SRZ erhält TR-RESISCAN-Zertifikat

Anlässlich der CeBIT hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) dem Scan-Dienstleister SRZ die TR-RESISCAN-Zertifizierungsurkunde überreicht. Das BSI bescheinigt SRZ damit, Dokumente beweiswertsichernd zu digitalisieren.

Im Vorfeld auditierte das Berliner Ingenieurbüro Göbel eine vom SRZ Berlin konzipierte Scanstrecke zum Digitalisieren von Dokumenten nach TR-RESISCAN. Geprüft wurde entsprechend den strengen Richtlinien des BSI unter dem Titel: »Ersetzendes Scannen nach TR RESISCAN als Dienstleistungs-Anwendung auf der Grundlage des Capturing-Systems CROSSCAP Enterprise beim SRZ Berlin«.

»Bei der auditierten Konfiguration handelt es sich um eine exemplarische Beispiel-Anwendung, die in dieser Form als Grundlage für vielfältige Einsatzszenarien in Unternehmen, Verwaltungen und Behörden dienen kann«, erklärt Hans-Joachim Hübner, Leiter Vertrieb und Systemintegration beim SRZ. Bestandteile der zertifizierten Dienstleistungs-Anwendung sind die Eingangsregistrierung, die Vorbereitung der Dokumente mit Ausdruck eines Stapeldeckblattes, Scannen mit Hochleistungsscannern von InoTec, sowie Indexierungs-, Qualitätssicherungs- und Signatur-Arbeitsplatz. Die Räumlichkeiten verfügen über eine Zutrittskontrolle, und die Computersysteme sind mit Sicherheitsmechanismen gegen unberechtigte Fremdzugriffe geschützt.

Erfassungssoftware Crosscap bildet die Basis

Das Herzstück der Scanstrecke bildet die vom SRZ eigenentwickelte Capturing Software »CROSSCAP«. In der speziell für den TR-RESISCAN-Einsatz modifizierten Variante unterstützt die Software lückenlos und transparent nachvollziehbar alle in der BSI-Richtlinie festgeschriebenen technischen und organisatorischen Maßnahmen zur beweiswerterhaltenden Digitalisierung.

Sobald der Scanner eine Digitalisierung durchführt, wird über das Bild sofort eine Checksumme (Hashwert) gebildet und zentral abgespeichert. Dieser Hashwert wird jedes Mal, wenn das Bild automatisch oder manuell bearbeitet wird, zunächst geprüft und nach dem Prozessschritt erneut gebildet und abgespeichert. Jedes Bild, jedes Dokument und jeder Stapel werden automatisch mit Global Unique IDs gekennzeichnet, die im Transferlog mit übergeben werden. Durch diese Protokollierung ist zu jedem Zeitpunkt für eine lückenlose Nachvollziehbarkeit aller durchgeführten Bearbeitungen gesorgt.

Der Crosscap Enterprise Server verfügt über eine konfigurierbare Nutzer- und Gruppenverwaltung. Damit ist sichergestellt, dass jeder Nutzer nur das zu sehen bekommt, was er laut Gruppenrolle darf. Ebenfalls eindeutig ist damit der Zugriff auf Projekte (Scan-Jobs) geregelt. Ein intuitiv zu bedienendes Menu für die Projekteinstellungen führt den Anwender durch die Konfiguration und gibt Warnungen aus, wenn etwas nicht logisch eingestellt wurde.

Jeder Anwendungsfall erfordert spezifische Schutzbedarfsanalyse

Crosscap TR-RESISCAN kann Anwender in unterschiedlichsten Arbeitsumgebungen dabei unterstützen, den Anforderungen der Richtlinie des BSI unter dem Motto ’sicher beweiswerterhaltend scannen‘ umfassend gerecht werden. Hübner weist jedoch darauf hin, dass in jedem einzelnen Anwendungsfall eine spezifische Schutzbedarfsanalyse durchgeführt und eine Verfahrensdokumentation angefertigt werden muss: »Das SRZ verfügt über langjährige Erfahrungen in diesem Umfeld und bietet Kunden kompetente Unterstützung bei der Durchführung dieser Aufgaben an.«

Die durch das BSI zertifizierte SRZ-Lösung ist bis zum Schutzbedarf ’sehr hoch‘ für Integrität, Vertraulichkeit und Verfügbarkeit auditiert. Die Schutzbedarfe können über CROSSCAP einfach konfiguriert und an die Schutzbedarfe des jeweiligen Einsatz-Scenarios angepasst werden. Verfügt der jeweilige Bediener über die Berechtigung, Änderungen an Konfigurationen der Projekte oder an Scaneinstellungen vorzunehmen, so wird jede Veränderung der Einstellung umgehend protokolliert.

Ab Schutzbedarf normal wird eine fortgeschrittene Signatur eingesetzt. Bei höheren Schutzbedarfen wird das 4-Augen-Prinzip durchgesetzt und eine qualifizierte elektronische Signatur vergeben. Hat jemand einen Stapel gescannt, so darf er ihn nicht auf Qualität und Übereinstimmung kontrollieren und signieren. Für den Fall, dass keine direkte Übergabe an ein TR-ESOR kompatibles Archiv bzw. ein revisionssicheres Dokumentenmanagementsystem erfolgt, kann für die Vorbereitung beweiswerterhaltender Archivierung die Vergabe eines Zeitstempels konfiguriert werden.

SRZ auf der CeBIT 2016:
Halle 3, Stand G30

About the Author: Annette Stadler

Annette Stadler ist IT-Journalistin und leitet das Online-Portal ECMGUIDE.