Re: [OT] Emailsignaturen nach Signatugesetz

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Thu, 25 Jan 2007 15:19:38 +0100 (CET)

Nicola Tiling wrote:
>
> > Verstehe ich nicht, inwiefern kein Verhältnis?
>
> Weil Papierrechnungen in keinster Weise fälschungssicher sind.
> Nichtsdestotrotz ist es strafbar sie zu verändern. Das gilt auch für eine
> etwaige Fälschung von Onlinerechnungen.

Richtig.

> Wenn man denkt bei ersterem reicht
> die Strafbarkeit aus um vor Mißbrauch zu schützen sollte das auch bei
> letzterem so sein.

So ist es aber nicht. Das hat ganz einfache technische
Gründe.

Die Integrität einer digitalen, signierten Rechnung kann
ein Computer in Sekundenbruchteilen prüfen, ohne weitere
Informationen von dritter Stelle. Mißbrauch ist ausge-
schlossen.

Bei Papierrechnungen gibt es so eine Möglichkeit nicht.
Es gibt einfach keine verlässliche Technik dafür. Ein
Siegel, ein Barcode, ein Wasserzeichen, ein Hologramm,
ein RFID-Chip, was auch immer -- nichts davon kann ver-
lässlich Manipulationen erkennen. Die einzige Möglich-
keit besteht darin, dass das Finanzamt die Rechnungen
von Aussteller _und_ Empfänger zusammenführt und mitein-
ander vergleicht. Das ist aufwendig und kostet Zeit,
und daher wird es -- wie ich schon schrieb -- im allge-
meinen nur stichprobenartig gemacht.

Vor diesem Hintergrund ist es unzweifelhaft, dass die
digitale signierte Rechnung ein enormer Fortschritt ist.

> Bekommst Du denn von Deinen Lieferanten nur signierte Rechnungen?

Teils, teils. So ist das halt in einer Übergangsphase,
die unvermeidlich ist. Es wird die Zeit kommen, wo es
keine Papierrechnungen mehr geben wird (im gewerblichen
Umfeld zumindest).

Mich erinnert das ein bisschen an DVB-T. Es gibt/gab
auch Leute, die sich beschweren, dass sie nun ein teures
Zusatzgerät kaufen müssen, um noch Fernsehen empfangen
zu können. Die Vorteile der neuen Technik nehmen sie
nicht wahr und stellen sich auf den Standpunkt, dass
auch sonst keiner etwas vond en Vorteilen haben soll.
Ganz davon abgesehen, dass die DVB-T-Empfänger aufgrund
zunehmender Konkurrenz inzwischen rapide im Preis ge-
fallen sind. Ich könnte mir vorstellen, dass dasselbe
auch bei den Anbietern von Signierungslösungen passieren
wird.

> Aber vielleicht sollten wir nochmal 'zurück auf Los': es ging ja auch darum
> dass a) die Signierung eine sehr teure Angelegenheit werden kann,

Es gibt Firmen, die damit deutlich Geld einsparen. Aller-
dings sind das wohl momentan eher nur größere Firmen.
Wer pro Monat Rechnungen verschickt, deren Anzahl im fünf-
oder sechsstelligen Bereich angesiedelt ist, hat erhebliche
Kosten für Porto, Papier und Handling.

> b) gerade
> Klein und Mittelständische Betriebe damit überfordert sein können.

Noch wird (noch) niemand gezwungen, es zu verwenden. Ich
nehme an, dass entsprechende Lösungen mit der Zeit ausge-
reifter sein werden. Es sollte eigentlich grundsätzlich
niemand damit überfordert sein.

Dass momentan die vorhandene Technik und die existierenden
Angebote noch nicht das Gelbe vom Ei sind, ist kein prin-
zipielles Argument gegen digitale signierte Rechnungen.

> Muß bei einer PDF Rechnung die Signatur im PDF enthalten sein oder die eMail
> selber signiert werden?

Aus rein technischer (und logischer) Sicht ist beides
äquivalent. Ob ich ein Dokument signiere oder einen
Container, der dieses Dokument enthält, ist unerheblich.
Du könntest also theoretisch das PDF als Attachment in
eine E-Mail tun und mit S-MIME signieren.

Allerdings muss man sich auf eine möglichst einheitliche
Vorgehensweise einigen, damit eine automatisierte Ver-
arbeitung möglich ist, ohne dass allzu viele verschiedene
Fälle unterschieden werden müssen. Daher wohl die Vorgabe,
dass das PDF selbst die Signatur enthalten muss. (Was
außerdem den Vorteil hat, dass man nicht auf E-Mail als
Transportmedium festgelegt ist, sondern z.B. einfach das
PDF zum Herunterladen auf einen Webserevr legen kann, wie
es z.B. mein DSL-Anbieter macht.)

Gruß
   Olli

-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
Python is executable pseudocode.  Perl is executable line noise.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 25 Jan 2007 - 15:21:21 CET

search this site