Digitale Signatur im Geschäftsverkehr

E-Post muss nicht unverbindlich sein

Was würden Sie denken, wenn Ihnen jemand einen Auftrag ohne Unterschrift auf einer Postkarte schickt? Was in der Papierwelt undenkbar wäre, ist in der heutigen digitale Geschäftskorrespondenz üblich. Dabei gibt es längst einen weitverbreiteten offenen Standard für das digitale Verschlüsseln und Unterzeichnen: OpenPGP. Der Bund und die EU haben mit ihren Gesetzen zur digitalen Signatur deren Verbreitung nicht unbedingt erleichtert.

1 Neues & Chronik

2 Einführende Hinweise zur digitalen Signatur

3 Digitale Rechnungsstellung unter dem Signaturgesetz

Finanzämter müssen neuerdings beim Vorsteuerabzug immerhin Rechnungen mit “qualifizierter digitaler Signatur” anerkennen. Diese Hürde ist allerdings so hoch, dass bislang nur ein paar Großunternehmen sie im Rahmen der “Massensignatur” überwinden.

Die “qualifizierte digitale Signatur” nach SigG ist mit teurer Bürokratie verbunden. Die Software muss zertifiziert werden. Diese Last schultern normalerweise nur Anbieter proprietärer Systeme.

Eine Anerkennung quelloffener Lösungen auf Basis des OpenPGP-Standards (in Kombination mit Zeitstempelung) ist bislang nicht gelungen. Möglicherweise hat das das Signaturgesetz im Effekt als “Gesetz zur Verhinderung der Digitalen Signatur” gewirkt. Die zuständige Behörde der Bundesregierung fördert OpenPGP-basierte Alternativen, aber auch sie kann (laut privater am CeBIT-Stand des BSI erhaltener Auskunft) nicht die nötigen Finanzmittel aufbringen, um die entwickelten Verfahren zertifizieren zu lassen. Eine Zertifizierung würde damit den offenen Entwicklungsprozess zum Erliegen bringen.

All dies ist kein hinreichender Grund, weiterhin Bäume für das Finanzamt zu fällen. Es gibt folgende Möglichkeiten, die (angeblichen) Forderung des Finanzamts zu umgehen:

  1. Der Besteller verzichtet darauf, aufgrund unbezahlter Rechnungen einen Vorsteuerabzug zu beantragen und bezahlt stattdessen einfach immer sofort.
  2. Der Lieferant stellt dem Besteller in regelmäßigen Abständen eine zusammenfassende Papierbescheinigung über die gestellten Rechnungen aus. Dies ist sofort praktikabel und wird vom Finanzamt anerkannt.
  3. Der Lieferant und der Besteller vereinbaren auf Papier die Anerkennung der zwischen ihnen verwendeten fortgeschrittenen digitalen Signaturen in eigener Verantwortung und versuchen, ihr Finanzamt zur Kooperation zu überreden. Vielleicht lohnt an dieser Stelle eine grundsätzliche Auseinandersetzung, die ein Verein wie der FFII führen könnte.

Interessanten Aufschluss über die derzeitige Situation beim Signaturgesetz gibt der unten besprochene Artikel “Akkreditierung ohne Zukunft?”.

4 Signatur-Mittlerdienste

Einige Webportale stellen dem Benutzer ihre eigenen Signaturen zur Verfügung und verlangen im Gegenzug eine Vollmacht.

So etwa

5 Zertifizierungsdienste

6 PGP auf Chipkarte ?

Vielfach wird im Schrifttum der Eindruck erweckt, das PGP-Verfahren stelle eine Lösung dar, die nicht den Anforderungen an die “voll qualifizierte Signatur” gemäß SigG genüge. Dass ein lesegeschütztes Medium wie die Chipkarte die Sicherheit erhöht, ist eicht einzusehen. Nicht so leicht zu verstehen ist allerdings, warum OpenPGP-Chipkarten die Anforderungen nicht erfüllen sollen. Auf der CeBIT 2006 befragte ich einige Experten hierzu. Demnach liegt es daran, dass bei einem offenen Standard wie OpenPGP ein wirtschaftlich interessierter Akteur fehlt, der die teuren Zertifizierungsauflagen des SigG bezahlen könnte. Auch das BSI habe hierfür nicht die Mittel, hieß es.

7 Analysen

8 SSL-Zertifizierung von Webservern: eine Welt für sich?

Jeder Webserver, der etwas auf sich hält, lässt sich kostenpflichtig (ca 300 eur im Jahr) zertifizieren, damit die Benutzer beim Besuchen einer Seite wie [https://a2e.de/] bescheinigt bekommen, dass dieser Webserver tatsächlich der Firma gehört, die vorgibt, hinter ihm zu stehen.

Hiermit ist bereits ein relativ breites Zertifizierungsnetz entstanden, aber für die gesetzliche digitale Signatur lässt es sich wohl nicht nutzen.

Allgemeine Informationen über SSL finden sich unter

deplate
http://a2e.de/adv/digisig
© 2006-02-24 Hartmut PILCH