Die digitale Signierung von versandten Telefaxen wird seit Mitte letzten Jahres gefordert, um z.B. den Vorsteuerabzug bei eingehenden Rechnungen sicherzustellen. Manch einer fragt sich sicher berechtigt: „Wie soll denn das funktionieren?“ Im folgenden Beitrag werden Hintergründe und Lösungswege aus diesem Dilemma aufgezeigt. Mittlerweile ist das Versenden von Rechnungen per Telefax schon gängige Praxis. Viele Unternehmen nutzen den vergleichsweise günstigen Kommunikationsweg, denn jeder Empfänger im B2B-Bereich verfügt über ein Telefax-Gerät. Logo des Absenders und die Absenderkennung auf dem Telefax hatten bisher genügt, um den Absender zu identifizieren. Mit zunehmendem Einsatz von elektronischer Datenverarbeitung sind jedoch die Möglichkeiten der Manipulation von Eingangsrechnungen zum Zweck des unberechtigten Vorsteuerabzuges deutlich erleichtert worden. Logos können eingescannt und Absenderkennungen manipuliert werden. So erstellte, fingierte Rechnungen nutzen scheinbar doch viele Unternehmen mit der betrügerischen Absicht, unberechtigt Vorsteuer vom Finanzamt zu kassieren, so dass sich die Finanzverwaltung zu Gegenmaßnahmen entschieden hat.

Schreiben des Bundesministeriums für Finanzen vom 29.01.2004

In diesem Schreiben hat das Bundesministerium für Finanzen die Vorgehensweise für die Versendung von elektronisch übermittelten Rechnungen – z. B. per e-Mail aber auch per Telefax – näher erläutert. Darin ist festgehalten, dass Rechnungen – bei Zustimmung des Empfängers – auch auf elektronischem Weg übermittelt werden können, wenn bestimmte Vorschriften eingehalten werden.

Diese Zustimmung erfordert übrigens keine bestimmte Form. Es muss nur das Einvernehmen zwischen Aussteller und Empfänger der Rechnung ausgedrückt werden, dass die Rechnungen elektronisch übermittelt werden. Dies kann auch im Nachhinein erfolgen oder durch Billigung, d.h., wenn die Vorgehensweise stillschweigend akzeptiert wird.

Jedoch, und hier fängt die Problematik schon an, ist die Echtheit der Herkunft und die Unversehrtheit des Inhaltes zu gewährleisten. Dies kann auf zwei Arten erfolgen: entweder mit qualifizierter elektronischer Signatur oder im EDI-Verfahren mit zusätzlicher Papier-/Elektronischer Rechnung mit qualifizierter Signatur.

Qualifizierte elektronische Signatur

Die elektronische Signierung von Nachrichten – z.B. e-Mails – wird verwendet, um den Absender der e-Mail eindeutig zu identifizieren. Digital signierte e-Mails enthalten Zertifikatsinhalte die nicht manipuliert werden können. Zertifikate zur digitalen Signierung können bei unterschiedlichen Anbietern (z.B. Verisign, D-Trust, S-Trust etc.) erworben werden. Dabei kann zum „Ausprobieren“ auch mal ein kostenloses, oft auf einige Wochen zeitlich limitiertes Zertifikat angefordert werden. Die Beantragung eines Zertifikates erfolgt oft auf elektronischem Weg – z. B. über das Internet. Sie als Antragsteller beantragen beim Zertifikatsaussteller ein Zertifikat. Nach Überprüfung Ihrer Angaben wird Ihnen z.B. eine e-Mail mit Link auf die Bestätigungsseite des Ausstellers übermittelt. Durch Eingabe des Bestätigungscodes wird das Zertifikat auf Ihrem lokalen PC installiert und Sie können Ihre Nachrichten künftig signieren. Dabei ist abzugrenzen, dass die digitale Signatur nur eine Bestätigung der Echtheit des Absenders ist und keine Verschlüsselung der Nachricht darstellt.

Schon wieder die nächste Frage: Was ist eigentlich eine qualifizierte elektronische Signatur? Gemäß dem deutschen Signaturgesetz ist eine qualifizierte elektronische Signatur dann gegeben, wenn das Zertifikat von einem Zertifizierungsdienstanbieter ausgestellt wurde, der die Vorschriften des Signaturgesetzes (§§ 4 bis 14 sowie §17 oder §23) erfüllt. Vereinfacht ausgedrückt heißt das: Es gibt so genannte Class1-Zertifikate, die eine unbestätigte Absenderkennung darstellen und so genannte Class2-Zertifikate, die von einem zugelassenen Zertifizierungsdienstanbieter bestätigt wurden. Nur die Class2-Zertifikate sind im Rahmen des Signaturgesetzes und im Kontext des Schreibens des Bundesministeriums für Finanzen für die Signierung von Rechnungen zulässig.

Telefax-Rechnungen

Nun aber zu den Rechnungen die per Telefax übermittelt werden: Gemäß o. g. Schreiben des Bundesministeriums für Finanzen gibt es bei e-Mail- und Telefax-Rechnungen die Sonderregelung, dass beim Übermitteln über Standard-Faxgeräte sowohl Absender als auch Empfänger je eine Papierkopie aufbewahren. Standard-Faxgerät heißt aber: Ausdruck der Rechnung, Wanderung zum Faxgerät, manueller Versand jedes einzelnen Dokumentes und Ablage im Ordner. Gerade dies kann aber – aufgrund der hohen Anzahl von zu versendenden Rechnungen – bei einer Vielzahl von Unternehmen nicht mehr praktiziert werden. Deshalb gibt es eine weitere Sonderregelung für den Versand über andere Telefax-Übertragungsformen – wie z. B. Übertragung von Standard-Telefax an Computer-Faxserver, von Computer-Faxserver an Standard-Telefax oder die Übertragung zwischen zwei Computer-Faxservern. In diesen Fällen ist eine qualifizierte elektronische Signatur notwendig.

Bei e-Mails ist das ja noch relativ einfach zu machen. An die e-Mail, die das zu versendende Dokument enthält, wird einfach eine Signatur angefügt. Doch wie soll eine Signaturdatei an ein Papierdokument angehängt werden? Die Lösung des Problems hat den wenigen Anbietern von Faxlösungen mit Unterstützung von digitaler Signierung bestimmt einiges Kopfzerbrechen bereitet.

Fax-Signatur

Was bleibt anderes übrig, als die Signatur in irgendeiner Weise zu Papier zu bringen und beim Faxen des Dokumentes mit zu übertragen? Die mir bekannten Lösungen setzen alle auf eine Umsetzung der digitalen Signatur in einen zweidimensionalen Barcode, der die Signaturinformationen enthält. Nun gibt es aber das Problem, dass eine e-Mail mit einer angehängten Signatur ein Dokument mit mehreren Seiten enthalten kann. Die gesamte e-Mail wird mit dieser Signatur versehen. Beim Versand über Telefax kommen beim Empfänger jedoch mehrere einzelne Seiten an.

So muss auf jeder Seite ein Barcode aufgebracht werden. Wohin aber mit einem zweidimensionalen Barcode, der in der Regel zirka 2 cm hoch und 20 cm breit ist? Von Skalierung des Original-Faxtextes bis zur exakten Positionierung in freie Bereiche reichen hier die Lösungen der Anbieter.

Nun reicht es aber nicht, auf jede Seite einen Barcode mit der Signatur des Absenders aufzubringen. Denn dann könnte ja jeder wieder mit einigen Handgriffen am PC den Barcode von einem Dokument auf ein anderes kopieren. Deshalb muss auch der Inhalt des Telefaxes, oder Teile daraus in den Barcode übernommen werden. Nur so kann beim Empfänger geprüft werden, ob die Informationen im Barcode mit dem Text auf dem Fax übereinstimmen. Damit auch hier die Manipulationsmöglichkeiten gegen Null reduziert werden, wird der Inhalt des Barcodes verschlüsselt und Platz sparend komprimiert.

Prüfung eingehender Telefaxe

Was nützt die schönste Signierung, wenn der Empfänger nicht die Möglichkeit hat, diese zu prüfen? Jeder Faxsoftware-Hersteller, der digitale Signierung unterstützt, muss deshalb eine Möglichkeit schaffen, die Telefaxe beim Empfänger prüfen zu können. Die Lösung hierfür ist das kostenlose Verteilen einer Lese-Software, welche in der Lage ist, die empfangenen Telefaxe zu prüfen. Diese werden beim Empfänger entweder mit Faxsoftware empfangen oder nach Empfang eingescannt, in Grafik-Dateien exportiert und im Viewer-Programm gelesen. Dabei wird festgestellt, ob im Zertifikatsspeicher des PCs, an dem dieser Vorgang stattfindet, der öffentliche Schlüssel des Absenderzertifikates gespeichert ist. Ist dies nicht der Fall, muss der Empfänger diesen Schlüssel beim Absender anfordern oder – was auch praktiziert wird – über eine URL von der Web-Seite des Absenders herunterladen.

Anbieter

Obwohl die Signatur von ausgehenden Telefax-Rechnungen ein sehr brisantes Thema ist, haben bisher noch nicht viele Anbieter von Faxlösungen eine Lösung hierfür parat. Stellen Sie sich vor, Sie erhalten eine Rechnung per Telefax ohne Signatur und setzen in der Folge einige tausend Euros Vorsteuer ab. Wenn ein Betriebsprüfer vom Finanzamt diese Rechnungen nicht anerkennt, kann das ganz schnell ganz schön teuer werden.

Wir haben für Sie recherchiert und sind zu folgendem Ergebnis gekommen: Es gibt durchaus Anbieter von Telefax-Lösungen, die in der Technologie der digitalen Signatur von Faxen keinen Markt sehen und deswegen auch keine Projekte gestartet haben. Dies waren jedoch nur drei Unternehmen. Die Mehrzahl der bekannten Anbieter hat Projekte zur Realisierung dieser Technik am Laufen. Die Firma Gräbert Software + Engineering hat in ihrer Messaging-Lösung die Möglichkeit, qualifizierte elektronische Signaturen zu überprüfen und zu versenden, integriert. Diese Neuerung wird auf der CeBIT 2005 vorgestellt. Ebenso hat die Firma MCA aus Stolberg sich zu einer Aussage bekannt, auf der CeBIT eine Lösung für ihr Produkt vorzustellen. Die Firmen Roha aus Wien und Veda aus Alsdorf sind in der Realisierung des Projekts und werden dieses Feature in Kürze dem Markt offerieren.

Unternehmen die es bereits realisiert haben, gibt es natürlich auch. Hier sind die Firmen Ferrari electronic AG und TOPCALL AG, welche das Produkt Secrypt des gleichnamigen Berliner Unternehmens dafür einsetzen. Die Toolmaker Software GmbH bietet ein Modul zur Faxsignierung für ihr Produkt an. Die beiden Lösungen unterscheiden sich z. B. darin, dass Toolmaker die Signierung in Echtzeit vor dem Versand native auf der iSeries/i5 durchführt und einen Standard PDF417-Barcode verwendet. Secrypt arbeitet mit einem selbst entwickelten ebenfalls zweidimensionalen Barcode und einem Signatur-Server, an den die Faxe übertragen und signiert zurückerhalten werden. Beide Anbieter bieten den kostenlosen Download ihrer Vierwer-Programme auf ihren Web-Seiten an.

Fachautor: Robert Engel