Neue BSI-Richtline zu RESISCAN pusht qualifiziertes E-Siegel
Kürzlich hat das Bundesamt für Sicherheit in der Informationstechnologie (BSI) eine aktualisierte Version der Technischen Richtlinie zum ersetzenden Scannen – BSI TR-03138 RESISCAN – publiziert, die insofern eine Verschärfung darstellt, als die neue Version bei elektronischen Signaturen dort den Einsatz qualifizierter Zertifikate verlangt, wo die alte fortgeschrittene zuließ. Das BSI unterscheidet die Schutzbedarfsklassen “normal”, “hoch” oder “sehr hoch”.
In Bezug auf den Grundwert “Integrität” empfahl es für die Schutzbedarfsklassen von “zumindest hoch” zunächst noch “fortgeschrittene” Zertifikate, während es nun den Einsatz “qualifizierter” verlangt. Ganz allgemein heißt es dementsprechend auf Seite 14 der neuen Version: “Im Kontext der TR-RESISCAN sind insbesondere die (qualifizierten) Vertrauensdienste für (qualifizierte) elektronische Signaturen, Siegel und Zeitstempel sowie die Bewahrung wesentlich.” Der nach eIDAS höchsten Sicherheitsstufe (“qualifiziert”) wird damit vom BSI für das RESISCAN Verfahren eine grundlegende Bedeutung verliehen.
BSI RESISCAN-Verschärfung – qualifizierte Siegel
Ganz konkret hieß es im Abschnitt “4.3.2.1 A.AM.IN.H.1 – Einsatz kryptographischer Mechanismen zum Integritätsschutz” in der alten Version (1.4.1 vom 23.04.2020 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03138/TR-03138.pdf?__blob=publicationFile&v=5) der BSI RESISCAN Richtlinie noch:
“Bei der Verarbeitung von Datenobjekten mit einem Schutzbedarf von zumindest “hoch” bezüglich der Integrität SOLLEN geeignete kryptographische Mechanismen in Form von fortgeschrittenen elektronischen Signaturen, fortgeschrittenen elektronischen Siegeln und/oder elektronischen Zeitstempeln zum Einsatz kommen. Andernfalls MUSS ein schriftlicher Nachweis erbracht werden, dass der für den Integritätsschutz eingesetzte Mechanismus im Sinne der obigen Festlegung ausreichend widerstandsfähig ist. Mit fortgeschrittenen elektronischen Signaturen und Siegeln kann neben der Integrität auch die Authentizität der im Scanprozess entstehenden Datenobjekte geschützt werden. Geeignete elektronische Zeitstempel oder Evidence Records liefern neben dem Beweis der Unversehrtheit der geschützten Daten auch den im Streitfall möglicherweise wichtigen Beweis der Existenz der Daten zu einem bestimmten Zeitpunkt.”
Im selben Abschnitt der aktualisierten Version (1.5 vom 24.07.2024 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03138/TR-03138_V_5.pdf?__blob=publicationFile&v=3) heißt es:
“Bei der Verarbeitung von Datenobjekten mit einem Schutzbedarf von zumindest “hoch” bezüglich der Integrität MÜSSEN geeignete kryptographische Mechanismen in Form von qualifizierten elektronischen Signaturen oder qualifizierten elektronischen Siegeln zum Einsatz kommen. Die Vorgaben der [LeitLeSig] MÜSSEN eingehalten werden. Mit qualifizierten elektronischen Signaturen und Siegeln kann neben der Integrität auch die Authentizität der im Scanprozess entstehenden Datenobjekte geschützt werden. Qualifizierte elektronische Zeitstempel oder Evidence Records liefern neben dem Beweis der Unversehrtheit der geschützten Daten auch den im Streitfall möglicherweise wichtigen Beweis der Existenz der Daten zu einem bestimmten Zeitpunkt. Um die Verkehrsfähigkeit der Datenobjekte und Sicherungsdaten sicherzustellen, MÜSSEN standardisierte Formate verwendet werden.”
Während auf der Basis von Signaturen – weil diese die Präsenz und manuelle Eingaben der entsprechenden Personen verlangen – nur Stapelverarbeitungen möglich sind, lassen sich mit Siegeln vollautomatisiert Massen von Dokumenten versiegeln. Dabei überwindet die HSM-QSCD-Siegel-Lösung von SIGNIUS (https://signius.de/signius-seal/) den wartungsintensiven und minderperfomanten Einsatz von Karten- und Kartenlesegeräten.
Bis zu 30 Millionen Dokumente pro Stunde können mit SIGNIUS gesiegelt werden. Zugleich bleibt Datenhoheit gewahrt: Die Lösung kann OnPrem vollständig im eigenen Rechenzentrum betrieben werden, indem SIGNIUS das entsprechend konfigurierte HSM/QSCD liefert oder SIGNIUS hosted in hybrider Bereitstellung das HSM/QSCD – in dem Fall verlassen nur Hashes, nicht Dokumente das Unternehmen für die Siegelung.
Der Siegelserver von SIGNIUS kann nicht nur für Siegel- und Zeitstempeloperationen (nicht nur im RESISCAN-Kontext) genutzt werden, sondern auch für die Validierung von Signaturen, Siegeln und Zeitstempeln eingehender Dokumente.
Die SIGNIUS Siegel Lösung im Überblick
– Bereitstellungsoptionen: OnPrem, Hybrid, Remote
– Einsatzgebiete: Ersetzendes Scannen, Langzeitarchivierung, automatisierte Massenversiegelung von Dokumenten & Validierung
– Performance: bis zu 30 MIO Siegeloperationen pro Stunde
– Unterstützte Formate: PDF, XML, TIFF SinglePage und MultiPage (SLMBC-Alternative)
– Leicht integrierbar: in bestehende Prozesse und Dokumenten Management Systeme
SIGNIUS bietet Lösungen und Produkte zur Nutzung rechtskonformer Signaturen, Siegel und Zeitstempel, die von global und regional tätigen Unternehmen eingesetzt werden. Wir machen digitales Onboarding und Unterzeichnen von Dokumenten einfach, bequem und sicher.
Kontakt
SIGNIUS UG
Jack Piekarski
Schillerstraße 80
12305 Berlin
+48 61 415 29 00
https://signius.de/