Neue BSI-Richtline zu RESISCAN pusht qualifiziertes E-Siegel
K?rzlich hat das Bundesamt f?r Sicherheit in der Informationstechnologie (BSI) eine aktualisierte Version der Technischen Richtlinie zum ersetzenden Scannen – BSI TR-03138 RESISCAN – publiziert, die insofern eine Versch?rfung darstellt, als die neue Version bei elektronischen Signaturen dort den Einsatz qualifizierter Zertifikate verlangt, wo die alte fortgeschrittene zulie?. Das BSI unterscheidet die Schutzbedarfsklassen “normal”, “hoch” oder “sehr hoch”.
In Bezug auf den Grundwert “Integrit?t” empfahl es f?r die Schutzbedarfsklassen von “zumindest hoch” zun?chst noch “fortgeschrittene” Zertifikate, w?hrend es nun den Einsatz “qualifizierter” verlangt. Ganz allgemein hei?t es dementsprechend auf Seite 14 der neuen Version: “Im Kontext der TR-RESISCAN sind insbesondere die (qualifizierten) Vertrauensdienste f?r (qualifizierte) elektronische Signaturen, Siegel und Zeitstempel sowie die Bewahrung wesentlich.” Der nach eIDAS h?chsten Sicherheitsstufe (“qualifiziert”) wird damit vom BSI f?r das RESISCAN Verfahren eine grundlegende Bedeutung verliehen.
BSI RESISCAN-Versch?rfung – qualifizierte Siegel
Ganz konkret hie? es im Abschnitt “4.3.2.1 A.AM.IN.H.1 – Einsatz kryptographischer Mechanismen zum Integrit?tsschutz” in der alten Version (1.4.1 vom 23.04.2020 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03138/TR-03138.pdf?__blob=publicationFile&v=5) der BSI RESISCAN Richtlinie noch:
“Bei der Verarbeitung von Datenobjekten mit einem Schutzbedarf von zumindest “hoch” bez?glich der Integrit?t SOLLEN geeignete kryptographische Mechanismen in Form von fortgeschrittenen elektronischen Signaturen, fortgeschrittenen elektronischen Siegeln und/oder elektronischen Zeitstempeln zum Einsatz kommen. Andernfalls MUSS ein schriftlicher Nachweis erbracht werden, dass der f?r den Integrit?tsschutz eingesetzte Mechanismus im Sinne der obigen Festlegung ausreichend widerstandsf?hig ist. Mit fortgeschrittenen elektronischen Signaturen und Siegeln kann neben der Integrit?t auch die Authentizit?t der im Scanprozess entstehenden Datenobjekte gesch?tzt werden. Geeignete elektronische Zeitstempel oder Evidence Records liefern neben dem Beweis der Unversehrtheit der gesch?tzten Daten auch den im Streitfall m?glicherweise wichtigen Beweis der Existenz der Daten zu einem bestimmten Zeitpunkt.”
Im selben Abschnitt der aktualisierten Version (1.5 vom 24.07.2024 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03138/TR-03138_V_5.pdf?__blob=publicationFile&v=3) hei?t es:
“Bei der Verarbeitung von Datenobjekten mit einem Schutzbedarf von zumindest “hoch” bez?glich der Integrit?t M?SSEN geeignete kryptographische Mechanismen in Form von qualifizierten elektronischen Signaturen oder qualifizierten elektronischen Siegeln zum Einsatz kommen. Die Vorgaben der [LeitLeSig] M?SSEN eingehalten werden. Mit qualifizierten elektronischen Signaturen und Siegeln kann neben der Integrit?t auch die Authentizit?t der im Scanprozess entstehenden Datenobjekte gesch?tzt werden. Qualifizierte elektronische Zeitstempel oder Evidence Records liefern neben dem Beweis der Unversehrtheit der gesch?tzten Daten auch den im Streitfall m?glicherweise wichtigen Beweis der Existenz der Daten zu einem bestimmten Zeitpunkt. Um die Verkehrsf?higkeit der Datenobjekte und Sicherungsdaten sicherzustellen, M?SSEN standardisierte Formate verwendet werden.”
W?hrend auf der Basis von Signaturen – weil diese die Pr?senz und manuelle Eingaben der entsprechenden Personen verlangen – nur Stapelverarbeitungen m?glich sind, lassen sich mit Siegeln vollautomatisiert Massen von Dokumenten versiegeln. Dabei ?berwindet die HSM-QSCD-Siegel-L?sung von SIGNIUS (https://signius.de/signius-seal/) den wartungsintensiven und minderperfomanten Einsatz von Karten- und Kartenleseger?ten.
Bis zu 30 Millionen Dokumente pro Stunde k?nnen mit SIGNIUS gesiegelt werden. Zugleich bleibt Datenhoheit gewahrt: Die L?sung kann OnPrem vollst?ndig im eigenen Rechenzentrum betrieben werden, indem SIGNIUS das entsprechend konfigurierte HSM/QSCD liefert oder SIGNIUS hosted in hybrider Bereitstellung das HSM/QSCD – in dem Fall verlassen nur Hashes, nicht Dokumente das Unternehmen f?r die Siegelung.
Der Siegelserver von SIGNIUS kann nicht nur f?r Siegel- und Zeitstempeloperationen (nicht nur im RESISCAN-Kontext) genutzt werden, sondern auch f?r die Validierung von Signaturen, Siegeln und Zeitstempeln eingehender Dokumente.
Die SIGNIUS Siegel L?sung im ?berblick
– Bereitstellungsoptionen: OnPrem, Hybrid, Remote
– Einsatzgebiete: Ersetzendes Scannen, Langzeitarchivierung, automatisierte Massenversiegelung von Dokumenten & Validierung
– Performance: bis zu 30 MIO Siegeloperationen pro Stunde
– Unterst?tzte Formate: PDF, XML, TIFF SinglePage und MultiPage (SLMBC-Alternative)
– Leicht integrierbar: in bestehende Prozesse und Dokumenten Management Systeme
Keywords:qualifiziertes E-Siegel, Signius Seal
Powered by WPeMatico
