Anzeigen

Anbieter von Lösungen zur elektronischen Steuerprüfung
Logo Audicon
Data Migration
Gisa
DATEV eG
Home  (IT-)Management Nachsignieren von Dokumenten mit elektronischer Signatur

Nachsignieren von Dokumenten mit elektronischer Signatur bis Jahresende 2007?

Von Gerhard Schmidt


Für alle Unternehmen, die signierte Dokumente und Daten erstellen, versenden, empfangen oder verwenden, heißt es bis zum Jahresende: aufgepasst! Denn die elektronischen Signaturen könnten mit dem Jahreswechsel „weich“ werden. Das deutsche Signaturgesetz schreibt nämlich zum 01. Januar 2008 die Verwendung neuer Schlüssellängen zur Erstellung von qualifizierten elektronischen Signaturen und Zeitstempeln vor. Damit werden die aktuellen Schlüssel zum Ende des Jahres ungültig. Um die Signaturqualität über den 31. Dezember 2007 hinaus zu erhalten, müssen alle signierten Daten vor dem Jahresende mit einer „neuen“ Signatur bzw. einem Zeitstempel nachsigniert werden. Ist dies wirklich in jedem Fall nötig oder nur übertriebene Panikmache von Signaturdiensteanbietern?

Warum müssen elektronisch signierte Dokumente überhaupt nachsigniert werden, um deren Unterschriftsqualität zu erhalten? Unterschriften von Hand sind doch auch zeitlich unbegrenzt gültig?

Um ein Dokument elektronisch zu signieren, wird ein Signaturschlüssel benötigt. Dieser besitzt eine bestimmte Länge. Je länger der Schlüssel ist, desto unwahrscheinlicher ist es, dass der Schlüssel gebrochen werden kann. Je kürzer der Schlüssel ist, desto flotter lässt sich damit arbeiten. Es gilt also einen Kompromiss bezüglich der Schlüssellänge zu finden. Die Qualität eines Schlüssels lässt sich dadurch bestimmen, dass man den Aufwand abschätzt, ihn zu brechen. Bei einem sogenannten Brute-Force-Angriff etwa werden alle möglichen Schlüssel nacheinander ausprobiert. Der Aufwand dafür lässt sich in MIPS-Jahren angeben. MIPS steht für „Million Instructions per Second“. Ein MIPS-Jahr ist dann die Anzahl von Programmschritten, die ein Computer mit der Rechengeschwindigkeit 1 MIPS in einem Jahr vollführt. Mit einem Aufwand von rund 8.000 MIPS-Jahren ist es möglich, einen 512-Bit-langen Schlüssel zu knacken, berichtet das Informatikzentrum Niedersachsen.

Die Rechenleistung moderner Computer nimmt rapide zu. Sei es, dass die Prozessoren immer leistungsfähiger werden, sei es, dass in einem Computer immer mehr Prozessoren arbeiten, sei es dass immer mehr Computer zu Rechnernetzen zusammengeschaltete werden. So kann es also vorkommen, dass ein Signaturschlüssel, der vor einigen Jahren noch als praktisch unknackbar galt, im Lichte der Rechenpower heutiger Computer inzwischen ganz anders gesehen wird.

Um dem Brechen von Signaturschlüsseln vorzubeugen, fordert das „Gesetz über Rahmenbedingungen für elektronische Signaturen“ (SigG) in § 6 vom Zertifizierungsdiensteanbieter, seinen Kunden darauf hinzuweisen, dass Daten mit einer qualifizierten elektronischen Signatur bei Bedarf neu zu signieren sind, bevor der Sicherheitswert der vorhandenen Signatur durch Zeitablauf geringer wird. Grundlage für derartige Hinweise ist der sogenannte "Algorithmenkatalog", der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) (www.bsi.de) regelmäßig erstellt und von der Bundesnetzagentur (BnetzA) (www.bundesnetzagentur.de) als zuständiger Behörde veröffentlicht wird. Dazu heißt es in der Signaturverordnung (SigV):

"Die zuständige Behörde veröffentlicht im Bundesanzeiger eine Übersicht über die Algorithmen und zugehörigen Parameter, die zur Erzeugung von Signaturschlüsseln, zum Hashen zu signierender Daten oder zur Erzeugung und Prüfung qualifizierter elektronischer Signaturen als geeignet anzusehen sind, sowie den Zeitpunkt, bis zu dem die Eignung jeweils gilt. Der Zeitpunkt soll mindestens sechs Jahre nach dem Zeitpunkt der Bewertung und Veröffentlichung liegen. Die Eignung ist jährlich sowie bei Bedarf neu zu bestimmen. Die Eignung ist gegeben, wenn innerhalb des bestimmten Zeitraumes nach dem Stand von Wissenschaft und Technik eine nicht feststellbare Fälschung von qualifizierten elektronischen Signaturen oder Verfälschung von signierten Daten mit an Sicherheit grenzender Wahrscheinlichkeit ausgeschlossen werden kann. Die Eignung wird nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik unter Berücksichtigung internationaler Standards festgestellt. Experten aus Wirtschaft und Wissenschaft sind zu beteiligen."

Zum Jahreswechsel tritt nun der Fall ein, dass Signaturen mit einer Schlüssellänge von 1.024 Bit nicht mehr geeignet sind. Welche Konsequenzen hat dies nun für den Besitzer signierter Dokumente?

Hier muss genau unterschieden werden. Denn es gibt Dokumente, die nicht nachsigniert werden müssen, Dokumente, die auf jeden Fall nachsigniert werden müssen, und Dokumente, bei denen eine Risikoabwägung nötig ist.

Elektronisch signierte Dokumente verlieren mit abnehmender Signatursicherheit bestimmte Eigenschaften oder Qualitäten. Wird nach langen Jahren bestritten, dass die ursprüngliche Signatur zu einem Dokument eine qualifizierte elektronische Signatur ist, muss nachgewiesen werden können, dass die Signatur diese Qualität aufweist. Welcher Aufwand ist diese Nachweismöglichkeit wert? Das muss ein Unternehmen im Einzelfall entscheiden und gegebenenfalls in die Nachsignatur investieren.

Zu den Dokumenten, die nicht nachsigniert werden müssen, gehören die elektronischen Rechnungen. Das BMF vertritt laut einer Auskunft vom 17. Juni 2006 die Ansicht, dass die Nachsignatur einer bereits übermittelten Rechnung umsatzsteuerrechtlich nicht erforderlich ist, wenn der ursprünglich beigefügte Schlüssel der qualifizierten elektronischen Signatur seine Gültigkeit verliert. Echtheit der Herkunft und Unversehrtheit des Inhalts der übermittelten Daten könnten anhand der vom Unternehmen nach § 14 b UstG aufzubewahrenden Unterlagen auch dann nachgeprüft werden, wenn die Gültigkeit der qualifizierten elektronischen Signatur auf Grund anderer Vorschriften abgelaufen ist. Werden elektronische Rechnungen, wie von den GDPdU gefordert, revisionssicher aufbewahrt, gibt es eigentlich keinen Grund für ein Nachsignieren. Und außerdem: Ein Unternehmen ist gegenüber dem Finanzamt nicht beweis- sondern lediglich nachweispflichtig. So ist ein elektronisches Dokument mit veraltetem Signaturschlüssel, dessen Beweiskraft zivilrechtlich geschwächt ist, für den Nachweis gegenüber einem Betriebsprüfer immer noch stark genug.

Ganz anders sieht es beispielsweise bei den gesetzlichen Krankenkassen oder bei Bauämtern aus, die ihre Dokumente rein elektronisch verwalten. Selbst wenn deren Archiv revisionssicher ist, besteht die begründete Gefahr, dass die Integrität eines signierten Dokumentes, dessen Signatur gefährdet ist, bestritten wird und so in letzter Konsequenz der Beweiswert, wie er in § 371 a ZPO verankert ist, verloren geht. Für derartige Signaturanwender führt an einer Nachsignatur eigentlich kein Weg vorbei. Zumal für viele davon sehr lange Aufbewahrungsfristen gelten, bei Krankenhausarchiven etwa, im Flugzeugbau (50 Jahre) oder beim elektronischen Grundbuch, das sogar auf Dauer geführt wird.

Was müssen Sie als Unternehmer also beim Thema Nachsignieren tun? Wenn es um elektronische Rechnungen geht, sind Sie fein heraus. Wenn Sie jedoch mit weiteren elektronisch signierten Dokumenten arbeiten, dann empfiehlt es sich, diese bezüglich des Erhalts ihrer Beweiskraft einmal unter die Lupe zu nehmen und gegebenenfalls vor dem Jahresende noch nachzusignieren.

Newsletter
 hier abonnieren