Dieser Artikel ist zuerst in der bit 2-2015 erschienen
Ersetzendes Scannen ist seit 25 Jahren tägliche Praxis bei DMS-Anwendern quer über alle Branchen. Vor der Ära elektronischer Lösungen hatte man Mikrofilm und „ersetzendes Verfilmen“ als übliche Praxis. Diese Anwender haben schon immer abgewogen, ob das Fehlen eines Dokumentes im Original ein Problem darstellen könnte, das so groß ist, dass das Aufheben der wenigen Originaldokumente mit Urkundencharakter (in der Regel nur geringer Prozent- oder Promillesatz, wenn überhaupt) preiswerter erscheint als ein verlorener Prozess. Mit Hilfe ordnungsgemäßer Erfassungs- und Ablageverfahren, die man idealerweise auch beschrieben hat (in einer DMS-Verfahrensdokumentation), ist man damit seit 25 Jahren im DMS-Markt gut gefahren. Im großen Einsatzfeld steuerlicher Belegaufbewahrung gibt es seit 1995 sogar eine ausdrückliche, mehrfach bestätigte Erlaubnis des BMF (so auch jüngst in der aktuellen GoBD) das Original zu vernichten.Was aber machen Anwender, die wichtige, rechtssensible Dokumente in so großer Menge erhalten, dass das Aussortieren und Lagern der Teilmenge der Urkundenoriginale im Keller keine Option ist, ein Rechtstreit aber zu inakzeptabel hohen Kosten oder gar einem Reputationsschaden führt? Diese Lücke möchte die TR RESISCAN schließen und genau hier setzt unsere Kritik an: Es existiert am Markt eine vollkommen falsche  Erwartungshaltung zur RESISCAN: dass nämlich nun ein Verfahren existiere, das besser als die bisherigen ordnungsgemäßen Scanverfahren geeignet sei, den Richter zu überzeugen, dass das Scandokument gleichwertig sei zu dem nicht mehr vorhandenen Original. Aber genau dies – nämlich eine erhöhte Rechtssicherheit im Vergleich zu bisherigen Verfahren kann die TR RESISCAN nach unserer festen Überzeugung gar nicht leisten.

Die Erklärung ist einfach: ein von Frau Muster unterschriebenes und per Post verschicktes Papierdokument wird – je nach Scanprozess bei frühem oder spätem Scannen – Stunden, Tage oder manchmal sogar Wochen oder Monate nach Eintreffen des Originals in der Poststelle digitalisiert. Sofern für Dokumente mit Schutzbedarf HOCH oder SEHR HOCH nun nach der TR-Empfehlung eine kryptografische Komponente zur Integritätssicherung – beispielsweise eine qualifizierte Signatur zum Einsatz kommt, wird also nicht Frau Muster zum Zeitpunkt des Absendens signieren, sondern ein mal mehr, mal weniger wacher, aufmerksamer Mitarbeiter der Scanstelle signiert mit seiner Signaturkarte seine eigene Übereinstimmungsbehauptung, dass das, was er am Bildschirm sieht, dem entspricht, was ihm als vermeintliches Original zum Vergleich vorgelegt wurde. Somit existiert ein durch kryptografische Verfahren gar nicht schützbares Zeitfenster zwischen Absenden des Papierdokumentes beim juristisch verantwortlichen Ersteller der Willenserklärung und dem Zeitpunkt des Signierens durch irgendeinen Scanmitarbeiter Tage oder Wochen nach Zugang des Dokumentes. Erst ab diesem Zeitpunkt könnte man feststellen, dass das vielleicht unvollständige, vielleicht unleserliche, vielleicht zu einem anderen Vorgang gehörende Dokument „technisch unverändert“ ist. Und dass es von einer bestimmten Person aus der Scanstelle erfasst wurde. Mehr nicht! Das ist aber nicht Sinn und Zweck einer DMS-Anwendung. Jedes bessere DMS schützt wirksam gegen Manipulation. Die Signatur erlaubt nur die Feststellung, ob eine Manipulation stattgefunden hat, sie wird nicht verhindert. Wichtiger Unterschied in einem revisionssicheren Gesamtverfahren!

Die oben genannten Unsicherheiten beim Transformieren analoger zu digitalen Dokumenten sind in der Praxis kein echtes Problem. Es sind Themen, die die DMS-Branche seit Jahren kennt und in Tausenden ordnungsgemäßer Verfahren berücksichtigt und umgesetzt hat. Für Dokumente mit einem solchen nicht schützbaren Zeitfenster ist die TR RESISCAN daher nicht besser geeignet als die seit 25 Jahren in der Praxis erprobten Verfahren. Mit anderen Worten: Kein Richter würde annehmen dürfen, dass die Mitarbeiter in einem RESISCAN zertifizierten Verfahren schlauer, wacher, aufmerksamer sind als solche in einem „normalen“ ordnungsgemäßen DMS-Scanverfahren. Oder noch einfacher: Wenn einer pennt, tut er dies auch in einem TR RESISCAN Verfahren, das weiß auch jeder Richter. Letzteres ist aber aufgrund der Verpflichtung zur Verwendung kryptografischer Verfahren und der Prüfung nicht Scan-relevanter Komponenten (siehe unten) exorbitant aufwendiger.

Eine lückenlose Schutzfunktion gäbe es nur, wenn der Absender kein Papier, sondern statt dessen ein elektronisches Dokument mit seiner qualifizierten Signatur versieht. Aber darüber reden wir hier nicht beim Thema ersetzendes Scannen. Und leider sind wir im Hochtechnologieland Deutschland auch nach über 17 Jahren Signaturgesetz noch immer nicht so weit, dass wir Signaturfunktionen für solche gerichtsbelastbaren Authentifizierungsfunktionen flächendeckend und für jedermann preiswert verfügbar und simpel anwendbar einsetzen können. Aber dieses Trauerspiel ist eine ganz andere Geschichte. Im Zusammenhang mit der TR RESISCAN reden wir über das ersetzende Scannen analoger Dokumente, nicht über vom Absender qualifiziert signierte Dokumente. Um jetzt die Frage nach dem Nutzen zu beantworten: Derzeit sehen wir keinen Nutzen durch eine rechtlich bessere Position im Vergleich zu bisherigen Verfahren.

Ein weiterer genereller Kritikpunkt ist der extreme Aufwand, den die TR RESISCAN verursacht, wenn man den Text ernst nimmt und Punkt für Punkt durcharbeitet. Auch hier wieder nur ein Beispiel von vielen: jede Dokumentart muss auf ihren Schutzbedarf überprüft werden und zwar für 6 unterschiedliche Datenobjekte: Original, Scanprodukt, Index- und Metadaten, Transfervermerk, Sicherungsdaten und Protokolldaten. Jedes dieser 6 Datenobjekte ist im Hinblick auf 9 Sicherheitsziele zu bewerten: Integrität, Authentizität, Vollständigkeit, Nachvollziehbarkeit, Verfügbarkeit, Lesbarkeit, Verkehrsfähigkeit, Vertraulichkeit, Löschbarkeit. Also eine Ausarbeitung zu 54 Einzelaspekten je Dokumentart. In einem Unternehmen mit 5 oder 10 Abteilungen und jede mit 5-10 Dokumentarten müssen hier Tausende von Einzelaspekten im Team erarbeitet und in der RESISCAN konformen Schutzbedarfsanalyse niedergelegt werden. Das ist alles andere als trivial: Ich freue mich auf Diskussionen in den Projektteams, wenn der Aspekt des Sicherheitsziels „Authentizität“ des Datenobjektes „Metadaten“ diskutiert wird. Spätestens an diesen Stellen wird in der Detailarbeit klar werden, dass nicht klar ist, was gemeint ist, und dass jeder eine eigene Interpretation hat. Und das 54 mal je Dokumentart. Man kann nicht einfach Dokumente mit dem gesunden Menschenverstand in eine auf den ersten Blick passende Schutzklasse legen, weil damit ganz erhebliche technische und funktionale Konseqenzen für die Lösung verbunden sind. Damit aber nicht genug: Diese Einstufung und die Ableitung der Schutzmaßnahmen gilt dann auch für die technische Infrastruktur: Scanner, Server, Scan-Arbeitsplätze bis ganz tief unter der Haube, wo gem. Anlage A, Kapitel A.1.5 (auch hier nur ein Beispiel) auch die 9 Kommunikationsverbindungen eines typischen Scansystems gehören, also auch die Kommunikationswege zwischen externer Integritätssicherungs-Hardware und der internen Intergritätssicherungs-SW, dem Scan-Cache etc. Und ob man dann endlich RESISCAN konform ist, erfährt man natürlich erst nach einer kostenpflichtigen Zertifizierung durch neutrale Dritte (so die Empfehlung in der TR). Wer käme dafür wohl in Frage? Und bei Schutzbedarf HOCH und SEHR HOCH soll das alle 36 Monate wiederholt werden. Mit anderen Worten: Die Umsetzung der TR RESISCAN wird skurril aufwendig, wenn man sie ernst nimmt und es wird trotzdem immer Unsicherheiten geben, ob ein Prüfer die gleiche Interpretation hat. Oder man macht es oberflächlich, um den Aufwand zu reduzieren, aber wozu taugt dann eine Zertifizierung die einen nach unseren Schätzungen extremen Personentageaufwand für interne und externe Zertifizierer und Berater kostet, wenn eh jeder reininterpretiert, was er will.

Ein weiterer elementarer Kritikpunkt ist der Fokus auf Signaturen und kryptografische Schutzfunktionen für Datenobjekte und technische Komponenten inkl. der Kommunikationswege in der Scan-Workstation, sobald Dokumente mit Schutzbedarf HOCH oder darüber eingestuft werden. Und HOCH ist laut TR definiert als „Die Schadensauswirkungen sind in der Regel beträchtlich. Ein solcher Schaden führt im Regelfall zu beträchtlichen Konsequenzen für die am Geschäftsvorfall beteiligten Personen und Institutionen.“ Das muss jetzt jeder selbst interpretieren, ob der Zivilrechtsstreit zu einem Kontoauszahlungsbeleg, einem Versicherungsantrag oder einer Rechnung mit hohem Betrag (ist eine Rechnung über 1.000 EUR Schutzklasse NORMAL oder HOCH? Wer darf das entscheiden?) dieses Kriterium NICHT erfüllt und niedriger eingestuft werden kann. Welcher Projektleiter würde es wagen, hier etwas Geringeres als Hoch anzugeben? Es ist daher zu befürchten, dass in der der Praxis aus persönlicher Risikoabsicherung alle Dokumentarten auf HOCH oder SEHR HOCH klassifiziert werden, mit der Konsequenz, dass alle diese Anwender auf signaturbasierte Erfassungsstrecken und Archivsysteme umstellen müssten. Wir reden hier von Zigtausend installierter Systeme in Deutschland, die den SOLL- oder sogar MUSS-Anforderungen der RESISCAN nicht mehr entsprechen würden. Die aber – bitte nicht vergessen, siehe oben – keine erhöhte Rechtssicherheit für die Frage nach der zwingenden Anerkennung des Scans für das Original bringen.

Es gäbe noch viele andere Aspekte zu beleuchten, die dem normalen Anwender entweder unverständlich sind oder die er gar nicht umsetzen kann, aber der Platz ist begrenzt, sodass bei weitem nicht alle kontroversen Punkte hier aufgelistet werden können. Aber zur Veranschaulichung, wo die RESISCAN meines Erachtens über ihr Ziel hinausschießt hier ein Beispiel von sehr vielen: Der Anwender muss dokumentieren, wie er nach einem Besuch des Servicetechnikers sicherstellt, dass dieser den Scan-Cache nicht manipuliert hat (Quelle: Hauptdokument, Kapitel A.O.3: Abnahme- und Freigabeverfahren für Hardware und Software). Scan-Cache? Wahrscheinlich wissen manche Techniker der Multifunktionsgerätehersteller nicht, was das sein soll und wo der ist. Wie soll der normale Anwender den Scan-Cache ohne Mithilfe des Technikers (den er der Manipulation verdächtigt :-) ) prüfen? Und zwar jedes Mal wenn der Techniker da war! Noch ein Beispiel: Gemäß Kap. A.SC.2 (Zugangs- und Zugriffskontrollen für Scanner) muss es Zugangskontrollen und Besucherregelungen für Scaneinrichtungen geben, um Manipulationen an der Scan-Hardware zu verhindern. Ist es wirklich ein realistisches Angriffsszenario, dass jemand, der ein Dokument manipulieren möchte, ausgerechnet den praktisch aussichtslosen Weg geht und an den technischen Innereien eines Scanners rumfrickelt, statt das Dokument vor dem Scannen zu fälschen, was definitiv einfacher wäre. Aber jetzt steht das in einer technischen Richtlinie des BSI und alle stehen stramm und müssen dokumentieren, wie sie – wenn sie nur 1 Dokumentart der Schutzklasse HOCH oder SEHR HOCH haben – die Innereien eines Multifunktionsgerätes oder einer Scanners gegen Manipulation von außen schützen, unter Einrichtung von Zugangskontrollen und Besucherregelungen. Wenn man solche Passagen liest, kann man nur resignieren. Hier wird jedes normale DMS-Projekt von Anwendern mit normalem Geldbeutel im Keim erstickt. In Deutschland ist ein äußerst erfolgreicher Markt entstanden mit in- und ausländischen Anbietern und jetzt kommt eine Richtlinie, die den Markt massiv behindern wird, statt ihn zu fördern – was meine anfängliche Hoffnung war, als die Arbeiten zur RESISCAN begannen. Jeder Anwender – vor allem im öffentlichen Bereich – muss nun fürchten, nicht ordnungsgemäß zu arbeiten, wenn die Erfassungsprozesse nicht RESISCAN-konform sind. Ich will an dieser Stelle gar nicht erst auf neue Erfassungsszenarien aus HomeOffice Konzepten mit neuen Technologien (zum Beispiel ScanApps für SmartPhones) eingehen. Wie soll denn das funktionieren: den ScanCache des iPhone überprüfen nach Reparatur im AppleStore?). Das wäre echt lustig zu sehen, wie die Apple Mitarbeiter an der GeniusBar Fragen nach dem manipulationssicheren Scan-Cache beantworten müssen, wenn es nicht so traurig wäre.

Es wäre in diesem Zusammenhang schön, wenn sich die DMS-Hersteller mal selbst Gedanken über diese Dinge machen würden, weil es ihr ureigener Markt ist, der hier gefährdet ist. In der Öffentlichkeit findet man aber eher Absichtserklärungen, die RESISCAN zu unterstützen. Unter 4 Augen erfährt man dann, dass man nicht aus öffentlichen Vergabeverfahren fliegen möchte, was ich nachvollziehen kann. Und wir als Berater profitieren ja eher von solchen erklärungsbedürftigen Themen. Aber: ich denke, es ist für die gesamte DMS-Branche nicht gut, wenn sich solche Rahmenbedingungen verfestigen. Es bremst die Projekte aus, es bringt keine erhöhte Rechtssicherheit, es ist eine deutsche Insellösung und es ist daher innovationsbremsend und bürokratiefördernd. Also genau das Gegenteil dessen, was Anbieter und Anwender moderner ECM-Lösungen wollen.

Ich glaube, dass das BSI in einer exzellenten Position wäre, eine Organisationsrichtlinie (OR RESISCAN, sozusagen die Version 2 der TR RESISCAN) für die Bundesbehörden (und als wertvoller Lesestoff für alle anderen) zur Verfügung zu stellen, die einen Mehrwert für die Bundesbehörden schafft, ohne gleichzeitig einen aberwitzigen bürokratischen Aufwand zu erzeugen. Die derzeitige Version würde ich gerne als Version 0.1 verstehen, die man nun nochmal in der Branche diskutiert. Und wenn man alle beteiligten Fachleute an einen Tisch bringt, vielleicht haben dann demnächst Entscheider im öffentlichen Raum ein verständliches, widerspruchsfreies und von Signatur- und Kryptoballast befreites Dokument, mit dem sie ihre Scanprozesse gestalten können. Viele Abschnitte in der RESISCAN enthalten heute bereits wertvolle Hinweise, sie sind nur gut versteckt.