Digitale Signatur: Das Sicherheitsnetz für jede E-Rechnung

Die Pflicht zur E-Rechnung gilt in Deutschland seit 1.1.2025! Für den Versand von E-Rechnungen gibt es eine Übergangsfrist, abhängig vom Jahresumsatz, bis 2027, bzw. bis 2028. Für den Empfang von E-Rechnungen gibt es allerdings keine Übergangsfrist! Jede Firma und jeder Selbständige/Freiberufler der in Deutschland gemeldet ist, muss E-Rechnungen empfangen und validieren können. Eine E-Rechnung darf nicht abgelehnt werden und der Empfänger ist zur technischen Validierung verpflichtet. 

Mit ZEIT.IO kann man nicht nur Zeiten erfassen, sondern auch E-Rechnungen erstellen und empfangen. Im Rechnungsausgang unterstützt ZEIT.IO die zwei E-Rechnungsformate ZUGFeRD und XRechnung. Im Rechnungseingang können ZUGFeRD, XRechnung und Peppol BIS 3 Rechnungen empfangen, validiert, visualisiert und revisionssicher gespeichert werden. 

In Deutschland werden jedes Jahr rund 32 Milliarden Rechnungen versendet. Ungefähr die Hälfte davon werden auf elektronischem Wege versendt. Das sind ca. 16 Milliarden Rechnungen, die jedes Jahr via E-Mail versendet werden. Das Problem dabei ist, dass diese Rechnungen überwiegend unverschlüsselt und unsigniert versendet werden. Was eine Manipulation der Rechnungen sehr einfach macht.

Jetzt werden einige sofort widersprechen und sagen: "Aber wir nutzen doch SSL- oder TLS-Verschlüsselung, um mit unserem E-Mail-Server zu kommunizieren.". Das mag alles sein und das sollten Sie auch auf jeden Fall tun! Allerdings ist damit nur der Transportweg von Ihrem E-Mail-Client bis hin zu Ihrem E-Mail-Server abgesichert. Die E-Mail, welche die Rechnung enthält, muss durch mehrere SMTP Server im Internet geroutet werden, bis sie beim E-Mail-Server des Empfängers ankommt. Und über die Transportwege und Verschlüsselungsmechanismen zwischen den einzelnen E-Mail-Relays haben Sie keine Kontrolle. Diese Transportwege können über SSL verschlüsselt sein oder auch nicht. Außerdem kann jeder Admin von diesen E-Mail-Relays die E-Mail in Klartext einsehen und auch manipulieren. Hier nachfolgend ist ein sehr stark vereinfachte Illustration, die zeigt, wie eine E-Mail durch das Internet geroutet wird und an welcher Stelle die E-Mail angreifbar ist.

Die Illustration zeigt eine klassische "Man-In-The-Middle"-Attacke. Ein Akteur in der Mitte des Transportweges, durch dessen E-Mail-Relay Ihre E-Mail geleitet wird, fängt die E-Mail ab, manipuliert die Rechnung, und leitet die manipulierte Rechnung weiter an den Empfänger. Typischerweise werden bei solchen Angriffen die Bankdaten auf der Rechnung ausgetauscht. Der Empfänger der Rechnung, Ihr Kunde, merkt dass sich die Bankverbindung geändert hat, denkt sich aber nicht viel dabei und überweist die Rechnungssumme auf das Bankkonto, das auf der Rechnung steht. Sie wundern sich, warum der Kunden nicht bezahlt und verschicken irgendwann eine erste Mahnung. Bis Sie herausgefunden haben, dass der Kunde eine gefälschte Rechnung bezahlt hat, sind die Angreifer mit dem Geld schon längst über alle Berge. 

Es gibt verschiedene Möglichkeiten, um diese "Man-In-The-Middle"-Attacke zu vermeiden. Eine Möglichkeit wäre es, die E-Mail komplett zu verschlüsseln. Damit können Angreifer in der Mitte die E-Mail erst gar nicht im Klartext lesen. Allerdings setzt das voraus, dass der Empfänger über ein Passwort oder einen öffentlichen Schlüssel verfügt, um die verschlüsselte E-Mail wieder zu entschlüsseln. Dieses Verfahren ist in der Praxis doch recht aufwändig und wird kaum eingesetzt. 

Eine andere Möglichkeit besteht darin, die Rechnung zu signieren, mit einem privaten Zertifikat von einer öffentlichen Vertrauensstelle. Das Verfahren ist bekannt als Asymmetrisches Kryptosystem. Wenn die Rechnung im PDF Format vorliegt, wie das z.B. bei ZUGFeRD der Fall ist, dann kann die PDF digital signiert werden. Dabei wird die PDF mit einem sogenannten "private key" signiert. Die Signatur enthält auch einen Hashwert, der über den Inhalt der PDF-Rechnung gebildet wurde. Eine digitale Signatur schützt die Datei nicht vor Veränderung! Aber sie kann helfen, eine mögliche Manipulation sichtbar zu machen. 

Wenn jetzt ein Angreifer die Rechnung verändert, dann kann der Empfänger das sehr leicht herausfinden, indem der Empfänger die Signatur auswertet. Wenn die Rechnung nicht verändert wurde, dann kann die Signatur positiv verifiziert werden. Wenn die Rechnung verändert wurde, stimmt der Hashwert in der Signatur nicht mehr mit dem Hashwert des aktuellen Inhaltes überein und die Signatur kann nicht positiv verifiziert werden! 

Deshalb sollten Sie als Absender von Rechnungen immer Ihre Rechnungen digital signieren und als Empfänger von Rechnungen sollten Sie ein Tool nutzen, um empfangene Eingangsrechnungen auf ihre digitale Signatur prüfen zu können! Das Rechnungsmodul von ZEIT.IO bietet beides!

Alle PDF-Rechnungen und PDF-Gutschriften, die auf ZEIT.IO erstellt werden, sind seit dem 17. August 2025, digital signiert! Wir nutzen dafür ein Zertifikat von D-Trust, einem Unternehmen der Bundesdruckerei-Gruppe. Das Zertifikat ist ausgestellt auf die REIZ Solutions GmbH, die Firma hinter ZEIT.IO, und wird auch jedes Jahr erneuert. Damit tragen wir dazu bei das die Welt ein wenig sicherer wird. 

Wenn Sie eine PDF-Rechnung oder PDF-Gutschrift mit dem Acrobat Reader von Adobe öffnen, die auf ZEIT.IO erstellt wurde, dann wird auch angezeigt das die Rechnung signiert ist. Das ganze sieht dann so aus: 

Und wenn Sie auf "Signature Panel" klicken, dann werden weiter Infos zu der Signierung und dem Zertifikat angezeigt.

Wenn Sie versuchen, die PDF-Rechnung in der Adobe Acrobat App zu bearbeiten, dann wird das nicht möglich sein! Adobe erkennt die Signierung und lässt deshalb auch keine Änderung am Dokument zu. Leider halten sich nicht alle Programme an diesen Standard. Wenn Sie die gleiche Datei im "Preview" Programm von Apple auf Mac OS X öffnen, dann werden keinerlei Informationen über die Signierung angezeigt. Viele PDF-Reader können mit Signaturen und eingebetteten XML Dateien nicht umgehen und ignorieren diese einfach. 

Mit dem "Preview" Programm von Apple auf Mac OS X ist es auch möglich, die Datei zu verändern, trotz Signatur! Mit dem Programm kann man ganz leicht die Bankverbindung überschreiben. Allerdings wird beim Speichern der Datei eine Standard-PDF erstellt. Die so manipulierte Rechnung enthält weder eine Signatur noch die eingebettete XML-Datei die für ZUGFeRD erforderlich ist. Und somit ist die manipulierte Rechnung auch keine E-Rechnung mehr. Und ab 2027 ist es auch keine gültige Rechnung mehr! 

Achten Sie deshalb immer darauf. Wenn Sie eine Rechnung von ZEIT.IO empfangen und diese Rechnung keine Signierung enthält, dann handelt es sich sehr wahrscheinlich um einen Betrugsfall! 

Im Rechnungseingang von ZEIT.IO können Sie Eingangsrechnungen empfangen. Entweder über das E-Rechnungs-Postfach, oder einfach indem Sie eine Datei via Drag&Drop auf den Rechnungseingang ziehen. Wenn es sich bei der Datei um eine E-Rechnung handelt, wird ZEIT.IO die Rechnung auch validieren und visualisieren. Zur Validierung gehört die Prüfung auf technische Korrektheit, einhaltung der Syntax und der offiziellen Code-Listen UND das Prüfen der Signatur, sofern eine Signatur vorhanden ist!

Wenn die Datei keine Signatur enthält, dann wird das jetzt auch angezeigt. Das sieht entsprechend so aus:

Eine nicht signierte E-Rechnung kann natürlich valide sein. Allerdings kann eine Manipulation dann nicht ausgeschlossen werden.

Wenn die Datei digital signiert ist, die Datei aber verändert wurde, dann wird ZEIT.IO die Rechnung als nicht valide anzeigen.

Wenn die digitale Signatur der E-Rechnung positiv validiert werden kann und die Rechnung auch syntaktisch korrekt ist dann wird das hier angezeigt werden.

In dem Beispiel oben wird auch angezeigt, von welcher Firma die Datei wann signiert wurde, aus welchem Grund, und auch wer das Zertifikat  für die Signierung ausgestellt hat. Vor allem der letzte Part, Zertifikatsaussteller, ist sehr wichtig! Hierbei sollten Sie immer darauf achten, dass das Zertifikat von einer bekannten Vertrauensstelle ausgestellt wurde. Selbst ausgestellte Zertifikate sind nicht vertrauenswürdig! 

Die Digitale Signatur ist das Sicherheitsnetz für jede E-Rechnung! 
ZEIT.IO signiert Ausgangsrechnungen, um diese vor Manipulation zu schützen und das Vertrauen zu erhöhen! Im Rechnungseingang werden digital signierte Eingangsrechnungen auf Ihre Echtheit verifiziert und manipulierte Dateien werden sofort sichtbar gemacht! Mit ZEIT.IO sind Sie auf der sicheren Seite!