TR-Resiscan 1.5 Mit Signatur und Siegel

Mit den aktuellen Anforderungen an das ersetzende Scannen hat sich Gregor Kürten in seinem Gastbeitrag intensiv auseinandergesetzt. Auch ein Jahr nach ihrer Einführung stellt die TR-Resiscan 1.5 viele Verwaltungsdigitalisierer vor ernstzunehmende Probleme. Insbesondere die Rechtssicherheit von bisherigen Scanlösungen steht vielfach zur Debatte.

Die technische Richtlinie des Bundesamts für Sicherheit in der Informationstechnik für das rechtssichere ersetzende Scannen (BSI TR-03138 RESISCAN) stellt in der öffentlichen Verwaltung den „Stand der Technik” für die Digitalisierung von Papierunterlagen dar. Sie wurde im Juli 2024 einer umfangreichen Überarbeitung unterzogen und auf die Version 1.5 aktualisiert.

Schwerpunkte der Änderungen sind die Einführung von Regelungen für mobiles Scannen und die Überarbeitung der Anforderungen insbesondere mit Blick auf die Verwendung von Signaturen und Siegeln. Darüber hinaus wurden zahlreiche Anforderungen im Detail überarbeitet. Die generelle Stoßrichtung geht dabei in Richtung einer Verschärfung der Anforderungen.

Für Anwenderinnen und Anwender der TR-RESISCAN bedeutet deren Weiterentwicklung, dass sie ihre Strukturen und Verfahren aktualisieren müssen, wenn sie weiterhin rechtssicher nach dem „Stand der Technik” scannen wollen.

„Se vogliamo che tutto rimanga come è, bisogna che tutto cambi.“ schrieb der Schriftsteller Giuseppe Tomasi di Lampedusa 1958 in seinem Roman „Der Leopard” – „Wenn alles bleiben soll, wie es ist, muss sich alles ändern.”

Einleitung

Die TR-RESISCAN ist in gewisser Hinsicht ein Erfolgsmodell. Sie hat für den Bereich des Scannens den in zahlreichen Gesetzen verwendeten unbestimmten Rechtsbegriff des „Standes der Technik“ besetzt und es darüber im Behördenumfeld geschafft, zum Standard für das ersetzende Scannen zu werden. Die Privatwirtschaft orientiert sich daneben an Standards, die sich meist aus den steuerrechtlichen Vorgaben der Abgabenordnung (AO) sowie aus Anforderungen an die Informationssicherheit (zum Beispiel ISO 27001) ergeben. In besonderen Fällen können branchenspezifische Standards eine Rolle spielen, z. B. im Bereich der Sozialversicherung.

Aus dem Beratungsalltag ist die TR-RESISCAN nicht wegzudenken. Durchgängig digitale Prozesse erfordern am Anfang der Prozesskette die Digitalisierung analoger Unterlagen. Quantitativ haben die Scanvolumina zwar in den letzten Jahren merklich abgenommen, aber es ist absehbar, dass uns das Thema einige Zeit weiter beschäftigen wird. Insofern haben wir Neuerungen stets im Blick.

Vor einem Jahr, im Juli 2024, vollzog sich – fast im Verborgenen – eine Änderung, die unseren Kunden seither einiges an Kopfzerbrechen bereitet hat und wohl noch bereiten wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine technische Richtline (TR) 03138, genannt RESISCAN, einer durchaus umfangreichen Überarbeitung unterzogen. Auch mit der überarbeiteten Version gilt es, das Konzept möglichst praxisgerecht umzusetzen.

Grundsätzliche Änderungen

Am grundlegenden Ablauf der Umsetzung der TR-RESISCAN hat sich nichts geändert:

• 1. Eine Strukturanalyse dokumentiert den für das Scannen relevanten Ausschnitt der IT.

• 2. Eine Schutzbedarfsanalyse analysiert die verarbeiteten Informationen (Papieroriginal, Scanprodukt, Metadaten etc.)

• 3. Die Bedrohungs- und Risikoanalyse können aus den Musterdokumenten des BSI übernommen werden.

• 4. Schließlich sind aufbauend auf dem Schutzbedarf die Maßnahmen der TR umzusetzen.

Es gibt weiterhin Maßnahmen, die unabhängig vom Schutzbedarf umzusetzen sind und Maßnahmen, die nur für Dokumente mit hohem oder sehr hohem Schutzbedarf gelten, wobei zwischen den IT-Sicherheitszielen Vertraulichkeit, Integrität und Verfügbarkeit unterschieden wird. Die Maßnahmen unterscheiden sich nach organisatorischen, personellen, technischen und prozessbezogenen Maßnahmen. Letztere gliedern sich nach den Maßnahmen bei der Scanvorbereitung, dem Scannen, der Nachbearbeitung und der Integritätssicherung.

Weiterhin wird die Verbindlichkeit der Umsetzung durch entsprechende Modalverben aufgezeigt (unter anderem „MUSS“, „SOLL“, „KANN“).

Alle Analysen, Konzeptionen und Verfahrensanweisungen bilden die Verfahrensdokumentation, der in der TR weiterhin hohes Gewicht zukommt.

Doch abgesehen davon deutet sich in den einleitenden Kapiteln der überarbeiteten TR-RESISCAN an, wo die Reise ansonsten inhaltlich hingeht.

(ID:50507097)