Bundesamt für Sicherheit in der Informationstechnik

Vertrauenswürdige Digitalisierung mit Brief und Siegel

Neue Versionen der BSI-Richtlinien für das "Ersetzende Scannen" (RESISCAN) und die "Beweiswerterhaltung kryptographisch signierter Dokumente" (TR-ESOR) veröffentlicht

Datum 14.08.2018

Im Rahmen der Digitalisierungsstrategie der neuen Bundesregierung spielt die elektronische Vorgangsbearbeitung in der öffentlichen Verwaltung (E-Akte) eine wichtige Rolle. Bereits seit 2013 sieht das E-Government-Gesetz des Bundes die "Elektronische Aktenführung" (§ 6 EGovG) und das "Übertragen und Vernichten des Papieroriginals" (§ 7 EGovG) vor, wobei die eingesetzten Systeme und Prozesse durch geeignete Maßnahmen nach dem Stand der Technik geschützt werden müssen. Die erforderlichen und empfohlenen Maßnahmen sind in den einschlägigen Richtlinien des BSI, wie zum Beispiel der BSI TR-03125 (TR-ESOR, "Beweiswerterhaltung kryptographisch signierter Dokumente") und der BSI TR-03138 (TR-RESISCAN, "Ersetzendes Scannen") enthalten. Diese beiden Richtlinien wurden kürzlich aktualisiert und unter anderem an die rechtlichen Rahmenbedingungen der europaweit gültigen eIDAS-Verordnung (EU) Nr. 910/2014 und der Datenschutzgrundverordnung (DSGVO) (EU) Nr. 2016/679 angepasst.

Sowohl für das ersetzende Scannen gemäß Version 1.2 der BSI TR-03138 (RESISCAN) als auch für die Beweiswerterhaltung signierter Dokumente gemäß Version 1.2.1 der BSI TR-03125 (TR-ESOR) ergeben sich dadurch organisatorische Erleichterungen. Beispielsweise können im Scanprozess und im Rahmen der Beweiswerterhaltung für die Integritätssicherung statt personenbezogenen Signaturen nun auch elektronische Siegel eingesetzt werden, die einer juristischen Person zugeordnet sind. Diese neuen Möglichkeiten wurden im Rahmen der TR RESISCAN bereits von ersten Anwendern in der Bundesverwaltung für die vertrauenswürdige Digitalisierung genutzt.

Die aktuelle Version 1.2 der BSI TR-03138 "Ersetzendes Scannen" (RESISCAN) ist unter https://resiscan.de verfügbar und umfasst neben dem Hauptdokument mit dem modularen Anforderungskatalog die Anlage P - Prüfspezifikation. Daneben gibt es folgende informative Anwendungshinweise:

  • Ergebnis der Risikoanalyse (Anwendungshinweis A),
  • Antworten auf häufig gestellte Fragen (Anwendungshinweis F),
  • unverbindliche rechtliche Hinweise zur Anwendung der TR-RESISCAN (Anwendungshinweis R) und
  • eine exemplarische Verfahrensanweisung (Anwendungshinweis V).

Die aktuelle Version 1.2.1 der BSI TR-03125 "Beweiswerterhaltung kryptographisch signierter Dokumente" (TR-ESOR) ist unter https://tr-esor.de verfügbar. Thematisch umfasst die BSI TR-03125 Empfehlungen zu einer Referenzarchitektur samt ihrer Prozesse, Module und Schnittstellen als Konzept einer Middleware, Anforderungen für Daten-, Dokumenten- und Austauschformate für Signaturprüfberichte, Archivdatenobjekte und Beweisdaten sowie zusätzliche Anforderungen für Bundesbehörden und Konformitätsregeln für verschiedene Konformitätsstufen. Weitergehende technische Ausführungen befinden sich in den folgenden Anlagen:

  • BSI TR-03125 Anlage M.2: Krypto Modul
  • BSI TR-03125 Anlage M.3: ArchiSig Modul
  • BSI TR-03125 Anlage E: Konkretisierung der Schnittstellen auf Basis des eCard-API-Frameworks
  • BSI TR-03125 Anlage ERS: Profilierung der Evidence Records gemäß RFC4998 und RFC6283