![Page 1: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/1.jpg)
TR-RESISCAN – und dann? BITKOM Forum
Marc Horstmann + Olaf Rohstock
März 2014
![Page 2: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/2.jpg)
Agenda
• Wer ist die Governikus KG
• Dokumentenlebenszyklus und Umwelteinflüsse
• TR-03138 RESISCAN des BSI
• TR-03125 ESOR des BSI
• Governikus LZA
![Page 3: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/3.jpg)
Daten und Fakten
• 1999 als bremen online services gegründet
• Public Private Partnership
• Freie Hansestadt Bremen: 55,1%
• Telekom Deutschland GmbH: 15%
• Die Sparkasse Bremen: 15%
• Brekom GmbH (EWE): 14,9%
• Rechtsform: GmbH & Co. KG
• Geschäftsführer: Dr. Stephan Klein
• Aufsichtsratsvorsitzender: Dr. Martin Hagen
• ca. 100 Beschäftigte
• 2014 Fusion mit Vertriebstochter und Umbenennung in Governikus KG
3
![Page 4: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/4.jpg)
Unsere Kernkompetenzen
Governikus LZA 4
Leistungen:
• Entwicklung von Standard- und Individualsoftware
• Projektberatung für Kunden und Partner
• Betrieb und Wartung von Servern
• Schulungen für Betreiber, Entwickler und Anwender
• IT-Support: Unterstützung für Betreiber und Anwender
![Page 5: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/5.jpg)
Unsere Lösungskomponenten
5
• Individuell lassen sich unsere
Lösungskomponenten je nach Bedarf
zusammenstellen
• „Fertige“ Produkte für unterschiedliche
Einsatzszenarien, die ständig weiterentwickelt
werden: evaluiert und zertifiziert (Common
Criteria, SigG-bestätigt, TR-ESOR-zertifiziert,
Common PKI …)
• Governikus: Anwendung des IT-Planungsrates
• Basis unserer Entwicklung: nationale und
internationale (EU) Gesetzeslagen und
Standards
Governikus LZA
![Page 6: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/6.jpg)
Umwelt
A
![Page 7: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/7.jpg)
Herausforderungen elektronischer Dokumente und Daten
Governikus LZA 7
Gesetzliche Anforderungen an Aufbewahrungsfristen
Sicherstellung Beweiswert
Sichere Speicherung und Datenhaltung
Zurückgehende Lebenszyklen von IT-Anwendungen
Minimierung Kosten und Ressourceneinsatz
Wirtschaftlichkeit
![Page 8: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/8.jpg)
Zentrale Datenhaltung vs. Beweismittel
![Page 9: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/9.jpg)
Papier entsorgen?
![Page 10: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/10.jpg)
Umwelteinflüsse auf den Dokumentenlebenszyklus
Governikus LZA 10
Rechtliche Anforderungen AO, BDSG, BetrVG, BGB, HGB, GDPdU, SigG, SigV,
ZPO, Bundes- und Landesarchivgesetze, etc.
EGovG | Europa 2020
eAkte,
Vertrauensdienste Langzeitaufbewahrung
P23R
Langzeitaufbewahrung von Benachrichtigungen,
Protokolleinträgen
Empfehlungen
z. B. Prüfleitfäden
DIN Standards
Compliance
![Page 11: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/11.jpg)
TR-RESISCAN – ersetzendes Scannen
![Page 12: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/12.jpg)
Prozesshandbuch für Verwaltungen und Unternehmen
Dokumenten-
vorbereitung
Nachver-
arbeitung
Integritäts-
sicherung
Eingang eines
Dokumentes
Beweiswert
-erhaltende
Aufbewahrung
Scannen
Gegenstand der TR-RESISCAN
![Page 13: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/13.jpg)
Rechtssicher gescannt – und dann?
![Page 14: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/14.jpg)
Anforderungen
• Authentizität (Echtheit)
• Integrität (Unveränderlichkeit)
• Verlässlichkeit
• Verkehrsfähigkeit
• Lesbarkeit
Relevant für ALLE elektronischen Daten
• aus Bearbeitungssystemen (ERP, CRM, Fachverfahren, CAD etc.)
• aus ECM/DMS
• aus Kommunikationssystemen (E-Mail, De-Mail, OSCI etc.)
• gescannte Unterlagen
Beweiswerterhaltung
Nachweise = Zertifikate = Beweis!
![Page 15: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/15.jpg)
ABER, Beweiswerte …
… verlieren:
• Zertifikate laufen aus, sind nicht
mehr prüfbar
• Algorithmen werden unsicher
(z.B. SHA-1)
• Eine 50 Jahre alte Signatur ist
ALLEINE nicht mehr beweiskräftig
… erhalten:
• Nachvollziehbarkeit von früheren Signaturprüfungen
ermöglichen
• Detaillierte Prüfergebnisse aufbewahren
(Antworten der Trustcenter)
• Prüfergebnisse müssen ggf. übersigniert werden
• Nachweis, dass früher mal eine (positive) Prüfung
stattgefunden hat
• Dokumente neu signieren
• Signaturen prüfen, solange sie noch prüfbar sind
• Daten übersignieren (stärker), deren Signatur bald nicht
mehr sicher ist
• Neusignierung nach § 17 SigV
![Page 16: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/16.jpg)
Verfahrensspezifische Langzeitspeicherung ist KEINE
Lösung …
Governikus LZA 16
DMS Fachverfahren Mail
… denn die Folgen sind:
• Verfahrens- und Systemgebundenheit
• Mehrfachaufwände zur Sicherstellung der Anforderungen an Langzeitspeicherung
• Keine Standardisierung, sprich keine Prozessintegrationsmöglichkeit
![Page 17: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/17.jpg)
17
• ArchiSig (langfristiger Erhalt der Beweiskraft elektronisch
signierter Dokumente)
• ArchiSafe (Spezifikation einer Archiv-Middleware)
• DIN Normen
• 31644 (Kriterien für vertrauenswürdige elektronische
Langzeitspeicherung)
• 31645 (Leitfaden zur Informationsübernahme in elektronische
Langzeitarchive)
• RFC 4998 der IETF (Internet Task Force)
• Referenzmodell OAIS (Open Archival Information System)
• etc.
Lösungsansatz Standardisierung
TR-03125
alias
TR-ESOR
![Page 18: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/18.jpg)
Governikus LZA
18
![Page 19: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/19.jpg)
Funktionen Governikus LZA
• Evidence Records nach RFC-4998 gemäß ArchiSafe und TR-03125
• Umfangreiche Volltextsuche über Metadaten und Archivobjekte
• Anzeige mit Trusted Viewer
• Automatisierte Signaturerstellung und –prüfung
• Bedienerloses Nachsignieren nach ArchiSig
• Verwaltung von Aufbewahrungsfristen und sicheres Löschen
• Redundante Beweiswerterhaltung durch mehrere Hash-Algorithmen
• Client zur Suche und Upload
![Page 20: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/20.jpg)
Ihre Vorteile
• Compliance-Readyness
• Senkung von Haftungsrisiken
• Internationale Akzeptanz der Beweiswerte
• Höchste Gerichtsverwertbarkeit elektronischer Dokumente
• Format- und lösungsneutrale Beweisführung am Dokument
• Parallel für verschiedene Applikationen nutzbar
• Anwenderfreundlich – ohne Signaturhandling
• Leichte Implementierung auf SOA-Basis
• Hoher Investitionsschutz dank offener Standards
• Anbindung an alle führenden ECM- und Storagesysteme
• Cloud-fähig durch sichere Datenverschlüsselung nach AES 256-bit
• Als lokale Instanz, SaaS und Appliance verfügbar
Governikus LZA 20
![Page 21: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/21.jpg)
ECM / DMS
Integration
Governikus LZA 21
Governikus LZA
Unternehmens-software
(ERP, CRM etc.)
Ko mmunikation
(E-Mail, De-Mail, OSCI etc.)
Scanner Datenbanken
Storage
Exportmöglichkeit §§
Standardisiertes, selbsttragendes Archivpaket
(Metadaten + Inhalt + Beweisdaten)
SAP MS Sharepoint d.velop SER Ceyoniq etc.
![Page 22: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/22.jpg)
TR-ESOR
Beweiswerterhalt
Archi-Sig- konform
revisionssicher
Datei & „Drucker“
1941 / 1980
1992 / 1996
2001 / 2007
2008 / 2011
![Page 23: TR-RESISCAN und dann? | ECM-Forum auf der CeBIT 2014](https://reader034.vdokument.com/reader034/viewer/2022052504/54789628b4af9fb9158b4597/html5/thumbnails/23.jpg)
Governikus GmbH & Co. KG
www.governikus.com | [email protected]
Am Fallturm 9 Friedrichstraße 88
28359 Bremen 10117 Berlin
Tel.: +49 421 204 95 -0 Tel.: +49 30 408 17 33 -10
Marc Horstmann – Prokurist
Tel.: +49 421 204 95-38
Olaf Rohstock – Direktor
Tel.: +49 421 204 95-965
Vielen Dank für
Ihre
Aufmerksamkeit!
23