20070910c intarsys Elektronische Signatur
|
|
|
»manage
it«
als
|
Praxisanwendungen für elektronische Signatur außerhalb des E-Billings sind rar Mit Brief und Siegel Die elektronische Signatur entspricht im digitalen Dokumentenaustausch der eigenhändigen Unterschrift, ist aber weitaus komplizierter und aufwändiger einzubinden. Während sie in der elektronischen Rechnungsstellung Mehrwerte und Prozessverbesserungen bietet, stehen für private Anwender den hohen Erstinvestitionen noch keine signifikanten Nutzen gegenüber.
oraussetzung für das elektronische Signieren, welches auf kryptographischen Methoden basiert, sind jeweils ein privater und ein öffentlicher Schlüssel, die eindeutig einer Person zugeordnet werden können. Per Hashwert wird dann bei der Signatur eines Dokuments ein charakteristischer und eindeutiger »Fingerabdruck« erzeugt. Nachträgliche Änderungen des Dokuments lassen sich über diesen Fingerabdruck jederzeit aufdecken. Der Hashwert wird mit dem privaten Schlüssel verschlüsselt und bildet damit die elektronische Signatur. Sie kann als separate Datei zum Originaldokument oder in dieses direkt eingebettet versendet werden. Auf der Empfängerseite lässt sich auf die gleiche Weise mit dem öffentlichen Schlüssel die Übereinstimmung beider Signaturen überprüfen. So werden die Integrität und Authentizität des Absenders sichergestellt. Damit die Signatur gesetzlich voll akzeptiert ist, müssen jedoch noch weitere Voraussetzungen erfüllt sein. Geregelt werden diese durch das Signaturgesetz von 2001 und das Umsatzsteuergesetz von 2005. Danach gilt nur die »qualifizierte elektronische Signatur mit Anbieterakkreditierung« (kurz QESAK) als vollwertiger Ersatz der persönlichen Unterschrift. Nur QUESAK zählt Um den Status einer QUESAK zu erreichen, muss die Schlüsselgenerierung und Hinterlegung des öffentlichen Schlüssels durch anerkannte und geprüfte (und deshalb akkreditierte) Stellen, den Trust Centern, vollzogen werden. Bezeugt werden diese Identifikation und die Schlüsselzuweisung durch ein Zertifikat, das wiederum nur eine zeitlich begrenzte Haltbarkeit aufweist und danach erneuert werden muss. Abgelegt werden darf der private Schlüssel zusammen mit dem Zertifikat nur auf einer dafür geeigneten Smartcard, so dass die Dokumentensignierung direkt auf der Karte erfolgt. Zur Freischaltung privater Schlüssel kommen ausschließlich Kartenlesegeräte ab Klasse 3 mit eigener Tastatur und Display für die PIN-Eingabe zum Einsatz. Einsparungen nur bei durchgängiger »digitaler Kette« Auf der Empfängerseite muss zwingend eine Prüfung der Signatur stattfinden, die über eine Onlineverbindung zum Trust Center belegt, dass das Zertifikat des Ausstellers gültig ist und das Dokument nicht verändert wurde. Digital eingetroffene Rechnungsdokumente sind nur zusammen mit dieser Prüfbescheinigung für den Umsatzsteuervorabzug zugelassen. Die möglichen Einsparpotenziale werden mit vier bis fünf Euro pro Rechnung auf Rechnungsstellerseite und mit bis zu einem Euro auf Seite des Rechnungsempfängers geschätzt. Entscheidend ist, dass die »digitale Kette« bei der Signatur von der Erzeugung bis zur Prüfung durchgängig ist. Mittlerweile übernehmen auch externe Dienstleister entweder im Auftrag des Rechnungsempfängers die Signaturprüfung und erstellen die geforderten Prüfberichte oder wickeln den gesamten Signaturprozess ab. Während die elektronische Signatur bei der Rechnungsübermittlung für die Beteiligten klare Kosten- und Prozessvorteile bringt, werden kaum Mehrwerte für Anwender bei anderen Einsatzgebieten geschaffen. Hauptgrund sind hierbei die Grundkosten für die Infrastruktur. Neben einem zugelassenen Kartenleser für rund 70 Euro schlägt auch noch das Zertifikat mit etwa 25 bis 40 Euro für zwei Jahre zu Buche. Selbst Banken oder Behörden, die aus einem Einsatz der elektronischen Signatur unmittelbare Vorteile für ihre Prozessabwicklung ziehen könnten, konnten sich bislang nicht dazu durchringen, diese Kosten auch nur anteilig zu übernehmen. Zwar bietet die für 2008 avisierte Gesundheitskarte, die jeder gesetzlich krankenversicherte Bürger erhalten wird, neben dem elektronischen Rezept auch Raum für die elektronische Signatur. Momentan ist jedoch weder eine einheitliche Handhabung der Signaturinformation auf der Karte beschlossen, noch die Einsatzfähigkeit außerhalb der Krankenversicherungssphäre geregelt. Demzufolge wird sich die qualifizierte elektronische Signatur mittelfristig vornehmlich im E-Billing noch mehr etablieren und in abgeschwächter Form als fortgeschrittene Signatur ohne akkreditierte Trust Center die sichere Kommunikation von E-Mails und Datentransfers beherrschen. Dr. Bernd Wild _____________________________________________________________________ Dr. Bernd Wild ist Geschäftsführer der intarsys consulting GmbH
|
|
