Voraussetzungen
Voraussetzungen und Anforderungen für Ersetzendes Scannen
Ersetzendes Scannen setzt die Einhaltung klar definierter „technischer und organisatorischer Voraussetzungen“ voraus, um die Rechtssicherheit und Qualität der digitalen Dokumente sicherzustellen.
Die Grundlage dafür bildet die Technische Richtlinie BSI TR-03138 Ersetzendes Scannen (RESISCAN) des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die die Mindeststandards und spezifischen Vorgaben für den gesamten Prozess definiert.
Zentrale Voraussetzungen und Anforderungen:
Das ersetzende Scannen erfordert die Einhaltung spezifischer technischer, organisatorischer und personeller Vorgaben, um einen rechtssicheren und revisionssicheren Prozess zu gewährleisten. Von der Sicherstellung der Integrität des digitalen Abbilds bis zur langfristigen Verfügbarkeit der Daten. Jede Voraussetzung trägt dazu bei, die hohen Anforderungen der Technischen Richtlinie "Ersetzendes Scannen" (Resiscan) zu erfüllen.
Im Folgenden werden die zentralen Aspekte vorgestellt, die für eine erfolgreiche Umsetzung des ersetzenden Scannens unabdingbar sind.
- Integrität:
- Sicherstellung der Übereinstimmung von Original und digitalem Abbild durch:
- Visuelle und inhaltliche Prüfung (Qualitätssicherung - Stichprobenkontrollen).
- Einsatz qualifizierter elektronischer Siegel (QES).
- Lückenlose Dokumentation des Scanprozesses zur Nachvollziehbarkeit.
- Sicherstellung der Übereinstimmung von Original und digitalem Abbild durch:
- Vertraulichkeit:
- Schutz der Daten durch:
- Verschlüsselte Übertragungswege und sichere Speichermedien.
- Zugriffsbeschränkungen und rollenbasiertes Berechtigungssystem.
- Sicherstellung der Einhaltung von Datenschutzrichtlinien, insbesondere der DSGVO.
- Schutz der Daten durch:
- Verfügbarkeit:
- Langfristige Sicherung der digitalisierten Dokumente durch:
- Verwendung von standardisierten Dateiformaten wie PDF/A.
- Regelmäßige Sicherung und Überprüfung der Speichermedien.
- Garantierte Zugänglichkeit für autorisierte Personen und Systeme.
- Langfristige Sicherung der digitalisierten Dokumente durch:
- Qualitätssicherung:
- Definierte Scanparameter wie Auflösung, Farbtiefe und Seitenformate.
- Automatisierte Erkennung und Entfernung von Leer- oder fehlerhaften Seiten.
- Dokumentation aller Qualitätssicherungsmaßnahmen im Transfervermerk.
- Organisatorische Anforderungen:
- Klare Zuweisung von Verantwortlichkeiten innerhalb des Projekts.
- Schulung und Qualifikation des Fachpersonals, insbesondere Scan-Operatoren.
- Sicherstellung eines reibungslosen Workflows durch koordinierte Prozessabläufe.
Ersetzendes Scannen - Definition, Vorteile und Umsetzung › Ersetzendes Scannen Verfahrensdokumentation ›
Welche Sicherheitsziele werden definiert?
Die Hauptzielsetzung der Technischen Richtlinie Resiscan besteht darin, durch die Festlegung vereinheitlichter Anforderungen und Sicherheitsmaßnahmen die Rechtssicherheit und den Beweiserhaltungswert bei der Digitalisierung von papierbasierten Originalbelegen und Dokumenten zu erhöhen. Sie strebt an, eine Steigerung der Rechtssicherheit durch die Implementierung des ersetzenden Scannens zu erreichen.
In dieser Technischen Richtlinie (TR) werden vereinheitliche Anforderungen und Sicherheitsmaßnahmen in praxisorientierten Leitfaden konkret definiert und beschrieben.
Daraus werden die folgenden neun Sicherheitsziele formuliert, die konsequent eingehalten werden müssen:
- Integrität:
Sicherstellung der Richtigkeit, Vollständigkeit und Unveränderlichkeit von Informationen und Daten. - Verfügbarkeit:
Gewährleistung, dass Informationen und IT-Systeme jederzeit und bei Bedarf zugänglich sind. Diese Grundwerte bilden die Grundlage für eine sichere Gestaltung von IT-Systemen und helfen dabei, die Informationssicherheit zu gewährleisten. - Vertraulichkeit:
Schutz von Informationen vor unbefugtem Zugriff und Offenlegung für Unbefugte.
Unser Scanprozess: Sicher, zuverlässig und konform mit TR-Resiscan
Unser Scanprozess ist konform mit den Anforderungen der Technischen Richtlinie TR-Resiscan und stellt sicher, dass alle Vorgaben an Integrität, Vertraulichkeit und Verfügbarkeit erfüllt werden.
Dabei setzen wir auf strukturierte Workflows, dokumentierte Qualitätssicherung und den Einsatz moderner Scan-Technologien, um ein normgerechtes digitales Abbild Ihrer Dokumente bereitzustellen.
- Sicherstellung der Prozessintegrität: Der gesamte Scanprozess wird dokumentiert, um die Übereinstimmung von Original und digitalem Abbild gemäß den Anforderungen der TR-Resiscan nachzuweisen.
- Umsetzung der Sicherheitsziele: Die Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit werden durch geeignete technische und organisatorische Maßnahmen erfüllt. Dazu zählen verschlüsselte Übertragungswege, definierte Zugriffsrechte zur Verhinderung unbefugter Einsichtnahmen und die Nutzung qualifizierter Signaturen oder Siegel.
- Einhaltung der Qualitätsstandards: Die Scanparameter, wie etwa Auflösung und Farbtiefe, sowie die nachgelagerten Prüfungen entsprechen den Richtlinien und gewährleisten ein rechtskonformes digitales Abbild der physischen Dokumente.
- Anpassung an projektspezifische Anforderungen: Unter Berücksichtigung der Vorgaben der TR Resiscan wird der Workflow individuell auf die Anforderungen des jeweiligen Projekts abgestimmt.
Mit diesem Vorgehen gewährleisten wir, dass die Digitalisierung Ihrer Dokumente den Anforderungen der Technischen Richtlinie vollständig entspricht und ein normgerechtes digitales Abbild Ihrer physischen Unterlagen bereitgestellt wird.
Aufbau und Voraussetzungen Ersetzendes Scannen
Als grundlegende Anforderungen und zur Gewährleistung eines strukturierten Ablaufs beim Ersetzenden Scannen müssen sowohl eine Verfahrensdokumentation als auch eine Schutzbedarfsanalyse existieren.
Die Verfahrensdokumentation beinhaltet insbesondere eine Verfahrensanweisung für alle am Scanprozess beteiligten Personen. (u.a. vom Scandienstleister zu erbringen).
Eine sorgfältig erstellte Schutzbedarfsanalyse ist ebenso essentiell, um ein angemessenes Sicherheitsniveau für die zu verarbeitenden Dokumente hinsichtlich der IT-Sicherheitsgrundwerte, („Integrität“, „Vertraulichkeit" und „Verfügbarkeit“) zu erreichen. Daraus ableitend wird dann die Schutzbedarfskategorie (normal, hoch oder sehr hoch) für jedes Datenobjekt bestimmt.
Die Anforderungen an das BSI TR-Resiscan (Ersetzendes Scannen) gliedern in drei zentrale Bereiche:
- Organisatorische Maßnahmen: Hierzu zählen die Festlegung von Verantwortlichkeiten, die Erstellung einer detaillierten Verfahrensdokumentation sowie die Implementierung klar definierter Prozessabläufe und Festlegung von Prüfprozessen zur Qualitätssicherung. Diese Maßnahmen gewährleisten die Nachvollziehbarkeit und Rechtskonformität des Scanprozesses.
- Personelle Maßnahmen: Dieser Bereich umfasst die Schulung und Sensibilisierung des Personals hinsichtlich der ordnungsgemäßen Bedienung der Scansysteme und der Einhaltung von Sicherheitsstandards. Zudem werden Zugriffsrechte geregelt, um unbefugten Zugriff zu verhindern.
- Technische Maßnahmen: Dazu gehören die Auswahl geeigneter Scanner, Integritätssicherung durch visuelle Kontrolle und strukturierte Prüfprozesse, die Speicherung in revisionssicheren Formaten (z. B. PDF/A) zur langfristigen Verfügbarkeit. Die Sicherstellung der Datenintegrität durch elektronische Signaturen oder Siegel sowie die revisionssichere Archivierung der digitalisierten Dokumente.
Diese drei Bereiche bilden gemeinsam die Grundlage für einen sicheren und rechtskonformen Scanprozess gemäß den Vorgaben der TR-RESISCAN.
Anwendung und Umsetzung Ersetzendes Scannen
Um die Nachvollziehbarkeit und leichte Anwendung der TR Resiscan zu gewährleisten, wurden sie in drei Schritte unterteilt: Strukturanalyse, Schutzbedarfs analyse und Sicherheitsmaßnahmen.
Diese Schritt-für-Schritt-Vorgehensweise erleichtert die Umsetzung der Richtlinie und sorgt für eine klare und nachvollziehbare Anwendung, indem sie klare Anleitungen für die Umsetzung bietet.
Strukturanalyse
organisatorischen und personellen Strukturen zu schaffen, die eine angemessene und sichere Gestaltung
des Scanprozesses ermöglichen.
In diesem Schritt werden die bestehenden Strukturen und Prozesse analysiert. Dadurch wird eine grundlegende Kenntnis der organisatorischen und technischen Aspekte geschaffen, um eine solide Basis für die Umsetzung der Richtlinie zu schaffen.
Das für den Digitalisierungsprozess eingesetzte Scansystem (vom Dienstleister zu erfüllen) und alle IT-Systeme, Anwendungen und Netze werden auf Basis von IT-Grundschutz-Bausteinen modelliert und für das sichere Ersetzendes Scannen geprüft.
Schutzbedarfsanalyse
Hier erfolgt die Bewertung und Relevanz aus technischer und fachlicher Perspektive des Schutzbedarfs (Sicherheitszeile) der zu digitalisierenden Papierdokumente. Es werden die Anforderungen (BSI IT-Grundwerte) Vertraulichkeit, Integrität und Verfügbarkeit bewertet, um angemessene Sicherheitsmaßnahmen zu identifizieren und umzusetzen.
Mithilfe der Bedrohungsanalyse und Risikoanalyse können Schwachstellen für die zu schützenden Datenobjekte ermittelt werden. Durch diese Analyseverfahren werden potenzielle Gefährdungen und Risiken identifiziert, die die Sicherheit der Objekte beeinträchtigen könnten. Dadurch können gezielte Sicherheitsmaßnahmen ergriffen werden, um die Schwachstellen zu beheben und die Sicherheit der Objekte zu erhöhen.
Sicherheitsmaßnahmen
Basierend auf den Ergebnissen der Schutzbedarfsanalyse werden geeignete Sicherheitsmaßnahmen definiert und implementiert. Dies umfasst technische, organisatorische und administrative Maßnahmen, die darauf abzielen, die Informationssicherheit und den Schutz der digitalisierten Dokumente zu gewährleisten, um das Risiko der Beweismanipulation bei der Digitalisierung von Dokumenten zu minimieren.
Durch die gezielte Implementierung dieser Maßnahmen wird das Risiko von Manipulationen oder Verfälschungen der digitalen Dokumente deutlich reduziert und somit ihre Verwendbarkeit als rechtssicherer Beweis gestärkt. Durch diese dreistufige Vorgehensweise werden auch die individuellen Gegebenheiten und Sicherheitsanforderungen berücksichtigt.
Basismodul und Aufbaumodule gemäß BSI TR (Resiscan) Ersetzendes Scannen
Um beim ersetzenden Scannen ein angemessenes Maß an Sicherheit zu gewährleisten, wurde ein Basismodul entwickelt. Dieses Basismodul umfasst grundlegende organisatorische, personelle und technische Maßnahmen, um den festgestellten Schutzbedarf sowie die spezifischen Vorgaben für die verschiedenen Phasen des "generischen Scanprozesses" zu erfüllen. Dadurch wird sichergestellt, dass ein solider Sicherheitsstandard bei der Digitalisierung von Dokumenten eingehalten wird. Das Basismodul stellt den Mindeststandard dar, während erweiterte Aufbaumodule zusätzlichen Schutz bieten.
Das Basismodul ist verpflichtend und stellt sicher, dass alle wesentlichen Anforderungen für eine sichere Digitalisierung erfüllt werden. Erst wenn das Basismodul implementiert ist, können zusätzliche Aufbaumodule hinzugefügt werden.
Für Dokumente mit "hohem" und "sehr hohem" Schutzbedarf sieht TR-Resiscan zusätzliche Sicherheitsmaßnahmen vor. Diese Aufbaumodule ergänzen das Basismodul und erhöhen das Sicherheitsniveau entsprechend den Anforderungen der Schutzbedarfsanalyse.
Basismodul als Voraussetzung für sichere Digitalisierung
- Jede Umsetzung des Ersetzenden Scannens beginnt mit dem Basismodul.
- Aufbaumodule werden je nach Schutzbedarf der Dokumente ergänzt.
- Die Schutzbedarfsanalyse legt fest, welche Sicherheitsmaßnahmen zusätzlich erforderlich sind.
Wichtige Hinweise
Bitte beachten Sie, dass wir keine Rechtsberatung erteilen. Die hier erläuterten Definitionen und Informationen sind eine unverbindlich vereinfachte und kurze Darstellung.
Es sollten unbedingt auch weitere spezifische Aspekte je nach Kontext und rechtlichen Vorgaben berücksichtigt werden.
Ersetzendes Scannen