Wieso sich ersetzendes Scannen nicht standardisieren lässt. Warum eine Technische Richtlinie zu...
-
Upload
bitkom-enterprise-content-management-ecm -
Category
Technology
-
view
545 -
download
0
description
Transcript of Wieso sich ersetzendes Scannen nicht standardisieren lässt. Warum eine Technische Richtlinie zu...
Warum eine Technische Richtlinie zu diesem Thema gar keine technische Richtlinie sondern nur eine organisatorische Richtschnur sein kann.
Wieso sich ersetzendes Scannen nicht standardisieren lässt.
Bernhard Zöller, Zöller & Partner, Hannover, 10.03.2014
Technische Richtlinie des BSI 03138 (TR-RESISCAN), verfügbar seit Frühjahr 2013
Kernthema: Ersetzendes Scannen
Wer die Richtlinie einhält, kann Originale vernichten (vereinfacht ausgedrückt)
Erwartungshaltung: Hohe Rechtssicherheit (RESISCAN steht für Rechtssicheres Scannen)
Praxis: Die RESISCAN ist weder bindend noch vereinfacht sie das Leben der Anwender
Mit der RESISCAN kommt SCHON WIEDER das Thema Signatur in die Scanprozesse, hat dort aber nicht verloren (von Zeitstempeln mal abgesehen)
Inhalt
2
Panikmache, nicht zweckdienlich
Nö. Nicht bekannt, wo das Finanzamt das tut. Und sicherlich
nicht wegen fehlender kryptografischer Signaturkomponenten
im Scanprozess.
Und für die Anhänger der Primärquellen: Das ersetzende
Scannen ist seit 1995 mit dem BMF-Schreiben ausdrücklich
erlaubt (IV A 8 - S 0316 - 52/95- BStBl 1995 I S. 738)
Tickende Zeitbombe? Uns ist kein Fall aus den letzten 25 Jahren
bekannt, wo ein Unternehmen deswegen zu Schaden kam. Bitte
um Info, wo uns etwas entgangen ist!! Gibt es aber keinen
solchen Fall, dann ist das hier Panikmache.
Hinweis an das Auditorium: Prüfen Sie mal nach, wer die
Befürworter sind und überlegen Sie dann, ob da vielleicht
nicht nur wissenschaftliche Interessen vorliegen.
Die TR-RESISCAN wäre eigentlich eine gute Sache …
Bisher ist das Thema ersetzendes Scannen nur für kaufmännische Dokumente gut geregelt, für alle anderen Dokumentarten muss das Unternehmen oder die öffentliche Verwaltung selbst entscheiden, wie groß das Risiko der Originalvernichtung ist
Also wie bei Mikrofilm vor 40 Jahren? Ja genau, Nix Neues!
Das Problem bei einer Technischen Richtlinie ist, dass es bei einem Erfassungsprozess gar nicht auf die TECHNISCHEN Aspekte ankommt. Die vorkommenden Fehler sind nicht durch Technik, sondern nur durch Sorgfalt, Aufmerksamkeit, Ausbildung, ergonomische Oberflächen und anderen Aspekten zu regeln, die sich allesamt einer technischen Zertifizierung entziehen.
Mit anderen Worten: Die Fehlerquelle sitzt vor dem Scanner!
Erschwerend kommt hinzu: diese bereits schwierige Ausgangslage wird nicht besser indem man versucht Komponenten durch die Hintertür wieder auf die Bühne zu holen, die hier nicht hingehören Signaturkomponenten und damit die TR-ESOR
4
Hindernis: Umfang & mangelnde Relevanz. Ohne Hilfe Dritter kann man das kaum
bewältigen. Umsatz für Berater und Berufs-Zertifizierer!
5
Dokument Relevanz Umfang
TR 03138 MUSS 40 S.
Anhang A: Ergebnis Risikoanalyse Informativ 46 S.
Anlage P: Prüfspezifikation Normativ, aber noch nicht verfügbar: „Anlage P – diese befindet sich
noch in der Erstellung und steht daher gegenwärtig noch nicht zur
Verfügung“ (Status 4.3.2014)
Anlage R: Rechtshinweise (Autoren:
Prof. Rossnagel u.a.)
Informativ Notiz: an keiner einzigen Stelle wird für kaufmännische oder steuerrelevante
Unterlagen darauf hingewiesen, dass das BMF Schreiben das ersetzende Scannen
seit Nov. 1995 für zulässig erklärt hat mit weit weniger Anforderungen wie in der
RESISCAN und den mitgeltenden Dokumenten beschrieben.
50 S.
Anlage V: Verfahrensdoku
Gliederung
Informativ 3 S.
BSI Grundschutzkataloge WICHTIG, da mehrfacher Verweis. Sind aber zum Teil extrem veraltet
und NICHT anwendbar. Das muss aber der Leser selbst recherchieren,
es gibt keinen Hinweis, welche Kapitel ungültig sind.
4.700 S.
Common Criteria WICHTIG, da mehrfacher Verweis 650 S.
TR-ESOR (TR 03125) WICHTIG, mehrfacher Verweis 98 S.
Erwartungshaltung: Nachweis der Konformität
Nein, können sie nicht. Es ist nur eine Behauptung. Es werden keine technischen Zwangsläufigkeiten
testiert, weil die Fehlerquelle VOR DEM SCANNER sitzt (und/oder vor der Fachanwendung, vor der
Indexieranwendung etc.)
Eine Erfassungsstrecke wird zum Zeitpunkt der Zertifizierung von anderen Personen besetzt sein, wie
irgendwann später. Eine Zertifizierung wäre wie ein Führerschein für die ganze Familie, aber nur 1
Person muss die Prüfung ablegen.
6
Regelungsgegenstand
7
Exkurs: wann ist ein Scanner gut genug?
8
Allemal gut genug: Foto-Handy
4 Megapixel: 200 dpi / DIN A4
6 Megapixel: 240 dpi / DIN A4
9 Megapixel: 300 dpi / DIN A4
Zum Vergleich
Standard-Fax: 200 dpi horizontal / 98 dpi vertikal (ca. 2 Megapixel)
Diese Geräte ermöglichen ergänzend die situative, mobile, standortunabhängige Erfassung. Zielgruppe: Knowledge Worker. Dokumente: Zeitschriften, Notizen, Whiteboards, etc.
Ablage in Cloud oder direkt im Teamraum, ECM-Lösung, E-Akte etc.
Neue Generationen von Mitarbeitern werden die „alten“ Verfahren ablehnen.
Unfug: QES in Massenscanverfahren Eine kryptografisch erzeugte Signatur (fortgeschritten oder qualifiziert) hat nur die Rolle der Prüfbarkeit auf Veränderung
zwischen dem Zeitpunkt des Signierens und der Ablage in einem Archiv (weil dort wieder eigene Schutzmaßnahmen wirken)
Daher bezieht sich die Signatur nur auf eine Übereinstimmungsbehauptung, ausgestellt durch Erfassungspersonal.
Scanperson Meier „signiert“ also ein Dokument von Müller, den er weder kennt und dessen Dokument er im Original ggf. auch
nicht gesehen hat.
9
Skurriles aus der TR 03138
Das schließt beispielsweise MFDs, Faxe und viele andere Capture-Lösungen aus wenn man „SOLL“ befolgt.
Nochmal: Nicht das was eingescannt wird, bestimmt über die Rechtmäßigkeit des Scangutes sondern die nachgelagerten QS-Prozesse.
Wer Papier manipulieren möchte, wird das wohl nicht im Scan-Cache tun, sondern BEVOR das
Papier in den Scanraum kommt. Was ist denn daran so schwer zu verstehen?
10
Skurriles aus der TR 03138
Was soll ein Anwender nach Wartung eines MFDs durch den Wartungsdienst tun, um diesen Punkt abzuhaken?
Eigentlich sind durch solche Text Fax- und MFD-Systeme für die Erfassung ausgeschlossen, weil sich mit diesen Geräten dieses MUSS Kritierium nicht wirklich erfüllten lässt (außer, man nimmt es nicht ernst und wurstelt vor sich hin).
11
Skurriles aus der TR 03138
Der offensichtliche Integritätsschutz, dass nämlich jemand prüft, bevor die technische Archivierung stattfindet, wird GAR NICHT erwähnt, das ist aber der in der Praxis – zu Recht - vorherrschende Fall.
Statt dessen wird auf die CC verwiesen, die für KMU vollkommen ungeeignet sind. Das dient nur der Arbeitsbeschaffung für CC-Zertifizierer, bringt aber keinen mm mehr Rechtssicherheit
12
Und natürlich wird häufig auf Signaturkomponenten verwiesen
Die Signatur schützt ja nicht, sie macht nur auf Änderung prüfbar. Ein modernes DMS macht beides.
Sie zeigt nicht, von wem das Dokument kommt (im Unterschied zu einer richtig verwendeten Signatur)
Liebe Branche: Mit der TR-RESISCAN wird das Thema Signatur nach 17 Jahren erfolglosem Signaturgesetz auch nicht zum Leben erweckt, weil es das falsche Einsatzfeld für Signaturen ist.
13
Mein Fazit
Die TR wäre gut,
Wenn es eine OR wäre (Organisationsrichtlinie) ähnlich der GOBS von 1995
Wenn sie die unterschiedlichen Erfassungsszenarien in der realen Welt kompetent berücksichtigen würde: frühe und späte Erfassung, Barcode- und andere Verknüpfungsszenarien mit externen Anwendungen, Archiv nur als Repository oder als komplette DB-DMS-Fachanwendung, Transfervermerk ist eher eine virtuelle Sache und nichts Binäres, was sich signieren lässt und va. 995 weitere Themen, wo wir einen Mangel an Nähe zum Thema Scannen/Erfassung feststellen
Wenn sie keine nationale Sonderlocke wäre
Wenn sie auch für KMUs anwendbar wäre (heißt: umsetzbar zu deren Budgets). Das bedeutet, ein KMU muss sie anwenden können ohne Berufszertifizierer oder externe Berater für x Personentage alle 36 Monate im Haus zu haben.
Mein Wunsch: OR RESISCAN 2.0, gerne vom BSI
14
Nochmal zum Thema Panikmache
15
Tickende Zeitbombe? Kein Fall aus den
letzten 25 Jahren bekannt, wo ein
Unternehmen deswegen zu Schaden
kam.
Hinweis an das Auditorium: Prüfen Sie
mal nach, wer die Befürworter sind und
überlegen Sie dann, ob da vielleicht
nicht nur wissenschaftliche Interessen
vorliegen.
Fazit von Ulrich Schwenkert
Vorsitzender Richter am Finanzgericht Berlin-Brandenburg
"Im Regelfall dürften selbst die eigenhändig ohne besondere
Vorkehrungen eingescannten Belege nicht zu einem Rechtsnachteil
führen."
www.bitkom.org www.digitalewelt.org
Ihr Referent
Bernhard Zöller
stell. Vorsitzender des BITKOM AK ECM-Standards;
Geschäftsführer, Zöller & Partner GmbH +49 6196 999 09-0 [email protected]
www.bitkom.org www.digitalewelt.org
Weitere Informationen unter www.ecm-navigator.de
Ihr Ansprechpartner in der BITKOM-Geschäftsstelle
Willi Engel
Bereichsleiter ECM
030.27576 201 [email protected]