E-Rechnungspflicht - ZUGFeRD und XRECHNUNG

E-Rechnungen werden Pflicht im B2B-Geschäftsverkehr. Das bedeutet: „Empfang und Verarbeitung von E-Rechnungen im B2B-Geschäftsverkehr sind ohne vorherige Zustimmung ab 1. Januar 2025 in Unternehmen zu ermöglichen. Die grundsätzliche Verpflichtung zur Ausstellung von elektronischen Rechnungen gilt ebenfalls ab 1. Januar 2025. Es gibt aber Übergangsfristen. Spätestens ab 2028 sind nur noch E-Rechnungen erlaubt, die EN 16931 entsprechen. Auch bisher (seit 2017) mussten Rechnungen, die an Behörden übermittelt wurden, dem sog. #XRECHNUNG Format entsprechen.

Seit 1. Januar 2025 sind dazu alle Rechnungsformate, die der EN-Norm entsprechen, zulässig:

• XRECHNUNG – das ist eine XML-Datei, die alle rechnungsrelevanten Daten in genormtem Format und Zeichensatz enthält (es gibt in der Regel keine Visualisierung, es sei denn, der Empfänger erstellt sie sich zum Archivieren)
• ZUGFeRD – eine PDF-Datei, die die Rechnung visuell enthält (also wie wir bisher eine PDF-Rechnung kennen). Zusätzlich sind in der PDF-Datei die XML-Daten eingebettet. Diese lassen sich maschinell extrahieren und elektronisch weiterverarbeiten
• Das FAKTUR-X Format gehört auch dazu. Hierbei handelt es sich um in ein PDF/A eingebettete XML-Daten - ähnlich wie beim ZUGFeRD

Eine Rechnung muss also auf jeden Fall den (genormten) XML-Datensatz enthalten oder daraus bestehen.

Bisher werden für Deutschland keine Anforderungen an den Versand der Datei gestellt. D. h. die Zustellung per E-Mail wird vermutlich weiterhin der Standard sein. Nach EU-Richtlinie reicht aber der STARTTLS Versand nicht aus und Rechnungen sollten verschlüsselt werden. Wenn Sie über ein Kunden-Extranet verfügen, können Sie auch die Rechnungen in diesem Bereich Ihren Kunden zum Abruf bereitstellen. In dem Fall erfolgt der Zugriff SSL-verschlüsselt und Manipulationen auf dem Transportweg werden verhindert.

Das bedeutet, dass Sie Eingangsrechnungen aus Ihrem Eingangspostfach extrahieren müssen und bei #ZUGFeRD aus dem PDF-Anhang die XML-Daten extrahieren – bzw. bei XRECHNUNG den XML-Anhang bestenfalls mit einer Visualisierung ausstatten (PDF erstellen aus den XML-Daten) und beide Anhänge dann in Ihr DMS-System überführen und verschlagworten lassen.

Vom Land Baden-Württemberg gibt es einen kostenlosen Online-Dienst, mit dem man zu versendende oder Eingangsrechnungen prüfen kann: https://erechnungsvalidator.service-bw.de

Möchte man eine Eingangsrechnung visualisieren, kann man dazu die Online-Webseite eines deutschen Verlages (derzeit noch kostenlos) benutzen. Es wird eine PDF erstellt, die die XML-Datei in eine PDF umwandelt, die aussieht wie eine klassische Rechnung: https://dtvp.de/xrechnung/

PHP Vorlage für Wordpress

Für Programmierer – mit einer kostenlosen PHP Bibliothek kann man XRECHNUNG bzw. den XML-Content nach Faktur-X Standard erstellen. Als Input dienen 2 JSON Dateien – eine für die Kopfdaten der Rechnung und eine für die Artikelposten, die in ein Formular kopiert werden können. Ein Formatmuster ist jeweils im Form bei Aufruf der Seite.

Mit einem zweiten Template können Rechnungen in den Ordner wp-uploads/rechnungen/ hochgeladen werden (PDF und XML). Das Werkzeug extrahiert Rechungskopfdaten und Posten jeder Rechnung und stellt sie auf der Seite dar. Hierzu muss der Administrator angemeldet sein. Achtung! Die Nutzung dieses Templates wird nur im Intranet empfohlen, da bei Nutzung im Internet die Rechnungen öffentlich wären.

In meinem WordPress-Theme „Penguin-Mod“ erstellen Sie eine neue Seite oder einen Beitrag und wählen als Template „XRECHNUNG make“ oder XRECHNUNG visualize aus. Das Theme ist im OpenAudit Classic Download enthalten, wenn man die WordPress Instanz mit installiert.

Soweit in diesem Blog-Artikel auf rechtliche Erfordernisse hingewiesen oder eine rechtliche Einschätzung vorgenommen wird, kann dies eine ggf. notwendige rechtsanwaltliche Prüfung nicht ersetzen. Die bereitgestellten Informationen stellen keine Rechtsberatung dar und sollen keine rechtlichen Fragen oder Probleme behandeln, die im individuellen Fall auftreten können. Es kann insofern keine Gewähr für die Rechtskonformität dieser Informationen geboten werden.

Phishing, Quishing, Smishing oder Vishing

Kurz notiert: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen gut strukturierten Leitartikel verfasst, der die oben genannten Betrugstechniken erklärt und Tipps und Hinweise gibt, wie man diese Art von Angriffen effektiv verhindern kann. Zusätzlich werden die wichtigsten Kontaktadressen genannt für den Fall, das doch etwas passiert.

Wir haben für alle Interessierten zusätzlich einen kleinen User #Awareness Test als Multiple Choice Prüfung für Sie entworfen. Testen Sie Ihr Wissen kostenlos und unverbindlich.

[linkbutton link="https://www.bsi.bund.de/dok/passwortdiebstahl-durch-phishing" label="BSI-Kompendium Phishing"]

[linkbutton link="https://wp.pbcs.de/user-awareness/" label="User Awareness-Prüfung"]

IT-Sicherheit und Grundschutz Geschichte

Zum Sommer lassen wir uns von #KI Sydney (aka. Copilot) mal wieder eine Geschichte von Pat, dem Bären aus der IT-Sicherheit erzählen:

Es war einmal ein kluger Bär namens Pat, der in einem großen Wald lebte. Pat war nicht nur stark und mutig, sondern auch äußerst technikaffin. Eines Tages wurde er von den Tieren des Waldes beauftragt, die #Sicherheit der Wald-IT-Systeme zu überprüfen - insbesondere, weil die Waldbehörde NIS2 mit Bußgeldern drohte.

Pat wusste, dass er einen BSI Grundschutz-Check durchführen musste, um sicherzustellen, dass alle Systeme sicher und geschützt waren. Er begann damit, eine umfassende Risiko-Analyse durchzuführen. Mit seinem treuen Laptop und einer Tasse Honigtee setzte er sich an seinen Schreibtisch und begann, mögliche Bedrohungen und Schwachstellen zu identifizieren.

Er stellte fest, dass es einige potenzielle Risiken gab, wie z.B. Hackerangriffe von den listigen Füchsen oder Datenverlust durch die neugierigen Eichhörnchen. Pat bewertete die Risiken sorgfältig und erstellte eine Prioritätenliste, um die dringendsten Probleme zuerst anzugehen.

Nachdem er die Risiko-Analyse abgeschlossen hatte, machte sich Pat daran, einen Notfallplan zu entwickeln. Er sorgte dafür, dass alle Tiere im Wald wussten, was im Falle eines IT-Notfalls zu tun war. Er organisierte Schulungen und Übungen, damit jeder wusste, wie man auf Bedrohungen reagiert und die Systeme wiederherstellt.

Pat empfahl den IT-Bären, auch regelmäßige Backups zu machen und ein sicheres Netzwerk einzurichten, um die Daten des Waldes zu schützen. Er arbeitete eng mit den anderen Tieren zusammen, um sicherzustellen, dass alle Sicherheitsmaßnahmen eingehalten wurden.

Dank harter Arbeit der Waldtiere und Pats sorgfältiger Planung war der Wald bald eines der sichersten IT-Umgebungen weit und breit. Die Tiere fühlten sich sicher und geschützt.

Und so lebten Pat und die Tiere des Waldes glücklich und sicher, wissend, dass ihre IT-Systeme in den besten Pfoten waren.

JDownloader 2.0.1.24

Freiburg im Breisgau, St. Georgen, Ettlingen 2024 Jul

Transportmittel:	golf8-gtd2022
Teilnehmer:	P
Jahr:	2024 (Montag, 22. Juli 2024)
Dauer:	2   2 Tage (Übernachtungen)
Land:	Deutschland (DE)   [ipflag iso=DE]
Landinfo:	Euro (EUR)  83.797.985  Berlin  4.890.363  +49  Germany (Europe)
Ziele:	Freiburg im Breisgau   St. Georgen   Ettlingen
Hotel, Infos:	(H1: Zum Schiff **** Freiburg-St. Georgen, H2: Radisson blu **** Ettlingen, R: Restaurant iim Hotel, A: Firmenfahrzeug BRX)
Fz-Details:	[carlogo brand="vw"]  VW Golf 8 GTD Kombi schwarz (Münster - Nordrhein-Westfalen) 3 Tage
Beschreibung:	H1: (1 Ü) Modernes Doppelzimmer zur Einzelnutzung 132 zur Straße, schlecht abdunkelbar, Schallschutzfenster, 104€, Doppelbett, 55 Zoll Fernseher, schnelles WLAN, Frühstücksbuffet, Sauna kostenlos ab 1600 Uhr // H2: (1Ü) Doppelzimmer 101, 2x 1m-Bett, gut abdunkelbar, Kaffee/Tee/Kakao, 1 Fl. Mineralwasser, Parkplatz 17 €
Post-ID:	1378
Bewertung:	8   8 von 10

VW Golf 8 GTD Kombi schwarz, 4-Zyl Commo

Beschreibung:	VW Golf 8 GTD Kombi schwarz, 4-Zyl Common-Rail-Dieselmotor, Start-Stop Automatik, 200 PS, 8G-DSG-Automatik, Matrix LED-Lichtsystem dynamisch, Klimaautomatik, adaptiver Tempomat mit Schildererkennung, Sitzheizung, Parkpilot, Spur-, Totwinkel, Schilderassistent, Abstandstempomat (0-210 m/h) , TouchNavi: Discover Media Gen 3 & BT, Android Auto, apple Carplay, Lederlenkrad, BT-Freisprecheinrichtung (Leistung in kW: 147)
Marke:	[carlogo brand="vw"]
Wegstrecke:	1200 km
Dauer:	3   3 Tag(e)
Jahr:	2024
Kraftstoff:	Diesel
Zulassung:	(MS)  Münster, Stadt (Nordrhein-Westfalen | Ableitung: MünSter)
Bewertung:	8   8 von 10
Listen-ID:	1699
Bemerkungen:	Firmenwagen BRX

Crowdstrike vs. CounterStrike

Crowdstrike Falcon gehört zwar nicht zu den von uns eingesetzten Produkten, uns ist es im Kundenkreis auch noch nicht begegnet. Dennoch lässt das pure Ausmaß aufhorchen.

Am 19. Juli 2024 sorgte eine flächendeckendes, fehlerhaftes Update für das Security Product "Falcon" der texanischen Firma Crowdstrike für Totalausfälle bei vielen Unternehmen der KRITIS Infrastruktur. Betroffen waren viele Fluggesellschaften, Behörden und kommunale Einrichtungen. Die Nachwirkungen dauern an. Der kritische Effekt dabei: Nach dem Update/Neustart von Windows Rechnern und Servern fuhren die Systeme in einen Blue Screen.

Um das Update wieder loszuwerden, waren/sind vielfach manuelle Eingriffe notwendig, da es nicht über das Windows Update-System von Microsoft verteilt wurden (das ermöglicht einen "Rollback"), sondern über einen eigenen Updater von Crowdstrike installiert wurden.

Fakt: Jeder betroffene PC und Server musste/muss von Hand angefasst, die schadhafte Datei ersetzt und neu gestartet werden.

Warum vs. CounterStrike? Hört sich fast genauso an. Auch ich nahm im ersten Augenblick an, dass es sich um das Spiel dreht. CS ist ein "Ego-Shooter"-Computerspiel, in dem es darum geht, im Team Terroristen zu vernichten. Crowdstrike hat es geschafft, IT-Systeme von über 20.000 Kunden weltweit lahmzulegen - nur das hier unschuldige Unternehmen und keine Terroristen das Ziel waren.

Kommentar der Redaktion:
Ernsthaft – Microsoft passiert es auch mal, das man einen Patch an die Tester im Insider-Programm ausliefert, die 2 Wochen nichts merken und es am Patchday knallt. Allerdings war beim Print Nightmare (dem letzten großen Fail in der Größenordnung) nicht auf allen Geräten ein Bluescreen und Admins konnten den Patch zurückrollen.

Hier haut man einen Patch raus, der flächendeckend einen Bluescreen erzeugt – nicht nur auf spezifischer Hardware. Die Aktionäre haben die texanische Firma schon bestraft, aber für sowas muss doch Schadenersatz gezahlt werden – und (nur) wenn einer der Schergen dahintersteckt auch hohe Bußgelder verhängt werden.

Ohne auf Verschwörungstheorien zu setzen – Kaspersky wird in den USA verboten, weil der CEO auf der russischen Geheimdienstschule war. Der 2. CEO von Crowdstrike kommt vom FBI, der erste CEO und Gründer war früher bei McAfee. Beides auch keine Vertrauens-Garanten, wenn man die Geschichte von John McAfee aus Belize kennt. Ein Verbot ist hier aber unwahrscheinlich. Da die Ursache für den Massen-Rollout des Crowdstrike Patches noch untersucht wird, ist es durchaus denkbar, dass Schurkenstaaten und deren Cyberkriminelle dahinter stecken.

Die Darstellung im Kasten stellt eine Einschätzung und die Meinung der Redaktion dar.

Wir verfolgen die Untersuchungen und sind gespannt auf die Ursache und welche Maßnahmen ergriffen werden, um so etwas zukünftig zu vermeiden

Microsoft Windows Server 2012 R2 6.1.3790

Microsoft Windows Server 2008 R2 5.1.2600

Microsoft Windows XP Professional 5.1.2600

Microsoft Windows 7 Professional 6.1.7601.24544

Norton 360 22.24.5.6