19.10.2007, 10:02 Uhr

Digitale Signaturen für KMU

Die Allschwiler Triagonal, Betreiberin eines Rechenzentrums, signiert seit Kurzem die Rechnungen ihrer Kunden digital. Knackpunkt beim Aufbau des E-Billing-Systems war aber nicht die Implementation des Signatur-Servers, sondern die Wahl des richtigen Zertifizierungsdienstes.
Herbie Eichmüller, Geschäftsführer von Triagonal, lässt in seinem Rechenzentrum digital signieren.
Bisweilen haben kleine Gesetzesnovitäten durchschlagenden Einfluss auf die IT-Szene. Etwa die 2005 erfolgte Gleichstellung der digi-talen Signatur mit der Handunterschrift. Seither verlangen immer mehr Grossunternehmen von Ihren Lieferanten, dass die ihre Rechnungen elek-tronisch stellen. Eine Anforderung, welche die KMU der Zulieferer-Branche ebenso fordert wie deren Service-Provider.
So musste auch die ASP-Dienstleisterin (Application Service Providing) Triagonal aus Allschwil bei Basel vor einem Jahr eine E-Billing-Lösung implementieren. Triagonal-Geschäftsführer Herbie Eichmüller: «Unser langjähriger Kunde, die Firma Florin aus Muttenz, stellt unter anderem Speiseöl für Migros her. Letztere verlangte 2006, dass jeglicher Schriftverkehr in elektronischer Form abgewickelt wird. Daher fragte Florin bei uns an, ob wir E-Billing in unser Dienstleistungsangebot aufnehmen könnten.»
Eichmüller münzte diese Anfrage kurzerhand in eine neue Marktchance um: «Ich bin überzeugt, dass künftig immer mehr Firmen den heutigen Papierkrieg elektronisch austragen werden. Dabei wird die digitale Signatur zunehmend wichtiger. Daher beschloss ich, eine E-Billing-Lösung in unserem eigenen Rechenzentrum zu implementieren und diese den Kunden als zusätzliche, neue Dienstleistung zu offerieren.»

Mit bewährtem Partner

Für die Implementierung der E-Billing-Lösung holte sich Eichmüller Rat bei der deutschen EDI-Software-Expertin B&N Crossgate. Mit dieser arbeitet er schon länger zusammen, denn seine Kunden versenden ihre Daten im Business-to-Business-Verkehr via EDIFACT, dem von der UNO normierten «Electronic Data Interchange For Administration, Commerce and Transport». Auf Empfehlung von B&N Crossgate implementierte er eine E-Billing-Lösung der Berliner Secrypt. «Neben dem Ratschlag unseres Partners war die Referenzliste von Secrypt ausschlaggebend», sagt Eichmüller. So sind auf der Secrypt-Liste zahlreiche Firmen und Behörden aufgeführt, die mit hochsensiblen Daten umzugehen haben. Beispielweise der Flugzeugbauer Airbus, die deutsche Bundeswehr und die Bundesdruckerei, Herstellerin von Pässen und Geldscheinen.
«Zudem signieren viele Automobilindustrie-Zulieferer ihre Rechnungen mit dem Secrypt-System», erklärt Eichmüller und erkennt darin eine gewisse Parallele zum Tätigkeitsumfeld von Triagonal. «Auch wir betreuen viele kleinere Zulieferer von Grossfirmen.»

So wird digital signiert

Um Rechnungen digital zu signieren und an den Empfänger zu senden, sind mehrere Schritte notwendig: Zunächst werden die Daten aus dem Enterprise-Ressource-Planning-System (ERP, beispielweise von SAP) exportiert und mit einem Konverter in ein neutrales Datenformat überführt. Konkret verwendet Triagonal dabei die Software «Eddy AI» von B&N Crossgate. Sie wandelt die Informationen in das im EDIFACT-Umfeld gebräuchliche Format D01B um. Derart aufbereitet werden die Daten an den Signaturserver weitergereicht. Der verschlüsselt und signiert die Informationen und gibt sie an einen AS2-Rechner weiter. AS2 (Applicability Statement 2) ist ein Protokoll, das auf IP aufsetzt, im EDI-Umfeld gebräuchlich ist und für den sicheren Transport der Informationen zum Empfänger verantwortlich zeichnet. Der AS2-Server übernimmt zudem auch die Archivierung der von ihm verschickten Daten.
Bevor er seinen Kunden den neuen E-Billing-Service offerieren konnte, musste Eichmüller also zahlreiche, neue Komponenten in seinem Serverschrank unterbringen. Neben den bereits erwähnten Komponenten wie dem Signaturserver und dem AS2-Rechner waren dies noch eine Firewall-Appliance und eine Notstromgruppe.
Damit verursachte der Aufbau der neuen Dienstleistung Investitionen von rund 150000 bis 170000 Franken, davon alleine rund 25000 Franken für die Einrichtung des Signaturservers. Dessen Installation sei erstaunlich problemlos über die Bühne gegangen. Eichmüller: «Ein Mitglied aus der Secrypt-Geschäftsführung höchstpersönlich hat die Lösung bei uns installiert. Er konnte nach nur fünf Stunden wieder zum Flughafen reisen und zurück nach Berlin fliegen.»
«Allerdings», fügt er an «war diese reibungslose Implementierung nur deshalb möglich, weil alle entsprechenden Vorarbeiten von unserer Seite aus sauber durchgeführt worden waren.»

Vorsicht bei den Zertifizierern

Zu diesen Vorarbeiten zählte auch die Auswahl eines Zertifizierungsdienstes und die Bereitstellung entsprechender Signaturkarten. Dabei machte Eichmüller Bekanntschaft mit einer nicht in jeder Hinsicht nachvollziehbaren Preisgestaltung. So verlangte einer der Anbieter gut zehn Mal mehr für seine Zertifizierungsdienste als die Konkurrenz. Eichmüller entschloss sich am Ende der komplexen Evaluierung für die Firma QuoVadis Trustlink Schweiz(siehe Kasten unten links). «Hätte ich diese Wahl nicht gehabt und mich mit dem teuersten Anbieter zufrieden geben müssen, wäre das Projekt ins Wasser gefallen», sagt Eichmüller. Er rät daher Firmen, welche die Einrichtung eines Signaturservers planen, bei der Wahl des Zertifizierungsdienstes «Vorsicht walten zu lassen».

Künftig mit Logdaten

Heute, ein Jahr nach der Installation der Lösung, signieren bereits 15 Kunden ihre Rechnungen und ihren sonstigen Schriftverkehr bei Triagonal. Und Eichmüller sieht klar mehr Potenzial in diesem Geschäftszweig. Nicht zuletzt deshalb testet er bereits das Nachfolgeprodukt von Secrypt, den Digiseal Server 2. Dessen grösster Vorteil besteht für Eichmüller in der Möglichkeit, die Signiervorgänge über eine Logfunktion sauber zu dokumentieren.
Digitale Signatur

Rechtliche Grundlagen in der Schweiz

Die elektronische Signatur ist hierzulande durch das «Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur» (ZertES) sowie durch die «Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur» (VZertES) geregelt. Das Obligationenrecht (OR) sieht in Artikel 14 Absatz 2bis, beziehungsweise in Artikel 59a unter bestimmten Rahmenbedingungen eine Gleichstellung von ZertES-konformer, elektronischer Signatur und Handunterschrift vor. ZertES, VZertES und die entsprechende OR-Novelle sind am 1. Januar 2005 in Kraft getreten.
Ein wesentlicher Unterschied zur Regelung in der EU-Signaturrichtlinie liegt darin, dass für eine Rechtswirkung der erwähnten obligationen-rechtlichen Normen jeweils die Anerkennung des Zertifizierungsdienstes durch eine Anerkennungsstelle vorausgesetzt wird. Es braucht also in der Schweiz die gesetzeskonforme elektronische Signatur eines anerkannten Zertifizierungsdienstes, während in der EU nur eine gesetzeskonforme Signatur vorausgesetzt wird.
Das Bundesamt für Metrologie und Akkreditierung publiziert eine Liste der anerkannten Zertifizierungsdienste. Derzeit sind Swisscom Solutions, QuoVadis Trustlink Schweiz, SwissSign (ein Tochter-unternehmen der Schweizerischen Post) und das Bundesamt für Informatik und Telekommunikation (BIT) anerkannte Anbieter von Zertifizierungsdiensten.
Zum Unternehmen

Triagonal AG

Die Allschwiler IT-Dienstleisterin Triagonal wurde 1994 gegründet. Das siebenköpfige Team bietet neben ASP-Diensten (Application Service Providing) auch VPN- (Virtual Private Network) und Netzwerklösungen an. Gut 50 Prozent des Umsatzes erwirtschaftet Triagonal mit der Verwaltung von Servern und Systemen von Kunden in ihrem eigenen Rechenzentrum. Besonderes Know-how hat sich die Firma im EDI-Umfeld (Electronic Data Interchange) erworben.
www.triagonal.com


Das könnte Sie auch interessieren