre<br />
2009 und 2010 , v. 12.04.2011.<br />
[ScWi10] H. J. Schaffland, N. Wiltfang, Bundesdatenschutzgesetz, Loseblattsammlung,<br />
Erich Schmidt 2010.<br />
Bundesamt für Sicherheit in der Informationstechnik 9
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
[Schu09] R. Schulze et al., Bürgerliches Gesetzbuch, Kommentar, 6. Auflage,<br />
Nomos 2009.<br />
[ScSc10] A. Schönke, H. Schröder, Strafgesetzbuch, Kommentar, 28. Auflage, Beck<br />
2010.<br />
[Simi06] S. Simitis, Bundesdatenschutzgesetz, Kommentar, Nomos 2006.<br />
[Simi11] S. Simitis, Bundesdatenschutzgesetz, Kommentar, Nomos 2011.<br />
[StBS08] P. Stelkens, J. Bonk, M. Sachs, Verwaltungsverfahrensgesetz, Kommentar,<br />
Beck 2008.<br />
[Wilk11] D. Wilke, Die rechtssichere Transformation von Dokumenten - Rechtliche<br />
Anforderungen an die Technikgestaltung und rechtlicher Anpassungsbedarf,<br />
Nomos 2011.<br />
[WiKl10] N. Winkeljohann, B. Klein, Beck´scher Bilanzkommentar, 7. Auflage, Beck<br />
2010.<br />
[Zöll07] R. Zöller, Zivilprozessordnung, Kommentar, 26. neubearbeitete Auflage,<br />
Otto Schmidt.<br />
10 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
R.1 – Exemplarische Schutzbedarfsanalysen (informativ)<br />
Wie in Anlage Fehler: Referenz nicht gefunden erläutert, MUSS jeder Anwender der <strong>TR</strong>-<strong>RESISCAN</strong><br />
eine fachliche Schutzbedarfsanalyse durchführen, um den konkreten Schutzbedarf für seine zu<br />
verarbeitenden Datenobjekte zu ermitteln.<br />
Um diesen Prozess zu unterstützen, werden im Folgenden einige beispielhafte Betrachtungen zum<br />
Schutzbedarf ausgewählter Dokumenttypen angestellt, die zur Orientierung dienen können. Hierbei<br />
werden folgende Dokumenttypen betrachtet:<br />
1. - Gerichtsakten<br />
2. - Verwaltungsunterlagen<br />
3. - Sozialversicherungsunterlagen<br />
4. - Medizinische Dokumentation<br />
5. - Kaufmännische Buchführungsunterlagen<br />
6. - Besteuerungsunterlagen<br />
7. - Personalakten<br />
Ob die Schadensauswirkungen „nicht nennenswert“, „beträchtlich“, „existentiell bedrohlich“ oder<br />
„katastrophal“ sind, ist von den konkreten Gegebenheiten des jeweiligen Geschäftsvorfalles abhängig. 1<br />
Deshalb MUSS die in diesem Abschnitt beispielhaft dargestellte fachliche Schutzbedarfsanalyse von<br />
einem Anwender der vorliegenden Technischen Richtlinie vor dem Hintergrund eines konkreten<br />
Anwendungsfalls geprüft und entsprechend festgestellt werden.<br />
Es werden vorliegend lediglich bundesrechtliche Vorschriften dargestellt. Jede Stelle MUSS<br />
selbständig prüfen, ob für sie Bundes- oder Landesrecht zur Anwendung kommt.<br />
R.1.1 Gerichtsakten<br />
Aus dem Rechtsstaatsprinzip des Art. 20 Abs. 1 GG und der Garantie des umfassenden und des<br />
effektiven Rechtsschutzes nach Art. 19 Abs. 4 GG durch unabhängige Gerichte lässt sich im Interesse<br />
einer funktionsfähigen Rechtspflege eine Aktenführungspflicht sowie die Pflicht zur Aufbewahrung<br />
von Akten herleiten [BVerfG 54, 277, 291; Wilk11, S. 84, SCATE, S. 65). Diese Verpflichtungen<br />
ergeben sich aus dem Recht der Verfahrensbeteiligten auf Information über den Verfahrensstoff und<br />
lassen sich ausschließlich durch sorgfältige und nachvollziehbare Aktenführung und die Gewährung<br />
der Akteneinsicht 2 verwirklichen.<br />
Gerichtsakten, die für ein Verfahren nicht mehr erforderlich sind, sind nach Beendigung des<br />
Verfahrens gemäß § 1 Abs. 1 Schriftgutaufbewahrungsgesetz (SchrAG) 3 so lange aufzubewahren, wie<br />
ein schutzwürdiges Interesse der Verfahrensbeteiligten oder sonstiger Personen oder ein öffentliches<br />
Interesse ihre Erhaltung erfordern. Bei der Bestimmung der Aufbewahrungsfristen ist nach § 2 Abs. 2<br />
Satz 2 Nr. 2 SchrAG ist ein Interesse der Verfahrensbeteiligten an Ausfertigungen, Auszügen oder<br />
Abschriften aus den Gerichtsakten auch nach Beendigung des Verfahrens zu berücksichtigen. Ebenso<br />
kann nach § 2 Abs. 2 Satz 2 Nr. 4 SchrAG das Interesse von Verfahrensbeteiligten, Gerichten oder<br />
Justizbehörden bestehen, die Gerichtsakten nach Abschluss des Verfahrens für Wiederaufnahmeverfahren,<br />
zur Wahrung der Rechtseinheit, zur Fortbildung des Rechts und für sonstige verfahrensübergreifende<br />
Zwecke der Rechtspflege zur Verfügung stehen zu haben.<br />
1 Zur Definition der Schadenskategorien siehe ##Verweis auf Tabelle in <strong>TR</strong>##<br />
2 Dieses Recht ergibt sich unmittelbar aus dem Recht auf rechtliches Gehör (Art. 103 Abs. 1 GG) und informationelle<br />
Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG).<br />
3 Gesetz zur Aufbewahrung von Schriftgut der Gerichte des Bundes und des Generalbundesanwalts nach Beendigung des<br />
Verfahrens - Schriftgutaufbewahrungsgesetz vom 22. März 2005 (BGBl. I S. 837, 852).<br />
Bundesamt für Sicherheit in der Informationstechnik 11
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Die Prozessordnungen enthalten ergänzende Vorschriften zur Führung und Aufbewahrung von<br />
Prozessakten. Um im Gerichtsverfahren eine elektronische Aktenführung zu ermöglichen, wurden in<br />
den jeweiligen Prozessordnungen entsprechende Regelungen getroffen, z.B. §§ 298 und 298a ZPO für<br />
den Zivilprozess [Baum10, Anhang nach § 298a Rn.1] und § 55b VwGO 4 für Verwaltungsgerichte. 5<br />
Gemäß § 298a Abs. 2 ZPO können die in Papierform eingereichten Unterlagen zur Ersetzung der<br />
Urschrift in ein elektronisches Dokument umgewandelt werden. Nach § 298a Abs. 3 ZPO ist hierfür<br />
Voraussetzung, dass das elektronische Dokument einen Vermerk über die verantwortliche Person und<br />
den Zeitpunkt der Übertragung enthält. Darüber hinaus werden keine weiteren Anforderungen an die<br />
Ausgestaltung des Vermerks gestellt [Wilk11, S. 86], [Greger in Zöll07, § 298a Rn. 2]. Es wird<br />
grundsätzlich zwischen Akten laufender Verfahren und Akten rechtskräftig abgeschlossener Verfahren<br />
differenziert. Die Originaldokumente sind nach § 298a Abs. 2 S. 2 ZPO mindestens bis zum<br />
rechtskräftigen Abschluss des Gerichtsverfahrens aufzubewahren, falls sie noch in Papierform<br />
benötigt werden. Bei laufenden Gerichtsverfahren verschiebt sich der Zeitpunkt der Vernichtung oder<br />
Rückgabe der Originale auf den rechtskräftigen Abschluss des Gerichtsverfahrens. 6 Die Vorschriften<br />
des Schriftgutaufbewahrungsgesetzes gelten gemäß § 1 Abs. 2 S. 2 SchrAG für elektronisch geführte<br />
Akten entsprechend.<br />
Nach rechtskräftigem Abschluss eines Verfahrens können Prozessakten gemäß § 299a ZPO zur<br />
Ersetzung der Originale nicht nur auf einem Bildträger (Mikrofilm), sondern auch auf anderen<br />
Datenträgern (digitale Speichermedien) wiedergegeben werden, sofern die Übertragung nach den<br />
Grundsätzen der Ordnungsmäßigkeit erfolgt und ein schriftlicher Nachweis darüber vorliegt, dass die<br />
Wiedergabe mit der Urschrift übereinstimmt. 7 Werden diese erfüllt, können die Papierakten vernichtet<br />
oder zurückgegeben werden [Musi12, § 299a ZPO, Rn. 1, 2]. Somit besteht zwar eine grundsätzliche<br />
Möglichkeit für das ersetzende Scannen von Gerichtsakten, jedoch ist die konkrete Ausgestaltung der<br />
erforderlichen Verwaltungsbestimmungen durch den Gesetzgeber unklar [SCATE, S. 67].<br />
Aus den oben genannten Regelungen ergeben sich folgende Kriterien für die Ausgestaltung der<br />
Aufbewahrung von Gerichtsakten:<br />
• umfassender und effektiver Rechtsschutz,<br />
• funktionsfähige Rechtspflege,<br />
• das Recht auf Akteneinsicht<br />
• die Fortbildung des Rechts sowie<br />
• Vertrauen in die Justiz.<br />
Darüber hinaus existieren noch weitere Kriterien, die allerdings nur bei einer einzelfallbezogenen<br />
Schutzbedarfsanalyse herangezogen werden können, wie z. B. die Bedeutung des Dokuments im<br />
Prozess, z.B. als Beweismittel oder fristwahrendes Schriftstück. Aus diesem Grund kann die hier<br />
vorgenommene Schutzbedarfsanalyse nur beispielhaft sein. Es sind die Kriterien im konkret<br />
vorliegenden Fall zu bewerten, um den Schutzbedarf für den jeweiligen Anwendungsfall zu ermitteln.<br />
4 Im Gegensatz zu § 298a ZPO spricht § 55b VwGO jedoch nicht vom "Ersetzen der Urschrift", weshalb § 55 VwGO in<br />
erster Linie der Vermeidung von Medienbrüchen dient (auch Hybridakten genannt [BeckOK VwGO, § 55b, Rn. 1]), und<br />
keine ersetzende Transformation zulässt.<br />
5 Identische Regelungen finden sich auch für Sozialgerichte in § 55b SGO, für Finanzgerichte in § 52b FGO, für<br />
Arbeitsgerichte in § 46e ArbGG, für Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen<br />
Gerichtsbarkeit in § 14 FamFG und für die elektronische Grundakte in § 138 GBO; die Strafprozessordnung sieht eine<br />
elektronische Aktenführung nicht vor (siehe aber § 110b OWiG für Bußgeldverfahren).<br />
6 Wird im Folgenden auf ein „abgeschlossenes Verfahren“ abgestellt, hat seine gerichtliche Entscheidung bereits<br />
Rechtskraft erlangt.<br />
7 In diesem Fall können die Gerichte den Prozessbeteiligten anstelle der Urschriften Ausfertigungen, Auszüge und<br />
Abschriften von dem Bild- oder Datenträger erteilen.<br />
12 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Anwendungsgebiet Vorschriften zum<br />
ersetzenden Scannen<br />
Gerichtsakten Für rechtskräftig<br />
abgeschlossene Verfahren:<br />
§ 299a ZPO für Prozessakten<br />
Für laufende Gerichtsverfahren:<br />
§§ 298, 298a ZPO in Papierform<br />
eingereichte Schriftstücke<br />
Voraussetzungen für die Vernichtung der<br />
Papieroriginale<br />
Übertragung des Papierdokuments nach<br />
„ordnungsgemäßen Grundsätzen“.<br />
schriftlicher Nachweis über die Übereinstimmung<br />
mit der Urschrift.<br />
Vermerk im Scanprodukt (verantwortliche<br />
Person und Zeitpunkt der Übertragung).<br />
Vernichtung der Originale oder Rückgabe<br />
nach einem rechtskräftigen Abschluss des<br />
Verfahrens möglich.<br />
Tabelle 1: Vorschriften und Voraussetzungen für das ersetzende Scannen von Gerichtsakten am Beispiel<br />
der Zivilprozessakte<br />
Bundesamt für Sicherheit in der Informationstechnik 13
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Sicherheitsziel Schutzbedarf Begründung<br />
Integrität 8 hoch bis sehr hoch Bei laufenden Verfahren könnte jede unsichtbare<br />
Veränderung den Ausgang des Prozesses beeinflussen.<br />
normal Bei abgeschlossenen Verfahren besteht kein Risiko für<br />
die ordnungsgemäße Verfahrensdurchführung und<br />
Rechtskonformität des Gerichtsverfahrens selbst.<br />
Authentizität hoch bis sehr hoch Ohne einen eindeutigen Bezug zum Aussteller des<br />
Originals verliert das Dokument seine Aussagekraft<br />
und kann teilweise seine Funktion nicht mehr erfüllen.<br />
Vollständigkeit sehr hoch Der Wert einer Akte ergibt sich gerade aus der<br />
Gesamtheit der in ihr enthaltenen Einzeldokumente.<br />
Nachvollziehbarkeit normal Bis zum Eintritt der rechtskräftigen gerichtlichen<br />
Entscheidung werden die Papierdokumente aufbewahrt<br />
(Heranziehen von Originalen ist möglich).<br />
Urteile können für weitere Prozesse sowie für die<br />
Fortbildung des Rechts von Bedeutung sein.<br />
Verfügbarkeit sehr hoch Für laufende Prozesse müssen die bei Gericht mit dem<br />
Verfahren betrauten Personen auf die Akten zugreifen<br />
können und es besteht ein Recht auf Akteneinsicht<br />
(§ 299 ZPO).<br />
sehr hoch Für abgeschlossene Prozesse könnte ein schutzwürdiges<br />
Interesse der Verfahrensbeteiligten oder<br />
Dritter sowie ein öffentliches Interesse an der<br />
Erhaltung der Akten bestehen.<br />
Lesbarkeit normal Bei laufenden Prozessen kann grundsätzlich auf<br />
Papierdokumente zurückgegriffen werden (§ 298a Abs.<br />
2 S. 3 ZPO).<br />
sehr hoch Bei abgeschlossenen Prozessen müssen die Dokumente<br />
während der Aufbewahrungsfrist dauerhaft sichtbar<br />
gemacht werden können.<br />
Verkehrsfähigkeit sehr hoch Die Dokumente müssen zwischen den Gerichten,<br />
Rechtsanwälten sowie den Vertragsparteien ausgetauscht<br />
werden können (Recht auf Akteneinsicht<br />
gemäß § 299 ZPO).<br />
Vertraulichkeit sehr hoch Personenbezogene Daten und Geschäftsgeheimnisse<br />
müssen vor einer unbefugter Kenntnisnahme geschützt<br />
werden können.<br />
Löschbarkeit hoch bis sehr hoch Jede einzelne Akte muss nach Ablauf der jeweiligen<br />
Aufbewahrungsfrist gelöscht werden können. Bei ihrer<br />
Bestimmung sind nach § 2 Abs. 2 Satz 2 SchrAG auch<br />
die Interessen der Verfahrensbeteiligten, Dritter oder<br />
der Öffentlichkeit an der weiteren Aufbewahrung zu<br />
berücksichtigen.<br />
Tabelle 2: Schutzbedarf für Gerichtsakten<br />
8 Eine genaue Einschätzung der Einzelfälle ist hier nicht möglich, da weitere Kriterien wie z. B. die mögliche<br />
Schadenshöhe und der genaue Dokumententyp im Gerichtsverfahren zu berücksichtigen sind.<br />
14 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
R.1.2 Verwaltungsunterlagen<br />
Ebenso wie die Gerichtsbarkeit ist auch die Verwaltung aufgrund des Rechtsstaatsprinzips nach<br />
Art. 20 Abs. 2 und Abs. 3 GG und des Grundsatzes des fairen, objektiven und wahrheitsgetreuen<br />
Verwaltungsverfahrens zur Aktenführung und zur Dokumentation verpflichtet. Diese Pflicht ergibt<br />
sich mittelbar aus dem Recht der Verfahrensbeteiligten auf Akteneinsicht gemäß § 29 VwVfG (siehe<br />
[BVerfG, NJW 1983, 2135], [BVerwG, NVwZ 1988, 621, 622], [Bonk/Kallerhoff in StBS08 § 29<br />
Rn. 29, 30]). Die allgemeine Dokumentationspflicht umfasst die Aufgabe der Verwaltung,<br />
ordnungsgemäß Akten zu führen und alle wesentlichen Vorgänge, die für die Durchführung des<br />
Verwaltungsverfahrens und für seine spätere Nachvollziehbarkeit relevant sind, in Niederschriften<br />
oder Aktenvermerken festzuhalten, Schriftwechsel aufzubewahren und so den gesamten Vorgang<br />
aktenkundig zu machen [Bonk/Kallerhoff in StBS08, § 29 Rn. 29, 30], [Herrmann in BaRo11, § 29<br />
Rn. 8]. Neben dem Gebot der Aktenmäßigkeit werden die Gebote der Vollständigkeit und der<br />
wahrheitsgetreuen Aktenführung differenziert [KoRa08, § 29 Rn. 11a]. Fehler der Vollständigkeit<br />
oder der inhaltlichen Richtigkeit können im Streitfall zu einer Umkehr der Beweislast führen [OVG<br />
Mecklenburg-Vorprommern, NvwZ 2002], [Bonk/Kallerhoff in StBS08, § 29 Rn. 11a].<br />
Die Akten- und Geschäftsordnungen des Bundes, der Länder und der Gemeinden sehen heute neben<br />
der papierbasierten auch eine elektronische Aktenführung und Aufbewahrung vor. Nach § 12 GGO<br />
(Gemeinsame Geschäftsordnung der Bundesministerien) sind elektronische Verfahren in den<br />
Arbeitsabläufen dieser Behörden soweit wie möglich zu nutzen. Voraussetzung hierfür ist gemäß § 12<br />
Abs. 2 S. 1 GGO, dass der Stand und die Entwicklung der Vorgangsbearbeitung jederzeit (im Rahmen<br />
der Aufbewahrungsfristen) aus den in Papierform oder elektronisch geführten Akten nachvollziehbar<br />
sind [SCATE, S. 68]. Die Nachvollziehbarkeit setzt insbesondere voraus, dass die Akte vor<br />
Veränderungen geschützt ist und die jeweiligen Urheber und Erstellungszeitpunkte der Dokumente<br />
dauerhaft festgestellt werden können [Fisc06, S. 39 f.], [AgElVa11, Abs. 11, 22]. Neben der Nachvollziehbarkeit<br />
müssen die einzelnen Dokumente zweifelsfrei identifizierbar bleiben, wieder<br />
auffindbar sein sowie mit den übrigen Dokumenten desselben Vorgangs in Beziehung gesetzt werden<br />
können [Bonk/Kallerhoff in StBS08, § 29 Rn. 2 GGO sind die Einzelheiten der Dokumenten- und<br />
Aktenverwaltung der Bundesministerien der Registraturrichtlinie (RegR) 9 zu entnehmen. Nach der<br />
amtlichen Erläuterung zu § 6 RegR können bei ausschließlich elektronisch gespeichertem Schriftgut<br />
Eingänge in Papierform, die nicht an den Einsender zurückgeschickt werden, und Ausgänge, bei denen<br />
in Papierform abschließend gezeichnet wurde, nach elektronischer Erfassung vernichtet werden,<br />
soweit die Aufbewahrung dieser Dokumente nicht von anderen Vorschriften erfasst wird. Konkrete<br />
Anforderungen an den Transformationsprozess werden nicht definiert [Wilk11, S. 91]. Ebenso finden<br />
sich keine differenzierten Regelungen beim ersetzenden Scannen im Hinblick auf den Stand des<br />
Verwaltungsverfahrens.<br />
Aus den oben genannten Regelungen ergeben sich folgende Kriterien für die Ausgestaltung der Aufbewahrung<br />
von Verwaltungsunterlagen:<br />
• Fairness, Objektivität und Wahrheitstreue des Verwaltungsverfahrens (Verbot der<br />
Aktenverfälschung),<br />
• Recht auf Akteneinsicht,<br />
• Aktenmäßigkeit und<br />
• Vollständigkeit der Aktenführung.<br />
Darüber hinaus sind die Akteninhalte häufig Grundlage für die Bewertungen der Mitarbeiter im<br />
öffentlichen Dienst und sie dienen als Beweismittel in Widerspruchs- und Gerichtsverfahren.<br />
9 Abzurufen unter http://www.bmi.bund.de/SharedDocs/Downloads/DE/Broschueren/2001/Moderner_Staat_-<br />
_Moderne_Id_50242_de.html?nn=102768 .<br />
Bundesamt für Sicherheit in der Informationstechnik 15
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Anwendungsgebiet Vorschriften zum ersetzenden<br />
Scannen<br />
Verwaltungsunterlagen § 6 RegR für Dokumente der<br />
Bundesministerien<br />
Voraussetzungen für die Vernichtung<br />
oder Rückgabe der Papieroriginale<br />
Papiereingang, wenn er nicht an den<br />
Einsender zurückgesandt wird.<br />
Papierausgang, wenn er abschließend<br />
in Papierform gezeichnet ist. 10<br />
Tabelle 3: Vorschriften und Voraussetzungen für das ersetzende Scannen von Verwaltungsunterlagen<br />
Sicherheitsziel Schutzbedarf Begründung<br />
Integrität hoch bis sehr hoch Verbot der Aktenverfälschung: Jede unsichtbare<br />
Veränderung könnte den Ablauf des Verwaltungsverfahrens<br />
beeinflussen.<br />
Authentizität sehr hoch Für die Rekonstruktion des Vorgangs muss der<br />
jeweilige Urheber (Aussteller des Originals,<br />
Ersteller des Transfervermerks etc.) der einzelnen<br />
Dokumente und Datenobjekte festgestellt werden<br />
können.<br />
Vollständigkeit sehr hoch Der Wert einer Akte ergibt sich gerade aus der<br />
Gesamtheit der in ihr enthaltenen Einzeldokumente.<br />
Nachvollziehbarkeit sehr hoch Dient der ordnungsgemäßen Erfüllung Aufbewahrungspflicht<br />
der Verwaltungsbehörden.<br />
Verfügbarkeit sehr hoch Recht auf Akteneinsicht der beteiligten Personen<br />
(§ 29 VwVfG).<br />
Lesbarkeit sehr hoch Die Dokumente müssen dauerhaft sichtbar gemacht<br />
werden können, um das Handeln der Behörden<br />
später rekonstruieren und überprüfen zu können.<br />
Verkehrsfähigkeit sehr hoch Die Dokumente müssen zwischen den Behörden,<br />
Aufsichtsinstanzen, Parlamenten und Verfahrensbeteiligten<br />
ausgetauscht werden können.<br />
Vertraulichkeit sehr hoch Personenbezogene Daten und Betriebsgeheimnisse<br />
müssen vor unbefugter Kenntnisnahme geheim<br />
gehalten und geschützt werden können.<br />
Löschbarkeit hoch Soll möglich sein, wenn feststeht, dass das Schriftgut<br />
der Verwaltung nicht mehr erforderlich ist, um<br />
seine die Gesetzmäßigkeit der Verwaltung sichernde<br />
Funktion erfüllen zu können.<br />
Tabelle 4: Exemplarische Schutzbedarfsanalyse für Verwaltungsunterlagen<br />
10 In diesem Fall sollte jedoch im konkreten Anwendungsfall geprüft werden, ob der Dokumentenausgang nicht<br />
elektronisch erfolgen kann oder ob die Aufbewahrung einer inhaltlich mit dem Ausgangsschreiben übereinstimmenden<br />
elektronischen Kopie, die ohne einen Scanvorgang erstellt werden kann, ausreichend ist.<br />
16 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
R.1.3 Sozialversicherungsunterlagen<br />
Für den Bereich der Sozialversicherung hat der Gesetzgeber Vorschriften eingeführt, die die<br />
Aufbewahrung elektronisch erzeugter bzw. in die elektronische Form transformierter Dokumente<br />
betreffen. Nach § 110a Abs. 2 S. 1 SGB IV kann die Sozialversicherungsbehörde an Stelle der<br />
schriftlichen Unterlagen diese als Wiedergabe auf einem Bildträger oder auf einem anderen<br />
dauerhaften Datenträger aufbewahren, soweit dies unter Beachtung der Wirtschaftlichkeit und<br />
Sparsamkeit erfolgt und den Grundsätzen der ordnungsgemäßen Aufbewahrung 11 entspricht. Dabei<br />
muss gemäß § 110a Abs. 2 S. 2 Nr. 1a) SGB IV sichergestellt sein, dass bei der Erfassung und bei der<br />
Wiedergabe der schriftlichen Unterlage die bildliche und die inhaltliche Übereinstimmung – wenn sie<br />
lesbar gemacht werden – mit dem Original gewährleistet ist. Über die Feststellung der<br />
Übereinstimmung ist ein Nachweis zu führen. Darüber hinaus müssen die Unterlagen während der<br />
Dauer der Aufbewahrungsfrist jederzeit zur Verfügung stehen und unverzüglich inhaltlich und bildlich<br />
lesbar gemacht werden können. Entsprechend § 110b SGB IV können Unterlagen, die für die<br />
öffentlich-rechtliche Tätigkeit nicht mehr erforderlich und nach § 110a Abs. 2 SGB IV digitalisiert<br />
wurden, zurückgegeben oder vernichtet werden. Eine Vernichtung darf nach § 110b Abs. 3 SGB IV<br />
jedoch nur dann erfolgen, soweit kein Grund zur Annahme besteht, dass durch die Vernichtung der<br />
Dokumente schutzwürdige Interessen des Betroffenen beeinträchtigt werden.<br />
Eine Spezialregelung hat der Gesetzgeber für die Aufbewahrung transformierter Dokumente in § 110d<br />
Nr. 1 SGB IV getroffen. Hiernach dürfen Unterlagen, die gemäß § 110a Abs. 2 SGB IV auf<br />
dauerhaften Datenträgern aufbewahrt werden, von der Sozialbehörde ihrer öffentlich-rechtlichen<br />
Verwaltungstätigkeit zugrunde gelegt werden, sofern sie mit einer dauerhaft überprüfbaren,<br />
qualifizierten elektronischen Signatur versehen wurden und nach den Umständen des Einzelfalls kein<br />
Anlass besteht, ihre Richtigkeit zu beanstanden. Nach § 110d Nr. 1 SGB IV sind eingescannte<br />
Unterlagen entweder von der Person zu signieren, die die elektronische Wiedergabe hergestellt hat<br />
oder von der Person, die unmittelbar nach der Herstellung der Wiedergabe die bildliche und<br />
inhaltliche Übereinstimmung von Original- und Zieldokument überprüft hat. Die Regelungen des<br />
ersetzenden Scannens begründen die Zulässigkeit sowohl im laufenden Verfahren als auch für die<br />
Aufbewahrung von Dokumenten nach dem Abschluss des Verfahrens [SCATE, S. 72].<br />
Für den Bereich der Sozialversicherung gelten die gleichen Regelungen wie für den Bereich der<br />
Verwaltung, so dass die Kriterien für die Ausgestaltung der Aufbewahrung von Verwaltungsunterlagen<br />
auch auf die Aufbewahrung von Sozialversicherungsunterlagen übertragen werden können:<br />
• Fairness, Objektivität und Wahrheitstreue des Verwaltungsverfahrens (Verbot der<br />
Aktenverfälschung),<br />
• Recht auf Akteneinsicht (§ 25 SGB X),<br />
• Aktenmäßigkeit und<br />
• Vollständigkeit der Aktenführung.<br />
11 Nach § 110c Abs. 1 SGB IV können die Spitzenverbände der Träger der Sozialversicherung und die Bundesagentur für<br />
Arbeit Verwaltungsvereinbarungen abschließen, die das Nähere zu den Grundsätzen ordnungsgemäßer Aufbewahrung<br />
regeln.<br />
Bundesamt für Sicherheit in der Informationstechnik 17
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Anwendungsgebiet Vorschriften zum ersetzenden<br />
Scannen<br />
Sozialversicherungsunterlagen<br />
Voraussetzungen für die Vernichtung<br />
oder Rückgabe der Papieroriginale<br />
§ 110a Abs. 2 SGB IV Übertragung nach den Grundsätzen<br />
ordnungsgemäßer Aufbewahrung.<br />
Dabei gilt insbesondere zu beachten:<br />
Speicherung auf einem dauerhaften<br />
Träger<br />
bildliche und inhaltliche Übereinstimmung<br />
Übereinstimmungsnachweis<br />
jederzeitige lesbare Verfügbarkeit<br />
§ 110d SGB IV: Spezialvorschrift<br />
für Dokumente, die<br />
der öffentlich-rechtlichen<br />
Verwaltungstätigkeit zugrunde<br />
liegen<br />
Eingescannte Dokumente sind<br />
zusätzlich qualifiziert elektronisch zu<br />
signieren.<br />
Tabelle 5: Vorschriften und Voraussetzungen für das ersetzende Scannen von Sozialversicherungsunterlagen<br />
Sicherheitsziel Schutzbedarf Begründung<br />
Integrität hoch bis sehr hoch Verbot der Aktenverfälschung: Jede unsichtbare<br />
Veränderung könnte den Ablauf des Sozialversicherungsverfahrens<br />
beeinflussen.<br />
Authentizität sehr hoch Für die Rekonstruktion des Vorgangs muss der jeweilige<br />
Urheber (Aussteller des Originaldokuments,<br />
Ersteller des Transfervermerks etc.) der einzelnen<br />
Dokumente und Datenobjekte festgestellt werden<br />
können.<br />
Vollständigkeit sehr hoch Der Wert einer Akte ergibt sich gerade aus der<br />
Gesamtheit der in ihr enthaltenen Einzeldokumente.<br />
Nachvollziehbarkeit sehr hoch Dient der ordnungsgemäßen Erfüllung der Aufbewahrungspflicht<br />
der Behörden.<br />
Verfügbarkeit sehr hoch Recht auf Akteneinsicht (§ 25 SGB X).<br />
Lesbarkeit sehr hoch Die Dokumente müssen dauerhaft sichtbar gemacht<br />
werden können, um das Handeln der Behörden<br />
später rekonstruieren zu können.<br />
Verkehrsfähigkeit sehr hoch Die Dokumente müssen zwischen den Behörden und<br />
Verfahrensbeteiligten ausgetauscht werden können<br />
(Recht auf Akteneinsicht nach § 25 SGB X).<br />
Vertraulichkeit sehr hoch Sozialversicherungsrechtliche Dokumentation enthält<br />
sensible personenbezogene Daten.<br />
18 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Löschbarkeit hoch Dokumente müssen nach Ablauf der jeweiligen<br />
Aufbewahrungsfrist gelöscht werden können (§ 110b<br />
Abs. 1 SGB IV).<br />
Tabelle 6: Exemplarische Schutzbedarfsanalyse für Sozialversicherungsunterlagen<br />
R.1.4 Medizinische Dokumentation<br />
Nach § 10 der Musterberufsordnung für deutsche Ärztinnen und Ärzte (MBO-Ä 1997) 12 ist jeder Arzt<br />
zur Dokumentation aller in Ausübung seines Berufs gemachten Feststellungen und getroffenen<br />
Maßnahmen verpflichtet. Die Dokumentation ist gemäß § 10 Abs. 3 MBO-Ä mindestens zehn Jahre<br />
nach Abschluss der Behandlung aufzubewahren, soweit nicht nach gesetzlichen Vorschriften eine<br />
längere Aufbewahrungsfrist besteht. Anderen behandelnden Ärzten ist die Dokumentation auf<br />
Verlangen des Patienten zugänglich zu machen. 13<br />
Die medizinische Dokumentation ermöglicht es dem Patienten in erster Linie, Kenntnis über den<br />
Behandlungsverlauf zu erlangen. Sie ist damit eine wesentliche Voraussetzung dafür, dass der Patient<br />
sein Recht ausüben kann, anderweitig sachkundige Auskünfte über seinen Gesundheitszustand sowie<br />
über einen weiteren Behandlungsbedarf einzuholen [SCATE, S. 74], [Fisc06, S. 34]. Als weitere im<br />
Interesse des Patienten liegende medizinische Dokumentationszwecke sind inzwischen die Therapiesicherung<br />
und die Erfüllung der Rechenschaftspflicht der Ärzte anerkannt [Wilk11, S. 102]. Hingegen<br />
ist es umstritten, ob die medizinische Dokumentenerstellung auch zum Zwecke der gerichtlichen und<br />
außergerichtlichen Beweissicherung erfolgt und demzufolge den Umfang der zu erstellenden<br />
Dokumentation bestimmt [QuZu08, § 12 Rn. 71], [Wilk11, S. 102]. Allerdings erscheint es angesichts<br />
des im medizinischen Bereich hohen Schadensrisikos für den Patienten und seines Unvermögens,<br />
selbst eine für die Beweisführung notwendige Dokumentation zu führen, sachgerecht, die<br />
Beweissicherung als einen Dokumentationszweck anzusehen.<br />
Nach § 10 Abs. 5 MBO-Ä ist die medizinische Dokumentation originär elektronisch auf Datenträgern<br />
oder anderen Speichermedien zulässig, wenn besondere Sicherungs- und Schutzmaßnahmen getroffen<br />
werden, um eine Veränderung, Vernichtung oder unrechtmäßige Verwendung der Dokumente zu<br />
verhindern. Die Archivierung hat so zu erfolgen, dass über den Verbleib der Behandlungsunterlagen<br />
jederzeit Klarheit besteht [BGH, NJW 1996, 779, 780], [RoWi06, S. 2146]. Gemäß § 57 Abs. 1<br />
Bundesmantelvertrag-Ärzte (BMV-Ä) 14 und der entsprechenden Bestimmung in § 13 Abs. 10<br />
Bundesmantelvertrag-Ärzte/Ersatzkassen (EKV) 15 hat der Vertragsarzt die Befunde, seine<br />
Behandlungsmaßnahmen und die veranlassten Leistungen einschließlich des Behandlungstags in<br />
geeigneter Weise zu dokumentieren. Die Dokumentation ist mindestens zehn Jahre nach Abschluss<br />
der Behandlung aufzubewahren. Dabei kann die Aufbewahrung nach § 57 Abs. 2 BMV-Ä und<br />
§ 13 Abs. 11 EKV in elektronischer Form erfolgen.<br />
Jedoch enthält weder die MBO-Ä noch der EKV eine ausdrückliche Regelung, nach der es gestattet<br />
wäre, jeweils die papiernen Dokumente nach der Digitalisierung zu vernichten oder eine elektronische<br />
Dokumentation in ein anderes Format zu überführen [RoWi06, S. 2147], [SCATE, S. 75].<br />
Klarer ist die Rechtslage bei Röntgenbildern und sonstigen Aufzeichnungen nach § 28 Abs. 1 S. 2<br />
Röntgenverordnung (RöntgenVO), die mit einer Röntgenuntersuchung in Zusammenhang stehen<br />
[SCATE, S. 75], [Wilk11, S. 103]. Sie können nach § 28 Abs. 4 RöntgenVO als Wiedergabe auf<br />
einem Bild- oder Datenträger aufbewahrt werden, wenn sichergestellt ist, dass die Wiedergaben oder<br />
die Daten mit den Bildern oder Aufzeichnungen bildlich oder inhaltlich übereinstimmen und während<br />
der Dauer der Aufbewahrungsfrist innerhalb angemessener Zeit lesbar gemacht werden können. Es<br />
muss sichergestellt sein, dass während der Aufbewahrungszeit keine Informationsveränderungen und<br />
12 MBO-Ä 1997 in der Fassung der Beschlüsse des 100. Deutschen Ärztetages 1997 in Eisenach, zuletzt geändert am<br />
24.11.2006; abrufbar unter http://www.bundesaerztekammer.de/page.asp?his=1.100.1143.<br />
13 Siehe z. B. auch § 23 Nr.3 Hess. HeilbG; § 30 Abs. 3 S. 1 HBKG BW; § 30 Nr. 3 HeilbG NRW.<br />
14 Stand. 01.01.2011; abrufbar unter http://www.kbv.de/rechtsquellen/2310.html.<br />
15 Stand. 01.01.2011; abrufbar unter http://www.kbv.de/rechtsquellen/2310.html.<br />
Bundesamt für Sicherheit in der Informationstechnik 19
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Informationsverluste eintreten können. Nach § 28 Abs. 3 RöntgenVO sind Röntgenaufnahmen zehn<br />
Jahre und Aufzeichnungen über Röntgenbehandlungen 30 Jahre aufzubewahren.<br />
Aus den oben genannten Regelungen ergeben sich folgende Kriterien für die Ausgestaltung der<br />
Aufbewahrung medizinischer Dokumentation:<br />
• Akteneinsicht (Patient),<br />
• Therapiesicherung,<br />
• Erfüllung der Rechenschaftspflicht des Arztes,<br />
• Zuordnung der Verantwortlichkeit sowie<br />
• Beweisführung und Beweissicherung.<br />
Anwendungsgebiet Vorschriften zum<br />
ersetzenden Scannen<br />
Medizinische<br />
Dokumentation<br />
Voraussetzungen für die Vernichtung der<br />
Papieroriginale<br />
§ 28 Abs. 4 RöntgenVO Bildliche und inhaltliche Übereinstimmung<br />
16<br />
Herstellung der Lesbarkeit innerhalb angemessener<br />
Zeit<br />
keine Informationsveränderungen und<br />
Informationsverluste<br />
Tabelle 7: Vorschriften und Voraussetzungen für das ersetzende Scannen medizinischer Dokumentation<br />
Sicherheitsziel Schutzbedarf Begründung<br />
Integrität sehr hoch Jede unsichtbare Veränderung könnte den Verlauf<br />
einer aktuellen oder zukünftigen Behandlung beeinflussen<br />
und unter Umständen die Gesundheit und das<br />
Leben des Patienten/der Patientin beeinträchtigen.<br />
Authentizität hoch bis sehr hoch Die Authentizität des Originals – und ggf. der im<br />
Rahmen des Scanprozesses daraus abgeleiteten Datenobjekte<br />
– ist für mögliche Schadensersatzprozesse von<br />
hoher Relevanz.<br />
Vollständigkeit sehr hoch Der Wert einer Akte ergibt sich gerade aus der<br />
Gesamtheit der in ihr enthaltenen Einzeldokumente.<br />
Nachvollziehbarkeit sehr hoch Dient der ordnungsgemäßen ärztlichen Dokumentations-<br />
und Aufbewahrungspflicht.<br />
Verfügbarkeit sehr hoch Medizinische Daten können für die spätere Behandlung<br />
des Patienten benötigt werden. Unter Umständen<br />
müssen medizinische Daten eines Kindes bis ins hohe<br />
Alter aufbewahrt werden, weil ihre Kenntnisse auch<br />
dann relevant sein können.<br />
Lesbarkeit sehr hoch Die Dokumente müssen dauerhaft für eine mögliche<br />
weitere Behandlung sichtbar gemacht werden können.<br />
Verkehrsfähigkeit sehr hoch Für einen Austausch z. B. zwischen mehreren behandelnden<br />
Ärzten und Krankenkassen; auch das<br />
16 Bei der Erfassung von medizinisch relevanten Dokumenten (z.B. Röntgenbilder) werden unter Umständen höhere<br />
Anforderungen bzgl. der Auflösung der Scanprodukte gestellt. Deshalb müssen die geeigneten Scanparameter jeweils in<br />
Abhängigkeit von den verarbeiteten Dokumenttypen gewählt werden.<br />
20 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Akteneinsichtsrecht des Patienten.<br />
Vertraulichkeit sehr hoch Medizinische Dokumentation enthält vor allem<br />
besonders schützenswerte personenbezogene Daten<br />
gemäß § 3 Abs. 9 BDSG.<br />
Löschbarkeit sehr hoch Patientenakten müssen nach Ablauf der jeweiligen<br />
Aufbewahrungsfrist gelöscht werden können.<br />
Tabelle 8: Exemplarische Schutzbedarfsanalyse für medizinische Dokumentation<br />
R.1.5 Kaufmännische Buchführungsunterlagen<br />
Gemäß §§ 238 ff. HGB ist jeder Kaufmann zur Buchführung verpflichtet. Aus den Büchern müssen<br />
sich seine Handelsgeschäfte und die Lage des Vermögens des Kaufmanns und dessen Entwicklung<br />
übersichtlich und nachprüfbar darstellen lassen [KoRM11, § 238 Rn. 4]. Die Buchführungspflicht<br />
dient vor allem dem Gläubigerschutz, erfüllt eine Beweissicherungs- und Selbstinformationsfunktion<br />
und dient der Sicherung des Rechtsverkehrs [WiKl10, § 238 Rn. 59], [KoRM11, § 238 Rn. 4]. Jeder<br />
Kaufmann ist nach §§ 238 ff. HGB verpflichtet, seine Handelsbücher nach den Grundsätzen<br />
ordnungsgemäßer Buchführung vollständig, richtig, zeitgerecht und geordnet zu führen sowie<br />
zusammen mit Belegen, empfangenen und abgesendeten Handelsbriefen sechs bzw. zehn Jahre aufzubewahren.<br />
Diese Unterlagen sind nach § 258 HGB in Rechtsstreitigkeiten den Gerichten vorzulegen<br />
[SCATE, S. 72].<br />
§ 239 Abs. 4 und § 257 Abs. 3 HGB ermöglichen den Kaufleuten und Handelsgesellschaften, die zur<br />
Buchführung verpflichtet sind, die Handelsbücher oder die sonst erforderlichen Aufzeichnungen und<br />
Unterlagen statt in Papierform auch als Wiedergabe auf einem Bildträger oder anderen Datenträgern<br />
zu führen und aufzubewahren. Unter Datenträger ist jedes Medium zu verstehen, das es ermöglicht,<br />
die Bücher oder Aufzeichnungen unmittelbar und jederzeit reproduzierbar festzuhalten [BMF, BT-<br />
Drs. 6/3538, S. 52], [Eben08, § 257 Rn 25]. Dies ermöglicht auch das Scannen und die Aufbewahrung<br />
von Papierdokumenten. Voraussetzung ist, dass die elektronische Aufbewahrung den „Grundsätzen<br />
der ordnungsgemäßen Buchführung“ (GoB) entspricht. Mithin muss sichergestellt werden, dass die<br />
Daten während der Dauer der Aufbewahrungsfrist verfügbar und jederzeit innerhalb einer<br />
angemessenen Frist lesbar gemacht werden können [KoRM11, § 239 Rn. 4]. Die Wiedergabe mit den<br />
empfangenen Handelsbriefen und den Buchführungsbelegen muss bildlich und mit den anderen<br />
Unterlagen inhaltlich übereinstimmen [Wi2010, S. 63]. Für die nähere Bestimmung der „Grundsätze<br />
der ordnungsgemäßen Buchführung“ bei der elektronischen Datenverarbeitung wird allgemein auf die<br />
vom Finanzministerium für die Steuerprüfung festgelegten Grundsätze ordnungsgemäßer<br />
datenverarbeitungsgestützter Buchführungssysteme (GoBS) zurückgegriffen (vgl. [GoBS], [KoRM11,<br />
§ 257 Rn. 25]). 17 Bei Einhaltung dieser Grundsätze sowie der sonstigen Anforderungen der §§ 239<br />
Abs. 4 und 257 Abs. 3 HGB dürfen die papiernen Originalunterlagen nach dem Scanvorgang<br />
vernichtet werden [KoRM2011, § 257 Rn. 22], [SCATE, S. 73].<br />
Aus den oben genannten Regelungen ergeben sich folgende Kriterien für die Ausgestaltung der<br />
Aufbewahrung kaufmännischer Buchführung:<br />
• Gläubigerschutz,<br />
• Beweissicherung sowie<br />
• der Schutz des Rechtsverkehrs.<br />
Anwendungsgebiet Vorschriften zum ersetzenden<br />
Scannen<br />
Voraussetzungen für die Vernichtung<br />
der Papieroriginale<br />
17 Weiter in Frage kommende Prüfungsrichtlinien, wie zum Beispiel [IDW RS FAIT 3] für Wirtschaftsprüfer,<br />
werden ebenso wie die GoBS von der <strong>TR</strong>-<strong>RESISCAN</strong> nicht berührt.<br />
Bundesamt für Sicherheit in der Informationstechnik 21
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Kaufmännische<br />
Buchführungsunterlagen<br />
§ 239 Abs. 4 HGB für<br />
Handelsbücher<br />
§ 257 Abs. 3 HGB für sonstige<br />
Unterlagen<br />
Einhaltung der Grundsätze der<br />
ordnungsgemäßen Buchführung (GoBS)<br />
Tabelle 9: Vorschriften und Voraussetzungen für das ersetzende Scannen von kaufmännisches<br />
Buchführungsunterlagen<br />
Sicherheitsziel Schutzbedarf Begründung<br />
Integrität normal bis sehr hoch Der Grundsatz der ordnungsgemäßen Buchführung<br />
erfordert die Richtigkeit und Unveränderbarkeit der<br />
kaufmännischen Buchführung. Bei Nichteinhaltung<br />
der GoBS kann dem Kaufmann die Nichtanerkennung<br />
seiner Buchführung drohen, woraus ein<br />
steuerlicher Nachteil entstehen kann.<br />
Authentizität normal Aus dem Grundsatz ordnungsgemäßer Buchführung<br />
leitet sich zwar eine Pflicht zur Prüfung der<br />
Authentizität eingehender Geschäftsbriefe ab, aber<br />
gemäß § 14 Abs. 4 UStG ist die Unterschrift kein<br />
notwendiger Bestandteil einer vom Kaufmann<br />
ausgestellten Rechnung. Daher ist die Zuordnung<br />
des Briefes zum ausstellenden Unternehmen über<br />
übliche Identifikatoren z. B. den Briefkopf ausreichend.<br />
Vollständigkeit sehr hoch Grundsatz der ordnungsgemäßen Buchführung<br />
erfordert die lückenlose Erfassung aller Geschäftsvorfälle.<br />
Nachvollziehbarkeit sehr hoch Dient der ordnungsgemäßen Erfüllung der Aufbewahrungspflicht<br />
der Kaufleute.<br />
Verfügbarkeit sehr hoch Für die Dauer der Aufbewahrungsfrist müssen die<br />
Dokumente ohne zeitliche Verzögerung nutzbar<br />
sein.<br />
Lesbarkeit sehr hoch Sie ermöglicht die Prüfbarkeit der Bücher durch<br />
einen sachverständigen Dritten.<br />
Verkehrsfähigkeit hoch bis sehr hoch Bei Rechtsstreitigkeiten sind die Handelsbücher auf<br />
Anordnung des Gerichtes gemäß §§ 258, 259 HGB<br />
durch den Kaufmann vorzulegen.<br />
Vertraulichkeit hoch bis sehr hoch Insbesondere beim Scannen durch externe<br />
Dienstleister muss der Schutz von Betriebs- und<br />
Geschäftsgeheimnissen und personenbezogenen<br />
Daten besonders beachtet werden.<br />
Löschbarkeit sehr hoch Gemäß § 35 BDSG muss die Löschbarkeit von<br />
personenbezogenen Daten bzw. zumindest eine<br />
Möglichkeit zur Sperrung derselben gewährleistet<br />
sein. Im Fall der Auftragsdatenverarbeitung gemäß<br />
§ 11 BDSG sind Dienstleister entsprechend zu verpflichten.<br />
Tabelle 10: Exemplarische Schutzbedarfsanalyse für kaufmännische Buchführungsunterlagen<br />
22 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
R.1.6 Besteuerungsunterlagen<br />
Gemäß § 147 Abs. 3 AO hat die steuerpflichtige Person die für die Besteuerung relevanten Unterlagen<br />
für zehn, Handels- und Geschäftsbriefe sechs Jahre lang aufzubewahren. Die Aufbewahrung stellt eine<br />
wesentliche Grundlage für die Nachvollziehbarkeit steuerlich relevanter Vorgänge und ihrer Kontrolle<br />
durch das zuständige Finanzamt dar [Fisc06, S. 42].<br />
Mit Ausnahme der Jahresabschlüsse, der Eröffnungsbilanz und der Unterlagen nach § 147 Abs. 1<br />
Nr. 4a AO können die in Abs. 1 aufgeführten Unterlagen ähnlich wie nach den Buchführungsvorschriften<br />
des Handelsgesetzbuches auch als Wiedergabe auf einem Bildträger oder auf anderen<br />
Datenträgern aufbewahrt werden. Nach § 147 Abs. 6 AO kann die Mitwirkungspflicht gegenüber der<br />
Finanzbehörde erfüllt werden, indem ihr Einsicht in die gespeicherten Daten gegeben wird, der<br />
Steuerpflichtige die Daten nach den Vorgaben der Finanzbehörde auswertet oder der Finanzbehörde<br />
die gespeicherten Unterlagen auf einem maschinelle verwertbaren Datenträger zur Auswertung<br />
überlässt. Hat sich der Steuerpflichtige gemäß § 147 Abs. 2 AO zur Aufbewahrung seiner Unterlagen<br />
auf Datenträgern entschlossen, sind die Grundsätze der ordnungsgemäßen Buchführung zu beachten.<br />
Außerdem muss gemäß § 147 Abs. 2 Nr. 1, 2 AO sichergestellt werden, dass die Wiedergabe der<br />
Unterlagen, wenn sie lesbar gemacht werden, mit den empfangenen Handels- und Geschäftsbriefen<br />
bildlich und mit den anderen Unterlagen inhaltlich überstimmen. Während der Aufbewahrungsfrist<br />
sind sie jederzeit verfügbar und unverzüglich lesbar gemacht und maschinell ausgewertet werden<br />
können. Für Steuerzwecke ist es daher zulässig, Unterlagen in Papierform zu scannen und die<br />
Originale anschließend zu vernichten [SCATE, S. 74], [RoWi06, S. 2146].<br />
Für die in die elektronische Form transformierten Steuerunterlagen sind jedoch die Grundsätze<br />
ordnungsgemäßer datenverarbeitungsgestützter Buchführungssysteme (GoBS) zu beachten [GoBS],<br />
[Wilk11, S. 98f.].<br />
Aus den oben genannten Regelungen ergeben sich folgende Kriterien für die Ausgestaltung der<br />
Aufbewahrung steuerlich relevanter Unterlagen:<br />
• Rechenschaft gegenüber der Steuerbehörde,<br />
• Nachvollziehbarkeit und Kontrolle steuerlich relevanter Vorgänge,<br />
• Beweissicherung sowie<br />
• Schutz des Rechtsverkehrs.<br />
Bundesamt für Sicherheit in der Informationstechnik 23
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Anwendungsgebiet Vorschriften zum ersetzenden<br />
Scannen<br />
Voraussetzungen für die Vernichtung der<br />
Papieroriginale<br />
Besteuerungsunterlagen § 147 Abs. 2 AO Einhaltung der Grundsätze ordnungsgemäßer<br />
datenverarbeitungsgestützter<br />
Buchführung (GoBS).<br />
Tabelle 11: Vorschriften und Voraussetzungen für das ersetzende Scannen von Besteuerungsunterlagen<br />
Sicherheitsziel Schutzbedarf Begründung<br />
Integrität sehr hoch Unsichtbare Veränderungen können die<br />
Festsetzung der Steuerlast beeinflussen.<br />
Authentizität hoch Ein eindeutiger Bezug zum Aussteller steuerpflichtiger<br />
Unterlagen muss gewährleistet sein.<br />
Vollständigkeit sehr hoch Grundsatz der ordnungsgemäßen Buchführung.<br />
Nachvollziehbarkeit sehr normal Dient der ordnungsgemäßen Erfüllung der Aufbewahrungspflicht<br />
der steuerpflichtigen Person.<br />
Verfügbarkeit sehr hoch Müssen auf Verlangen der Finanzbehörde innerhalb<br />
der Aufbewahrungsfrist im Rahmen einer<br />
Außenprüfung vorgelegt werden können (§ 200<br />
Abs. 1 S. 2 AO).<br />
Lesbarkeit normal bis hoch Zur Vorlage bei der Finanzbehörde im Rahmen<br />
einer Außenprüfung (§ 200 Abs. 1 S. 2 AO)<br />
müssen die steuerlich relevanten Dokumente<br />
sichtbar gemacht werden können.<br />
Verkehrsfähigkeit normal bis hoch Hat der Steuerpflichtige ursprünglich in Papierform<br />
erstellte Unterlagen digital archiviert, muss<br />
er dem Prüfer die Einsichtnahme ermöglichen.<br />
Auch die elektronische Auswertung muss<br />
möglich sein.<br />
Vertraulichkeit hoch bis sehr hoch Sofern personenbezogene Daten verarbeitet<br />
werden ist ein erhöhter Schutzbedarf gegeben.<br />
Hierauf ist insbesondere beim Einsatz von<br />
Scandienstleistern zu achten.<br />
Löschbarkeit sehr hoch Gemäß § 20 BDSG bzw. § 35 BDSG muss die<br />
Löschbarkeit von personenbezogenen Daten<br />
bzw. zumindest eine Möglichkeit zur Sperrung<br />
derselben gewährleistet sein. Im Fall der<br />
Auftragsdatenverarbeitung gemäß § 11 BDSG<br />
sind Dienstleister entsprechend zu verpflichten.<br />
Tabelle 12: Exemplarische Schutzbedarfsanalyse von Besteuerungsunterlagen<br />
24 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
R.1.7 Personalakten<br />
Personalakten dienen sowohl betrieblichen Interessen als auch solchen der einzelnen Mitarbeiter<br />
[RWWO09, § 87 Rn. 6], sowohl während der Beschäftigungsverhältnisses als auch danach.<br />
Eine Pflicht zur Führung von Personalakten besteht generell nur für Beamte in der Bundesverwaltung,<br />
§ 106 Abs. 1 S. 1 Bundesbeamtengesetz (BBG). In privaten Betrieben besteht eine solche Pflicht,<br />
abgesehen von wenigen Verwahrungsvorschriften (z. B. § 257 HGB, § 147 AO, § 41 Abs. 1 S. 9<br />
EStG), nicht [RWWO09, § 87 Rn. 7].<br />
Mangels gesetzlicher Vorschriften zur Führung und Aufbewahrung von betrieblichen Personalakten<br />
im allgemeinen richtet sich die Zulässigkeit derjenigen Dokumente, für die Verwahrungsvorschriften<br />
bestehen, nach den spezialgesetzlichen Regelungen der § 257 HGB für kaufmännische Buchführungsunterlagen,<br />
§ 147 AO für Besteuerungsunterlagen sowie § 41 Abs. 1 S. 9 EStG für Aufzeichnungen zu<br />
Lohnzahlungen. § 257 HGB wurde im Rahmen der kaufmännischen Buchführungsunterlagen (R.1.5)<br />
und § 147 AO im Rahmen der Besteuerungsunterlagen (R.1.6) erläutert. Bei der Schutzbedarfsanalyse<br />
sind die einzelnen Dokumente aus der Personalakte somit dem jeweiligen Dokumententyp (z. B.<br />
kaufmännische Buchführung, Besteuerungsunterlagen) zuzuordnen. Hier kann auf die Ausführungen<br />
an entsprechender Stelle verwiesen werden.<br />
Die elektronische Transformation betrieblicher Personalakten ist darüber hinaus nach dem Bundesdatenschutzgesetz<br />
zu beurteilen. Insbesondere sind die personenbezogenen Daten der Mitarbeiter vor<br />
unbefugter Kenntnisnahme zu schützen, was in besonderem Maße für sensitive Daten im Sinne des § 3<br />
Abs. 9 BDSG wie Aussagen zu Gesundheit oder Persönlichkeit des Arbeitnehmers gilt.<br />
Personalakten der Bundesverwaltung dürfen zwar automatisiert verarbeitet werden unter den Voraussetzungen<br />
des § 114 Abs. 1 BBG, nämlich zu Zwecken der Personalverwaltung und Personalwirtschaft.<br />
Eine Möglichkeit der Vernichtung digitalisierter Unterlagen ergibt sich hieraus aber weder<br />
ausdrücklich noch implizit. Vielmehr dürfen Personalakten der Bundesverwaltung gemäß § 113 Abs. 4<br />
BBG erst nach Ablauf der gesetzlichen Aufbewahrungsfristen des § 113 Abs. 1-3 BBG vernichtet<br />
werden. Mangels ausdrücklicher Regelung ist eine ersetzende Transformation ist mithin nach<br />
derzeitiger Rechtslage unzulässig.<br />
Bundesamt für Sicherheit in der Informationstechnik 25
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
R.2 - Rechtliche Betrachtungen zum ersetzenden Scannen<br />
(informativ)<br />
Zusätzlich zu den rechtlichen Rahmenbedingungen in R.1 soll das nun folgende Kapitel einen Einblick<br />
geben ausgewählte rechtliche Fragestellungen zum ersetzenden Scannen, und dabei insbesondere auf<br />
spezifische Anforderungen der Anwender eingehen. Die Ausführungen dienen dem besseren<br />
Verständnis und sollen eine Hilfestellung bieten bei der Beurteilung und Einordnung der einzelnen<br />
Dokumente im Rahmen der Schutzbedarfsanalyse. Die Betrachtungen haben lediglich<br />
informatorischen Charakter für den geneigten Leser.<br />
Das Kapitel beschäftigt sich zunächst mit datenschutzrechtlichen Grundlagen, geht danach auf<br />
Sicherheitsrisiken und mögliche Konsequenzen ein, widmet sich anschließend beweisrechtlichen<br />
Fragestellungen, zeigt Gefährdungen des Scanproduktes und wie diese vermieden werden können,<br />
geht auf rechtliche Problematiken bei externen Scandienstleistungen ein und widmet sich abschließend<br />
der Problematik der Vernichtung von Originaldokumenten.<br />
R.2.1 Betrachtungen zum Datenschutz<br />
Wird ein Papierdokument, das personenbezogene Daten enthält, gescannt und in ein elektronisches<br />
Dokument übertragen, liegt bei der Erzeugung des Scanproduktes eine Speicherung und damit eine<br />
Datenverarbeitung nach § 3 Abs. 4 S. 2 Nr. 1 BDSG vor. Die Übertragung vom Papier- auf ein<br />
digitales Medium ist potenziell mit einer Risikoerhöhung verbunden, da zum einen kein<br />
Veränderungsschutz besteht und die Daten insgesamt flüchtig sind. Zum anderen ist ein paralleler<br />
Zugriff von mehreren Nutzern auf personenbezogene Daten möglich (siehe auch [Wilk11, S. 203f.],<br />
[SCATE, S. 61]). Die folgenden Absätze beschäftigen mit der Frage, nach welchen Vorschriften<br />
öffentliche und nicht-öffentliche Stellen Daten verarbeiten dürfen und unter welchen Voraussetzungen<br />
das Scannen als Datenverarbeitung erforderlich im Sinne des BDSG ist.<br />
R.2.1.1 Zulässigkeitstatbestände<br />
Soweit das Scannen von Papierdokumenten durch eine öffentlich-rechtliche Stelle (z. B. Gerichte und<br />
Verwaltungsbehörden) erfolgt, ist dies nach § 14 Abs. 1 Satz 1 BDSG dann zulässig, wenn es zur<br />
Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben erforderlich ist und<br />
es für die Zwecke erfolgt, für die die Daten erhoben worden sind. Die Zulässigkeit des Scannens und<br />
die damit verbundene Datenverarbeitung durch eine öffentlich-rechtliche Stelle für andere als in § 14<br />
Abs. 1 S. 1 BDSG genannten Zwecke ergibt sich aus § 14 Abs. 2 BDSG. Dies ist gemäß § 14 Abs. 2<br />
Nr. 1, 2 BDSG der Fall, wenn eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder der<br />
Betroffen eingewilligt hat. Gemäß § 14 Abs. 2 Nr. 3 BDSG ist die Datenverarbeitung durch das<br />
Scannen auch dann zulässig, wenn sie offensichtlich aus Interesse des Betroffenen erfolgt und kein<br />
Grund zur Annahme besteht, dass der Betroffene in Kenntnis des von der Behörde verfolgten Zwecks<br />
seine Einwilligung verweigern würde. In erster Linie erfolgt das Scannen von Papierdokumenten<br />
allerdings nicht im Interesse der betroffenen Personen, sondern der Behörde, um die Vorteile der<br />
Kosteneffizienz, der schnelleren Dokumentenbearbeitung und Akteneinsicht der elektronischen<br />
Aktenführung für sich zu nutzen [Wilk11, S. 204]. Angesichts der mit der Verarbeitung elektronischer<br />
Daten potenziell verbundenen Risiken kann nicht grundsätzlich davon ausgegangen werden, dass ein<br />
informierter Betroffener ohne Weiteres in das ersetzende Scannen von Papierdokumenten einwilligen<br />
würde [Wilk11, S. 205].<br />
Nicht-öffentliche Stellen (z. B. Ärzte, Versicherungen, Unternehmen) dürfen die Datenverarbeitung<br />
gemäß § 28 Abs. 1 S. 1 Nr. 1 BDSG durchführen, wenn es für die Begründung, Durchführung oder<br />
Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit der<br />
betroffenen Person erforderlich ist. Darüber hinaus ist die Datenverarbeitung durch nicht-öffentliche<br />
Stellen gemäß § 28 Abs. 1 S. 1 Nr. 2 BDSG zulässig, soweit es zur Wahrung ihrer berechtigten<br />
Interessen erforderlich ist und wenn kein Grund zur Annahme besteht, dass das schutzwürdige<br />
Interesse des Betroffenen an dem Ausschluss der Verarbeitung überwiegt. Um einen effektiven<br />
26 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Datenschutz zu gewährleisten, sind an diese Interessenabwägung strenge Maßstäbe zu stellen [Simi11,<br />
§ 14 Rn. 12]. Maßgeblich wird dabei zu prüfen sein, ob die Digitalisierung erforderlich ist.<br />
R.2.1.2 Erforderlichkeit<br />
Es ist zu berücksichtigen, dass die dokumentationsführende Stelle in der Regel dazu berechtigt sein<br />
wird, die Daten von vorneherein elektronisch zu erheben. Wenn eine originär elektronische Datenerhebung<br />
zulässig ist und keine Anhaltspunkte vorliegen, dass der Betroffene in diese elektronische<br />
Datenverarbeitung nicht einwilligen würde, so spricht viel dafür, dass auch das Scannen von<br />
Papierdokumenten, die personenbezogene Daten enthalten, zulässig ist. Mit dem Scannen und der<br />
anschließenden Speicherung auf einem elektronischen Medium sind die gleichen Zugriffsrisiken<br />
verbunden wie mit der elektronischen Datenerhebung. In solchen Fällen ist auch die mit dem Scannen<br />
verbundene Vervielfältigung der Daten aus Sicht des Daten- und Geheimnisschutzes kein zusätzliches<br />
Risiko (siehe auch [Wilk11, S. 205], [SCATE, S. 62]).<br />
Zwar führt allein der Umstand, dass die elektronische gegenüber der papierbasierten Dokumentenführung<br />
mit einem deutlich geringeren Zeit- und Kostenaufwand verbunden ist, nicht automatisch zur<br />
Erforderlichkeit im Sinne des Datenschutzrechts. Diese wird aber in der Regel geben sein, wenn die<br />
verantwortliche Stelle ihre Datenverarbeitung auf ein elektronisches Dokumentenmanagement<br />
umgestellt hat. Sind die zunächst auf Papier festgehaltenen Informationen solcher Art, dass sie von<br />
vornherein auch elektronisch hätten erhoben werden dürfen, steht einer Digitalisierung datenschutzrechtlich<br />
nichts entgegen, wenn keine Anhaltspunkte dafür sprechen, dass die betroffene Person ihre<br />
Daten nicht zur Verfügung gestellt hätte [SCATE, S. 62], [Wilk11, S. 205]. Auch wenn das Scannen<br />
der Erhaltung der Lesbarkeit dienen soll, und andernfalls ein dauerhafter Verlust der Daten zu<br />
befürchten wäre, kann die Erforderlichkeit des Scannens bejaht werden [Wilk11, S. 204]. Dies ist bei<br />
solchen Papierdokumenten der Fall, die nur einmal existieren und mit der Zeit verblassen, z. B.<br />
Ausdrucke auf Thermopapier. Auch die notwendige schnelle Verfügbarkeit der Daten an<br />
verschiedenen Orten, wie bei Patienteninformationen, kann für die Erforderlichkeit der elektronischen<br />
Datenvorhaltung durch Scannen der Originaldokumente sprechen.<br />
R.2.2 Sicherheitsrisiken und mögliche Konsequenzen<br />
Sicherheitsrisiken beim ersetzenden Scannen können nicht nur Konsequenzen im Hinblick auf die<br />
Erfüllung der gesetzlichen Dokumentations- und Aufbewahrungspflichten haben, sondern auch mit<br />
beweisrechtlichen Risiken verbunden sein. Papierdokumenten wird aufgrund ihrer spezifischen<br />
Eigenschaften und der Tatsache, dass sie sich in der Vergangenheit als zuverlässiges Perpetuierungsmedium<br />
bewährt haben, im Rechtsverkehr ein hohes Vertrauen entgegengebracht. Dieses<br />
Grundvertrauen in eine nachweisbare Dokumentation von rechtlich relevanten Erklärungen besteht<br />
gegenüber elektronischen Dokumenten nicht, da sie ohne weiteres keine vergleichbaren<br />
Sicherheitsmerkmale aufweisen. Gleiches gilt für eingescannte Dokumente. Daher müssen die<br />
Scanverfahren so ausgestaltet sein, dass sie eine vergleichbare Vertrauensgrundlage erzeugen können.<br />
R.2.2.1 Rechtliche Konsequenzen nicht ordnungsgemäßer Dokumentation und<br />
Aufbewahrung<br />
Die ordnungsgemäße Aufbewahrung von Dokumenten trägt notwendigerweise dazu bei, dass das<br />
Handeln nachvollzogen und auf seine Rechts- und Ordnungsmäßigkeit überprüft werden kann [Fisc06,<br />
S. 43]. Nach der Vernichtung oder der Rückgabe der Papierdokumente muss die verantwortliche Stelle<br />
oder die Person, die zur ordnungsgemäßen Aufbewahrung von Dokumenten verpflichtet ist, in der<br />
Lage sein, die Eindeutigkeit, Richtigkeit und die Übereinstimmung der elektronischen Dokumente mit<br />
den früheren papiernen Originalen nachweisen zu können [Scha11, S. 63]. Eine Verletzungshandlung<br />
besteht dann, wenn nicht ausgeschlossen werden kann, dass das eingescannte Dokument nicht dem<br />
Bundesamt für Sicherheit in der Informationstechnik 27
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Original entspricht und im Ergebnis nicht als glaubwürdige Grundlage herangezogen werden kann<br />
[SCATE, S. 60].<br />
Die materiell-rechtlichen Konsequenzen, die aus der Verletzung der Dokumentations- und<br />
Aufbewahrungspflicht resultieren, unterscheiden sich danach, welche geschützten Interessen –<br />
öffentliche oder individuelle – von ihr betroffen sind.<br />
R.2.2.1.1 Konsequenzen bei Verletzung öffentlicher Interessen<br />
Die materiell-rechtlichen Konsequenzen, die aus der Verletzung von Dokumentations- und<br />
Aufbewahrungspflichten resultieren können, ergeben sich aus dem jeweils zur Anwendung<br />
kommenden Rechtsgebiet. So können die Verletzungen der medizinischen Dokumentations- und<br />
Aufbewahrungspflicht zum einen eine Verletzung von berufs- oder standesrechtlichen Pflichten sein,<br />
die Gegenstand berufsrechtlicher Verfahren sein können. Zum anderen kann die Verletzung solcher<br />
Pflichten auch strafrechtliche Konsequenzen nach sich ziehen. Ein Arzt verletzt die ihm nach § 203<br />
StGB obliegende ärztliche Schweigepflicht, 18 wenn Dritte unberechtigten Zugriff auf ärztliche<br />
Dokumentation erlangen. Zudem kann er sich wegen Verletzung des Datenschutzes nach §§ 43, 44<br />
BDSG strafbar machen. 19 Ein Arzt setzt sich dem Vorwurf der Urkundenfälschung nach § 267 StGB<br />
aus, 20 wenn er die Patientendaten gezielt nachträglich manipuliert, z. B. die von seinem Laborpersonal<br />
ermittelten und in die Krankenakte des Patienten eingetragenen Messwerte nachträglich verändert<br />
werden [LaUh02, § 111 Rn. 2].<br />
Werden handels- und steuerrechtliche Aufbewahrungspflichten verletzt, kann dies zunächst zu<br />
finanziellen Nachteilen führen. So können sowohl Steuervergünstigungen versagt als auch die<br />
Bilanzansätze berichtigt oder eine Steuerschätzung gemäß § 162 Abs. 2 S. 2 AO vorgenommen<br />
werden. Nach § 162 Abs. 2 S. 2 AO sind die Besteuerungsunterlagen insbesondere zu schätzen, wenn<br />
der Steuerpflichtige seine Bücher und Aufzeichnungen, die er nach den Steuergesetzen zu führen hat,<br />
der Finanzbehörde nicht oder nicht vollständig vorlegen kann. Im Ergebnis könnte dies bedeuten, dass<br />
eingescannte Besteuerungsunterlagen, bei denen das Original bereits vernichtet worden ist und die<br />
nicht lesbar, nicht verfügbar oder nicht vollständig sind, zu einer nachteiligen Steuerschätzung führen<br />
können. Der Grund, warum der Steuerpflichtige seine Bücher nicht vorlegen kann, ist für die<br />
Finanzbehörde ohne Bedeutung. Auf die Unmöglichkeit der Nichtvorlage kann der Steuerpflichtige<br />
sich nur dann berufen, wenn sie auf Maßnahmen der Finanzverwaltung oder Finanzgerichte<br />
zurückzuführen sind [Cöster in PaKo09, § 162 Rn. 61].<br />
Darüber hinaus können die Verletzungen der Buchführungs- und Aufzeichnungspflicht nach § 379 AO<br />
als eine Steuerordnungswidrigkeit geahndet werden.<br />
Im Handels- und Steuerrecht ergeben sich die gleichen Rechtsfolgen. Die Verletzung der handelsrechtlichen<br />
Buchführungspflicht zieht auch die Verletzung der steuerrechtlichen Buchführungspflichten<br />
nach sich. Denn die Mängel der kaufmännischen Buchführung beeinträchtigen die<br />
steuerrechtliche Beweiskraft der handelsrechtlichen Bücher, woraus als Folge die Schätzung der<br />
Besteuerungsgrundlagen gemäß § 162 Abs. 1 Satz 1 AO resultieren kann [BaHo10, § 238 Rn. 21]. Ein<br />
Verstoß gegen die handelsrechtlichen Buchführungspflichten (GoBS) kann gemäß §§ 331 bis 335<br />
HGB als Straftat mit einer Freiheits- oder einer Geldstrafe oder als eine Ordnungswidrigkeit mit einem<br />
Bußgeld sanktioniert werden.<br />
R.2.2.1.2 Konsequenzen bei Verletzung individueller Interessen<br />
Sind individuelle Interessen von der Vernichtung des Originals nach dem Scannen betroffen, ist zu<br />
unterscheiden, ob die ordnungsgemäße Dokumentation und Aufbewahrung eine vertragliche<br />
18 Die Verletzung der Schweigepflicht kann zu einer Geld- oder eine Freiheitsstrafe bis zu einem Jahr führen. Siehe zur<br />
Problematik des § 203 StGB auch Kapitel R.2.6.2.<br />
19 Jeder unbefugte Zugriff auf personenbezogene Daten kann mit einer Geldbuße nach § 43 Abs. 2 BDSG bis zu 300.000<br />
Euro geahndet werden.<br />
20 Als Strafe sieht § 267 Abs. 1 StGB Geldstrafe oder Freiheitsstrafe bis zu fünf Jahren vor. Im Rahmen der Strafzumessung<br />
kann die Qualität der falschen Urkunde berücksichtigt werden, ob sie z. B. infolge ungeschickter Vorgehensweise sofort<br />
als Fälschung erkannt werden kann.<br />
28 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Hauptleistungs- oder bloße Nebenpflicht 21 darstellt. Individuell kann ein Dienstleister dazu verpflichtet<br />
sein, die Dokumente aufzubewahren und herauszugeben. Besteht ein Anspruch eines Dritten auf die<br />
Herausgabe und ist dies der aufbewahrenden Stelle nicht möglich, kann der Anspruchsberechtigte<br />
Schadensersatzansprüche geltend machen, wenn die Vernichtung des papiernen Originals ursächlich<br />
für die Entstehung des Schadens war [SCATE, S. 86].<br />
Wenn jedoch die Dokumentation und die Aufbewahrung lediglich eine Nebenpflicht (Sekundärpflicht)<br />
darstellen, so können Schadensersatzansprüche nicht unmittelbar geltend gemacht und auch nicht<br />
selbständig eingeklagt werden. Denn die Sekundärpflichten dienen nur dazu, die Erfüllung der<br />
Primärpflicht zu unterstützen. Solange die Primärpflicht erfüllt wird, kann kein Anspruch aus der<br />
Nebenpflicht begründet werden. Ihre Verletzung kann erst dann geltend gemacht werden, wenn sie<br />
ursächlich für die bei der geschädigten Person eingetretene Verletzung ist. Die Vorgangsdokumentation<br />
erfolgt, um eine ordnungsgemäße Bearbeitung der Aufgaben nachzuweisen, so dass<br />
regelmäßig eine Verletzung dieser Aufgabe selbst, jedoch nicht die unterbliebene Aufbewahrung – in<br />
dem Fall die Vernichtung des Originals – die schadensbegründende Handlung darstellt [SCATE, S.<br />
46f.], [RFJK07, S. 110].<br />
Ein anderes Ergebnis könnte sich allerdings ergeben, wenn sich aus der Verletzung der<br />
Aufbewahrungspflichten Folgeschäden ergeben. Eine fehlerhafte ärztliche Dokumentation oder eine<br />
fehlende Zugriffsmöglichkeit auf sie, kann z. B. bei einer erneuten Behandlung dazu führen, dass eine<br />
unsachgemäße Nachbehandlung vorgenommen wird (vgl. [Fisc06, S. 46 f.] und [SCATE, S. 86]). Dies<br />
könnte dann der Fall sein, wenn das gescannte Dokument z. B. nicht lesbar, nicht verkehrsfähig oder<br />
nicht vollständig ist.<br />
Wird die Vertraulichkeit von gescannten Dokumenten nicht gewahrt, können sich ebenfalls Schadensersatzansprüche<br />
aus der Verletzung des Daten- und Geheimnisschutzes ergeben. Dabei kommen bei<br />
einem Verstoß gegen die ärztliche Schweigepflicht deliktische Ansprüche nach § 823 Abs. 2 BGB i. v.<br />
M. § 203 StGB oder aus § 823 Abs. 1 BGB (Verletzung des allgemeinen Persönlichkeitsrechts) in<br />
Betracht. Werden solche Verletzungen von einer öffentlichen Stelle begangen, können ebenfalls<br />
Schadensersatzansprüche wegen Amtspflichtverletzungen gemäß Art 34 GG i. V. m. § 839 BGB<br />
bestehen [Schu09 et al., § 839 Rn 1].<br />
R.2.3 Beweisrecht<br />
R.2.3.1 Beweiswert des Scanproduktes<br />
Der Zweck der Beweissicherung muss auch nach dem Scannen von Papierdokumenten erreichbar sein,<br />
selbst wenn das Original bereits vernichtet worden ist [Wilk11, S. 79]. Das Scanprodukt soll<br />
grundsätzlich dazu dienen, die frühere Existenz des Originals darzulegen und die Vermutung der<br />
Übereinstimmung des Scanproduktes zu begründen. Je nach Sachverhalt kann das Nachweisinteresse<br />
entweder gegenüber der Vertragspartei oder einem Dritten bestehen. 22<br />
Ein gescanntes Dokument, das in elektronischer Form vorliegt, weist jedoch im Unterschied zu<br />
Papierdokumenten keine Urkundeneigenschaften auf, da es nicht in verkörperter Form vorliegt und<br />
auch ohne technische Hilfsmittel nicht lesbar ist. Demnach kann dieses lediglich als Gegenstand des<br />
Augenscheins nach § 371 Abs. 1 S. 2 ZPO als Beweismittel in den Prozess eingeführt werden<br />
[Musi12, § 371 Rn 12].<br />
Zudem weisen nicht originär elektronische Dokumente, welcher nicht mit einer qualifizierten<br />
elektronischen Signatur versehen sind, gegenüber Papierurkunden einen geringeren Beweiswert auf.<br />
Grund für den geringeren Beweiswert ist das große Vertrauen, das Papierdokumenten entgegen<br />
gebracht wird. Es beruht in erster Linie auf ihrer hohen Fälschungssicherheit. Diese ist aus rechtlicher<br />
21 In der Regel die ordnungsgemäße Dokumentation und Aufbewahrung Nebenpflicht sein, um die Hauptleistungspflicht,<br />
nämlich die ordnungsgemäße Bearbeitung der übertragenen Aufgaben, zu erfüllen.<br />
22 So dienen beispielsweise Verwaltungsunterlagen, medizinische Dokumentation und schriftliche Verträge nicht<br />
ausschließlich dazu, diese erst bei streitenden Verfahren als Beweismittel vorzulegen. Durch ihre klarstellende Funktion<br />
sollen Unklarheiten im Vorfeld bereinigt werden können; siehe dazu [HaBi1993, S. 689].<br />
Bundesamt für Sicherheit in der Informationstechnik 29
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Sicht dann gegeben, wenn die Unversehrtheit des Dokuments und die Veränderungen daran erkennbar<br />
sind. Das beruht darauf, dass nachträglich eingefügte Veränderungen oder Zeichen leicht durch einen<br />
Sachverständigen zu erkennen sind. Darüber hinaus sind Papierdokumente ohne technische Hilfsmittel<br />
lesbar und die handschriftliche Unterschrift – als ein biometrisches Merkmal – erlaubt eine eindeutige<br />
Zuordnung zum Aussteller [JaWi09, S. 101]. Darüber hinaus können Kopien, auch wenn sie in<br />
Papierform vorliegen, vom Original unterschieden werden. Gescannte Dokumente bedürfen dagegen<br />
für ihre Lesbarkeit technischer Hilfsmittel, sie können ohne Qualitätsverlust verändert und/oder<br />
vervielfältigt werden. Wenn die Sicherheitsziele durch ausreichende organisatorische und technische<br />
Maßnahmen nicht erreicht werden können, besteht die Gefahr, dass das Vertrauen in elektronische<br />
Dokumente und damit auch in den elektronischen Rechts- und Geschäftsverkehr verloren gehen<br />
könnte. So kann in einem Prozess beispielsweise die Richtigkeit des Inhalts des gescannten<br />
Dokuments bestritten werden, d. h. ob der Inhalt des Originals mit dem des Ausgangsdokuments<br />
übereinstimmt.<br />
Die Vernichtung des papiernen Originals führt beim ersetzenden Scannen daher zu einer<br />
grundsätzlichen Veränderung der Beweissituation [SCATE, S. 61]. Da ein gescanntes Dokument keine<br />
Urkundenqualität aufweist, ist es umso wichtiger, dass alle Sicherheitsziele des ersetzenden Scannens<br />
eingehalten und glaubhaft durch die Beweisführer dargelegt werden können. Insbesondere dürfte<br />
entscheidend sein, wie einer Behauptung der Fälschung des Originals oder eines Fehlers im Übertragungsvorgang<br />
begegnet werden kann. Der Beweiswert kann deutlich erhöht werden, wenn<br />
beispielsweise der Scanprozess Maßnahmen zur Minimierung dieser Risiken vorsieht und die<br />
Ordnungsmäßigkeit des Scanverfahrens nachgewiesen werden kann.<br />
Zusammenfassend kann festgehalten werden, dass mit gescannten Dokumenten im Rahmen der freien<br />
Beweiswürdigung grundsätzlich Beweis geführt werden kann. Da gescannte Dokumente jedoch<br />
keinerlei Urkundeneigenschaften aufweisen und ihnen auch im übrigen ein geringerer Beweiswert<br />
zukommt als den zugrunde liegenden Originaldokumenten, geht dies stets mit einer Verschlechterung<br />
der Beweissituation einher. Ob dieses Risiko in Kauf genommen wird, muss im Rahmen der<br />
Risikoeinschätzung (z. B. Dokumentenart, Prozesskosten, Schadensersatzansprüche) durch jeden<br />
Einzelnen selbst entschieden werden. Je weniger sicher der Scanprozess ausgestaltet ist, desto weniger<br />
vorhersagbar ist der Ausgang der Beweisaufnahme mit einem Scanprodukt.<br />
R.2.3.2 Die Beweiswirkung des § 371a ZPO<br />
Auf Grund der zunehmenden Digitalisierung des Geschäftsverkehrs auf allen Ebenen und in allen<br />
Bereichen besteht zunehmender Bedarf, auch elektronischen Dokumenten eine den Papierdokumenten<br />
entsprechende Beweiskraft zukommen zu lassen. Wegen der Möglichkeit unerkannter Manipulationen<br />
stellen elektronische Dokumente jedoch keine Urkunden dar, sondern Augenscheinobjekte. Deshalb<br />
hat der Gesetzgeber in § 371a ZPO für private und für öffentliche elektronische Dokumente, die mit<br />
einer qualifizierten Signatur versehen sind, Beweiserleichterung geschaffen (zum Folgenden siehe<br />
auch [Roßn11, S. 928]).<br />
Für private qualifiziert signierte elektronische Dokumente ergibt sich nach § 371a Abs. 1 Satz 2 ZPO<br />
bei erfolgreicher Signaturprüfung nach dem Signaturgesetz ein Anschein der Echtheit der Erklärung,<br />
der nur durch Tatsachen entkräftet werden kann, die ernstliche Zweifel an der Abgabe der Erklärung<br />
durch den Signaturschlüssel-Inhaber begründen. 23 Dieser erste Anschein für die Echtheit der Erklärung<br />
umfasst die Unverfälschtheit der Erklärung und die Zuordnung der Erklärung zum Signaturschlüssel-<br />
Inhaber. 24<br />
Für ein öffentliches elektronisches Dokument, das qualifiziert signiert ist, gilt nach § 371a Abs. 2 Satz<br />
2 ZPO die gesetzliche Vermutung der Echtheit nach § 437 Abs. 1 ZPO, sofern sich das Dokument<br />
nach Form und Inhalt als öffentliches Dokument darstellt. In Anlehnung an den Begriff der<br />
öffentlichen Urkunde in § 415 Abs. 1 ZPO definiert § 371a Abs. 2 Satz 1 ZPO das öffentliche<br />
23 Dadurch soll das Vertrauen in die Rechtssicherheit und Verkehrsfähigkeit elektronische Dokumente gewährleistet<br />
werden – BT-Drs. 15/4067, 34.<br />
24 Der Schutz des Empfängers geht damit weiter als bei Urkunden, für deren Echtheit der Empfänger vollen<br />
Beweis erbringen muss – s. §§ 439f. ZPO.<br />
30 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
elektronische Dokument als ein elektronisches Dokument, das von einer öffentlichen Behörde<br />
innerhalb der Grenzen ihrer Amtsbefugnisse oder von einer mit öffentlichem Glauben versehenen<br />
Person innerhalb des ihr zugewiesenen Geschäftskreises in der vorgeschriebenen Form erstellt worden<br />
ist. Die gesetzliche Vermutung der Echtheit hat somit zwei Voraussetzungen. Zum einen müssen – wie<br />
bei privaten elektronischen Dokumenten – die Voraussetzungen einer qualifizierten Signatur vorliegen<br />
und im Zweifelsfall bewiesen werden. Zum anderen muss sich das Dokument nach Form und Inhalt<br />
als öffentliches Dokument darstellen. Angesichts der einfachen Möglichkeit, das Erscheinungsbild zu<br />
fälschen, wird es dabei vor allem auf das Zertifikat des Signaturschlüssel-Inhabers ankommen. So<br />
muss z.B. nach § 37 Abs. 3 VwVfG bei einem Verwaltungsakt in elektronischer Form das Zertifikat<br />
die erlassende Behörde erkennen lassen (siehe hierzu [Roßn03a, S. 469]). Diesen Eintrag ins Zertifikat<br />
darf der Zertifizierungsdiensteanbieter nach § 5 Abs. 2 SigG nur nach Einwilligung oder Bestätigung<br />
der Behörde vornehmen.<br />
Ist danach von der Echtheit der Erklärung auszugehen, entspricht die Beweiswirkung echter<br />
elektronischer Dokumente denen echter (Papier-)Urkunden: Auf sie finden die Vorschriften über die<br />
Beweiskraft privater und öffentlicher Urkunden entsprechende Anwendung. Demgemäß erbringt ein<br />
privates elektronisches Dokument nach § 371a Abs. 1 Satz 1 ZPO entsprechend § 416 ZPO vollen<br />
Beweis dafür, dass die in ihnen enthaltenen Erklärungen vom Aussteller abgegeben worden sind.<br />
Öffentliche elektronische Dokumente begründen nach § 371a Abs. 2 Satz 1 ZPO gemäß §§ 415 Abs.<br />
1, 417, 418 Abs. 1 ZPO vollen Beweis für den beurkundeten Vorgang, für amtliche Anordnungen,<br />
Verfügungen und Entscheidungen sowie für die in ihnen bezeugten Tatsachen.<br />
§ 371a ZPO gilt allerdings nur für Willens- und Wissenserklärungen [S. BT-Drs. 15/4067, 34.]<br />
Vielfach ist der Inhalt des Originaldokuments eine Erklärung. Das Scanprodukt ist jedoch nur ein<br />
technisches Abbild, dem selbst kein eigener Erklärungsgehalt zukommt. Wird eine elektronische<br />
Signatur in einem automatischen Scanprozess an das elektronische Scanprodukt angefügt, wird keine<br />
Erklärung signiert. Die Signatur ist kein Unterschriftenersatz, sondern nur ein Sicherungsmittel, das<br />
später bekunden kann, dass das Scanprodukt nach der Signierung nicht mehr verändert wurde, und<br />
stellt mithin die Integrität sicher ([SCATE, S. 90], [RoWi06, S. 2148]).<br />
Daher können in der Regel nur originär elektronische Dokumente § 371a ZPO in Anspruch nehmen.<br />
Dies könnte nur eine qualifiziert signierte Erklärung der scannenden Stelle sein, die die<br />
Übereinstimmung von Ausgangs- und Zieldokument bezeugt. Die Beweiserleichterung gilt in diesem<br />
Fall nur für die Übereinstimmungserklärung 25 und nicht auch für den Inhalt des Zieldokuments<br />
[SCATE, S. 90f.], [RoWi06, S. 2148].<br />
R.2.4 Gefährdung und Sicherung des Scanproduktes<br />
R.2.4.1 Bildveränderung<br />
Bildveränderungen können ganz unterschiedliche Gründe und Ursachen haben. Nicht alle<br />
Bildveränderungen haben negative Auswirkungen, vielmehr kann auch eine Verbesserung der<br />
optischen Qualität erreicht werden.<br />
25 S. zum Transfervermerk Anlage C.2.3.<br />
Bundesamt für Sicherheit in der Informationstechnik 31
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
R.2.4.1.1 Bildverbesserung<br />
Bildverbesserungen sind in erster Linie solche Maßnahmen, die die Lesbarkeit des Scanobjektes<br />
erhöhen. Das äußere Erscheinungsbild kann so verarbeitet werden, dass das Scanprodukt eine optisch<br />
bessere Qualität aufweist als das Ausgangsdokument. So können Vergrößerungen sehr kleiner Schrift<br />
vorgenommen, Flecken entfernt oder der Kontrast optimiert werden, so dass ursprünglich schlecht<br />
lesbare Dokumente am Bildschirm deutlich besser zu lesen sind [SCATE, S. 20]. Diese Maßnahmen<br />
führen nicht zu einer Veränderung des Dokumentinhalts.<br />
Es wird jedoch auch bei Verbesserungen am elektronischen Dokument ein vom Ausgangsdokument<br />
abweichendes Abbild erzeugt. Eine genaue abstrakte Abgrenzung, wann nicht mehr von bildlicher<br />
Übereinstimmung gesprochen werden kann, ist nicht möglich. Sie beruht im konkreten Fall in weiten<br />
Teilen auf einer subjektiven Einschätzung. Die Entscheidung darüber obliegt dem Anwender unter<br />
Abwägung der Vorteile einerseits und dem Interesse an einem möglichst originalen Abbild andererseits<br />
[SCATE, S. 52].<br />
Zu empfehlen ist immer eine möglichst restriktive Anwendung. Soweit es vom Aufwand her vertretbar<br />
ist, wird für den Fall, dass eine bildliche Übereinstimmung gefordert wird, empfohlen, das in Frage<br />
stehende Ausgangsdokument doppelt zu verarbeiten, um einmal die optische Qualität zu erhöhen und<br />
um andererseits ein völlig identisches Abbild festzuhalten. Getätigte Veränderungen sollten in jedem<br />
Fall im Transfervermerk festgehalten werden, um Veränderungen nachvollziehen zu können und so<br />
die Qualität des Scanproduktes abzuschätzen [SCATE, S. 97].<br />
R.2.4.1.2 Fehler und Manipulationen<br />
Bildveränderungen können auch das Ziel verfolgen, den Inhalt zu verändern. Zu unterscheiden ist<br />
hierbei zwischen Fehlern einerseits und Manipulation andererseits.<br />
R.2.4.1.2.1 Fehler<br />
Fehler haben entweder technische oder menschliche Gründe und sind unfreiwilliger Natur.<br />
Technische Gründe sind auf einen Mangel am Scansystem zurückzuführen, der dazu führt, dass der<br />
Scanner nicht ordnungsgemäß arbeitet. Die Ursachen sind vielschichtig, fehlerhafte Konfiguration der<br />
Scanner-Optik, Verschmutzung der Linse, mangelhafte Auflösung, mehrfacher Einzug 26 oder<br />
technisches Versagen können Gründe sein.<br />
Technische Fehler können nicht vollständig verhindert werden. Allerdings kann durch eine hohe<br />
Basisqualität und regelmäßige, sorgfältige Wartung der technischen Systeme ein hoher Grad an<br />
Zuverlässigkeit gewährleistet werden. Verantwortlich dafür sind nicht nur die Hersteller und<br />
Kundendienste, auch die zum Scannen verantwortlichen Personen können hierzu beitragen.<br />
Menschliche Gründe liegen dann vor, wenn die verantwortliche Person bei der Vorbereitung,<br />
Durchführung oder Nachbereitung Fehler begeht. Auch hier sind die Möglichkeiten denkbar weit und<br />
können nur exemplarisch aufgezeigt werden. So können Einstellungen am Scanner, die der<br />
bestmöglichen Qualität des Scanproduktes dienen sollen, falsch programmiert werden. Auch kann das<br />
Ausgangsdokument insgesamt vertauscht, versehentlich umgedreht oder in der Reihenfolge verändert<br />
eingelegt worden sein.<br />
Auch die Ursachen menschlicher Fehler können minimiert werden. Notwendig hierfür ist in erster<br />
Linie eine ausführliche Handlungsanweisung, die im Unternehmen als verbindliche Grundlage<br />
anzuwenden ist und die Mitarbeiter für einen verantwortungsbewussten Umgang sensibilisieren soll.<br />
26 Werden bei einem mehrseitigen Dokument mehrere Seiten gleichzeitig eingezogen, wird das Original nur<br />
unvollständig erfasst.<br />
32 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
R.2.4.1.2.2 Manipulation<br />
Manipulationen stellen eine gezielte und verdeckte Einflussnahme auf den Dokumenteninhalt dar, um<br />
die Beweisrichtung zu verändern. Sie können am Ausgangsdokument, im Scanprozess oder in der<br />
Nachbereitung am Zieldokument stattfinden.<br />
So kann das Ausgangsdokument vor der Erfassung verfälscht oder ausgetauscht werden, es können<br />
Blätter hinzugefügt, entnommen oder die Reihenfolge verändert werden. Manipulationen am<br />
Ausgangsdokument sind am Zieldokument nicht mehr feststellbar, insbesondere nicht, nachdem das<br />
Ausgangsdokument vernichtet worden ist.<br />
Beim Scanprozess kann der Scanner oder die Datenübertragung manipuliert werden, um Inhalte<br />
vorsätzlich zu verändern oder zu unterdrücken. Möglich ist, den Scanner mit einer falschen Software<br />
zu manipulieren, die Datenübertragung über das Netzwerk oder lokal anzugreifen oder Malware<br />
einzuspielen. Eine mögliche Sicherung kann nur präventiver Art sein und muss die Sensibilisierung<br />
der Mitarbeiter und ihre besondere Verpflichtung zur ordnungsgemäßen Einhaltung der Vorschriften<br />
umfassen. Eine elektronische Signatur hilft in diesem Stadium nicht weiter, da diese nur die Integrität<br />
des (fertigen) Zieldokuments gewährleisten kann und erst ab dem Zeitpunkt gilt, in welchem das<br />
Zieldokument mit der Signatur versehen wurde.<br />
Ohne technische Sicherung sind Manipulationen am Zieldokument durch Veränderung oder Löschung<br />
von Inhalten spurlos möglich [SCATE, S. 20]. Um ein Auffinden zu erschweren oder unmöglich zu<br />
machen, können Metadaten verfälscht oder falsch zugeordnet werden. Durch ungeeignete<br />
Nachbearbeitung wie zu starke Rausch-Filter, zu starke Bildkompression oder Farbreduktion kann<br />
eine Unlesbarkeit erreicht werden, die das Dokument völlig unbrauchbar machen kann.<br />
Denkbar ist weiterhin, Scanner so zu konfigurieren, dass optimale Einstellungen erreicht werden, die<br />
von dem einzelnen Mitarbeiter nicht ohne weiteres oder nur mit übergeordneter Autorisierung<br />
verändert werden kann. Dies bietet sich insbesondere dann an, wenn vorwiegend Dokumente mit<br />
gleichartigen Einstellungen gescannt werden sollen.<br />
R.2.4.1.3 Barcode<br />
Die Originale können vor dem Scannen mit Barcodes oder Strichcodes versehen werden, die helfen<br />
die Scanprodukte zu kontrollieren, zu sortieren und wiederzufinden. Diese Codes gehören zu den<br />
Metadaten einer Datei, enthalten also Informationen zu den Eigenschaften eines Dokuments, zum<br />
Beispiel Aussteller, Seitenanzahl, Zugehörigkeit zu einer Akte, oder dienen lediglich der Trennung der<br />
Dokumente, damit der Scanner erkennt, aus wie vielen Einzelseiten das Dokument besteht.<br />
In der Regel wird das Aufbringen keine Bildveränderung darstellen. Ein beliebiger Betrachter des<br />
Scanproduktes wird erkennen, dass es sich dabei, wie bei einem Poststempel, um einen nachträglich<br />
aufgebrachten Schriftzug handelt. Werden jedoch Inhalte überklebt, so dass Informationen unterdrückt<br />
werden, oder wird ein inhaltlich falscher Barcode auf das Dokument geklebt, so dass dieses nicht mehr<br />
aufgefunden oder nicht indexiert werden kann, liegt eine unzulässige Manipulation vor, die in jedem<br />
Fall zu vermeiden ist.<br />
Wird ein Barcode eingesetzt, stellt sich die Frage nach der geeigneten Stelle. Möglich wäre zum einen<br />
ein separates leeres Blatt, das vor das eigentliche Dokument, zu dem es gehört, angefügt wird. Zu<br />
denken wäre aber auch daran, den Barcode direkt auf die erste Seite des Dokuments zu kleben.<br />
Keinesfalls dürfen hierdurch andere Informationen, sei es Titel, Autor, Datum oder Seitenzahl,<br />
überklebt werden. Der Barcode darf deshalb nur auf leeren Flächen angebracht werden.<br />
Die Benennung einer einheitlichen Stelle für das Aufbringen ist so kaum möglich, da es eine Vielzahl<br />
von Ausgestaltungsvarianten gibt. Möchte man nichtsdestotrotz eine einheitliche Stelle festlegen, so<br />
ist in erster Linie an den Blattrand 27 zu denken, zum Beispiel der Freiraum zwischen der Lochung, da<br />
dieser in der Regel unbeschrieben ist. Um zu vermeiden, dass sich jemand zu einem späteren<br />
Zeitpunkt darauf beruft, es wäre eine wichtige Information überklebt worden, sollte eine Stelle<br />
gewählt werden, die in der Regel unbeschrieben bleibt. Dann könnte die Beweislast auf den<br />
27 Sofern Informationen am Blattrand überhaupt ausgelesen werden können.<br />
Bundesamt für Sicherheit in der Informationstechnik 33
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Behauptenden verlegt werden, der zu beweisen hätte, dass dort tatsächlich eine Information stand, die<br />
überklebt worden ist, da ein Anscheinsbeweis dafür spräche, dass die Stelle frei war.<br />
R.2.4.2 Signatur und Zeitstempel<br />
R.2.4.2.1 Authentizität und Integrität eines Dokuments<br />
Elektronische Signaturen können bei entsprechender Ausgestaltung die Authentizität und Integrität des<br />
Zieldokuments sicherstellen. Authentizität und Integrität bezeichnen verschiedene Eigenschaften eines<br />
Dokuments, die im folgenden Abschnitt kurz erläutert werden.<br />
Authentizität bedeutet, dass der in der Urkunde angegebene mit dem tatsächlichen Aussteller der<br />
Urkunde übereinstimmt. Auf einem Papierdokument wird dies durch die handschriftliche Unterschrift<br />
bezeugt. Diese kann mittels mikroskopischer, messtechnischer und chemischer Analyseverfahren<br />
durch einen Schriftsachverständigen auf ihre Echtheit überprüft werden. Die Echtheit einer<br />
Unterschrift lässt sich aus allgemeinen (zum Beispiel das angewandte Druckverfahren) und ihr<br />
eigenen individuellen Merkmalen und Spuren ableiten. So lässt sich beispielsweise die<br />
Entstehungsreihenfolge von Schriftzügen nachvollziehen und das Alter einer handschriftlichen<br />
Schreibleistung anhand der verwendeten Tinte bestimmen. Auch mikroskopisch kleine<br />
Beschädigungen im Schriftbild lassen Rückschlüsse auf den Urheber zu.<br />
Darüber hinaus lassen sich Rückschlüsse auf die Echtheit einer gesamten Urkunde herleiten. So kann<br />
die Art und Weise der Verfälschung (zum Beispiel Rasuren oder Hinzufügungen) erkannt werden oder<br />
das Dokument auf nicht eingefärbte Schreibdruckrillen (Durchdruckspuren) untersucht werden, mit<br />
deren Hilfe eine Zusammengehörigkeit von mehrseitigen Schriftstücken festgestellt werden kann. All<br />
diese Merkmale können auf Grund des Spurenmaterials nur an Originalen erhoben werden. Mit dem<br />
Scannen gehen diese Merkmale verloren und sind auf dem Scanprodukt nicht mehr vorhanden. Aus<br />
diesem Grunde kann ein Scanprodukt nie an den Beweiswert des Originals heranreichen.<br />
Die Integrität eines Dokuments garantiert die inhaltliche Echtheit, stellt also die Unversehrtheit der<br />
Daten seit ihrer Signierung sicher und garantiert, dass die Daten vollständig und unverändert sind. Ein<br />
Verlust der Integrität bedeutet, dass Daten unerlaubt verändert oder Angaben verfälscht wurden. 28<br />
Weder die Authentizität noch die Integrität des Ausgangsdokuments kann anhand des Scanproduktes<br />
überprüft werden [SCATE, S. 102f.]. Wird das Ausgangsdokument nach dem Scannen vernichtet, tritt<br />
in jedem Fall eine Verschlechterung der Beweissituation ein, da der Nachweis der Echtheit nur am<br />
Original(papier)dokument zu führen ist [SCATE, S. 102].<br />
Möglichkeiten der Kompensation umfassen weitestgehend fortgeschrittene elektr Signaturen und<br />
Transfervermerke, die aber lediglich in begrenztem Umfang den Beweisverlust ausgleichen können.<br />
Darauf wird an entsprechender Stelle eingegangen.<br />
R.2.4.2.2 Signaturen<br />
Es existieren mehrere Arten elektronischer Signaturen, die im Signaturgesetz geregelt sind. Sie<br />
verfolgen unterschiedliche Funktionen und bieten unterschiedliche Sicherheits- und Nachweisniveaus.<br />
Einfache elektronische Signaturen gemäß § 2 Nr. 1 SigG sind Daten in elektronischer Form, die<br />
anderen elektronischen Daten beigefügt oder mit ihnen logisch verknüpft sind und der Authentifizierung<br />
dienen. Sie haben jedoch aus rechtlicher Sicht keinerlei Sicherungswert und rufen keine<br />
Rechtsfolgen hervor [Wilk11, S. 61], da sie weder Integrität noch Authentizität gewährleisten können,<br />
so dass sie hier außen vor bleiben sollen.<br />
28 Siehe Fehler: Referenz nicht gefunden (Tabelle "Definition der Sicherheitsziele").<br />
34 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Fortgeschrittene elektronische Signaturen gemäß § 2 Nr. 2 SigG weisen zusätzlich zu den Merkmalen<br />
des § 2 Nr. 1 SigG vier weitere Merkmale auf. So müssen sie ausschließlich dem Signaturschlüssel-<br />
Inhaber zugeordnet sein (lit. a), die Identifizierung des Signaturschlüssel-Inhabers ermöglichen (lit. b),<br />
mit Mitteln erzeugt worden sein, die der Signaturschlüssel-Inhaber unter seiner alleinigen Kontrolle<br />
halten kann (lit. c) sowie mit den Daten, auf die sie sich beziehen, so verknüpft sein, dass eine<br />
nachträgliche Veränderung der Daten erkannt werden kann (lit. d). Fortgeschrittene elektronische<br />
Signaturen bieten daher hinreichenden Integritätsschutz, wenn die Algorithmen und Parameter genutzt<br />
werden, die die Bundesnetzagentur für noch geeignet hält. Nach den gesetzlichen Anforderungen ist<br />
für fortgeschrittene elektronische Signaturen keine sichere Signaturerstellungseinheit und kein<br />
qualifiziertes Zertifikat gefordert. Neben der Begriffsbestimmung in § 2 Nr. 2 SigG und den<br />
Datenschutzanforderungen des § 14 SigG enthält das Signaturgesetz keinerlei Anforderungen an die<br />
Komponenten, Prozesse und Dienste für fortgeschrittene elektronische Signaturen. Die Herausgeber<br />
von nicht-qualifizierten Zertifikaten müssen nicht zwingend eine Verifizierung der Identität des<br />
Signaturschlüssel-Inhabers vornehmen oder einen Verzeichnis- oder Sperrdienst anbieten. Die<br />
Authentizität des lediglich mit einer fortgeschrittenen elektronischen Signatur versehenen Dokuments<br />
ist daher im Allgemeinen nicht ausreichend gewährleistet [Roßn03b, S. 164 ff.], [Wilk11, S. 64].<br />
Qualifizierte elektronische Signaturen gemäß § 2 Nr. 3 SigG weisen alle Merkmale der fortgeschrittenen<br />
elektronischen Signaturen auf. Zusätzlich müssen diese auf einem zum Zeitpunkt ihrer<br />
Erzeugung gültigen qualifizierten Zertifikat beruhen (lit. a) und mit einer sicheren Signaturerstellungseinheit<br />
erzeugt werden. Der Zertifizierungsdiensteanbieter muss unter anderem die Identität<br />
des Signaturschlüssel-Inhabers verifizieren sowie einen Verzeichnisdienst und einen Sperrdienst<br />
anbieten. Das qualifizierte Zertifikat kann gemäß § 2 Nr. 7 SigG nur für natürliche Personen<br />
ausgestellt werden.<br />
Rechtsfolgen der Verwendung qualifiziert elektronischer Signaturen sind unter anderem die Erfüllung<br />
der elektronischen Form nach § 126a BGB, § 3a Abs. 2 VwVfG, § 87a Abs. 3, 4 AO oder § 36a Abs.<br />
2 SGB I. Unter Umständen kommt auch die Beweiserleichterung des § 371a ZPO zum Zuge. 29<br />
Schließlich besteht für Zertifizierungsdiensteanbieter nach § 15 SigG die Möglichkeit, sich bei der<br />
Bundesnetzagentur akkreditieren zu lassen. Hierbei wir die Einhaltung der Vorgaben des Signaturgesetzes<br />
und der Signaturverordnung geprüft. Die hieraus resultierenden qualifizierten elektronischen<br />
Signaturen mit Anbieter-Akkreditierung erbringen nach § 15 Abs. 1 Satz 4 SigG den Nachweis der<br />
umfassend geprüften technischen und administrativen Sicherheit der entsprechenden Signaturen<br />
(hierzu näher [Roßn01, S. 1817]).<br />
Die Verwendung geeigneter Verfahren erlaubt den mathematischen Nachweis, dass keine<br />
Veränderung am Scanprodukt erfolgt ist [SCATE, S. 105]. Wird ein digitales Dokument mit einer<br />
fortgeschrittenen elektronischen Signatur gemäß § 2 Nr. 2 SigG versehen, lässt sich ermitteln, ob das<br />
Dokument nach Unterzeichnung verändert worden ist; sie sichert mithin die Integrität des<br />
elektronischen Dokuments. Die Verwendung einer qualifizierten elektronischen Signatur erlaubt<br />
darüber hinaus die Feststellung der Authentizität des Dokuments [Wilk11, S. 210].<br />
Die Entscheidung für oder gegen das Anbringen von qualifizierten elektronischen Signaturen muss<br />
dem einzelnen Anwender obliegen. Um diese Entscheidung herbeizuführen, sollte eine erste<br />
Einteilung anhand des Schutzbedarfs des elektronischen Dokumentes vorgenommen werden.<br />
Grundsätzlich gilt, dass für ein Dokument mit normalem Schutzbedarf keine qualifizierte<br />
elektronische Signatur notwendig ist, für einen sehr hohen Schutzbedarf hingegen schon.<br />
Beurteilungsmaßstab sollte die antizipierte Verwendung durch den Anwender sein sowie die<br />
Wahrscheinlichkeit, das gescannte Dokument nicht nur intern, sondern extern im Geschäftsverkehr zu<br />
verwenden, wo es im Zweifel als Beweismittel dienen muss. Soll die Bestätigung des korrekten<br />
Scanprozesses in den Genuss der Beweiserleichterung des § 371a ZPO kommen, ist eine qualifizierte<br />
elektronische Signatur unumgänglich.<br />
29 S. zur Beweiswirkung des § 371a ZPO Anlage C.1.<br />
Bundesamt für Sicherheit in der Informationstechnik 35
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Um Integrität und Authentizität bestmöglich zu wahren, sollte die Signatur unmittelbar anschließend<br />
an den Transformationsprozess angebracht werden, um den Zeitraum einer möglichen Manipulation<br />
an dem ungesicherten Dokuments zu minimieren.<br />
R.2.4.2.3 Zeitstempel<br />
Gemäß § 2 Nr. 14 SigG ist ein qualifizierter Zeitstempel eine elektronische Bescheinigung eines<br />
Zertifizierungsdiensteanbieters, der mindestens die Anforderungen der §§ 4 bis 14 sowie § 17 oder<br />
§ 23 SigG und der sich darauf beziehenden Vorschriften der Signaturverordnung nach § 24 SigG<br />
erfüllt, darüber, dass ihm bestimmte elektronische Daten zu einem bestimmten Zeitpunkt vorgelegen<br />
haben.<br />
Qualifizierte Zeitstempel dienen beispielsweise dazu, Post- und Eingangsstempel zu ersetzen. Durch<br />
ihre Anwendung soll eine Vor- oder Rückdatierung kenntlich gemacht und somit verhindert werden<br />
[Roßn05, § 2 SigG 1997 Rn. 77], [BR-Drs. 966/96, 32]. Die Zeitangabe in einer elektronischen<br />
Signatur ist hierfür nicht ausreichend, da diese die Systemzeit des Rechners wiedergibt. Die<br />
Systemzeit eines Rechners ist aber im Allgemeinen leicht manipulierbar und deshalb für die<br />
Aufnahme als Metadatum in der Regel nicht ausreichend.<br />
Qualifizierte Zeitstempel werden dergestalt umgesetzt, dass von den Daten, die mit einem<br />
qualifizierten Zeitstempel versehen werden sollen, ein Hashwert gebildet wird, der an den<br />
Zeitstempeldiensteanbieter übermittelt wird. Dieser ermittelt Datum und Uhrzeit nach der gemäß § 4<br />
EinhZeitG 30 definierten gesetzlichen Zeit, die von der Physikalisch-Technischen Bundesanstalt in<br />
Braunschweig per Funk verbreitet wird. Der Zeitstempeldiensteanbieter bildet einen neuen Datensatz,<br />
der bei Bedarf aus einem Verweis auf das Zertifikat des Diensteanbieters, dem Hashwert und der<br />
ermittelten Uhrzeit besteht und mit seiner eigenen qualifizierten Signatur versehen wird. 31<br />
Da der qualifizierte Zeitstempel die Möglichkeit der eindeutigen Zuordnung einer Uhrzeit zu einem<br />
Hashwert gewährleistet, bieten sich Beweisvorteile bei den Fragen des Zeitpunkts der Abgabe einer<br />
Willenserklärung oder deren Zugang beim Empfänger. Wurde ein Dokument mit einem qualifizierten<br />
Zeitstempel versehen, der auf einer qualifizierten elektronischen Signatur basiert, kann vor Gericht<br />
§ 371a ZPO Berücksichtigung finden. Gegenstand der von § 371a ZPO geforderten Erklärung ist die<br />
Tatsache, dass der Hashwert dem Zeitstempeldiensteanbieter zu einem bestimmten Zeitpunkt<br />
vorgelegen hat. Bewiesen wird daher die Echtheit und Unverfälschtheit der Zeitangabe gemäß § 371a<br />
Abs. 1 Satz 2 ZPO.<br />
Hinsichtlich der Datumsangabe kann durch den qualifizierten Zeitstempel ein deutlich höherer<br />
Beweiswert erzielt werden, da bei Papierdokumenten die Identität und Authentizität nach § 416 ZPO<br />
beurteilt wird, die Echtheit des Datums und die Frage, ob dieses bei Erstellung des Dokuments<br />
gefälscht wurde, nur der freien Beweiswürdigung unterliegt. Die Echtheit des Datums des<br />
qualifizierten Zeitstempels hingegen unterfällt der Wirkung des § 371a ZPO, so dass § 416 ZPO gilt.<br />
Begründet wird also eine gesetzliche Vermutung für die Echtheit des Datums.<br />
R.2.4.3 Transfervermerk<br />
Der Transfervermerk soll das Ziel haben, dem Scanprodukt zu größtmöglichem Beweiswert zu<br />
verhelfen und somit ein verkehrsfähiges Beweismittel zu schaffen. Da das Ausgangsdokument nach<br />
dem Scannen vernichtet werden soll, enthält der Transfervermerk typischerweise neben Angaben zum<br />
Scanprozess auch solche zum Ausgangsdokument selbst. Der Transfervermerk kann entweder in das<br />
Zieldokument integriert werden, zusammen mit dem Zieldokument in einer Akte abgelegt oder aber in<br />
den Metadaten gespeichert werden.<br />
30 Gesetz über die Einheiten im Messwesen und die Zeitbestimmung (Einheiten- und Zeitgesetz - EinhZeitG).<br />
31 <strong>BSI</strong>, IT-Grundschutz, https://www.bsi.bund.de/Content<strong>BSI</strong>/grundschutz/kataloge/m/m05/m05067.html zuletzt<br />
abgerufen am 15.02.2012.<br />
36 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
Angaben zum Ausgangsdokument dienen dazu, die Integrität und Authentizität desselben bewerten zu<br />
können. Solche Informationen können zum Beispiel die Beschaffenheit des Ausgangsdokuments, die<br />
Nutzung von Vorder- und Rückseite, oder, soweit vorhanden, auch auffällige Merkmale, zum Beispiel<br />
Wasserzeichen, sein. Soll das Originaldokument zurückgegeben werden, kann auch der Lagerort<br />
vermerkt werden, was bei einem eventuellen Nachscannen hilfreich sein kann. Da die Beurteilung der<br />
Unterschrift ohne Sachverständigen in der Regel nicht möglich ist, können hierzu keine Angaben<br />
aufgenommen werden. Sollte jedoch im Einzelfall die Unterschrift des Ausstellers im Beisein der für<br />
die Transformation zuständigen Person vorgenommen worden sein, kann dies durchaus im Vermerk<br />
notiert werden. All dies liefert Anhaltspunkte, um vor Gericht die Echtheit des Dokuments trotz<br />
dessen Vernichtung zu belegen (näher dazu [Wilk11, S. 229f.]).<br />
Angaben zum Transformationsvorgang dienen dazu, den Prozess für Dritte nachvollziehbar zu<br />
machen. Dazu ist zum einen die Bezeichnung des Systems, mit dem die Transformation stattgefunden<br />
hat, notwendig, um die Sicherheitseigenschaften der verwendeten Technik nachzuvollziehen. Möglich<br />
ist dies durch Herstellerangaben, die Gerätenummer, zusätzliche besondere Merkmale sowie durch ein<br />
Qualitätszertifikat für den Scanner [Wilk11, S. 244].<br />
Auch die verantwortliche Stelle oder Person, die das Dokument gescannt hat, ist so genau wie möglich<br />
zu bezeichnen, um diese zurückverfolgen zu können.<br />
Weiterhin muss der Zeitpunkt der Transformation vermerkt werden. Dies dient dem Schutz vor<br />
Fälschung durch Rück- oder Vordatierung und erneuter Transformation. Da die Systemzeit im<br />
Allgemeinen manipulierbar und fehleranfällig ist, stellt sie keine hinreichend vertrauenswürdige<br />
Quelle dar, um einen Anscheinsbeweis zu rechtfertigen [Wilk11, S. 246]. Eine Lösung bietet hier der<br />
so genannte qualifizierte Zeitstempel, der eine externe Zeitquelle heranzieht. In seiner Ausgestaltung<br />
umfasst der qualifizierte Zeitstempel den Transfervermerk und signiert damit auch die im Zeitstempel<br />
angegebenen Erklärungen, die Voraussetzung für eine Anwendung des § 371a ZPO auf das<br />
Scanprodukt. Als entgeltliche Dienstleistung kann der qualifizierte Zeitstempel jedoch mit<br />
zusätzlichen Kosten verbunden sein. Die Entscheidung für oder gegen den Einsatz von Zeitstempeln<br />
sollte daher unter Beachtung des Schutzbedarfs für jedes Dokument selbständig getroffen werden. Für<br />
Archive bietet sich die kostengünstigere Möglichkeit eines Archivzeitstempels als eines gemeinsamen<br />
Nachweises für viele Dokumente an [Wilk11, S. 246].<br />
Die Wirkung des Transfervermerks reicht, wie die fortgeschrittene elektronische Signatur, nicht an<br />
eine eigenhändige Unterschrift heran. Sie kann jedoch in gewissem Maße einen Beweis für die<br />
Ordnungsgemäßheit des Scanvorgangs erbringen, der im Streitfall im Rahmen der freien<br />
Beweiswürdigung herangezogen werden kann. Es verbleibt aber ein Restrisiko, dass im Streitfall nur<br />
die Hinzuziehung des Originals genügend Beweis erbringen kann.<br />
Eine Möglichkeit wäre, das Scanprodukt dem Eigentümer oder Urheber des Originaldokuments<br />
zuzustellen, welcher dann innerhalb einer Frist Widerspruch einlegen könnte, wenn das Original nicht<br />
mit dem Scanprodukt übereinstimmt. Die Qualitätsprüfung würde dann durch den Dokumentenersteller<br />
durchgeführt. Um hier Rechtssicherheit zu erreichen, ist jedoch der Gesetzgeber gefragt,<br />
welcher angehalten wird, hierfür eine gesetzliche Regelung zu erlassen.<br />
R.2.4.4 Qualitätssicherung / Sichtprüfung<br />
Trotz bester Vorkehrungen ist es nicht ausgeschlossen, dass das Scanprodukt nicht die optimale<br />
Qualität aufweist. Mängel können auf ganz unterschiedlichen Gründen beruhen, allen voran auf den<br />
oben beschriebenen technischen oder menschlichen Fehlern. Die Qualitätskontrolle hat daher den<br />
Zweck, das Dokument auf Vollzähligkeit, Vollständigkeit, Fehler- und Manipulationsfreiheit hin zu<br />
prüfen, um diese zukünftig zu vermeiden.<br />
Vollständigkeit bedeutet, dass alle zum Dokument gehörenden Bestandteile gescannt vorliegen.<br />
Bedeutung erlangt dies zum Beispiel, wenn farbige Bestandteile zum Dokument gehören, soweit der<br />
Farbe eine eigenständige Bedeutung zukommt (z.B. farbige Kürzel in der Verwaltung oder<br />
verschiedenfarbige Durchschläge) [SCATE, S. 52] oder wenn ein Dokument aus verschiedenen<br />
Bundesamt für Sicherheit in der Informationstechnik 37
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Teildokumenten besteht [SCATE, S. 61, 67], die in einem inneren Zusammenhang stehen (wie etwa<br />
Akten 32 ).<br />
Vollzähligkeit bezeichnet hingegen allein die Tatsache, dass die Anzahl der Seiten des Ausgangs- und<br />
des Zieldokuments übereinstimmen.<br />
Grundsätzlich gibt es unterschiedliche Möglichkeiten, eine Qualitätssicherung durchzuführen. So kann<br />
eine vollständige Sichtprüfung aller gescannten Dokumente durchgeführt werden, die jedoch sehr<br />
aufwändig ist und damit in der Regel nicht zu empfehlen sein wird. Möglich ist weiterhin, lediglich<br />
Stichproben vorzunehmen. Diese werden üblicherweise von der Art und Wichtigkeit der Dokumente<br />
abhängig sein. Die Quote der Stichproben hängt von einer Vielzahl von Faktoren ab. Eine generelle<br />
Empfehlung ist auf Grund der Vielzahl der möglichen Dokumentarten nicht möglich. Die Stichprobe<br />
erbringt eine gewisse Wahrscheinlichkeit, mit der gewisse Arten von Fehlern entdeckt werden können.<br />
Je höher die Quote, desto größeres Gewicht kann dieser im Rahmen der Beweiswürdigung<br />
beigemessen werden. Die abschließende Entscheidung muss dem jeweiligen Anwender der <strong>TR</strong><br />
überlassen bleiben und sollte in einer internen Arbeitsanweisung festgelegt werden.<br />
Zunächst ist zu klären, was durch eine Qualitätssicherung überhaupt erreicht werden kann. Eine<br />
Sichtprüfung kann die Sicherstellung der optischen Qualität ermöglichen. Eine vollständige<br />
Sichtprüfung wird aber in der Regel nicht notwendig sein, da diese Art der Fehler auf technischen<br />
Einstellungen basiert und sich daher wiederholt. Hier ist also eine Stichprobe völlig ausreichend. Die<br />
Vollständigkeit des Scanprodukts kann durch einen Sichtvergleich in der Regel festgestellt werden.<br />
Probleme bereitet dies bei großen Mengen zu scannender Dokumente, allerdings sollte sich der<br />
Anwender im eigenen Interesse einer Qualitätssicherung so genau wie möglich durchführen. Die<br />
inhaltliche Richtigkeit kann nicht völlig durch eine vollständige Sichtprüfung sichergestellt werden.<br />
Wurde bereits das Ausgangsdokument manipuliert, werden Ausgangs- und Zieldokument<br />
übereinstimmen. Eine Qualitätssicherung in Form einer Sichtprüfung hilft dann nicht weiter. Treten<br />
Manipulationen (oder Fehler) am Zieldokument auf, kann eine Sichtprüfung durchaus Aufschluss<br />
geben und diese aufdecken. Allerdings stellt sich die Frage der Praktikabilität. Insbesondere bei<br />
großen Mengen an Daten, sei es Zahlentabellen, Bilanzen oder Ähnliches, ist ein manueller Eins-zu-<br />
Eins-Abgleich nicht zu leisten, da dies den manuellen Vergleich jeder einzelnen Zahl voraussetzt. Zu<br />
denken wäre hier daran, nur bedeutsame Zahlen oder Daten abzugleichen, wie Zwischenergebnisse<br />
oder Endsummen. In jeden Fall muss das Verhältnis zwischen Nutzen und Aufwand gewahrt bleiben.<br />
R.2.5 Mehrseitige, beglaubigte Dokumente<br />
Problematisch kann es sein, Dokumente ersetzend zu scannen, bei denen die Verbindung mehrerer<br />
Seiten durch eine öffentliche Stelle bestätigt wurde, z. B. die notarielle Beglaubigung mehrseitiger<br />
Dokumente durch ein Siegel (Aufkleber oder Stempel) oder eine Siegelschnur. Die Verbindung mit<br />
einem Siegel oder einer Siegelschnur dient dazu, die Zusammengehörigkeit der Einzelseiten als ein<br />
Dokument und somit die Vollständigkeit zu sichern. Indem das Siegel oder die Siegelschnur im<br />
Rahmen der organisatorischen Vorbereitung der Dokumente für das Scannen aufgelöst wird, wird<br />
nicht nur die Urkundenqualität des Dokuments aufgehoben. In der Zukunft kann auch kein Beweis<br />
mehr erbracht werden, dass das papierne Dokument vormals notariell beglaubigt worden war. Dies ist<br />
insbesondere bei Willenserklärungen von Bedeutung, bei denen die notarielle Beurkundung gesetzlich<br />
vorgeschrieben ist. 33 Das Scannen solcher Dokumente, bei denen die Verbindung von Einzelseiten<br />
durch eine öffentliche Stelle besonders bestätigt worden ist, ist mittels geeigneter Hardware (z. B.<br />
Flachbettscanner) zwar grundsätzlich möglich. Jedoch sollten die Originaldokumente aufgrund der<br />
zusätzlichen Beweisrisiken nach dem Scanprozess nicht vernichtet oder zurückgegeben, sondern<br />
besonders aufbewahrt (oder asserviert) werden (siehe auch [SCATE, S. 50] und [RoJa08, S. 23]).<br />
32 Die Akte ist nur dann vollständig, wenn alle Dokumente gescannt vorhanden sind.<br />
33 Gesetzlich vorgeschrieben ist die notarielle Beurkundung z. B. für § 15 Abs. 2 GmbHG für die Abtretung eines Anteils<br />
an einer GmbH oder § 311b Abs. 1 Satz 1 BGB bei Grundstückskaufverträgen.<br />
38 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
R.2.6 Datenschutzrechtliche und strafrechtliche Beurteilung des externen<br />
Scannens<br />
Abhängig von der Menge der zu scannenden Akten und der vorhandenen Infrastruktur in den<br />
Unternehmen kann es von Interesse sein, die Digitalisierung von einem externen Dienstleister<br />
vornehmen zu lassen. Dies wirft Fragen bezüglich der Zulässigkeit der Weitergabe der Daten in<br />
datenschutzrechtlicher, aber auch in strafrechtlicher Hinsicht auf.<br />
R.2.6.1 Datenschutzrecht<br />
Darüber hinaus erlangt die Verarbeitung personenbezogener Daten eine besonders hohe Bedeutung,<br />
wenn das Scannen von Papierdokumenten externe Dienstleister übernehmen. In diesen Fällen ist § 11<br />
BDSG (oder die entsprechenden Landesdatenschutzgesetze zu berücksichtigen), der die Datenverarbeitung<br />
im Auftrag reguliert. Wenn die Datenerhebung durch den Auftraggeber grundsätzlich<br />
zulässig ist, ist das Scannen durch externe Dienstleister im Allgemeinen unbedenklich, denn die<br />
Datenweitergabe vom Auftraggeber an den Auftragnehmer ist gemäß § 3 Abs. 8 Satz 3 BDSG keine<br />
Datenübermittlung an Dritte. Trotzdem liegt hierin eine Nutzung der Daten gemäß § 3 Abs. 5 BDSG.<br />
Somit ist ohne Einwilligung des Betroffenen die Nutzung der Daten nur im Rahmen der gesetzlichen<br />
Ermächtigungsgrundlagen, insbesondere §§ 12 ff. BDSG und §§ 28 ff. BDSG zulässig [Roßn03, Kap.<br />
4.6 Rn. 101]. Die durch den externen Dienstleister stattfindende Datenverarbeitung muss allen<br />
Anforderungen genügen, die auch von dem Auftraggeber zu erfüllen wären [Simi10, § 11 Rn. 1, 43],<br />
wobei zu beachten ist, dass sich die Sicherungsmaßnahmen zur Gewährleistung des Datenschutzes<br />
dann sowohl auf das Papierdokument als auch auf das Scanprodukt beziehen müssen [SCATE, S. 62].<br />
Allerdings können Spezialnormen die Weitergabe besonderer Daten verbieten. Zu nennen ist etwa<br />
§ 30 AO für Daten, die dem Steuergeheimnis unterliegen, und die nur unter den Voraussetzungen des<br />
§ 30 Abs. 4 AO offenbart werden dürfen sowie § 80 Abs. 5 SGB X, welcher die Auftragsverarbeitung<br />
von Sozialdaten durch nicht-öffentliche Stellen an enge Voraussetzungen knüpft (Störung des<br />
Betriebsablaufs, Nr. 1, sowie erhebliche wirtschaftliche Vorteile, wenn nicht der gesamte Datenbestand<br />
vom Auftragnehmer gespeichert wird, Nr. 2). Auch § 107 BBG beschränkt den Zugriff auf<br />
Dokumente, hier Personalakten der Bundesbeamten, auf einige wenige Mitarbeiter der<br />
Personalverwaltung. Insoweit ist hier zu prüfen, ob für die zu scannenden Unterlagen gesetzliche<br />
Bestimmungen die Weitergabe verbieten.<br />
{Zunächst ist zu klären, ob die Weitergabe der Dokumente mit personenbezogenen Daten zum Zweck<br />
des externen Scannens eine Auftragsdatenverarbeitung oder eine Funktionsübertragung auf einen<br />
Dritten darstellt [JaRoWi11b, S. 643].<br />
Bei der Auftragsdatenverarbeitung ist für öffentliche Stellen des Bundes und für nicht-öffentliche<br />
Stellen § 11 BDSG zu beachten, wenn nicht Fachgesetze eine speziellere Regelung treffen (z.B. § 80<br />
SGB X). Für Landesbehörden gelten i. d. R. die dem § 11 BDSG nachgebildeten Vorschriften der<br />
jeweiligen Landesdatenschutzgesetze. Die Verantwortlichkeit für die Einhaltung des Datenschutzes<br />
liegt damit bei der Auftragsdatenverarbeitung beim Auftraggeber. Insbesondere stellt dies keine<br />
Datenübermittlung im Sinne von § 3 Abs. 4 Satz 2 Nr. 3 BDSG dar, weil der Dienstleister zwar<br />
„Empfänger“ der Daten, aber im Verhältnis zum Auftraggeber gemäß § 3 Abs. 8 Satz 3 BDSG nicht<br />
„Dritter“ ist [Simi11, § 3 Rn. 244], [Simi11, § 11 Rn. 31], [SCATE, S. 62].<br />
Bei einer Funktionsübertragung hingegen liegt eine Übermittlung der Daten gemäß § 3 Abs. 4 Nr. 3<br />
BDSG vor, so dass eine Datenverarbeitung vorliegt, die nur bei Einwilligung oder bei einer<br />
gesetzlichen Befugnisnorm zulässig ist.<br />
Zur Beurteilung können verschiedene Kriterien herangezogen werden. Für eine Beauftragung spricht,<br />
dass die Vorgehensweise des Dienstleisters durch Weisungen engen Grenzen unterworfen ist und kein<br />
Gestaltungsspielraum besteht. Auch hat der Dienstleister kein eigenes inhaltliches Interesse an den<br />
Daten. Gegen eine reine Beauftragung und für eine Funktionsübertragung spricht hingegen die<br />
fehlende Einflussmöglichkeit des Auftraggebers, die Durchführung der Datenverarbeitung auf eigene<br />
Bundesamt für Sicherheit in der Informationstechnik 39
Ersetzendes Scannen (<strong>RESISCAN</strong>) <strong>BSI</strong> <strong>TR</strong> 03138<br />
Rechnung und die Verfolgung eigener Geschäftszwecke, die über den reinen Datenumgang<br />
hinausgehen [JaRoWi11b, S. 643f.]. Genaueres wird regelmäßig im zu Grunde liegenden Geschäftsbesorgungsvertrag<br />
geregelt sein, der bei der Qualifikation heranzuziehen ist.}<br />
Die Zulässigkeit der Auftragsdatenverarbeitung richtet sich nach § 11 BDSG, wenn nicht speziellere<br />
Datenschutzgesetze der Länder einschlägig sind. Die Datenverarbeitung durch Funktionsübertragung<br />
ist zulässig, wenn eine Rechtsvorschrift dies erlaubt oder anordnet, ansonsten nur bei Einwilligung des<br />
Betroffenen.<br />
Die datenschutzrechtliche Einwilligung ist gemäß § 4a Abs. 1 Satz 3 BDSG in schriftlicher Form zu<br />
erteilen, soweit nicht eine andere Form angemessen ist, und nur wirksam, wenn sie auf der freien<br />
Entscheidung des Betroffenen beruht, $ 4a Abs. 1 Satz 1 BDSG. Sie ist außerdem besonders hervorzuheben,<br />
wenn sie zusammen mit anderen Erklärungen vorgelegt wird, § 4a Abs. 1 Satz 4 BDSG.<br />
Eine zulässige Datenverarbeitung im Auftrag legitimiert den Umgang mit personenbezogenen Daten<br />
durch den Auftraggeber. Daraus folgt aber nicht die Zulässigkeit der Offenbarung von Daten, die<br />
besonderen gesetzlichen Verschwiegenheitspflichten, wie z. B. der ärztlichen Schweigepflicht oder<br />
dem Anwälten obliegenden Mandantengeheimnis, unterliegen. Die Offenbarung von gesetzlich<br />
geschützten Geheimnissen ist nur zulässig, wenn gesetzliche Offenbarungsbefugnisse und -pflichten<br />
bestehen oder wenn der Betroffene in die Weitergabe seiner Daten an beauftragte Dienstleister<br />
wirksam eingewilligt hat. An die Einwilligung sind aufgrund der besonderen Bedeutung der Daten<br />
höhere Anforderungen zu stellen. Die Inanspruchnahme eines externen Scandienstleisters ist daher<br />
nicht ohne Weiteres zulässig, wenn die in den Dokumenten enthaltenen Informationen einer<br />
gesetzlichen Schweigepflicht unterliegen. Es bedarf einer gesonderten Prüfung im Einzelfall.<br />
siehe auch Tätigkeitsbericht des Bundesbeauftragten für Datenschutz 2008/09, Seite 26.<br />
{Die Weitergabe von Daten die besonderen Geheimhaltungspflichten unterliegen, wie etwa dem<br />
Patienten- oder Mandantengeheimnis, bedarf gesonderten Voraussetzungen. Geheimhaltungspflichten<br />
schützen vor allem das Vertrauensverhältnis zwischen dem Geheimnisträger und dem Betroffenen.}<br />
Da nach § 1 Abs. 3 Satz 2 BDSG die Wahrung besonderer Geheimhaltungspflichten unberührt bleibt,<br />
kann nicht jede datenschutzrechtliche Einwilligung zur Legitimierung der Offenbarung solcher<br />
geheimnisgeschützter Daten ausreichen [JaRoWi11a, S. 228], [JaRo11, S. 142].<br />
Solche Geheimnisse dürfen nur offenbart werden, wenn gesetzliche Offenbarungspflichten 34 bestehen<br />
oder der Betroffene (etwa Patient, Mandant) wirksam in die Offenbarung eingewilligt hat [JaRo11, S.<br />
142 mit weiteren Nachweisen]. Die Erklärung zur Entbindung von der gesetzlichen Schweigepflicht<br />
ist nicht formgebunden und kann auch konkludent erfolgen oder sogar als mutmaßliche Einwilligung<br />
fingiert werden. Da aber die datenschutzrechtliche Erklärung einerseits und die Entbindung von der<br />
Schweigepflicht andererseits eine unterschiedliche inhaltliche Reichweite [JaRo11, S. 145] 35 sowie<br />
gegebenenfalls unterschiedliche Adressaten 36 haben, können beide nicht gleichgesetzt werden werden<br />
[JaRo11, S. 144f], [JaRoWi11b, S. 645]. Eine wirksame datenschutzrechtliche Einwilligung kann eine<br />
Entbindung von der Schweigepflicht allenfalls dann ersetzen, wenn sie ausdrücklich eine<br />
Datenweitergabe umfasst [JaRo11, S. 145].<br />
Zusammenfassend kann festgehalten werden, dass Anwender, die besonderen Geheimnispflichten<br />
unterliegen, sowohl eine datenschutzrechtliche Einwilligung über die Verarbeitung der Daten als auch<br />
eine Entbindung von der Schweigepflicht zu Zwecken der Datenverarbeitung beim Betroffenen<br />
einholen müssen.<br />
34 Zum Beispiel § 53 StPO, § 383 ZPO, §§ 295, 296, 297, 298 SGB V, § 284 in Verbindung mit § 295 SGB V;<br />
Infektionsschutzgesetz.<br />
35 Schutz vor den Risiken der modernen Datenverarbeitung einerseits, Schutz vor einer Weitergabe sensitiver<br />
Informationen andererseits.<br />
36 Verantwortliche Stelle einerseits, Geheimnisträger andererseits.<br />
40 Bundesamt für Sicherheit in der Informationstechnik
<strong>BSI</strong> <strong>TR</strong> 03138 Ersetzendes Scannen (<strong>RESISCAN</strong>)<br />
R.2.6.2 § 203 StGB<br />
Fehlt eine Entbindung von der Schweigepflicht, 37 stellt die Beauftragung eines externen Scandienstleisters<br />
eine unbefugte Offenbarung und damit eine Verletzung von Privatgeheimnissen gemäß<br />
§ 203 StGB dar.<br />
Gemäß § 203 Abs. 1 StGB ist es den dort genannten Berufsgruppen untersagt, Geschäftsgeheimnisse<br />
oder dem persönlichen Lebensbereich angehörende Geheimnisse zu offenbaren, die ihnen in ihrer<br />
beruflichen Funktion anvertraut worden sind. Zu diesen Berufsträgern gehören unter anderem<br />
Angehörige von Heilberufen, Rechtsanwälte, Wirtschaftsprüfer, Steuerberater, aber auch<br />
Sozialpädagogen oder Angehörige von privaten Kranken-, Lebens- und Unfallversicherungen.<br />
Gemäß § 203 Abs. 3 Satz 2 StGB stehen diesen Geheimnisträgern berufsmäßig tätige Gehilfen gleich,<br />
so dass eine Weitergabe der Geheimnisse an diese Personen nicht dem Tatbestand des § 203 StGB<br />
unterfällt. Berufsmäßig tätige Gehilfen sind alle Personen, die als befugte Mitwisser in den<br />
organisatorischen und weisungsgebundenen internen Bereich des Auftraggebers eingegliedert sind,<br />
unabhängig davon, ob sie zeitweise oder nur gelegentlich für den Auftragnehmer tätig sind. Externe<br />
Dritte fallen nicht darunter [Fisc11, § 203 StGB Rn. 21], weil ....<br />
Werden Dienstleistungsunternehmen mit dem Scannen beauftragt, so sind diese regelmäßig nicht in<br />
die Unternehmensstruktur des Auftraggebers eingegliedert und nicht in dem Maße weisungsgebunden,<br />
dass ihnen kein Umsetzungsspielraum verbleibt. Da aus diesen Gründen externe Scandienstleister<br />
nicht unter den Gehilfenbegriff des § 203 Abs. 3 Satz 2 StGB fallen, ist eine Weitergabe solcher<br />
Daten, die besonderen Verschwiegenheitspflichten unterliegen, strafbar.<br />
Ein besonderes Problem stellt in diesem Zusammenhang die besondere Verpflichtung des<br />
Dienstleisters dar. Denkbar und praktisch gehandhabt wird dies auf zweierlei Art. Zum einen<br />
unterwerfen sich externe Scandienstleister häufig mittels einer Vereinbarung oder Selbstverpflichtung<br />
den Wirkungen des § 203 StGB. Da Strafbarkeiten aber nicht vereinbart werden können, sind die<br />
Vereinbarungen faktisch wirkungslos [Bie12, S. 867]. Zum anderen werden externe Dienstleister<br />
häufig nach dem Verpflichtungsgesetz zur Geheimhaltung verpflichtet. Damit sind diese dann gemäß<br />
§ 203 Abs. 2 Satz 1 Nr. 2 StGB der Schweigepflicht unterworfen. Verkannt wird jedoch, dass die<br />
Geheimhaltungspflicht auch gegenüber anderen Geheimnisträgern besteht, der Auftraggeber (zum<br />
Beispiel ein Arzt) auch anderen Geheimnisträgern zur Verschwiegenheit verpflichtet ist und sich<br />
mithin bei Offenbarung des Geheimnisses strafbar macht [Fisc11, § 203 StGB Rn. 30b]. Eine<br />
Verpflichtung des externen Scandienstleisters ändert an der Strafbarkeit also nichts.<br />
Bei einem Verstoß gegen § 203 StGB droht neben Freiheitsentzug bis zu einem Jahr auch die<br />
Verhängung eines Berufsverbots gemäß § 70 Abs. 1 StGB.<br />
Anwender, die besonderen Verschwiegenheitspflichten unterliegen, müssen daher bei den Betroffenen<br />
eine Entbindung von der Schweigepflicht einholen, damit sie die betreffenden Dokumente durch<br />
externe Dienstleister scannen lassen können oder andernfalls vom Scannen Abstand nehmen.<br />
Alternativ kann bei einem entsprechenden Wunsch der Anwender nach Digitalisierung ihrer Bestände<br />
dies intern durchgeführt werden.<br />
R.2.7 Strafbarkeit der Vernichtung von Originaldokumenten<br />
37 Gesetzliche Offenbarungspflichten bestehen nicht, da zu Zwecken des Scannens die Erforderlichkeit der<br />
Offenbarung fehlen wird.<br />
Bundesamt für Sicherheit in der Informationstechnik 41