clone

12
Nov
2025

Absurde Projektbremse TR-RESISCAN

Geposted von E-Signatur, ECM in der öffentl. Verwaltung, Erfassung, RechtsgrundlagenKeine Kommentare

Projektbremse TR-RESISCAN

Mit der Technischen Richtlinie TR-03138 (TR-RESISCAN)[1] wollte das Bundesamt für Sicherheit in der Informationstechnik (BSI) 2013 eine Scan-Richtlinie zur Verfügung stellen, die als regulatorisch belastbare Handreichung für das ersetzende Scannen im öffentlichen Sektor dienen soll. Das war bis dahin nur für steuerlich aufbewahrungspflichtige Dokumente schriftlich legitimiert (sieht man von speziellen Regelungen im Sozialversicherungsrecht ab). An unserer seit damals geäußerten Kritik ändert auch die aktuelle Version 1.5 (Aug. 2024 bzw. Febr. 2025) nichts. Die RESISCAN kann ihren Anspruch zur Erhöhung der Rechtssicherheit nicht erfüllen, Scan-Projekte werden massiv verteuert, ECM/DMS-Projekte erheblich verkompliziert. Hauptgrund: die absurde Nutzung von Kryptografie in der Scanstrecke.

Die TR-RESISCAN ist sehr viel umfangreicher (siehe nachfolgende Tabelle) als vergleichbare Regelungen im privaten Sektor: die GoBD aus handelsrechtlicher Sicht oder das FAIT 3-Dokument des IDW. Darüber hinaus verweist die TR RESISCAN an zahlreichen Stellen auf weitere mitgeltende Dokumente (bspw. TR-ESOR, BSI-Grundschutz, Common Criteria), fordert spezifische Technologien in der Scanstrecke (Kryptografie) zur Herstellung von Ordnungsmäßigkeit, regelt aber ausschließlich das Thema Papier-Scanning, einen eher stagnierenden oder sogar kleiner werden Ausschnitt aus der Funktionsbreite einer Archivlösung.

30 Jahre Erfahrung mit ersetzendem Scannen

Steuerpflichtige Unternehmen nutzen eine digitalisierungsfreundliche und für jeden Geldbeutel akzeptable Verwaltungsanweisung für steuerrechtlich aufbewahrungspflichtige Dokumente: seit November 1995 die GoBS, abgelöst im November 2014 durch die GoBD. Die aktuelle Version der GoBD hat überschaubare 44 Seiten, geschrieben in allgemeinverständlicher Sprache. Diese – und ihre Vorgängerversionen, inkl. der GoBS von 1995 – legitimieren seit 30 Jahren u.a. nicht nur das ersetzende Papier-Scanning, sondern den Gesamtbetrieb einer DMS-Lösung.

Zusammengefasst kann man sagen: Ersetzendes Scannen war und ist nach AO/GOBD zulässig, wenn zwei Nebenbedingungen eingehalten werden:

  1. Ordnungsgemäße Aufbewahrung (in unserer DMS-Branche „revisionssichere“ Archivierung genannt), also ein dokumentierter und für den sachverständlichen Dritten prüfbarer Schutz gegen unzulässige Manipulation. Das gibt es in Form kommerzieller DMS-/Archivlösungen für jedes Budget seit 30 Jahren.
  2. Der Anwender soll für das gesamte Verfahren eine Verfahrensdokumentation führen, welche dem sachverständigen Prüfer in angemessener Zeit darstellt, wie die Ordnungsmäßigkeit in dem gewählten System und Verfahren eingehalten wird. Das ist ebenfalls kein Hexenwerk und häufig sowieso Bestandteil eines Betriebshandbuches. Wenn nicht, gibt es genügende Anleitungen im Internet zum Download.

Nebenbei bemerkt: Bereits in den 70er Jahren hat das BMF in einem BMF-Schreiben vom 23.3.1983 das ersetzende Verfilmen zugelassen. Das BMF-Schreiben trägt den Titel „Grundsätze zur Aufzeichnung von aufbewahrungspflichtigem Schriftgut auf Mikrofilm“ Somit gibt es im Bereich des Steuerrechts über 40 Jahre (positive) Erfahrungen mit ersetzender Übertragung auf ein anderes Medium. Eigentlich hätte man diese Regelungen als exzellente, praxiserprobte Vorlage nehmen können. Eigentlich.

Ersetzendes Scannen auch außerhalb des Geltungsbereichs der AO weit verbreitet

Uns ist in 30 Jahren DMS-Beratung kein Fall bekannt geworden, bei dem die praxisnahe Anwenderfreundlichkeit der BMF-Regelung zu steuerrechtlichen oder zivilrechtlichen Problemen führte, die eine Änderung der Anforderungen erforderlich gemacht hätte. Umgekehrt wurde die bereits in den 90er Jahren praxisnah gehaltene Verwaltungsanweisung GoBS zum ersetzenden Scannen mit der GoBD unverändert fortgeführt. Hätte man schlechte Erfahrungen gemacht, wäre dieser Aspekt wohl angepasst worden. Ordnungsmäßigkeit und praktikable Digitalisierung sind offensichtlich sehr wohl vereinbar.

Diese eigentlich im Rahmen der steuerlichen Aufbewahrung entstandene Regelung dient häufig auch als Vorbild (Best Practice) für alle Arten zivilrechtlich relevanter Papier-Dokumente, die häufig ebenfalls per ersetzendem Scannen digitalisiert wurden. Und immer da, wo das juristische Risiko des Originalverlustes zu groß oder nicht abschätzbar ist, kommt kopierendes Scannen zum Einsatz, wo kritische Dokumentarten noch im Original aufbewahrt werden. Nach unserer Meinung ist diese digitalisierungsfreundliche regulatorische Rahmenbedingung einer der Gründe, warum die DMS-Industrie in Deutschland schneller boomte und mehr Hersteller hervorbrachte als in anderen Ländern.

Vorbildliches BMF: So geht Digitalisierung!

Was wir aktuell in der öffentlichen Diskussion in Deutschland immer wieder beklagen, ist die irrwitzige Regulierungswut, welche Digitalisierungsprojekte massiv behindert und manchmal sogar verhindert. Es ist daher natürlich zu begrüßen, dass das mit Regelungsbefugnis (für Bundesbehörden) ausgestattete BSI nicht nur für Bundesbehörden, sondern für die gesamte öffentliche Verwaltung einen Regelungsrahmen vorgibt. Umso mehr als eine nachgeordnete Behörde, für die das BSI keine Regelungsbefugnis hat (Landes- und kommunale Ebene) – die BSI-Richtlinien nicht einfach ignorieren kann, selbst wenn man unsere kritische Meinung zur RESISCAN teilen würde und zum gleichen Ergebnis kommt.

Statt einer Erleichterung ist aus unserer konkreten Projektkenntnis das genaue Gegenteil eingetreten. Die RESISCAN erleichtert gar nichts; sie bringt keine erhöhte rechtliche Belastbarkeit und Projekte werden absurd verteuert und verkompliziert. Auslagerungsdienstleister können sich freuen, weil es billiger werden kann, Papierakten nach dem kopierenden Scannen in Papierform auszulagern, statt sie ersetzend zu scannen.

Und das besonders Absurde dabei: ein Großteil der zum Scannen anstehenden Bestandsakten besteht aus digital geborenen Unterlagen, die ohne eigenhändige Unterschrift per Ausdruck „analogisiert“ werden, um sie dann wieder mit Kryptografie-Krücken (Signatur der Scan-Mitarbeiter) scannen zu müssen.

Man kann die RESISCAN nicht ignorieren

Wieso kann man die RESISCAN nicht einfach ignorieren. Sie hat ja „nur“ empfehlenden Charakter („Die TR hat ohne besondere rechtliche Bestimmungen lediglich empfehlenden Charakter“)? Problem dabei ist: Die TR-RESISCAN wird als Beispiel für den „Stand der Technik“ in diversen Rechtskommentaren beispielsweise zum eGovG empfohlen (siehe Abbildung). Ein Anwender – auch ein kommunaler, der eigentlich nicht an BSI-Weisungen gebunden ist, kann die RESISCAN daher nicht einfach ignorieren. Er wäre in der Beweisnot, schriftlich darzulegen, dass seine andere Vorgehensweise der TR-RESISCAN gleichwertig oder besser ist.

Aktueller Anlass für einen neuen Blog-Beitrag zum Thema RESISCAN

Das Thema RESISCAN hat uns von ihrem Beginn an beschäftigt und wir haben seit 2015 immer wieder kritisch Stellung dazu bezogen, z.B. in Blog-Beiträgen (ECM-Blog | Zöller & Partner) oder einem mit PriceWaterhouseCoopers geschriebenen Positionspapier (PWC_ZP_TR-RESISCAN-Positionspapier-2015-1.01.pdf). Warum also jetzt schon wieder ein Blog-Beitrag?

Im Wesentlichen aus drei Gründen:

  1. In unseren Projekten in der öffentlichen Verwaltung haben wir eine wachsende Zahl Diskussionen zur Sinnhaftigkeit von RESISCAN. Das allein ist bereits Anlass genug, die aktuelle RESISCAN 1.5 (erschienen im August 2024, einige mitgeltende Dokumente kamen kurze Zeit später im Februar 2025) zu sichten und unsere bisherigen Aussagen auf den aktuellen Stand zu bringen. Spoiler: unsere Kritik bleibt bestehen, nur einige wenige Absurditäten aus früheren Versionen wurden korrigiert.
  2. Nach der Pandemie gab es eine wachsende Zahl von Projekten zur Papierakten-Digitalisierung, weil die Mitarbeiter unserer Kunden aus dem Home-Office nicht auf Papierakten zugreifen können. Auch hier gibt es unsinnigerweise die Anforderung zur RESISCAN-konformen Altakten-Digitalisierung. Warum Kryptografie bei Altakten ÜBERHAUPT GAR KEINEN SINN macht, erläutern wir in einem separaten Absatz nachfolgend.
  3. Die aktuelle Diskussion um die überbordende Bürokratie in Deutschland und die gefühlt Hundertste Entbürokratisierungsinitiative waren Anstoß, die TR RESISCAN nicht weiterhin als notwendiges Übel zu akzeptieren, sondern einen neuen Anlauf zu starten, die TR RESISCAN (und in diesem Zuge auch die TR ESOR) im Kontext einer DMS-E-Akten-Anwendung zur Diskussion zu stellen. 

Die TR RESISCAN ist nicht nur ein einzelnes Dokument. Anwender müssen ein umfangreiches Konvolut an Dokumenten lesen, verstehen (das ist teilweise sehr schwere Kost), für sich interpretieren und hoffen, dass ein Prüfer die Interpretation teilt. Für die Zwecke dieses Blog-Beitrages haben wir uns auf die wesentlichen Kritikpunkte konzentriert.

Signatur/Siegel beweisen nicht die Übereinstimmung des Scans mit dem Original

Für den Integritätsschutz des Scan-Dokumentes (und des Transfervermerks) im Erfassungsprozess erzwingt die TR-RESISCAN den Einsatz qualifizierter elektronischer Signaturen oder qualifizierter elektronischer Siegel, wenn die Dokumente bzgl. des Schutzziels Integrität mit dem Schutzbedarf HOCH oder SEHR HOCH eingestuft werden. Nicht als MUSS- sondern „nur“ als SOLL-Anforderung gilt das auch für Schutzbedarf NORMAL (dazu später mehr).

Wird im Erfassungsprozess eine qualifizierte elektronische Signatur/Siegel angebracht, ist das selbstverständlich nicht die Signatur oder Siegel des eigentlichen Absenders des Schriftstücks (Antragsteller, Bürger, Leistungsempfänger etc.), der es vor 3 Tagen oder vor 30 Jahren per Post zugeschickt hat. Es ist nur die Signatur derjenigen Person in der Post- oder Scanstelle, welche scannt und die Bildprüfung vornimmt. Mit anderen Worten: Hier wird eigentlich nur eine Übereinstimmungsbehauptung einer hoffentlich immer ehrlichen, wachen und aufmerksamen Person aus der Scanstelle von dieser Person selbst signiert.

Die Fehler beim Scannen sitzen vor dem Scanner

Wir wissen alle: Der Fehler in Scanprozessen sitzt praktisch immer vor dem Scan-/QS-Arbeitsplatz. Die Scan-Mitarbeiter werden sicherlich nach bestem Wissen und Gewissen die Übereinstimmung dessen bestätigen, was sie im Vergleich zum vorgelegten Original wahrnehmen. Es gibt natürlich keine Garantie durch Kryptografie, dass der Mensch nichts übersieht oder nicht aus Faulheit auf einen Re-Scan verzichtet, weil er das als „gut genug“ empfindet. Wir haben in Archiven schon kleine, schwarze, qualifiziert signierte Rechtecke in Kundenakten gesehen, wo eigentlich Ausweiskopien lesbar sein sollten. Das ist halt so, wenn Menschen arbeiten. Es erhöht im Streitfall logischerweise nicht die Beweisfähigkeit bei der Frage, ob ein Scan mit dem Original übereinstimmt, wenn das schwarze Rechteck mit einer qualifizierten Signatur einer vor 5 Jahren tätigen Scan-Person verknüpft ist.

Außerdem: In vielen Fällen kommen nur Stichprobenprüfungen zum Einsatz, d.h. in hochvolumigen Erfassungsprozessen (Hunderte bis zig-Tausende Scans pro Tag) wird am QS-Arbeitsplatz nur stichprobenartig auf Lesbarkeit geprüft. Aber ALLE Dokumente (auch die nicht gesichteten) erhalten eine Signatur. Bei einer 5% Stichprobe erhalten somit 95% eine qualifizierte Signatur/Siegel obwohl sie gar nicht angeschaut wurden. Jeder Fehler, der bei der Stapelbildung, beim Papier-Einzug etc. passiert ist, wird einfach durchgereicht. Und signiert.

Es gibt nicht einen einzigen vernünftigen Grund, warum man in der Scanstrecke Signaturen an Scan-Dokumente anbringen möchte. Umso mehr, als das Dokument noch nicht im DMS ist und daher – trotz Signatur – nicht gegen versehentliches Löschen oder Verschieben geschützt ist. Hierbei bitte nicht vergessen: Der Integritätsschutz der RESISCAN bezieht sich nur auf den Erfassungsprozess, nicht auf die nachgelagerte Archivierung.  

„Transfervermerk“: Das Rad gibt es bereits seit Jahrzehnten und funktioniert ohne Krypto

Die TR RESISCAN fordert, dass auch der Transfervermerk kryptografisch zu schützen sei, wenn der Schutzbedarf HOCH oder SEHR HOCH ist. Die Aufgabe, zu dokumentieren, wer wann was gescannt hat (bei RESISCAN Transfervermerk genannt) und ggf. das Anbringen von Notizen, dass im Original bereits Seiten fehlen, ist nichts Neues, sondern ein alter Hut in der DMS-Branche. Diese Informationen wurden als ordnungsgemäß (revisionssicher) gespeicherter Datensatz in der Datenbank des DMS oder der ERP- oder Fachanwendung gehalten. Das ist seit den 80er Jahren so. So werden auch Datensätze in einer ERP-Anwendung HGB/AO-konform aufbewahrt. Zum Schutz gegen nachträgliche Manipulation kommen weit verbreitete Standard-Authentifizierungssysteme und Schutzfunktionen der IT-Infrastruktur und Applikationssysteme zum Einsatz, die auch für ERP- und Fachanwendungen zum Einsatz kommen. In all diesen Systemen kann man prüfen, wer wann was gebucht, versioniert, abgelegt hat. Und alle dieses Systeme kommen ohne fortgeschrittene oder qualifizierte Signaturen für die Einzeltransaktion aus.

Würde man nun auch den Datensatz mit diesen Metadaten zum Scan-Vorgang (wer wann was gescannt hat) kryptografisch schützen wollen, hat man das Problem, dass diese Metadaten zu diesem Scanvorgang nicht in einer Binärdatei (nur eine solche kann man hashen), sondern typischerweise in Datenbanktabellen gespeichert sind. Ein Hashen relational-verknüpfter Daten würde also gar nicht funktionieren. Man müsste die Daten aus den ERP- oder ECM-Datenbanktabellen extrahieren, eine separate Datei bilden, diese dann signieren und mit dem Dokument verknüpfen.  Wir kennen keinen einzigen ERP-Anwender, der die Metadaten der per ArchiveLink verknüpften Dokumente als Datei separiert, diese hasht, signiert und mit dem Dokument logisch verknüpft. Siehe dazu auch den Abschnitt unten zu „Gilt das auch für Daten?“

Absurd: Kryptografie bei Altakten-Scans

In der Praxis gibt es sehr unterschiedliche Erfassungsprozesse für das ersetzende Scannen. Vor dem Scannen ging das Papierdokument aber tage- oder monatelang (oder bei Altakten jahrelang) durch irgendwelche Hände, insbesondere beim späten Scannen. Wie soll dann eine Signatur am Ende des Workflows beweisen, dass das Abbild, dem vor 10 Wochen eingegangenen Original entspricht? Und was ist mit Altakten? Die Regelung der RESISCAN gilt natürlich auch für 30 Jahre alte Papierakten, die heute digitalisiert werden müssen, weil im Neubau kein Platz mehr geplant wurde für 500 Meter Aktenschrank oder die Mitarbeiter aus dem Homeoffice auf Papier-Altakten zugreifen müssen. Hier haben also Generationen von Mitarbeitern in der Registratur/Poststelle/Archiv auf Papier zugegriffen und hoffentlich nichts falsch zurückgelegt / verschoben etc. Was beweist dann die Signatur des Scan-Mitarbeiters, der das scannt, was ihm vorgelegt wird? Nichts, genau. Und kein Richter/Gutachter der Welt würde annehmen dürfen, dass die gescannte Akte diejenige sein MUSS, die vor 30 Jahren abgelegt wurde.

Für Altaktenkonvertierung ist eine kryptografische Integritätssicherung mit TR-ESOR-konformer Nachsignaturfunktion (siehe nächster Abschnitt zu TR-ESOR) bei Vorhandensein einer ordnungsgemäßen elektronischen Archivierung absolut widersinnig. Die RESISCAN schreibt sie aber vor. Als SOLL bei Schutzbedarf NORMAL, MUSS bei Schutzbedarf HOCH/SEHR HOCH.

Wer TR-RESISCAN sagt, muss auch TR-ESOR sagen

Wie oben geschrieben, regelt die TR-RESISCAN nicht die eigentliche Archivierung nach dem Scannen, sondern nur den Papier-Scanprozess.  Die RESISCAN beinhaltet aber trotzdem die Forderung nach einer spezifischen Form der Speicherung für die so genannte beweiswerterhaltende Archivierung. Hintergrund ist wieder das leidige Thema Kryptografie in der Scanstrecke. Kryptografische Sicherungen werden im Zeitverlauf schwächer werden, weil zugrundeliegende Algorithmen und Schlüssellängen nicht mehr als ausreichend eingestuft werden. Daher muss bei kritischen Dokumenten (Urkunden etc.) dafür gesorgt werden, dass die Schutzkraft vor Verlust des Schutzes „aufgefrischt“ wird. Das ist der wesentliche Zweck der Nachsignatur. Da es aber bei vielen Archivanwendungen nicht um ein paar Dutzend Dokumente geht (die könnte man manuell nachsignieren) sondern um Hunderttausende oder Millionen Dokumente, kann man nicht einfach jedes Dokument nachsignieren und neu ablegen. Man signiert die (Merkle-) Hashbäume und hat somit eine Prüffunktion auf den ungebrochenen Schutz für alle im Hashbaum referenzierten Dokumente.  Dieses Verfahren wird in der TR-ESOR beschrieben und ist quasi Pflicht bei kryptografisch signierten Objekten, bei denen die Notwendigkeit der dauerhaften Beweisfähigkeit („Beweiswerterhaltung“) besteht.

Wird also nach Schutzbedarf HOCH oder SEHR HOCH erfasst, werden kryptografisch signierte Daten erzeugt, die bei der Notwendigkeit der Beweiswerterhaltung auf Basis TR-ESOR (TR-03125) nachsigniert werden MÜSSEN. Keine der uns bekannten kommerziell verfügbaren DMS-/Archivlösungen hat eine solche TR-ESOR-konforme Nachsignaturkomponente im Standard und die Anbieter winden sich bei jedem Projekt um den heißen Brei, wenn es um die Integration mit TR ESOR-Drittkomponenten geht (z.B. Governikus).

Der Schutz in einem klassischen revisionsfähigen/ordnungsgemäßen Archiv (Best Practice seit den 80er Jahren) genügt dem BSI nicht, auch nicht für Schutzbedarf NORMAL. Was im privaten Sektor seit Jahrzehnten Best Practice ist, nämlich die gutachterliche Bewertung der Schutzfunktionen in einer DMS- oder ERP-Lösung wird offensichtlich nicht als ausreichende akzeptiert. Im Prinzip hat das BSI das Problem aber mit dem Zwang zur Signatur selbst geschaffen. Man erzwingt eine Schutzfunktion auf Basis eines nur temporär wirksamen Schutzes, der dann per Nachsignatur aufgefrischt werden muss.

TR-RESISCAN/TR-ESOR nur relevant für kleinen, schrumpfenden Anteil der Eingangspost

Eingehende PDFs (via Mail, per Upload von den Kunden etc.) mit gleicher Schutzbedarfskategorie (fachlich die gleiche Dokumentart) müssen NICHT nachsigniert werden, weil sie nicht im Regelungsumfang der RESISCAN stehen (ist ja kein Papier). In jeder normalen, seit 30 Jahren geübten Praxis zur Dokumentation einer revisionssicheren Archivierung spielt es keine Rolle, auf welchem Transportweg ein Dokument kommt: Papier, E-Mail, Übernahme aus Fachanwendung etc.. Da war das BMF (und die DMS-Branche) vor 25 Jahren schon fortschrittlicher als das BSI im Jahre 2025.

Gilt das auch für Daten der Schutzbedarfskategorie HOCH oder SEHR HOCH?

Hat eigentlich mal jemand bei einer Lebens-, Sozial- oder Rentenversicherung gefordert, dass die sensiblen Daten (nicht die Dokumente, sondern Stamm- und Leistungsdaten) in den Fachsystemen der Leistungsempfänger ebenfalls kryptografisch signiert und gem. TR ESOR nachsigniert werden? Gem. BSI-Grundschutz wären diese Daten relevante Datenobjekte der Schutzbedarfskategorie HOCH oder SEHR HOCH und somit ebenso schutzbedürftig wie die Papierdokumente. Wenn also das Stück Papier nach dem Scan via TR-ESOR aufbewahrt werden soll: muss das dann nicht auch für die ebenso sensiblen Daten zur gleichen Person gelten? Aber wie signiert man einen Datensatz, der keine Binärdatei darstellt, sondern dessen Daten sich in einem Dutzend relational-verknüpfter Tabellen befinden? Die korrekte Antwort ist: gar nicht! Es geht praktisch nicht. Rein theoretisch würde es „irgendwie gehen“ wenn man die Daten extrahiert, in ein Format wie JSON umformatiert, die Datei hasht, signiert und dann bei Prüfung eine Visualisierungs- und Signaturprüfunktion zur Verfügung stellt. Das macht kein uns bekanntes ERP- oder Fachverfahren und wir kennen keinen Kunden – auch nicht die mit den großen Budgets – die sowas machen.

Zwang zum Integritätsschutz per Kryptografie, praktisch auch bei SOLL

Die TR RESISCAN fordert für alle Dokumente einen mit kryptografischen Mitteln (also Signaturen) hergestellten Integritätsschutz. Bei Schutzbedarf NORMAL ist das „nur“ eine SOLL-Anforderung. Das bedeutet aber, dass der Anwender bei Abweichung einen schriftlichen Nachweis erbringen MUSS, dass sein gewählter Integritätsschutz gleichwertig oder besser ist. Wer ist dazu in der Lage? Bitte bedenken: es geht nicht um den vielleicht gut dokumentierbaren Schutz in einem DMS. Es geht um den Schutz während der Erfassung!

Und hier ist die Fußnote 38 wahrscheinlich nur begrenzt hilfreich, weil sie wiederum in ein Labyrinth weiterführender, nur für Sicherheitsexperten verständliche Literatur zu BSI-Grundschutz und Common Criteria führt.

Die Definitionen der Schutzkategorien führen fast zwangsläufig zu HOCH/SEHR HOCH

Wer außer Geschäftsführung/Vorstand würde es wagen, angesichts der BSI-Definitionen (siehe Abbildung) bei geschäftlichen Dokumenten nicht mindestens HOCH anzunehmen? Wirklich keine Konsequenzen bei verlorenem Lieferschein?

Hiermit möchten wir den zahlreichen Autoren der VITAKO-Leitlinien zum ersetzenden Scannen ein großes Kompliment machen, dass sie für kommunale Einrichtungen eine praktikable Einstufung vorgenommen haben, die man als Best Practice referenzieren kann. Zum Download und Lesen dringend empfohlen (Google Suche: Vitako-Leitlinie ersetzendes Scannen).

Das Anbringen einer QES schützt angeblich gegen nachträgliche Veränderung 

Nein, das hört man zwar oft, ist so aber nicht richtig. Der Vergleich eines aktuellen mit einem früheren Hashwert erlaubt „nur“ das Prüfen, ob irgendwann seit Erzeugung der Datei eine binäre Veränderung stattgefunden hat. Das absichtliche oder versehentliche Verschieben/Löschen wird durch eine Signatur nicht verhindert. Jedes Kind kann heute mit einfachsten PC-Bordmittel eine signierte PDF manipulieren. Solange der Mensch (oder der Viewer) die Übereinstimmung der alten und aktuellen Hashwerte nicht prüft, fällt die Manipulation nicht auf. Erst im Zusammenspiel mit anderen Komponenten wie Viewer oder unveränderbare Ablage wird die Eindeutigkeit des nicht-manipulierten Hashwertes nutzbar. Eine Signatur erlaubt praktisch nur die Prüfung, ob bereits eine Manipulation vorgenommen. Die Signatur verhindert keine Manipulation und sie verhindert nicht das absichtliche oder versehentliche Löschen der Datei. Beides machen DMS/Archivlösungen im Standard seit den 80er Jahren.

RESISCAN deckt nur 5% einer normalen Verfahrensdokumentation ab

Das wurde in den o.a. Texten mehrfach erwähnt. Wer ein TR RESISCAN-konformes Verfahren implementiert, dieses dokumentiert hat und bereit ist, dieses Verfahren regelmäßig auf Konformität prüfen zu lassen, der sollte nicht vergessen, dass hier nur ein sehr kleiner Ausschnitt einer normalen DMS-Lösung und -Verfahrensdokumentation abgedeckt ist: einzig und allein der Papier-Scan ist Bestandteil der RESISCAN. Nicht der Zugang auf anderen Wegen (E-Mail, Portale, Übergabe aus Fachverfahren etc.), nicht die Berechtigungssteuerung im DMS, die eigentlich dafür sorgt, dass nur Befugte Schreiben/Ändern/Lesen dürfen, nicht die eigentliche Dokumentenverwaltung und Archivierung im nachgelagerten DMS. Das muss zusätzlich zu den RESISCAN-Hausaufgaben auch noch erledigt werden.

Fazit

Wir bei Zöller & Partner (und viele unserer Kunden) können nur hoffen, dass das BSI das Thema Kryptografie aus der Scanstrecke komplett herausnimmt, wenn es um die Frage des „ersetzenden Scannens“ geht. Hier wird ohne Not und ohne Verbesserung eine Industrie geschädigt (die ECM-/DMS-Anbieter in Deutschland), Projekte werden verteuert und es werden technische Sonderlocken gefordert, die außerhalb Deutschlands nicht zum Einsatz kommen. Letztlich glauben wir aber nicht mehr daran, dass das BSI etwas ändern wird. Solange Großanwender (mit großen Budgets) wie die deutsche Rentenversicherung als Vorzeigeanwender dienen, müssen sich alle kleineren Organisationen mit der RESISCAN arrangieren.

Der Artikel stellt die Perspektive von Zöller & Partner aus einer Vielzahl von Projekten dar. Wer eine andere Perspektive hat, ist eingeladen, diese mit uns zu teilen. Kritik aber auch Anekdoten aus der Praxis etc. gerne per Mail an bzoeller@zoeller.de

==

[1] Di erste Fassung wurde am 20. März 2013 veröffentlicht. Der Artikel berücksichtig die aktuelle Fassung vom August 2024 bzw. Februar 2025 für zwei mitgeltende Dokumente.