Mobil Scannen nach Resiscan
23. Mai 2019 08:40 Uhr | Dr. Ulrich Kampffmeyer | Permalink
Alles wird einfacher mit der aktuellen Version der TR 03138 Resiscan, wenn man elektronische Signaturen und die TR-ESOR einfach ignoriert. So kann man dann auch mobil Dokumente scannen und für die Archivierung bereitstellen. Hierfür erhielt die App trebono der 2KS Cloud nun eine BSI-Zertifizierung. „Der Scanprozess trebono Cloud Services bietet seinen Nutzern das zertifizierte Verfahren für das ersetzende Scannen an. Ein eingescannter Beleg wird in der App mit einer Prüfsumme versehen und an die Cloud geschickt. In einem vorher auswählbaren Prozess kann der Beleg zur Integritätssicherung elektronisch signiert werden. Das erhöht den Schutz zusätzlich. Bei beiden Methoden wird der Beleg anhand der Prüfsumme auf Veränderungen überprüft und erst danach der Archivierung und Weiterverarbeitung zugeführt.„
Das Verfahren ist denkbar einfach. Es wird eine Prüfsumme über das erfasste Objekt gebildet und drangehängt. Bei Informationsobjekten, die einen Header und Trailer haben, ist ein solches Verfahren mit Zeitstempeln und Prüfsummen seit Jahrzehnten üblich. Bisher hatte das BSI Bundesamt für Sicherheit in der Informationstechnologie nur lokale Verfahren, wo ein Scanner direkt in ein System eingebunden ist, zertifiziert. Die Nutzung eines PCs war in den Zeiten vor eIDAS auch notwendig um z.B. mit einer kartenbasierten qualifizierten elektronischen Signatur die Dokumente „rechtssicher“ oder später abgeschwächter „beweissicher“ zu machen. Mit dem Verfahren für Apps steht nunmehr auch der Speicherung über und in der Cloud nichts mehr im Weg. Mit dem Free Flow of Data kann dies in allen Staaten der EU gemacht werden.
Leider wird in der Pressemitteilung wieder der Begriff „rechtssicher“ und „Rechtssicherheit“ benutzt. Diese war und ist nicht gegeben, da sich auch Gesetze jederzeit – und sogar rückwirkend – ändern können. Auch wird hier weiterhin der Mythos befördert, man brauche bei kaufmännischen Belegen beim Scannen eine Signatur, damit man das Papier vernichten (oder unterwegs erst gar nicht mitnehmen) muss. Das ist nicht richtig, denn die GoBD sagen ausdrücklich, dass beim Scannen keine Signatur erforderlich ist – es sei denn, andere Gesetze oder Verordnungen erfordern dies (und damit sind wir dann wie beim EGovG oder bei der SRVwV). Wenn meine Prozesse sicher und nachvollziehbar sind, kann man auf Mechanismen wie das Signieren beim Scannen komplett verzichten.
Positiv ist aber zu vermerken, dass man die Resiscan auch ohne das Nachsignieren mittels TR-03125 einsetzen kann. Das Arbeiten mit Prüfsummen und Zeitstempeln in Verbindung mit einem abgesicherten Audit-Trail (das fehlt allerdings noch beim dezentralen Einsatz über Apps und der Cloud) ist sinnvoll und ermöglicht revisionssichere Lösungen. Da das Verfahren mit einer einfachen Prüfsumme so herrlich einfach ist, werden auch andere Anbieter schnell nachziehen.
Ihr Artikel "Mobil Scannen nach Resiscan" vom 23.5.19
Vielen Dank für Ihren Kommentar in Bezug auf unsere BSI-Zertifizierung.
https://www.project-consult.de/news/2019/mobil-scannen-nach-resiscan
Erlauben sie mir an dieser Stelle eine kurze Anmerkung zu ihrem Statement:
‚Positiv ist aber zu vermerken, dass man die Resiscan auch ohne das Nachsignieren mittels TR-03125 einsetzen kann. Das Arbeiten mit Prüfsummen und Zeitstempeln in Verbindung mit einem abgesicherten Audit-Trail (das fehlt allerdings noch beim dezentralen Einsatz über Apps und der Cloud) ist sinnvoll und ermöglicht revisionssichere Lösungen. Da das Verfahren mit einer einfachen Prüfsumme so herrlich einfach ist, werden auch andere Anbieter schnell nachziehen.‘
trebono hat einen Audit Trail von der Sekunde der Erstellung bis zur Löschung (nach 12 Jahren). Alle Informationen wie z.B. Wer hat sich was angeschaut, wer hat wann welche Meta-Daten verändert oder hinzugefügt, etc. werden durch einen Logging Mechanismus protokolliert.
Jörg Klingler
Vorsitzender der Geschäftsführung /
Geschäftsführender Gesellschafter
2KS Cloud Services GmbH
Zeitstempel, Prüfsummen & Blockchain-Mechanismen
Der zitierte Absatz zielt auf zwei Dinge: a) dass man durchaus ohne qualifizierte Signaturen beim Scannen ResiScan-konform erfassen kann, und b) auf „das Arbeiten mit Prüfsummen und Zeitstempeln in Verbindung mit einem abgesicherten Audit-Trail“. Wie sieht es denn damit aus?
Wie in meiner Antwort…
Wie in meiner Antwort erwähnt, es gibt einen sicheren Audit-Trail. Er liegt in einer eigenen Umgebung und ist nicht löschbar. Sollten Sie noch weitere Informationen benötigen, können Sie mich gerne jederzeit direkt kontaktieren.