Die technische Richtlinie TR-RESISCAN des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ermöglicht es, Scanprozesse zu etablieren, bei denen das Papier nach dem Scannen vernichtet werden kann. Durch Verwendung von geeigneten Hard- und Softwarelösungen und Aufsetzen gesicherter Verfahren inkl. deren Dokumentation wird eine Beweis-Werterhaltung für das Scangut erreicht und zugleich nachvollziehbare Prozesse geschaffen.
Anstelle oder als Vorstufe zu einer TR-RESISCAN Zertifizierung durch das BSI, können Unternehmen ein „TR-RESISCAN ready“ Zertifikat für Verfahren und Hard- bzw. Software-Lösungen erlangen. Dieses kann dann auch als Grundlage für eine Zertifizierung durch das BSI dienen bzw. bescheinigt dem Unternehmen „TR-RESISCAN ready“ zu sein! Mit einer Hard- bzw. Software Zertifzierung schaffen die Hersteller Sicherheit für ihre Kunden, da das Produkt TR-RESISCAN konform verwendet werden kann.
Gegenstand der Prüfung ist die Art und Weise, wie die Umsetzung der Prüfkriterien „TR-RESISCAN ready“ des VOI-CERT erfolgt. Diese Prüfkriterien basieren auf der Technischen Richtlinie 03138 (TR-RESISCAN) des BSI. Es findet dazu eine regelmäßige Abstimmung und Zusammenarbeit zwischen BSI und VOI statt.
Nach erfolgreichem Abschluss des Zertifizierungsprozesses erhält der Anbieter ein entsprechendes Zertifikat des VOI-CERT
Digitalisierung beinhaltet nicht nur Digitalisierung von Prozessen durch Hard- und Software, sondern Digitalisierung benötigt auch digitale Informationen, damit diese Prozesse leben. Informationen bzw. Unterlagen liegen oft noch in Papierform vor. Es ist also an der Zeit, papiergebundene Unterlagen, die eingehen und jene, die noch Teil eines laufenden Vorgangs bzw. einer laufenden Akte sind, zu digitalisieren. D.h. Unterlagen müssen gescannt werden.
Ein wichtiger und früh festzulegender Punkt ist: Sollen Unterlagen ersetzend oder kopierend gescannt werden? Beim ersetzenden Scannen werden die gescannten Papierunterlagen / -dokumente vernichtet, nachdem sämtliche Qualitätssicherungen erfolgreich durchlaufen wurden. Im Falle des kopierenden Scannens bleibt das Papieroriginal erhalten und es sind weniger sichernde Maßnahmen notwendig, da im Zweifelsfall wieder auf das Original zurückgegriffen werden kann. Ein Mischbetrieb aus ersetzendem und kopierendem Scannen ist möglich, besonders auch im Hinblick darauf, dass nicht alle Unterlagen vernichtet werden dürfen oder sollen – etwa Verträge und Urkunden etc.
Ersetzende Scannen soll oftmals zum Einsatz kommen, damit u.a. Papieroriginale nicht in Archiven oder Lagern weiter verwaltet werden müssen. Es ist auch zunehmend politischer Wille, dass im Sinne der Digitalisierung ersetzend gescannt wird (à eGovernment Gesetze des Bundes und der Länder).
Beim ersetzenden Scannen spielt die TR-RESISCAN eine wichtige Rolle. Sie legt als „Stand der Technik“ (BSI Gesetz) fest, was alles berücksichtigt werden muss, um einen möglichst hohen Beweiswert zu erhalten. Ziel ist es, dass ein gescanntes Dokument (fast) den gleichen Beweiswert wie das Papieroriginal besitzt. Wenn TR-RESISCAN konsequent umgesetzt wird, existiert am Ende ein einheitlicher, nachvollziehbarer und qualitativ hochwertiger Scanprozess sowie qualitäts- und integritätsgesicherte Ergebnisse, die problemlos für die digitale Weiterverarbeitung verwendet werden können.
Hinweis zu Scannen nach GoBD: Sollen ausschließlich kaufmännische Dokumente wie Rechnungen oder rechnungsbegleitende Unterlagen für Finanzbehörden und zur Erfüllung der GoBD („Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“) ersetzend gescannt werden, so sind die Forderungen der GoBD zu erfüllen. Für alle anderen Dokumententypen und Anwendungsfälle ist jedoch TR-RESISCAN für ersetzendes Scannen der Maßstab. Als Faustregel gilt: Ein TR-RESISCAN konformer Scanprozess ist auch GoBD konform.
Zertifizierung TR-RESISCAN: Wenn ein Prozess zum ersetzenden Scannen auf Basis von TR-RESISCAN aufgesetzt wird, stellt sich früher oder später die Frage, wie dieser Prozess zu bewerten ist. Dazu bedarf es fachkundiger Dritter, die eine Konformitätsfeststellung treffen. Eine Konformitätsprüfung kann durch das BSI erfolgen. Basis ist die Anlage P der TR-RESISCAN (www.bsi.bund.de). Alternativ bietet der VOI CERT, die Zertifizierungsstelle der Verbandes VOI e.V., eine „TR-RESISCAN ready“ Prüfung an. Basis für diese Konformitätsprüfung sind Prüfkriterien, die der Anlage P entsprechen, wobei aber einige Prüfpunkte der Anlage P reduziert werden. So entfällt z.B. die Pflicht zur Erfüllung von BSI IT-Grundschutzbausteinen.
Welche Scan-/Digitalisierungsstrategie ist für Sie die richtige?
Ob Industrieunternehmen, öffentliche Einrichtungen, KMUs oder sonstige Organisationen, im oder über das Netzwerk des VOI finden Sie einen passenden Partner - Sprechen Sie uns an!
Axel Janhoff
Janhoff IT-Consulting
Mitglied des Vorstandes im VOI
VOI Certified Expert (VCE)
Secure Communications &
Long-term Archiving
Zertifikat Nummer: Z223208
Für weitere Informationen wenden Sie sich bitte an die Geschäftsstelle des VOI, die Ihnen gerne einen Kontakt zum VOI-CERT vermittelt.:
VOI – Verband Organisations- und Informationssysteme e. V.
Peter J. Schmerler, Anke Läßig
Heilsbachstr. 25, D-53123 Bonn
Telefon: +49 228 90820-89
Telefax: +49 228 90820-91
E-Mail: voi@voi.de