View
123
Download
0
Embed Size (px)
DESCRIPTION
Seit Jahren sprechen wir vom „papierlosen“ Büro – die Realität ist allerdings nach wie vor weit davon entfernt. Woran liegt das? Antwort: An der Unsicherheit aufgrund der unterschiedlichen und teilweise abstrakten rechtlichen Anforderungen einerseits sowie vielfältiger technischer Umsetzungsmöglichkeiten andererseits. Referent: Olaf Rohstock, Direktor, Governikus GmbH & Co. KG Weitere Information finden Sie unter http://ecm-navigator.de/termine/tr-resiscan-und-dann-0
Citation preview
Olaf Rohsotck 09. Oktober
TR-RESISCAN – und dann?
15.10.2014 Seite 1 BITKOM-FORUM / DMS-Expo
15.10.2014 Seite 2 Governikus LZA
Agenda
Wer ist die Governikus KG
Dokumentenlebenszyklus und Umwelteinflüsse
TR-03138 RESISCAN des BSI
TR-03125 ESOR des BSI
Governikus LZA
15.10.2014 Seite 3
• 1999 als bremen online services gegründet
• Public Private Partnership
• Freie Hansestadt Bremen: 55,1%
• Telekom Deutschland GmbH: 15%
• Die Sparkasse Bremen: 15%
• Brekom GmbH (EWE): 14,9%
• Rechtsform: GmbH & Co. KG
• Geschäftsführer: Dr. Stephan Klein
• Aufsichtsratsvorsitzender: Dr. Martin Hagen
• ca. 100 Beschäftigte
• 2014 Fusion mit Vertriebstochter und Umbenennung in Governikus KG
Daten und Fakten
Governikus LZA
15.10.2014
Unsere Kernkompetenzen
• Entwicklung von Standard-
und Individualsoftware
• Projektberatung für Kunden und Partner
• Betrieb und Wartung von Servern
• Schulungen für Betreiber,
Entwickler und Anwender
• IT-Support: Unterstützung für
Betreiber und Anwender
Leistungen
Governikus LZA Seite 4
Governikus-Portfolio
Secure
Identitiy
Suite
Authentisierung • nPa
• Zertifikate
Secure
Communication
Suite
Datentransport • OSCI/EGVP
• De-Mail
Secure
Data
Suite
Beweiswerte • Kryptografie
• Signatur
• TR-ESOR
• (TR-RESISCAN)
Zyklus der elektronischen Kommunikation
15.10.2014
Unsere Lösungskompetenzen
Governikus LZA Seite 5
• Individuell lassen sich
unsere
Lösungskomponenten je
nach Bedarf
zusammenstellen
• ›Fertige‹ Produkte für
unterschiedliche
Einsatzszenarien, die
ständig weiterentwickelt
werden: evaluiert und
zertifiziert (Common
Criteria, SigG-bestätigt,
TR-ESOR-zertifiziert,
Common PKI …)
• Governikus: Anwendung
des IT-Planungsrates
• Basis unserer
Entwicklung: nationale und
internationale (EU)
Gesetzeslagen und
Standards
15.10.2014 Seite 6
Umwelt
Governikus LZA
15.10.2014 Seite 7
Herausforderungen elektronischer Dokumente und Daten
Gesetzliche Anforderungen an Aufbewahrungsfristen Gesetzliche Anforderungen an Aufbewahrungsfristen
Sicherstellung Beweiswert Sicherstellung Beweiswert
Sichere Speicherung und Datenhaltung Sichere Speicherung und Datenhaltung
Zurückgehende Lebenszyklen von IT-Anwendungen Zurückgehende Lebenszyklen von IT-Anwendungen
Minimierung Kosten und Ressourceneinsatz Minimierung Kosten und Ressourceneinsatz
Wirtschaftlichkeit
Governikus LZA
15.10.2014 Seite 8
Zentrale Datenhaltung vs. Beweismittel
Governikus LZA
15.10.2014 Governikus LZA Seite 9
Papier entsorgen?
15.10.2014 Governikus LZA Seite 10
Umwelteinflüsse auf den Dokumentenlebenszyklus
§
§
Rechtliche
Anforderungen
AO, BDSG, BetrVG, BGB, HGB, GDPdU,
SigG, SigV, ZPO, Bundes- und
Landesarchivgesetze, etc.
Rechtliche
Anforderungen
AO, BDSG, BetrVG, BGB, HGB, GDPdU,
SigG, SigV, ZPO, Bundes- und
Landesarchivgesetze, etc.
EGovG | Europa 2020
eAkte
EIDAS – Verordnung, Vertrauensdienste Langzeitaufbewahrung
EGovG | Europa 2020
eAkte
EIDAS – Verordnung, Vertrauensdienste Langzeitaufbewahrung
Empfehlungen
z. B. Prüfleitfäden
Empfehlungen
z. B. Prüfleitfäden
DIN Standards
Compliance
DIN Standards
Compliance
P23R
Langzeitaufbewahrung von Benachrichtigungen
Protokolleinträgen
P23R
Langzeitaufbewahrung von Benachrichtigungen
Protokolleinträgen
15.10.2014
TR-RESISCAN – ersetzendes Scannen
Governikus LZA Seite 11
Gegenstand der TR-RESISCAN
Prozesshandbuch für Verwaltungen und Unternehmen
Governikus LZA 15.10.2014 Seite 12
Dokumenten-vorbereitung Dokumenten-vorbereitung
Eingang eines Dokuments
Scannen Scannen Nachver-arbeitung Nachver-arbeitung
Integritäts-sicherung Integritäts-sicherung
Beweiswert -erhaltende
Aufbewahrung
Integritäts-sicherung
15.10.2014
Rechtssicher gescannt – und dann?
Governikus LZA Seite 13
Anforderungen
15.10.2014
• Authentizität (Echtheit)
• Integrität (Unveränderlichkeit)
• Verlässlichkeit
• Verkehrsfähigkeit
• Lesbarkeit
Beweiswerterhaltung
• aus Bearbeitungssystemen
(ERP, CRM, Fachverfahren, CAD etc.)
• aus ECM/DMS
• aus Kommunikationssystemen
(E-Mail, De-Mail, OSCI etc.)
• gescannte Unterlagen
Relevant für ALLE
elektronischen Daten
Governikus LZA Seite 14
Nachweise = Zertifikate = Beweis!
… verlieren:
15.10.2014
• Zertifikate laufen aus, sind
nicht mehr prüfbar
• Algorithmen werden unsicher
(z.B. SHA-1)
• Eine 50 Jahre alte Signatur ist
ALLEINE nicht mehr beweiskräftig
ABER, Beweiswerte …
• Nachvollziehbarkeit von früheren
Signaturprüfungen ermöglichen
• Detaillierte Prüfergebnisse aufbewahren
(Antworten der Trustcenter)
• Prüfergebnisse müssen ggf.
übersigniert werden
• Nachweis, dass früher mal eine
(positive) Prüfung stattgefunden hat
• Dokumente neu signieren
• Signaturen prüfen, solange sie noch
prüfbar sind
• Daten übersignieren (stärker), deren
Signatur bald nicht mehr sicher ist
• Neusignierung nach § 17 SigV
… erhalten:
Governikus LZA Seite 15
15.10.2014 Seite 16
… denn die Folgen sind
• Verfahrens- und Systemgebundenheit
• Mehrfachaufwände zur Sicherstellung der Anforderungen an Langzeitspeicherung
• Keine Standardisierung, sprich keine Prozessintegrationsmöglichkeit
Verfahrensspezifische Langzeitspeicherung ist KEINE Lösung …
Governikus LZA
Scan Scan Fachverfahren Fachverfahren Mail Mail
15.10.2014 Seite 17
Lösungsansatz Standardisierung
Governikus LZA
• ArchiSig (langfristiger Erhalt der Beweiskraft
elektronisch signierter Dokumente)
• ArchiSafe (Spezifikation einer Archiv-Middleware)
• DIN Normen
• 31644 (Kriterien für vertrauenswürdige
elektronische Langzeitspeicherung)
• 31645 (Leitfaden zur Informations-
übernahme in elektronische Langzeitarchive)
• RFC 4998 der IETF (Internet Task Force)
• Referenzmodell OAIS (Open Archival Information
System)
• etc.
TR-03125 alias
TR-ESOR
TR-03125 alias
TR-ESOR
15.10.2014
Governikus LZA
Governikus LZA Seite 18
TR-M2
TR-M3 TR-M1
15.10.2014 Seite 19
Funktionen Governikus LZA
Governikus LZA
• Evidence Records nach RFC-4998 gemäß ArchiSafe und TR-03125
• Umfangreiche Volltextsuche über Metadaten und Archivobjekte
• Anzeige mit Trusted Viewer
• Automatisierte Signaturerstellung und –prüfung
• Bedienerloses Nachsignieren nach ArchiSig
• Verwaltung von Aufbewahrungsfristen und sicheres Löschen
• Redundante Beweiswerterhaltung durch mehrere Hash-Algorithmen
• Client zur Suche und Upload
15.10.2014 Seite 20
Ihre Vorteile
Governikus LZA
• Compliance-Readyness
• Senkung von Haftungsrisiken
• Internationale Akzeptanz der Beweiswerte
• Höchste Gerichtsverwertbarkeit elektronischer Dokumente
• Format- und lösungsneutrale Beweisführung am Dokument
• Parallel für verschiedene Applikationen nutzbar
• Anwenderfreundlich – ohne Signaturhandling
• Leichte Implementierung auf SOA-Basis
• Hoher Investitionsschutz dank offener Standards
• Anbindung an alle führenden ECM- und Storagesysteme
• Cloud-fähig durch sichere Datenverschlüsselung nach AES 256-bit
• Als lokale Instanz, SaaS und Appliance verfügbar
15.10.2014 Seite 21
Integration
Governikus LZA
ECM / DMS
Unternehmens-software
(ERP, CRM etc.)
Unternehmens-software
(ERP, CRM etc.)
Kommunikation
(E-Mail, De-Mail, OSCI etc.)
Kommunikation
(E-Mail, De-Mail, OSCI etc.)
Scanner Scanner Datenbanken Datenbanken
Storage
SAP SAP Ceyoniq Ceyoniq SER SER d.velop d.velop MS Sharepoint MS Sharepoint OS OS Standardisiertes,
selbsttragendes Archivpaket
Metadaten + Inhalt + Beweisdaten
Exportmöglichkeit §§
etc. etc.
15.10.2014 Seite 22
Beweiswerterhalt
Governikus LZA
TR-ESOR TR-ESOR
Archi-Sig-konform Archi-Sig-konform
revisionssicher revisionssicher
Datei & ›Drucker‹ Datei & ›Drucker‹
2008 — 2011
2001 — 2007
1992 — 1996
1941 — 1980
Vielen Dank für Ihre Aufmerksamkeit
15.10.2014 Seite 23 BITKOM Forum
Olaf Rohstock
Tel.: +49 421 204 95-965
Governikus GmbH & Co. KG
www.governikus.com
Am Fallturm 9
28359 Bremen
Tel.: +49 421 204 95 -0
Friedrichstraße 88
10117 Berlin
Tel.: +49 30 408 17 33 -10