Digitale Signatur - wann?
Wann und warum müssen Rechnungen signiert werden?
Der deutsche Gesetzgeber unterscheidet zwei Arten der Rechnungsstellung, besser der Belegerzeugung:
-
‣ Rechnung in Papierform
-
‣ Rechnung in elektronischer Form (z.B. als PDF)
Papierform:
Rechnungen die in Papierform erstellt werden, und per Post vom Rechnungssteller zum Rechnungsempfänger gehen, benötigen nach aktuell geltendem deutschen Recht natürlich keine Unterschrift. Warum auch? Eine Rechnung stellt per se aber auch ohne Unterschrift eine Urkunde dar, und jegliche Manipulation an dieser erfüllt den Tatbestand einer Urkundenfälschung zumindest dann, wenn steuerrelevante Inhalte zum finanziellen Vorteil verändert werden. Dies ist ein Straftatbestand, lässt sich im Allgemeinen aber meist sehr einfach nachweisen.
Elektronische Rechnung:
Bei einer elektronischen Rechnung verhält es sich anders. Viele Unternehmen sind in den letzten Jahren dazu übergegangen, Rechnungen an ihre Kunden nicht mehr in Papierform zu stellen, sondern nur noch in elektronischer Form zu erzeugen, und dann per Email an den Kunden zu versenden. Für das rechnungsstellende Unternehmen ergibt sich ein klarer finanzieller Vorteil wenn man bedenkt, dass eine Papierrechnung gedruckt, kuvertiert, frankiert und verbracht werden muss. Es kann daher eine erhebliche Kosteneinsparung bedeuten, Rechnungen nur noch auf dem elektronischen Weg zum Kunden zu übermitteln.
Hierbei ergibt sich aber ein Problem, welches der Gesetzgeber erkannt hat, und im deutschen Signaturgesetz sowie der Signaturverordnung schon vor mehreren Jahren eindeutig geregelt hat:
Elektronische Rechnungen, welche einem zum Abzug der Umsatzsteuer Berechtigten zugestellt werden, sind digital zu signieren.
Was heisst das, und warum muss eine elektronische Rechnung unterschrieben werden, eine Rechnung in Papierform aber nicht?
Eine Rechnung in Papierform ist nicht unbedingt einfach zu fälschen, eine elektronische Rechnung hingegen schon. Im Zeitalter moderner Softwaretechnik lassen sich fast alle digitalen Daten nachträglich manipulieren, und eine derartige Manipulation hinterlässt keine Spuren, ist nicht mehr nachvollziehbar. Im Ernstfall lässt sich also nicht beweisen, ob eine Rechnung, welche nicht stimmt, schon beim Rechnungssteller, auf dem Weg zum Rechnungsempfänger oder vom Rechnungsempfänger selbst unter Umständen manipuliert wurde.
Und genau um derartige Manipulationen erkennen zu können, wird eine digitale Signatur eingesetzt. Die digitale Signatur unterscheidet sich von der handschriftlichen Unterschrift grundlegend, ist dieser im rechtlichen Sinne aber gleich gestellt. Bei der Signatur von elektronischen Rechnungen geht es aber nicht um den Charakter der Unterschrift, sondern um ein besonderes Merkmal digital signierter Dokumente: Sie sind fälschungssicher!
Wird eine vom Rechnungssteller digital signierte Rechnung nach der Signaturleistung auch nur minimal manipuliert, passt die Signatur nicht mehr zum Rechnungsdokument, und die Manipulation wird für einen Betrachter sofort ersichtlich. Das Fälschen, also das nachträgliche Aufbringen einer Signatur nach der Manipulation ist nicht möglich, da ein einfaches Kopieren der Signatur keinen Zweck hätte.
Die Technik dahinter:
Um eine elektronische Signatur erzeugen zu können, benötigt man ein so genanntes Zertifikat. Dies ist eine Datei, die neben persönlichen Informationen des Zertifikatsinhabers einen kryptografischen Schlüssel - den so genanten Public Key - enthält. Zu dem Public Key existiert ein passendes Gegenstück, der Private Key, und dieser wird - sicher geschützt - auf einer nicht auslesbaren Smartcard abgelegt. Beide Schlüsselteile sind absolut einmalig, und lassen sich nicht auseinander ableiten. Es gilt aber:
Was mit dem Private Key verschlüsselt wird, kann NUR - und wirklich nur - mit dem Public Key wieder entschlüsselt werden. Umgekehrt gilt das gleiche.
Soll nun eine Rechnung oder ein anderes elektronisches Dokument digital signiert werden, so kommt ein zweites kryptografisches Verfahren zum Einsatz. Über dem Dokument wird ein eindeutiger Fingerabdruck erzeugt - auch Hashwert genannt. Ändert man an dem Dokument nun auch nur ein einziges Zeichen und erzeugt erneut den Fingerabdruck, unterscheiden sich die Fingerabdrücke vollständig voneinander.
Um nun die Signatur beim Rechnungssteller zu erzeugen, wird der digitale Fingerabdruck des Dokumentes auf der Smartcard mit Hilfe des Private Key verschlüsselt, und zusammen mit dem Zertifikat des Rechnungsstellers in eine Signaturdatei verpackt. Diese digitale Signatur wird dann zusammen mit dem eigentlichen Dokument an den Rechnungsempfänger versendet.
Will dieser, oder z.B. ein Steuerprüfer die Unversehrtheit des Dokumentes prüfen, so wird die Signatur gegen das Dokument geprüft. Zuerst wird dazu der Fingerabdruck des aktuellen Dokumentes ermittelt. Danach wird das Zertifikat des Unterschriftsleisters sowie der verschlüsselte Fingerabdruck des Originaldokumentes aus der Signatur extrahiert. Nun kann mit dem Public Key aus dem Zertifikat der originale Fingerabdruck entschlüsselt, und mit dem aktuellen Fingerabdruck verglichen werden. Sind beide gleich, so wurde das Dokument nach der Signaturleistung nicht mehr verändert. Man hat die Integrität des Dokumentes nachgewiesen.
Nun könnte ein Fälscher durchaus versuchen, ein gefälschtes Zertifikat mit den Daten des eigentlichen Rechnungsstellers - basierend auf einem eigenen Schlüsselpaar - zu generieren, ein Dokument zu verfälschen, und dieses mit dem gefälschten, aber durchaus echt aussehenden Zertifikat und dem nun eigenen Private Key erneut zu signieren.
Um dies zu verhindern, sind auch Zertifikate digital signiert, und somit nicht fälschbar. Diese Signatur über Zertifikaten kann nur von anerkannten staatlichen Stellen geleistet werden, und dies auch nur nach eingehender Identitätsprüfung eines Antragstellers. Will man also ein Zertifikat für die digitale Signatur erhalten, so muss man bei einem so genannten Trustcenter persönlich vorstellig werden, und sich mit einem gültigen Dokument erfolgreich ausweisen. Erst dann erhält man ein Zertifikat, mit dem man dann Dokumente rechtsverbindlich signieren kann.
Was benötigt man für digitale Signaturen?
Um diese Frage zu klären, muss man sich in erster Linie darüber im Klaren sein, welchen Umfang von Dokumenten man digital signieren möchte. Hierbei können Sie sich an folgenden Zahlen für Ausgangsrechnungen orientieren:
-
‣ 1 bis 10 Rechnungen pro Tag - Einzelplatzsignatursoftware
-
‣ 11 bis 500 Rechnungen pro Tag - Stapelsignatursoftware
-
‣ 500 bis 100‘000 Rechnungen pro Tag - Massensignatursoftware
Einzelplatzsignatursoftware
Unter einer Einzelplatzsignatursoftware versteht man eine Kombination aus folgenden Komponenten:
-
‣ Signaturanwendungskomponente
-
‣ Signaturkartenleser
-
‣ Signaturkarte
-
‣ Zertifikat für qualifizierte elektronische Signatur
Unter einer Signaturanwendungskomponente versteht man eine Software, die in Kombination mit allen anderen benötigten Komponenten eine so genannte qualifizierte elektronische Signatur leisten kann. Hier kann aber nicht jede beliebige Software genutzt werden. Der deutsche Gesetzgeber schreibt vor, dass für die Signaturleistung nur zertifizierte oder Komponenten mit einer Herstellererklärung verwendet werden dürfen.
Die Zertifizierung der Komponenten wird hier durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) geregelt, und unter anderem vom TÜV-IT bewerkstelligt. Dabei wird die entsprechende Software oder Hardware eingehender Prüfung unterzogen, um etwaige Sicherheitslücken auszuschließen. Ob eine Soft- oder Hardwarekomponente tatsächlich zertifiziert ist, kann auf der Webseite der Bundesnetzagentur (BNetzA) nachgelesen werden.
Neben einer Zertifizierung kann ein Hersteller eine Komponente auch mit einer so genannten Herstellererklärung versehen. Auch diese lässt sich auf den Seiten der BNetzA finden. Nur derartig ausgezeichnete Komponenten dürfen bei der Erstellung für qualifizierte elektronische Signaturen verwendet werden. Andernfalls besitzt die Signatur keine Rechtsverbindlichkeit im Sinne des Signaturgesetzes, und eine entsprechend falsch signierte Rechnung ermöglicht dem Empfänger keinen Vorsteuerabzug.
Die gleichen Zertifizierungsrichtlinien gelten für die beteiligten Hardwarekomponenten wie den Kartenleser und die Signaturkarte. Hier existieren in Deutschland aber mittlerweile einige Hersteller wie unter anderem Cherry, Kobil und SCM, welche entsprechende Hardware anbieten.
Für qualifizierte elektronische Signatur zugelassene Signaturkarten (Smartcards) kommen direkt von den Trustcentern, welche auch die entsprechenden Zertifikate ausstellen. In Deutschland existieren derzeit mehrere Trustcenter, welche entsprechend akkreditiert oder angezeigt sind, und Zertifikate für die qualifizierte elektronische Signatur ausgeben dürfen. Dies sind:
Diese Instanzen können entsprechend Zertifikate für die qualifizierte elektronische Signatur ausgeben. Diese Zertifikate sind für die Rechnungssignatur geeignet.
Stapelsignatursoftware
So genannte Stapelsignatursoftware (Batch) kommt immer dann zum Einsatz, wenn eine größere Menge von Dokumenten in einer kurzen Zeit signiert werden muss. Leider sind die Regularien des BSI hier in den letzten Monaten ein wenig über das Ziel hinausgeschossen, und so stand die prinzipielle Zulassung derartiger Soft- und Hardwarekomponenten kurzzeitig auf der Kippe. Aufgrund des Drängens der Industrie musste Herr Schwemmer, welcher hier federführend verantwortlich zeichnet aber doch nachgeben, und hat auch mit der Umstellung der aktuellen Signaturzertifikate auf 2048 Bit und aktuelle Hashalgorithmen Smartcards für so genannte Massenprozesse zugelassen.
Somit kann eine Softwarekomponente einen begrenzten Stapel (Batch) an Dateien in einem Vorgang signieren, ohne dass für jede Signaturleistung die SicherheitsPIN der Signaturkarte eingegeben werden muss. Derartige Softwarekomponenten liefern fast alle zertifizierten Hersteller als Ausprägung oder Module Ihrer Software aus. Mit diesen ist es möglich, auch größere Mengen an Dokumenten wie Ausgangsrechnungen mit einer digitalen Signatur zu versehen, ohne dafür eine komplexe, aufwändige und anfällige Infrastruktur aufbauen zu müssen.
Massensignatursoftware
Eine Massensignatursoftware kommt immer dann zum Einsatz, wenn in einem großen Unternehmen größere Mengen von Ausgangsrechnungen innerhalb kurzer Zeit mit einer digitalen Signatur versehen werden müssen. Aufgrund technischer Beschränkungen können aktuelle Smartcards im Schnitt ca. 1 Signatur pro Sekunde leisten. Das sind 86400 Signaturen in 24 Stunden. Wo das zu wenig ist, kommen spezielle Hardwarelösungen zum Einsatz, wie sie zum Beispiel die Firmen e.siqia / timeproof, authentidate oder SecuNet liefern.
Hier kommen spezielle Geräte zum Einsatz, in denen mehrere Signaturkarten hochgradig gesichert große Massen von Dokumenten im Parallelbetrieb mit einer Signatur versehen können.
Praxis
Für eine einfache Rechnungssignatur in geringen Stückzahlen sollte aber die Anschaffung einer Signatursoftware, eines Kartenlesers und einer Signaturkarte nebst Zertifikat vollkommen ausreichend sein. Hier empfiehlt es sich, auf ein Bundle zurückzugreifen, dass durch einige Hersteller komplett angeboten wird, alle Komponenten enthält, und eine einfache Möglichkeit der Zertifikatsbeantragung bereitstellt.
Zu empfehlen ist hier z.B. der Shop der Berliner e.siqia Informationstechnologien GmbH, einer Tochter der Schweizer e.siqia Holding AG und Partner sowie offizielle Registrierungsstelle des größten Trustcenters in Deutschland - der T-Systems und des Fraunhofer Instituts für Sicherheit in der Informationstechnologie.
e.siqia bieten neben den Produkten der Hersteller intarsys und OPENLiMiT für qualifizierte elektronische Signatur auch weitere Produkte und Dienstleistungen rund um das Thema digitale Signatur an, und ist als Pionier auf diesem Gebiet mit über 25 Mitarbeitern seit 2001 als eines der erfahrensten Unternehmen im deutschen Signaturumfeld zu bezeichnen.
Prüfung von digitalen Signaturen
Wenn Sie eine Rechnung in digitaler Form erhalten, so berechtigt sie diese nur dann zum Abzug der Umsatzsteuer, wenn sie digital signiert ist. Der Gesetzgeber geht hier aber noch einen Schritt weiter. Digitale Rechnungen können Sie zwar ausdrucken, aber das Original muss auch in digitaler Form inklusive der Signatur archiviert werden. Weiterhin ist der Empfänger dazu verpflichtet, die Signatur einmalig nach Eingang der Rechnung zu überprüfen.
Verfügen Sie über eine entsprechende Signaturanwendungskomponente, so können Sie mit dieser digitale Signaturen auch auf Gültigkeit prüfen. Steht Ihnen aber eine derartige Software nicht zur Verfügung, dann können Sie auch online Angebote nutzen.
Ein Applet zur Prüfung von digitalen Signaturen finden Sie z.B. hier:
Diese Art der Prüfung hat den Vorteil, dass Sie Ihre zu prüfenden Dateien nicht zu einem Server irgendwo im Internet hochladen müssen. Das Applet läuft als kleines JAVA Programm lokal auf Ihrem Rechner in Ihrem Browser.
Andere Anbieter stellen online Portale zur Verfügung, zu denen Sie digital signierte Dokumente hochladen und prüfen lassen können. Z.B. hier:
Diese Art der Prüfung ist allerdings etwas heikel, weil Sie nicht wissen, ob Ihre hochgeladenen Daten auf dem Server nicht eventuell gespeichert und/oder weiterverarbeitet werden. Ob Sie einem derartigen Anbieter vertrauen wollen, müssen Sie letztlich selbst entscheiden.
Wichtig ist, dass der Gesetzgeber fordert, dass ein Prüfbericht - konform nach den Forderungen der GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) - zusammen mit der Rechnung und der Signatur digital archiviert werden. Die meisten Anbieter von Verifikationslösungen erstellen aber einen derartigen Bericht in Form eines PDF Dokumentes oder einer Textdatei. Diese sollten Sie dann einfach zusammen mit der Rechnung archivieren.
Weiterführende Informationen
Das Thema Digitale Signatur ist aber ein ebenso interessantes wie vielschichtiges. Wir haben noch einige weitere Informationsquellen für Sie zusammengestellt. Links zu diesen finden Sie hier.
