TR-RESISCAN – und dann? BITKOM Forum

Marc Horstmann + Olaf Rohstock

März 2014

Agenda

• Wer ist die Governikus KG

• Dokumentenlebenszyklus und Umwelteinflüsse

• TR-03138 RESISCAN des BSI

• TR-03125 ESOR des BSI

• Governikus LZA

Daten und Fakten

• 1999 als bremen online services gegründet

• Public Private Partnership

• Freie Hansestadt Bremen: 55,1%

• Telekom Deutschland GmbH: 15%

• Die Sparkasse Bremen: 15%

• Brekom GmbH (EWE): 14,9%

• Rechtsform: GmbH & Co. KG

• Geschäftsführer: Dr. Stephan Klein

• Aufsichtsratsvorsitzender: Dr. Martin Hagen

• ca. 100 Beschäftigte

• 2014 Fusion mit Vertriebstochter und Umbenennung in Governikus KG

3

Unsere Kernkompetenzen

Governikus LZA 4

Leistungen:

• Entwicklung von Standard- und Individualsoftware

• Projektberatung für Kunden und Partner

• Betrieb und Wartung von Servern

• Schulungen für Betreiber, Entwickler und Anwender

• IT-Support: Unterstützung für Betreiber und Anwender

Unsere Lösungskomponenten

5

• Individuell lassen sich unsere

Lösungskomponenten je nach Bedarf

zusammenstellen

• „Fertige“ Produkte für unterschiedliche

Einsatzszenarien, die ständig weiterentwickelt

werden: evaluiert und zertifiziert (Common

Criteria, SigG-bestätigt, TR-ESOR-zertifiziert,

Common PKI …)

• Governikus: Anwendung des IT-Planungsrates

• Basis unserer Entwicklung: nationale und

internationale (EU) Gesetzeslagen und

Standards

Governikus LZA

Umwelt

A

Herausforderungen elektronischer Dokumente und Daten

Governikus LZA 7

Gesetzliche Anforderungen an Aufbewahrungsfristen

Sicherstellung Beweiswert

Sichere Speicherung und Datenhaltung

Zurückgehende Lebenszyklen von IT-Anwendungen

Minimierung Kosten und Ressourceneinsatz

Wirtschaftlichkeit

Zentrale Datenhaltung vs. Beweismittel

Papier entsorgen?

Umwelteinflüsse auf den Dokumentenlebenszyklus

Governikus LZA 10

Rechtliche Anforderungen AO, BDSG, BetrVG, BGB, HGB, GDPdU, SigG, SigV,

ZPO, Bundes- und Landesarchivgesetze, etc.

EGovG | Europa 2020

eAkte,

Vertrauensdienste Langzeitaufbewahrung

P23R

Langzeitaufbewahrung von Benachrichtigungen,

Protokolleinträgen

Empfehlungen

z. B. Prüfleitfäden

DIN Standards

Compliance

TR-RESISCAN – ersetzendes Scannen

Prozesshandbuch für Verwaltungen und Unternehmen

Dokumenten-

vorbereitung

Nachver-

arbeitung

Integritäts-

sicherung

Eingang eines

Dokumentes

Beweiswert

-erhaltende

Aufbewahrung

Scannen

Gegenstand der TR-RESISCAN

Rechtssicher gescannt – und dann?

Anforderungen

• Authentizität (Echtheit)

• Integrität (Unveränderlichkeit)

• Verlässlichkeit

• Verkehrsfähigkeit

• Lesbarkeit

Relevant für ALLE elektronischen Daten

• aus Bearbeitungssystemen (ERP, CRM, Fachverfahren, CAD etc.)

• aus ECM/DMS

• aus Kommunikationssystemen (E-Mail, De-Mail, OSCI etc.)

• gescannte Unterlagen

Beweiswerterhaltung

Nachweise = Zertifikate = Beweis!

ABER, Beweiswerte …

… verlieren:

• Zertifikate laufen aus, sind nicht

mehr prüfbar

• Algorithmen werden unsicher

(z.B. SHA-1)

• Eine 50 Jahre alte Signatur ist

ALLEINE nicht mehr beweiskräftig

… erhalten:

• Nachvollziehbarkeit von früheren Signaturprüfungen

ermöglichen

• Detaillierte Prüfergebnisse aufbewahren

(Antworten der Trustcenter)

• Prüfergebnisse müssen ggf. übersigniert werden

• Nachweis, dass früher mal eine (positive) Prüfung

stattgefunden hat

• Dokumente neu signieren

• Signaturen prüfen, solange sie noch prüfbar sind

• Daten übersignieren (stärker), deren Signatur bald nicht

mehr sicher ist

• Neusignierung nach § 17 SigV

Verfahrensspezifische Langzeitspeicherung ist KEINE

Lösung …

Governikus LZA 16

DMS Fachverfahren Mail

… denn die Folgen sind:

• Verfahrens- und Systemgebundenheit

• Mehrfachaufwände zur Sicherstellung der Anforderungen an Langzeitspeicherung

• Keine Standardisierung, sprich keine Prozessintegrationsmöglichkeit

17

• ArchiSig (langfristiger Erhalt der Beweiskraft elektronisch

signierter Dokumente)

• ArchiSafe (Spezifikation einer Archiv-Middleware)

• DIN Normen

• 31644 (Kriterien für vertrauenswürdige elektronische

Langzeitspeicherung)

• 31645 (Leitfaden zur Informationsübernahme in elektronische

Langzeitarchive)

• RFC 4998 der IETF (Internet Task Force)

• Referenzmodell OAIS (Open Archival Information System)

• etc.

Lösungsansatz Standardisierung

TR-03125

alias

TR-ESOR

Governikus LZA

18

Funktionen Governikus LZA

• Evidence Records nach RFC-4998 gemäß ArchiSafe und TR-03125

• Umfangreiche Volltextsuche über Metadaten und Archivobjekte

• Anzeige mit Trusted Viewer

• Automatisierte Signaturerstellung und –prüfung

• Bedienerloses Nachsignieren nach ArchiSig

• Verwaltung von Aufbewahrungsfristen und sicheres Löschen

• Redundante Beweiswerterhaltung durch mehrere Hash-Algorithmen

• Client zur Suche und Upload

Ihre Vorteile

• Compliance-Readyness

• Senkung von Haftungsrisiken

• Internationale Akzeptanz der Beweiswerte

• Höchste Gerichtsverwertbarkeit elektronischer Dokumente

• Format- und lösungsneutrale Beweisführung am Dokument

• Parallel für verschiedene Applikationen nutzbar

• Anwenderfreundlich – ohne Signaturhandling

• Leichte Implementierung auf SOA-Basis

• Hoher Investitionsschutz dank offener Standards

• Anbindung an alle führenden ECM- und Storagesysteme

• Cloud-fähig durch sichere Datenverschlüsselung nach AES 256-bit

• Als lokale Instanz, SaaS und Appliance verfügbar

Governikus LZA 20

ECM / DMS

Integration

Governikus LZA 21

Governikus LZA

Unternehmens-software

(ERP, CRM etc.)

Ko mmunikation

(E-Mail, De-Mail, OSCI etc.)

Scanner Datenbanken

Storage

Exportmöglichkeit §§

Standardisiertes, selbsttragendes Archivpaket

(Metadaten + Inhalt + Beweisdaten)

SAP MS Sharepoint d.velop SER Ceyoniq etc.

TR-ESOR

Beweiswerterhalt

Archi-Sig- konform

revisionssicher

Datei & „Drucker“

1941 / 1980

1992 / 1996

2001 / 2007

2008 / 2011

Governikus GmbH & Co. KG

www.governikus.com | kontakt@governikus.com

Am Fallturm 9 Friedrichstraße 88

28359 Bremen 10117 Berlin

Tel.: +49 421 204 95 -0 Tel.: +49 30 408 17 33 -10

Marc Horstmann – Prokurist

Tel.: +49 421 204 95-38

marc.horstmann@governikus.com

Olaf Rohstock – Direktor

Tel.: +49 421 204 95-965

olaf.rohstock@governikus.com

Vielen Dank für

Ihre

Aufmerksamkeit!

23