e-billing, digitale Signatur, ein Statusbericht Hans G. Zeger, A-CERT DSAG: AG SRM Linz, 16. 3.2011 A-CERT CERTIFICATION SERVICE 1 ARGE DATEN als Zertifizierungsdienstleister Zertifizierungsdienste seit 1997 Zertifizierungsanbieter gem. SigG 2000 - A-CERT ADVANCED fortgeschrittene Signatur gem. 2 Z 3 SigG - A-CERT GLOBALTRUST technische Zertifikate (Serverzertifikate gem. X509v3) -A-CERT COMPANY Public Key Infrastructure (PKI) für Unternehmen -A-CERT TIMESTAMP Zeitstempeldienst für revisionssichere Archivierung -A-CERT GOVERNMENT Amtssignaturzertifikate für die öffentliche Verwaltung gem. 19 e-government-gesetz - GLOBALTRUST QUALIFIED (in Planung) qualifizierte Signatur gem. 2 Z 3a SigG A-CERT CERTIFICATION SERVICE 2 1
Referenzen A-CERT Zertifizierungsprodukte A-CERT CERTIFICATION SERVICE 3 Digitale Signaturen und Zertifikate sind Instrumente zur Herstellung von Vertrauen zwischen "unbekannten" Teilnehmern im Online-Rechtsverkehr A-CERT CERTIFICATION SERVICE 4 2
Signaturgesetz 2000 Grundlagen Signaturgesetz (SigG) - jeder kann Signaturverfahren nach eigenem Ermessen einsetzen - jedes Signatur-Verfahren ist rechtlich gültig - "qualifizierte" Signaturdienste für Dritte sind registrierungs- bzw aufsichtspflichtig - Verschiedene Signaturformen - gewöhnliche (technische) Signatur - "fortgeschrittene" Signatur 2 Z 3 SigG - Amtssignatur, Verwaltungssignatur - "qualifizierte" Signatur 2 Z 3a SigG - Umfang der Gültigkeit richtet sich nach gesetzlichen Bestimmungen oder privatrechtlicher Vereinbarung - "qualifizierte" Signaturen müssen von Behörden als eigenhändig anerkannt werden A-CERT CERTIFICATION SERVICE 5 Grundlagen Signaturgesetz (SigG) Fortgeschrittene Signatur und Zertifikat ( 2 Z 3 SigG) Signatur... -... ist ausschliesslich dem Signator zugeordnet (lit. a) -... erlaubt die Identifizierung des Signators (lit. b) -... steht unter alleiniger Kontrolle des Signators (lit. c) -... erlaubt nachträgliche Veränderung der Daten zu erkennen (lit. d) Was tut A-CERT als Zertifizierungsstelle? - identifiziert den Signator (lit.b) - stellt Techniken zur Signatur bereit (lit. a,d) - unterstützt und berät Signator (lit.c) A-CERT CERTIFICATION SERVICE 6 3
Grundlagen Signatur Wie die Signatur auf einem Dokument aufgebracht? 1. Dokument (Rechnung) Rechnung 1 Verschlüss. Hash Signator- Zertifikat 4 2 Hash 3 Priv. Schlüssel 2. Erzeugen eines Hash des Dokuments (Rechnung) 3. Verschlüsseln des Hash mit privatem Schlüssel des Absenders 4. Signatorzertifikat + öffentlichen Schlüssel beifügen 5. signiertes Dokument (Rechnung) versenden 5 A-CERT CERTIFICATION SERVICE 7 Wie wird die Signatur geprüft? Grundlagen Signatur Rechnung Verschlüss. Hash Signator- Zertifikat 4 1 2 Hash = 3 Entschlüss. Hash Öffent. Schlüssel 1. Empfänger berechnet aus der Rechnung Hash 2. Empfänger entschlüsselt den verschlüsselten Hash mit dem öffentlichen Schlüssel des Absenders 3. Empfänger vergleicht die beiden Hashwerte 4. Empfänger prüft Online die Gültigkeit des Zertifikats A-CERT CERTIFICATION SERVICE 8 4
kleine (Kultur-)Geschichte zu ebilling - 2001: EU-RL 2001/115/EG (Mehrwertsteuerrichtlinie) - 2003: Verordnung 583/2003 des BMF zur elektronischen Rechnungslegung - 2004: Registrierung des fortgeschrittenen Zertifizierungsdienstes A-CERT ADVANCED bei RTR/TKK - 2005-10: mehrere - im Kern gleichbleibende - Richtlinien des BMF zur Verordnung - 2010: EU will weitere Authentisierungsverfahren zur elektronischen Rechnungslegung ermöglichen - 20??: Ende der unsignierten Fax-Rechnung alle Dokumente Online unter: http://www.a-cert.at/static/a-cert-advanced-praesentation-komplett.pdf ebilling A-CERT CERTIFICATION SERVICE 9 Inhalt der BMF-Richtlinie (Auszug) - Zustimmung des Empfängers erforderlich (reicht aber auch stillschweigende Billigung oder Praxis) - es muss "fortgeschrittene" Signatur verwendet werden (Ausnahmen bei EDI und Rechnungsübermittlung an Bund) - Signatur + Verfahren müssen leicht nachprüfbar sein, es dürfen aber externe Prüfstellen verwendet werden (etwa https://pruefung.signatur.rtr.at/) - Ausdruck als vorläufiger Nachweis einer Rechnung zulässig - Signatur mus auf eine natürliche Person ausgestellt sein - Signatur durch Dritte (Dienstleister) ist zulässig - mehrere Rechnungen können mit einer Signatur unterschrieben werden derzeitige Version BMF-010219/0288-VI/4/2010 Stand 18.11.2010 ebilling A-CERT CERTIFICATION SERVICE 10 5
Warum elektronische Rechnung? Nutzen des Ausstellers ebilling - Integration des Rechnungsversands in Rechnungslegung/Buchhaltung - vereinfachtes Handling (Drucken, Kuvertieren,...) - raschere Zustellung frühere Bezahlung?? - geringere Zustell- und Materialkosten (Porto, Papier) Nutzen des Empfängers - Integration der Rechnungübernahme in Rechnungslegung/Buchhaltung (kein OCR, Scannen,...) - Automatisierung der Rechnungsprüfung - vereinfachte Archivierung, bessere Terminkontrolle, A-CERT CERTIFICATION SERVICE 11 Grenzen der elektronischen Rechnung ebilling - Konsumenten: erwarten Papierrechnung, sind mit elektronischer Archivierung überfordert - kleine Unternehmen, ohne integriertes Buchhaltungs- und Archivierungswesen haben keine Vorteile - kleine Unternehmen, mit geringen Belegszahlen bei denen Papierhandling und Versand "nebenbei" erfolgen - Unternehmen, bei denen Rechnung nur Teil des Gesamtbelegs ist (Parkhäuser, Eintrittskarten, Kinokarten,...) - Unternehmen, bei denen Rechnung persönlich übergeben wird: klassische Freizeitbetriebe, Restaurants, Taxis,... - Unternehmen, bei denen Rechnungen nicht üblich sind: Marktfahrer, "kalte Hand-Regel",... A-CERT CERTIFICATION SERVICE 12 6
ebilling Fragen aus der täglichen Praxis - Wer darf signieren? Jeder Mitarbeiter, der im Unternehmen beauftragt wurde - Wer sollte signieren? Jemand im Unternehmen der tatsächlich den technischen Prozess beaufsichtigt - Ist Dienstleistersignierung zulässig? Jeder Rechnungsleger kann sich eines Dritten für die Signatur der Rechnung bedienen - Muss der Dritte spezifische Anforderungen erfüllen? Nein, er muss nur fortgeschrittene Signaturverfahren verwenden - Darf automatisch signiert werden? Ja, die Willenserfordernis wie bei der "qualifizierten" Signatur ist nicht gegeben A-CERT CERTIFICATION SERVICE 13 digitale Signatur vs. Unterschrift Besonderheit des Signaturmarktes - Abweichend von anderen IT-Lösungen (Buchhaltung, Archivierung, Kommunikationstechnik,...) ist dieser Markt stark gesetzlich reguliert Einige Lösungen jedoch wenig erfolgreich - Akzeptanzgründe (Bürgerkarte) - unklare gesetzliche Vorgaben, siehe GTelG - wirtschaftliche Interessen und bestehende alternative Lösungen, siehe Online-Banking - mangelnde Investitionssicherheit, kurze Laufzeiten Ist damit die Idee der digitalen Signatur gescheitert? A-CERT CERTIFICATION SERVICE 14 7
digitale Signatur vs. Unterschrift NEIN - aber man sollte die Unterschiede zur "natürlichen" Unterschrift kennen Fehlende unmittelbare Einsichtigkeit - einer konventionellen Unterschriftenleistung kann man zuschauen, einer digitalen darf man nicht zuschauen Wiederholbarkeit - konventionelle Unterschriften sind nicht wiederholbar, Identität gilt als Beweis für eine Fälschung, bei der DigSig ist Wiederholbarkeit zentrales Qualitätsmerkmal Beschränkte Gültigkeit - konventionelle Unterschrift ist unbeschränkt gültig und kostenfrei, bei der DigSig ist die Gültigkeit unbestimmt Möglichkeit der exakten Zeitinformation - konventionelle Unterschriften enthalten keine sicheren Zeitinformationen, DigSig können diese enthalten A-CERT CERTIFICATION SERVICE 15 Signaturmarkt und Alternativen... und man sollte die Alternativen zur digitalen Signatur kennen - Applikationsplattformen, wie Portalverbund, ebilling- Plattformen, Zustell- und Validierungsservices - propriäteres IT-Sicherheits-Management, wie derzeit bei den meisten DocumentManagementSystemen - Token-Lösungen, wie Handy-PIN/TAN, SecurityCard,... - bestehende Anmeldeverfahren (Login/PSW) werden erhalten bleiben, insbesondere beim privaten Enduser, der vielleicht 3-5 Kennungen zu verwalten hat A-CERT CERTIFICATION SERVICE 16 8
A-CERT ADVANCED Einsatzmöglichkeiten fortgeschrittene Signatur - elektronische Rechnungslegung, inkl. Gutschriften, Bestellungen, Auftragsbestätigungen, Lieferscheine,... - Signatur von Bescheiden, behördlichen Mitteilungen - signieren von Mails - Softwaresignatur - Dokumentenmanagement (Vidierung elektronischer Dokumente) - Vergabe von Zeitstempel für Dokumente unabhängig vom Dateiformat einsetzbar - beliebige Dokumentenformate, wie.xml,.pdf,.txt,.html,.doc,....pdf ist bei Rechnungslegung derzeit beliebtestes Format A-CERT CERTIFICATION SERVICE 17 SPAM-Problem - Ausmaß Signaturanwendung Mailserver Quelle: Symantec A-CERT CERTIFICATION SERVICE 18 9
Ausgewertet wurde der Mailverkehr des eines Monats (Mailserver aus 910 at-domains) Signaturanwendung Mailserver 900 800 700 600 500 400 300 200 100 0 SPAM-Problem SPAM-ENTWICKLUNG - Aufwand der Benutzer um 100 erwünschte Mails zu lesen müssen xxx Mails angesehen werden 1.000 1,00% 3,00% 7,00% 28,00% 51,00% 73,20% 81,30% 100 Mails erwünscht = 1488 Eingangsmails 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 min max 86,20% 84,60% 81,20% 93,28% 100 Mails erwünscht = 3333 Eingangsmails 500,00% 80,00% 200,00% Anteil Spam Anteil Spam am am Mailverkehr 150,00% [in%] Mailverkehr 100% 100,00% 97,00% 450,00% 400,00% 350,00% 300,00% 250,00% 50,00% 50% 0,00% um 100 erwünschte Mails zu lesen müssen xxx Mails angesehen werden Anteil Spam am Mailverkehr [in%] A-CERT CERTIFICATION SERVICE 19 TLS-Mailserver als Spam-Antwort? Signaturanwendung Mailserver TLS = Transport Layer Security (TLS) : Standardisierung des sicheren Datenverkehrs auf Transportebene, Nachfolger von SSL (Secure Socket Layer) Verteilung Mailserver bei at-domainen = unsicherer Mailverkehr 38% = sicherer Mailverkehr 62% TLS UNSICHER A-CERT CERTIFICATION SERVICE 20 10
Signaturanwendung Mailserver... und was machen die Vorbilder? egovernment-sektor (*.gv.at-mail-server) Verteilung Mailserver bei gv.at-domainen = unsicherer Mailverkehr / egovkonform? 34% = sicherer Mailverkehr 66% TLS UNSICHER A-CERT CERTIFICATION SERVICE 21 Signaturanwendung Mailserver Vorbilder II: Internet-Service Provider Verteilung Mailserver bei at-provider = unsicherer Mailverkehr 40% 60% = sicherer Mailverkehr TLS UNSICHER A-CERT CERTIFICATION SERVICE 22 11
Ausgewertet wurden Formulare von etwa 600 österreichischen Organisationen Signaturanwendung Web/eCommerceserver Sichere Übertragung vertraulicher Daten Seit 2002 schreibt EG-Richtlinie Telekommunikation sichere und identifizierte Datenübertragung vor Verteilung Webserver bei Österreichorganisationen 20% = sichere Übertragung Passwort = unsichere Übertragung Passwort 80% unsicher sicher oder unbekannt A-CERT CERTIFICATION SERVICE 23 Signaturmarkt im Umbruch Nischen und Märkte, abseits von ebilling... - Verschlüsselte Mailübertragung durch Mailserver (TLS statt Individualsignierung) - zertifizierte Webseiten, sichere Webkommunikation - longterm Dokumentenmanagement (Online-Tresore) (Vidierung und Archivierung elektronischer Dokumente) - zeitliche Synchronisation von Geschäftsprozessen - Signatur von Programmen - Signatur von Protokollen (z.b. gem. 14 DSG erstellte Protokolle) - Unternehmens-PKIs (z.b. Stromhandel, Lebensmittelhandel) - "Web der Dinge", Ausstattung "smarter" Geräte mit Zertifikaten zur sicheren Identifikation (z.b. SmartMeter, SmartPhones,...)... und wenn das alles funktioniert... - Online-Identifikation von Maschinen und Menschen ("Single Sign On")... danach kann man weiter schauen... A-CERT CERTIFICATION SERVICE 24 12
Signaturmarkt im Umbruch Warum wird sich digitale Signatur durchsetzen? - Paradigmenwechsel: digitales Dokumentensiegel statt Unterschriftsersatz (Entemotionalisierung der Debatte) - klare Definition von Anwendungen und Zielgruppen (digitale Signatur ist kein Allheilmittel) - Bescheidenheit beim Sicherheitsbeitrag (digitale Signatur ist nicht die endgültige Sicherheitslösung) Digitale Signatur sollte dort verwendet und gefördert werden, wo sie schon funktioniert - realistische technische Standards (Integration in bestehende IT-Prozesse) - offene Lösungen und Einbindung von Partnern (digitale Signatur hat noch immer zu viele Sonderlösungen, ausschließende Angebote führen nicht zur Wahl des besten, sondern die Interessenten lassen es bleiben) A-CERT CERTIFICATION SERVICE 25 A-CERT fortgeschrittene Signatur A-CERT ADVANCED Lösungen Fortgeschrittene Signatur gem. SigG in drei Varianten - Version I: Crypto-Datei Die Signatur erfolgt mittels einer verschlüsselten Datei. Typischer Anwendungsfall: gesicherte IT-Umgebung, Serverlösung, Massensignatur - Version II: etoken Die Signatur erfolgt mittels Smart-Chip auf USB-Token. Typischer Anwendungsfall: mobile Anwendungen - Version III: Smartcard Die Signatur erfolgt mittels Smartcard. Typischer Anwendungsfall: Workstations, Einzelsignatur Signaturtechnisch sind alle Varianten gleichwertig, in den Zertifikaten ist vermerkt, welches Produkt verwendet wurde A-CERT CERTIFICATION SERVICE 26 13
A-CERT Entwicklungen A-CERT Projekte GLOBALTRUST QUALIFIED "Qualifizierte" digitale Signatur gemäß SigG derzeit Vorbereitung der österreichischen Registrierung spezifische Anwendungsbereiche, wie elektronische Ausschreibungen A-CERT COMPANY Unterstützung von Unternehmen im Aufbau eigener Public Key Infrastrucutures, insbesondere beim Einsatz in "smarten" Geräten Schwerpunkt sind Langzeitzertifikate bis 2036 A-CERT CERTIFICATION SERVICE 27 Kontaktinformationen Vortragender: Hans G. Zeger ARGE DATEN - Österreichische Gesellschaft für Datenschutz A-1160 Wien, Redtenbachergasse 20 Tel.: 0676 / 9107032 Fax.: 01 / 4803209 Mail A-CERT: info@a-cert.at Mail persönlich: hans.zeger@a-cert.at Zertifizierung: WWW-Verein: http://www.a-cert.at http://www.argedaten.at alle rechtlich relevanten Dokumente zu ebilling: http://www.a-cert.at/static/a-cert-advanced-praesentation-komplett.pdf A-CERT CERTIFICATION SERVICE 28 14
Ich danke für Ihre Aufmerksamkeit A-CERT CERTIFICATION SERVICE 29 15