Your SlideShare is downloading. ×
0
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Beweiswerterhaltende Langzeitspeicherung im Spannungsfeld gesetzlicher Vorgaben und technischer Richtlinien

560

Published on

Jens Fromm, Fraunhofer FOKUS im Rahmen des Praxis-Workshop von Fujitsu, Fraunhofer Fokus, NetApp und PDV Systeme zu medienbruchfreien, sicheren und gerichtsfesten elektronischen Prozessen.

Jens Fromm, Fraunhofer FOKUS im Rahmen des Praxis-Workshop von Fujitsu, Fraunhofer Fokus, NetApp und PDV Systeme zu medienbruchfreien, sicheren und gerichtsfesten elektronischen Prozessen.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
560
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Praxis WorkshopBeweiswerterhaltende Langzeitspeicherung imSpannungsfeld gesetzlicher Vorgaben und technischerRichtlinienFraunhofer Fokus, Berlin, 31.01.2013Jens Fromm (Fraunhofer Fokus), Peter Falk (Fujitsu)
  • 2. Agenda Compliance Ersetzendes Scannen (TR RESISCAN) Beweiswerterhaltende Langzeitspeicherung (TR ESOR) 1
  • 3. Motivation, ZielsetzungBeweiswerterzeugung und –erhaltung auf der Basis gesetzlicherAnforderungen und Compliance Regularien. Analoges Archiv Digitales Archiv Sicheres Archiv § § § § Prüfbare Integritäts- und Authentizitätsnachweise sind essentiell 2
  • 4. Security and Compliance Rules Security Claims & Targets *) Compliance Rules *) (national & international) DE: TR-03125 DE: eGov Law DE: SOX CZ: eGov Law CZ: SOX Reasons DE: TR-03138 AT: eGov Law AT: SOX TR: eGov Law TR: SOX „Prior Art“ DE: ArchiSafe PP CH: eGov Law CH: SOX ES: eGov Law ES: SOX INT: CC EAL 4+ PT: eGov Law ES: SOX INT: LTANS-ERS INT: IETF RFC 4998 EU: COM(2012) 238/2 NN: eGov Law NN: SOX *) in progress Security Claims & Targets, Legal Regulations & Requirements 3
  • 5. DE: Gesetz zur Förderung der elektronischenVerwaltung (E-Government-Gesetz – EGovG) Gesetzentwurf § 6  Gesetzentwurf § 7 (Elektronische Aktenführung) (Übertragen und Vernichten des  „…Wird eine Akte elektronisch geführt, Papieroriginals) ist durch geeignete technisch  „…Bei der Übertragung in elektronische organisatorische Maßnahmen nach dem Dokumente ist nach dem Stand der Stand der Technik sicherzustellen, dass Technik sicherzustellen, dass die die Grundsätze ordnungsgemäßer elektronischen Dokumente mit den Aktenführung eingehalten werden.“ Papierdokumenten bildlich und inhaltlich • Quelle: Gesetzentwurf Seite 5 übereinstimmen, wenn sie lesbar gemacht werden… Papier-dokumente sollen nach der Übertragung in elektronische Dokumente vernichtet werden…“ • Quelle: Gesetzentwurf Seite 5 4
  • 6. DE: Gesetz zur Förderung der elektronischenVerwaltung (E-Government-Gesetz – EGovG) Begründung zu § 6  Begründung zu § 7 (Elektronische Aktenführung) (Übertragen und Vernichten des  „Für den Erhalt des Beweiswerts Papieroriginals) qualifiziert elektronisch signierter  „Als Beispiel für den Stand der Technik Dokumente kann z. B. die Technische kann die Technische Richtlinie „Rechts Richtlinie des BSI (TR-03125 (TR- sicheres ersetzendes Scannen“ (TR- ESOR)) als Stand der Technik RESISCAN) des BSI herangezogen herangezogen werden….“ werden.“ • Quelle: Gesetzentwurf Seite 33 • Quelle: Gesetzentwurf Seite 33/34 19.09.2012: E-Government-Gesetz im Kabinett beschlossen 02.11.2012: Beschluß Bundesrat: Gültigkeit für Bund und Länder (Verpflichtung der Länder offen) 5
  • 7. Zu Erläuterung die wichtigsten Regelungen § 1 Geltungsbereich  (1) Dieses Gesetz gilt für die öffentlich-rechtliche Verwaltungstätigkeit der Behörden des Bundes einschließlich der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts.  (2) Dieses Gesetz gilt auch für die öffentlich-rechtliche Verwaltungstätigkeit der Behörden der Länder einschließlich der der Aufsicht dieser Behörden unterstehenden juristischen Personen des öffentlichen Rechts, wenn diese Bundesrecht ausführen. Für die Gemeinden und Gemeindeverbände gilt dieses Gesetz, wenn sie Bundesrecht ausführen und ihnen die Aufgaben nach diesem Gesetz durch Landesrecht übertragen werden.  […] § 2 Elektronischer Zugang zur Verwaltung  (1) Jede Behörde ist verpflichtet, auch einen Zugang für die Übermittlung elektronischer Dokumente, auch soweit sie mit einer qualifizierten elektronischen Signatur versehen sind, zu eröffnen.  […] 6
  • 8. Agenda Compliance Ersetzendes Scannen (TR RESISCAN) Beweiswerterhaltende Langzeitspeicherung (TR ESOR) 7
  • 9. TR RESISCANDie Transformation von Papierdokumenten und deren Ersetzung durchelektronische Dokumente stellt hohe Anforderungen an die Rechtssicherheit.Analoges Archiv Digitales Archiv Prüfbare Integritäts- und Authentizitätsnachweise sind essentiell 8
  • 10. TR RESISCAN TR RESISCAN (TR 03138)  Zielsetzung: Steigerung der Rechtssicherheit im Bereich des ersetzenden Scannens.  Inhalt: … soll als Handlungsleitfaden und Entscheidungshilfe dienen, wenn es darum geht, Papierdokumente nicht nur einzuscannen, sondern nach Erstellung des Scanproduktes auch zu vernichten.  Motivation: … es fehlen konkrete Umsetzungsvorgaben für die meisten Bereiche der öffentlichen Verwaltung (Ausnahme: Sozialversicherungsrecht)  Konkretisierung: … die mit einer Vernichtung des Originaldokuments stets einhergehende Verringerung des Beweiswerts für den jeweiligen Anwender durch einen an das Original möglichst weit angenäherten Beweiswert des - in einem nachweisbar ordnungsgemäßen Prozess erstellten - Scanproduktes selbst auszugleichen, zu minimieren oder sichtbar zu machen. 9
  • 11. TR RESISCAN 10
  • 12. TR RESISCANModulkonzept 11
  • 13. Secure MailroomDie Vernichtung von papiergebunden Originalen erfordert den Einsatz vonLösungen, die eine rechtskonforme Transformation und eine sichere undstrukturierte Aufbewahrung der elektronische Dokumente ermöglichen.Digital Mailroom Secure Digital Mailroom § § Capture Analysis Routing Capture Analysis Routing § § Prüfbare Integritäts- und Authentizitätsnachweise: TR - RESISCAN 12
  • 14. Secure Mailroom Generischer Prozess TR RESISCAN Workflow Dokumenten Metadaten, Management ReferenzenPhase 1: Preparation Phase 2: Scan + Capture Phase 3: Integrität Eingangs- Klassifizierung Integritäts- Dokumente Scan Capture Archiv Dokumente, prüfung Integritäts- nachweise TR ESOR Compliance - Anforderungen • Phase 1: Integritäts-Check (analog) • Phase 2: Transformation (Transfervermerk) • Phase 3: Beweiswerterzeugung und -erhaltung (Digital Mailroom, Archiv) 13
  • 15. Secure MailroomIntegritätssicherungElektronische Signaturen Vorgesehen für Willenserklärung oder Beglaubigung Identität des Unterzeichners Integrität des signierten Dokuments Unsicherer Zeitpunkt der SignaturerzeugungZeitstempel Ermöglicht späteren Nachweis der Integrität seit dem Zeitpunkt des Einholens des Zeitstempels Geeignet für das Einfrieren oder Archivieren von Dokumenten in elektronischen Archiven 14
  • 16. Secure Mailroom Use Case I (Transfervermerk) TR RESISCAN Workflow Referenzen DMS, ECMPhase 1: Phase 2: Scan + Capture Phase 3: IntegritätVorbereitung Audit Archiv- DFCD3454 BBEA788A BatchSign BatchSign Transfer- Integritäts- Archiv SecDocs 751A696C 24D97009 Scan eDocs Konnektor CA992D17 vermerk (SecDocs) prüfung Dokumente, eDocs Evidence records Integritäts- (LTANS, RFC 4998) nachweise TR ESOR Compliance - Anforderungen • Phase 1: Integritäts-Check (analog) • Phase 2: Transformation (Transfervermerk) • Phase 3: Beweiswerterzeugung und -erhaltung (Evidence records) 15
  • 17. Secure Mailroom Transfervermerk (flexibler Aufbau)  Datum, Uhrzeit  Dokumentenprofil  System- und Beutzerprofil  Scan-Produkt  Workflow-Informationen (Viewing) Versiegelte Transfervermerke  Via Archivlösung  Elektronische Signaturen 16
  • 18. Secure Mailroom Use Case II (Transfervermerk + elektronische Signatur) TR RESISCAN Workflow Referenzen DMS, ECMPhase 1: Phase 2: Scan + Capture Phase 3: IntegritätVorbereitung Audit Archiv- DFCD3454 BBEA788A Archive BatchSign BatchSign Transfer- SecDocs 751A696C 24D97009 Scan eDocs Konnektor El. Signatur CA992D17 vermerk (SecDocs) Dokumente, eDocs Evidence records Transfer- (LTANS, RFC 4998) vermerk, El. Signaturen TR ESOR Compliance - Anforderungen • Phase 1: Integritäts-Check (analog) • Phase 2: Transformation (Transfervermerk) • Phase 3: Beweiswerterzeugung (El. Signatur) Beweiswerterhaltung (Evidence records, Signaturerneuerung) 17
  • 19. TR RESISCANPerspektiven  Technisch und organisatorisch  Konformitätsbewertung (Zertifizierung, Herstellererklärung)  Mindeststandards zur Erhöhung der Produktsicherheit  Empfehlung für Ausschreibungen und Beschaffungen  Spezifikation für Lösungen und Produkte  Rechtlich  Beweiswürdigung vor Gericht wird erleichtert  Referenzierung in zukünftigen Rechtsvorschriften  Erleichterung der Schaffung neuer Zulässigkeitstatbestände ( „Vernichtung des Originals zulässig wenn nach BSI, TR… gescannt wurde“)  Einheitliche Auslegung nach bestehenden und zukünftigen Regelwerken. 18
  • 20. Secure Mailroom (Fujitsu – Implementierung)Secure Mailroom… … ist eine durchgängige Mailroom-Lösung zur ersetzenden und beweiswerterhaltenden Digitalisierung von Papierakten und Posteingangsdokumenten gemäß TR-03138 (TR- RESISCAN).  Sicheres und automatisiertes Input Management  Gerichtsverwertbare Beweiskraft  Einfach und kostensparend …’Full Range’-Infrastruktur, modularisiert  Leistungsstarke Scanner (PFU)  Sicheres Input Management (Scalaris, FTS)  Beweiswerterhaltende Langzeitspeicherung (SecDocs) … ermöglicht papierlose Geschäftsprozesse, gesetzeskonform, mit hoher Beweiskraft 19 Copyright 2013 FUJITSU
  • 21. Agenda Compliance Ersetzendes Scannen (TR RESISCAN) Beweiswerterhaltende Langzeitspeicherung (TR ESOR) 20
  • 22. EinführungBeweiswerterzeugung und –erhaltung auf der Basis gesetzlicherAnforderungen und Compliance Regularien.Digitales Archiv Beweiswerterhaltendes Archiv § § § § Prüfbare Integritäts- und Authentizitätsnachweise: TR ESOR 21
  • 23. TR ESOR TR ESOR (TR 03125)  Zielsetzung: Beweiswerterhaltung kryptographisch signierter Dokumente.  Inhalt: … stellt das BSI einen Leitfaden zur Verfügung, der beschreibt, wie elektronisch signierte Daten und Dokumente über lange Zeiträume – bis zum Ende der Aufbewahrungsfristen – im Sinne eines rechtswirksamen Beweiswerterhalts vertrauenswürdig gespeichert werden können  Motivation: … Über die geforderten langen Aufbewahrungszeiträume und trotz der immer kürzer werdenden informationstechnischen Innovationszyklen hinweg müssen die Lesbarkeit und Verfügbarkeit von Speichermedien und Datenformaten gewährleistet sein – unabhängig von einzelnen Produkten und Herstellern. 22
  • 24. TR ESORReferenzarchitektur 23
  • 25. TR ESOR Zertifizierung Logisch-funktional: … Wesentliches Ziel dieser Konformitätsprüfung ist der Nachweis, dass das Modul bzw. das Gesamtsystem den entsprechenden Anteil für die Beweiswerterhaltung funktional umsetzt. Technisch-interoperabel: … wenn zusätzlich zum Nachweis der funktionalen Konformität auch alle bzw. die betreffenden Schnittstellen auf Basis der eCard-API [BSI-TR-03112], wie in [BSI-TR-03125-E] beschrieben, umgesetzt sind und ein definiertes XML-Datenformat (z.B. für selbsterklärende Archivdatenobjekte „XML Archiving Information Package“ (XAIP) gemäß [BSI-TR-03125-F]) für die Kommunikation und das Speichern verwendet wird.  Die Zertifizierung zum ArchiSafe-Schutzprofil ist Voraussetzung für eine erfolgreiche Prüfung zur technischen Konformität! 24
  • 26. TR ESOR (FTS-Erweiterungen)Applikationsschicht Anwendungs- Dienst- Admin- systeme programme Clients XML-Adapter Webservice Webservice WebserviceTR-03125 ArchiSafe-Schnittstelle (TR-S.4) Erweiterte Funktionen Admin- FunktionenMiddleware Erweiterte Konfigurations-(SECDOCS V2) Zugriffskontrolle verwaltung ArchiSafe-Modul (TR-S.1) eCard-API (TR-S.3) Krypto-Modul Navigation & (Signcubes V3) Indexierung Signatur- ArchiSig-Schnittstelle prüfung TR-S.1 (TR-S.6) Hash ArchiSig-Modul Zeitstempel TR-S.3 Datenbankzugriffe Signaturen TR-S.2 TR-S.5 Storage Plugin[s] (TR-S.2, TR-S.5) 25
  • 27. TR ESOR (FTS-Erweiterungen) 26
  • 28. Fujitsu Compliant Archiving - SecDocs®SecDocs®… … ist weltweit das erste “Common Criteria EAL4+” zertifizierte Standardprodukt zur beweiswerterhaltenden Langzeitspeicherung von elektronischen von elektronischen Dokumenten.  Sichere und automatisierte Prozesse ohne Medienbrüche  Papierlos und gerichtsverwertbar  Einfach und kostensparend …bietet einzigartige Technologien zur Erzeugung und Erhaltung von Integrität und Authentizität. … unterstützt internationale Compliance Regularien … ist verfügbar als On Premises und Off Premises Modell … ermöglicht papierlose Geschäftsprozesse, gesetzeskonform, mit hoher Beweiskraft 27

×