Bundesanstalt für Immobilienaufgaben nutzt qualifiziertes eSiegel

Ausgangssituation und Zielsetzung

Das E-Government-Gesetz fordert die öffentliche Verwaltung auf, ihre Akten elektronisch zu führen. Die Bundesanstalt für Immobilienaufgaben (BImA) hat deshalb ein Projekt zur Umstellung von der papierbasierten auf die elektronische Aktenführung im Personalwesen durchgeführt. Ziel war die Implementierung eines rechtssicheren Scanprozesses von Bestandspersonalakten an zwölf deutschlandweit verteilten Standorten. Alle Papierakten sollen nach der Digitalisierung vernichtet werden. Der gewählte Scanprozess soll den Regelungen der technischen Richtlinie TR-03138 „Ersetzendes Scannen (RESISCAN)“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entsprechen. Die Langzeitbeweiswerterhaltung der eingescannten Personalakten sollte in einem digitalen Langzeitarchiv (LZA) erfolgen. Personalakten haben bei den Kriterien „Vertraulichkeit“ und „Integrität“ einen hohen Schutzbedarf. Man entschied sich deshalb für einen hochwertigen kryptografischen Integritätsschutz in Form von qualifizierten eSiegeln gemäß der EU-Verordnung eIDAS.

Herausforderung und Umsetzung

An den zwölf Scanstandorten kommt eine TR-Resiscan-konforme Scansoftware zum Einsatz. Genutzt wird ein zentraler Scanserver im Informationstechnikzentrum Bund (ITZBund) in Bonn, dem IT-Dienstleister des Bundes. Nachdem die Dokumente mit dem Scan-Client digitalisiert sind, werden diese automatisch verarbeitet. Sodann werden die Daten auf Qualität und Übereinstimmung mit dem Original geprüft und anschließend gesiegelt. Die Dokumente werden im PDF/A-2b Format mit integriertem Transfervermerk und qualifiziertem eSiegel ausgegeben.

Nutzen

• Geringer technischer Aufwand durch zentrales eSiegel für alle Standorte
• Schnelle Bearbeitung einer großen Anzahl von Dokumenten
• Kurze Projektumsetzungszeit mit Standardprodukten
• Hohe Betriebsstabilität
• Lösung gemäß TR-RESISCAN

Über das qualifizierte eSiegel

Für das eSiegel wird eine eSiegelkarte des qualifizierten Vertrauensdiensteanbieters (VDA) D-Trust, einer Tochter der Bundesdruckerei-Gruppe, eingesetzt. Der besondere Vorteil der eSiegelkarte ist ihr zentraler Einsatz anstelle einer dezentralen Verwendung vieler personengebundner Signaturkarten. Den räumlich getrennten Standorten spart dies technischen und organisatorischen Aufwand. Gleichzeitig ist der Beweiswert des eSiegels im Hinblick auf die Unversehrtheit der Daten und die Richtigkeit der Herkunftsangabe gemäß eIDAS Art. 35 (2) sehr hoch. Nach erfolgreicher Identifizierung und Registrierung durch D-Trust hat die BImA die Siegelkarte auf dem Postweg und separat einen PIN-Brief erhalten. Inhaber des eSiegels ist die BImA als juristische Person. Die eSiegelkarte ist physisch am Standort Potsdam lokalisiert und an den zentralen eSiegelServer angebunden. Die Siegelanfrage an den Scan-Server wird an den dezentralen Scan-Standorten gestellt. Die Authentifizierung erfolgt für jedes zu siegelnde Dokument oder für den zu siegelnden Dokumentenstapel. Gegenüber dem eSiegel-Server erhalten Siegelberechtigte individuelle softwarebasierte Authentifizierungszertifikate mit Passwort. Siegelberechtigungen können im Berechtigungsmanagement des eSiegel-Servers entzogen werden, ohne dass die Siegelkarte ausgetauscht werden muss. Wird seitens der siegelberechtigten Person ein Dokumentenstapel zum Siegeln freigegeben, werden die Hashwerte der Dokumente über eine SSL-Verbindung vom Multi-Client zum eSiegel-Server geschickt. Dort erfolgt die Siegelung der Hashwerte und der Rückversand an den Multi-Client, wo das gesiegelte Dokument gemäß PAdES-Format (PDF embedded seal) und PDF/A-2b zusammengefügt wird. Nach erfolgreicher Siegelung werden die gescannten Dokumente an ein Dokumentenmanagementsystem (DMS) inklusive Fachanwendung und das digitale Langzeitarchiv (LZA) gemäß TR-ESOR übergeben.