DIPLOMARBEIT Anforderungen, Potentiale und technische...

Click here to load reader

  • date post

    12-Aug-2019
  • Category

    Documents

  • view

    212
  • download

    0

Embed Size (px)

Transcript of DIPLOMARBEIT Anforderungen, Potentiale und technische...

  • JUSTUS-LIEBIG-UNIVERSITÄT GIESSEN

    Fachbereich Mathematik und Informatik, Physik und Geographie Fachgebiet Mathematik, Schwerpunkt Informatik

    Institut für Informatik

    Professur für Software-Engineering

    DIPLOMARBEIT

    Anforderungen, Potentiale und technische

    Umsetzungsmöglichkeiten der elektronischen Rechnungsstellung

    über das Internet unter Einsatz elektronischer Signaturen

    gemäß § 14 Umsatzsteuergesetz

    gestellt von: Prof. Dr. Dr. h.c. M. G. Zilahi-Szabó

    vorgelegt von: Steffen Erkel

    Braunfels-Tiefenbach, im Juni 2003

  • Inhaltsverzeichnis II

    Inhaltsverzeichnis

    Abbildungsverzeichnis..................................................................................................VI

    Tabellenverzeichnis ...................................................................................................VIII

    Abkürzungsverzeichnis ................................................................................................IX

    1 Einleitung .................................................................................................................. 1

    1.1 Problemstellung....................................................................................................... 1

    1.2 Vorgehensweise....................................................................................................... 2

    2 Geschäftsprozessmanagement................................................................................. 4

    2.1 Grundlegende Begriffe ............................................................................................ 4

    2.2 Das Konzept des Geschäftprozessmanagements..................................................... 7

    2.3 Geschäftsprozessmodellierung................................................................................ 9

    2.3.1 Einleitung......................................................................................................... 9

    2.3.2 Graphenbasierte Modellierungssprachen....................................................... 10

    2.4 Geschäftsprozessanalyse und -optimierung .......................................................... 12

    2.4.1 Einleitung....................................................................................................... 12

    2.4.2 Ablauf der Geschäftsprozessanalyse ............................................................. 13

    2.4.3 Geschäftsprozessoptimierung ........................................................................ 14

    3 Ereignisgesteuerte Prozessketten (EPK).............................................................. 17

    3.1 Elemente und Verknüpfungen............................................................................... 17

    3.2 Erweiterte Ereignisgesteuerte Prozessketten......................................................... 20

    4 Die elektronische Signatur..................................................................................... 22

    4.1 Aufgabe der elektronischen Signatur .................................................................... 22

    4.2 Kryptographische Grundlagen .............................................................................. 23

    4.3 Rechtliche Grundlagen .......................................................................................... 25

    4.3.1 Einleitung....................................................................................................... 25

    4.3.2 Einfache elektronische Signaturen................................................................. 25

    4.3.3 Fortgeschrittene elektronische Signaturen..................................................... 26

    4.3.4 Qualifizierte elektronische Signaturen........................................................... 26

    4.3.5 Qualifizierte Zertifikate ................................................................................. 27

    4.3.6 Sichere Signaturerstellungseinheiten ............................................................. 28

    4.3.7 Zertifizierungsdiensteanbieter ....................................................................... 28

  • Inhaltsverzeichnis III

    4.3.8 Akkreditierte Zertifizierungsdiensteanbieter ................................................. 29

    4.4 Das Signatur-Verfahren aus Sicht des Anwenders................................................ 30

    5 Gesetzliche Rahmenbedingungen der elektronischen Rechnungsstellung ....... 34

    5.1 Die Rechnung im deutschen Umsatzsteuerrecht ................................................... 34

    5.1.1 Einleitung....................................................................................................... 34

    5.1.2 Das Prinzip des Vorsteuerabzugs .................................................................. 35

    5.1.3 Inhaltliche Anforderungen an eine Rechnung ............................................... 37

    5.1.4 Rechnungen in Schriftform............................................................................ 38

    5.1.5 Die elektronische Rechnung .......................................................................... 39

    5.2 Zugang und Wirksamwerden elektronischer Rechnungen.................................... 40

    5.3 Anforderungen der Finanzbehörden...................................................................... 41

    5.3.1 Umgang und Aufbewahrung elektronischer Rechnungen ............................. 41

    5.3.2 Datenzugriff durch das Finanzamt................................................................. 43

    5.3.3 Anmerkungen zu den Anforderungen............................................................ 44

    5.4 Internationaler Einsatz elektronischer Rechnungen .............................................. 45

    6 Geschäftsprozessanalyse der papierbasierten Rechnungsstellung.................... 47

    6.1 Funktionen und Anforderungen der Rechnungsstellung....................................... 47

    6.2 Grundlagen und Ziele der Geschäftsprozessanalyse ............................................. 49

    6.3 Modellierung des IST-Modells ............................................................................. 49

    6.3.1 Modellgrundlagen.......................................................................................... 49

    6.3.2 Prozessablauf Rechnungssteller..................................................................... 51

    6.3.3 Prozessablauf Rechnungsempfänger ............................................................. 54

    6.4 Prozessbewertung.................................................................................................. 57

    6.5 Optimierungspotentiale durch elektronische Rechnungsstellung ......................... 57

    7 Elektronischer Datenaustausch (EDI) mit EDIFACT........................................ 59

    7.1 Grundlagen des elektronischen Datenaustauschs (EDI) ....................................... 59

    7.2 EDI Standards........................................................................................................ 60

    7.3 Die EDIFACT–Nachricht...................................................................................... 62

    7.3.1 EDIFACT–Syntax–Regeln ............................................................................ 62

    7.3.2 Aufbau einer EDIFACT – Übertragungsdatei ............................................... 63

    7.3.3 Eine EDIFACT Beispielrechnung ................................................................. 67

    7.4 Übertragungswege für EDI ................................................................................... 69

    7.5 Elektronische Rechnungsübermittlung mit EDI.................................................... 70

    7.6 EDI in der Praxis ................................................................................................... 71

  • Inhaltsverzeichnis IV

    8 Elektronischer Datenaustausch über das Internet.............................................. 74

    8.1 Einleitung .............................................................................................................. 74

    8.2 XML-basierter Datenaustausch............................................................................. 77

    8.2.1 Entwicklung und Motivation von XML ........................................................ 77

    8.2.2 XML-Grundlagen .......................................................................................... 80

    8.2.3 Wohlgeformte XML-Dokumente .................................................................. 83

    8.2.4 Document Type Definition (DTD) ................................................................ 85

    8.2.5 XML-Schemata.............................................................................................. 89

    8.2.6 Präsentation von XML-Dokumenten............................................................. 92

    8.2.7 Elektronische Signaturen mit XML............................................................... 94

    8.3 EDI mit XML (XML/EDI).................................................................................... 96

    8.3.1 Vorteile von XML ......................................................................................... 96

    8.3.2 XML/EDI-Standardisierung .......................................................................... 98

    8.4 Fazit ..................................................................................................................... 101

    9 Electronic Billing mit elektronischen Signaturen ............................................. 103

    9.1 Einleitung ............................................................................................................ 103

    9.2 eBilling-Modelle ................................................................................................. 104

    9.2.1 Direktes eBilling .......................................................................................... 104

    9.2.2 Indirektes eBilling........................................................................................ 105

    9.3 Angewandte eBilling-Lösungen.......................................................................... 107

    9.3.1 Web-Billing ................................................................................................. 107

    9.3.2 E-Mail-Billing.............................................................................................. 109

    9.3.3 Kombination von Web- und E-Mail-Billing................................................ 110

    9.4 Integration des Signatur-Verfahrens ................................................................... 111

    9.4.1 Einleitung..................................................................................................... 111

    9.4.2 Dezentrale Signatur-Lösung ........................................................................ 111

    9.4.3 Zentrale Signatur-Lösung ............................................................................ 112

    10 Geschäftsprozessoptimierung durch E-Mail-Billing......................................... 115

    10.1 Grundlagen und Ziele.......................................................................................... 115

    10.2 Analyse des SOLL-Modells ................................................................................ 115

    10.2.1 Modellgrundlagen........................................................................................ 115

    10.2.2 Prozessablauf Rechnungssteller................................................................... 116

    10.2.3 Prozessablauf Rechnungsempfänger ........................................................... 119

    10.2.4 Kostenvergleich IST/SOLL-Modell ............................................................ 122

    10.3 Ergebnis der Optimierung ................................................................................... 123

  • Inhaltsverzeichnis V

    11 eBilling in der Praxis............................................................................................ 126

    11.1 Einleitung ............................................................................................................ 126

    11.2 AuthentiDate eBilling-Signatur-Lösungen.......................................................... 126

    11.3 T-Mobile RechnungOnline.................................................................................. 130

    11.4 TietoEnator Sealsnet............................................................................................ 133

    12 Schlussbetrachtung .............................................................................................. 136

    12.1 Ergebnis der Arbeit ............................................................................................. 136

    12.2 Ausblick............................................................................................................... 137

    13 Literaturverzeichnis............................................................................................. 139

    Anhang......................................................................................................................... 149

    A 1 Umsatzsteuergesetz § 14 und § 15 Abs. 1 ............................................................. 149

    A 2 Erklärungen zum V-Modell ................................................................................... 152

    A 3 Übersicht der EPK-Verknüpfungsarten ................................................................. 153

    A 4 Erklärung der EDIFACT Beispiel-Rechnung........................................................ 154

  • Abbildungsverzeichnis VI

    Abbildungsverzeichnis

    Abbildung 2.1: Vom Ziel zum Ergebnis eines Geschäftsprozesses ................................. 5

    Abbildung 2.2: Hierarchische Unterteilung eines Geschäftsprozesses ............................ 6

    Abbildung 2.3: Konzept des Geschäftsprozessmanagements........................................... 8

    Abbildung 2.4: Gestaltung von Geschäftsprozessen nach dem V-Modell ....................... 8

    Abbildung 2.5: Beispiel graphenbasiertes Geschäftsprozessmodell in UML-Notation . 11

    Abbildung 2.6: Dach und Säulen des Geschäftsprozessmanagements........................... 12

    Abbildung 3.1: Modell der Rechnungserstellung in EPK-Notation ............................... 19

    Abbildung 3.2: Darstellung einer Rechnungserstellung durch eEPK............................. 21

    Abbildung 4.1: Erstellen einer qualifizierten elektronischen Signatur........................... 31

    Abbildung 4.2: Lokale Signaturprüfung mit einer Signatur-Prüfsoftware ..................... 33

    Abbildung 5.1: Das Umsatzsteuersystem aus der Perspektive eines Unternehmens ..... 36

    Abbildung 6.1: Vereinfachter Rechnungsprozess .......................................................... 50

    Abbildung 6.2: Rechnungserstellung und -versand in Papierform................................. 52

    Abbildung 6.3: Eingang und Weiterverarbeitung einer Papierrechnung........................ 55

    Abbildung 7.1: Electronic Data Interchange (EDI) ........................................................ 59

    Abbildung 7.2: Darstellung der EDIFACT–Hierarchie.................................................. 64

    Abbildung 7.3: Aufbau des Nutzdatenrahmens einer EDIFACT - Übertragungsdatei .. 66

    Abbildung 7.4: EDIFACT-Beispielrechnung ................................................................. 67

    Abbildung 7.5: EDIFACT-Übertragungsdatei ............................................................... 68

    Abbildung 8.1: Dienste und Protokolle für EDI über das Internet ................................. 75

    Abbildung 8.2: Abgrenzung HTML, XML und SGML ................................................. 80

    Abbildung 8.3: XML-Sprachkonzept ............................................................................. 81

    Abbildung 8.4: XML-Tree zum XML-Dokument in Tabelle 8.1................................... 83

    Abbildung 8.5: Beispiel für ein wohlgeformtes XML-Dokument (Rechnung.xml) ...... 84

    Abbildung 8.6: Beispiel einer Document Type Definition (Rechnung.dtd)................... 86

    Abbildung 8.7: DTD zum XML-Dokument in Abbildung 8.5 (rechnung2.dtd) ............ 88

    Abbildung 8.8: Beispiel für ein gültiges XML-Dokument (rechnung2.xml) ................. 89

    Abbildung 8.9: DTD (adresse.dtd) zu XML-Dokument in Tabelle 8.1 ......................... 91

    Abbildung 8.10: XML-Schema (Adresse.xsd) zu XML-Dokument in Tabelle 8.1 ....... 91

  • Abbildungsverzeichnis VII

    Abbildung 8.11: XML-Dokument mit einfachem CSS.................................................. 93

    Abbildung 8.12: Drei Arten von XML-Signaturen ........................................................ 95

    Abbildung 8.13: XML-Signatur Beispiel ....................................................................... 95

    Abbildung 8.14: Ablauf XML/EDI-Kommunikation..................................................... 98

    Abbildung 9.1: Vergleich Rechnungsstellung auf Papier bzw. per eBilling ................ 104

    Abbildung 9.2: Direktes eBilling.................................................................................. 105

    Abbildung 9.3: Indirektes eBilling ............................................................................... 106

    Abbildung 9.4: Elektronische Rechnungsstellung mit Web-Billing ............................ 108

    Abbildung 9.5: Elektronische Rechnungsstellung mit E-Mail-Billing......................... 109

    Abbildung 9.6: Dezentrale Signatur-Lösung ................................................................ 111

    Abbildung 9.7: Zentrale Signatur-Lösung .................................................................... 113

    Abbildung 10.1: Rechnungserstellung und -versand mit E-Mail-Billing..................... 117

    Abbildung 10.2: Eingang und Weiterverarbeitung einer E-Mail-Rechnung................ 120

    Abbildung 11.1: AuthentiDate eBilling-Inhouse-Lösung ............................................ 127

    Abbildung 11.2: AuthentiDate eBilling-Lösung über Trust Center ............................. 129

    Abbildung 11.3: Einzelverbindungsnachweis T-Mobile RechnungOnline.................. 132

    Abbildung 11.4: TietoEnator Lösungsvorschlag .......................................................... 135

  • Tabellenverzeichnis VIII

    Tabellenverzeichnis

    Tabelle 3.1: EPK-Verknüpfungsoperatoren ................................................................... 18

    Tabelle 5.1: Vierstufige Warenweg mit Vorsteuerabzug ............................................... 37

    Tabelle 6.1: Übersicht Anforderungen an eine Rechnungsstellung im B2B-Bereich .... 48

    Tabelle 6.2: Prozessbeschreibung IST-Modell Rechnungssteller .................................. 53

    Tabelle 6.3: Prozessbeschreibung IST-Modell Rechnungsempfänger ........................... 56

    Tabelle 8.1: Vergleich HTML-/XML-Dokument........................................................... 82

    Tabelle 10.1: Prozessbeschreibung SOLL-Modell Rechnungssteller .......................... 118

    Tabelle 10.2: Prozessbeschreibung SOLL-Modell Rechnungsempfänger ................... 121

    Tabelle 10.3: Kostenvergleich Rechungsübermittlung................................................. 122

    Tabelle 10.4: Kostenvergleich Rechnungsbearbeitung ................................................ 122

  • Abkürzungsverzeichnis IX

    Abkürzungsverzeichnis

    Abb. Abbildung

    Abs. Absatz

    AO Abgabenordnung

    ASP Application Service Provider

    B2B Business-to-Business

    B2C Business-to-Customer

    BGB Bürgerliches Gesetzbuch

    BMF Bundesministerium für Finanzen

    bzgl. Bezüglich

    bzw. beziehungsweise

    ca. circa

    CDATA Character Data

    CD-ROM Compact Disk – Read Only Memory

    CSS Cascading Style Sheets

    d.h. das heißt

    DEDIG Deutsche EDI/EC Gesellschaft

    DFÜ Datenfernübertragung

    DIN Deutsches Institut für Normung

    DMS Dokumenten-Management-System

    DOM Document Object Model

    DTD Document Type Definition

    DV Datenverarbeitung

    DVD Digital Versatile Disc

    eBilling Electronic Billing

    EBPP Electronic Bill Presentment and Payment

    eBusiness Electronic Business

    ebXML Electronic Business XML

    ECE Economic Commision for Europe

    EDI Electronic Data Interchange

    EDV Elektronische Datenverarbeitung

    eEPK erweiterte Ereignisgesteuerte Prozessketten

    E-Mail Electronic Mail

    EPK Ereignisgesteuerte Prozessketten

  • Abkürzungsverzeichnis X

    ERM Entity Relationship Modell

    etc. et cetera

    EU Europäische Union

    FTP File Transfer Protocol

    GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen

    ggf. gegebenenfalls

    GoBS Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme

    HTML HyperText Markup Language

    HTTP Hypertext Transfer Protocol

    ISO International Standardisation Organisation

    IT Informations- und Telekommunikationstechnik

    MB Megabyte

    MIME Multi-purpose Internet Mail Extensions

    MwSt Mehrwertsteuer

    Nr. Nummer

    PCDATA Parsed Character Data

    PI Processing Instruction

    PIN Personal Identity Number

    PKI Public Key Infrastruktur

    RegTP Regulierungsbehörde für Telekommunikation und Post

    ROI Return-on-Investment

    s.o. siehe oben

    SGML Standard Generalized Markup Language

    SigG01 Signaturgesetz 2001

    SigG97 Signaturgesetz 1997

    SMTP Simple Mail Transfer Protocol

    sog. sogenannte/es/en

    StÄndG2001 Steueränderungsgesetz 2001

    Tab. Tabelle

    u. und

    u.a. unter anderem

    UML Unified Modelling Language

    UN United Nations

    USt Umsatzsteuer

  • Abkürzungsverzeichnis XI

    UStG Umsatzsteuergesetz

    USt-ID-Nr Umsatzsteuer-Identifikationsnummer

    usw. und so weiter

    VAN Value Added Network

    VANS Value Added Network Services

    Vgl. Vergleiche

    W3C World Wide Web Consortium

    WWW World Wide Web

    XML Extensible Markup Language

    XSL Extensible Stylesheet Language

    XSLT XSL Transformations

    z.B. zum Beispiel

    ZPO Zivilprozessordnung

  • 1.1 Problemstellung 1

    1 Einleitung

    1.1 Problemstellung

    Das Internet hat das Wirtschaftsleben in den letzten Jahren maßgeblich verändert. Vor

    allem im Bereich der Kommunikations- und Transaktionswege haben Internet-basierte

    Technologien traditionelle Strukturen und Beziehungen abgelöst. Heutzutage bieten

    sich Unternehmen ihre Waren und Dienstleistungen gegenseitig über das Internet an

    und auch Privatkonsumenten nutzen vermehrt Online-Angebote anstatt durch überfüllte

    Kaufhäuser zu ziehen. In vielen Fällen besteht für Unternehmen die Möglichkeit einen

    kompletten Einkaufsprozess über das Internet abzuwickeln. Eine Ausnahme dabei

    bildete bis Ende 2001 die zwischenbetriebliche Rechnungsstellung. Aufgrund der bis

    dahin geltenden Regelungen des Umsatzsteuergesetzes waren steuerrechtlich anzuer-

    kennende Rechnungen fest an die Papierform gebunden. Rein elektronisch übermittelte

    Rechnungen konnten demnach nicht durch den Rechnungsempfänger zu einem Vor-

    steuerabzug gegenüber den Finanzbehörden geltend gemacht werden. Im Rahmen einer

    von der Seals GmbH (Frankfurt a. M.) im Jahre 2001 durchgeführten Befragung von

    über 130 Managern deutscher Unternehmen wurde festgestellt, dass aufgrund dieser

    Tatsache über 90% der Firmen, trotz der fortgeschrittenen technischen Entwicklungen,

    ihre Rechnungen ausschließlich auf dem traditionellen Postweg versenden.1

    Seit dem 01.01.2002 hat sich die Rechtslage entscheidend verändert. Elektronische

    Rechnungen sind im Umsatzsteuergesetz den Rechnungen in Papierform gleichgestellt,

    sofern sie die inhaltlichen Anforderungen an eine Rechnung erfüllen und mit einer e-

    lektronischen Signatur versehen sind. Die elektronische Signatur bestätigt, analog zu

    einer handschriftlichen Unterschrift, eindeutig die Identität des Unterzeichners und des-

    sen Einverständnis mit den signierten Daten und bildet somit die Grundlage für eine

    steuerrechtliche Anerkennung der elektronischen Rechnung.

    Für die Unternehmen bedeutet die Neuregelung des Umsatzsteuergesetzes, dass sie die

    Prozesse zur Rechnungsstellung bezüglich der neu geschaffenen Möglichkeiten über-

    denken und umstrukturieren können, um diese effizienter zu gestalten und damit Kosten

    einzusparen. Gerade vor dem Hintergrund der angespannten wirtschaftlichen Lage und

    dem steigenden Kosten- und Konkurrenzdruck können innerbetriebliche Kostensenkun-

    gen zu einer nachhaltigen Steigerung des Gewinns und der Wettbewerbsfähigkeit eines

    Unternehmens beitragen.

    1 Vgl. http://www.e-business.de/texte/4844.asp, abgerufen am 02.06.03

  • 1.2 Vorgehensweise 2

    Ziel dieser Arbeit ist es, die elektronische Rechnungsstellung über das Internet im zwi-

    schenbetrieblichen Rechnungsaustausch auf mögliche Optimierungspotentiale gegen-

    über der papierbasierten Rechnungsstellung zu überprüfen. Dabei werden die gesetzli-

    chen Rahmenbedingen der elektronischen Rechnungsstellung erläutert und Ansätze für

    eine technische Umsetzung aufgezeigt.

    In der Vorgehensweise wird dabei nicht allein auf die elektronische Rechnungsstellung,

    sondern auch allgemein auf die elektronische Datenübertragung per EDI bzw. über das

    Internet eingegangen.

    1.2 Vorgehensweise

    Im zweiten Kapitel wird die elektronische Signatur näher beschrieben. Neben den kryp-

    tographischen Grundlagen soll dabei vor allem auf das aktuelle Signaturgesetz und auf

    das Ausstellen und Überprüfen einer elektronischen Signatur aus Sicht eines Anwenders

    eingegangen werden. Das darauf folgende dritte Kapitel befasst sich mit den rechtlichen

    Rahmenbedingungen der elektronischen Rechnungsstellung. Zunächst wird das Um-

    satzsteuersystem erklärt, sowie inhaltliche und formale Anforderungen an eine Rech-

    nung im Sinne des Umsatzsteuergesetz aufgeführt. Dabei wird insbesondere die neu

    geschaffene Möglichkeit der elektronischen Rechnungsstellung unter Einsatz elektroni-

    scher Signaturen beschrieben. Im Anschluss an Bemerkungen zum Zugang und Wirk-

    samwerden elektronischer Rechnungen sollen die Anforderungen seitens der Finanzbe-

    hörden bezüglich Umgang und Aufbewahrung derselben betrachtet werden. In diesem

    Zusammenhang wird auch auf die Berechtigung der Finanzbehörden zum elektroni-

    schen Datenzugriff im Rahmen einer betrieblichen Außenprüfung eingegangen. Abge-

    schlossen wird das Kapitel mit Ausführungen zu den innerhalb der EU geltenden Rege-

    lungen bezüglich des elektronischen Rechnungsaustauschs und der steuerrechtlichen

    Anerkennung.

    Kapitel vier befasst sich mit dem Konzept des Geschäftsprozessmanagements als Mittel

    zur Optimierung betrieblicher Abläufe. Dabei werden insbesondere die Begriffe Ge-

    schäftsprozess, Geschäftsprozessmodellierung sowie Geschäftsprozessanalyse und

    -optimierung behandelt. Kapitel fünf stellt mit den "Ereignisgesteuerten Prozessketten"

    eine geeignete Methode zur Geschäftsprozessmodellierung vor, die in den folgenden

    Kapiteln angewendet wird. Im sechsten Kapitel wird der Geschäftsprozess der papierba-

    sierten Rechnungsstellung modelliert, analysiert und bewertet. Dafür werden zunächst

  • 1.2 Vorgehensweise 3

    allgemeine Funktionen und Anforderungen der zwischenbetrieblichen Rechnungsstel-

    lung beschrieben, anhand derer anschließend die Analyse und Bewertung durchgeführt

    wird. Basierend auf den Ergebnissen werden mögliche Optimierungspotentiale durch

    eine Rechnungsstellung in elektronischer Form aufgezeigt. Das siebte Kapitel betrachtet

    die Ansätze und Ziele des traditionellen elektronischen Datenaustauschs per EDI. Insbe-

    sondere wird der EDIFACT-Standard näher erläutert und am Beispiel einer Rechnung

    verdeutlicht. Zum Abschluss des Kapitels wird die Situation von EDI in der Praxis be-

    schrieben und Gründe für die Zurückhaltung der Unternehmen gegenüber EDI-

    Verfahren angegeben. In Kapitel acht werden die neuen Möglichkeiten des elektroni-

    schen Datenaustauschs über das Internet vorgestellt. Schwerpunkt dabei ist die Exten-

    sible Markup Language (XML), die sich als universell einsetzbare Internet-Sprache

    etabliert hat. In Kapitel neun werden die im achten Kapitel aufgezeigten Möglichkeiten

    der Internet-Datenübertragung gezielt auf die elektronische Rechnungsstellung (eBil-

    ling) überführt. Dazu werden zwei eBilling-Lösungen und deren Vor- und Nachteile

    vorgestellt, sowie zwei Varianten zur Integration des Signatur-Verfahrens betrachtet. Im

    zehnten Kapitel wird die zwischenbetriebliche Rechnungsstellung über das Internet,

    basierend auf dem im neunten Kapitel beschriebenen E-Mail-Billing-Verfahren, model-

    liert, analysiert und bewertet. Dabei soll insbesondere geprüft werden, inwieweit diese

    Form der Rechnungsstellung den in Kapitel sechs aufgestellten Anforderungen gerecht

    wird und welche Optimierungspotentiale gegenüber dem papierbasierten Prozessablauf

    erfüllt bzw. nicht erfüllt werden können. Des Weiteren wird ein Kostenvergleich mit der

    papierbasierten Rechnungsstellung vorgenommen, um mögliche Einsparungspotentiale

    monetär aufzuzeigen. In Kapitel elf werden drei Beispiele für praktizierte eBilling-

    Lösungen beschrieben. Im abschließenden Kapitel werden die Ergebnisse dieser Arbeit

    diskutiert und ein Ausblick über mögliche praktische Einsatzchancen der elektronischen

    Rechnungsstellung über das Internet gegeben.

  • 2.1 Grundlegende Begriffe 4

    2 Geschäftsprozessmanagement

    2.1 Grundlegende Begriffe

    In Unternehmen werden verschiedene Produktionsprozesse unterschieden, die zusam-

    menwirkend zu einem Produktionsziel führen. Zur besseren Kontrolle des gesamten

    Produktionsablaufs werden sie getrennt betrachtet und anschließend über ihre Interakti-

    onen verknüpft. Diese Prozesse werden Geschäftsprozesse genannt und sind z.B. fol-

    gendermaßen ausgeprägt:

    • Beschaffung,

    • Verwaltung,

    • Produktion,

    • Lagerung,

    • Verkauf.

    Beispielsweise betrifft die Fertigung und der Verkauf eines von einem Kunden angefor-

    derten Ersatzteils u.a. Geschäftsprozesse der Auftragserfassung, der Verwaltung, des

    Lagers, der Produktion und des Vertriebes eines beauftragten Produktionsunterneh-

    mens. Im Vertrieb stellt insbesondere die Rechnungsstellung einen im Rahmen eines

    Verkaufs unverzichtbaren Geschäftsprozess dar.

    Für den Begriff "Geschäftsprozess" finden sich in der Literatur zahlreiche Definitionen.

    Nach ZILAHI-SZABÓ beschreibt ein Geschäftsprozess "...welche Funktionen/Prozesse in

    welcher Folge aneinander gereiht werden müssen, damit durch ihre Ausführung ein

    vorgegebenes Ziel erreicht werden kann."2 Ein Geschäftsprozess kann demnach als Re-

    aktionen eines Unternehmens (in Form von Prozessen) auf eine von außen gestellte An-

    forderung betrachtet werden.3

    Ausgangspunkt eines Geschäftsprozesses nach ZILAHI-SZABÓ ist das angestrebte Pro-

    duktionsziel, der Endpunkt ist das erreichte Ergebnis. Das Ziel wird von außen (z.B.

    durch Kunden, Geschäftspartner, Lieferanten) an das Unternehmen gestellt und be-

    schreibt beispielsweise die Produktion einer Ware oder die Verrichtung einer Dienst-

    leistung. Um von dem Ziel zu dem Ergebnis zu gelangen, werden eine oder in der Regel

    mehrere Prozessketten durchlaufen.

    2 ZILAHI-SZABÓ, (2002), S. 6ff.

    3 Vgl. ZILAHI-SZABÓ, (2002), S. 5

  • 2.1 Grundlegende Begriffe 5

    Vertrieb derDienstleistungen/Produkte

    Dienstleistungen/Produkte erstelltund verkauft

    Prozesskette

    Unternehmen

    Geschäftsprozess

    Allgemein:

    Beispiel:

    Bereitstellung/Lagerung vonRessourcen

    Beschaffung vonRessourcen

    Einsatz derRessourcen/Produktion

    Erstellung/Verkauf vonDienstleistungen/Produkten

    Prozesskette ErgebnisProzessketteZiel

    Abbildung 2.1: Vom Ziel zum Ergebnis eines Geschäftsprozesses4

    Prozessketten stellen in sich abgeschlossene Bestandteile eines Geschäftsprozesses dar.

    Sie untergliedern den Geschäftsprozess in mehrere Teilprozesse, deren Abarbeitung

    jeweils von einem Teilziel zu einem Teilergebnis führt. Prozessketten werden weiter

    unterteilt in verschiedene Arbeitsprozesse.

    Ein Arbeitsprozess definiert eine zu verrichtende Aufgabe zur Erbringung einer Leis-

    tung (z.B. Rechnung schreiben, Rechnung prüfen). Die Durchführung eines Arbeitspro-

    zesses obliegt einem Aufgabenträger und beinhaltet die Abarbeitung eines oder in der

    Regel mehrerer Vorgänge in einer bestimmten Ablauffolge. Aufgabenträger können

    sowohl Personen als auch Maschinen oder Softwaresysteme sein.

    Die Vorgänge repräsentieren die physischen und geistigen Tätigkeiten der Aufgaben-

    träger. Ihre Durchführung stützt sich auf Unternehmensressourcen/Sachmittel (z.B. Te-

    lefon, Fax, IT-Systeme) und betrifft Informationsobjekte (z.B. Daten, Dokumente,

    usw.), die dabei gelesen, bearbeitet oder erzeugt werden können.

    Nach ZILAHI-SZABÓ lassen sich Geschäftsprozesse anhand der Begriffe Prozesskette,

    Arbeitsprozess und Vorgang im Top-Down-Vefahren unterteilen und hierarchisieren.

    Diese Form der Unterteilung wird als Verfeinerung bezeichnet.5 Die Anzahl der ver-

    schiedenen Ausprägungen der einzelnen Ebenen kann dabei je nach Geschäftsprozess

    stark variieren.

    4 Vgl. ZILAHI-SZABÓ (2002), S. 13

    5 Vgl. ZILAHI-SZABÓ (2001), S. 111

  • 2.1 Grundlegende Begriffe 6

    Die folgende Abbildung verdeutlicht die Verfeinerung des Geschäftsprozesses "Rech-

    nungseingang".

    Geschäftsprozess Prozessketten Arbeitsprozesse Vorgänge

    Rechnungs-eingang

    Rechnungsgs-daten erfassen

    Rechnung prüfen

    Rechnungverbuchen

    Rechnungarchivieren

    Rechnungs-eingang

    registrieren

    Rechnungskopf-Daten erfassen

    Rechnungs-positionenerfassen

    Einzelbetragerfassen

    Steuersatzerfassen

    Menge erfassen

    Gesamtbetragerfassen

    Abbildung 2.2: Hierarchische Unterteilung eines Geschäftsprozesses6

    Die Reihenfolge, in der Vorgänge innerhalb eines Arbeitsprozesses und Arbeitsprozesse

    untereinander verknüpft sind, wird durch Ereignisse bestimmt. Ein Ereignis ist das Er-

    gebnis eines Vorgangs oder Arbeitsprozesses und beschreibt das Eingetretensein eines

    bestimmten Zustandes. Bedingt durch diesen wird/werden ein oder mehrere Folgepro-

    zess/e ausgelöst. Vorgänge und Arbeitsprozesse besitzen demnach jeweils ein (auslö-

    sendes) Vor- und ein (erzeugtes) Nachereignis.

    Die einzelnen Prozessketten eines Geschäftsprozesses können unabhängig voneinander

    ablaufen oder in einem geregelten Ablauf stehen. Auch Interaktionen zwischen Pro-

    zessketten sind möglich, d.h. ein eingetretenes Ereignis kann mehrere Folgeprozesse in

    anderen Prozessketten auslösen. Die Reihenfolge der Prozessketten und Arbeitsprozesse

    wird als Geschäftsprozessablauf bezeichnet. Der Geschäftsprozessablauf beschreibt

    demnach einen bestimmten zeitlich-logischen Vorgehensplan, der abgearbeitet das

    durch den Geschäftsprozess angestrebte Ziel liefert.

    6Vgl. ZILAHI-SZABÓ (2001), S. 113

  • 2.2 Das Konzept des Geschäftprozessmanagements 7

    2.2 Das Konzept des Geschäftprozessmanagements

    Die zunehmende Globalisierung der Märkte und die Entwicklung neuer Informations-

    und Kommunikationstechnologien (z.B. E-Mail, Internet) stellen Unternehmen heutzu-

    tage vor veränderte Marktsituationen. Die neuen Informationsmedien und verkürzte

    Informationswege machen es dem Konsumenten leicht, sich umfassend zu informieren

    und Produkte zu vergleichen. Diese Erhöhung der Markttransparenz führt dazu, dass

    Unternehmen einer immer größer werdenden Konkurrenz und steigendem Kostendruck

    ausgesetzt sind. Um wettbewerbsfähig zu bleiben, stellen sich deshalb, gerade in Bezug

    auf Effizienz, Kosten und Qualität der Geschäftsprozesse und Produkte, gehobene An-

    forderungen an die Unternehmen und deren interne Struktur. Wettbewerbsvorteile erzie-

    len vor allem die Unternehmen, die schnell und flexibel auf Veränderungen von Märk-

    ten, Kunden und Technologien reagieren können.

    Anfang der 90er Jahre entwickelte sich das Konzept des Geschäftsprozessmanage-

    ments als Reaktion der Unternehmen auf die steigenden Anforderungen. Zielsetzung

    dabei ist eine Steigerung der Effizienz entlang der Wertschöpfungskette eines Unter-

    nehmens sowie eine kontinuierliche Optimierung von Geschäftsprozessen, um damit

    eine Stärkung der Wettbewerbsfähigkeit des Unternehmens in einem wirtschaftlichen

    Umfeld zu erreichen, das von steigender Wettbewerbsintensität und kürzeren Produkt-

    lebenszyklen geprägt ist.7 Angestrebte Optimierungsmaßnahmen sind beispielsweise:

    • Senkung der Produktionskosten,

    • Verkürzung der Produktions-/Durchlaufzeiten,

    • Steigerung der Kundenzufriedenheit,

    • Verbesserung der Produktqualität oder

    • effizientere Nutzung der zur Verfügung stehenden Ressourcen.

    Insbesondere durch eine Senkung von Prozesskosten lässt sich im Unternehmen eine

    Gewinnsteigerung auch ohne zusätzliches Umsatzwachstum realisieren.

    Das Konzept des Geschäftsprozessmanagements beinhaltet mehrere bestimmte Vorgän-

    ge: Es umfasst eine markt- und kundenorientierte Definition der Unternehmensziele,

    sowie die Gestaltung, Umsetzung, Ausführung und Analyse der an deren Umsetzung

    beteiligten Geschäftsprozesse. Diese Vorgänge stehen innerhalb eines Unternehmens

    in der in Abbildung 2.3 aufgezeigten Beziehung zueinander und bilden somit einen Ge-

    samtprozess, der sich (im Idealfall) laufend wiederholt.

    7 Vgl. SCHEER ET AL (1995)

  • 2.2 Das Konzept des Geschäftprozessmanagements 8

    StrategischerEntscheidungsprozess

    Festlegung der strategischen Vorgaben

    Gestaltungsprozess(Modellbasierte) Gestaltung von

    Geschäftsprozessen, Organisation undProdukten

    AusführungsprozessDurchführung der Geschäftsprozesse

    (und „EDV-Betrieb“)

    EvaluationsprozessEvaluation von Geschäftsprozessen,

    Organisation und Produkten

    Umsetzungsprozess

    OrganisationInformations-technologie

    OperativeDaten

    liefert

    führt wieder zu

    Abbildung 2.3: Konzept des Geschäftsprozessmanagements8

    Zunächst werden, ausgerichtet an Unternehmensstruktur, Marktsituation und Kunden-

    wünschen, die Unternehmensziele, -strategie und das Produktportfolio festgelegt. Die

    Produkte entstehen durch Geschäftsprozesse, deren Gestaltungsprozess wie folgt an-

    hand eines Vorgehensmodells (basierend auf dem Konzept des V-Modells9) beschrieben

    werden kann:

    Festlegung derZielsetzung

    Anforderungs-definition

    Geschäftsprozess-modellierung/

    Prozessentwurf

    Teilprozess-modellierung/

    Teilprozessentwurf

    Betrieb

    Einführung

    Testlauf

    Einzeltest

    Testfälle

    Validierung der Zielsetzung

    Testfälle

    Testfälle

    Testfälle

    Anforderungsvalidierung

    Restrukturierung

    t

    Abbildung 2.4: Gestaltung von Geschäftsprozessen nach dem V-Modell

    8 Vgl. Business Process Management System (BPMS) –Paradigma nach KARAGIANNIS ET AL (1996)

    9 Nähere Informationen zum V-Modell siehe Anhang A 2 Erklärungen zum V-Modell

  • 2.3 Geschäftsprozessmodellierung 9

    Die Geschäftsprozessmodellierung (siehe Kapitel 2.3) ist ein Teil dieses Gestaltungs-

    prozesses. Anhand von Modellen werden hier Ziele, Abläufe und Organisation von Ge-

    schäftsprozessen festgelegt und dargestellt. Die anschließende Umsetzung (vgl.

    Abbildung 2.3) der Geschäftsprozesse stützt sich auf die im Unternehmen gegebenen

    organisatorischen Strukturen unter Einbindung der vorhandenen Informations- und Te-

    lekommunikationstechnologien. Die Aufgabe der IT-Systeme liegt in der optimalen

    Unterstützung der Geschäftsprozesse zur Erreichung der definierten Unternehmensziele.

    Nach der Prozessausführung (vgl. Abbildung 2.3) erfolgt eine Analyse und Bewertung

    der erzielten Produkte und der durchlaufenen Arbeitsprozesse nach zuvor festgelegten

    Schwerpunkten. Dieser Vorgang wird als Geschäftsprozessanalyse (vgl. Abbildung

    2.3) bezeichnet. Die Ergebnisse der Geschäftsprozessanalyse können dann zu einer ver-

    änderten Zielsetzung des Unternehmens und/oder zu einer Neuentwicklung bzw. zu

    einem Re-Design der bestehenden Geschäftsprozesse führen, um somit auf eine verän-

    derte Marktsituation und evtl. Kundenwünsche reagieren und Arbeitsabläufe und Pro-

    duktqualität optimieren zu können. Anschließend erfolgt erneut die Umsetzung, Aus-

    führung und Analyse der Geschäftsprozesse. Das Konzept des Geschäftsprozessmana-

    gement stellt also keine statische, einmal durchzuführende Optimierungsmaßnahme dar,

    sondern beschreibt vielmehr einen dynamischen Prozess, mit dem Ziel die Unterneh-

    menseffizienz, Kundenzufriedenheit und Wettbewerbsfähigkeit kontinuierlich hoch zu

    halten bzw. weiter zu steigern.

    2.3 Geschäftsprozessmodellierung

    2.3.1 Einleitung

    Von zentraler Bedeutung im Rahmen des Geschäftsprozessmanagements ist die Ge-

    schäftsprozessmodellierung. Als Teil des Gestaltungsprozesses (siehe Abbildung 2.4)

    beschreibt dieser Begriff die Gestaltung von Zielen, Aufbau, Ablauf und Organisation

    von Geschäftsprozessen durch sog. Geschäftsprozessmodelle.

    Geschäftsprozessmodelle versuchen Abbilder der betrieblichen Realität oder idealtypi-

    sche Geschäftsprozessabläufe transparent und leicht verständlich darzustellen. Ihre Er-

    stellung verfolgt stets ein konkretes Ziel, wie beispielsweise10

    10

    Vgl. KÜHN, KARAGIANNIS (2001), S. 5, vgl. JUNGINGER (2000), S. 11-12

  • 2.3 Geschäftsprozessmodellierung 10

    • die Dokumentation von Geschäftsprozessen (z.B. für Mitarbeiterschulungen,

    Zertifizierungen im Rahmen eines Qualitätsmanagements),

    • die Optimierung oder Reorganisation bestehender Geschäftsprozessabläufe

    oder die Anpassung an sich ändernde Rahmenbedingungen (z.B. bei Gesetzes-

    änderungen),

    • die Definition fachlicher Vorgaben zur Qualitätssicherung (z.B. Referenzab-

    läufe, Pflichtenheft),

    • die Analyse und Bewertung eines Geschäftsprozesses (z.B. Zeit-/Kosten-/

    Kapazitätsanalysen durch Simulation mit reellen oder hypothetischen Daten).

    Geschäftsprozessmodelle können des Weiteren auch als Grundlage für eine Software-

    Entwicklung dienen. In diesem Zusammenhang wird aber allgemeiner von einer Pro-

    zessmodellierung gesprochen.

    2.3.2 Graphenbasierte Modellierungssprachen

    Es gibt verschiedene Techniken und Methoden Geschäftprozessmodelle zu erstellen.11

    Allen Methoden gemeinsam ist aber, dass sich ein Modell aus einer Menge zur Verfü-

    gung stehender Modellierungselemente, die nach festgelegten Modellierungsregeln an-

    geordnet sind, zusammensetzt.

    Eine weit verbreitete Modellierungsmethode stellen die graphenbasierten Sprachen

    (oder Diagrammsprachen) dar. Deren Modelle beschreiben Geschäftsprozessabläufe

    durch gerichtete Graphen (im mathematischen Sinne) auf einer (in der Regel) zweidi-

    mensionalen Zeichenfläche.12 Die Knoten der Graphen repräsentieren die einzelnen Er-

    eignisse und Prozesse/Vorgänge. Spezifische Modellierungsregeln geben Darstellungs-

    weise und Verknüpfungsmöglichkeiten dieser Elemente vor. In der Praxis vielfach ein-

    gesetzte graphenbasierte Sprachen sind beispielsweise die Ereignisgesteuerten Pro-

    zessketten (EPK) (siehe Kapitel 3) oder UML Activity Diagrams13 (letztere insbeson-

    dere im Rahmen einer Software-Entwicklung).

    Die folgende Abbildung stellt den Prozessablauf einer vollständigen elektronischen

    Signaturprüfung (vgl. Kapitel 4.4) graphenbasiert durch ein UML-Activity-Diagram

    (modelliert in Microsoft-Visio) dar.

    11

    Siehe JUNGINGER (2000), S. 12 12

    Vgl. JUNGINGER (2000), S. 6 13

    Siehe Unified Modelling Language Specification 1.3 (1999), abrufbar unter http://www.omg.org

  • 2.3 Geschäftsprozessmodellierung 11

    Signatur prüfen

    Startzustand: Elektronisch signierte Datei empfangen

    Aktivität

    Datei ablehnen

    Datei akzeptieren Datei als geprüftmarkieren

    Entscheidung

    Endzustand: Datei akzeptiert

    Endzustand: Datei abgelehnt

    Zertifikate prüfen

    Datei ablehnen

    Endzustand: Datei abgelehnt

    [fehlerhaft][korrekt]

    [fehlerhaft][korrekt]

    Aufspaltung

    Zusammenführung

    Abbildung 2.5: Beispiel graphenbasiertes Geschäftsprozessmodell in UML-Notation

    Vorteil der graphenbasierten Geschäftsprozessmodelle ist ihre hohe Übersichtlichkeit

    und Verständlichkeit. Selbst ohne Vorkenntnisse ist ein Geschäftsprozessablauf inklusi-

    ve aller Entscheidungsstränge intuitiv lesbar. Aus diesem Grund eignet sich diese Me-

    thode vor allem für die Entwicklung und Dokumentation von Geschäftsprozessen.

    Seit Mitte der 90er Jahre existieren zahlreiche Modellierungswerkzeuge zur computer-

    gestützten Erstellung und (zum Teil) Simulation und Bewertung graphenbasierter Ge-

    schäftsprozessmodelle. Beispiele hierfür sind im deutschsprachigen Raum ADONIS�14,

    ARIS�-Toolset15, Bonapart�16und Microsoft-Visio.

    14

    Siehe http://www.boc-eu.com/german, JUNGINGER ET AL (2000) 15

    Siehe http://www.ids-scheer.com 16

    Siehe http://www.intraware.de

  • 2.4 Geschäftsprozessanalyse und -optimierung 12

    2.4 Geschäftsprozessanalyse und -optimierung

    2.4.1 Einleitung

    Unter dem Begriff Geschäftsprozessanalyse wird die Analyse und Evaluation von Ge-

    schäftsprozessen anhand von Geschäftsprozessmodellen (siehe Kapitel 2.3) verstanden.

    Zielsetzung ist zum einen die Geschäftsprozessoptimierung, d.h. eventuell bestehende

    Schwachstellen und Verbesserungspotentiale (z.B. Einsparungs- und Gewinnsteige-

    rungspotentiale) zu erkennen, um diese durch eine Neuentwicklung bzw. durch ein Re-

    Design des untersuchten Geschäftsprozesses beseitigen bzw. umsetzen zu können.17

    Zum anderen ermöglicht die Analyse und Bewertung einen Vergleich zwischen alterna-

    tiven Geschäftsprozessen. Dies ist vor allem bei der Entscheidungsfindung für oder ge-

    gen die Einführung neuer Arbeitstechniken oder die Umstrukturierung bestehender Ge-

    schäftsprozesse von entscheidender Bedeutung.

    Die Geschäftsprozessanalyse bildet somit im Konzept des Geschäftsprozessmanage-

    ments die Grundlage für optimierte Geschäftsprozesse. Denn nur eine sorgfältige Ana-

    lyse der Geschäftsprozesse lässt Schwachstellen im Ablauf erkennen und verbessern

    bzw. hilft Kosten und Nutzen einer Prozessumstellung richtig abzuschätzen.

    Besonders relevant für eine Geschäftsprozessanalyse sind die Faktoren Zeit, Kosten und

    Qualität. Sie werden als die Säulen des Geschäftsprozessmanagements bezeichnet.18

    Abbildung 2.6: Dach und Säulen des Geschäftsprozessmanagements19

    17

    Vgl. Merzenich (2002), S. 38 18

    Vgl. Merzenich (2002), S. 33 19

    Merzenich (2002), S. 33, nach GAITANIDES ET AL (1994), S. 16

  • 2.4 Geschäftsprozessanalyse und -optimierung 13

    Zeitoptimierte Geschäftsprozesse sparen Personalkosten, steigern die Unternehmensef-

    fizienz und gewährleisten kurze Produktlieferzeiten. Durch kostenoptimierte Unterneh-

    mensabläufe lassen sich Produkte unter dem allgemeinen Marktpreisniveau anbieten

    und dadurch einen Wettbewerbsvorteil gegenüber der Konkurrenz erzielen. Eine hohe

    Prozessqualität reduziert Fehler im Arbeitsablauf und verbessert die Produktqualität.

    Insgesamt führen die Optimierungsmaßnahmen zu einer Steigerung der Kundenzufrie-

    denheit.

    2.4.2 Ablauf der Geschäftsprozessanalyse

    2.4.2.1 Zielvereinbarungen festlegen

    Eine Geschäftsprozessanalyse dient stets einem bestimmten Zweck. Bevor die Ge-

    schäftsprozessanalyse beginnt werden deshalb ein Schwerpunkt und die damit verbun-

    denen angestrebten Ziele festgelegt. Zielvereinbarungen sind im Regelfall die Auswer-

    tung bzw. der Vergleich von Geschäftsprozessmerkmalen, wie beispielsweise:20

    • Bearbeitungszeiten,

    • Liegezeiten,

    • Transportzeiten,

    • Durchlaufzeiten,

    • Bearbeitungskosten,

    • Sachkosten,

    • Transportkosten,

    • Prozesssicherheit/Prozessqualität,

    • Medienbrüche,

    • Doppelarbeiten,

    • Personal- und Ressourcenauslastung,

    • Produktqualität.

    Anhand der Auswertung der untersuchten Merkmale lassen sich mögliche Optimie-

    rungspotentiale erfassen. Bezogen auf den Prozess der Rechnungsstellung ist z.B. eine

    Analyse der Bearbeitungszeit, Bearbeitungskosten, Prozesssicherheit oder der Anzahl

    der Medienbrüche denkbar, um eventuelle Möglichkeiten der Optimierung aufzuzeigen.

    20

    Vgl. MERZENICH (2002), S. 49

  • 2.4 Geschäftsprozessanalyse und -optimierung 14

    2.4.2.2 Analyse und Bewertung

    Die Geschäftsprozessanalyse erfolgt an einem Modell des derzeitigen Geschäftsprozes-

    ses, dem sogenannten IST-Modell.21 Um das Modell auswerten zu können, werden die

    gemäß des festgelegten Schwerpunktes zu analysierenden Prozessdaten erfasst. Dies

    kann beispielsweise durch eine direkte Befragung der an der Durchführung beteiligten

    Mitarbeiter (Interviews) oder durch eine Beobachtung des Prozessablaufs in der Praxis

    geschehen. Basierend auf den Prozessdaten lassen sich spezifische Kennzahlen und

    Messgrößen ermitteln, anhand derer der betrachtete Geschäftsprozess bewertet und mit

    alternativen Modellen verglichen werden kann. In Frage kommende Kennzah-

    len/Messgrößen sind beispielsweise:22

    • Mittlere Durchlauf-/Bearbeitungszeit,

    • Mittlere Auslastung,

    • Durchschnittlich anfallende Kosten,

    • Fehler-/Ausschussquoten,

    • Verhältnis von Bearbeitungszeit zu Liege- und Transportzeiten.

    Die Auswertung der Kennzahlen/Messgrößen kann auf unterschiedlichen Ebenen erfol-

    gen. Maßstäbe sind beispielsweise Kunden- und Qualitätsanforderungen oder unter-

    nehmensinterne Vorgaben wie z.B. Preisstrategie, Personal- und Ressourcenauslastung.

    Liegen auch für ein alternatives Geschäftsprozessmodell die entsprechenden Kennzah-

    len vor, kann ein schwerpunktbezogener Vergleich der beiden Modelle erfolgen.

    2.4.3 Geschäftsprozessoptimierung

    Dem Konzept des Geschäftsprozessmanagements (vgl. Abbildung 2.3) folgend, können

    die Ergebnisse der Geschäftsprozessanalyse zu einer Neudefinition der Unternehmens-

    strategie oder zu einem Re-Design des untersuchten Geschäftsprozesses führen. Letzte-

    res hat die Zielsetzung eventuell ermittelte Schwachstellen zu beheben und den Ge-

    schäftsprozess zu optimieren.

    Die für eine mögliche Optimierung relevanten Prozesse lassen sich anhand der folgen-

    den Fragestellungen identifizieren:23

    21

    Vgl. MERZENICH (2002), S. 48 22

    Vgl. MERZENICH (2002), S. 51 23

    Vgl. MERZENICH (2002), S. 45, nach HAMMER/CHAMPY (1994), S. 159-166

  • 2.4 Geschäftsprozessanalyse und -optimierung 15

    • Welche Prozesse fallen (besonders) negativ auf?

    • Welche Prozesse haben die höchste Bedeutung für den Kunden?

    • Welche Prozesse eignen sich für eine erfolgreiche Neugestaltung? (Machbar-

    keit/Erfolgschancen)?

    • Welche Prozesse können bei mindestens gleicher Qualität beschleunigt wer-

    den?

    • Welche Prozesse können zusammengefasst werden?

    Die Durchführung der Optimierungsmaßnahmen erfolgt vorerst auf der Ebene der Pro-

    zessmodellierung. Ein sogenanntes SOLL-Modell beschreibt den vermeintlich opti-

    mierten Geschäftsprozesses. Um die beiden Modelle (IST/SOLL-Modelle) gegenüber-

    stellen zu können, müssen für das SOLL-Modell die gleichen Kennzahlen/Messgrößen

    wie bei der Bewertung des IST-Modells ermittelt werden. Dies kann auf unterschiedli-

    che Weise geschehen, u. a. durch:

    • Computergestützte Modellierung, Simulation und Analyse (basierend auf reel-

    len oder hypothetischen Daten) des SOLL-Modells durch Anwendung eines

    Modellierungswerkzeugs (z.B. ADONIS®, ARIS-Toolset®, Bonapart®).

    • Simulation und Analyse des SOLL-Modells in der betrieblichen Praxis.

    • Theoretische Auswertung des SOLL-Modells anhand reell zu erwartender Da-

    ten, basierend beispielsweise auf Herstellerangaben (bei der Einführung neuer

    Arbeitsgeräte/Software).

    Anhand der ermittelten Kennzahlen/Messgrößen erfolgt ein SOLL/IST-Vergleich der

    beiden Modelle, um festzustellen, ob der neu entwickelte bzw. neu organisierte Ge-

    schäftsprozess die angestrebte Optimierung vollständig, teilweise oder überhaupt nicht

    realisieren kann. Stellt der Geschäftsprozess die an ihn gestellten Anforderungen mit

    einem positiven Kosten-Nutzen-Effekt sicher, kann die Umsetzung des Modells in die

    betriebliche Praxis folgen. Dazu wird das SOLL-Modell auf eine Übertragbarkeit in die

    Praxis untersucht (Machbarkeitsanalyse). Gegebenenfalls müssen Anpassungen vorge-

    nommen werden, um das Modell auf die betrieblichen Gegebenheiten abzustimmen.

    Nach Einführung des neuen (verbesserten) Geschäftsprozessablaufs wird das SOLL-

    Modell zu einem IST-Modell und bildet damit die Grundlage für eine erneute Ge-

    schäftsprozessanalyse.24

    24

    Vgl. MERZENICH (2002), S. 52-53

  • 2.4 Geschäftsprozessanalyse und -optimierung 16

    Typische Beispiele für eine Geschäftsprozessoptimierung sind die zunehmende Digita-

    lisierung von Geschäftsprozessen im Bereich der Verwaltung, Buchhaltung oder der

    betrieblichen Kommunikation. Hierzu zählt u.a. die Einführung eines Dokumenten-

    Management-Systems (DMS) zur elektronischen Dokumentenverwaltung und -

    archivierung, der Einsatz elektronischer Buchungsmaschinen in der Finanzbuchhaltung

    sowie die Umstellung vom papierbasiertem auf elektronischen Geschäftsverkehr z.B.

    mit EDI (siehe Kapitel 7).

  • 3.1 Elemente und Verknüpfungen 17

    3 Ereignisgesteuerte Prozessketten (EPK)

    3.1 Elemente und Verknüpfungen

    Ereignisgesteuerte Prozessketten (EPK)25 stellen die im deutschsprachigen Raum

    bekannteste graphenbasierte Modellierungssprache (siehe Kapitel 2.3.2) dar.26 Entwi-

    ckelt wurden sie von KELLER ET AL. am Institut für Wirtschaftsinformatik der Universi-

    tät Saarbrücken.

    Die Modellierung eines Geschäftsprozessablaufs mit EPK stützt sich auf zwei Basis-

    elemente:27

    • Funktionen repräsentieren die Durchführung betrieblicher Vorgänge, die einen

    Beitrag zur Erfüllung eines Unternehmensziels leisten. Sie sind aktive Kom-

    ponenten im Unternehmen, d.h. ihre Abarbeitung verbraucht Zeit, verursacht

    Kosten und hat Zustandsänderungen zur Folge. Sie lesen, bearbeiten, löschen

    oder erzeugen Objekte und transformieren so Input- zu Outputdaten. Funktio-

    nen besitzen außerdem Entscheidungskompetenz über nachfolgende Funktio-

    nen. Beispiele für Funktionen sind: "Kundenstammblatt anlegen", "Auftrag

    annehmen", "Rechnungsdaten überprüfen", "Ware abschicken". Graphisch

    werden Funktionen durch Sechsecke repräsentiert.

    • Ereignisse beschreiben eingetretene Zustände oder spezifizieren Bedingungen

    von am Geschäftsprozess beteiligten Objekten. Zum einen dienen sie als Aus-

    lösemechanismus für Funktionen und zum anderen sind sie selbst wieder das

    Ergebnis einer oder mehrerer verknüpfter Funktionen. Ereignisse sind zeit-

    punktbezogene, passive Komponenten und besitzen keine Entscheidungskom-

    petenz über den weiteren Prozessverlauf. Grundsätzlich lässt sich ein Ereignis

    einem der folgenden vier Ereignistypen zuordnen:28

    § Das Ereignis beschreibt ein neu erzeugtes Informationsobjekt (z.B.

    "Kundenstammblatt ist angelegt", "Bestellung ist erzeugt") bzw. ein

    abgeschlossenes bestehendes Informationsobjekt (z.B. "Auftrag ist

    abgelehnt", "Auftrag ist abgeschlossen"). Diese Art von Ereignissen

    stehen oftmals am Beginn bzw. Ende einer Prozesskette.

    25

    Siehe KELLER ET AL (1992), LANGNER ET AL (1997), RUMP (1999), RITTGEN (2000) 26

    Z.B. werden SAP R/3 Referenzmodelle in EPK dargestellt, vgl. KELLER, TEUFEL (1997) 27

    Vgl. KELLER ET AL (1992), S. 8-15 28

    Vgl. ROSEMANN, SCHWEGMANN (2002), S. 66

  • 3.1 Elemente und Verknüpfungen 18

    § Das Ereignis kennzeichnet eine Statusänderung eines Informations-

    objekts (z.B. "Rechnung ist gebucht", "Ware ist eingetroffen").

    § Das Ereignis signalisiert das Eintreffen eines definierten Zeitpunkts

    (z.B. "Zahlungstermin ist überschritten", "Auftragsfrist ist abgelau-

    fen").

    § Das Ereignis dokumentiert eine Bestandsveränderung (z.B. "Kredit-

    limit ist überschritten").

    • Die graphische Darstellung von Ereignissen erfolgt durch abgerundete Recht-

    ecke.

    Anhand der beiden Basiselemente (Funktionen, Ereignisse) lassen sich Geschäftspro-

    zesse durch EPK-Modelle darstellen. Sie beschreiben für einen Geschäftsprozessablauf,

    welche Ereignisse welche Funktionen auslösen und welche Ereignisse von welchen

    Funktionen erzeugt werden. Ereignisse und Funktionen treten dabei stets alternierend

    auf. Gerichtete Pfeile stellen die Verbindungen zwischen ihnen her. Der Wechsel von

    Ereignissen und Funktionen ohne Verzweigungen wird als Sequenz bezeichnet.

    Nichtsequenzielle Prozessabläufe (Parallelitäten, Verzweigungen) lassen sich in EPKs

    durch die Anwendung von Verknüpfungsoperatoren zwischen Ereignissen und Funk-

    tionen darstellen. Folgende Verknüpfungen sind möglich:29

    Name Bedingung Grafisches Symbol

    Konjunktion (UND-Verknüpfung)

    a und b

    Disjunktion (ENTWEDER/ODER-Verknüpfung)

    Entweder a oder b

    Adjunktion (ODER-Verknüpfung)

    [a oder b] oder [a und b]

    Tabelle 3.1: EPK-Verknüpfungsoperatoren

    Unabhängig vom Verknüpfungsoperator lassen sich die folgenden vier Verknüpfungsar-

    ten unterscheiden:30

    • Ein oder mehrere verknüpfte Ereignis/se löst/en eine Funktion aus,

    • Ein Ereignis löst mehrere verknüpfte Funktionen aus,

    • Eine oder mehrere verknüpfte Funktion/en erzeugt/en ein Ereignis,

    • Eine Funktion erzeugt mehrere verknüpfte Ereignisse.

    29

    Vgl. KELLER ET AL (1992), S. 13 30

    Eine grafische Übersicht über alle Verknüpfungsarten befindet sich im Anhang, siehe A 3 Übersicht der EPK-Verknüpfungsarten

  • 3.1 Elemente und Verknüpfungen 19

    Bei der Modellierung ist zu beachten, dass einem Ereignis weder eine disjunktive (Ent-

    weder/oder-) noch eine adjunktive (Oder-) Verknüpfung von Funktionen folgen darf.

    Denn in diesen Fällen ist die notwendige Entscheidungskompetenz über den weiteren

    Prozessablauf nicht ohne nähere Informationen gegeben.

    Weiterhin gilt, dass jede Prozesskette mit einem oder mehreren Ereignis/sen beginnt

    und endet (Start- bzw. Endereignis/se). Anfangs- und Endbedingungen müssen dem-

    nach für jeden Prozess festgelegt sein. Dies entspricht dem realen Sachverhalt insofern,

    dass jeder betrieblichen Tätigkeit ein auslösendes Ereignis vorausgeht und eine Status-

    veränderung folgt. Werden einzelne Prozessketten eines Geschäftsprozessmodells ge-

    trennt betrachtet, lassen sich durch Prozesswegweiser die Verbindungen zu den vor-

    bzw. nachgelagerten Prozessketten herstellen. Prozesswegweiser ermöglichen es also,

    einen Geschäftsprozess, in übersichtliche Teile zerlegt, modellieren zu können, ohne

    dass der Gesamtzusammenhang verloren geht.

    Abbildung 3.1 verdeutlicht am Beispiel einer Rechnungsstellung die Modellierung von

    Geschäftsprozessen durch ereignisgesteuerte Prozessketten.

    Rechnungsdatenerfassen

    Rechnungs-erstellung

    erforderlich

    Rechnungsdatenprüfen

    Rechnungsdatenvollständig

    RechnungsdatenOK

    RechnungsdatenNICHT OK

    Rechnungsdatenüberarbeiten

    Rechnungsdatenüberarbeitet

    Ereignis

    Prozess/Funktion

    Prozessweg-weiser

    Kontrollfluß

    Legende:

    Rechnungsformularerstellen

    Rechnungsformularerstellt

    Abbildung 3.1: Modell der Rechnungserstellung in EPK-Notation31

    31

    Vgl. ZILAHI-SZABÓ (2002), S. 35

  • 3.2 Erweiterte Ereignisgesteuerte Prozessketten 20

    3.2 Erweiterte Ereignisgesteuerte Prozessketten

    Die Ereignisgesteuerten Prozessketten sind über die Basiselemente (Funktionen und

    Ereignisse) hinaus durch eine Vielzahl zusätzlicher Modellierungselemente erweiterbar.

    Es entstehen sogenannte erweiterte Ereignisgesteuerte Prozessketten (eEPK)32. Be-

    sonders relevant sind dabei Erweiterungen durch Daten, Organisationseinheiten, IT-

    Ressourcen und Leistungen:33

    • Daten können durch Input- bzw. Output- Beziehungen (z.B. lesen, bearbeiten,

    erzeugen, löschen, etc.) mit zugehörigen Funktionen verknüpft werden. Ver-

    knüpfungen zu Ereignissen liefern nähere Informationen über den vorliegen-

    den Zustand.

    • Organisationseinheiten (z.B. Aufgabenträger, Abteilung, usw.) können Funk-

    tionen zugeordnet werden, um die jeweilige Zuständigkeit für die Funktions-

    ausführung deutlich zu machen.

    • Die Verknüpfung von IT-Ressourcen zeigt für vollständig oder teilweise au-

    tomatisierbare Funktionen an, welches Anwendungssystem die Ausführung

    unterstützt.

    • Input- und Outputleistungen können für einzelne Funktionen oder gesamte

    Prozessketten aufgezeigt werden, um die einzelnen Teilbeiträge transparent zu

    machen.

    Lassen sich Geschäftsprozesse durch EPKs nur beschränkt auf Ereignisse und Prozesse

    modellieren, erlauben eEPK eine ganzheitliche Modellierung von Geschäftsprozessen

    (inkl. aller daran beteiligten Daten und Objekte).

    Vorteile der EPKs bzw. eEPKs sind ihre einfache graphische Darstellung, ihr großer

    Verbreitungsgrad sowie ihre starke Unterstützung durch Modellierungswerkzeuge.34

    Nachteilig wirkt sich dagegen aus, dass aufgrund einer fehlenden semantischen Präzi-

    sierung keine automatisierte Simulation und Auswertung von Geschäftsprozessmodel-

    len möglich ist.35

    32

    Vgl. KELLER ET AL (1992), S. 15 33

    Vgl. ROSEMANN, SCHWEGMANN (2002), S. 68 34

    Z.B. ARIS-Toolset, Microsoft-Visio 35

    Ein Ansatz zur Beschreibung einer Semantik für EPKs findet sich in NÜTTGENS, RUMP (2002)

  • 3.2 Erweiterte Ereignisgesteuerte Prozessketten 21

    Die folgende Abbildung modelliert den bereits dargestellten Prozess der Rechnungser-

    stellung durch eEPK:

    Rechnungsdatenerfassen

    Rechnungsstellungerforderlich

    Rechnungsdatenprüfen

    Rechnungsdatenvollständig

    RechnungsdatenOK

    RechnungsdatenNICHT OK

    Rechnungsdatenüberarbeiten

    Rechnungsdatenüberarbeitet

    Abteilung

    Mit-arbeiter

    EDV-Anwendung(z.B. Exel)

    InterneDatenbank

    AuftragBestellung

    ...

    Rechnungs-daten

    Rechnungs-daten

    Datenbank DatensatzPapier-

    Dokument

    Anwendungs-system

    Organisations-einheit

    (Papier-)Ordner

    Abteilung

    Mit-arbeiter

    EDV-Anwendung(z.B. Exel)

    Datei

    Datenfluß,Ressourcen

    Legende:

    Rechnungsformularerstellen

    Rechnungsformularerstellt

    Rechnungs-formular

    Abbildung 3.2: Darstellung einer Rechnungserstellung durch eEPK

  • 4.1 Aufgabe der elektronischen Signatur 22

    4 Die elektronische Signatur

    4.1 Aufgabe der elektronischen Signatur

    In vielen Bereichen der geschäftlichen und privaten Kommunikation haben Dokumente

    in elektronischer Form die traditionell verwendeten Dokumente in Papierform abgelöst.

    Elektronische Daten lassen jedoch nicht wie Papierdokumente handschriftlich unter-

    schreiben. Das Leisten einer Unterschrift ist aber gerade im Geschäftsverkehr von gro-

    ßer Bedeutung, da sie die Grundlage für eine rechtliche Anerkennung der unterschrie-

    benen Dokumente bildet. Beispielsweise wird zum Abschluss eines rechtsgültigen

    schriftlichen Vertrages eine Unterschrift beider Vertragspartner benötigt. Ihre besondere

    Bedeutung kommt der Unterschrift aufgrund ihrer Eigenschaften zu: Eine Unterschrift

    • ist einmalig und untrennbar mit der Person verbunden, die sie leistet, d.h. an-

    hand der Unterschrift lässt sich die ausstellende Person eindeutig identifizieren

    • und sie bestätigt das Einverständnis des Unterzeichnenden mit dem vorliegen-

    den Dokumenteninhalt.36

    Eine geeignete Möglichkeit, die Eigenschaften der handschriftlichen Unterschrift auf

    den elektronischen Dokumentenaustausch zu übertragen, ist die Anwendung elektroni-

    scher Signaturen. Eine elektronische Signatur stellt eine Art Siegel zu elektronischen

    Daten dar. Anhand dieses Siegels kann zuverlässig festgestellt werden, dass die elektro-

    nischen Daten

    • von einer bestimmten Person signiert wurden (Nachweis der Authentizität des

    Urhebers der Daten)

    • und nach erfolgter Signatur nicht mehr verändert wurden (Nachweis der Integ-

    rität der Daten).37

    Nicht sichergestellt durch die Anwendung einer elektronischen Signatur ist (analog zur

    eigenhändigen Unterschrift) die Vertraulichkeit des Inhalts. Um die Daten vor unbefug-

    ter oder unerwünschter Kenntnisnahme durch Dritte zu schützen, können aber (ggf. zu-

    sätzlich zu der elektronischen Signatur) elektronische Verschlüsselungsverfahren einge-

    setzt werden. Zusammen mit der Verschlüsselung ist die elektronische Signatur somit

    entscheidend für die Sicherheit und Authentizität bei einem elektronischen Dokumen-

    tenaustausch.

    36

    Vgl. TC TRUSTCENTER (2001), S. 1 37

    ebenda

  • 4.2 Kryptographische Grundlagen 23

    4.2 Kryptographische Grundlagen

    Die kryptographischen Grundlagen der elektronischen Signaturen (im Sinne von fortge-

    schrittenen bzw. qualifizierten elektronischen Signaturen, siehe Kapitel 4.3.3 bzw.

    4.3.4) bildet ein sogenanntes asymmetrisches Verschlüsselungsverfahren in Verbindung

    mit einer Hashfunktion.38

    Eine Hashfunktion beschreibt eine mathematische Einwegfunktion die aus einer belie-

    bigen Nachricht einen eindeutigen Hashwert fester Länge berechnet. Einwegfunktion

    bedeutet, dass aus dem ermittelten Hashwert nicht mehr auf die der Funktion zugrunde-

    liegende Nachricht geschlossen werden kann. Weiterhin haben Hashfunktionen die Ei-

    genschaft, dass es praktisch unmöglich, ist andere Nachrichten zu finden, die denselben

    Hashwert ergeben. Schon bei minimalen Abweichungen der Nachricht (z.B. durch Ein-

    fügen eines Leerzeichens oder Kommas) entsteht ein völlig anderer Hashwert.39

    Asymmetrische Verschlüsselungsverfahren (oder Public-Key-Verfahren) basieren

    auf der Anwendung eines mathematischen Schlüsselpaares, bestehend aus einem priva-

    ten Schlüssel (Private Key) und einem öffentlichen Schlüssel (Public Key). Die beiden

    Schlüssel stehen in einer eindeutigen kryptographischen Abhängigkeit zueinander und

    zwar derart, dass Signaturen, die mit dem privaten Schlüssel erstellt werden, ausschließ-

    lich mit dem zugehörigen öffentlichen Schlüssel erfolgreich verifiziert werden können.

    Des weiteren ist es nicht möglich, aus dem öffentlichen Schlüssel den privaten Schlüs-

    sel bestimmen zu können. Ein derartiges Signatur-Schlüsselpaar ist einem Inhaber ein-

    deutig zugeordnet. Der private Schlüssel dient zur Erstellung der elektronischen Signa-

    turen und muss deshalb von dem Inhaber immer geheim gehalten werden. Der Besitz

    und der Wert des zur Verifikation der Signatur benötigten öffentlichen Schlüssels hin-

    gegen kann jedermann bekannt (publik) gemacht werden. Auf diese Weise ermöglichen

    asymmetrische Verfahren, dass jedermann in den Besitz des öffentlichen Schlüssels

    gelangen kann, um die vom Inhaber des Signatur-Schlüsselpaares erstellten Signaturen

    überprüfen zu können.40

    Das Erstellen und Verifizieren einer elektronischen Signatur erfolgt in den nachfolgend

    vorgestellten Schritten:41

    38

    Ziel der Kryptographie ist die Entwicklung von Algorithmen zur Verheimlichung von Nachrichten 39

    Nähere Informationen siehe STACH (2003), Kapitel 3.3 40

    Nähere Informationen siehe STACH (2003), Kapitel 3.2.2, Kapitel 3.3 41

    Vgl. RegTP (1998), S. 7-8

  • 4.2 Kryptographische Grundlagen 24

    1. Zunächst berechnet der Absender durch Anwendung einer Hashfunktion den

    Hashwert über die zu signierenden Daten.

    2. Der Hashwert wird nun mit dem privaten Schlüssel des Absenders verschlüs-

    selt - das Ergebnis stellt die elektronische Signatur dar.

    3. Die elektronische Signatur wird nun mit den Originaldaten verknüpft und an

    den Empfänger übermittelt.

    4. Der Empfänger entschlüsselt (gemäß dem Prinzip der asymmetrischen Ver-

    schlüsselung) mit Hilfe des öffentlichen Schlüssels des Absenders die elektro-

    nische Signatur und macht somit den Hashwert wieder lesbar.

    5. Anschließend berechnet er (mit der gleichen Hashfunktion wie sie der Absen-

    der angewandt hat) den Hashwert über die ihm vorliegenden Daten und ver-

    gleicht diesen mit dem zuvor entschlüsselten Hashwert. Sind beide Werte i-

    dentisch, kann der Empfänger sichergehen, dass die Daten nach Ausstellen der

    Signatur nicht mehr verändert wurden (Nachweis der Integrität der Daten),

    und dass die Signatur von dem Inhaber des zur Verifikation eingesetzten öf-

    fentlichen Schlüssels erzeugt wurde, denn nur dieser besitzt den, der Ver-

    schlüsselung des Hashwertes zugrundeliegenden, privaten Schlüssel (Nach-

    weis der Authentizität des Urhebers der Signatur).

    Die Vertrauenswürdigkeit einer auf diese Weise erstellten elektronischen Signatur ba-

    siert zum einen auf der Geheimhaltung des privaten Schlüssels und zum anderen auf der

    Voraussetzung, dass es nicht möglich ist, aus dem bekannten öffentlichen Schlüssel auf

    den korrespondierenden privaten Schlüssel zu schließen. Um Letzteres sicherzustellen

    wird bei der Erstellung des Schlüsselpaares der sog. RSA-Algorithmus42 (benannt nach

    seinen Erfindern Rivest, Shamir, Adleman) eingesetzt. Das RSA-Verfahren erzeugt für

    eine Anwendung in einem asymmetrischen Verschlüsselungsverfahren geeignete

    Schlüsselpaare mit einer bestimmten Länge. Nach dem heutigen Stand der Technik gel-

    ten Schlüssel mit einer Länge von 1024 Bit (das entspricht etwa einer 300stelligen De-

    zimalzahl) als sicher. Selbst bei einem gemeinsamen Einsatz aller derzeit weltweit zur

    Verfügung stehenden Computersysteme würde es bei dieser Schlüssellänge mehrere

    Jahre dauern, einen einzelnen privaten Schlüssel zu errechnen.43 Um aber auch zukünf-

    tig maximale Sicherheit zu gewährleisten, kann die Schlüssellänge variabel erhöht wer-

    den.

    42

    Nähere Informationen siehe STACH(2003), Kapitel 3.2.2.1 43

    Vgl. Deutsche Post Signtrust, abrufbar unter http://www.signtrust.de/index.php?.menu=pki_grundlagen&menu2=elektronische _signatur&menu3=funtionsweise, abgerufen am 02.06.03

  • 4.3 Rechtliche Grundlagen 25

    4.3 Rechtliche Grundlagen

    4.3.1 Einleitung

    Das in Deutschland am 1. August 1997 als weltweit erstes nationales Gesetz dieser Art

    in Kraft getretene Signaturgesetz (SigG97)44 sieht Regelungen für den Einsatz digitaler

    Signaturen vor. Unter einer digitalen Signatur wird gemäß § 2 Abs. 1 SigG97 ein mit

    einem privaten Schlüssel erzeugtes Siegel zu digitalen Daten verstanden, durch das sich

    mit Hilfe eines zugehörigen öffentlichen Schlüssels der Inhaber des Schlüsselpaares und

    die Unverfälschtheit der Daten feststellen lassen.

    Am 1. Juni 2001 wurde das deutsche Signaturgesetz von 1997 durch Inkrafttreten des

    neuen Signaturgesetz 2001 (SigG01)45 abgelöst. Das SigG01 erfüllt zum einen die recht-

    lichen Ausführungen der 1999 verabschiedeten EU-Richtlinie über gemeinschaftliche

    Rahmenbedingungen für elektronische Signaturen (EU-Richtlinie 1999/93/E)46 und ver-

    arbeitet zum anderen die im Umgang mit dem ersten Signaturgesetz laut gewordene

    Kritik.47

    In der Neufassung wird gegenüber dem alten Signaturgesetz von 1997 nicht mehr von

    einer digitalen sondern allgemeiner von einer elektronischen Signatur gesprochen, bei

    der drei hierarchisch gegliederte Sicherheitsstufen unterschieden werden (siehe Kapitel

    4.3.2- 4.3.4). Des weiteren werden die im Zusammenhang mit einer elektronischen Sig-

    natur stehenden Begriffe wie Zertifikat, Zertifizierungsdiensteanbieter, Signaturerstel-

    lungseinheit, etc. definiert und Anforderungen an diese festgelegt (siehe Kapitel 4.3.5 -

    4.3.8).

    4.3.2 Einfache elektronische Signaturen

    Eine elektronische Signatur beschreibt gemäß § 2 Nr. 1 SigG01 elektronische Daten,

    die anderen elektronischen Daten beigefügt oder logisch mit diesen verknüpft sind und

    die zur Authentifizierung dienen. Beispielsweise handelt es sich bereits bei einer hand-

    schriftlichen Unterschrift, die eingescannt und mit elektronischen Daten verknüpft wird,

    um eine elektronische Signatur.48

    44

    SIGNATURGESETZ (1997) 45

    SIGNATURGESETZ (2001) 46

    EU-RICHTLINIE (1999/93/E) 47

    Nähere Informationen siehe STACH (2003), Kapitel 2.4.1 48

    Vgl. HOERETH, ROISCH, SCHIEGL (2001), S. 5

  • 4.3 Rechtliche Grundlagen 26

    4.3.3 Fortgeschrittene elektronische Signaturen

    Bei einer fortgeschrittenen elektronischen Signatur handelt es sich gemäß § 2 Nr. 2

    SigG01 um eine elektronische Signatur, deren Erstellung auf der Anwendung eines Sig-

    naturschlüssels beruht und die zusätzlich folgende Voraussetzungen erfüllt:

    • Die Signatur wird ausschließlich dem Signaturschlüssel-Inhaber zugeordnet.

    • Anhand der Signatur muss eine Identifizierung des Signaturschlüssel-Inhabers

    möglich sein.

    • Die Signatur muss mit Mitteln erzeugt werden, die der Signaturschlüssel-

    Inhaber unter seiner alleinigen Kontrolle halten kann.

    • Die Signatur muss derart mit den Daten auf die sie sich bezieht verknüpft sein,

    dass eine nachträgliche Veränderung der Daten erkannt werden kann.

    Die geforderten Voraussetzungen erlauben, dass die der Erstellung und Verifikation

    einer fortgeschrittenen elektronischen Signatur zugrundeliegenden elektronischen

    Schlüssel (Signaturschlüssel und Signaturprüfschlüssel) von dem Nutzer selbst erzeugt

    werden können (z.B. mittels einer geeigneten Software49). Der Nutzer signiert die Daten

    mit seinem Signaturschlüssel (privaten Schlüssel) und stellt den eindeutig zugehörigen

    Signaturprüfschlüssel (öffentlichen Schlüssel) in seinem Namen öffentlich bereit. Der

    Empfänger der signierten Daten hat somit die Möglichkeit durch Prüfung der fortge-

    schrittenen elektronischen Signatur verbindlich feststellen zu können, dass die Daten

    von dem angegebenen Inhaber des Signaturprüfschlüssels stammen und unverfälscht

    sind. Es ist ihm aber nicht möglich die tatsächliche Identität des Signaturprüfschlüssel-

    Inhabers vertrauenswürdig zu überprüfen.

    Fortgeschrittene elektronische Signaturen sind nach den derzeit in Deutschland und in

    der EU geltenden Gesetzen im Rechtsverkehr nicht anerkannt.

    4.3.4 Qualifizierte elektronische Signaturen

    Eine qualifizierte elektronische Signatur gemäß § 2 Nr. 3 SigG01 liegt vor, wenn die

    Voraussetzungen der fortgeschrittenen elektronischen Signatur und darüber hinaus noch

    folgende Anforderungen erfüllt sind:

    • Die Signatur muss auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifi-

    zierten Zertifikat beruhen.

    49

    Bekanntestes Beispiel dafür ist die kostenlose Software PGP, siehe dazu http://www.pgpi.org/

  • 4.3 Rechtliche Grundlagen 27

    • Die Signatur muss mit einer sicheren Signaturerstellungseinheit erzeugt wer-

    den.

    Anhand des zu ihrer Erzeugung notwendigen qualifizierten Zertifikates (siehe Kapitel

    4.3.5) ist es möglich, eine vertrauenswürdige Überprüfung der Identität des Urhebers

    der qualifizierten elektronischen Signatur vorzunehmen.

    Qualifizierte elektronische Signaturen sind EU-weit der handschriftlichen Unterschrift

    gleichgestellt. Ein mit einer qualifizierten elektronischen Signatur versehenes elektroni-

    sches Dokument bietet somit die gleiche rechtliche Anerkennung wie ein handschrift-

    lich unterschriebenes Papierdokument. Dies wurde im Zuge der EU-Richtlinie über ge-

    meinschaftliche Rahmenbedingungen für elektronische Signaturen von 1999 für alle

    Mitgliedsstaaten festgelegt und musste bis zum 19. Juli 2001 in die nationalen Gesetze

    übernommen werden.

    4.3.5 Qualifizierte Zertifikate

    Unter einem Zertifikat versteht § 2 Nr. 7 Sig01 eine elektronische Bescheinigung, an-

    hand derer der öffentlich zugängliche Signaturprüfschlüssel einer Person eindeutig zu-

    geordnet wird und die Identität dieser Person überprüft werden kann.

    Ein qualifiziertes Zertifikat beschreibt ein Zertifikat, welches von einem Zertifizie-

    rungsdiensteanbieter (siehe Kapitel 4.3.7) ausgestellt wird. Der Zertifizierungs-

    diensteanbieter bescheinigt (als vertrauenswürdige Instanz) anhand des qualifizierten

    Zertifikates, die eindeutige Zuordnung eines Signaturprüfschlüssels zu einer bestimmten

    Person. Qualifizierte Zertifikate können ausschließlich an natürliche Personen ausge-

    stellt werden und enthalten gemäß § 7 SigG01 u.a. die folgenden Daten:

    • den Namen des Signaturschlüsselinhabers,

    • den zugeordneten Signaturprüfschlüssel,

    • eine laufende Nummer des Zertifikates,

    • Beginn und Ende der Gültigkeit des Zertifikates,

    • den Namen des Zertifizierungsdiensteanbieter,

    • nach Bedarf Attribute des Signaturschlüsselinhabers.

    Die Gültigkeit eines qualifizierten Zertifikates ist auf höchstens 5 Jahre begrenzt. Es

    kann aber auch auf Verlangen des Inhabers vor Ablauf der Gültigkeit gesperrt werden.

    Eine Sperrung kann jedoch nur für die Zukunft erfolgen, rückwirkend ist sie unzulässig.

  • 4.3 Rechtliche Grundlagen 28

    4.3.6 Sichere Signaturerstellungseinheiten

    Eine sichere Signaturerstellungseinheit ist in § 2 Nr. 10 SigG01 definiert als eine für

    qualifizierte elektronische Signaturen bestimmte, den Anforderungen des SigG entspre-

    chende Software- und Hardwareeinheit zur Speicherung und Anwendung eines Signa-

    turschlüssels. In der Praxis werden dafür nicht auslesbare Chip-Karten (sog. Smart-

    Cards) eingesetzt, die über ein Kartenlesegerät mit dem Computer verbunden werden

    und durch eine geheime PIN-Nummer oder durch biometrische Merkmale (z.B. Finger-

    abdruck) des Karteninhabers vor Missbrauch geschützt sind. Die SmartCards werden in

    Verbindung mit einem qualifizierten Zertifikat durch einen Zertifizierungsdiensteanbie-

    ter vergeben.

    4.3.7 Zertifizierungsdiensteanbieter

    Als Zertifizierungsdiensteanbieter werden gemäß § 2 Nr. 8 SigG01 natürliche oder ju-

    ristische Personen bezeichnet, die qualifizierte Zertifikate oder qualifizierte Zeitstem-

    pel50 ausstellen. Zu den Aufgaben eines Zertifizierungsdiensteanbieter gehören im We-

    sentlichen:

    • Die Identifizierung einer Person und Bestätigung der eindeutigen Zuordnung

    eines öffentlichen Signaturprüfschlüssels zu der Person durch Ausstellen eines

    entsprechenden Zertifikates.

    • Die Erzeugung der einem Zertifikat zugrundeliegenden Signaturschlüssel und

    Aushändigung des privaten Signaturschlüssels auf einer sicheren Signaturer-

    stellungseinheit (SmartCard) an den Zertifikatsinhaber.

    • Das Führen eines jederzeit erreichbaren, öffentlich zugänglichen Verzeichnis-

    und Sperrdienstes für vergebene Zertifikate, um eine Überprüfung der Gültig-

    keit von Zertifikaten durch Dritte und eine Sperrung eines Zertifikates durch

    den Inhaber zu ermöglichen.

    Der Betrieb eines Zertifizierungsdienstes steht jeder natürlichen oder juristischen Person

    (z.B. Unternehmen) frei. Allerdings muss ein Zertifizierungsdiensteanbieter verschiede-

    nen gesetzlich festgelegten Anforderungen und Sicherheitspflichten (z.B. bezüglich

    Fachwissen des Personals, Sicherheit der Zertifizierungsverfahren, etc.) nachkommen.

    Dazu gehört insbesondere die Pflicht, die Identität einer Person, die ein qualifiziertes

    50

    Unter einem qualifizierten Zeitstempel versteht das SigG01 gemäß § 2 Nr. 14 eine elektronische Bescheinigung des Zertifi- zierungsdiensteanbieters, dass ihm bestimmte elektronische Daten zu einem bestimmten Zeitpunkt vorgelegen haben.

  • 4.3 Rechtliche Grundlagen 29

    Zertifikat beantragt hat, sorgfältig zu prüfen. Qualifizierte Zertifikate werden deshalb in

    der Regel nur auf Vorlage des Personalausweises oder Reisepasses ausgestellt. Die Ein-

    haltung der Anforderungen und Pflichten wird von staatlicher Seite nicht kontrolliert,

    vielmehr stehen die Zertifizierungsdiensteanbieter unter einem Zwang zur Selbstkon-

    trolle indem ihnen umfassende Haftungsregelungen bei einer Verletzung der gesetzlich

    vorgeschriebenen Pflichten auferlegt sind (siehe § 11 SigG01). Um einen eventuellen

    Schadensersatz gegenüber Dritten sicherzustellen, müssen sie deshalb vor Inbetrieb-

    nahme des Dienstes eine geeignete Deckungsvorsorge nachweisen.

    Im Unterschied zum Signaturgesetz von 1997 ist der Betrieb eines Zertifizierungsdiens-

    tes gemäß § 4 Abs. 1 SigG01 nicht mehr genehmigungspflichtig sondern lediglich an-

    zeigungspflichtig gegenüber der Regulierungsbehörde für Telekommunikation und

    Post (RegTP). Die RegTP fungiert als den Zertifizierungsdiensteanbietern gesetzlich

    vorgeschriebene übergeordnete Instanz (sog. Wurzelinstanz). Bei Inbetriebnahme stellt

    sie dem Zertifizierungsdiensteanbieter ein qualifiziertes Zertifikat aus, welches dieser

    zum Signieren der von ihm ausgestellten Zertifikate einsetzen muss, um eine vertrau-

    enswürdige Zuordnung der Zertifikate zu dem jeweiligen Inhaber zu gewährleisten. Die

    von der RegTP ausgestellten Zertifikate sind wiederum mit deren privaten Schlüssel

    signiert, so dass diese ebenfalls auf Vertraulichkeit geprüft werden können. Auf diese

    Weise entsteht eine mehrstufige Sicherheitsstruktur an deren Ende die RegTP als staat-

    lich anerkannte vertrauenswürdige Instanz steht.

    4.3.8 Akkreditierte Zertifizierungsdiensteanbieter

    Nach § 15 SigG01 können sich Zertifizierungsdiensteanbieter einem freiwilligen Akk-

    reditierungsverfahren durch die RegTP unterziehen. Ein qualifiziertes Zertifikat eines

    akkreditierten Zertifizierungsdiensteanbieters ist Grundlage zum Ausstellen einer quali-

    fizierten elektronischen Signatur mit Anbieterakkreditierung wie sie insbesondere

    nach § 14 Abs. 4 Satz 2 Umsatzsteuergesetz (UStG) zur Erstellung steuerrechtlich aner-

    kannter Rechnungen benötigt wird (siehe Kapitel 5.1.5).

    Eine erfolgreiche Akkreditierung bescheinigt dem Zertifizierungsdiensteanbieter, dass

    dieser, regelmäßig kontrolliert durch die RegTP bzw. durch von der RegTP beauftragte

    Prüfstellen, alle durch das Signaturgesetz geforderte Pflichten und Sicherheitsvorkeh-

    rungen erfüllt. Um die erteilte Akkreditierung gegenüber Dritten nachweisen zu können,

    wird dem Zertifizierungsdiensteanbieter ein Zertifikat mit entsprechenden Angaben von

  • 4.4 Das Signatur-Verfahren aus Sicht des Anwenders 30

    Seiten der RegTP ausgestellt und mit deren privaten Schlüssel elektronisch signiert.

    Eine Liste aller akkreditierten und nicht-akkreditierten Zertifizierungsdiensteanbieter ist

    unter http://www.regtp.de einsehbar. Des weiteren lassen sich unter http://www.nrca-

    ds.de die von der RegTP ausgestellten Zertifikate