clone

8
Jun
2015

TR RESISCAN – der Teufel steckt wie immer im Detail

Geposted von Archivierung, E-Signatur, ECM in der öffentl. Verwaltung, RechtsgrundlagenKeine Kommentare

Mit der TR 03138 „RESISCAN – Ersetzendes Scannen“ hat das BSI am 20.03.2013 eine technische Richtlinie veröffentlicht, die Anwendern bei Einhaltung der Vorgaben eine erhöhte Rechtssicherheit beim sogenannten ersetzenden Scannen bieten soll. Unter ersetzendem Scannen versteht diese technische Richtlinie das Scannen von Unterlagen mit (zeitnaher) anschließender Vernichtung der Scanvorlage („Original“). Die TR RESISCAN hat ausschließlich empfehlenden Charakter und ist keine Pflicht, was die Entstehung des E-Government-Gesetzes (EGovG) verdeutlicht. Wurde noch im Referentenentwurf des EGovG auf die TR RESISCAN verwiesen, so wurde diese in der gültigen EGovG Version in die Anlagen verbannt.

Grundsätzlich besteht die befürchtete Rechtsunsicherheit darin, dass Organisationen bzw. Verwaltungen mit der Vernichtung von Scanvorlagen Unterlagen bzw. Urkunden verlieren und daher eine Beweisführung ausschließlich auf Basis elektronischer Kopien durchführen müssen, deren Beweiswert allerdings angezweifelt werden könnte.

Anwender von DMS-Lösungen (in jeder Branche) scannen bereits seit mehr als 20 Jahren Papierunterlagen (ersetzend) und vernichten „zeitnah“ die entsprechenden Vorlagen (Originale). Dem Autor ist genau ein Gerichtsprozess bekannt, bei dem dieses Vorgehen dem Anwender juristisch zum Nachteil gereichte – allerdings nicht aufgrund eines unzureichend sicheren Vorgehens beim Scannen, sondern aufgrund der Tatsache, dass er Originale – Mietnebenkosten-Belege – gescannt hatte, die zum damaligen Zeitpunkt auf Verlangen des Mieters zwingend im Original vorzulegen waren. Bislang gibt es also keine dem Autor bekannten nachteiligen Prozessurteile, die bei ersetzendem Scannen den Nutzern von DMS-Lösungen entsprechende Rechtsnachteile bringen. Erst recht sind keine Rechtsurteile bekannt, die mit einer Breitenwirkung Rechtsunsicherheit verursachen könnten.

Das hohe Vertrauen kommt nicht von ungefähr: In Deutschland ist das ersetzende Scannen aus handels- und steuerrechtlicher Sicht seit 1995 gesetzlich zulässig und etabliert. Voraussetzung für die Zulässigkeit ist lediglich die Einhaltung der GoBD (vor dem 01.01.2015 die GOBS) im Scanverfahren. Hierfür ist es notwendig, die übliche Sorgfalt im kaufmännischen Handeln anzuwenden, ein ordnungsgemäßes elektronisches Aufbewahrungsverfahren einzuhalten (typischerweise ein DMS mit Archivfunktionen), die Verfahren zu organisieren und in einer Verfahrensdokumentation festzuhalten – und sonst nichts! Und diese Haltung wurde im Herbst 2013 in den bei der DATEV durchgeführten Simulationsprozessen zum wiederholten Male bestätigt.

Hieran entfacht sich aktuell eine Debatte im DMS-Markt, wie sinnvoll die aktuell vorliegende TR RESISCAN ist, wenn diese mit allen Anhängen im originalen Wortlaut in der Praxis umgesetzt werden soll. Als wesentliches Ziel hat sich TR RESISCAN gesetzt, die angeblich bestehende Rechtsunsicherheit zu beseitigen und Rechtssicherheit herzustellen. Sie enthält aber gleichzeitig den Hinweis, dass mit der TR RESISCAN nicht die Zulässigkeit des ersetzenden Scannens als solches geregelt wird (TR RESISCAN, Seite 10).

Abb1

Umgekehrt gibt es Meinungen, dass mit der TR RESISCAN das Gegenteil einer Rechtssicherheit erreicht wurde. Während es in der Vergangenheit grundsätzlich keine Rechtsunsicherheit gab, wurde durch die TR RESISCAN Rechtsunsicherheit erzeugt, da Verwaltungen und Organisationen nun bewerten müssen, ob die Vorgaben der TR RESISCAN (zwingend) umgesetzt werden sollen oder sogar müssen. Was sind aber die wesentlichen Kritikpunkte?

Die TR RESISCAN bietet keine Rechtssicherheit im Sinne eines garantierten Verzichts des Richters auf das Papieroriginal des Digitalisats, wie es in der Öffentlichkeit häufig dargestellt wird.

Die Korrektheit eines eingescannten Dokuments kann selbst bei einer TR RESISCAN zertifizierten Erfassungslösung nicht gewährleistet werden, daher könnte ein Richter zu Recht die Beweisfähigkeit des Digitalisats, selbst bei Einsatz der TR RESISCAN, anzweifeln. Warum aber?

Die Praktiker wissen: beim Scannen werden Papierdokumente mit einem Zeitverzug von x Stunden, Tagen oder sogar erst Wochen nach dem Absenden digitalisiert. In dem dazwischenliegenden Zeitfenster bestehen unterschiedliche Einflussmöglichkeiten auf dem Weg vom Original zum Digitalisat: Unterlagen vorsortieren, bereinigen, umkopieren, Leerseiten oder Werbeanhang löschen, Vorgangsarten bündeln etc.. Ein fachlich korrektes Digitalisat ist dasjenige Scanobjekt, welches am Ende eines fachlichen Erschließungs- und Bearbeitungsprozesses von einem mit Fachkenntnissen ausgestatteten Menschen (oder einem technischen System) als „Rechnung“, „Antrag“, „Bescheid“ oder „Schriftwechsel“ attribuiert (verschlagwortet) wird. Daher werden auch in einem GoBD- oder RESISCAN-konformen Verfahren Fehler auftreten, alleine schon durch menschliche oder technische Unzulänglichkeiten, die sich nicht per Definition ausschließen lassen. Eine Scan-Richtlinie kann daher in keinem Fall eine ausreichende Gewähr dafür leisten, dass ein Mensch-Maschine-Prozess die fachliche Bearbeitung und physikalische Transformation zu 100% korrekt durchführt. Solche Fehler können nicht per Definition oder gar Zertifizierung ausgeschlossen werden, weder retrospektiv noch vorausschauend. Daher wird sich ein Richter, egal in welchem Rechtsgebiet, im Streitfall selbstverständlich nicht die freie Beweiswürdigung aller Umstände nehmen lassen. Dieses gilt übrigens auch für die steuerliche Aufbewahrung gemäß GoBD. Die seit 1995 mehrfach wiederholte Erlaubnis des BMF zum ersetzenden Scannen bindet nicht die Finanzgerichte, sondern nur die nachgeordneten Finanzbehörden. Das ist aber ein Zusammenhang, der bereits zu Zeiten der ersetzenden Mikroverfilmung und seit über 25 Jahren in ersetzenden DMS-Scananwendungen bekannt war, berücksichtigt wurde und nicht zur Verhinderung von ersetzendem Scannen (bzw. ersetzendem Verfilmen) geführt hat.

Dieses gilt übrigens auch für durchgängig analoge, also reine papierbasierte Erfassungsprozesse. Auch hier traten und treten in der täglichen Praxis Fehler im Papierhandling der Originale auf, die aber weder dazu führten, dass komplette Eingangskuverts unverändert archiviert wurden noch die Anerkennung der verarbeiteten Papierbelege durch Prüfer und Gerichte verhinderten. Im Vergleich zu anderen seit Jahren angewandten Verfahren bei ordnungsgemäßen Scan- und Archivierungslösungen führt die TR RESISCAN daher faktisch keine höhere Beweisqualität ein. Auch Konformitätsbehauptungen zur TR RESISCAN können eine Rechtssicherheit nicht steigern (TR RESISCAN, Seite 9).

Abbildung 2

Wenn sich 99% der Fehler durch menschliches Versagen einschleichen: wie viel Wert hat dann der Nachweis, wenn die Zertifizierung mit anderen Bedienkräften gemacht wird, als denen, die am nächsten Tag oder 2 Jahre später die Erfassung durchführen. Ist es nicht vielmehr nur eine vom Anwender behauptete Qualität?

Aber dennoch, die als Empfehlung gedachte TR RESISCAN ist eine weitere Handlungsoption für eine strukturierte Vorgehensweise zur Risikobewertung von Dokumenten und Implementierung von Schutzverfahren während der Dokumentenerfassung.

Umfang und Aufwand im Zusammenhang mit der TR RESISCAN

Die TR RESISCAN umfasst mit den mitgeltenden Anlagen über 160 Seiten; kein leichter Lesestoff, sondern komplexe, teilweise komplizierte, vielfach leider unklare Hinweise und Angaben. Hinzu kommen Verweise auf Hunderte von Seiten aus dem BSI Grundschutz, die man berücksichtigen soll, da die TR auf über 50 Module aus dem BSI Grundschutz „referenziert“ oder diese sogar zur Anforderung erhebt. Nachfolgende Tabelle hilft dem Leser, alle Querverweise einmal zusammenfassend zu sichten.

Tabelle 1

Weiterer hoher Vorbereitungsaufwand entsteht auch im Rahmen der „Schutzbedarfsanalyse“ (Terminus der TR RESISCAN). Hier ist für jedes Dokument bzw. Dokumentenart und darin für jede der sechs vorgegebenen Datenobjekte (D0 – D6: Schriftgut aus dem Posteingang; scanrelevantes Original; Scanprodukt; Index- und Metadaten; Transfervermerk; Sicherungsdaten; Protokolldaten; D0 und D1 können vermutlich zusammengefasst werden) eine Kategorisierung von neun unterschiedlichen Sicherheitszielen vorzunehmen (TR RESISCAN-R, Seite 9).

Abbildung 3
Eine sorgfältig begründete Sicherheitsanalyse also für 9 Sicherheitsziele * 6 Datenobjekte * Anzahl unterschiedlicher Dokumentarten je Fachgebiet in der Verwaltung bzw. Behörde. Das wären je Dokumentart bereits 54 Einzelaspekte, die sorgfältig begründet werden sollen. Wenn man davon ausgeht, dass in einer Verwaltung je Abteilung 10 bis 50 Dokumentarten existieren multipliziert mit der Anzahl der Fachbereiche, in denen ein DMS eingesetzt werden soll, ist bereits bei der Schutzbedarfsanalyse klar, dass hier ein sehr hoher Aufwand entstehen kann. Wenn mindestens eine Dokumentart der Schutzklasse HOCH bzgl. des Grundwertes Integrität zugeordnet ist, dann sind weitere technische Aufwandtreiber im Spiel und die Sache wird noch komplizierter (TR RESISCAN, Seite 26).

Abbildung 4

Kryptographische Maßnahmen erhöhen nicht die Rechtssicherheit

Der Integritätsschutz soll dann mit kryptographischen Maßnahmen hergestellt werden (TR RESISCAN, Seite 28).

Abbildung 5
Daher entsteht hoher Vorbereitungsaufwand bei der technischen Einrichtung einer TR RESISCAN konformen Scanstrecke, sobald die in der TR vorgesehenen technischen Maßnahmen wie Verschlüsselung und Signatureinsatz umzusetzen sind. Die in der TR RESISCAN geforderten Verschlüsselungs- und Signaturmaßnahmen sowie die neben dem Scanprodukt zusätzlich geforderten (Meta-)Datenobjekte (Stichwort Transfervermerke) sind lediglich in sehr wenigen Scan-Produkten im Standard enthalten. Zusätzlich ergeben sich durch die Vielzahl der Datenobjekte erweiterte Anforderungen an die für die Aufbewahrung eingesetzten Komponenten (z.B. DMS), die ebenfalls im Standard in der Regel nicht verfügbar sind.

Begriffsverwirrung „Authentizität“

Wird eine qualifizierte Signatur beim Scannen angebracht (z.B. wenn die Schutzklasse eines Dokumentes = HOCH), wird nur die Behauptung des Scanpersonals signiert (mit der Signaturkarte einer natürlichen Person in der Scanstelle), dass das, was auch immer dem Scanpersonal als Vergleich vorliegt und am Bildschirm sichtbar ist, in Ordnung sei. Beim Scannen von großen Mengen an Papierunterlagen werden häufig nur Stichprobenprüfungen vorgenommen. Damit werden ggf. für nur 10 – 20% Vergleiche mit dem Original vorgenommen. Weiterhin ist vielleicht das Original durch den normalen Bearbeitungsprozess z.B. beim späten Scannen ggf. bereits nicht mehr das physische Original, welches der Absender vor 3 Tagen in ein Kuvert gesteckt hat.

Abbildung 6

Ja, die Definition ist richtig (TR RESISCAN, Seite 35). Aber beim ersetzenden Scannen ist genau diese nicht gegeben, da das Digitalisat eben nicht von der Person hergestellt wird, mit deren Signaturkarte signiert wird. Hier wird nur eine Übereinstimmungsbehauptung signiert. Mit Authentizität des originalen Dokumenterstellers (Absenders des gescannten Papierdokumentes) hat dies NICHTS zu tun. Und daher ist die Signatur eben nicht geeignet, diesen Mangel zu heilen. Also braucht man sie auch nicht, da sie nicht schützt (wie jedes bessere DMS), sondern eine Abweichung vom signierten Original durch Vergleich der Hashwerte nur prüfbar macht. Mit anderen Worten: Durch die RESISCAN wird sich kein Richter die freie Beweiswürdigung nehmen lassen. Eine Signatur hätte erst dann eine höhere Beweisqualität, wenn der Absender selbst qualifiziert signiert und genau für solche individuellen Willenserklärungen ist die qualifizierte elektronische Signatur eigentlich geschaffen worden. Daher ist die Definition in der TR RESISCAN so nicht plausibel. Über eine Signatur des Scanpersonals lässt sich nicht die Quelle des Dokumentes, also der Originaldaten, bestimmen. Somit ist ein RESISCAN Prozess für das Thema rechtliche Belastbarkeit einer digitalen Kopie genauso schlecht oder genauso gut wie jeder ordnungsgemäße Erfassungs- (oder Verfilmungs-)prozess der letzten 25 Jahre.

Wirklich – Stand der Technik?

Was dem Leser/Anwender ohne sehr aufmerksames Studium der TR RESISCAN und all seiner mitgeltenden Anlagen vielleicht als Konsequenz nicht sofort auffällt: Dokumente der Schutzklasse HOCH können auch nicht mehr an beliebigen Scan-Stationen, Multifunktionsgeräten, per Eingangsfax (ein nach wie vor sehr häufiger Zugangsweg) oder über neue Erfassungsgeräte wie Smartphones oder Tablets digitalisiert werden. Grund dafür: diese Gerätegattungen können eine Fülle an MUSS oder SOLL-Anforderungen gar nicht erfüllen, wie beispielsweise: keine Zugangskontrollen, keine prüfbaren Scan-Caches, keine verschlüsselbaren internen Kommunikationswege etc.. Der Prüfer, der einem eigentlich normalen Erfassungsprozess ein RESISCAN-Zertifikat erteilen möchte, muss hier eigentlich gegen die Intention der TR zertifizieren. Man kann sich schon die Frage stellen, warum die TR RESISCAN behauptet, den Stand der Technik darzustellen (TR RESISCAN, Seite 9), denn die verfügbaren und im Einsatz befindlichen Scan-Lösungen bzw. die für die Aufbewahrung eingesetzten Komponenten erfüllen typischerweise diesen Stand derzeit häufig nur über Zusatzimplementierungen bzw. die Einbindung von Drittlösungen, aber nicht im Standard.

Abbildung 7
Nach dem Motto: Warum einfach, wenn es auch schwer geht

Die TR RESISCAN bietet noch einige Anforderungen, die aktuell fern der typischen Praxis sind. Einige erschweren die Umsetzung der TR RESISCAN aber erheblich. Hier nur wenige Beispiele: Was sind eigentlich kryptografische Schlüssel im Scanner? Noch gibt es keine Scanner, die kryptographische Schlüssel vorhalten (BSI TR 03138-P, Seite 25).

Abbildung 8
Ein weiteres Beispiel von vielen: Die normative Anlage A, Kapitel A.1.5, beschreibt die Schnittstelle K1 zwischen Scanner-Hardware und Software und kritisiert unter anderem, dass weder TWAIN, noch ISIS noch SANE einen Integritätsschutz als Bestandteil der Schnittstelle vorsehen.

Ebenso wird als MUSS-Anforderung vorgeschrieben, dass ein Verfahren implementiert wird, welches sicherstellt, dass auch bei Wartungs- und Reparaturarbeiten Manipulationen zum Beispiel am Scan-Cache verhindert werden: „Dies umfasst sowohl den Scanner als auch die Scan-Workstation sowie den Scan-Cache. Neben der initialen Inbetriebnahme ist dieses Abnahmeverfahren auch bei der Wiederaufnahme des Betriebs nach Wartungs- und Reparaturarbeiten (TR RESISCAN, Seite 16) durchzuführen.“

Abbildung 9

Solche Anforderungen mögen sinnvoll sein für streng geheime Unterlagen der allerhöchsten Vertraulichkeitsstufe oder aus Datenschutzgründen, aber für 99% der Dokumente im Markt erscheinen uns solche Hochsicherheitsmaßnahmen nicht nur praxisfremd, sondern schlichtweg undurchführbar. Auch dies ist aber nur ein Beispiel, stellvertretend für viele andere Anforderungen in dem Gesamtwerk RESISCAN.

Was wäre sinnvoll für eine aktualisierte TR RESISCAN?

Ein preiswerter Scanner kann bei aufmerksamer Handhabung durch das geschulte Scanpersonal und mit entsprechendem Zeitaufwand ein originalgetreues Abbild liefern. Umgekehrt kann selbst mit einem hochwertigen Scanner bei unaufmerksamer Anwendung ein schlechtes, für Prüfzwecke unzureichendes Abbild erzeugt werden. Hard- und Software sind hier nur Teilkomponenten in einem mehrstufigen Prozess, dessen Ergebnisqualität von Menschen beeinflusst wird.

Es sollte keine Richtlinie sein, die das Zertifizieren von Produkten (Hardware oder Software) nach sich ziehen würde, weil sich die notwendige Ordnungsmäßigkeit im Erfassungsablauf weniger durch die technisch-funktionalen Eigenschaften eines Scanners, der Treibersoftware, der Dokumentformatierung oder der Erfassungssoftware, sondern zum größten Teil durch die Sorgfalt in den Arbeitsprozessen ergibt, also im Wesentlichen organisatorisch (Ausbildung, Sorgfalt etc.) begründet ist. Schon in der Vergangenheit hat sich gezeigt, dass durch Zertifizierungen Konzepte nicht durchgesetzt werden können (siehe DOMEA).

Die TR RESISCAN sollte daher ein organisatorischer Handlungsleitfaden für Anwender werden. Am besten, komplett technik-neutral. Optimal wäre eine OR RESISCAN („Organisationsrichtlinie RESISCAN“), also ein „Kochbuch“ für Dinge, die beim ersetzenden Scannen und im Hinblick auf die Erfassungsprozesse aus organisatorischer Sicht zu beachten sind und wirtschaftlich in der Anwendungspraxis umgesetzt werden können.

Eine aktualisierte „TR RESISCAN 2.0“ wäre wirklich sinnvoll und würde den Behörden und öffentlichen Verwaltungen einen hoffentlich eher organisatorischen Leitfaden für ein wirtschaftliches und umsetzbares ersetzendes Scannen bieten.

Zuerst erschienen in der eGovernment Nr. 6/2015 (26. Mai 2015)
Online erschienen unter: http://www.egovernment-computing.de/standards/articles/491184/