Digitale Signatur nicht mit Acrobat Reader prüfen

viele Firmen verwenden für die qualifizierte als Nachweis der Echtheit und Unverfälschtheit gegenüber den Finanzbehörden und um zu erkennen, dass es sich um einen vertrauenswürdigen Absender handelt. Das schützt vor Angriffen durch Dritte und Fake E-Mails, die Downloader oder Trojaner enthalten. Die Anforderungen, ein solches Zertifikat von Amts wegen zu erhalten, sind hoch und lassen sich an Online-Zertifizierungsstellen überprüfen.
Bisher sind auch keine Fälle bekannt, wo kriminelle Banden gefälschte Rechnungen versenden, die eine qualifizierte Signatur mit nachprüfbarem Herkunftszertifikat enthalten. Dennoch sollten ausschließlich E-Mails akzeptiert werden, die einen PDF-Anhang enthalten. Office-Dateien (Word/Excel) können nur falsch sein.

Adobe Reader ungeeignet als Prüfprogramm

Die Software „Adobe Acrobat Reader“ enthält auch eine Funktion zur Prüfung von Unterschriften. Da Mitte 2020 einige Zertifikate und Stammzertifizierungsstellen erneuert wurden und der Reader diese neuen Listen nicht automatisch aktualisiert, prüft er mit alten Listen und zeit die gültige Unterschrift als ungültig an. Außerdem kann die Software von Adobe keine hoch verschlüsselten und sicheren Signaturen von Telesec-ECC prüfen und wirft daher einen Fehler aus. Wir verwenden den höchsten Sicherheits-Standard in unserem Dienst.

Prüfbericht wird bei uns mitgeliefert

Wenn Sie unseren Signatur-Dienst (#Digisig) abonniert haben, schicken Sie wie gewohnt aus gevis ERP|BC (und auch aus gevis Classic) die (Sammel-) Rechnungen per-E-Mail an Ihre Kunden. Die E-Mail verlässt dann Ihr Haus nicht ins Internet, sondern baut eine verschlüsselte Verbindung zu unseren Prüfservern auf. Im ersten Durchgang wird Ihre E-Mail signiert, d.h. die PDF-Datei bekommt quasi eine Siegelmarke mit der amtlich beglaubigten, qualifizierten Signatur.
Im zweiten Durchlauf wird diese Signatur gegen die Online-Zertifizierungsstellen geprüft und ein Prüfbericht erstellt, der dann im Body der E-Mail erscheint.

Erst dann wird die E-Mail an den Rechnungsempfänger zugestellt. Dieser kann die Rechnungs-Emails beispielsweise direkt in sein Archivsystem überführen. Für den Prüfer gelten die mit Prüfbericht archivierten Belege als offizieller Nachweis der Authentizität.

Qualifizierte Prüfprogramme

Möchte ein Rechnungsempfänger stichprobenweise eine Rechnungs-PDF-Datei (die die Signatur enthält) prüfen, muss er dazu eines der amtlichen Programme dafür verwenden. Die Telekom und wir verwenden Seccommerce. Deren Prüfprogramm lässt sich kostenlos herunterladen und kann bei der Prüfung auch Attributzertifikate und Online-Sperrlisten berücksichtigen und wirft erneut einen Bericht im Stil des mitgelieferten Berichts aus.

Über den Autor:

Patrick Bärenfänger ist TÜV-zertifizierter IT-Security Manager und -Auditor und seit über 30 Jahren in der IT-Branche. Seine Schwerpunkte sind die Ausbildung/Zertifizierung von Systemkoordinatoren, Lizenz-Audits und IT-Systemprüfungen nach BSI-Grundschutz-Katalogen und IDW PS 330 und die Intrastruktur-Analyse und -Optimierung.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.