Was ist die TR-RESISCAN?

Die Technische Richtlinie (TR) „Ersetzendes Scannen“ (RESISCAN) wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht. Das Ziel der Richtlinie ist eine Steigerung der Rechtssicherheit und die Sicherstellung der Beweisfähigkeit gescannter Informationen. Für Institutionen besteht die Möglichkeit zur Zertifizierung durch das BSI.

Für die Bereiche der kaufmännisch und steuerlich relevanten Unterlagen gibt es gesetzliche Regelungen zur ausschließlich digitalen Aufbewahrung in der Abgabenordnung (AO), dem Umsatzsteuergesetz (UStG), dem Handelsgesetzlich (HGB) und in den „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form“ (GOBD). Die ausschließlich digitale Aufbewahrung kaufmännischer Belege ist durch die Existenz gesetzliche Vorgaben einfach umsetzbar. Für einen Großteil der kaufmännischen Belege besteht keine Aufbewahrungspflicht von Papierunterlagen.

Für die nicht dem kaufmännischen bzw. steuerrelevanten Anwendungsbereich zuzuordnenden Papierunterlagen fehlen hingegen konkrete Umsetzungsvorgaben für ein ersetzendes Scannen und die Vernichtung der Papieroriginale. Mit der TR-RESISCAN (TR-03138) wurde die Möglichkeit geschaffen,  Papierdokumente einzuscannen, das Papieroriginal im Anschluss zu vernichten und den Beweiswert zu erhalten.

Für wen ist die Umsetzung interessant?

Für die Richtlinie bieten sich vielfältige Umsetzungsmöglichkeiten. Die Richtlinie ist für Unternehmen, die kaufmännische  Dokumente digitalisieren möchten, ist die Umsetzung der Vorgaben weniger relevant, da praxiserprobte gesetzliche Regelungen zur ausschließlich digitalen Archivierung vorliegen.

Interessant ist die Umsetzung der Normanforderungen aus der Richtlinie jedoch für alle Bereiche, die über kaufmännische Aspekte hinausgehen. Hierzu zählen beispielsweise:

  • Patientenakten
  • Verträge
  • Andere Unterlagen, für die maximale Beweiskraft erforderlich ist

Wie erfolgt die Umsetzung?

Die Richtlinie befasst sich ausschließlich mit dem Scanprozess und betrachtet die wesentlichen Grundziele der Informationssicherheit:

  • Vertraulichkeit
  • Verfügbarkeit
  • Integrität

Hierbei werden folgende Teilprozesse betrachtet:

  • Dokumentvorbereitung
  • Scannen
  • Nachverarbeitung
  • Integritätssicherung

Die Umsetzung erfolgt unter Anwendung der folgenden Vorgehensweise:

Nr.SchrittErläuterung
1StrukturanalyseEs muss ermittelt und dokumentiert (bereinigter Netzplan) werden, welche IT-Systeme, Netze, Anwendungen und Datenobjekte für den Scanprozess zum Einsatz kommen.
2SchutzbedarfsanalyseDer Schutzbedarf der Dokumente und Daten ergibt sich aus dem Papieroriginal hinsichtlich der Grundwerte Integrität, Vertraulichkeit und Verfügbarkeit. Im Rahmen der Schutzbedarfsanalyse muss der Schutzbedarf für die Papieroriginale bewertet werden und dieser wird im Anschluss für die Datenobjekte übernommen.   Die Bewertung des Schutzbedarfs erfolgt unter Anwendung der Kategorien „normal“, „hoch“ und „sehr hoch“.
3SicherheitsmaßnahmenDie Richtlinie enthält Maßnahmenmodule, die nach Durchführung der Schutzbedarfsanalyse umgesetzt werden müssen. Der Umfang der umzusetzenden Maßnahmen richtet sich nach dem Schutzbedarf „normal“, „hoch“ und „sehr hoch“. Die Maßnahmen des Basismoduls decken den normalen Schutzbedarf ab. Die Aufbaumodule für einen höheren Schutzbedarf werden auf die Grundziele Vertraulichkeit, Verfügbarkeit und Integrität aufgeteilt.

Welche Bedeutung hat die Schutzbedarfsanalyse?

Die Schutzbedarfsanalyse ist ein elementarer Bestandteil der Umsetzung der Richtlinie. Der Schutzbedarf der Dokumente und Daten ergibt sich aus dem Papieroriginal hinsichtlich der Grundwerte Integrität, Vertraulichkeit und Verfügbarkeit. Im Rahmen der Schutzbedarfsanalyse muss der Schutzbedarf für die Papieroriginale bewertet werden und dieser wird im Anschluss für die Datenobjekte übernommen.

Die Bewertung des Schutzbedarfs erfolgt unter Anwendung der Kategorien „normal“, „hoch“ und „sehr hoch“.

Anhand der Schutzbedarfsanalyse wird ermittelt, welche Maßnahmen der Richtlinie umzusetzen sind.

Welche Maßnahmen müssen bei normalem Schutzbedarf festgelegt haben?

Die Anforderungen des normalen Schutzbedarfs werden durch Umsetzung der Maßnahmen des Basismoduls erfüllt.

Hierzu zählen folgende Maßnahmen:

BasismodulBeispiele der Maßnahmen
Grundlegende Anforderungen – Verfahrensdokumentation
– Schutzbedarfsanalyse
Organisatorische Maßnahmen – Verantwortlichkeiten
– Regelungen für Wartung / Reparatur
– Abnahme- und Freigabeverfahren
– Aufrechterhaltung der Informationssicherheit
– Outsourcing
Personelle Maßnahmen– Schulung und Einweisung von Anwendern und Administratioren
– Verpflichtung auf Einhaltung gesetzlicher Regelungen und Verfahrensanweisungen
Technische Maßnahmen – Sicherheitsmaßnahmen für IT-Systeme im Scanprozess
– Festlegung der zulässigen Kommunikationsverbindungen
– Schutz vor Schadprogrammen
– Zuverlässige Speicherung
Dokumentenvorbereitung – Vorbereitung der Papierdokumente
– Vorbereitung einer Vollständigkeitsprüfung
Scannen – Geeignete Scanner
– Zugangs- und Zugriffskontrollen für Scanner
– Geeignete Scan-Einstellungen
– Geeignete Erfassung von Metainformationen
– Qualitätssicherung der Scanprodukte
– Protokollierung beim Scannen
– Außerbetriebnahme von Scannern
Nachverarbeitung – Nachvollziehbarkeit von Nachbearbeitungen (z.B. Kontrast, Helligkeit)
– Qualitätssicherung nachbearbeiteter Scanprodukte
– Durchführung einer Vollständigkeitsprüfung
– Transfervermerk
Integritätssicherung– Geeignete Dienste und Systeme

Die Maßnahmen „Sicherheitsmaßnahmen für IT-Systeme im Scanprozess“ (A.T.1) schreibt vor, dass für die im Scanprozess beteiligten IT-Systeme die relevanten Sicherheitsanforderungen aus dem BSI IT-Grundschutz (Grundschutz-Kompendium) umzusetzen sind. Es ist zulässig, alternative Standards (z.B. ISO 27001) anzuwenden. In der Praxis wird der Aufwand für die Umsetzung dieser Maßnahme häufig unterschätzt.

Wie zu Beginn des Beitrags bereits erwähnt, regelt die Richtlinie ausschließlich den Scanprozess. Eine beweiserhaltende Aufbewahrung der digitalen Informationen ist nicht Gegenstand der Richtlinie. Die Maßnahme „Zuverlässige Speicherung“ (A.T.4) verlangt jedoch die Langzeitspeicherung zur Sicherstellung der notwendigen Verfügbarkeit, die in der Schutzbedarfsanalyse ermittelt wurde. Denkbar für die Umsetzung ist beispielsweise der Einsatz einer Dokumenten-Managementlösung (DMS), die über eine gültige Softwarebescheinigung (IDW PS 880) verfügt. Eine maximale Beweiskraft der gespeicherten Informationen kann durch Umsetzung der Richtlinie TR-ESOR erreicht werden.

Welche zusätzlichen Maßnahmen müssen bei hohem / sehr hohem Schutzbedarf umgesetzt werden?

Wenn bei einem der Grundwerte Integrität, Vertraulichkeit oder Verfügbarkeit eine Schutzbedarf von mindestens „hoch“ ermittelt wurde, müssen mindestens die generellen Maßnahmen bei erhöhtem Schutzbedarf umgesetzt werden. Hierzu zählen:

  • Zugriffsbeschränkung auf Papierdokumente
  • Pflicht zur Protokollierung beim Scannen
  • Pflicht zur regelmäßigen Auditierung

Die weiteren Maßnahmen für hohen bzw. sehr hohen Schutzbedarf orientieren sich an den Grundwerten. Nachfolgende Tabelle zeigt exemplarisch Maßnahmen der TR-RESISCAN für (sehr) hohen Schutzbedarf:

GrundwertBeispiele für Maßnahmen
Integrität – Kryptographische Maßnahmen zum Integritätsschutz (z.B. fortgeschrittene / qualifizierte elektronische Signatur/Siegel und/oder Zeitstempel)
– Schlüsselmanagement
– Vier-Augen-Prinzip / Funktionstrennung
– Netzwerksegmentierung
– Kennzeichnung der Dokumente
Vertraulichkeit – Sensibilisierung und Verpflichtung der Mitarbeiter
– Besondere Zuverlässigkeit und Vertrauenswürdigkeit
– Löschen von Zwischenergebnissen
– Entsorgung von Betriebsmitteln
– Verschlüsselte Datenübertragung
Verfügbarkeit – Erweiterte Qualitätssicherung
– Fehlertolerante Protokolle und redundante Datenhaltung
– Vollständige Sichtkontrolle zur Qualitätssicherung

Was ist der wesentliche Inhalt der Verfahrensdokumentation für die TR-RESISCAN?

Das Vorhandensein einer Verfahrensdokumentation ist eine grundlegende Anforderung im Basismodul. Eine Verfahrensdokumentation muss in jedem Fall vorliegen.

Die Maßnahmen A.G.1 im Basismodul sieht mindestens folgende Bestandteile vor:

  • Art der Dokumente und Regelungen für nicht verarbeitete Dokumente
  • Festlegung von Verantwortlichkeiten, Abläufen und Aufgaben im Scanprozess
  • Maßnahmen zur Qualifizierung und Sensibilisierung
  • Anforderungen an Räume, IT-Systeme, Anwendungen und Sicherungsmittel gem. Schutzbedarf
  • Regelungen für Administration und Wartung
  • Sicherheitsmaßnahmen
  • Verfahrensanweisung

Wie verläuft eine Zertifizierung?

Eine Zertifizierung des Scanverfahrens kann durch einen vom BSI zugelassenen Auditor erfolgen. Die Konformitätsprüfung bescheinigt die Einhaltung der Vorgaben aus der Norm. Neben einer Zertifizierung kommen auch Eigenerklärungen in Betracht, d.h. es besteht kein Zertifizierungszwang.

Eine Zertifizierung vom BSI hat eine Gültigkeit von 3 Jahren, sofern nicht am Scanprozess wesentliche Änderungen vorgenommen werden.

Wo gibt es weitere Informationen zur Richtlinie?

Markus Olbring steht als Autor dieses Beitrags für weitere Fragen gerne zur Verfügung.

Auf der Internetseite des BSI sind zahlreiche Zusatzinformationen zu finden: https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Moderner-Staat/Ersetzendes-ScannenTR-Resiscan/ersetzendes-scannentr-resiscan_node.html

Dieser Beitrag wurde von Markus Olbring im Februar 2022 erstellt und auf www.comdatis.de veröffentlicht. Markus Olbring ist Inhaber der comdatis it-consulting in Ahaus und ist als IT-Berater und IT-Sachverständiger in den Themenbereichen Datenschutz, Informationssicherheit, Digitalisierung und GOBD tätig. Im Bereich der Umsetzung der TR-RESISCAN hat er bereits verschiedene Unternehmen bei der Umsetzung der Maßnahmen und Erstellung der Verfahrensdokumentation begleitet.