Technische Richtlinien ─ am Beispiel TR ResiScan ─ und deren Bedeutung für die rechtsverbindliche elektronische Kommunikation
Upcoming SlideShare
Loading in...5
×
 

Technische Richtlinien ─ am Beispiel TR ResiScan ─ und deren Bedeutung für die rechtsverbindliche elektronische Kommunikation

on

  • 417 views

Dr. Astrid Schumacher, Bundesamt für Sicherheit in der Informationstechnik. ...

Dr. Astrid Schumacher, Bundesamt für Sicherheit in der Informationstechnik.
Vortrag anlässlich des Praxis-Workshop zum elektronischen Rechtsverkehr für die deutsche Justiz. https://blog.de.ts.fujitsu.com/branchen/egov/erfolgreiche-premiere-praxis-workshop-zum-elektronischen-rechtsverkehr-fuer-die-deutsche-justiz

Statistics

Views

Total Views
417
Views on SlideShare
213
Embed Views
204

Actions

Likes
0
Downloads
1
Comments
0

3 Embeds 204

https://blog.de.ts.fujitsu.com 201
http://www.slideee.com 2
http://business-datacenter.de.fujitsu.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Technische Richtlinien ─ am Beispiel TR ResiScan ─ und deren Bedeutung für die rechtsverbindliche elektronische Kommunikation Technische Richtlinien ─ am Beispiel TR ResiScan ─ und deren Bedeutung für die rechtsverbindliche elektronische Kommunikation Presentation Transcript

  • Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 1 TR-ResiScanTR-ResiScan BSI-Richtlinie 03138BSI-Richtlinie 03138 zum ersetzenden Scannenzum ersetzenden Scannen 30. Juni 201430. Juni 2014
  • Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 2 Agenda  Einleitung  Rechtliche Aspekte  Der modulare Anforderungskatalog  Die Zertifizierung  Ausblick
  • Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 3 ● Auftraggeber: BSI; Laufzeit: Mitte 2011 – Anfang 2013 ● Auftragnehmer: – ecsec GmbH ● ● Unterauftragnehmer: – secunet Security Networks AG ● Rechtliche Begleitung – provet ● Projektbeirat – Wirtschaftsvertreter, Unternehmen und Verbände, Behörden/Verwaltungen/Gerichte, EDV-Gerichtstag, Versicherungswesen, Gesundheitswesen, Steuerberatungswesen, BMI, BMF, BfDI, Bundeskanzleramt, Datenverarbeitungszentrum M-V Projekt-AufstellungProjekt – Team und Organisation View slide
  • Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 4 Gesetzliche Anforderungen  Unterschiedliche rechtliche Anforderungen an das ersetzende Scannen hinsichtlich Inhalt und Wortlaut – Ausnahme: qelSig → z.B. Sozialversicherungsunterlagen §§ 110a Abs. 2, 110d SGB IV  Weitgehende Homogenität hins. der gesetzlichen Anforderungen an den Scanprozess und das Scanprodukt: – Bildliche und inhaltliche Übereinstimmung zwischen Papieroriginal und Scanprodukt – Übereinstimmungsnachweis – Schutz vor Informationsveränderungen und Informationsverlusten – Dauerhafte Datenträger View slide
  • Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 5 Herausforderungen Rechtlich-technischer Rahmen: ● Mediumwechsel von analogen in elektronische Daten ● Rechtlich bedeutsam: die dem Papier immanenten Sicherheitsmerkmale zum Integritäts- und Authentizitätsschutz gehen verloren Wesentliche Fragen im Rahmen der TR: → (rechtliche und) technisch-organisatorische Anforderungen an den Scanprozess und das Scanprodukt → Erreichung eines möglichst hohen, dem Original angenäherten Beweiswert des Scanproduktes für ein Gerichtsverfahren
  • Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 6 Lösungsansätze Beweiskraft-erhaltende Erstellung & Aufbewahrung elektronisch signierter Daten/Dokumente/Akten → Lösungsansätze für den Beweiswerterhalt: TR-ESOR → Lösungsansätze für das ordnungsgemäße ersetzende Scannen: TR-RESISCAN
  • Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 7 Optimierungspotenzial  Lösungen, die eine Vernichtung des Originals unter maximal erreichbarer Wahrung der Rechts- und Beweissicherheit ermöglichen  Berücksichtigung der heterogenen Prüf-Landschaft, vgl. u.a.:  DOMEA → Organisationskonzept elektronische Verwaltungsarbeit  GoBS (→ GoBIT?)  GDPdU  IDW-FAIT  TÜV-IT-Zertifizierung nach PK-DML (VOI)
  • Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 8 Agenda  Einleitung  Rechtliche Aspekte  Der modulare Anforderungskatalog  Die Zertifizierung  Ausblick
  • Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 9 Rechtliche Betrachtung Ziel: Suche nach Lösungen für die Rechtsfragen des Scannens unter Berücksichtigung der Interessen der Anwender und Wahrung der Vorteile der e-Vorgangsbearbeitung und Aufbewahrung Gesetzliche Ausgestaltung des Scanprozesses nur vereinzelt, obwohl das Bedürfnis auch anwendungsübergreifend besteht Selbst bestehende Regelungen: wenig Anhaltspunkte des Scanprozesses Unsicherheiten und Probleme beim Anwender Vermeidung durch Aufbewahrung von Dokumenten → Bürokratischer Aufwand, Effizienz?
  • Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 10 Rechtliche Betrachtung Scannen von Papierdokumenten und Vernichtung der Originale Rechtsfragen Zulässigkeit Dokumentations-, Aktenführungs- und Dokumentationspflichten Beweiswert Gegenstand des Augenscheins (§ 371 Abs. 1 S. 2 ZPO); Vernichtung des Originals führt zu einer Verschlechterung der Beweissituation Teilweise Regelungen zum ersetzenden Scannen im jeweiligen Fachrecht (tlw. Homogenität der Regelungen)
  • Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 11 Anlage R Unverbindliche rechtliche Erläuterungen zur Anwendung der TR RESISCAN Ziel: - Erläuterung der Zusammenhänge zwischen Recht und TR RESISCAN - Darstellung der aktuellen Rechtslage - Hilfestellung für den Anwender bei der Einordnung und Beantwortung rechtlicher Fragen und Probleme Aufbau: - Sicherheitsziele und exemplarische Schutzbedarfsanalysen - Rechtliche Fragen im Zusammenhang mit ersetzendem Scannen
  • Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 12 Gesetzliche Referenz (1) § 7 EGovG: Übertragen und Vernichten des Papierorignals Erlaubnis zum ersetzenden Scannen mit Verweis auf TR ResiScan, umfasst Teilbereich der Bundesbehörden „Die Behörden des Bundes sollen, soweit sie Akten elektronisch führen, an Stelle von Papierdokumenten deren elektronische Wiedergabe in der elektronischen Akte aufbewahren. Bei der Übertragung in elektronische Dokumente ist nach dem Stand der Technik sicherzustellen, dass die elektronischen Dokumente mit den Papierdokumenten bildlich und inhaltlich übereinstimmen, wenn sie lesbar gemacht werden.“ „Papierdokumente (…) sollen nach der Übertragung in elektronische Dokumente vernichtet oder zurückgegeben werden, sobald ein weitere Aufbewahrung nicht mehr aus rechtlichen Gründen oder zur Qualitätssicherung des Übertragungsvorgangs erforderlich ist.“ → als Beispiel für den Stand der Technik kann die TR ResiScan des BSI herangezogen werden.
  • Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 13 Gesetzliche Referenz (2) § 371b ZPO: Beweiskraft gescannter öffentlicher Urkunden „Wird eine öffentliche Urkunde nach dem Stand der Technik von einer öffentlichen Behörde oder von einer mit öffentlichem Glauben versehenen Person in ein elektronisches Dokument übertragen und liegt die Bestätigung vor, dass das elektronische Dokument mit der Urschrift bildlich und inhaltlich übereinstimmt, finden auf das elektronische Dokument die Vorschriften über die Beweiskraft öffentlicher Urkunden entsprechende Anwendung.“ → die TR ResiScan des BSI enthält ausführliche Hinweise für einen Scannvorgang nach dem Stand der Technik → die Einhaltung des Stands der Technik kann aber auch durch andere Scannverfahren gewährleistet werden → der Beweisführer trägt hierbei im Bestreitensfalle die volle Beweiskraft für die Einhaltung des Stands der Technik
  • Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 14 Agenda  Einleitung  Rechtliche Aspekte  Der modulare Anforderungskatalog  Die Zertifizierung  Ausblick
  • 15 Zu sichernde Elemente im Scan-System
  • 16 Modularer Maßnahmenkatalog Maßnahmen in der Dokumenten- vorbereitung Maßnahmen beim Scannen Maßnahmen bei der Nachverarbeitung Maßnahmen bei der Integritätssicherung Basismodul Aufbaumodule mit zusätzlichen Sicherheitsmaßnahmen Grundlegende Anforderungen Organisatorische Maßnahmen Personelle Maßnahmen Technische Maßnahmen Generelle Maßnahmen bei der Verarbeitung von Dokumenten mit erhöhtem Schutzbedarf. Zusätzliche Maßnahmen bei Schutzbedarf „sehr hoch“ bzgl. Integrität Zusätzliche Maßnahmen bei Schutzbedarf „hoch“ bzgl. Integrität Zusätzliche Maßnahmen bei Schutzbedarf „sehr hoch“ bzgl. Vertraulichkeit Zusätzliche Maßnahmen bei Schutzbedarf „hoch“ bzgl. Vertraulichkeit Zusätzliche Maßnahmen bei Schutzbedarf „sehr hoch“ bzgl. Verfügbarkeit Zusätzliche Maßnahmen bei Schutzbedarf „hoch“ bzgl. Verfügbarkeit
  • 17 Das Basismodul (für alle) – Beispiele Maßnahmen in der Dokumenten- vorbereitung Maßnahmen beim Scannen Maßnahmen bei der Nachverarbeitung Maßnahmen bei der Integritätssicherung Basismodul Grundlegende Anforderungen Organisatorische Maßnahmen Personelle Maßnahmen Technische Maßnahmen Durchführung der Vollständigkeitsprüfung Zugangs- und Zugriffskontrollen Festlegung von Verantwortlichkeiten, Regelung zur Wartungsarbeiten Sensibilisierung, Schulung Schutz vor Schadprogrammen, Festlegung der zulässigen Kommunikationsverbindungen MUSS: Verfahrensdokumentation, Fachliche Schutzbedarfsanalyse Sorgfältige Vorbereitung der Papierdokumente
  • 18 Aufbaumodul – Beispiele Aufbaumodule mit zusätzlichen Sicherheitsmaßnahmen Generelle Maßnahmen bei der Verarbeitung von Dokumenten mit erhöhtem Schutzbedarf. Zusätzliche Maßnahmen bei Schutzbedarf „sehr hoch“ bzgl. Integrität Zusätzliche Maßnahmen bei Schutzbedarf „hoch“ bzgl. Integrität Zusätzliche Maßnahmen bei Schutzbedarf „sehr hoch“ bzgl. Vertraulichkeit Zusätzliche Maßnahmen bei Schutzbedarf „hoch“ bzgl. Vertraulichkeit Zusätzliche Maßnahmen bei Schutzbedarf „sehr hoch“ bzgl. Verfügbarkeit Zusätzliche Maßnahmen bei Schutzbedarf „hoch“ bzgl. Verfügbarkeit Pflicht zur Protokollierung, Auditierung, Beschränkung des Zugriffs auf sensible Dokumente Vollständige Sichtkontrolle Fehlertolerante Protokolle, Redundante Datenhaltung Besondere Zuverlässigkeit und Vertrauenswürdigkeit der Mitarbeiter Löschen von Zwischenergebnissen Verhinderung ungesicherter Netzzugänge Eigenständiges Netzsegment, 4-Augen-Prinzip, QES, Zeitstempel
  • Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 19 Agenda  Einleitung  Rechtliche Aspekte  Der modulare Anforderungskatalog  Die Zertifizierung  Ausblick
  • Zertifizierung und Konformitätssprüfung im BSI 2) Zertifizierung nach TR 3) Zertifizierung nach IT-Grundschutz 4) Neu: Mindeststandard nach § 8 I BSIG 1) Zertifizierung nach CC und ITSEC (+ ggf. Bestätigung nach SigG)
  • Zertifizierungsverfahren (TR) Weitere Informationen, Antragsformular, … unter: www.bsi.bund.de/zertifizierungtrwww.bsi.bund.de/zertifizierungtr Erstellung der erforderlichen Dokumentation Erstellung der erforderlichen Dokumentation AntragstellungAntragstellung Beauftragung IT-GS Auditor Beauftragung IT-GS Auditor Konformitäts- prüfung Konformitäts- prüfung Beratungs- gespräch mit BSI (optional) Beratungs- gespräch mit BSI (optional) Abnahme Prüfbericht durch BSI Abnahme Prüfbericht durch BSI ZertifizierungZertifizierung Verfahrensablauf  Alternativen zur Zertifizierung durch BSI  Auditor-Testat  Konformitätserklärung  Konformitätsprüfung durch zertifizierte IT-Grundschutz Auditoren  Zertifikatsgültigkeit: 3 Jahre  Kosten  Zertifizierungsgebühren BSI (Erst-Zertifizierung): 2600,- € pauschal  + Kosten der Konformitätsprüfung
  • Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 22 Agenda  Einleitung  Rechtliche Aspekte  Der modulare Anforderungskatalog  Die Zertifizierung  Ausblick
  • Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 23 Ausblick ● Umsetzungen: Elektronischer Rechtsverkehr (Justiz), BÄK/KBV ● Proof of Concepts: • Bundesverwaltungsgericht: Verwaltungs- & Gerichtsakten, Schwerpunkt Basismodul • Datenverarbeitungszentrum Mecklenburg-Vorpommern: Landesbesoldungsakten, hoher Schutzbedarf ● Erstes Zertifikat erteilt, weitere Verfahren kurz vor Abschluss. ● TR-Evaluierung in 2014.
  • Dr. Astrid Schumacher (BSI) 30.06.2014 Folie 24 Vielen Dank für Ihre Aufmerksamkeit Bundesamt für Sicherheit in der Informationstechnik (BSI) Dr. Astrid Schumacher Referatsleiterin S11 Sicherheit in eID-Anwendungen astrid.schumacher@bsi.bund.de resiscan@bsi.bund.de