Hallo,

ich möchte gerne revisionssichere PDF-Dokumente erstellen. Dabei denke
ich in erster Linie an Eindeutigkeit und Archivierung. Es geht mir dabei
nicht darum, dies mit Freeware zu erreichen.

Mit Hilfe des standardisierten PDF/A Formates müsste das Problem der
Archivierung klar sein. Gibt es dazu irgendetwas Offizielles, das das
PDF/A Format auch bei Rechtsstreitigkeiten als Archiv-Format anerkannt
ist? Welches Programm erzeugt die "besten" PDF/A-Dokumente, die auch
einer Prüfung standhalten.

Und wie erzeuge ich am besten eine elektronische Unterschrift "unter"
ein PDF-Dokument. Welche Software kann dafür empfohlen werden?

Tschüss Frank

Frank Heindörfer schrieb am 19.09.2007 in <news:46f16580$0$4527$9b4e6d93*newsspool3.arcor-online.net>
> Mit Hilfe des standardisierten PDF/A Formates müsste das Problem der
> Archivierung klar sein. Gibt es dazu irgendetwas Offizielles, das das
> PDF/A Format auch bei Rechtsstreitigkeiten als Archiv-Format anerkannt
> ist?

Aus dem Callas-Dunstkreis heraus ist ein Büchlein entstanden, das derlei
Fragen hoffentlich klärt:

<http://de.bookbutler.info/vergleich/3981164806>

Ansonsten guter Startpunkt:

<http://www.pdfa.org/>

> Welches Programm erzeugt die "besten" PDF/A-Dokumente, die auch einer
> Prüfung standhalten.

Da gibt es viele. Wichtig ist halt die Einhaltung der Norm. Links siehe
oben.

> Und wie erzeuge ich am besten eine elektronische Unterschrift "unter"
> ein PDF-Dokument. Welche Software kann dafür empfohlen werden?

Acrobat? Stichwort Digitale Signatur...

Gruss,

Thomas

Hallo Thomas,

> Aus dem Callas-Dunstkreis heraus ist ein Büchlein entstanden, das derlei
> Fragen hoffentlich klärt:
> <http://de.bookbutler.info/vergleich/3981164806>
Danke für den Buchtipp. Nun kenne ich auch noch den "BookButler". ;-)

> Ansonsten guter Startpunkt:
> <http://www.pdfa.org/>
Danke für den Tipp. Die Seite kenne ich natürlich. Ich suchte mehr nach
einem direkten Link. Und möglichst mit unabhängiger Beurteilung. Auf
"http://www.pdfa.org/" werde ich wahrscheinlich mehr über Vorteile als
über Nachteile des PDF/A Formates.

>> Und wie erzeuge ich am besten eine elektronische Unterschrift "unter"
>> ein PDF-Dokument. Welche Software kann dafür empfohlen werden?
> Acrobat? Stichwort Digitale Signatur...
Richtig. ;-) Ich vergaß zu schreiben, dass ich nach kostenkünstige
Alternativen suche.

Ich suche nach einer kostengünstigen Software, die wir Firmen, die mit
uns zusammenarbeitenden (kleine Handwerksbetriebe), empfehlen können,
damit Rechnungen, Angebote etc. rechtsgültig elektronisch unterschrieben
werden und revisionssicher zu archivieren.

Frank

Frank Heindörfer <ThisIsNot*email.Address> wrote:
> [...]
> Ich suche nach einer kostengünstigen Software, die wir Firmen, die mit
> uns zusammenarbeitenden (kleine Handwerksbetriebe), empfehlen können,
> damit Rechnungen, Angebote etc. rechtsgültig elektronisch unterschrieben
> werden und revisionssicher zu archivieren.

Definiere "kostengünstig".

> Frank

Schobi

--
SpamTrap*gmx.de is never read
I'm HSchober at gmx dot de
"A patched buffer overflow doesn't mean that there's one less way attackers
can get into your system; it means that your design process was so lousy
that it permitted buffer overflows, and there are probably thousands more
lurking in your code."
Bruce Schneier

Ein paar Anmerkungen zu Revisionssicherheit:

[1] es gibt keine revisionssicheren Dateiformate; jeder
Schutzmechanismus **innerhalb einer Datei** kann geknackt werden
[2] Revisionssicherheit laesst sich nur erzielen, indem zur Datei
selbst etwas hinzukommt, dies kann ueblicherweise sein
[2a] eine entsprechend anspruchsvolle digitale Signatur, abgesichert
durch ein anerkanntes Trust Center; der Signaturmechanismus in
Verbindung mit dem Trust Center als "vertrauenswuerdige" unabhaengige
Instanz stellt (fuer den Moment) ausreichend/gesetzlich anerkennbar
sicher, dass die Datei nicht geaendert wurde und/oder dass sie von
einer bestimmten Person signiert wurde; zu "fuer den Moment": die
Signaturalgorithmen haben Haltbarkeitsdaten - auf Grund von
Fortschritten in der IT ist davon auszugehen, dass in einigen Jahren
etwas geknackt werden kann, was heute praktisch noch nicht zu knacken
ist; deswegen muss in der Regel nach bestimmten Fristen mit dann
neueren Signaturloesungen nach-signiert werden
[2b] ein 'vertrauenswuerdiges System', das eine Schutzschicht um die
Dateien legt und den (insbesondere schreibenden) Zugriff auf diese
kontrolliert (bzw. das nachtraegliche Aendern schlechtweg verhindert).
Hier ist es also letztlich das System, das revisionssicher ist. Davon
gibt's dann branchenspezifisch ziemlich viele (man denke da an
Finanzbuchhaltungssysteme u.ae.)

Ausserdem:
In der Vergangenheit wurde bevorzugt TIFF G4 fuer revisionssichere
(digitale) Ablage eingesetzt (es ist wohl ziemlich klar, dass nichts
einfacher zu manipulieren ist als ein TIFF... - auch hier also:
Revissionssicherheit entsteht nicht durch ein Dateiformat, sondern
durch eine vertrauenswuerdige Drittinstanz+Signatur o.ae. oder durch
ein die Dateien verwaltendes/kontrollierendes System).

Das PDF/A Competence Center mit seiner Website pdfa.org vertritt -
wenig ueberraschend - in der Tat die Aufassung, dass PDF/A eine sehr
schlaue Wahl ist, wenn es um digitale Archivierung geht. Dem kann man
folgen, muss man aber natuerlich nicht. Wir leben ja erfreulicherweise
noch in einer Art Demokratie mit dem Recht auf freie
Meinungsaeusserung und Meinungsbildung... Wer das Thema PDF/A
eingehender eroertern moechte, findet evtl. auch die entsprechende
Mailingliste bei pdfa.org interessant. Da sind ganz sicher nicht nur
eingeschworene PDF/A-Anhaenger mit von der Partie...

Olaf Druemmer

PS: Zu Kostenaspekten - PDF/A an sich ist noch vergleichsweise
guenstig zu haben, Revisionssicherheit - egal welcher Couleur -
verursacht da schnell deutlich hoerere Kosten...

Hallo Schobi
>
> Definiere "kostengünstig".
Die Zumutbarkeit der angeschlossenen Handwerksbetriebe habe ich noch
nicht ausgelotet. Jedoch kann ich mir vorstellen, dass selbst bei einem
5-Mann Betrieb die Anschaffung einer so teuren Software wie Acrobat
(einschließlich Schulung) heftig ins Budget greift.

Welche Alternativen können denn empfohlen werden?

Frank

Hallo Olaf,

> [1] es gibt keine revisionssicheren Dateiformate; jeder
> Schutzmechanismus **innerhalb einer Datei** kann geknackt werden
Mhmm. Also zunächst sollte ich erklären was ich mit revisionssicher
meine. Handwerksbetriebe sollen bei uns demnächst Rechnungen
"elektronisch" einreichen. Diese Rechnungen sollen in einem solchen
Dateiformat vorliegen, dass es der Prüfung einer internen wie externen
Revision durch Prüfer standhält. Der Prüfer bestätigt uns also, dass die
Verarbeitung und Archivierung dieser elektronischen Rechnungen den
gesetzlichen Bestimmungen entspricht.

Ich dachte nun, dass das PDF/A-Format mit einem Zertifkat unterschrieben
möglicherweise dafür die richtige Lösung ist und das Leser dieses Forums
damit schon Erfahrung gemacht haben. Es muss doch schon Unternehmen
geben, die mit elektronischen Schriftverkehr arbeiten und dieses Problem
gelöst haben.

Natürlich bin ich auch für Alternativen zu haben.

Tschüss Frank

Frank Heindörfer <ThisIsNot*email.Address> wrote:
> Hallo Schobi
> >
> > Definiere "kostengünstig".
> Die Zumutbarkeit der angeschlossenen Handwerksbetriebe habe ich noch
> nicht ausgelotet. Jedoch kann ich mir vorstellen, dass selbst bei einem
> 5-Mann Betrieb die Anschaffung einer so teuren Software wie Acrobat
> (einschließlich Schulung) heftig ins Budget greift.
>
> Welche Alternativen können denn empfohlen werden?

Ich habe keine Ahnung, wie man das mit dem Signieren
machen kann, ohne Acrobat zu haben. Das sollte jemand
anderes klären. (Ist das für eine Revision denn über-
haupt nötig?)
Was PDF/A betrifft -- dafür gibt es Tools, die kein
Acrobat brauchen. Die hier schon erwähnte Firma Callas
bietet z.B. "pdfaPilot Converter CLI" (die Kommando-
zeilen-Variante des Plugins) laut Webshop für ca. 380,-.
Wenn man da jetzt mal noch einen gewissen Rabatt für
mehrere Lizenzen voraussetzt (oder es bei irgendeinem
Reseller etwas günstiger wäre) -- ist das nach Deiner
Auffassung denn dann kostengünstig oder nicht?

> Frank

Schobi

--
SpamTrap*gmx.de is never read
I'm HSchober at gmx dot de
"A patched buffer overflow doesn't mean that there's one less way attackers
can get into your system; it means that your design process was so lousy
that it permitted buffer overflows, and there are probably thousands more
lurking in your code."
Bruce Schneier

Frank Heindörfer <ThisIsNot*email.Address> wrote:

> Mhmm. Also zunächst sollte ich erklären was ich mit revisionssicher
> meine. Handwerksbetriebe sollen bei uns demnächst Rechnungen
> "elektronisch" einreichen. Diese Rechnungen sollen in einem solchen
> Dateiformat vorliegen, dass es der Prüfung einer internen wie externen
> Revision durch Prüfer standhält. Der Prüfer bestätigt uns also, dass die
> Verarbeitung und Archivierung dieser elektronischen Rechnungen den
> gesetzlichen Bestimmungen entspricht.
>
> Ich dachte nun, dass das PDF/A-Format mit einem Zertifkat unterschrieben
> möglicherweise dafür die richtige Lösung ist und das Leser dieses Forums
> damit schon Erfahrung gemacht haben. Es muss doch schon Unternehmen
> geben, die mit elektronischen Schriftverkehr arbeiten und dieses Problem
> gelöst haben.
>
> Natürlich bin ich auch für Alternativen zu haben.

Ich klinke mich hier mal ein, erst mal hallo allerseits.

Nach dem was Du schreibst hängt das also von den gesetzlichen
Bestimmungen und deren Auslegung durch die Prüfer ab.

Ohne diese jetzt zu kennen, könnte ich mir als Alternative die
Signierung der Rechnungen entweder mit einem X.509-Zertifikat oder mit
einem pgp-Schlüssel vorstellen.
pgp ist zwar für private Benutzung kostenlos erhältlich, für
kommerzielle Benutzung ist aber eine Lizenz erforderlich.
So weit ich das beurteilen kann, würde für Deinen Zweck der
Leistungsumfang "desktop email" genügen. Jeder Beteiligte müsste eine
Lizenz erwerben. pgp desktop email kostet derzeit 59EUR/Jahr oder 141EUR
zeitlich unbegrenzt (http://www.pgp.com). Die Erstellung der Schlüssel
wird von jedem Absender selbst vorgenommen und kostet nichts.

X.509-Zertifikate können auch von Mailprogrammen, z.B. Outlook, Outlook
Express, Thunderbird verwendet werden. Hier fallen keine Kosten für
Software an, aber für Erteilung der X.509-Zertifikate (jeweils eins pro
Absender) durch eine der anerkannten Zertifizierungsstellen.

Ob eine Signierung mit X.509 den Prüfern genügt, müsstest Du mal
versuchen herauszufinden.

--
Wilfried Hennings
bitte in der Newsgroup antworten, die e-Mail-Adresse ist ungültig

Wilfried Hennings wrote:

> pgp ist zwar für private Benutzung kostenlos erhältlich, für
> kommerzielle Benutzung ist aber eine Lizenz erforderlich.

und gpg ist für private und kommerzielle Nutzung frei ...

Man könnte die PGPs auch in einer revisionssicheren Datenbank ablegen. Eine
solche Datenbank erlaubt es nicht, Daten zu löschen, sondern nur, sie zu
stornieren. Eine solche Datenbank könnte auch nur die Signaturen speichern.

Gruß
Markus

Hallo Hendrik,

> Ich habe keine Ahnung, wie man das mit dem Signieren
> machen kann, ohne Acrobat zu haben. Das sollte jemand
> anderes klären. (Ist das für eine Revision denn über-
> haupt nötig?)
Ich denke schon. Wie anders willst Du denn nachweisen, dass das
vorliegende Dokument\Rechnung\Auftrag wirklich von der Firma bzw. von
einem Vertreter der Firma ausgestellt wurde?

Danke für den Hinweis zu den "pdfaPilot Converter CLI". Ich werde prüfen
lassen, ob der Preis ok ist.

Tschüss Frank

> Nach dem was Du schreibst hängt das also von den gesetzlichen
> Bestimmungen und deren Auslegung durch die Prüfer ab.
Genau, und da dachte ich, dass in dieser Newsgroup schon Erfahrungen
damit gemacht wurden.

Von der Sparkasse wird eine Lösung (Karte mit Zertifikat, Kartenleser,
Software) (für glaube ich 30 €/Jahr - also billig) angeboten, mit der
man beliebige Dateien unterschreiben kann.
Also theoretisch nicht schlecht. Aber was ist in 10 Jahren? Funktioniert
dann diese Lösung noch. Kann ich dann das Dokument noch lesen bzw. die
dazugehörige elektronische Unterschrift noch prüfen.

Ich hatte die Hoffnung, dass das PDF/A-Format + elektronische
Unterschrift dafür die richtige Lösung ist, durch den Gesetzgeber
bereits anerkannt wurde und hier in der Newsgroup dazu auch schon
Erfahrungen gesammelt wurden.

Ich fand die Vorstellung, dass ein kostenfreier Adobe Reader 20.0 im
Jahre 2017 eine Rechnung aus dem Jahre 2007 öffnet, die elektronische
Unterschrift anzeigt, einfach gut. Keine zusätzliche Software usw..

Tschüss Frank

Frank Heindörfer <ThisIsNot*email.address> schrieb:
>> Nach dem was Du schreibst hängt das also von den gesetzlichen
>> Bestimmungen und deren Auslegung durch die Prüfer ab.
> Genau, und da dachte ich, dass in dieser Newsgroup schon Erfahrungen
> damit gemacht wurden.

Egal ob du Plaintext, PDF oder Bilder benutzt: damit das Finanzamt die
Rechnungen anerkennt, müssen sie in Schriftform (BGB §129) oder
elektronischer Form (BGB §129a) vorliegen. Das bedeutet, daß du eine
qualifizierte elektronische Signatur gemäß Signaturgesetz brauchst.

> Von der Sparkasse wird eine Lösung (Karte mit Zertifikat, Kartenleser,
> Software) (für glaube ich 30 €/Jahr - also billig) angeboten, mit der
> man beliebige Dateien unterschreiben kann.
> Also theoretisch nicht schlecht. Aber was ist in 10 Jahren? Funktioniert
> dann diese Lösung noch. Kann ich dann das Dokument noch lesen bzw. die
> dazugehörige elektronische Unterschrift noch prüfen.

Das Zertifikat hat eine maximale Gültigkeit von 5 Jahren, man streitet
sich wohl noch darum, ob rechtzeitig vor Ablauf eine Neusignierung der
signierten Dokumente erfolgen muß (um den Zustand der _noch_ gültigen
alten Signatur zu signieren). Die Neusignierung erfolgt dann durch den
Aufbewahrungspflichtigen.

Praktisch betrachtet lohnt sich so ein Verfahren IMHOÂ*nur bei großen
Rechnungsvolumina, da die Kosten für Signatur und Signierung bei kleiner
Zahl signierter Dokumente kaum niedriger liegen dürften als bei
Verwendung der Schriftform (Hint: auch die qualifizierte elektronische
Signatur muß ja von einem Zeichnungsberechtigten erzeugt werden - und das
kostet Zeit).

Ralf
--
Ralf Döblitz * Schapenstraße 6 * 38104 Braunschweig * Germany
Phone: +49-531-2361223 Fax: +49-531-2361224 mailto:doeblitz*doeblitz.net
Homepage: http://www.escape.de/users/selene/
Mit UTF-8 kann man gleichzeitig äöüßÄÖÜæœłø‱¼½¾¤¹²³¢€£¥¶ §¬÷×±©®™¡¿ verwenden…

Hallo Ralf,

zunächst einmal vielen Dank für deine Antwort.

> Egal ob du Plaintext, PDF oder Bilder benutzt: damit das Finanzamt die
> Rechnungen anerkennt, müssen sie in Schriftform (BGB §129) oder
> elektronischer Form (BGB §129a) vorliegen. Das bedeutet, daß du eine
> qualifizierte elektronische Signatur gemäß Signaturgesetz brauchst.
Das ist mir vollkommen klar. Bleibt die Form der Archivierung. Es hätte
ja sein können, dass einige User hier PDF/A zur Archivierung von
Dokumenten schon einsetzen und bei der jährlichen Revision damit noch
keine Probleme hatten. Oder umgedreht, dass durch die Prüfung der
Innenrevision festgestellt wurde, dass sich PDF/A im Augenblick noch
nicht dafür eignet, sondern Verfahren\Dokumenttyp XYZ.

> Das Zertifikat hat eine maximale Gültigkeit von 5 Jahren, man streitet
> sich wohl noch darum, ob rechtzeitig vor Ablauf eine Neusignierung der
> signierten Dokumente erfolgen muß (um den Zustand der _noch_ gültigen
> alten Signatur zu signieren). Die Neusignierung erfolgt dann durch den
> Aufbewahrungspflichtigen.
Danke für diesen Hinweis. Hier wäre natürlich Klarheit durch den
Gesetzgeber wichtig. Andererseits stelle ich mir gerade folgendes vor.
1.) Der Handwerker erstellt eine Rechnung als PDF/A und signiert diese.
(Perfekt bis jetzt)
2.) 5 Jahre später, den Handwerker gibt es schon seit 3 Jahren nicht
mehr. Ein Mitarbeiter der eigenen Firma muss diese Rechnung nun
nachsignieren. Dies kann er fast nur pauschal(!) ohne eigentliche
Prüfung tun. Dabei können auch Fehler auftreten, die dann dem
Nachsignierenden zur Last gelegt werden können.

Frank