Warum einige Politiker lieber anonym sein sollten.

Es vergeht inzwischen kein Morgen mehr, an dem ich mich auf der Toilette, wenn ich, so wie viele andere Menschen auch, auf dem iPhone einen ersten Überblick über die Nachrichtenlage verschaffe, nicht über die deutsche Politik und deren zwiespältiges Verhältnis zum Thema Internet ärgere. Das inzwischen schon seit längerem parteiübergreifend und inzwischen auch ohne Hoffnung, dass hier ein bestimmter Politiker sicher nicht dabei ist. Diese allmorgentliche Schocktherapie hat freilich diverse Vorteile: Man kommt schneller aus der Toilette, hat schon einen adäquaten Blutdruck und hat schon genügend Adrenalin im Blut, um die erste Tasse Kaffee zu überspringen. Aber natürlich ist es ein jämmerliches Drama und eigentlich nur noch bedingt witzig.

So hat mich das Vermummungsverbotsgefasel von Axel Eduard Fischer, einem CDU-Bundestagshinterbänkler und Vorsitzender der Enquete-Kommission Internet, nicht wirklich überrascht und meinen gesunden Stuhlgang auch nicht signifikant beeinflusst – da bin ich wirklich härteres gewohnt. Und das liegt nicht daran, dass Axel Eduard Fischer ein besonders heißes Eisen angefasst hätte, sondern einfach an dem Umstand, dass seine Forderung so herrlich weit daneben ist und seine Intention so unfassbar durchschaubar ist:

  • Fischer ist trotz Vorsitz der Internet-Enquete-Kommission des Deutschen Bundestages in Sachen Internet ein No-Name, den man auf Internet-Konferenzen maximal nur deshalb einladen würde, weil er eben Mitglied des Deutschen Bundestages ist – eine digitale Null. Man könnte es auch anders sagen und kolportieren: Vor allem auch deshalb ist er Vorsitzender dieser Enquete-Kommission, denn in einer solchen Sachverständigenkommission geht es mitnichten vordergründig darum, Sachverstand in die Politik einzubringen, sondern zu evaluieren, wie ein Haufen Sachverständiger auf gewünschte Gesetzesvorhaben reagiert. Zugegeben, das ist eine sicherlich hoch diskutable und bizarre persönliche Meinung, aber: Think about it.
  • Es gibt nirgendwo einen auch nur einigermaßen haltbaren gesetzlichen Anspruch, dass ein Bürger immer voll identifiziert am gesellschaftlichen Leben teilnehmen muss. Das gilt so prinzipiell auch für das Internet und damit auch für die Nutzung von Online-Foren oder anderen Kommunikationsmöglichkeiten, die Axel Eduard Fischer vielleicht gemeint haben könnte.
  • Axel Eduard Fischer hat seine Meinungsäußerung selbstverständlich gut zeitlich und öffentlichkeitswirksam geplant, nämlich in einem Interview mit den Badischen Neuesten Nachrichten, einer Zeitung, die in seinem Wahlkreis Karlsruhe-Land erscheint, kurz vor dem CDU-Bundesparteitag in Karlsruhe.
  • Die Forderung, ein „Vermummungsverbot“ im Internet mit dem neuen Personalausweis durchzusetzen, ist nichts anderes wie der inzwischen verzweifelte Versuch, der Digitalen Signaturfunktion des neuen Personalausweises einen gesetzlich verankerten Einsatzzweck zu verpassen. Dieses Vorgehen reiht sich nahtlos in die zutiefst desaströse Kompetenz der deutschen Politik in Sachen Digitaler Signatur ein, die es auch nach Jahren noch nicht mal ansatzweise geschafft hat, ein halbwegs praxisorientierte Politik in diesem Bereich zu etablieren. Elektronische Rechnungen sind auch im Jahr 15 nach Beginn der Online-Revolution eine Geschichte, die durch die Kaputtreglementation des Bundes ohne großen Signaturaufwand nicht umsetzbar ist. Also muss die Digitale Signatur offensichtlich mit Gewalt in die Gesellschaft gebombt werden und sei es mit Forderungen nach massiven Einschränkungen der Privatsphäre.

Nein, Axel Eduard Fischer tut seiner Kaste der Berufspolitiker keinen Gefallen. Dem Internet sowieso nicht, aber das wussten wir vorher auch schon

Die einfache elektronische Rechnung kommt (möglicherweise).

Der EU-Ministerrat hat als einer der letzten Aktivitäten vor der Sommerpause eine Änderung der Mehrwertsteuerdirektive 2006/112/EC beschlossen und im Artikel 233 (was tief blicken lässt, was für ein EU-Bürokratieungetüm diese Direktive 2006/112/EC ist) hinzugefügt, der es nun den Beteiligten einer Rechnungsstellung überlässt, die Authentizität, Integrität und und Lesbarkeit einer Rechnung sicherzustellen und zwar nun unabhängig davon, ob die Rechnung auf Papier gedruckt oder elektronisch daherkommt.

Damit sind wir doch schon mal ein gutes Stück weiter, denn die EU entzieht den nationalen Regierungen hiermit die Rechtsgrundlage, elektronische Rechnungen nur mit mehr oder weniger sinnvollen Authentifizierungsmechanismen rechtsgültig zu machen, wobei Rechtsgültigkeit im Sinne der Finanzbehörden ist, dass eine Umsatzsteuerabzugsfähigkeit gegeben ist. Während in einzelnen Ländern einfach eine nicht mehr veränderbare PDF-Datei einer Rechnung den nationalen Bestimmungen genügt, will man beispielsweise in Österreich schon eine fortgeschrittene elektronische Signatur, was bedeutet, dass der Rechnungssteller eine Rechnung elektronisch mit einem Zertifikat signieren muss. Diese Signatur kann dann der Rechnungsempfänger prüfen (muss das sogar) und die Rechnung damit als gültig abheften.

In Deutschland nimmt man es da noch eine Packung genauer und möchte eine qualifizierte Signatur auf elektronischen Rechnungen sehen. Diese Art von Signatur unterscheidet sich darin, dass das Zertifikat zur Erstellung einer Signatur von einem offiziell akkreditierten Zertifikatsherausgeber kommt, was den Rechnungssteller ein paar Euro kostet, neben den Ausgaben zur Produktion von elektronischen Rechnungen.

Nun hat also die EU die Zügel formell gelockert, so dass das Bundesfinanzministerium, das schon unabhängig von der heutigen Entscheidung an einer Lockerung gearbeitet hat, heute nun auch grünes Licht bzw. Dampf von Seiten der EU bekommt. Warten wir es mal ab, ob bis Ende des Jahres dann tatsächlich ein Gesetzesentwurf herauskommt, der näher an der Praxis ist, als bisher. Bei unserer aktuellen Kindergarten-Bundesregierung glaube ich das erst dann, wenn es beschlossen ist.

[via Heise online]

Elektronisch signierte Rechnungen als Originale.

Häufig passiert folgendes: Eine Rechnung wird ausgestellt, ausgedruckt, eingetütet und an den Kunden geschickt. Der verliert die Rechnung oder erhält sie niemals, es kommt möglicherweise zum Zahlungsverzug, es wird telefoniert und der Kunde braucht nochmal die Rechnung.

Häufig wird dabei der Fehler gemacht, dass die Rechnung nochmal ausgedruckt und an den Kunden geschickt wird, gerade von Unternehmern, die ihre Rechnungen manuell erstellen. Eigentlich ist das aber nicht erlaubt, denn eine Rechnung ist eigentlich ein Original und wenn der Kunde die Rechnung nochmal benötigt, dann ist ihm eine Kopie auszustellen, zumindest wenn die Rechnungsnummer unverändert bleibt.

Bei elektronischen Rechnungen ist das vermeintlich einfacher – man könnte dem Kunden ja einfach nochmal die Rechnungsdatei schicken – aber das ist gleich auf zweierlei Weisen problematisch. Zum einen möchten die deutschen Finanzbehörden gefälligst eine qualifizierte elektronische Signatur auf elektronischen Rechnungen sehen und zum anderen beweist eine einfache elektronische Rechnung gar nichts, denn der Nachweis von Original und Kopie ist nicht durchführbar.

Und hier punktet dann tatsächlich die elektronisch signierte Rechnung, denn mit der Signatur wird der Zeitpunkt der Erstellung festgehalten, bei einer qualifizierten elektronischen Signatur, wie sie deutsche Finanzbehörden sehen möchten, ist zudem ein Zeitstempel einer Zertifizierungsstelle notwendig, der damit eine rechtsverbindliche Aussage gibt, dass die Rechnung tatsächlich zu diesem Zeitpunkt erstellt und signiert wurde.

Ruft also ein Kunde an und möchte eine noch nicht bezahlte Rechnung nochmals zugestellt bekommen (oder ich rufe ihn an und bitte um Begleichung…), dann bekommt er einfach die originale Rechnungsdatei, die ich damals elektronisch signiert habe. Sie wird immer das Original bleiben, so lange der Kunde diese Datei aufhebt, wozu er selbst nach dem Verifizieren der Signatur und dem Ausdrucken verpflichtet ist.

OpenLimit CC Sign 2.5.

Benutzer der Signatursoftware CC Sign des schweizerischen Herstellers OpenLimit sind etwas geplagt: Die an sich gar nicht so schlechte Software besitzt nämlich keinerlei Möglichkeit, nachzuprüfen, ob es ein Softwareupdate gibt. Und dabei ist gerade bei einer Signatursoftware, die offiziell für die Elektronische Signatur zugelassen ist, extrem wichtig, die jeweils aktuellste Softwareversion einzusetzen, da der Algorithmenkatalog der Bundesnetzagentur jährlich an die Anforderungen angepasst wird und Empfehlungen, bestimmte Algorithmen ab einem bestimmten Datum nicht mehr einzusetzen, dazu führt, dass Signaturen, die nach diesem Datum noch mit ausrangierten Algorithmen erstellt werden, potentiell eine geringere Beweisfähigkeit haben.

Den Versionssprung von CC Sign von der Version 2.1.6.3 auf nun 2.5 (2.5.0.1), der Anfang Juni vollzogen wurde, werden deshalb wohl wieder nur die wenigsten mitbekommen. Vom Funktionsumfang her ändert sich wenig. Der Algorithmenkatalog wird angepaßt, außerdem gibt es leichte Anpassungen am Aussehen und der Bedienung.

Für Besitzer eines Lizenzschlüssels einer 2.x-Version ist das Upgrade erfreulicherweise kostenlos.

Korrekte, falsche elektronische Signatur.

Einer unserer Domain-Lieferanten verschickt seit einiger Zeit seine Rechnungen nicht mehr, sondern stellt sie elektronisch im gesicherten Bereich seiner Homepage als downloadbare PDF-Datei zur Verfügung. So weit, so gut, nämlich eine sehr praktische Sache. Das holt man sich, wenn man es braucht (nämlich dann, wenn die Buchhaltung nach dem Beleg schreit), jagt es durch den OpenLimit-Viewer, der ein Prüfprotokoll generiert und ebenfalls als PDF-Datei ausgibt, druckt beides aus und gut ist.

Was offensichtlich einige, die ihre Rechnungen mit einer qualifizierten, elektronischen Signatur ausstatten, nicht wissen, ist der Umstand, dass Kryptografie ein Bereich ist, der sich stetig im Wandel befindet. Was heute dadurch sicher ist, dass der Schlüsselraum so groß oder der Algorithmus so schwer zu berechnen ist, kann morgen schon anders sein. Genau das Problem hat SHA-1 erlebt.

SHA-1 ist ein Algorithmus zur Erzeugung eines so genannten Hashes. Vereinfacht gesagt: Einer eindeutigen Prüfsumme, die dazu genutzt wird, einen digitalen Fingerabdruck einer Datei zu erzeugen. So ein mit SHA-1 erzeugter Fingerabdruck war lange Zeit hinreichend stabil, das heißt, niemand anderes konnte auf die Schnelle einen identischen Fingerabdruck einer Datei erstellen. Das ist seit Februar 2005 vorbei, denn da gab es die ersten Meldungen, dass SHA-1 geknackt war – man konnte offensichtlich das Knacken einer digitalen SHA-1-Prüfsumme manipulieren. Sprich: SHA-1 begann, nicht mehr vertrauenswürdig zu sein. Das passiert mit den besten Algorithmen und ist per se erst einmal nichts verwerfliches.

Da die stärksten Algorithmen durchaus (theoretisch) einmal unpässlich werden könnten, veröffentlicht der Gesetzgeber jedes Jahr einen Algorithmenkatalog, in dem definiert ist, welche Algorithmen noch „gut“ sind und für qualifizierte, elektronische Signaturen genutzt werden dürfen und sollen. Diese weitgehend für Laien unlesbaren Dokumente stellen quasi die „Jahreslosung“ in Sachen nutzbare Algorithmen dar – nutzt jemand einen Algorithmus für seine qualifizierten elektronischen Signaturen, der nicht mehr empfohlen wird, ist die Signatur nicht vertrauenswürdig und das signierte Dokument damit auch nicht.

Das passiert vielen Rechnungsausstellern, die an sich guten Willen zeigen, seit Anfang des Jahres eben mit SHA-1, das offiziell seit 1. Januar 2008 nicht mehr genutzt werden sollte und ab 30. Juni 2008 nach Ablauf der Übergangsfrist auch nicht mehr als Hashing-Algorithmus anerkannt wird. Wer also eine qualifizierte, elektronische Signatur nach dem 30. Juni 2008 noch mit dem SHA-1-Algorithmus einsetzt, hat ein Problem. Beziehungsweise – und das ist das pikante an elektronischen Signaturen – der Rechnungsempfänger hat eines, denn er darf so eine Rechnung eigentlich gar nicht akzeptieren.

Gängige Signaturanwendungen berücksichtigen diesen Umstand übrigens, wenn man denn die Anwendung auch regelmäßig aktualisiert. Zum einen nutzen diese Anwendungen dann SHA-1 erst gar nicht mehr und zum anderen wird bei Prüfungen auch explizit darauf hingewiesen, wenn SHA-1 genutzt wurde und dass die Prüfung eigentlich fehlgeschlagen ist.