Bei der Einführung der E-Rechnung ergeben sich wesentliche Sicherheitsrisiken, denen durch gezielte Schutzmaßnahmen begegnet werden muss.
Wesentliche Sicherheitsrisiken:
- Manipulation von Daten: Strukturierte Daten sind anfällig für Manipulationen, wenn keine geeigneten Schutzmaßnahmen vorhanden sind. Dies kann Beträge oder Kontoverbindungen auf dem Übertragungsweg betreffen.
- Unsichere Übertragung: Die Übertragung von Rechnungsdaten erfolgt in der Praxis oft unzureichend abgesichert, beispielsweise als unverschlüsselte Mailanhänge ohne Signatur oder Zugriffsschutz.
- Abgreifen von Rechnungsdaten: Bei mangelnder TLS-Konfiguration oder anderen Sicherheitslücken können Rechnungsdaten durch Dritte abgegriffen werden.
- Fehlende Nachvollziehbarkeit der Zustellung: Wenn Rechnungen unkontrolliert per E-Mail zirkulieren, ist weder die Zustellung noch die Unveränderbarkeit gewährleistet, und die Nachvollziehbarkeit der Zustellung fehlt.
- Nichteinhaltung der GoBD: Verstöße gegen die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern und Unterlagen in elektronischer Form) sind nicht nur ein Compliance-Problem, sondern auch ein Sicherheitsvorfall. Dies kann zu steuerrechtlicher Haftung und Bußgeldern bei Datenschutzverstößen führen.
- Unsichere Speicherung: Eine strukturierte Rechnung, die unsicher gespeichert wird, gefährdet sowohl steuerliche als auch datenschutzrechtliche Anforderungen.
Wesentliche Schutzmaßnahmen:
Um die Integrität von Rechnungsdaten zu gewährleisten und den genannten Risiken zu begegnen, sind folgende Maßnahmen erforderlich:
- Technische Absicherung und organisatorische Verankerung: Die E-Rechnung ist ein sensibler digitaler Geschäftsprozess, der technisch abgesichert und organisatorisch verankert sein muss.
- Nutzung strukturierter Datenformate: Elektronische Rechnungen im Sinne des Gesetzgebers sind strukturierte Daten in Formaten wie XRechnung (UBL) oder ZUGFeRD (CII), die eine automatisierte Verarbeitung ermöglichen. Ein einfaches PDF genügt nicht.
- Digitale Signaturen: Diese dienen dazu, die Absenderauthentizität und die Unverändertheit von Rechnungen zu prüfen. Sie werden auch vom Peppol-Standard für gesicherte Übertragungswege genutzt.
- Hash-Werte: Sie ermöglichen das automatisierte Erkennen von Manipulationen an Rechnungsdaten.
- GoBD-konforme Archivierungssysteme: Diese Systeme müssen Änderungen verhindern oder protokollieren. Die GoBD fordern insbesondere die Unveränderbarkeit von Rechnungsinhalten nach Erstellung, die Protokollierung jedes Zugriffs und jeder Änderung am Archiv sowie die Vergabe von Zugriffsrechten, sodass nur berechtigte Personen Rechnungsdaten einsehen oder exportieren können.
- Nutzung zertifizierter E-Rechnungsplattformen oder des Peppol-Standards: Dies bietet einen wesentlichen Sicherheitsvorteil. Dabei werden strukturierte Rechnungsdaten:
- Nur zwischen identifizierten Teilnehmern (über eindeutige Peppol-IDs) ausgetauscht.
- Immer über gesicherte Übertragungswege zugestellt (Peppol verwendet unter anderem TLS und digitale Signaturen).
- Protokolliert und nachverfolgbar übertragen.
- Viele Plattformen protokollieren und bestätigen den Empfang automatisch, was als rechtssichere Nachweisführung dienen kann.
- Sicherheitsmaßnahmen bei Cloud-Lösungen: Bei der Nutzung von Cloud-Lösungen sollten die verwendeten Verschlüsselungsverfahren, das Vorhandensein einer 2-Faktor-Authentifizierung, die Erfüllung der GoBD-Anforderungen und die Mandantentrennung (insbesondere im Kontext der DSGVO) geprüft werden.
- Interdisziplinärer Projektansatz: Die Umstellung auf E-Rechnung betrifft IT-Verantwortliche, Compliance-Beauftragte, Datenschutzbeauftragte und die Geschäftsleitung. Ein interdisziplinärer Ansatz, gegebenenfalls begleitet durch spezialisierte Berater, ist dringend zu empfehlen.
Insgesamt ist die E-Rechnung mehr als nur eine steuerliche Pflicht; sie ist ein sicherheitsrelevanter Prozess, bei dem Übertragungswege, Archivierung, Rollenrechte und technische Integrität zusammenspielen müssen. Wer frühzeitig in sichere Prozesse investiert, stärkt nicht nur die Effizienz, sondern schützt auch seine Daten und seine Organisation.