Pflichten des Rechnungssenders

Einsatz der qualifizierten elektronischen Signatur

Elektronische Archivierung: nach den gesetzlichen Vorschriftenüber einen Zeitraum von mindestens 10 Jahren

Rechtliche Grundlagen der Aufbewahrungspflicht

GdPdU

GoBS

§ 147 Abgabenordnung

Bereitstellung der Daten für Finanzbehörden

Pflichten des Rechnungsempfängers

Prüfung der elektronischen Signatur und Dokumentation der Prüfung

Elektronische Archivierung nach den gesetzlichen Vorschriften

Dauer von mindestens 10 Jahren

Die einfache elektronische Signatur gibt es in verschiedenen Varianten. Wesentlich ist, dass die einfache Signatur keine gesicherten und überprüfbaren Rückschlüsse auf die Identität des Verfassers und auf die Integrität der Nachricht zulässt. Man kann also weder feststellen, ob sich die Nachricht noch im Ursprungszustand befindet, noch wer sie ursprünglich verfasst hat. Des Weiteren verfügt die einfache elektronische Signatur über keine PKI (Public Key Infrastructure), welche es ermöglicht, digitale Zertifikate auszustellen. Trotz dessen reicht diese Form der Signatur in vielen Fällen der elektronischen Kommunikation mit Behörden und Unternehmen bereits aus.

Beispiele für eine einfache Signatur:

Eingescannte Unterschrift

Kontaktinformationen am Ende einer E-Mail mit Angaben zur Person, Firma etc.

RSA-Signatur ohne Zertifikat

Siehe Signaturkarte.

Die elektronische Signatur ist ein mit dem privaten Schlüssel des Unterzeichnenden verschlüsselter Hash-Wert. Es wird der Hash-Wert und nicht die gesamte Nachricht verschlüsselt, da letzteres sehr viel Zeit in Anspruch nehmen würde sowie nur geringfügig sicherer wäre. Die Integrität der Nachricht und die Authentizität kann mit Hilfe des öffentlichen Schlüssels des Unterzeichnenden und der nochmaligen Ermittlung des Hash-Wertes vom Ursprungsdokument geprüft werden.

Die fortgeschrittene elektronische Signatur ermöglicht bereits eine Identifizierung des Signaturschlüssel-Inhabers bzw. einer E-Mail-Adresse sowie Rückschlüsse auf die Integrität der Nachricht. Es handelt sich um eine mit kryptographischen Mitteln erzeugte elektronische Signatur. Auch der Einsatz biometrischer Merkmale, wie z.B. einer handschriftlichen Unterschrift oder einem Fingerabdruck ist möglich.

Die Identität des Signaturschlüssel-Inhabers oder einer E-Mail-Adresse wird selbst oder durch einen Dritten (z.B. einem Trustcenter) in einem Zertifikat bescheinigt. Veränderungen am signierten Dokument sind erkennbar. Manipulationen machen die Signatur ungültig. Häufig wird diese Signatur durch einen privaten Schlüssel lokal im Rechner erzeugt. Der private Schlüssel wird zusammen mit dem öffentlichen Schlüssel auf der Festplatte oder einem anderen auslesbaren Medium, z.B. einer Diskette, gespeichert.

E-Mails können in der Regel nur fortgeschritten elektronisch unterschrieben werden, z.B. mit Signaturkarte oder mit der verbreiteten Signatur-Software PGP (Pretty Good Privacy).

Beispiele für eine fortgeschrittene elektronische Signatur:

E-Mail-Signatur

Signatur, erzeugt auf Basis eines softwarebasierten Schlüsselpaares mit Zertifikat

Signatur auf Basis biometrischer Merkmale (Fingerabdruck, Unterschrift etc.)

Ende 1999 verabschiedet und im Januar 2000 in Kraft getreten, regelt die EU-Signaturrichtlinie die rechtlichen Rahmenbedingungen für elektronische Signaturen (sie erwähnt unterschiedliche Formen der elektronischen Signatur) und für bestimmte Zertifizierungsdienste innerhalb der Europäischen Union. Die Richtlinie wurde in nationales Recht der EU-Mitgliedsstaaten umgesetzt. Die deutsche Bundesregierung hat das Signaturgesetz an die EU-Richtlinien angepasst. Das Signaturgesetz (Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften - SigG ) ist nach Veröffentlichung im Bundesanzeiger im Mai 2001 in Kraft getreten.

Ein Hash-Wert ist eine eindeutige Prüfsumme fester Länge (z.B. 128 Bit lang). Bei unverändertem Inhalt eines Dokumentes lässt sich dieser beliebig oft exakt gleich durch den Hash-Algorithmus (mathematische Funktion) erzeugen. Wie ein Fingerabdruck einen Menschen nahezu eindeutig identifiziert, ist ein Hashwert eine nahezu eindeutige Kennzeichnung eines elektronischen Datensatzes. Geringste Abweichungen im elektronischen Dokument führen zu einem veränderten Hash-Wert.

Die Hash-Funktion wird für die Erzeugung elektronischer Signaturen und Überprüfung der Integrität einer elektronisch signierten Datei benötigt. Mit Hilfe dieser mathematischen Funktion ist es möglich, aus einer beliebig großen Binärdatei eine Art Komprimat fester Länge zu ermitteln. Es ist nicht möglich, aus dieser eindeutigen Prüfsumme das Dokument wieder herzustellen und nur mit extrem geringer Wahrscheinlichkeit, aus einem anderen Dokument eine identische Prüfsumme zu erzeugen. Die Berechnung der Hash-Funktion wird mittels eines Hash-Algorithmus durchgeführt.

Im novellierten Signaturgesetz, Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften (SigG), welches am 22.05.2001 nach Veröffentlichung im Bundesanzeiger in Kraft getreten ist, werden die Rahmenbedingungen festgelegt, unter denen die elektronische Signatur in Deutschland als sicher angesehen werden kann. Zusätzlich werden Haftungsfragen der Trustcenter geregelt. Bereits 1997 wurde in Deutschland das erste Signaturgesetz verabschiedet, das als Grundlage für das heute gültige Signaturgesetz diente.

Kryptographie beschäftigt sich, wie sich aus dem Namen herleiten lässt ("krypto" = "ich verberge" und "graphe" = "das Schriftstück"), mit der Verschlüsselung von Nachrichten.

Die Mehrfachsignaturkarte ermöglicht das Signieren großer Mengen elektronischer Daten mit nur einer PIN-Eingabe. Vor Aktivierung der Signaturkarte (Nachweis der PIN) ist softwareseitig zu definieren, welche maximale Anzahl von Signaturen erzeugt und / oder in welchem maximalen Zeitraum Signaturen erzeugt werden sollen. Mit Erreichen einer der beiden Restriktionen beendet die Signatursoftware die Kommunikation mit der Signaturkarte.

Das Online Certificate Status Protocol (OCSP) ist ein Internet-Protokoll, das es ermöglicht, den Status von X.509-Zertifikaten abzufragen. Benötigt wird dies u.a. bei der Prüfung digitaler Signaturen, da Zertifikate, mit denen sich Kommunikationspartner gegenseitig identifizieren, bereits vor Ende ihres Gültigkeitszeitraums gesperrt werden können. Wird im Rahmen einer sicherheitskritischen Anwendung ein Zertifikat verwendet, so muss sichergestellt werden, dass dieses zum Zeitpunkt der Erstellung der Signatur nicht gesperrt war. Mittels OCSP wird immer der aktuelle Status eines Zertifikats durch Anfrage bei einem Auskunftsdienst (sogenannter OSCP-Responder) ermittelt. Dieser Dienst wird in der Regel vom Herausgeber des Zertifikats betrieben und teilt mit, ob ein fragliches Zertifikat überhaupt herausgegeben wurde und wenn ja, ob zu diesem Zertifikat ein Sperreintrag vorliegt und wann ggf. eine Sperrung erfolgt ist. Eine OCSP-Antwort ist immer vom Trustcenter wiederum signiert und so vor Manipulationen geschützt.

nexMart bietet Ihnen nur die hochwertige qualifizierte elektronische Signatur an. Im Unterschied zur einfachen und fortgeschrittenen Signatur erfolgt die Signaturerzeugung nicht im Rechner sondern auf einer Signaturkarte. Die qualifizierte elektronische Signatur hat im Rechtsgeschäft die gleiche rechtsverbindliche Wirkung wie die eigenhändige Unterschrift, außer es wird vom Gesetz her anders bestimmt. Wie bei der fortgeschrittenen elektronischen Signatur gilt aber auch hier, dass Manipulationen die Signatur ungültig machen. Die PKI-Infrastruktur wird jedoch immer über die Trustcenter sichergestellt, die die ausgegebenen Zertifikate bestätigen.Bei der qualifizierten elektronischen Signatur ist durch das qualifizierte Zertifikat zum einen die eindeutige Zuordnung zum Signaturschlüssel-Inhaber möglich und zum anderen die Überprüfung der Gültigkeit des Zertifikates. Daher müsste diese Form im aktiven Sprachgebrauch eher „elektronische Signatur mit qualifiziertem Zertifikat“ heißen. Der Einfachheit halber sagt man jedoch „qualifizierte elektronische Signatur“ oder „qualifizierte Signatur“.Das qualifizierte Zertifikat enthält den öffentlichen Schlüssel des Zertifikatsinhabers (Unterzeichnender) und weitere Angaben, wie den Namen des Zertifikatsinhabers und den Gültigkeitszeitraum des Schlüsselpaares. Das so genannte Nutzerzertifikat ist durch einen Zertifizierungsdiensteanbieter, einem Trustcenter, signiert worden. Das Trustcenter selbst besitzt auch ein Zertifikat, das so genannte Wurzelzertifikat. Dieses ist von ihm selbst signiert und mit dessen Hilfe kann wiederum die Integrität des Nutzerzertifikates geprüft werden.Der zukünftige Besitzer eines Schlüsselpaares zur Erzeugung qualifizierter Signaturen erhält das Schlüsselpaar durch die Beantragung bei einem Trustcenter. Qualifizierte Zertifikate werden ausschließlich an natürliche, nicht an juristische Personen ausgegeben. Es bedarf eines sehr umfangreichen Identifizierungsprozesses des Antragstellers durch das TrustcenterDer Antragsteller kann das gewünschte Zertifikat bei Antragstellung in seinen Rechtsfolgen beschränken. So kann er z.B. bestimmen, dass dieses Zertifikat nur der Signierung von Ausgangsrechnungen dient, so dass bei späterer Signaturerzeugung signierte Rechnungen entsprechende Rechtsfolgen entfalten, aber Verträge beispielsweise nicht.Das Signaturschlüsselpaar wird nach erfolgreicher Antragsstellung mit technischen Komponenten erzeugt, die gewährleisten, dass die Schlüssel nur einmalig vorkommen und nur in der sicheren Signaturerstellungseinheit gespeichert werden. Das ist die Signaturkarte, bei der keine Möglichkeit des Auslesens des privaten Schlüssels besteht. Das Trustcenter sorgt dafür, dass die Gültigkeit des Zertifikates online abrufbar und überprüfbar gehalten wird.Im Unterschied zur einfachen und fortgeschrittenen Signatur erfolgt die Signaturerzeugung nicht im Rechner sondern auf der Signaturkarte. Die qualifizierte elektronische Signatur hat im Rechtsgeschäft die gleiche rechtsverbindliche Wirkung wie die eigenhändige Unterschrift, außer es wird vom Gesetz her anders bestimmt. Wie bei der fortgeschrittenen elektronischen Signatur gilt aber auch hier, dass Manipulationen die Signatur ungültig machen. Die PKI-Infrastruktur wird jedoch immer über die Trustcenter sichergestellt, die die ausgegebenen Zertifikate bestätigen.

A Public Key Infrastructure is an "organisational/technical" environment in which certificates are administered by certification service providers. The "organisational/technical" environment is characterised by certain technologies, standards and defined security requirements.

Die qualifizierte elektronische Signatur mit Anbieterakkreditierung unterscheidet sich technisch von der qualifizierten elektronischen Signatur durch das Wurzelzertifikat. Dieses wird bei der qualifizierten elektronischen Signatur mit Anbieterakkreditierung immer von der Bundesnetzagentur (BNetzA) gestellt, sie bildet somit die oberste Instanz in der Zertifikatskette.

Zertifizierungsdiensteanbieter, die sich einer Anbieterakkreditierung unterziehen wollen, müssen vor Betriebsaufnahme ihre Sicherheit als Trustcenter nachweisen und werden diesbezüglich auch geprüft. Man spricht somit von einer geprüften Sicherheit. Dies wird von der Bundesnetzagentur auch durch ein besonderes Gütezeichen bescheinigt. Im Unterschied dazu müssen Trustcenter, die ausschließlich qualifizierte Zertifikate ausstellen, ihre Sicherheit zwar auch vor Betriebsaufnahme nachweisen können, jedoch werden sie erst nach Betriebsaufnahme geprüft.

Ein weiterer Unterschied zwischen einem qualifizierten Zertifikat und einem qualifiziertem Zertifikat mit Anbieterakkreditierung besteht in der Dauer der gesetzlich vorgeschriebenen Überprüfbarkeit der vom Trustcenter ausgestellten Zertifikate. Die Gültigkeit qualifizierter Zertifikate ist nach Ende der Zertifikatslaufzeit weitere fünf Jahre nachprüfbar zu halten. Die Gültigkeit qualifizierter Zertifikate mit Anbieterakkreditierung muss für die Dauer von 30 Jahren nach dem Ende der Zertifikatslaufzeit prüfbar sein. Darüber hinaus übernimmt im Falle des Ausscheidens eines Trustcenters mit Anbieterakkreditierung aus dem Markt die Bundesnetzagentur die Aufgabe der Prüfung der Zertifikatsgültigkeit für die gesetzlich vorgeschriebene Dauer.

Die Signaturverordnung regelt das Verfahren und die technischen Voraussetzungen für die elektronische Signatur durch das Signaturgesetz.

Auf einer Signaturkarte befindet sich ein Kryptochip. Dieser speichert unauslesbar den privaten Signaturschlüssel sowie den privaten Verschlüsselungs- sowie Authentifizierungsschlüssel. Eine Signaturkarte zur Erzeugung elektronischer Signaturen mit qualifiziertem Zertifikat (qualifizierte Signatur) kann immer nur durch eine natürliche Person beantragt werden und gehört auch immer nur dieser natürlichen Person. Signaturkarten zur Erzeugung qualifizierter Signaturen werden von Zertifizierungsdiensteanbietern (ZDA), so genannten Trustcentern, herausgegeben.

Registrierungsstellen fungieren als Mittler zwischen dem Bürger, der ein Signaturschlüsselpaar erhalten möchte und dem Trustcenter, welches diese ausgibt. Die Registrierungsstelle prüft die Identität des Antragstellers, übermittelt diese dem Trustcenter und übergibt später dem Antragsteller das Signaturschlüsselpaar, z.B. auf einer Signaturkarte.

Bei einem softwarebasierten Zertifikat handelt es sich um eine PKCS-12-Datei (mit den Dateiendungen *.p12 und *.pfx), welche das Signaturzertifikat und den privaten Schlüssel enthält. Im Unterschied zur Signaturkarte können softwarebasierte Zertifikate beliebig oft vervielfältigt und auf unterschiedlichen Medien (z.B. USB-Stick, Festplatte) gespeichert werden. Die Sicherung des Zuganges zur PKCS-12-Datei erfolgt mit einem Geheimwort.

SSL ist ein stark verbreitetes Verfahren zur Datenverschlüsselung. Es wurde von Netscape entwickelt und soll einen sicheren Datenverkehr über das Internet gewährleisten.

Die Stapelsignatur ermöglicht das Signieren von mehreren Dateien in einem Durchgang ("Stapel") bei einmaliger PIN-Eingabe. Voraussetzung ist u.a. der Einsatz einer Signaturkarte, die das Erzeugen mehrerer Signaturen bei einmaligem PIN-Nachweis zulässt (Mehrfachsignaturkarte).

Siehe Zertifizierungsdiensteanbieter.

Bei symmetrischen Verschlüsselungen wird zum Verschlüsseln bzw. Entschlüsseln in der Regel ein identischer Schlüssel verwendet. Der Vorteil der symmetrischen Verschlüsselung ist die Geschwindigkeit. Die symmetrische Ver- und Entschlüsselung ist extrem schnell. Empfehlenswert ist die regelmäßige Änderung des Schlüssels.

Unter Verschlüsselung versteht man den Einsatz eines kryptographischen Algorithmus, einer mathematischen Funktion und eines besonderen Schlüssels zum Zwecke der Chiffrierung. Informationen werden in nicht mehr les- und verstehbare Informationen umgewandelt. Dies dient zur Geheimhaltung der Informationen gegenüber Dritten. Einfachstes Beispiel ist der Cäsar-Algorithmus, bei welchem jeder Buchstabe um 4 Stellen im Alphabet verrückt wird, so dass aus dem Wort "Willi" das Wort "Amppm" wird. Der private Schlüssel wäre hier: "Verrücke die Buchstaben um 4 Stellen.

Zertifizierungsdiensteanbieter (ZDA), auch Trustcenter genannt, gewährleisten die allgemeine Sicherheit der Public Key Infrastruktur (PKI). Sie stellen die zentralen Institutionen des Vertrauens dar, indem sie eine verbindliche Zuordnung eines Schlüsselpaares zu einer Person vornehmen. Das Trustcenter gibt öffentliche und private Schlüssel (Signaturschlüsselpaar) an die Teilnehmer aus und prüft zu diesem Zweck die Identität der Antragsteller sicher nach. Die Zuordnung einer Person zu einem öffentlichen Schlüssel wird somit von ihnen festgestellt und durch ein Zertifikat, in welchem u.a. der öffentliche Schlüssel und Angaben zur Person enthalten sind, bescheinigt. Ein Trustcenter unterhält weiterhin Dienste wie den Verzeichnisdienst, den Sperrdienst und den Zeitstempeldienst. Trustcenterbetreiber sind u.a. die D-TRUST GmbH (100%ige Tochter der Bundesdruckerei), die S-TRUST (Deutscher Sparkassen Verlag GmbH), die Signtrust (Deutsche Post AG) und die Telesec (Deutsche Telekom AG). In Deutschland besteht die Möglichkeit der freiwilligen Akkreditierung bei der Bundesnetzagentur ( www.BNetzA.de), welche dann als Wurzel-CA fungiert und ihrerseits Signaturschlüsselpaare und die dazugehörigen Zertifikate an die Trustcenter ausgibt.

Ein Zertifikat ist der öffentliche Schlüssel mit Angaben u.a. bzgl. Inhaber, Aussteller, Schlüsselnutzung und Nutzungszeitraum. Ein Zertifikat wird üblicherweise von dem Zertifizierungsdiensteanbieter unterschrieben. Bei signierten Nachrichten wird in der Regel das Zertifikat des Unterschreibenden mit übermittelt. Die meisten Zertifikate befinden sich im X.509- und PGP-Format.

Die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (BNetzA) reguliert den Telekommunikations- und Postmarkt. Die BNetzA ist die zuständige Behörde gemäß Signaturgesetz und ist nach Prüfung für die Generierung der Signaturschlüsselpaare für den sich freiwillig akkreditierenden Zertifizierungsdiensteanbieter, für die Ausgabe entsprechender Zertifikate und Erteilung eines Gütezeichens zuständig. Die Behörde gilt in diesem Zusammenhang als Wurzelinstanz. Unternehmen, die Signatursoftware herstellen, müssen die Signaturgesetzkonformität gegenüber der BNetzA mittels Herstellererklärung anzeigen. Die BNetzA ist dem Bundeswirtschaftsministerium nachgeordnet und hat ihren Hauptsitz in Bonn. www.BNetzA.de

Das asymmetrische Verschlüsselungsverfahren arbeitet mit zwei unterschiedlichen Schlüsseln: dem geheimen privaten Schlüssel und dem allgemein zugänglichen öffentlichen Schlüssel. Diese gehören zusammen, können aber nicht aus dem jeweils anderen berechnet werden. Die Schlüssel sind so gewählt, dass die mit dem öffentlichen Schlüssel chiffrierte Nachricht nur mit dem geheimen privaten Schlüssel und umgekehrt eine mit dem privaten Schlüssel verschlüsselte Nachricht nur mit dem öffentlichen Schlüssel dechiffriert werden kann. Die asymmetrische Verschlüsselung kommt u.a. bei der Erzeugung und Überprüfung elektronischer Signaturen zum Einsatz.