DATEV eG

DATEV eG

DATEV eG Bericht über die Prüfung des DATEV Prokukts „eRechnung“ (Stand: März 2010) 28. April 2010 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft ...

835KB Sizes 0 Downloads 10 Views

Recommend Documents

DATEV eG
14.08.2014 - elektronische Signatur enthält. ... und als elektronische Erfassung (Digitalisierung) von physischen .....

DATEV Dienstleistungskatalog - Ruoff, Brodacz & Kollegen
Steuervorauszahlung reduziert werden kann – wir sind Ihr kompetenter. Ansprechpartner. Die folgende Übersicht zeigt I

DATEV Dienstleistungskatalog - adfontis Steuerberatung
Steuervorauszahlung reduziert werden kann – wir sind Ihr kompetenter. Ansprechpartner. Die folgende Übersicht zeigt I

1995 - DATEV Challenge Roth
26 266 BUCHDRUCKER, Rudolf TV 40 ERLANGEN GER 17 T1130 4 .... 74 336 JACOBS, Ralph TRIATHLON TEAM HA GER 52 11425 26 09:

Formatbeschreibung ASCII-Weiterverarbeitungsdatei - Datev
01.03.2016 - Formatbeschreibung ASCII-Weiterverarbeitungsdatei. Feld. Art des Felds und Beispiele. 1. Bankleitzahl oder

Anleitung für einen erfolgreichen DATEV-Export
DATEV-Export ASCII-CSV. DATEV-Export KNE. Besonderheit Konto 2200. Problembehandlung häufiger Fehlermeldungen. Umfang d

Leseprobe Arbeitsunterlage DATEV Anwalt pro
Arbeitsplatz pro. Hier bekommen Sie bereits einen schnellen Überblick über viele wichtige Infos zur Akte – ohne die

eg 264 eg 609 eg 587 - ECC BOCHUM
26.04.2015 - SCHRIFTLESUNGEN / BIBLE READINGS. 1 John 3:16-24. NT, page 305 (302). Choirs/Chöre. Christ is our cornerst

EG 3 EG 2 EG 1 - IK-T
Rappoltengrün. Rappoltengrün. Rappoltengrün. Wiesenmühle. Wiesenmühle. Wiesenmühle. Wiesenmühle. Wiesenmühle. Wiesenmühl

DATEV-Vertreterwahl 2016 - Steuerberaterverband Schleswig-Holstein
17.02.2016 - 24860 Böklund. Geburtsdatum. 13.12.1964. Folgende DATEV-Programme werden in meiner/unserer Praxis angewende

DATEV eG Bericht über die Prüfung des DATEV Prokukts „eRechnung“ (Stand: März 2010) 28. April 2010 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft

Inhaltsverzeichnis

1.

2.

Auftrag und Auftragsdurchführung ...................................................................... 3 1.1

Auftraggeber und Prüfungsgegenstand ................................................ 3

1.2

Prüfungsdurchführung ........................................................................ 3

1.3

Prüfungskriterien ................................................................................ 5

Darstellung der Prüfungsergebnisse .................................................................... 6 2.1 2.1.1

Anforderungen an die sicheren Signaturerstellungseinheiten und Kartenleser .............................................................................. 6

2.1.2

Anforderungen an die verwendeten qualifizierten Zertifikate ............. 7

2.1.3

Anforderungen an die Signaturanwendungskomponenten .................. 7

2.1.4

Anforderungen an die IT Infrastruktur .............................................. 8

2.2

Anforderungen an die Signatur- und Prüfprozesse ................................. 8

2.2.1

Übertragung der Dokument an DATEV und zum Anwender ................. 8

2.2.2

Signierung einer Datei ..................................................................... 9

2.2.3

Prüfung einer signierten Datei .......................................................10

2.2.4

Datensicherung und -bereitstellung gemäß den GDPdU ....................10

2.3

3.

Anforderungen an die eingesetzten Komponenten und IT-Systeme ......................................................................................... 6

Sicherheitsanforderungen an die IT Anwendungen...............................11

2.3.1

Autorisierungsfunktion ..................................................................11

2.3.2

Nachvollziehbarkeit, Protokollierung ..............................................11

2.3.3

Dokumentation und Softwaresicherheit ..........................................12

Zusammenfassung der Prüfungsergebnisse und Softwarebescheinigung .............14

Anlage Allgemeine Auftragsbedingungen

1

Abkürzungsverzeichnis

AO

Abgabenordnung

BMF

Bundesministerium der Finanzen

DASEM

DATEV Software Entwicklungsmodell

FAIT

Fachausschuss für Informationstechnologie

GDPdU

Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen

GoB

Grundsätze ordnungsmäßiger Buchführung

GoBS

Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme

HGB

Handelsgesetzbuch

ID

Identifikationsnummer

IDW

Institut der Wirtschaftsprüfer

PIN

Persönliche Identifikationsnummer

PC

Personal Computer

PS

Prüfungsstandard

SC

Smartcard

SigG

Signaturgesetz

SigV

Signaturverordnung

SSL

Secure Sockets Layer

2

1.

Auftrag und Auftragsdurchführung

1.1

Auftraggeber und Prüfungsgegenstand

Die DATEV eG, Nürnberg (im Folgenden DATEV genannt) erteilte uns auf Basis unseres Angebots vom 19. Juni 2009 den Auftrag zur Prüfung der Ordnungsmäßigkeit des DATEV Produkts „elektronische Rechnung“ (eRechnung). Das DATEV Produkt „eRechnung“ wird Unternehmen (im Folgenden: „Mandanten“) und DATEV-Mitgliedern (im Folgenden: „Berater“) als neuer Dienst angeboten. Mit diesem Produkt können Mandanten und Berater rechtsicher elektronische Rechnungen erstellen und empfangene elektronische Rechnungen rechtsicher prüfen. Die Prüfung der Ordnungsmäßigkeit erstreckte sich auf die im Rechenzentrum der DATEV betriebenen Komponenten. Prüfungsgegenstand waren auch die Systemschnittstellen zu anderen DATEV-Produkten (z.B. die Autorisierung über die Rechteverwaltung online, Anbindung „Belegverwaltung online“), nicht aber die Schnittstellenprodukte selbst. Die elektronischen Rechnungen werden im digitalen Belegarchiv „Belegverwaltung online“ der DATEV archiviert. Der Zugriff des Anwenders auf die signierten bzw. geprüften Rechnungen erfolgt über „Belegverwaltung online“. Gegenstand dieser Prüfung war nur der Teil der „Belegverwaltung online“, der zur Anzeige der Rechnungen und Protokolle eingesetzt wird. Zeitgleich zu der Prüfung des DATEV Produkts „eRechnung“ wurde auch das Produkt „Belegverwaltung online“ von Ernst & Young auf Ordnungsmäßigkeit geprüft. Gegenstand des Auftrags war die Überprüfung des DATEV Produkts „eRechnung“ mit Softwarestand vom März 2010 hinsichtlich der ordnungsmäßigen Signierung und Signaturprüfung von elektronischen Rechnungen als auch die Einbindung in ablauforganisatorische Prozesse und Maßnahmen innerhalb der DATEV. 1.2

Prüfungsdurchführung

Die Prüfung des DATEV Produkts „eRechnung“ erfolgte im Februar und März 2010 in den Räumen der DATEV in Nürnberg. Die Ordnungsmäßigkeit wurde auf Grundlage bereit gestellter Unterlagen und Informationen sowie eigenen Tests geprüft. Die erforderlichen Auskünfte erteilten uns die Produktverantwortlichen von „eRechnung“. Ergänzende Informationen haben wir von der Produktentwicklung, dem Service und Support und dem Produktionsbetrieb der DATEV erhalten.

3

Das Produkt „eRechnung“ basiert auf Komponenten unterschiedlicher Hersteller sowie eigentwickelter Software von DATEV. Die Prüfung erfolgte mit den Komponenten in der Produktivumgebung. Folgende Komponenten wurden zur Signaturerstellung und Prüfung eingesetzt: Signaturanwendun gskomponenten

OPENLiMiT SignCubes Basiskomponenten 2.5, Version 2.5.0.1 Mit Bestätigung laut SiG und SigV: BSI.02110.TE.12.2008 OPENLiMiT Document Processing Service v1.1 mit Herstellererklärung

Kartenleser

cyberJack e-com, Version 3 der Reiner Kartengeräte GmbH & Co. KG Mit Bestätigung laut SiG und SigV: TUVIT.93155.TE09.2008

Sichere Signaturerestellung seinheit (Smardcard)

Signtrust MCard 3.2 der Deutsche Post Com GmbH Diese entspricht der Sicheren Signaturerstellungseinheit STARCOS 3.2 QES Version 2.0 der Giesecke & Devrient GmbH Mit Bestätigung laut SiG und SigV: BSI.02114.TE.12.2008

DATEV eRechnungService

DATEV eRechnungService V1.0

Hardware Signaturserver und Signaturprüfserver

HP ProLiant DL385 G5 AMD Opteron 2356 4 GB RAM

Betriebssystem Signaturserver und Signaturprüfserver

Microsoft Windows 2003 Service Pack 2

Folgende Komponenten wurden zur Durchführung der Prüfung eingesetzt, waren aber nicht Bestandteil der Prüfung: Digitales Dokumentenarchiv

DATEV Belegverwaltung online V2.3

Dateitransfer

DATEV Belegtransfer V3.1

Authentifizierung

DATEV Rechteverwaltung online, Version 2.1.0

Zugriff auf Belegverwaltung online

Microsoft Internet Explorer V 7.0.5730.13 auf PC mit Microsoft Windows XP Professional mit Service Pack 3

Der Zugriff auf die in „Belegverwaltung online“ bereitgestellten elektronischen Rechnungen und Protokolle erfolgte über einen Webbrowser mit Hilfe einer verschlüsselten Verbindung (https) und Authentifizierung durch eine Smartcard-gebundene elektronische Signatur. Für die Durchführung des Auftrags und unsere Verantwortlichkeit sind, auch im Verhältnis zu Dritten, die Allgemeinen Auftragsbedingungen für Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften des IDW in der Fassung vom 1. Januar 2002 maßgebend, die in unserem Bericht als Anlage enthalten sind. Demgemäß gilt Nr. 9 Abs. 2 der Allgemeinen Auftragsbedingungen mit einer Haftungsbegrenzung von 4 Mio. € bzw. 5 Mio. €. Das 4

Auftragsverhältnis beinhaltet ferner die Verpflichtung der DATEV zum Hinweis auf unsere Freistellung von allen Ansprüchen Dritter. 1.3

Prüfungskriterien

Bei der Prüfung haben wir folgende, für den Einsatz von elektronischen Rechnungen relevante Bestimmungen, zu Grunde gelegt: ►

Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz SigG), zuletzt geändert am 17.7.2009



Verordnung zur elektronischen Signatur(Signaturverordnung - SigV), zuletzt geändert am 17.12.2009



Umsatzsteuergesetz (UStG), zuletzt geändert am 22.12.2009



Handels- und steuerrechtliche Vorschriften für eine ordnungsmäßige Buchführung (§§ 238 ff. HGB, § 257 HGB sowie §§ 145 ff. AO)



BMF-Schreiben vom 7. November 1995 IV A 8 - S 0316 - 52/95 betreffend die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)



Grundsätze ordnungsmäßiger Buchführung beim Einsatz von Informationstechnologie (IDW RS FAIT 1), Stand: 24. September 2002



BMF-Schreiben vom 16. Juli 2001 - IV D 2 - S 0316 - 136/01 betreffend die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)

5

2.

Darstellung der Prüfungsergebnisse

Der Gesetzgeber hat für den Ersatz von Papierrechnungen durch elektronische Rechnungen klare Anforderungen und Rahmenbedingungen definiert. Damit eine elektronische Rechnung als Beleg für den Vorsteuerabzug eingesetzt werden kann, müssen laut Umsatzsteuergesetz die Echtheit der Herkunft und die Unversehrtheit des Inhalts gewährleistet sein. Diese Forderung kann, wie bei dem von der DATEV angebotenen Produkt „eRechnung“, durch den Einsatz von qualifizierten elektronischen Signaturen erfüllt werden. Die Anforderungen an qualifizierte elektronische Signaturen werden im Signaturgesetz (SigG) und der Signaturverordnung (SigV) definiert. Darin wird unter anderem festgelegt, wer die für digitale Signaturen benötigten qualifizierten Zertifikate ausstellen darf (Zertifizierungsdienste-Anbieter) und welche Anforderungen die Komponenten für die Signaturerstellung und Prüfung(sichere Signaturerstellungseinheiten, Signaturanwendungskomponenten) erfüllen müssen. Zusätzlich zur korrekten Erstellung und Prüfung von elektronischen Rechnungen muss laut GDPdU sichergestellt werden, dass die elektronischen Rechnungen nachträglich nicht verändert werden können und die Prüfung der Signatur auf Korrektheit jederzeit durchgeführt werden kann.

2.1

Anforderungen an die eingesetzten Komponenten und IT-Systeme

2.1.1

Anforderungen an die sicheren Signaturerstellungseinheiten und Kartenleser

Die für die Erstellung digitaler Signaturen benötigten Signaturschlüssel müssen laut SigG vor Veränderungen geschützt werden und dürfen nicht außerhalb einer sicheren Signaturerstellungseinheit verwahrt werden. Sichere Signaturerstellungseinheiten müssen gewährleisten, dass der Signaturschlüssel erst nach Identifikation des Inhabers durch Besitz und Wissen oder durch Besitz und ein oder mehrere biometrische Merkmale angewendet werden kann. Die Erfüllung dieser Anforderungen ist durch eine anerkannte Bestätigungsstelle zu bestätigen. Von der DATEV werden Smartcards als sichere Signaturerstellungseinheiten eingesetzt. Der Zugriff auf die Smartcard ist durch die Eingabe einer PIN über den Kartenleser freizugeben. Dadurch wird die Forderung der Identifikation des Inhabers über Besitz (Smartcard) und Wissen (PIN) erfüllt. Um sicherzustellen, dass die DATEV fortlaufend Dokumente signieren kann werden die Smartcards dauerhaft im Rechenzentrum eingesetzt. Durch den Einsatz im Rechenzentrum sind die Smartcards ausreichend vor unbefugtem Zugriff geschützt. Zusätzlich müssen die Smartcards regelmäßig vom Inhaber durch die Eingabe der PIN freigeschaltet werden. Die eingesetzten Smartcards und Kartenleser sind, wie in der Systemübersicht angegeben, von einer anerkannten Bestätigungsstelle bestätig. Der Einsatz der Komponenten erfolgt in der gesicherten Umgebung des DATEV Rechenzentrums.

6

Unsere Prüfung der Anforderungen an die sicheren Signaturerstellungseinheiten und Kartenleser führte zu keinen Einwendungen. 2.1.2

Anforderungen an die verwendeten qualifizierten Zertifikate

Für den Vorsteuerabzug bei elektronischen Rechnungen wird die Verwendung von qualifizierten elektronischen Signaturen vorgeschrieben. Qualifizierte elektronische Signaturen müssen auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruhen. Qualifizierte Zertifikate können nur von Zertifizierungsdienstanbieter ausgestellt werden, die die Anforderungen des SigG und der SigV erfüllen. Qualifizierte Zertifikate können nur für natürliche Personen ausgestellt werden. Die Verwendung eines Pseudonyms anstatt des Namens der Person ist aber zulässig. Die DATEV setzte zum Prüfungszeitpunkt Zertifikate des Zertifizierungsdienstanbieters Deutsche Post Com GmbH Geschäftsfeld Signtrust ein. Dieser Zertifizierungsdienstanbieter ist für das Ausstellen von qualifizierten Zertifikaten nach dem Signaturgesetz (SigG) akkreditiert. Die Zertifikate sind auf vertrauenswürdige Mitarbeiter unter Nutzung des Pseudonyms „DATEV eG Rechnungssignatur: PN“ der DATEV ausgestellt. Die Prozesse für die Bestellung und Autorisierung neuer Zertifikate sowie für die Deaktivierung der Zertifikate sind definiert. Unsere Prüfung der Anforderungen and die Zertifikate führte zu keinen Einwendungen. Die DATEV ist selbst als Zertifizierungsdienstanbieter akkreditiert und plant zukünftig die für das Produkt „eRechnung“ benötigten qualifizierte Zertifikate selbst auszustellen. Dies war nicht Bestandteil der Prüfung. 2.1.3

Anforderungen an die Signaturanwendungskomponenten

Signaturanwendungskomponenten sind Software- und Hardwareprodukte, die dazu bestimmt sind, Daten dem Prozess der Erzeugung oder Prüfung qualifizierter elektronischer Signaturen zuzuführen oder qualifizierte elektronische Signaturen zu prüfen oder qualifizierte Zertifikate nachzuprüfen. Für diese Komponenten muss der Hersteller eine Herstellererklärung abgeben, in der er die Einhaltung der Anforderungen des SigG und SigV bestätigt. Die DATEV setzt Signaturanwendungskomponenten des Herstellers OPENLiMiT SignCubes AG ein. Wie unter 1.2 Prüfungsdurchführung angegeben, liegt für die OPENLiMiT SignCubes Basiskomponenten Version 2.5.0.1 eine Bestätigung laut SigG vor, für die OPENLiMiT Document Processing Service v1.1 hat der Hersteller eine Herstellererklärung abgegeben. Unsere Prüfung der Anforderungen and die Signaturanwendungskomponenten führte zu keinen Einwendungen.

7

2.1.4 Anforderungen an die IT Infrastruktur Für einen ordnungsgemäßen Betrieb ist es Voraussetzung, dass die IT-Infrastruktur physisch und logisch gesichert ist, als auch regelmäßige Sicherungen erstellt und Wiederherstellungsverfahren geprüft werden. Die IT Infrastruktur der DATEV wird durch effektive physische Sicherungsmaßnahmen und logische Zugriffskontrollen im Rechenzentrum der DATEV geschützt. Eine definierte Vorgehensweise im Falle eines Notfalls im Rechenzentrum existiert und wird regelmäßig auf Funktionsfähigkeit geprüft. Ein durchgängig definiertes Datensicherungs-, Auslagerungs- und Wiederherstellungsverfahren existiert und ist effektiv umgesetzt. Die langfristige Sicherung der Dokumente und Daten ist durch die Datenhaltung und die kontinuierliche Datensicherung im DATEV Rechenzentrum gesichert. Täglich erfolgt eine Gesamtsicherung der Daten der „Belegverwaltung online“. Eine weitere wöchentliche Katastrophensicherung der vollständigen DATEV Datenbank gewährleistet eine anwendungsübergreifende Wiederherstellung aller relevanten Daten. Eine räumliche Trennung der Datensicherung von der Produktivumgebung ist durch die Datenhaltung an verteilten Standorten gewährleistet. Das Wiederherstellungsverfahren wird in regelmäßigen Abständen getestet und dokumentiert. Zusammenfassend stellen wir fest, dass die Prüfung der zur IT Infrastruktur untersuchten Aspekte, bezogen auf den Verantwortungsbereich der DATEV, zu keinen Einwendungen führte.

2.2

Anforderungen an die Signatur- und Prüfprozesse

2.2.1 Übertragung der Dokument an DATEV und zum Anwender Bei der Übertragung der Dokumente ist sicherzustellen, dass der Anwender korrekt identifiziert wird und der Anwender Dokumente nur im Rahmen der vergebenen Berechtigungen zu DATEV übertragen bzw. von DATEV herunterladen kann. Eine Veränderung der Dokumente bei der Übertragung sollte ausgeschlossen sein. Die Übertragung eines Dokuments zur Prüfung oder zur Signierung durch DATEV erfolgt ausschließlich über das von DATEV bereitgestellte Programm Belegtransfer. Die Dateien werden vom Anwender in ausgewählte Verzeichnisse abgelegt und durch das Programm Belegtransfer an das DATEV Rechenzentrum übergeben. Die Authentifizierung und Autorisierung des Anwenders erfolgt über die Smartcard des Anwenders und mit der zentralen Rechteverwaltung online der DATEV. Dadurch wird sichergestellt, dass nur berechtigte Anwender den Dienst nutzen können. Die Übertragung der Dateien erfolgt verschlüsselt. Nach der Signierung oder Prüfung eines Dokumentes wird die Datei sowie das Prüfprotokoll in der „Belegverwaltung online“ der DATEV zum herunterladen bereitgestellt. Bei der Signierung von Dateien wird der Anwender per E-Mail über die Bereitstellung des Dokumentes informiert. Das Herunterladen erfolgt durch einen Webbrowser über eine verschlüsselte Verbindung. 8

Durch den Einsatz der zentralen Rechteverwaltung online sowie der verschlüsselten Übertragung wird sichergestellt, dass nur berechtigte Personen den Dienst nutzen und die Daten auf dem Übertragungsweg nicht verändert werden können. Im Rahmen unserer Prüfung der Datenübertragungsprozesse haben wir, bezogen auf den Verantwortungsbereich der DATEV, keine Einwendungen festgestellt. 2.2.2 Signierung einer Datei Um für Mandanten Rechnungen signieren zu können muss die DATEV von diesen korrekt bevollmächtigt werden. Die Signaturanwendungskomponenten müssen sicherstellen, dass eine korrekte Signatur über die Smartcard erstellt wird. Bei der elektronischen Beantragung des DATEV Produkts „eRechnung“ wird für den Mandanten automatisch ein Vordruck der Bevollmächtigung zum Signieren von Rechnungen generiert. Ein Vertretungsberechtigter des Unternehmens muss die Vollmacht unterschrieben und per Post an die DATEV senden. Erst wenn die Vollmacht von der DATEV geprüft wurde, erfolgt die Freischaltung des Dienstes für die Rechnungssignatur. Die Vollmacht beschränkt sich auf die Signatur von elektronischen Rechnungen. Es liegt in der Verpflichtung des Vollmachtgebers und somit des Anwenders, dass nur inhaltlich korrekte Rechnungen zur Signierung an die DATEV übergeben werden. Die DATEV selbst führt keine Prüfung des Inhalts der übergebenen Dokumente durch. Die DATEV signiert nur Dateien des Typs Portable Document Format (pdf). Dieses Format erlaubt die Integration der Signatur in die vom Anwender übergebene Datei. Wird vom Anwender ein anderer Dokumententyp zur Signierung übergeben, wird dies vom Dienst abgelehnt und der Anwender wird entsprechend informiert. Die zur Signierung übergebenen Dateien werden mit einer eindeutigen ID versehen und über den zentralen Applikationsserver an den Signaturserver übergeben. Die Signaturanwendungskomponente von OPENLiMiT erzeugt über die Smartcard die Signatur für die Datei und integriert diese in das pdf-Dokument. Anschließend wird die Datei wieder an den Applikationsserver übergeben. Um sicherzustellen, dass die Signatur korrekt erstellt wurde, wird die Datei zur Prüfung der Signatur an den, auf einem eigenen Server installierten, Signaturprüfserver übergeben. Dieser prüft die übergebene Datei und dokumentiert die Prüfung in einem Prüfprotokoll. Die signierte Datei und das Prüfprotokoll werden anschließend in „Belegverwaltung online“ dem Anwender zur Verfügung gestellt. In „Belegverwaltung online“ wird der Anwender durch Farben und Symbole in der Weboberfläche darüber informiert, ob die Signatur erfolgreich war oder nicht. Zusätzlich kann der Anwender das Prüfprotokoll einsehen. In der E-Mail Benachrichtigung nach der erfolgten Signatur wird der Anwender darauf hingewiesen, ob die Signierung korrekt durchgeführt wurde oder nicht. Die signierte Rechnung wird dem Anwender zum herunterladen in „Belegverwaltung online“ bereitgestellt. Dieser kann die Rechnung dem Rechnungsempfänger elektronisch zustellen. Es liegt in der Verpflichtung des Anwenders mit dem Empfänger der Rechnung den elektronischen Versand von Rechnungen zu vereinbaren.

9

Unsere Prüfung der Anforderungen an die Signierung von elektronischen Rechnungen führte, bezogen auf den Verantwortungsbereich der DATEV, zu keinen Einwendungen. 2.2.3 Prüfung einer signierten Datei Bei der Prüfung von Signaturen wird die Unversehrtheit der signierten Datei und die Korrektheit des verwendeten Zertifikates verifiziert. Das zur Signierung verwendete Zertifikat muss den Anforderungen des SigG an qualifizierte Zertifikate entsprechen und zum Zeitpunkt der Signierung des Dokumentes gültig gewesen sein. Ebenso muss der verwendete Signaturalgorithmus dem Stand der Technik entsprechen und darf nicht veraltet sein. Die Liste der zurzeit als geeignet eingestuften Algorithmen wird von der zuständigen Behörde regelmäßig veröffentlicht. Die vom Anwender zur Überprüfung der Signatur an DATEV übergebenen Dateien werden mit einer eindeutigen ID Nummer versehen und über den zentralen Applikationsserver and den Signaturprüfserver übergeben. Die Signaturanwendungskomponente von OPENLiMiT führt die Prüfung der Unversehrtheit des Dokumentes durch und verifiziert die Gültigkeit des Zertifikats durch die Prüfung des Zertifizierungspfades sowie durch eine Onlineabfrage beim ausstellenden Zertifizierungsdienstanbieter über das Online Certificate Status Protocol (OCSP). Die DATEV setzt keine Certificate Revocation Lists (CRLs) zur Prüfung der Zertifikate ein, die Prüfung erfolgt ausschließlich über OCSP. Ist der OCSP Dienst des Zertifikatausstellers nicht erreichbar, so ist die Prüfung der Signatur nicht erfolgreich. Das Ergebnis der Prüfung wird in einem Prüfprotokoll festgehalten. Die signierte Datei und das Prüfprotokoll werden anschließend in „Belegverwaltung online“ dem Anwender zur Verfügung gestellt. In „Belegverwaltung online“ wird der Anwender durch Farben und Symbole in der Weboberfläche darüber informiert, ob die Datei korrekt signiert ist oder nicht. Zusätzlich kann der Anwender das Prüfprotokoll einsehen. Auch nicht korrekt signierte Rechnungen werden in „Belegverwaltung online“ abgelegt und können vom Anwender als Grundlage für Buchungen verwendet werden. Der Anwender muss selbst entscheiden, ob für eine Buchung eine korrekt signierte Rechnung benötigt wird oder nicht. Unsere Prüfung der Anforderungen an die Prüfung der Signatur von elektronischen Rechnungen führte, bezogen auf den Verantwortungsbereich der DATEV, zu keinen Einwendungen. 2.2.4

Datensicherung und -bereitstellung gemäß den GDPdU

Laut GDPdU ist die qualifizierte elektronische Signatur Bestandteil der elektronischen Rechnung. Der Originalzustand des übermittelten Dokumentes muss jederzeit überprüfbar sein. Der Anwender ist verpflichtet die Signatur der Rechnung zu prüfen und das Ergebnis zu dokumentieren. Die elektronische Rechnung muss in einem revisionssicheren Archiv oder auf einem unveränderbaren Datenträger gespeichert werden. Die zur Prüfung notwendigen Zertifikate müssen mit der elektronischen Rechnung gespeichert werden und der Eingang der elektronischen Rechnung, ihre Archivierung und ggf. Konvertierung sowie die weitere Verarbeitung muss protokolliert werden.

10

Die DATEV stellt die signierte Rechnung, das Prüfprotokoll sowie die verwendeten Zertifikate im DATEV Archivsystem „Belegverwaltung online“ dem Anwender zur Verfügung. Darüber ist der Zugriff auf die Daten jederzeit möglich. „Belegverwaltung online“ ist von der DATEV als revisionssicheres Archiv vorgesehen und wurde zeitgleich mit der Prüfung von „eRechnung“ auf Ordnungsmäßigkeit geprüft. In „Belegverwaltung online“ erfolgt auch eine Protokollierung des Empfangs der Dateien und der weiteren Verwendung der Rechnung innerhalb „Belegverwaltung online“. Das Produkt „eRechnung“ in Zusammenhang mit „Belegverwaltung online“ stellt grundsätzlich die von den GDPdU geforderten Funktionen zur Verfügung. Die konkrete Umsetzung ist abhängig von den ablauforganisatorischen Kontrollen des Anwenders, die eine ordnungsgemäße Einhaltung der Archivierungserfordernisse widerspiegeln sollten. Im Rahmen unserer Prüfung der Anforderungen gemäß GDPdU haben wir, bezogen auf den Verantwortungsbereich der DATEV, keine Einwendungen festgestellt.

2.3

Sicherheitsanforderungen an die IT Anwendungen

2.3.1 Autorisierungsfunktion Der Zugriff auf die Funktionen von „eRechnung“ wird durch dezidierte Funktionsberechtigungen innerhalb der DATEV-eigenen Rechteverwaltung online freigegeben. In die Rechteverwaltung online ist auch „Belegverwaltung online“ eingebunden. Über „Belegverwaltung online“ erfolgt der Zugriff auf die elektronischen Rechnungen. Die Berechtigungen sind abhängig von der verwendeten Smartcard, deren Signatur mit Hilfe des DATEV Sicherheitspakets ausgelesen wird. Die Freigabe der Smartcard durch den Anwender erfolgt durch eine PIN. Die PIN ist unter der Maßgabe einer Mindestlänge von sechs Zeichen durch den Anwender änderbar. Die PIN wird verschlüsselt angezeigt und ist verschlüsselt auf der Smartcard hinterlegt. Die Rechte für „eRechnung“ werden für einzelne Ordnungsbegriffe, demnach für einzelne Berater-Mandanten Kombinationen, vergeben. Es besteht ebenfalls die Möglichkeit, mehrere Mandanten für einen Berater auf der Smartcard freizugeben. Im Fall einer kanzleiübergreifenden Zusammenarbeit kann in Einzelfällen die Freigabe von mehreren Beratern auf einer Smartcard erfolgen. Es liegt im Verantwortungsbereich des Anwenders eine angemessene Vergabe der Zugriffsberechtigungen durch die Rechteverwaltung online einzurichten und zu pflegen. Unsere Prüfung der Autorisierungsfunktion führte, bezogen auf den Verantwortungsbereich der DATEV, zu keinen Einwendungen. 2.3.2 Nachvollziehbarkeit, Protokollierung Die Protokollierung der Ergebnisse der Signaturprüfung erfolgt in einem Signaturprotokoll, welches direkt mit der zu prüfenden Datei in „Belegverwaltung online“ archiviert wird. Der Zugriff auf das Protokoll erfolgt über das geprüfte Dokument.

11

Die Protokollierung des Lebenszyklus von der Erfassung über die Indexierung, Festschreibung und Löschung der elektronischen Rechnungen erfolgt in „Belegverwaltung online“ über die dort vorhandenen Protokollfunktionen. Es werden zu allen Protokolleinträgen das bearbeitete Objekt, die Smartcard ID des Bearbeiters, das Datum und die Uhrzeit des Bearbeitungszeitpunkts gesichert. Die Auswertung der Protokollierung ist mit Hilfe von klar strukturierten Suchfunktionen für einen sachverständigen Dritten innerhalb angemessener Zeit nachvollziehbar. Zur Sicherstellung der Vollständigkeit kann die Auswertung zum Datenvolumen genutzt werden. Diese zeigt die Zahl der vorhandenen Belege mit Ablageort an, sowie die Anzahl gelöschter Belege. Zur weiteren Information werden aufgetretene Aufääligkeiten, aufgerufene Funktionen und ausgegebene Hinweise ebenfalls protokolliert. Diese Einträge umfassen ebenfalls das Objekt, die Smartcard ID und den Zeitpunkt der Ausgabe. Im Rahmen unserer Prüfung der Nachvollziehbarkeit und Protokollierung haben wir, bezogen auf den Verantwortungsbereich der DATEV, keine Einwendungen festgestellt. 2.3.3 Dokumentation und Softwaresicherheit Die Prüfung der Softwaresicherheit umfasst die Beurteilung der Programmentwicklung, -wartung und des Programm- Freigabeverfahrens. Der gesamte Entwicklungsprozess orientiert sich am etablierten DATEV Software Entwicklungsmodell (DASEM). Zur kontinuierlichen Weiterentwicklung werden marktseitige als auch interne Änderungsanforderungen gesammelt, toolbasiert dokumentiert, kategorisiert und priorisiert. Produktverantwortliche, Support und Entwicklung definieren das weitere Vorgehen. Interne als auch externe Kommunikation bezüglich anstehender Änderung wird in angemessenem Umfang betrieben. Entwicklungen, Tests und Freigaben zur produktiven Nutzung erfolgen auf getrennten Umgebungen und werden von qualifizierten Mitarbeitern unter Beachtung der Aufgabentrennung durchgeführt. Sofern realisierbar werden automatisierte Testverfahren zur Unterstützung manueller Tests eingesetzt. Der Umfang und die Aussagefähigkeit der Software-Dokumentation sind wichtige Qualitätskriterien für Anwender und Prüfer. Die Verfahrensdokumentation besteht aus der Systemdokumentation und der Anwenderdokumentation. Sie ist erforderlich für die sachgerechte Handhabung und künftige Fortführung der Software. Eine sachgerechte Dokumentation ist die Voraussetzung für die Nachvollziehbarkeit und damit die Prüfbarkeit des Verfahrens. Aus der geforderten Verfahrensdokumentation müssen Inhalt, Aufbau und Ablauf des Aufbewahrungsverfahrens ersichtlich sein und sie muss sowohl die sachlogische Lösung als auch eine programmtechnische Lösung beschreiben.

12

Die an uns ausgehändigte Verfahrensdokumentation wurde von uns stichprobenartig geprüft. Zusätzlich haben wir die fachliche Richtigkeit einzelner, von uns geprüfter Verarbeitungsregeln anhand der Dokumentation nachvollzogen. Die Dokumentation von technischen Anforderungen und Rahmenbedingungen ist im DASEM definiert. Technische Dokumentation wird in den relevanten Entwicklungstools und -umgebungen als auch in den entsprechenden Abschnitten der Anwenderdokumentation festgehalten und ist revisionssicher verfügbar. Die Dokumentation für die Anwender steht in Form einer Online Hilfe sowie der „Informations-Datenbank“ zur Verfügung. Die Dokumentation erfüllt die Anforderungen hinsichtlich zielgruppenspezifischer Detaillierung, Verständlichkeit, Vollständigkeit und Aktualität. Unsere Prüfung der Dokumentation und Softwaresicherheit führte, bezogen auf den Verantwortungsbereich der DATEV, zu keinen Einwendungen.

13

3.

Zusammenfassung der Prüfungsergebnisse und Softwarebescheinigung

Auftragsgemäß haben wir die Prüfung der Ordnungsmäßigkeit des DATEV Produkts „eRechnung“ (Stand: März 2010) hinsichtlich der rechtlichen Rahmenbedingungen für elektronische Rechnungen durchgeführt. Dabei war auch die Einbindung in ablauforganisatorische Prozesse und Maßnahmen innerhalb der DATEV Gegenstand der Prüfungshandlungen. Ferner haben wir uns über die bestehende Ordnungsmäßigkeit in den Bereichen: ►

Softwaresicherheit



Programmentwicklung, -freigabe und –wartung



Dokumentation

überzeugt. Der Prüfung wurden folgende Prüfungskriterien zu Grunde gelegt: ►

Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz SigG), zuletzt geändert am 17.7.2009



Verordnung zur elektronischen Signatur(Signaturverordnung - SigV), zuletzt geändert am 17.12.2009



Umsatzsteuergesetz (UStG), zuletzt geändert am 22.12.2009



Handels- und steuerrechtliche Vorschriften für eine ordnungsmäßige Buchführung (§§ 238 ff. HGB, § 257 HGB sowie §§ 145 ff. AO)



BMF-Schreiben vom 7. November 1995 IV A 8 - S 0316 - 52/95 betreffend die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)



Grundsätze ordnungsmäßiger Buchführung beim Einsatz von Informationstechnologie (IDW RS FAIT 1), Stand: 24. September 2002



BMF-Schreiben vom 16. Juli 2001 - IV D 2 - S 0316 - 136/01 betreffend die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)

Eine Vollständigkeitserklärung, gemäß derer alle für die Prüfung sowie die Erteilung der Softwarebescheinigung bedeutsamen Unterlagen, Angaben, Erläuterungen und Auskünfte vollständig und richtig geliefert wurden, wurde eingeholt. Bei der Beurteilung der Frage, ob die geprüfte Software den Ordnungsmäßigkeitsgrundsätzen entspricht, sind zwingend auch ablauforganisatorische Regelungen bei dem Anwender erforderlich. Diese Regelungen sollten insbesondere die Vereinbarungen mit den Rechnungsempfängern sowie die Überprüfung der Ergebnisse der Signaturprüfung verbindlich regeln. Ebenso ist die revisionssichere Archivierung in „Belegverwaltung online“ sicherzustellen.

14

Da zukünftige Programmänderungen die Ordnungsmäßigkeit der Software beeinflussen können, bezieht sich unsere Aussage nur auf die von uns geprüfte Version vom März 2010. Als Ergebnis unserer Prüfung stellen wir fest: Die von uns geprüfte Anwendungssoftware „eRechnung“ (Stand: März 2010) ermöglicht bei sachge sachgerechter rechter Anwendung die ordnungsmäßige Signierung Signierung und Signaturprüfung von elektronischen Rechnungen.

München, 28. April 2010 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft

Armin Häßler

ppa. Gunter Ernst

15