Der Unsinn einer qualifizierten elektronischen Signatur

Bei der qualifizierten elektronischen Signatur wird das Ziel verfolgt, den Absender eines Beleges zweifelsfrei feststellen zu können und zudem soll eine Manipulationsmöglichkeit der Inhalte ausgeschlossen werden. Hierfür werden aufwändige organisatorische und technische Verfahren eingesetzt.

Der organisatorische Aufwand ist u.a. die Bereitstellung einer sicheren Umgebung für die Aufbewahrung eines privaten Schlüssels. Der technische Aufwand ist die eigentliche elektronische Signatur, zu der jeweils ein private und öffentliche Schlüssel erstellt und verfügbar sein müssen. Jeder Beleg muss dann signiert werden.

Die Kernfragen “Nachvollziehbarkeit des Absenders, Prüfung auf Originalinhalt” sind jedoch weitaus einfacher zu beantworten. Gibt es ein einfaches Verfahren, jederzeit den Originalbeleg vom Absender anfordern zu können, ist natürlich eine zweifelsfreie Prüfung möglich. Kommt dieser aus dem Archiv des Rechnungserstellers oder direkt aus der ERP-Software, ist keine Manipulation mehr möglich. Mehr noch, es ist auch eine Kontrolle denkbar, ob der Absender keine nachträgliche Manipulation des Beleges vorgenommen hat. Für die Umsetzung eines solchen vereinfachten Verfahrens, welches keine laufenden Kosten verursacht, gibt es eine Lösung. Sie basiert auf dem TimeLine® MessageService. Sie verursacht nur einmalig Kosten, erledigt die Aufgabe völlig automatisch und bedarf nur sehr geringer technischer Anforderungen.

In der Praxis wird auf einen Beleg ein Code sowie eine spezielle E-Mail-Adresse gedruckt. Nun wird an diese Adresse eine E-Mail mit diesem Code gesendet. Postwendend wird vom System der Originalbeleg zurück gesandt. Vorliegender Beleg und Originalbeleg können nun verglichen werden. Dies ist eine schnelle, zweifelsfreie Prüfung, welche auch für den Anwender bzw. den Prüfer ohne besondere Sachkenntnis durchführbar ist.

Die Frage, ob dies die Finanzämter so akzeptieren, ist jedoch zugegebenermaßen bisher unbeantwortet. Aber! Nun kann man jedoch auch eine signierte Rechnung ausdrucken, man kann sie vorher manipulieren und behaupten diese auf dem postalischen Weg erhalten zu haben. Damit ist die Signatur dann wertlos. Bei dem oben vorgeschlagenen Verfahren ist die Versandart unbedeutend, jeder Beleg ist prüfbar. Das Verfahren ist simpel und preiswert und man fragt sich mal wieder, warum die Kirche nicht im Dorf gelassen wird, warum wird so gerne übertrieben?

8 Gedanken zu „Der Unsinn einer qualifizierten elektronischen Signatur

  1. Hallo Volker,

    der vorgeschlagene Weg über TimeLine® MessageService hört sich gut an, aber die Finanzverwaltung wird das Problem haben, dass erstens die gesetzlich vorgeschriebene Signatur fehlt und zweitens eine “individuelle” Lösung darstellt, deren Sicherheit und Funktionsweise erst von jedem einzelnen zuständigen FA nachvollzogen werden muss. Da nach den aktuellen Vorschriften der Prüfer die Daten selbst in Augenschein nimmt ist eine Manipulation wie oben beschrieben schwer möglich und würde bei einer Gegenprüfung sofort auffallen und keinen Kavaliersdelikt darstellen.

    Ich denke wenn die qualifizierte elektronische Signatur weniger stigmatisiert würde und mehr Entwicklung in diesem Gebiet betrieben würde, würden handhabbarere Lösungen verfügbar sein.

  2. Hallo Tobias,

    ja, das Gesetz wird das Problem sein. Ein unsinniges Gesetz. Bei einem elektronisch gefaxten Beleg wird sogar vorgeschrieben, es erneut zu kopieren und dann abzulegen, so es sich um eine Themopapierfax handelt. Wo ist hier bitte sichergestellt, dass die Rechnung dann wirklich vom richtigen Absender kommt? Und wie erkennt ein Prüfer, ob eine Rechnung per Post gekommen ist, oder aus einer PDF gedruckt wurde? Und nur mit dem von mir beschriebenen Verfahren kann der Prüfer im gleichen Moment eine Gegenprüfung vornehmen. Egal ob Fax-, Post- oder -E-Mail-Beleg.

  3. Definitiv ein guter Grundgedanke. Wenn man das System bzw. das Verfahren niederschreiben und erklären würde, natürlich mit entsprechenden Methodiken zur Sicherung der Übertragung etc. dann könnte man das Konzept sicher an entsprechender Stelle vorlegen.

    Wär auf jeden Fall super, wenn ich mir vorstelle meine Rechnungen direkt online verifizieren zu können. Im Idealfall vielleicht noch mit zusätzlichen Informationen über den Bearbeiter oder ähnliches.

  4. Hm – der Gedanke mag ja gut gemeint sein, jedoch kann ich überhaupt nicht erkennen, weshalb das Verfahren weniger aufwendig sein sollte:
    Den Versand der Rechnung zwecks Prüfung darf ich – aus Gründen des Datenschutzes – natürlich nicht ungeschützt anbieten. Ergo muss sich jeder, der die Rechnung prüfen möchte gegenüber dem System authentifizieren. 🙂

    Diese Authentifizierung bedarf der gleichen Sicherheit wie die elektronische Signatur. Ich z. B. darf definitiv nicht sämtliche Rechnungen die meinem Arbeitgeber gestellt wurden einzusehen. Das selbe gilt möglicherweise für Personen, die das besagte Dokument bereits in den Händen halten. 🙂
    Hinzu kommt, dass es eines vereinheitlichten Authentifizierungsmechanismus für die gesamte Wirtschaft bedarf. Ansonsten benötigte man für jeden einzelnen Lieferanten einen eigenen Account, der auch gepflegt werden muss – ein irrer Aufwand.

    Habe ich hingegen ein signiertes Dokument, kann ich jederzeit und überall auf der Welt mit einfachen Technischen Mitteln dessen Echtheit prüfen – aufgrund des öffentlichen Schlüssels.

    Kurz und gut – ich glaube mit dem Signaturverfahren *hat* man die Kirche im Dorf gelassen.

  5. Das Zusenden des Rechnungskopie ist wirklich eine doofe Idee. Aber das Zurücksenden von Rechnungsinformationen, wie Rechnungsnummer und -Datum und noch ein paar Merkmale mehr ermöglicht die Prüfung auf Echtheit und Korrektheit des Absenders. Oder wo ist mein Gedanke noch immer falsch?

  6. Naja – für “Datum und noch ein paar Merkmale mehr” einer Rechnung gilt ebenfalls der Datenschutz. Außerdem müssen für eine ordentliche Prüfung die Beträge schon enthalten sein.

    Weder die Erzeugung einer digitalen Signatur noch die Überprüfung derselben ist besonders aufwendig. Was die Sache erheblich verkompliziert hat war die Forderung nach einer qualifizierten Signatur (nur natürliche Personen, kleine Batches, zertifizierte Infrastruktur). Für Rechnungen ist das ja nun gekippt worden – wobei leider das Kind mit dem Bade ausgeschüttet wurde. Die Pflicht zu einer Zertifikatbasierten elektronischen Signatur für Jede Rechnung wäre meiner Meinung nach ein großer Gewinn gewesen.

    Aber um zur Frage zurück zu kommen – der Gedanke eine Rechnung über eine einfache Schnittstelle direkt beim Aussteller überprüfen zu können ist ne gute Idee. Die Frage ist nur wie man die berechtigten Personen (Rechnungsempfänger, Beauftragte Dritte, Wirtschaftsprüfer, …) einfach uns halbwegs sicher authentifiziert? Da erscheint mir die digitale Signatur immer noch einfacher.

  7. Die simpelste sichere Authentifizierung ist aus meiner Sicht die 2-Faktor aus Passwort und E-Mail/SMS/App. Da braucht man nicht mit Zertifikaten rum hampeln.

  8. Für aktive Authentifizierung an einem vorhandenem Service – ok. Aber dann muss der Service auch wirklich immer vorhanden sein und funktionieren. Man stelle sich mal vor es findet eine Rechnungsprüfung statt und 5% der Lieferanten-Server sind grad in Maintainance. Oder noch schlimmer – out of Business %-O. Wer betreibt denn dann des Service, jahre nachdem die Firma längst pleite gemacht hat?

    Bei einer signierten Rechnung muss gar nichts funktionieren und das auf absehbare Zeit. Sie verursacht keine laufenden Kosten und braucht keinerlei Infrastruktur seitens des Ausstellers mehr.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.