Vertrauenswürdige Digitalisierung nach BSI-Richtlinien
Für die Ewigkeit
Die Bundesregierung will die elektronische Vorgangsbearbeitung in der öffentlichen Verwaltung (E-Akte) schnell umsetzen. Dabei geht es beispielsweise um den Beweiswerterhalt kryptografisch signierter Dokumente.
Das Digitalisieren von Geschäftsprozessen soll Fehlerquoten und Prozesslaufzeiten reduzieren. Es steht im Koalitionsvertrag, dass „die Digitalisierung […] große Chancen für unser Land und seine Menschen bietet“ (Kapitel IV. Abschnitt 5) und die Bundesregierung deshalb „eine vollständig elektronische Vorgangsbearbeitung in der öffentlichen Verwaltung (E-Akte) zügig“ einführen will. Geplant ist, Abläufe mit elektronischen Signaturen, Siegeln, Zeitstempeln und sonstigen Vertrauensdiensten der eIDAS-Verordnung sicher, vertrauenswürdig und rechtsverbindlich zu gestalten (siehe ix.de/ix1902104).
Allerdings liegen viele Dokumente nicht digital vor, sondern müssen zunächst gescannt werden, bevor sie sich elektronisch verarbeiten und in der E-Akte ablegen lassen. Für diesen Fall spezifiziert die technische Richtlinie TR 03138 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) „Ersetzendes Scannen (TR-RESISCAN)“, wie ein Scanprozess aussehen sollte, damit die Beweiskraft möglichst weitgehend erhalten bleibt, wenn das papiergebundene Original nach dem Digitalisieren vernichtet wird (siehe ix.de/ix1902104).
Eine weitere Herausforderung besteht darin, die Beweiskraft von signierten, gesiegelten oder mit einem Zeitstempel versehenen elektronischen Dokumenten zu sichern. Denn im Laufe der Zeit können die eingesetzten kryptografischen Algorithmen ihre Sicherheitseignung verlieren. Damit elektronische Unterschriften nicht „verblassen“, fordert § 15 des Vertrauensdienstegesetzes: „Sofern hierfür Bedarf besteht, sind qualifiziert elektronisch signierte, gesiegelte oder zeitgestempelte Daten durch geeignete Maßnahmen neu zu schützen, bevor der Sicherheitswert der vorhandenen Signaturen, Siegel oder Zeitstempel durch Zeitablauf geringer wird. Die neue Sicherung muss nach dem Stand der Technik erfolgen.“
Hierfür spezifiziert die technische Richtlinie TR 03125 des BSI „Beweiswerterhaltung kryptographisch signierter Dokumente“ (TR-ESOR) auf der Grundlage bestehender rechtlicher Normen sowie nationaler und internationaler technischer Standards ein modular aufgebautes Gesamtkonzept für die beweiswerterhaltende Langzeitspeicherung (siehe ix.de/ix1902104). Der vorliegende Beitrag stellt die aktuellen Versionen dieser beiden BSI-Richtlinien vor und erläutert ihre Rolle bei der Einführung der E-Akte und der vertrauenswürdigen Digitalisierung der deutschen Verwaltung.
Auf dem Weg zur elektronischen Akte
Neben den rechtlichen Rahmenbedingungen durch das E-Government-Gesetz (EGovG) existiert ein „Organisationskonzept elektronische Verwaltungsarbeit“ sowie eine generische „Referenzarchitektur elektronische Verwaltungsarbeit“. Auf dieser Basis befragte das Kompetenzzentrum Öffentliche IT einige Anbieter. Das Beschaffungsamt des Bundesministeriums des Innern eröffnete schließlich ein Vergabeverfahren (Beschaffung des Basisdienstes E-Akte/DMS für die Bundesverwaltung), das im November 2017 abgeschlossen wurde (siehe ix.de/ix1902104).