Infos zum Signaturgesetz

Qualifizierte Signaturen für den Versand elektronischer Rechnungen

Dieser Bericht soll einen Überblick über den Bereich der rechtsgütigen elektronischen Signatur
und dessen Verfahren für WEBFAKT-/SESFAKT und CiKa Vertrieb Kunden geben, erhebt aber keinen Anspruch auf Vollständigkeit und ist vor allem keine Rechtsauskunft/-Beratung.

Gesetzliche Grundlagen

Nach §14 Abs. 3 UstG [3] müssen Rechnungen die elektronisch, d.h. z.B: per Email verschickt werden,
mit einer "qualifizierten elektronischen Signatur" versehen werden. Dabei reicht keineswegs irgendeine Signatur,
die mit einer kryptographischen Anwendung wie z.B. PGP erstellt wurde. Nach §2 SigG [1] ist eine Signatur vor allem qualifiziert wenn sie mit einer sicheren "Signaturerstellungseinheit" (i.d.R. eine Smartcard) auf Basis eines "qualifizierten Zertifikats" (i.d.R. auf einer Smartcard befindlich) erstellt werden. Sichere "Signaturerstellungseinheiten" sind unter anderem Produkte, die bei der Bundesnetzagentur gelistet sind.
Bei der Erstellung der Signaturen sind "Signaturanwendungskomponenten" (sowohl Soft- als auch Hardware zu verwenden), die u.a. die im §17 SigG [1] genannten Voraussetzungen erfüllen, damit die erstellte Signatur als qualifiziert angesehen werden kann. Ein Zertifikat ist auf jeden Fall qualifiziert wenn es als solches von einem akkreditieren Zertifizierungsdienstanbieter (i.d.R. ein Trustcenter) ausgestellt wurde.

Signatur-Hardware

Bei der Auswahl der Signatur-Hardware muss besonders vorsichtig vorgegangen werden, damit die erzeugten Signaturen tatsächlich qualifiziert sind. Man sollte darauf achten, von der Bundesnetzagentur bestätigte Hardware einzusetzen um Schwierigkeiten zu vermeiden.

Kartenleser

Der Kartenleser muss u.a. ein Eingabefeld für die PIN haben, um als sicher zu gelten. Eine Liste von sicheren (geprüften) Produkten wird von der Bundesnetzagentur geführt. Dabei sollte sicher gestellt werden, dass der gewählte Kartenleser mit der gewünschten Software zusammen arbeitet.

Signaturkarte

Die Signaturkarte speichert das qualifizierte Zertifikat auf sichere Weise und nimmt die eigentliche Signatur vor. Das Zertifikat kann nicht ausgelesen werden und erst nach Eingabe einer PIN signiert die Signaturkarte die vom Kartenleser ?bermittelten Daten (i.d.R. wird nur ein Hash-Wert übergeben). Es sollten Signaturkarten verwendet werden, die bei der Bundesnetzagentur als sichere Signaturerstellungseinheiten gelistet sind, um sicherzustellen dass die erzeugten Signaturen tatsächlich qualifiziert sind. Die von den Trustcentern angebotenen Signaturkarten erfüllen i.d. Regel diese Voraussetzungen.

Ein unvollständige Liste von Trustcentern ist im Folgenden gegeben:

• D-Trust GmbH, http://www.d-trust.net
• Signtrust(Deutsche Post), http://www.signtrust.de
• Telesec (Trustcenter der Deutschen Telekom), http://www.telesec.de

Wichtig sind noch Unterschiede zwischen den Karten: Nicht alle Signaturkarten sind massensignaturfähig, d.h. unter Umständen muss bei jeder Datei, die signiert werden soll, die PIN neue eingegeben werden.
Daher sollte man nachfragen, ob die bestellte Karte massensignaturfähig ist: d.h. mit einer PIN-Eingabe können mehrere Dateien hintereinander signiert werden.

Signatur-Software

Signatur-Software sollte auf jeden Fall den Anforderungen des SigG genügen, allerdings reicht in den meisten Fällen eine Herstellererklärung (vgl. ?17 Abs. 4 SigG [1]) aus, um mit der Signatur-Software qualifizierte Signaturen zu erzeugen. Nur in den wenigsten Fällen wird Software von der Bundesnetzagentur bestätigt, da das Prüfverfahren aufwendig ist und durch häufige änderungen in der Software nicht praktikabel ist(jede Version muss theoretisch neu bestätigt werden).
Signatursoftware wird von verschiedenen Herstellern angeboten, im Folgenden eine unvollständige Liste von Herstellern:

• secrypt GmbH, http://www.secrypt.de
• e.siqia INFORMATIONSTECHNOLOGIEN GmbH, http://www.esiqia.de
• Mentana GmbH, http://www.mentana.de
• SecCommerce Informationssysteme GmbH, http://www.seccommerce.de/

Gängige Verfahren

Grundsätzlich gibt es nur wenige verschiedene Arten von Signatursoftware. Zum einen gibt es Server-Software die im Hintergrund läuft und Dateien, die in ein Eingangsverzeichnis kopiert werden signiert und in ein Ausgangsverzeichnis kopiert. Dann gibt es noch Einzelplatzsoftware, mit der einzelne Dateien signiert werden können. Letztere gibt es häufig auch in einer Massensignaturfähigen Variante, bei der selektiv mehrere Dateien signiert werden können(eine passende Karte vorausgesetzt).

Dateiformate

Gängige Dateiformate für Signaturen sind

• Clear-Signed: Die ursprüngliche Datei wird nicht verändert und stattdessen wird eine Datei im PKCS#7-Format erzeugt (Endung .p7s). Dieses ist das verbreitetste Verfahren
• Non-Clear-Signed: Die ursprüngliche Datei wird in eine kryptographische Hülle eingeschlossen und dadurch ver?ndert. Erst beim Verifizieren kann die ursprüngliche Datei extrahiert werden. Alternativ gibt es noch Software, die die Signatur direkt in .pdf-Dateien einbettet, so dass diese noch normal geöffnet werden können aber dennoch verifiziert werden können mit Hilfe spezieller Software.

Voraussetzungen für Verwendung mit WEBFAKT-/SESFAKT und CiKa Vertrieb

Um die Software verwenden zu können, muss Sie Dateien in einem Verzeichnis einlesen können und nach der Signatur muss entweder eine Signaturdatei (z.B. .p7s) erzeugt worden sein mit gleichem Dateinamen aber anderer Endung oder die Signatur muss in die erzeugten .pdf-Dateien eingebettet worden sein.
Die Dateien werden in einem separaten Ausgabeverzeichnis von erzeugt-/abgelegt. Die Anpassung an das Signaturprogramm erfolgt in den Einstellungen. Dort kann Ein-/Ausgabeverzeichnis des Signatur-Programms und die erzeugte Dateiendung hinterlegt werden.

Literatur

• 1. Gesetz über Rahmenbedingungen für elektronische Signaturen, http://bundesrecht.juris.de/bundesrecht/sigg 2001/
• 2. Verordnung zur elektronischen Signatur, http://bundesrecht.juris.de/bundesrecht/sigv 2001/
• 3. Umsatzsteuergesetz, http://bundesrecht.juris.de/bundesrecht/ustg 1980/