Page 72

BIT 02-2015

Geschäftsprozesse 72 | BIT 2–2015 TR-Resiscan etwas Geringeres als Hoch anzugeben? In der Praxis wird dann aus persönlicher Risikoabsicherung der Projektleitung alles „hoch“ oder „sehr hoch“ klassifiziert und wir haben komplett signaturbasierte Erfassungsstrecken und Archivsysteme, weil die Zigtausend installierten Systeme in Deutschland den Soll- oder sogar Muss-Anforderungen der Resiscan nicht mehr entsprechen würden. Die aber – siehe oben – keine erhöhte Rechtssicherheit für die Frage nach der zwingenden Anerkennung des Scans für das Original bringen. Verhältnis Zusatzkosten – Nutzen Kein uns bekannter DMS-Anwender bürdet sich heutzutage die Zusatzlast der qualifizierten elektronischen Signatur freiwillig auf, da den Zusatzkosten dieser Infrastruktur kein quantifizierbarer Nutzen gegenübersteht. Lediglich die dem SGB IV unterliegenden Institutionen, insbesondere Krankenkassen, müssen aus gesetzlichen, keinem Fachmann jedoch nachvollziehbaren Gründen, diese Zusatzkosten tragen. Zusatzkosten entstehen nicht nur durch die Einbindung der Signaturfunktion und des hohen personellen Aufwands des Signierens, sondern auch in der Verwaltung der Signatur - daten und insbesondere in der Fähigkeit bzw. Durchführung der Erneuerung von Signaturen, die gesetzlich gefordert ist. Es gäbe noch viele andere Aspekte zu beleuchten, die dem normalen Anwender entweder unverständlich sind oder die er gar nicht umsetzen kann, aber der Platz ist begrenzt, so dass bei weitem nicht alle kontroversen Punkte hier aufgelistet werden können. Aber zur Veranschaulichung, wo die Resi - scan meines Erachtens über ihr Ziel hinausschießt, hier ein Beispiel von sehr vielen: Der Anwender muss dokumentieren, wie er nach einem Besuch des Service-Technikers sicherstellt, dass dieser den Scan-Cache nicht manipuliert hat (Quelle: Hauptdokument, Fragen nach dem Scan-Cache beantworten müssen, wenn es nicht so traurig wäre. Es wäre in diesem Zusammenhang schön, wenn sich die DMS-Hersteller mal selbst Gedanken über diese Dinge machen würden, weil es ihr ureigener Markt ist, der hier gefährdet ist. In der Öffentlichkeit findet man aber eher Absichtserklärungen, die Resiscan zu unterstützen. Unter vier Augen erfährt man dann, dass man nicht aus öffent - lichen Vergabeverfahren fliegen möchte, was ich nachvollziehen kann. Wir als Berater profitieren ja ebenfalls eher von solchen erklärungsbedürftigen Themen und wir kennen die Stellen mit dünnem Eis, wo man nachbessern muss. Aber ich denke, es ist für die gesamte DMS-Branche nicht gut, wenn sich solche Rahmenbedingungen verfestigen. Es bremst die Projekte aus, es bringt keine erhöhte Rechtssicherheit, es ist eine deutsche Insellösung und es ist daher innovationsbremsend und bürokratiefördernd. Also genau das Gegenteil dessen, was Anbieter und Anwender moderner ECM-Lösungen wollen. Ich glaube, dass das BSI in einer exzellenten Position wäre, eine Organisationsrichtlinie (OR-Resiscan, sozusagen die Version 2.0 der TR-Resiscan) für die Bundesbehörden und als wertvoller Lesestoff für alle anderen zur Verfügung zu stellen, die einen Mehrwert für die Bundesbehörden schafft, ohne gleichzeitig einen aberwitzigen bürokratischen Aufwand zu erzeugen. Die derzeitige Version würde ich gerne als ersten Wurf verstehen, den man nun nochmal in der Branche diskutiert. Und wenn man alle beteiligten Fachleute dann aber auch an einen Tisch bringt, vielleicht haben dann demnächst Entscheider im öffentlichen Raum ein verständliches, widerspruchsfreies und von Signatur- und Kryptoballast befreites Dokument, mit dem sie ihre Scan-Prozesse gestalten können. Viele Abschnitte in der Resi - scan enthalten heute bereits wertvolle Hinweise, sie sind nur gut versteckt. (www.zoeller.de) „Ich glaube, dass das BSI in einer exzellenten Position wäre, eine Organisationsrichtlinie für die Bundesbehörden und als wertvoller Lesestoff für alle anderen zur Verfügung zu stellen.“ Kapitel A.O.3: Abnahme- und Freigabeverfahren für Hardware und Software). Scan-Cache? Wahrscheinlich wissen manche Gerätetechniker nicht, was das sein soll und wo der ist. Wie soll der normale Anwender den Scan- Cache ohne Mithilfe des Technikers (den er der Manipulation verdächtigt) prüfen? Und zwar jedes Mal, wenn der Techniker da war. Zugangskontrollen und Besucherregelungen Noch ein Beispiel: Gemäß Kapitel A.SC.2 (Zugangs- und Zugriffskontrollen für Scanner) muss es Zugangskontrollen und Besucherregelungen für Scan-Einrichtungen geben, um Manipulationen an der Scan-Hardware zu verhindern. Ist es wirklich ein realis - tisches Angriffsszenario, dass jemand, der ein Dokument manipulieren möchte, ausgerechnet den praktisch aussichtslosen Weg geht und an den technischen Innereien eines Scanners frickelt, statt das Dokument vor dem Scannen zu fälschen, was definitiv einfacher wäre. Aber jetzt steht das in einer Technischen Richtlinie des BSI, und alle stehen stramm und müssen dokumentieren, wie sie die Innereien eines Multifunktionsgerätes oder eines Scanners gegen Manipulation von außen schützen sollen, unter Einrichtung von Zugangskontrollen und Besucherregelungen. Wenn man solche Passagen liest, kann man nur resignieren. Hier wird jedes normale DMS-Projekt von Anwendern mit normalem Geldbeutel im Keim erstickt. Jeder Anwender – vor allem im öffentlichen Bereich – muss nun fürchten, nicht ordnungsgemäß zu arbeiten, wenn die Erfassungsprozesse nicht Resiscan-konform sind. Ich will an dieser Stelle gar nicht erst auf neue Erfassungsszenarien aus Home-Office-Konzepten mit neuen Technologien (z. B. Scan-Apps) eingehen. Scan-Cache des iPhone überprüfen nach der Reparatur im AppleStore. Das wäre echt lustig zu sehen, wie die Apple-Mitarbeiter an der Genius-Bar „Kein uns bekannter DMS-Anwender bürdet sich heutzutage die Zusatzlast der qualifizierten elektronischen Signatur freiwillig auf, da den Zusatzkosten dieser Infrastruktur kein quantifizierbarer Nutzen gegenübersteht.“


BIT 02-2015
To see the actual publication please follow the link above