![[Aufmachergrafik: heller, corporate design]](05-6-074-0.jpg)
Rechnungs-Akrobatik Elektronische Signaturen und Rechnungserstellung mit PDFsRechnungs-Akrobatik Elektronische Signaturen und Rechnungserstellung mit PDFsDer Aufwand zur Erstellung, Übermittlung und Verarbeitung von Rechnungen in Papierform ist immens: Die Gartner Group geht bei der schriftlichen Rechnungserstellung von einem Aufwand von etwa 3 US-$ pro Rechnung aus. Beim Rechnungseingang können die Kosten durchaus den doppelten Betrag erreichen. Viele Unternehmen haben bereits erkannt, dass hier ein gewaltiges Einsparpotenzial liegt und so kommt es immer häufiger vor, dass anstelle von Papier eine elektronische Variante eintrifft. PDF ist ein beliebtes Format für solche Rechnungen.
Elektronisch übermittelte Rechnungen werden in EU-Mitgliedstaaten unter der Voraussetzung akzeptiert, dass die Echtheit der Herkunft und die Unversehrtheit des Inhalts gewährleistet ist [1]. Dies lässt sich entweder durch eine (mindestens) fortgeschrittene elektronische Signatur realisieren, wobei Mitgliedstaaten allerdings verlangen können, dass die Signatur auf einem qualifizierten Zertifikat beruht und von einer sicheren Signaturerstellungseinheit stammt. Oder die Umsetzung erfolgt durch elektronischen Datenaustausch (EDI) – Mitgliedstaaten können dabei ein zusätzliches zusammenfassendes Papier-Dokument fordern.
Die Umsetzung der diesen Bestimmungen zugrunde liegenden EU-Richtlinie in nationales Recht wurde in Deutschland durch das Steueränderungsgesetz (StÄndG) 2003 ab dem 1. Januar 2004 in Kraft gesetzt [2]. Erläuterungen hierzu wurden in einem Schreiben des Bundesfinanzministeriums (BMF) vom 29. Januar 2004 bekannt gegeben [3]. Nach § 14 (3) StÄndG müssen bei einer auf elektronischem Weg übermittelten Rechnung oder Gutschrift die Echtheit der Herkunft und die Unversehrtheit des Inhalts gewährleistet sein durch
Für die Anerkennung elektronischer Rechnungen ist die Zustimmung des Empfängers erforderlich, wobei eine stillschweigende Billigung ausreichend ist. Aufbau und Ablauf des angewandten Verfahrens müssen für das Finanzamt nachprüfbar sein. Für die Erstellung qualifizierter elektronischer Signaturen sind alle Verfahren zulässig, die den Vorgaben des SigG entsprechen; ein Rechnungssteller kann auch in einem automatisierten Massenverfahren signieren [3,5].
Ein Unternehmen als Rechnungsempfänger hat die Nachweise über die Echtheit und Unversehrtheit, hier also die qualifizierte Signatur, der Daten zehn Jahre aufzubewahren, selbst wenn nach anderen Vorschriften die Gültigkeit dieser Nachweise bereits abgelaufen ist [3]. Für eine digitale Betriebsprüfung durch die Finanzbehörden müssen die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) erfüllt sein [6]. Hierzu gehört die Protokollierung des Eingangs der elektronischen Rechnung sowie deren Archivierung, Konvertierung und Weiterverarbeitung. Für jede empfangene Rechnung muss deren Authentizität sowie die Autorisierung des Unterzeichners geprüft werden. Die Prüfergebnisse müssen zusammen mit der Rechnung und dem qualifizierten Signaturzertifikat gespeichert werden, wobei die Datenintegrität gewährleistet sein muss.
![[Ersteller: schreibt, druckt, kuvertiert, frankiert und archiviert - Empfänger: erhält Zustellung, prüft, bucht und archiviert]](05-6-074-1.jpg)
Abbildung 1: Der Ablauf bei schriftlichen Rechnungen ist mit verschiedenen Medienbrüchen versehen und sehr aufwändig.
Das Portable Document Format (PDF) ist ein, nicht zuletzt durch den kostenlosen Adobe Reader, weit verbreitetes und zudem offen gelegtes Format [7]. Acrobat und der Adobe Reader ab Version 6 unterstützen digitale Signaturen auf der Basis einer Public Key Infrastructure (PKI) (vgl. [8]). Mit der kostenpflichtigen Acrobat Standard- oder Professional-Edition können beliebige PDF-Dokumente signiert werden. Dokumente, für die mit dem Adobe LiveCycle Reader Extensions Server die Signierfunktion freigegeben wurde, können Anwender auch mit dem Adobe Reader digital signieren; die Signaturprüfung ist indes immer möglich. Ein PDF-Dokument kann beliebig viele digitale Signaturen enthalten. Dabei wird das Dokument mit jeder hinzu gefügten Signatur als neue Dokumentversion (Revision) abgespeichert.
Unter Windows ist der Zugriff auf Signaturfunktionen über das Microsoft Crypto-API und ab Acrobat Version 7 auch über PKCS #11 möglich. Als Signaturschlüssel-Träger können Smartcards oder USB-Crypto-Tokens verschiedener Hersteller sowie PKCS-#12-Software-Keystores verwendet werden, um digitale Zertifikate verschiedener Zertifizierungsstellen zu nutzen.
In einem Dokument kann eine PDF-Signatur entweder grafisch durch ein Signaturfeld repräsentiert oder unsichtbar angebracht werden. Der Signiervorgang wird im Adobe Reader durch Auswählen eines vorhandenen Signaturfeldes ausgelöst. Mit der Acrobat Vollversion kann man ein solches Feld auch anlegen und unmittelbar signieren.
Die Prüfung eines signierten PDF-Dokuments kann manuell durch einen Benutzer erfolgen: Eine gültige Signatur wird durch einen grünen Haken im Signaturfeld symbolisiert (vgl. Abb. 2). Falls die Signatur ungültig ist, erscheint im Signaturfeld ein rotes Kreuz und bei einem ungeklärten Prüfstatus ein blaues Fragezeichen. Eine Signatur wird dann als ungültig eingestuft, wenn die kryptographische Prüfung fehlschlägt oder das Zertifikat gesperrt ist. Ein ungeklärter Prüfstatus kann beispielsweise darauf beruhen, dass die aktuellen Zertifikatssperrlisten (CRL) nicht verfügbar oder Zertifikatsvalidierungsdienste (OCSP) nicht erreichbar sind. Signaturen können über die Signaturpalette von Acrobat auch detailliert angezeigt und geprüft werden; dort sieht man in einer Übersicht auch in der Dokumentdarstellung unsichtbar angebrachte Signaturen.
![[Screenshot: signiertes Dokument im Acrobat Reader]](05-6-074-2.jpg)
Abbildung 2: Anzeige einer elektronischen PDF-Signatur mit Adobe Acrobat
PDF-Signaturen können auch mittels Signaturschlüsseln erzeugt werden, für die ein qualifiziertes Zertifikat ausgestellt wurde. In Deutschland sind dazu sichere Signaturerstellungseinheiten erforderlich, also Chipkarten oder andere Hardware-Module. Der Zugriff von PDF-Software auf solche Hardwareeinheiten ist über die genannten Schnittstellen möglich. Dazu muss der Zertifizierungsdiensteanbieter lediglich entsprechende Treibersoftware für PKCS #11 oder die Microsoft Crypto-API bereitstellen. Qualifizierte Signaturkarten mit solchen Treibern bieten beispielsweise D-Trust und TC TrustCenter an.
Für die Prüfung solcher PDF-Signaturen müssen die Ausstellerzertifikate sowie gegebenenfalls weitere Zertifikate von Zertifikatsvalidierungsdiensten importiert und explizit als vertrauenswürdig eingestuft werden. Dies geschieht beim Acrobat je nach Konfiguration entweder über den Windows Certificate Store oder die Adobe-Liste vertrauenswürdiger Identitäten. In der Konfiguration sollte dabei die Option zur Sperrüberprüfung der Zertifikate aktiviert sein.
Adobe Acrobat und der Adobe Reader befinden sich derzeit in der Evaluierung nach Common Criteria (Stand November 2005). Das Ziel des Herstellers ist es, eine Bestätigung für eine geprüfte Signaturanwendungskomponente zu erhalten. Eine derartige Zertifizierung ist sicherlich für den Masseneinsatz vorteilhaft, wenngleich bei Signaturanwendungskomponenten keine SigG-Bedingung für qualifizierte Signaturen.
----------Anfang Textkasten----------
Nachstehend sind einige wichtige Hersteller aufgeführt, die serverbasierte PDF-Signaturlösungen anbieten. Es gibt eine Reihe weiterer Unternehmen, die sich als Integratoren oder Reseller dieser Lösungen positionieren. Ferner sind auch Lösungen im Markt, die PDF-Dateien signieren, das Resultat aber in einer separaten Signaturdatei (PKCS#7) ablegen – solche Produkte außerhalb des PDF-Standards sind hier jedoch nicht Gegenstand der Betrachtung.
| Anbieter | Produkt | URL |
|---|---|---|
| Adobe | LiveCycle Document Security | ![[externer Link]](../../../../images/link.gif) www.adobe.com/products/server/securityserver/ |
| Ascertia | PDF Signer Server | www.ascertia.com/products/serverSide-Signing/ |
| Mentana | M-Doc PDF AutoSigner | www.mentana.de |
| Secardeo | PDF-Gate Signer | www.secardeo.de/PDF-Gate-Signer/ |
| Secrypt | digiseal Server | www.secrypt.de |
| Secunet | MultiSign | www.secunet.de |
| Struktur AG | icoya EDI Signature Server | www.icoya.de |
| Xicrypt | eInvoice Guard | www.xicrypt.com/xicrypt-einvoice-guard.php |
| Ximantix | PDF Faktura | www.ximantix.de |
Investitionskosten und Preismodelle variieren beträchtlich: Die Preisspannen können vom günstigsten bis zum teuersten Produkt durchaus den Faktor Zehn pro Serverlizenz erreichen. Es gibt auch Modelle, bei denen die Software kostenlos verteilt, aber jede Signatur berechnet wird.
Die Kosten pro Signatur sind stark abhängig vom Volumen und vom Preismodell des Anbieters: Einige Anbieter verlangen auch zusätzlich zum Kaufpreis der Software noch Gebühren je Signatur – bei anderen Herstellern ist die unbegrenzte Nutzung mit dem Lizenzpreis abgedeckt. Die Kostenspanne reicht bei 10 000 Signaturen pro Monat von unter 2 Cent bis deutlich über 10 Cent je Signatur.
PDF-Kompatibilität: Das PDF sieht eine Vielzahl von Formatierungsoptionen, Kompressionsverfahren und Sicherheitsmerkmalen vor, deren korrekte Unterstützung im Einzelfall zu überprüfen ist.
Zur Integration mit der bestehenden IT-Infrastruktur sind geeignete Schnittstellen erforderlich. Im einfachsten Fall kann die Anbindung über Dateiverzeichnisse (watched folder), eine programmtechnische Integration über Kommandozeilenschnittstelle oder API erfolgen. Für die flexible Integration mit Smartcards unterschiedlicher Trustcenter ist eine PKCS-#11-Schnittstelle empfehlenswert.
Installationsaufwand: Die Installation von Softwarelösungen, die Smartcards über Standardschnittstellen nutzen, kann meist durch den Anwender selbst erfolgen. Lösungen, die spezielle Hardware umfassen, erfordern gegebenenfalls deutlich mehr Aufwand und müssen teilweise durch den Hersteller installiert werden.
Bei der Erstellung von Signaturen mittels Chipkarten hängt die Leistungsfähigkeit des Systems wesentlich von der eingesetzten Karte und dem Lesegerät ab: Mit einer einzigen Karte lassen sich täglich etwa bis zu 50 000 PDF-Rechnungen mit 1024 Bit Schlüssellänge signieren. Wem dies nicht ausreicht, der sollte auf Lösungen zurückgreifen, die mehrere Karten parallel ansteuern oder Hardware-Security-Module (HSM) verwenden.
----------Ende Textkasten----------
Eine PDF-Rechnung kann im einfachsten Fall vom Rechnungssteller am PC manuell mithilfe eines Texteditors und eines PDF-Konvertierungsprogramms erstellt werden. Für das manuelle Signieren können gängige Produkte wie beispielsweise Adobe Acrobat Standard zum Einsatz kommen. Für Unternehmen, die viele Rechnungen erstellen, ist jedoch eine weitergehende Automatisierung und Integration mit bestehenden Anwendungen erstrebenswert (vgl. Abb. 3). Warenwirtschafts-, Buchhaltungs-, und ERP-Systeme bieten die Möglichkeit, Rechnungen im PDF-Format auszugeben. PDF-Rechnungen können auch automatisiert beispielsweise mit einem Konvertierungsserver anhand von Rechnungsdaten aus einer Datenbank erstellt werden.
![[bei der vollelektronischen Rechnungsstellung gibt es keine Medienbrüche]](05-6-074-3.jpg)
Abbildung 3: Workflow bei PDF-Rechnungen
Eine maschinelle Signatur ohne Interaktion mit einem Benutzer empfiehlt sich vor allem dort, wo viele Dokumente in kurzer Zeit signiert werden müssen (Massensignaturen). Manche Unternehmen möchten in einem Lauf zehn- oder gar hunderttausende von Rechnungen signieren – hierfür ist eine Betrachtung und PIN-Eingabe durch eine Person für jedes einzelne Dokument nicht praktikabel. Die Begründung zur Signaturverordnung fordert für einen solchen Fall lediglich die Limitierung auf ein bestimmtes Zeitfenster oder eine feste Anzahl von Signaturen, die aufgrund einer Identifizierung durchgeführt werden.
Für derartige Massensignaturen bieten sich Signaturserver an, die automatisiert eine vorgegebene Menge von PDF-Dokumenten mit einer eingebetteten Signatur versehen, auf der Basis einer qualifizierten Signaturkarte. Da qualifizierte Zertifikate nicht an Unternehmen vergeben werden können, muss das Signaturzertifikat auf eine autorisierte Person ausgestellt sein (natürlich können auch mehrere autorisierte Personen solche Karten besitzen). Allerdings darf nur der Eigentümer der Karte die PIN-Eingabe vornehmen und damit den Massensignaturvorgang auslösen. Der Signaturserver erzeugt dann, je nach Konfiguration, unsichtbare oder sichtbare Signaturen an einer definierten Stelle der PDF-Dokumente.
Die Prüfung von Signatur und Rechnungsinhalten kann ein Rechnungsempfänger beispielsweise manuell mit dem Adobe Reader ohne Zusatzsoftware vollziehen; dann muss er allerdings die Prüfergebnisse ebenfalls manuell dokumentieren.
Zur Automatisierung der Rechnungseingangsprüfung existieren aber auch Verifikationsserver, die beispielsweise ein PDF mit dem dazu erzeugten Prüfbericht an ein Archiv übergeben. Dabei sollte für jede Signatur im PDF geprüft werden:
Die Ergebnisse einer solchen Prüfung können beispielsweise in einem strukturierten Prüfbericht (etwa in XML) festgehalten werden. Bei negativen Prüfergebnissen ist die Rechnung abzuweisen. Prüfberichte sollten vom Verifikationsserver ebenfalls – unter Einbezug des geprüften PDFs – digital signiert und eventuell auch mit einem vertrauenswürdigen Zeitstempel versehen werden können. So kann man auch Jahre später zuverlässig feststellen, ob Signaturen in einer PDF-Rechnung zum Zeitpunkt der Rechnungseingangsprüfung gültig waren.
----------Anfang Textkasten----------
Die zu einer PDF-Signatur gehörenden Informationen werden in einem PDF Signature Dictionary gespeichert (Details siehe [7]). Die reine Darstellung wird ähnlich wie bei Formularfeldern über ein Interactive Form Dictionary festgelegt. Der Byte Range gibt den Bereich eines PDF an, über den der Hash-Wert berechnet wird (Byte Range Digest).
![[in die PDF-Datei ist innerhalb eines PDF-Signaturobjekts ein PKCS#7-Objekt eingebettet]](05-6-074-4.jpg)
PDF unterstützt mehrere Typen von Signaturen: Ein Dokument kann eine oder mehrere "gewöhnliche" Dokumentsignaturen enthalten. Es kann zudem eine Modification Detection and Prevention Signature (MDP) enthalten (sog. Zertifizierungsunterschrift), die der Autor des Dokumentes leisten muss. Ferner können so genannte Usage Rights Signatures enthalten sein, auf deren Basis bestimmte Funktionen (Extensions) im Adobe Reader freigeschaltet werden können.
Acrobat unterstützt verschiedene Signature-Handler: Unter dem Schlüssel-Filter wird der Handler angegeben, mit dem die Signatur erzeugt wurde. Optional kann noch ein Sub-Filter angegeben werden, der spezifiziert, welches kryptographische Verfahren und welche Kodierung zum Einsatz kam. Der Signaturwert wird entweder als PKCS#1- (Raw Signature Format) oder als DER-kodiertes PKCS#7-Objekt in ein Signaturobjekt gekapselt [9]. Ein PKCS#7-Objekt kann optional einen Zeitstempel (RFC 3161) sowie Sperrinformationen enthalten. Diese Sperrinformationen werden zum Zeitpunkt des Signierens beschafft: entweder in Form einer Sperrliste (CRL) oder in Form einer Antwortnachricht eines Online Certificate Status Protocol (OCSP) Responders.
----------Ende Textkasten----------
Die Ausfertigung von Rechnungen im PDF-Format ist bereits heute weit verbreitet. Viele solche Rechnungen sind, mangels elektronischer Signatur, nicht uneingeschränkt gesetzeskonform. Als Empfänger sollte man solche Rechnungen abweisen und auf elektronisch signierter oder schriftlicher Rechnung bestehen. Es ist daher ein klarer Trend erkennbar, dass mehr und mehr Unternehmen mit hohem Rechnungsaufkommen geeignete Lösungen für massenhaft signierte PDF-Dokumente integrieren.
Abzuwarten bleibt das Verhalten der Finanzbehörden: Wie sieht eine Überprüfung elektronisch signierter Rechnungen künftig aus? Werden tatsächlich auch die eingesetzten technischen und organisatorischen Maßnahmen überprüft? Wie muss ein Prüfprotokoll im Detail aussehen? Leider gibt es zu solchen Fragestellungen bis heute wenig befriedigende Antworten und teilweise noch nicht einmal dafür zuständige Ansprechpartner bei den Behörden. Hier muss rasch reagiert und Klarheit für die Unternehmen geschaffen werden, damit die Verbreitung (rechts)sicherer elektronischer Rechnungen nicht gehemmt wird. Dazu gehört nicht zuletzt auch eine weitergehende Harmonisierung, beispielsweise durch Verzicht einzelner Staaten auf qualifizierte Zertifikate, und Klarstellung was die länderübergreifende Rechnungsstellung innerhalb der EU angeht.
Signierte PDF-Rechnungen dürften letztlich erst den Anfang eines Wandlungsprozesses hin zu elektronisch signierten verbindlichen Workflows in und zwischen Unternehmen darstellen.
Dr. Gunnar Jacobson ist Geschäftsführer der Secardeo GmbH, Unterföhring ( www.secardeo.de).
http://europa.eu.int/eur-lex/pri/de/oj/dat/2002/l_015/l_01520020117de00240028.pdf www.bundesfinanzministerium.de/...publicationFile.pdf www.bundesfinanzministerium.de/...publicationFile.pdf http://bundesrecht.juris.de/bundesrecht/sigg_2001/ www.bundesfinanzministerium.de/...publicationFile.pdf http://partners.adobe.com/public/developer/en/pdf/PDFReference16.pdf www.rfc-editor.org/rfc/rfc2315.txt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#6, Seite 74
| 