Die Sicherheit der Rechnungen hängt ab von:
- der verwendeten Technologie,
- den bestehenden Kontrollen innerhalb des Unternehmens,
- den Vereinbarungen, die zwischen den beteiligten Parteien getroffen wurden.
Die Verwendung des Peppol-Netzwerkes bietet Garantien für die sichere Übertragung der Daten. Der Zugang zum Netzwerk wird durch zertifizierte Dienstleistungserbringer gewährleistet. Sie können dies mit einem Telekommunikationsnetz vergleichen. Im Gegensatz dazu erweist sich der E-Mail-Kanal – auch wenn er sehr flexibel ist – als sehr anfällig für Rechnungsbetrug und Internetkriminalität (Phishing, Malware, Ransomware usw.).
Die „Dienstleistungserbringer“ (auch „Access Points“ genannt) in der Peppol-Welt sind wie Briefkästen in der Papier-Welt: Ein- und Ausgangspunkte in einem Übertragungsnetzwerk, das einen effizienten Service gewährleistet. Diese Verantwortung kann unter mehreren Betreibern aufgeteilt werden, sofern sie sich zur Einhaltung gemeinsamer Regeln verpflichten. Im Kontext von Peppol werden diese Regeln in einem Vertrag, dem „Service Provider Agreement“, festgelegt. Die Dienstleistungserbringer unterzeichnen diesen Vertrag mit einer Peppol-Autorität (der globalen Peppol-Autorität, der belgischen VoG OpenPeppol oder der nationalen Peppol-Autorität, in Belgien FÖD BOSA). Alle Dienstleistungserbringer kennen die verschiedenen lokalen Vorschriften der Länder, in denen sie tätig werden wollen.
Die neueste Liste der Dienstleistungserbringer, die einen Vertrag mit FÖD BOSA unterzeichnet haben, finden Sie hier: Belgian Peppol Authority. Hier finden Sie auch die neueste Version des „Peppol Service Provider Agreement“ (Französisch und Niederländisch). Außerdem gibt es eine globale Liste von Dienstleistern, von denen einige auch in Belgien tätig sind.
Kann jemand mein Unternehmen ohne meine Einwilligung registrieren?
Um Zugang zum Netzwerk zu erhalten, ist die Identifizierung von Endnutzern (abgeleitet von KYC-Anforderungen, Know Your Customer, aus dem Finanzsektor) von entscheidender Bedeutung. Das heißt, dass eine Überprüfung Ihrer Identität notwendig ist, um eine Netzwerkverbindung herzustellen. Während des Registrierungsverfahrens bittet der Softwareanbieter um Unterlagen, die Ihre Identität bestätigen, und überprüft, ob Sie berechtigt sind, im Namen des betreffenden Unternehmens zu handeln.
Warum ist die Identifizierung von Endnutzern wichtig?
Um Identitätsbetrug zu verhindern, ist eine korrekte Identifizierung von Endnutzern unerlässlich. Wie bei jedem System liegt die Schwachstelle oft in Handlungen, die Menschen manuell ausführen müssen. Dieser Grundsatz ist jedoch nicht ohne Verpflichtungen: Ein Serviceprovider, der sich nicht an die Regeln hält, riskiert den Verlust seiner Zertifizierung und seines Zugangs zum Netzwerk – und somit seines gesamten Geschäfts.
Gibt es bessere Methoden als die Identifizierung von Endnutzern?
Verschiedene Serviceprovider haben die Identifizierung von Endnutzern teilweise automatisiert, zum Beispiel über:
- eine Identitätskontrolle: Auslesen des Zertifikats auf dem belgischen Personalausweis, Nutzung von itsme© usw.
- eine Überprüfung der Ermächtigung (Berechtigung): Überprüfung auf der Grundlage der in der Zentralen Datenbank der Unternehmen veröffentlichten Funktionsträger.
Der Grad der Automatisierung hängt oft von der Anzahl der Registrierungen ab, die eine Anwendung verarbeiten muss, da dies die Amortisationszeit einer Investition in (halb‑)automatisierte Prozesse beeinflusst.
Darüber hinaus hat eine verstärkte Überwachung der Registrierung Auswirkungen auf die Kosten, Lasten und Risiken für alle Wirtschaftsteilnehmer. Zudem schließt dies niemals das Risiko eines Identitätsbetrugs bei jeder Transaktion aus, wenn sich jemand illegal Zugang zum IT-System des Senders oder Empfängers verschafft.
Wie komplex müssen wir Systeme gestalten, um menschliche Fehler zu vermeiden? Es ist wichtig, ein Gleichgewicht zwischen Sicherheit, Benutzerfreundlichkeit und Kosteneffizienz zu finden. Die Identifizierung von Endnutzern durch zertifizierte Dienstleister in Kombination mit der kürzlich eingeführten verpflichtenden IBAN-Namenskontrolle ist derzeit der bestmögliche Kompromiss.
