De-Mail, E-Postbrief

Trotz Anlaufschwierigkeiten: Die (Schn@cken-)Post kommt

Elektronische Signatur, De-Mail, E-Postbrief – in den letzten Wochen und Monaten sorgten Gesetzgeber und Behörden durch ein (hoffentlich nur) verschobenes Gesetz und das langsame Inkraftreten eines anderen für einige Verunsicherung.

---

Im Juli schauten mittelständische Unternehmen hoffnungsfroh nach Berlin und erwarteten das Steuervereinfachungsgesetz. In dessen Rahmen sollten die Anforderungen an den elektronischen Versand von Rechnungen reduziert werden. Eine wichtige Vereinfachung gerade für mittelständische Unternehmen, denn der doch aufwendige Nachweis der Echtheit, Herkunft und der Unversehrtheit des Inhalts sollte nicht mehr zwingend mit der qualifizierten elektronischen Signatur bzw. mit der Anbieterakkreditierung laut Signaturgesetz erbracht werden müssen. So sollte unter anderem infolge des Gesetzes alternativ zur qualifizierten elektronischen Signatur auch die elektronische Identifzierungsfunktion des neuen Personalausweises eingesetzt werden können. Doch der Bundesrat stimmte dem Gesetz überraschend nicht zu.

Eine ähnliche Enttäuschung bringt das bereits im Mai in Kraft getretene De-Mail-Gesetz mit sich. Denn die Umsetzung lässt auf sich warten. De-Mail-Anbieter müssen zunächst die Akkreditierung als De-Mail-Diensteanbieter beim Bundesamt für Sicherheit in der Informationstechnik (BSI) beantragen. Nach jüngsten Meldungen ist laut BSI erst gegen Ende dieses Jahres mit der ersten Akkreditierung zu rechnen. So weit, aber (noch) nicht: so gut.

Was ist was?

Zunächst einmal die Frage: Was verbirgt sich genau hinter den verschiedenen Formen der elektronischen Signaturen? Allzu oft herrscht Unklarheit über deren korrekte Definitionen. Zu unterscheiden ist zwischen der einfachen, der fortgeschrittenen und der qualifizierten Signatur. Im Unternehmensalltag spielen vorwiegend die beiden Letztgenannten eine Rolle. Bei der fortgeschrittenen Signatur wird die Echtheit und Unverfälschtheit der durch sie signierten Daten überprüft. Die Signatur wird mit einem einmaligen Signaturschlüssel erstellt, anders als bei der qualifizierten Signatur muss die Identifizierbarkeit des Signaturerstellers nicht durch ein Zertifikat gegeben sein. Die Signaturerzeugung beruht dabei auf einem asymmetrischen Schlüsselpaar, das je zur Hälfte aus einem öffentlichen Schlüssel, dem Public Key, und einem privaten Schlüssel, dem Private Key, besteht. Für die Verschlüsselung wird der Public Key verwendet und für die Entschlüsselung der Private Key, der nur dem Empfänger bekannt und somit geheim ist. Dieses Verfahren stellt sicher, dass kein Schlüssel von dem anderen abgeleitet werden kann.

Das Alleinstellungsmerkmal von Dokumenten, die mit einer qualifzierten elektronischen Signatur ausgestattet sind, ist, dass sie einer vom Gesetz auf Papier geforderten Schriftform gleichwertig sind. Damit ist die qualifizierte elektronische Signatur einer eigenhändigen Unterschrift gleichzustellen. Sie beruht auf einem zum Zeitpunkt der Erzeugung gültigen qualifizierten Zertifikat und muss mit einer „Sicheren Signaturerstellungseinheit“ erstellt werden.
De-Mail wiederum soll den vertraulichen und verbindlichen Austausch von Dokumenten über das Internet gewähren. Per Gesetz wurden die Rahmenbedingungen festgelegt, unter denen per De-Mail verschickte Briefe rechtsgültig sind. Die Datenübertragung erfolgt dabei verschlüsselt, wobei im Gesetz auf die Vorgabe der Ende-zu-Ende-Verschlüsselung verzichtet wurde.
Provider des E-Postbriefs, des Konkurrenzprodukts der De-Mail, ist die Deutsche Post. Leider war es nicht möglich, eine Beurteilung der aktuellen Entwicklung von der Deutschen Post zu bekommen. Interessant ist es aber natürlich auch, Einschätzungen der für die Akkreditierung der De-Mail-Provider zuständigen Institution zu erhalten. Das BSI kann der Beschreibung des Zertifizierungsverfahrens als zeitaufwendig nicht zustimmen. Nach Meinung des BSI sind „die geprüfte Sicherheit der De-Mail-Infrastruktur und die korrekte Funktion wesentliche Sicherheitsanker“. Darin sieht das BSI einen wesentlichen Unterschied von De-Mail zu anderen Angeboten, bei denen es keine vergleichbar hohen Anforderungen gäbe.

Expertenmeinungen

Um ein wenig Klarheit in die Verwirrungen der letzten Monate zu bringen, befragten wir Signatur- und De-Mail-Anbieter, das BSI und den Branchenverband Bitkom. Dr. Pablo Mentzinis, Bereichsleiter Public Sector des Bitkom, sagt Folgendes über die Auswirkungen der Kippung des Steuervereinfachungsgesetz: „Das Gesetz sah vor, dass alternativ zur qualifizierten elektronischen Signatur auch die elektronische Identifizierungsfunktion des neuen Personalausweises (eID) eingesetzt werden kann. Das ist in vielen Bereichen eine sinnvolle und kostengünstige Lösung, denn in vielen Fällen kommt es gar nicht darauf an, dass jemand erklärt ,ich will’ (qualifizierte elektronische Signatur), sondern es reicht aus, dass er bestätigt ,ich bin’ (eID). Nicht mehr und nicht weniger macht die elektronische Identifizierungsfunktion des neuen Personalausweises. Es ist daher bedauerlich, dass diese technologische Vereinfachung nicht genutzt worden ist.“
Gerade für Signaturanbieter sollte das Steuervereinfachungsgesetz neue Optionen bereithalten, somit ist die Ablehnung durch den Bundesrat ein Rückschlag für diese Unternehmen.

Doch Axel Janhoff, Vorstand von Mentana Claimsoft, bleibt optimistisch: „Wir gehen davon aus, dass das Steuervereinfachungsgesetz früher oder später in Kraft treten wird – bisher wurde seine Verabschiedung lediglich verschoben. Wir weisen unsere Kunden vor allem darauf hin, dass sich in der kommenden Neufassung möglicherweise eine steuerliche Stolperfalle verbirgt.“ Axel Janhoff gibt in diesem Zusammenhang zu bedenken, dass durch das Gesetz zwar elektronische Rechnungen per PDF umsatzsteuerrechtlich geltend gemacht werden können. Allerdings müssten die Unternehmen trotzdem durch ein innerbetriebliches Steuerungsverfahren einen verlässlichen Prüfpfad zwischen Rechnung und Lieferung oder Dienstleistung belegen. Er meint: „Hierfür braucht es eine digitale Signatur – oder künftig den Versand per De-Mail, womit Versender und Empfänger dann auf der sicheren Seite wären.“  

Arne Brandes, Geschäftsführer von Signotec, sieht die Lage ebenfalls optimistisch. Für das Anbieterunternehmen fortgeschrittener Signaturen würde sich die Umsetzung des Gesetzes wohl positiv auswirken. Der Geschäftsführer meint hierzu: „Vor allem kleinere Unternehmen haben ihre Rechnungen bislang nicht elektronisch versendet, da dies eben mit hohen Einstiegskosten beim Verwenden der qualifizierten Signatur verbunden war. Um Authentizität und Integrität zu gewährleisten, kann jetzt auch etwa eine fortgeschrittene elektronische Signatur verwendet werden, wie sie das biometrische Verfahren von Signotec bietet. Wir versprechen uns von der Gesetzesänderung daher einen enormen Aufschwung beim Versand elektronisch erzeugter Rechnungen.“
Doch zurück zur De-Mail: 1&1 gehört zu den De-Mail-Providern.

Michael d’Aguiar, Pressesprecher von 1&1, bringt einen weiteren Aspekt im Zusammenhang mit dem Steuervereinfachungsgesetz zur Sprache: „Selbst wenn das Gesetz kippen sollte, bleibt die Nutzung von De-Mail für die Übermittlung elektronischer Rechnungen erhalten: Der Absender müsste lediglich die Option ,absenderbestätigt’ wählen, schon wird einer De-Mail seitens des Providers eine qualifizierte elektronische Signatur hinzugefügt, die den bisher geltenden Anforderungen für elektronische Rechnungen entspricht.“

Wirklich praktikabel?

Im Unternehmensalltag heißt es allerdings häufig, dass das Verfahren der elektronischen Signatur zu aufwendig sei. Befragt man die Anbieterunternehmen, erfährt man selbstverständlich wenig Zuspruch für diese Einschätzung. Arne Brandes von Signotec bezieht den erhöhten Aufwand ausschließlich auf die qualifizierte elektronische Signatur. Für ihn wäre die Ausdehnung des Einsatzgebietes der fortgeschrittenen Signatur auf die Bereiche, die bisher nur der qualifizierten vorbehalten ist, sehr hilfreich. Axel Janhoff von Mentana Claimsoft unterscheidet grundsätzlich zwischen einer Lösung, die am jeweiligen Arbeitsplatz des Anwenders installiert ist, und einer serverbasierten, die im Hintergrund abläuft. Bei der Erstgenannten kann der Nutzer die Signatur an seinem Arbeitsplatz vornehmen, die aus Sicht von Axel Janhoff praktisch die Funktion einer Unterschrift hat. Er räumt ein: „Dafür muss eine Software am Arbeitsplatz installiert werden, so dass man hier tatsächlich noch ein wenig Aufwand hat.“ Im Fall der serverbasierten
Variante ist der Unterschreibende die Firma selbst und die Signatur in den Prozessen voreingestellt, so dass „keinerlei Benutzerinteraktion“ nötig ist.

Ähnlich wichtig für die Vorgänge des Dokumentenmanagementsystems sind die Vorgaben, durch die Gültigkeit der Zertifikate über den Lebenszyklus durch Nachsignieren der Dokumente zu gewährleisten. Signotec verweist in diesem Zusammenhang auf die Vorteile des biometrischen Verfahrens. Arne Brandes: „Wenn das Dokument mit der dort eingebetteten handschriftlichen Unterschrift in einem revisionssicheren Archiv abgespeichert wird, sind nachträgliche unkontrollierte Änderungen am signierten Dokument unmöglich, ein Nachsignieren demnach nicht notwendig. Schließlich wird nicht die Signatur, sondern nur das Zertifikat ungültig. Im konventionellen Bereich wird die händische Unterschrift auch nicht ungültig. Beim Nachsignieren wird formal nicht die abgegebene Willenserklärung aktualisiert. Es stellt nur einen technischen Schutz gegen Manipulationen dar – ein Schutz, der jedoch durch die Archive gewährleistet ist.“

Ein Anwender der fortgeschrittenen elektronischen Signatur von Signotec ist die Knauf Gips KG. Entstanden aus dem traditionellen Gipsgeschäft produziert das Unternehmen mit Sitz in Iphofen heute unter anderem Baustoffe für den Trockenbau, Mineralfaser-Akustikplatten, Gipsfaserplatten sowie Dämmstoffe auf der Basis von Glas- und Steinwolle. Thomas Keim, IT-Koordinator bei Knauf, beschreibt den Einsatz der Lösung folgendermaßen: „Im Herbst 2006 führte die Knauf Gips KG SignoSign/Logistic ein, eine auf die Anforderungen von Logistikern angepasste Branchenversion. Im Speditionsbetrieb fallen täglich große Mengen an elektronischen Belegen an – Liefer- und Transportscheine, Empfangsbestätigungen –, die von unterschiedlichen Personen unterschrieben werden müssen.

Die Fahrer signieren heute zusammengefasste Transportübersichten elektronisch auf einem Unterschriften-Pad von Signotec. Die signierten Lieferscheine sind dann sofort in SAP sichtbar. So bringt Knauf auch mehr Transparenz in seine Transportvorgänge und kann schneller auf Kundennachfragen reagieren.“ Thomas Keim weist außerdem darauf hin, dass 95 Prozent aller Vereinbarungen formfreie Vereinbarungen seien – etwa Bestellungen, Kaufverträge oder Versicherungsanträge-, die keiner gesetzlichen Schriftform unterlägen. In diesen Fällen sei vom Gesetzgeber ausdrücklich auch etwa die fortgeschrittene elektronische Signatur erlaubt. Eine positive Auswirkung der Einführung der Lösung für das Dokumentenmanagement des Unternehmens beschreibt Thomas Keim mit folgenden Worten: „Die Branchenlösung erspart dem Produzenten von Baustoffen und Bausystemen rund 770.000 Blatt Papier pro Jahr und damit 95.000 Euro an Toner-, Papier-, Scan- und sonstige Verwaltungskosten. Außerdem wurde die Arbeit der internen Scanabteilung wesentlich entlastet.“

Ab geht die Post – hoffentlich

Eines eint alle befragten Experten: Sie teilen eine positive Einschätzung der weiteren Entwicklung. So sieht etwa das BSI ein hohes Potential der De-Mail: „Anwendungsfelder für den Mittelstand sind überall dort, wo eine verbindliche Kommunikation erforderlich ist. Dies kann bei Vertragsverhandlungen sein oder bei der Kommunikation mit Kunden oder Vertragspartnern. Ein weiteres Einsatzfeld ist die Dokumentenablage, die durch den Unternehmer als Archiv zur vertraulichen Ablage genutzt werden kann.“ Mentana Claimsoft, eigentlich ein Signaturanbieter, befindet sich aktuell in dem Zertifizierungsverfahren zum De-Mail-Provider. Auf zukünftige Anwendungsfelder angesprochen meint Axel Janhoff: „Eine interessante Entwicklung ist der Einfluss der digitalen Signatur auf das Thema Workflowmanagement. Unterschriften elektronisch zu tätigen, kann zu deutlichen Effizienzsteigerungen, etwa im Gesundheitssektor, führen.“ Michael d’Aguiar bringt es kurz und knapp auf den Punkt: „Überall dort, wo bisher das gute alte Telefax eingesetzt worden ist, kann künftig auch die rechtssichere elektronische Mail genutzt werden.“ Doch bis gekippte Gesetze doch noch in Kraft treten und schon verabschiedete in die Tat umgesetzt werden, werden wohl noch einige Tage verstreichen.

Bildquelle: © Scibak/istockphoto

---