KSeF Token oder Zertifikat? Ein praktischer Autorisierungsleitfaden
Wir erklären die Unterschiede zwischen Token und Zertifikat, zeigen wie man sie generiert und wann welches zu verwenden ist.
Wozu braucht man Token oder Zertifikat?
Das polnische nationale E-Rechnungssystem (KSeF) erfordert die Authentifizierung jeder Einheit, die Rechnungen ausstellen oder abrufen möchte. Das Finanzministerium bietet zwei Autorisierungsmethoden an: einen Autorisierungstoken und ein KSeF-Zertifikat mit privatem Schlüssel.
Beide Methoden ermöglichen IT-Systemen die Kommunikation mit der KSeF-API, unterscheiden sich jedoch in ihrer Funktionsweise und Komplexität. Ein Token ist einfacher und wird am häufigsten von Buchhaltungssoftware und SaaS-Integrationen verwendet. Ein Zertifikat ist eine fortgeschrittenere Lösung, die hauptsächlich in großen Systemen oder Notfallszenarien eingesetzt wird.
Was ist ein Autorisierungstoken?
Ein Token ist eine einzigartige 40-stellige alphanumerische Zeichenkette, die Sie nach der Anmeldung bei KSeF über das Vertrauensprofil, eine qualifizierte Signatur oder den e-Ausweis generieren. Der Token funktioniert wie ein API-Schlüssel – die Anwendung übergibt ihn in Anfragen an KSeF, um ihre Identität zu bestätigen.
Jeder Token kann bestimmte Berechtigungen haben: nur Rechnungsausstellung, nur Lesezugriff oder Vollzugriff. Wichtiges Merkmal: Der Token wird nur einmal während der Generierung angezeigt. Wenn Sie ihn nicht speichern, müssen Sie den Token löschen und einen neuen generieren.
Deshalb sollten Sie ihn sofort an einem sicheren Ort speichern – einem Passwort-Manager, einem sicheren Vault oder einem verschlüsselten Integrationssystem. Behandeln Sie den Token wie Online-Banking-Zugangsdaten.
Token Schritt für Schritt generieren
Gehen Sie zu ksef.mf.gov.pl und klicken Sie auf 'Authentifizieren'. Geben Sie die NIP Ihres Unternehmens ein und melden Sie sich über das Vertrauensprofil oder eine qualifizierte Signatur an. Nach der Anmeldung wählen Sie 'Token generieren' im Menü.
Geben Sie im Formular einen Token-Namen ein und wählen Sie die Berechtigungen. Sie können separate Tokens für verschiedene Systeme erstellen. Nach dem Klick auf 'Token generieren' kopieren Sie die angezeigte Zeichenkette.
Das Finanzministerium empfiehlt, den Token wie Online-Banking-Zugangsdaten zu behandeln. Teilen Sie ihn mit niemandem.
Was ist ein KSeF-Zertifikat und privater Schlüssel?
Ein KSeF-Zertifikat ist ein kryptografisches Zertifikat, das ein Unternehmen oder System identifiziert, das mit KSeF kommuniziert. Zusammen mit dem Zertifikat wird ein privater Schlüssel generiert, der ausschließlich beim Benutzer oder Integrationssystem verbleibt. Der Mechanismus funktioniert ähnlich wie TLS-Zertifikate, elektronische Signaturen oder Zertifikate im Bankwesen.
Bei der API-Kommunikation signiert die Anwendung die Anfrage mit dem privaten Schlüssel, und KSeF verifiziert die Signatur anhand des Zertifikats. So kann das System die Identität ohne Token bestätigen.
Das Finanzministerium bietet zwei Zertifikatstypen an. Typ-1-Zertifikat dient zur Authentifizierung in der KSeF-API, interaktiven Sitzungen und Batch-Verarbeitung – es kann von ERP-Systemen oder anderen Integrationstools anstelle eines Tokens verwendet werden. Typ-2-Zertifikat dient ausschließlich zur Kennzeichnung von Rechnungen, die offline ausgestellt werden, wenn KSeF nicht verfügbar ist oder im Notfallmodus arbeitet.
Token vs. Zertifikat – wann welches verwenden?
Ein Token ist am besten, wenn Sie Buchhaltungssoftware verwenden, KSeF mit SaaS integrieren oder einfachen API-Zugang benötigen. Er ist leicht zu generieren, schnell zu implementieren und erfordert keine Kryptografie. Deshalb verwenden die meisten kleinen und mittleren Unternehmen nur Tokens.
Ein Zertifikat mit privatem Schlüssel ist besser, wenn Sie ein eigenes ERP-System haben, ein höheres Sicherheitsniveau benötigen, den Offline-Modus unterstützen möchten oder die Integration in einer Enterprise-Infrastruktur läuft. In diesem Fall speichert die Anwendung das Zertifikat und den privaten Schlüssel und verwendet sie zur Signierung der Kommunikation mit KSeF.
Die meisten Integrationstools verwenden Tokens, weil sie einfacher zu handhaben sind. Ein Zertifikat und privater Schlüssel sind hauptsächlich erforderlich, wenn das System volle Offline-Modus-Unterstützung implementiert, das Unternehmen eine eigene Signatur-Infrastruktur hat oder die Integration über längere Zeit ohne Benutzereingriff läuft.
Wie überträgt man Token oder Zertifikat sicher zu einem Tool?
Ein Token oder privater Schlüssel sind hochsensible Daten. Sie sollten nicht per E-Mail, Messenger oder Textdokumente übertragen werden. Die sichersten Methoden sind ein Passwort-Manager mit Freigabefunktion, ein sicherer Vault oder verschlüsselter Transfer innerhalb einer Anwendung.
In KSeF GPT (ksefgpt.pl) haben wir dieses Problem durch verschlüsselte Übertragung von Autorisierungsdaten gelöst. Tokens und Zertifikate werden verschlüsselt gespeichert und sind niemals im Klartext zugänglich.
Autorisierung in KSeF GPT – Token oder Zertifikat?
In KSeF GPT (ksefgpt.pl) können Sie beide vom Finanzministerium bereitgestellten Autorisierungsmethoden nutzen: einen Autorisierungstoken und ein KSeF-Zertifikat mit privatem Schlüssel.
Ein Token ist die einfachste Konfigurationsmethode. Generieren Sie ihn einfach in KSeF und fügen Sie ihn in die Integrationseinstellungen ein. So kann die Anwendung im Namen Ihres Unternehmens mit der KSeF-API kommunizieren und automatisch Rechnungen senden oder abrufen. Beachten Sie jedoch, dass ein Token jederzeit im KSeF-System ungültig gemacht oder gelöscht werden kann – in diesem Fall funktioniert die Integration nicht mehr und Sie müssen einen neuen Token generieren.
Eine Alternative ist die Autorisierung mit einem KSeF-Zertifikat und privatem Schlüssel. In diesem Modell signiert die Anwendung die Kommunikation kryptografisch, und KSeF verifiziert die Identität anhand des Zertifikats. Das Zertifikat hat eine definierte Gültigkeitsdauer – bis zu 2 Jahre – sodass die Integration länger stabil ohne Neukonfiguration arbeiten kann.
In der Praxis: Ein Token bedeutet schnelle Konfiguration und einfachste Integration, während ein Zertifikat mit privatem Schlüssel eine dauerhaftere und stabilere Lösung für langfristige Integrationen ist. KSeF GPT unterstützt beide Mechanismen, sodass Sie die Methode wählen können, die am besten zur Arbeitsweise Ihres Unternehmens passt.
Weitere Artikel
KI optimiert elektronische Rechnungen in KSeF: Leitfaden 2026
Wie erkennt künstliche Intelligenz Fehler, Betrug und Anomalien in KSeF-Rechnungen? Ein praktischer Automatisierungsleitfaden für Unternehmer und Buchhalter in Polen.
KSeFGPT: Import, Export, Analysen und KI für KSeF - alles in einer Anwendung
Wie sich KSeFGPT direkt mit der KSeF-API verbindet, was das KI-Chat-Modul, das Geschäftspartnermodul und das Rechnungsmodul bieten - und warum die Anwendung auf Polnisch, Englisch, Deutsch und Ukrainisch verfügbar ist.