Digitale Signaturen für KMU

«Zudem signieren viele Automobilindustrie-Zulieferer ihre Rechnungen mit dem Secrypt-System», erklärt Eichmüller und erkennt darin eine gewisse Parallele zum Tätigkeitsumfeld von Triagonal. «Auch wir betreuen viele kleinere Zulieferer von Grossfirmen.»

So wird digital signiert

Um Rechnungen digital zu signieren und an den Empfänger zu senden, sind mehrere Schritte notwendig: Zunächst werden die Daten aus dem Enterprise-Ressource-Planning-System (ERP, beispielweise von SAP) exportiert und mit einem Konverter in ein neutrales Datenformat überführt. Konkret verwendet Triagonal dabei die Software «Eddy AI» von B&N Crossgate. Sie wandelt die Informationen in das im EDIFACT-Umfeld gebräuchliche Format D01B um. Derart aufbereitet werden die Daten an den Signaturserver weitergereicht. Der verschlüsselt und signiert die Informationen und gibt sie an einen AS2-Rechner weiter. AS2 (Applicability Statement 2) ist ein Protokoll, das auf IP aufsetzt, im EDI-Umfeld gebräuchlich ist und für den sicheren Transport der Informationen zum Empfänger verantwortlich zeichnet. Der AS2-Server übernimmt zudem auch die Archivierung der von ihm verschickten Daten.

Bevor er seinen Kunden den neuen E-Billing-Service offerieren konnte, musste Eichmüller also zahlreiche, neue Komponenten in seinem Serverschrank unterbringen. Neben den bereits erwähnten Komponenten wie dem Signaturserver und dem AS2-Rechner waren dies noch eine Firewall-Appliance und eine Notstromgruppe.

Damit verursachte der Aufbau der neuen Dienstleistung Investitionen von rund 150000 bis 170000 Franken, davon alleine rund 25000 Franken für die Einrichtung des Signaturservers. Dessen Installation sei erstaunlich problemlos über die Bühne gegangen. Eichmüller: «Ein Mitglied aus der Secrypt-Geschäftsführung höchstpersönlich hat die Lösung bei uns installiert. Er konnte nach nur fünf Stunden wieder zum Flughafen reisen und zurück nach Berlin fliegen.»

«Allerdings», fügt er an «war diese reibungslose Implementierung nur deshalb möglich, weil alle entsprechenden Vorarbeiten von unserer Seite aus sauber durchgeführt worden waren.»

Vorsicht bei den Zertifizierern

Zu diesen Vorarbeiten zählte auch die Auswahl eines Zertifizierungsdienstes und die Bereitstellung entsprechender Signaturkarten. Dabei machte Eichmüller Bekanntschaft mit einer nicht in jeder Hinsicht nachvollziehbaren Preisgestaltung. So verlangte einer der Anbieter gut zehn Mal mehr für seine Zertifizierungsdienste als die Konkurrenz. Eichmüller entschloss sich am Ende der komplexen Evaluierung für die Firma QuoVadis Trustlink Schweiz(siehe Kasten unten links). «Hätte ich diese Wahl nicht gehabt und mich mit dem teuersten Anbieter zufrieden geben müssen, wäre das Projekt ins Wasser gefallen», sagt Eichmüller. Er rät daher Firmen, welche die Einrichtung eines Signaturservers planen, bei der Wahl des Zertifizierungsdienstes «Vorsicht walten zu lassen».