Post on 28-Nov-2014
description
TR-RESISCAN – und dann? BITKOM Forum
Marc Horstmann + Olaf Rohstock
März 2014
Agenda
• Wer ist die Governikus KG
• Dokumentenlebenszyklus und Umwelteinflüsse
• TR-03138 RESISCAN des BSI
• TR-03125 ESOR des BSI
• Governikus LZA
Daten und Fakten
• 1999 als bremen online services gegründet
• Public Private Partnership
• Freie Hansestadt Bremen: 55,1%
• Telekom Deutschland GmbH: 15%
• Die Sparkasse Bremen: 15%
• Brekom GmbH (EWE): 14,9%
• Rechtsform: GmbH & Co. KG
• Geschäftsführer: Dr. Stephan Klein
• Aufsichtsratsvorsitzender: Dr. Martin Hagen
• ca. 100 Beschäftigte
• 2014 Fusion mit Vertriebstochter und Umbenennung in Governikus KG
3
Unsere Kernkompetenzen
Governikus LZA 4
Leistungen:
• Entwicklung von Standard- und Individualsoftware
• Projektberatung für Kunden und Partner
• Betrieb und Wartung von Servern
• Schulungen für Betreiber, Entwickler und Anwender
• IT-Support: Unterstützung für Betreiber und Anwender
Unsere Lösungskomponenten
5
• Individuell lassen sich unsere
Lösungskomponenten je nach Bedarf
zusammenstellen
• „Fertige“ Produkte für unterschiedliche
Einsatzszenarien, die ständig weiterentwickelt
werden: evaluiert und zertifiziert (Common
Criteria, SigG-bestätigt, TR-ESOR-zertifiziert,
Common PKI …)
• Governikus: Anwendung des IT-Planungsrates
• Basis unserer Entwicklung: nationale und
internationale (EU) Gesetzeslagen und
Standards
Governikus LZA
Umwelt
A
Herausforderungen elektronischer Dokumente und Daten
Governikus LZA 7
Gesetzliche Anforderungen an Aufbewahrungsfristen
Sicherstellung Beweiswert
Sichere Speicherung und Datenhaltung
Zurückgehende Lebenszyklen von IT-Anwendungen
Minimierung Kosten und Ressourceneinsatz
Wirtschaftlichkeit
Zentrale Datenhaltung vs. Beweismittel
Papier entsorgen?
Umwelteinflüsse auf den Dokumentenlebenszyklus
Governikus LZA 10
Rechtliche Anforderungen AO, BDSG, BetrVG, BGB, HGB, GDPdU, SigG, SigV,
ZPO, Bundes- und Landesarchivgesetze, etc.
EGovG | Europa 2020
eAkte,
Vertrauensdienste Langzeitaufbewahrung
P23R
Langzeitaufbewahrung von Benachrichtigungen,
Protokolleinträgen
Empfehlungen
z. B. Prüfleitfäden
DIN Standards
Compliance
TR-RESISCAN – ersetzendes Scannen
Prozesshandbuch für Verwaltungen und Unternehmen
Dokumenten-
vorbereitung
Nachver-
arbeitung
Integritäts-
sicherung
Eingang eines
Dokumentes
Beweiswert
-erhaltende
Aufbewahrung
Scannen
Gegenstand der TR-RESISCAN
Rechtssicher gescannt – und dann?
Anforderungen
• Authentizität (Echtheit)
• Integrität (Unveränderlichkeit)
• Verlässlichkeit
• Verkehrsfähigkeit
• Lesbarkeit
Relevant für ALLE elektronischen Daten
• aus Bearbeitungssystemen (ERP, CRM, Fachverfahren, CAD etc.)
• aus ECM/DMS
• aus Kommunikationssystemen (E-Mail, De-Mail, OSCI etc.)
• gescannte Unterlagen
Beweiswerterhaltung
Nachweise = Zertifikate = Beweis!
ABER, Beweiswerte …
… verlieren:
• Zertifikate laufen aus, sind nicht
mehr prüfbar
• Algorithmen werden unsicher
(z.B. SHA-1)
• Eine 50 Jahre alte Signatur ist
ALLEINE nicht mehr beweiskräftig
… erhalten:
• Nachvollziehbarkeit von früheren Signaturprüfungen
ermöglichen
• Detaillierte Prüfergebnisse aufbewahren
(Antworten der Trustcenter)
• Prüfergebnisse müssen ggf. übersigniert werden
• Nachweis, dass früher mal eine (positive) Prüfung
stattgefunden hat
• Dokumente neu signieren
• Signaturen prüfen, solange sie noch prüfbar sind
• Daten übersignieren (stärker), deren Signatur bald nicht
mehr sicher ist
• Neusignierung nach § 17 SigV
Verfahrensspezifische Langzeitspeicherung ist KEINE
Lösung …
Governikus LZA 16
DMS Fachverfahren Mail
… denn die Folgen sind:
• Verfahrens- und Systemgebundenheit
• Mehrfachaufwände zur Sicherstellung der Anforderungen an Langzeitspeicherung
• Keine Standardisierung, sprich keine Prozessintegrationsmöglichkeit
17
• ArchiSig (langfristiger Erhalt der Beweiskraft elektronisch
signierter Dokumente)
• ArchiSafe (Spezifikation einer Archiv-Middleware)
• DIN Normen
• 31644 (Kriterien für vertrauenswürdige elektronische
Langzeitspeicherung)
• 31645 (Leitfaden zur Informationsübernahme in elektronische
Langzeitarchive)
• RFC 4998 der IETF (Internet Task Force)
• Referenzmodell OAIS (Open Archival Information System)
• etc.
Lösungsansatz Standardisierung
TR-03125
alias
TR-ESOR
Governikus LZA
18
Funktionen Governikus LZA
• Evidence Records nach RFC-4998 gemäß ArchiSafe und TR-03125
• Umfangreiche Volltextsuche über Metadaten und Archivobjekte
• Anzeige mit Trusted Viewer
• Automatisierte Signaturerstellung und –prüfung
• Bedienerloses Nachsignieren nach ArchiSig
• Verwaltung von Aufbewahrungsfristen und sicheres Löschen
• Redundante Beweiswerterhaltung durch mehrere Hash-Algorithmen
• Client zur Suche und Upload
Ihre Vorteile
• Compliance-Readyness
• Senkung von Haftungsrisiken
• Internationale Akzeptanz der Beweiswerte
• Höchste Gerichtsverwertbarkeit elektronischer Dokumente
• Format- und lösungsneutrale Beweisführung am Dokument
• Parallel für verschiedene Applikationen nutzbar
• Anwenderfreundlich – ohne Signaturhandling
• Leichte Implementierung auf SOA-Basis
• Hoher Investitionsschutz dank offener Standards
• Anbindung an alle führenden ECM- und Storagesysteme
• Cloud-fähig durch sichere Datenverschlüsselung nach AES 256-bit
• Als lokale Instanz, SaaS und Appliance verfügbar
Governikus LZA 20
ECM / DMS
Integration
Governikus LZA 21
Governikus LZA
Unternehmens-software
(ERP, CRM etc.)
Ko mmunikation
(E-Mail, De-Mail, OSCI etc.)
Scanner Datenbanken
Storage
Exportmöglichkeit §§
Standardisiertes, selbsttragendes Archivpaket
(Metadaten + Inhalt + Beweisdaten)
SAP MS Sharepoint d.velop SER Ceyoniq etc.
TR-ESOR
Beweiswerterhalt
Archi-Sig- konform
revisionssicher
Datei & „Drucker“
1941 / 1980
1992 / 1996
2001 / 2007
2008 / 2011
Governikus GmbH & Co. KG
www.governikus.com | kontakt@governikus.com
Am Fallturm 9 Friedrichstraße 88
28359 Bremen 10117 Berlin
Tel.: +49 421 204 95 -0 Tel.: +49 30 408 17 33 -10
Marc Horstmann – Prokurist
Tel.: +49 421 204 95-38
marc.horstmann@governikus.com
Olaf Rohstock – Direktor
Tel.: +49 421 204 95-965
olaf.rohstock@governikus.com
Vielen Dank für
Ihre
Aufmerksamkeit!
23