Wer besorgt sich schon eine Signaturkarte, um die Dauerkarte vom SV Werder zu verlängern? Auch andere Anwendungen wie das elektronische Abmelden der Restmülltonne zeigen: Überzeugende Anwendungen fehlen.
von Elisabeth Grenzebach
Hinzu kommt, dass die Signaturkarte nicht anwenderfreundlich ist. In Deutschland hat man sich früh für die höchste Sicherheitsstufe elektronischer Signaturen entschieden: die qualifizierte elektronische Signatur mit Anbieterakkreditierung, die auf einer Chipkarte basierend personengebundene Signaturen erlaubt. Die europäische Signaturrichtlinie RLES 1999/93/EG sieht dagegen drei verschiedene Qualitäten der elektronischen Signatur vor: die einfache elektronische Signatur, die fortgeschrittene elektronische Signatur und die qualifizierte elektronische Signatur. Die in Deutschland verbreitete qualifizierte elektronische Signatur mit Anbieterakkreditierung geht über die qualifizierte elektronische Signatur nach der europäischen Richtlinie hinaus. Müssen sich doch die Anbieter einem Überprüfungsverfahren unterziehen, um von der Regulierungsbehörde RegTG akkreditiert zu werden. Von Amts wegen ist zu bestätigen, dass Verfahren und Qualität der Signatur den höchsten Ansprüchen genügen.
Deutsche Gründlichkeit
Ist die deutsche Gründlichkeit mal wieder einen Schritt zu weit gegangen? Adobe hat sich gemeinsam mit dem Partner Openlimit Signcubes dem Zertifizierungsverfahren unterzogen. Für Peter Körner, Senior Strategic Business Development Manager Adobe Systems GmbH, gibt das Verfahren Sinn: »In der Automobilindustrie, in der Luftfahrt und selbst bei einem einfachen Fahrstuhl gibt es für jede Baugruppe, teils für einzelne Bauteile seit Jahrzehnten eine Vielzahl von Prüfungen. Man findet mindestens zwei bis drei Stempel, Testierungen, Zertifizierungen. Ausgerechnet bei der elektronischen Unterschrift, die mindestens die gleiche Sicherheitsrelevanz hat, hält sich die Meinung, dass man das alles viel zu eng sieht, dass die elektronische Signatur auch ohne Prüfung sicher sei. Ich sehe das anders. Spätestens in ein paar Jahren werden die notwendigen Softwaretestierungen, Prüfungen etc. auch in der IT zu einem normalen Bestandteil der Produktentwicklung geworden sein. Wie in allen anderen Industrien wird das dann ein Qualitätsmerkmal darstellen.«
Nichtsdestotrotz: Ausländische Anbieter von Signaturen sehen sich benachteiligt und behindert. Unter Berufung auf die europäische Richtlinie würden sie die Anbieterakkreditierung gerne aufgehoben wissen.
Oft reicht die fortgeschrittene Signatur
Ähnlich heftig diskutieren die Anbieter fortgeschrittener Signaturen mit biometrischen Verfahren und die Anbieter qualifizierter Verfahren mit Chipkarten. So ist für Rolf Schmoldt, Geschäftsführer Signature perfect KG, im Geschäftsleben die qualifizierte elektronische Signatur meist gar nicht nötig: »Für zahlreiche Anwendungen des Geschäftsverkehrs wird keine qualifizierte elektronische Signatur verlangt. In vielen Fallen reicht die fortgeschrittene elektronische Signatur. Es gibt sogar einige Anwendungen, bei denen biometrische fortgeschrittene Signaturen Vorteile gegenüber der qualifizierten besitzen. Gerade im Face-to-Face-Business kann ich damit viel erreichen. Der Unterzeichnende signiert einfach auf einem mobilen Endgerät. Der Schriftzug wird erfasst und das unterzeichnete Dokument kann elektronisch sofort weiterbearbeitet werden. Der Vorteil: Der Kunde muss sich nicht mit viel Aufwand und Kosten eine Chipkarte beschafft haben.«
Streitfall elektronische Rechnung
Ein Fall, für den der Gesetzgeber die qualifizierte elektronische Signatur vorsieht, ist die elektronische Rechnung. Während wir Papierrechnungen ohne Unterschrift verschicken können, bedürfen elektronische der qualifizierten elektronischen Signatur. Sollen diese zum Vorsteuerabzug herangezogen werden, muss eine Reihe von Anforderungen erfüllt sein: §14 Abs. 3 UStG, GOBS, GDPdU und weitere. Per Definition ist eine qualifizierte elektronische Signatur immer personengebunden. Demnach wäre jede Rechnung einzeln zu signieren. Das heißt der Signierende müsste jede Rechnung einzeln prüfen, die Signaturfunktion aufrufen und die PIN eingeben, um sich zu berechtigen. Ein äußerst praxisfremdes Verfahren. Energieversorger, ADAC oder Quelle verschicken mehrere hunderttausend Rechnungen im Monat. Für Unternehmen, die Rechnungen in großen Mengen drucken, ist das nicht realisierbar. Also was tun?
Auf die Fragen der Industrie hat das Bundesfinanzministerium inzwischen reagiert: Aus einem Schreiben vom 29.1.2004 geht hervor, »dass Massensignaturen indirekt auch für personenbezogene Zertifikate gelten«. Oliver Berndt, B&L Management Consulting, erklärt dies so: »Wenn es auf Durchsatz, Automatisierbarkeit und Sicherheit ankommt, sind so genannten Massensignaturen gefragt. Dafür existiert eine Sonderform der personenbezogenen Signatur: die qualifizierte Zeitsignatur, auch Zeitstempel genannt. Diese Signatur muss keiner Person zugeordnet werden, da sie mit einer genauen Zeitangabe einer anerkannten Zeitquelle (meist Atomuhr Braunschweig) versehen wird.«
Was hat der Empfänger zu tun?
Zunächst muss der Rechnungsempfänger dem elektronischen Rechnungsversand zustimmen, geht ihm doch bei fehlender qualifizierter Signatur der Vorsteuerabzug verloren. Allerdings sind keinerlei Anforderungen definiert: Stillschweigen reicht. Daneben muss die Rechnung die gesamte Aufbewahrungsfrist über reproduzierbar bleiben. Ebenso sind Signatur und Zertifikations-Informationen zu archivieren. Konkret heißt das, dass der Empfänger die Signatur vor der Verarbeitung der Rechnung auf ihre Gültigkeit verifizieren und das Prüfprotokoll zusammen mit der Rechnung archivieren muss. Ein Wirtschaftprüfer nimmt eine Verfahrensprüfung des Gesamtprozesses vor und testiert die Einhaltung der gesetzlichen Bestimmungen. Erlaubt ist auch, dass der Empfänger die Signatur von einem Dienstleister prüfen lässt. Soweit die Fakten.
Vorsicht ist geboten
Viele Anbieter beachten nur Teile der Vorschriften oder interpretieren sie in zweifelhafter Weise. Peter Körner rät zur Vorsicht: »Viele Produkte sind formal nicht zulässig und nicht manipulationssicher, was in letzter Konsequenz dazu führen kann, dass eine Anerkennung durch den Wirtschaftprüfer und/oder die Finanzbehörden verweigert wird – in Zahlen ein Umsatzverlust von zur Zeit 16 Prozent und das bis zu 10 Jahren rückwirkend.« Hinzu kommt, dass oft beim Kunden die Tools für eine gesetzeskonforme Signaturprüfung und Visualisierung der signierten Daten fehlen.
Sign fiction
Die Vorteile der elektronischen Signatur liegen auf der Hand: Mit medienbruchfreien Prozessen können Unternehmen viel Geld sparen. Der Privatmann hingegen muss immer noch viel Phantasie aufwenden, um sinnvolle Anwendungen zu finden. Die elektronische Signatur für jedermann ist noch in weiter Ferne.
Anders im Geschäftsleben: Jan C. Wendenburg, Vorstand AuthentiDate International AG, sieht die elektronische Signatur bereits heute in vielen Geschäftsprozessen, wie zum Beispiel der elektronischen Rechnungsstellung oder der Massenbelegerfassung, gut etabliert. »Klarer Fokus ist und wird in den nächsten Jahren weiterhin der Geschäftskundenbereich sein.« Auch Oliver Berndt, Geschäftsführer B&L Management Consulting GmbH, ist sicher: »Die elektronische Signatur kann sich nur über das Portemonnaie durchsetzen, das heißt im Geschäftsprozess, weil dort die Nutzenpotenziale deutlich größer sind als im Privatbereich.« Trotzdem müssen auch hier die Kunden mitziehen und in die nötige Hard- und Software investieren.
Weitere Informationen und Links
• Einen Signaturleitfaden für die fortgeschrittene elektronische Signatur mit eigenhändiger Unterschrift gibt es unter
www.signature-perfect.de >>
bull; Mehr zum rechtlichen Hintergrund erfahren Sie unter
www.bsi.de >>.
bull; Die von Adobe und Partner OPENLiMiT SignCubes umgesetzte Lösung unterstützt alle Anforderungen an die elektronische Rechnung auf Basis von PDF-Dateien. Die Lösung ist zudem nach den höchsten Standards und Prüfkriterien in Deutschland beim BSI zertifiziert (Common Criteria EAL4+) und nach deutschem Signaturgesetz bestätigt. Weitere Informationen unter
www.adobe.de/signatur. >>.