Man carrying folders

TR-Resiscan: 3 Schritte zur Umsetzung

Axel Schlender
IT Consultant
Kodak Alaris

3 Schritte zur Umsetzung der TR-Resiscan

Stuttgart, Germany, 27.10.2023  - Die technische Richtlinie „RESISCAN“ (BSI TR-03138), kurz TR-Resiscan, ist eine Auflage des Bundesamts für Sicherheit in der Informationstechnik (BSI). Diese legt fest, unter welchen Bedingungen ein Originaldokument nach dem Scan vernichtet werden darf. Man spricht hier vom Vorgang des ersetzenden Scannens.

Die Richtlinie ist in zwei große Bereiche aufgeteilt, der administrative und der technische Teil.

Im administrativen Teil der TR-Resiscan wird der generische Scanprozess mit der Dokumentenvorbereitung, dem Scannen, der Nachbereitung und schließlich der Integrationssicherung beschrieben.

Der technische Teil widmet sich der Auswahl, Nutzung und Einrichtung von Hard- und Softwarekomponenten, der korrekten Entwicklung, Installation und regelmäßigen Prüfung des Prozesses bis hin zur Dokumentation des fehlerfreien und nachvollziehbaren Ablaufs.

Damit die TR-Resiscan nachvollziehbar und leicht anzuwenden ist, wurde sie in drei Schritte aufgeteilt:

1. Strukturanalyse

Im ersten Schritt müssen Sie als Anwender:in der TR-Resiscan eine Strukturanalyse für Ihr Scansystem durchführen und hierbei die für den Scanprozess relevanten IT-Systeme, Netze, Anwendungen und Datenobjekte identifizieren und einen bereinigten Netzplan erstellen. Ein Netzplan ist eine grafische Übersicht über die im betrachteten Bereich der Informations- und Kommunikationstechnik eingesetzten Komponenten und deren Vernetzung.

2. Schutzbedarfsanalyse

Im nächsten Schritt wird eine Schutzbedarfsanalyse für die konkret verarbeiteten Dokumente erstellt. Dabei werden Geschäftsdokumente, mitsamt der darin verarbeiteten Informationen, in die drei Schutzbedarf-Kategorien „normal“, „hoch“ und „sehr hoch“ eingestuft. Grundlage für diese Klassifizierung ist der zu erwartende Schaden, der bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen könnte. Auch mögliche Folgeschäden sollten dabei realistisch eingeschätzt werden.

Die Schutzbedarfsfeststellung ist ein iterativer Prozess. Bereits ganz am Anfang, bei der ersten Diskussion darüber, welche Geschäftsprozesse und Informationen welche Bedeutung für Ihre Institution haben, wird eine erste grobe Schutzbedarfsfeststellung durchgeführt. Auch nach Durchführung von Risikoanalysen sollte die Schutzbedarfsfeststellung erneut dahingehend geprüft werden, ob sie angepasst werden muss, da sich während der Risikoanalyse und der Auswahl von Maßnahmen neue Erkenntnisse für den Schutzbedarf von Assets ergeben können.

Neben der Schutzbedarfsanalyse innerhalb der TR-Resiscan muss eine Verfahrensdokumentation und -anweisung angefertigt werden, um einen geordneten Ablauf beim ersetzenden Scannen zu ermöglichen. So müssen beispielsweise für Originale, die für den automatischen Einzug des Scanners ungeeignet sind (z. B. eine geöste Urkunde), passende Prozesse in der Verfahrensdokumentation beschrieben werden.

Die Dokumentation muss grundsätzlich folgende Aspekte umfassen:

  • Art der zu verarbeiteten Dokumente und Festlegung nicht verarbeitbarer Dokumente

  • Rollen & Verantwortlichkeiten

  • Abläufe, Aufgaben im Scanprozess

  • Festlegung von Maßnahmen zur Qualifizierung und Sensibilisierung der Mitarbeiter

  • Organisatorische und technische Anforderungen an die relevanten Räume, IT-Systeme, Anwendungen und Sicherungsmittel

  • Regelungen für Administration und Wartung der IT-Systeme und Anwendungen

  • Festlegung von Sicherungsanforderungen an IT-Systeme, Netze und Anwendungen

Die Verfahrensdokumentation umfasst insbesondere eine Verfahrensanweisung, die sich an die im Scanprozess eingebundenen Personen richtet. Sie kann auf mitgeltende Unterlagen, wie z. B. Handbücher oder Arbeitsanweisungen verweisen. Eine beispielhafte Verfahrensanweisung findet sich in  BSI-TR03138-V (Ersetzendes Scannen -Anwendungshinweis V: Exemplarische Gliederung einer Verfahrensanweisung).

3. Sicherheitsmaßnahmen TR-Resiscan

Nach der Schutzbedarfsanalyse sollten nun entsprechende Maßnahmen zur Datensicherheit festgelegt werden, die ein angemessenes Schutzniveau garantieren. Hilfestellung geben hierbei IT-Grundschutzkataloge. Bei der praktischen Umsetzung des ersetzenden Scannens empfiehlt es sich, pragmatische Lösungen orientiert am Schutzbedarf der vorab festgelegten Klassifizierung durchzuführen. Würde man jeden Dokumententyp einzeln differenzieren würde der Prozess unnötig komplex und kostspielig werden.

Die gewählten  Scanner und Scanlösungen sollten dabei grundsätzlich in der Lage sein, eingescannte Dokumente perfekt lesbar zu digitalisieren. Intelligente Bildtechnologien passen u. a. Helligkeit und Kontrast so an, dass genaueste Ergebnisse erzielt werden. Um den Verlust oder die Beschädigung von Originalen zu verhindern, empfehlen sich Funktionen wie Metallklammererkennung und intelligenter Dokumentenschutz mit Ultraschalltechnologie. Mikrofone am Einzug des Scanners bemerken verdächtige Knittergeräusche und stoppen den Scanprozess sofort, um das Papieroriginal nicht zu beschädigen.

Die Unterstützung von Patch- und Barcodes sorgt für eine zuverlässige Trennung sowie sichere Übergabe von Meta-Informationen im Scanprozess. Des Weiteren sollten Zugriffsverteilungen möglich sein, die Daten vor unbefugten Zugriffen und Manipulationen schützen. Für Dokumente, die nicht für den automatischen Einzug geeignet sind, wie geöste Dokumente, kann nach Möglichkeit z. B. ein Flachbett genutzt werden, das an den Scanner angedockt wird.

TR-Resiscan
(Klicken Sie auf das Bild oben, um es größer anzuzeigen)

Fazit Umsetzung technische Richtlinie „RESISCAN“

Die TR-Resiscan bietet einen praxisorientierten Handlungsleitfaden zur sicheren Gestaltung der Prozesse  für das ersetzende Scannen. Sie definiert die Anforderungen für einen sicheren Scanprozess sowie die notwendigen organisatorischen und technischen Rahmenbedingungen. Um die Digitalisierung der Papierdokumente „nach dem Stand der Technik“ umsetzen zu können, achten Sie bei der Wahl von Hard- und Software auf intelligente Funktionen, die die Einhaltung der Anforderungen an das ersetzende Scannen erleichtern. Bei der Auswahl der Scanlösung sollten Sie außerdem darauf achten, dass viele Erfassungslösungen am Markt nicht weiterentwickelt wurden, weshalb sie mit Scannern der neusten Generation nicht mehr mithalten können.

Wenn Sie noch tiefgehendere Informationen zur TR-Resiscan benötigen, schauen Sie bitte unser Webinar .

ÜBER ALARIS, EIN GESCHÄFTSBEREICH VON KODAK ALARIS

Kodak Alaris ist ein führender Anbieter von Informationserfassungs- und intelligenten Dokumentenverarbeitungslösungen, die Geschäftsprozesse vereinfachen. Wir unterstützen Unternehmen, Informationen sinnvoll mit intelligenten, vernetzten Lösungen zu nutzen, basierend auf innovativer Bildwissenschaft, die seit Jahrzehnten unsere Kernkompetenz darstellt. Unsere ausgezeichneten Scanner, Software und Services sind weltweit über unser Netzwerk an Vertriebspartnern verfügbar.

Fallstudien

Lösungen

Hilfe anfordern

Partner

Datenschutzerklärung  |  Rechtliche/Website-Bedingungen |   Hinweis zur Abholung in Kalifornien |   Meine persönlichen Daten nicht weitergeben
© 2024 Kodak Alaris Inc. TM/MC/MR: Alaris, ScanMate. Alle Marken und Markennamen sind Eigentum ihrer jeweiligen Inhaber. Die Marke Kodak und das Logo von Kodak werden unter Lizenz von der Eastman Kodak Company verwendet.