Technische Sicherheitseinrichtung

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Technische Sicherheitseinrichtung im Drucker
Ausdruck der technischen Sicherheitseinrichtung auf einer Tankquittung, November 2020

Als Technische Sicherheitseinrichtung (TSE) wird ein Sicherheitsmodul in elektronischen Registrierkassen bezeichnet, das der lückenlosen und unveränderbaren Aufzeichnung aller Kassenvorgänge dient. Der Begriff stammt aus der deutschen Kassensicherungsverordnung (KassenSichV), welche ab 1. Januar 2020 die vollständige, unveränderte und manipulationssichere Speicherung von Geschäftsvorfällen und einiger weiterer Vorgänge verlangt.[1]

Zusammen mit der ebenfalls in der KassenSichV vorgesehenen generellen Belegausgabepflicht soll Steuerhinterziehung in Deutschland eingedämmt werden.

Technische Sicherheitseinrichtungen müssen von einer Prüfstelle zertifiziert werden, die vom Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) dafür akkreditiert wurde.

Pflichten und Fristen[Bearbeiten | Quelltext bearbeiten]

Grundsätzlich setzt die KassenSichV voraus, dass Betreiber elektronischer Registrierkassen ab 1. Januar 2020 eine zertifizierte technische Sicherheitseinrichtung (TSE) integriert haben und fortan verwenden. Da bis Anfang November 2019 noch keine zertifizierte TSE auf dem Markt verfügbar war, erließ das Bundesfinanzministerium am 6. November 2019 eine Nichtbeanstandungsregelung.[2] Kassenbetreiber hatten danach grundsätzlich eine verlängerte Frist bis zum 30. September 2020 und wurden in diesem Zeitraum nicht beanstandet, wenn sie die Bedingungen der KassenSichV nicht eingehalten haben und damit de facto nicht GoBD-konform wären. Nahezu alle Bundesländer haben im Juli 2020 weiterführende Nichtbeanstandungsregelungen bis zum 31. März 2021 erlassen.[3]

Kassenbetreiber stehen in der Verpflichtung, sich eigenständig so bald wie möglich um die Umrüstung ihrer Kassen zu kümmern. Die erwarteten Anschaffungskosten für eine zertifizierte technische Sicherheitseinrichtung von ca. 250 € tragen sie selbst.

Für Registrierkassen, die aufgrund ihrer Bauart nachweisbar nicht umrüstbar sind und zwischen 25. November 2010 und Ende 2019 gekauft wurden, gilt eine Übergangsfrist bis zum 31. Dezember 2022.

Betrugsprävention[Bearbeiten | Quelltext bearbeiten]

Mit Einbau der TSE geht auch die Meldepflicht der Kassen einher. Jede Registrierkasse muss ab Verwendung der TSE innerhalb von vier Wochen dem zuständigen Finanzamt gemeldet werden. Die Meldepflicht ist jedoch mit der Nichtbeanstandungsregelung vom 6. November 2019 solange ausgesetzt, bis eine digitale Übermittlungsmöglichkeit besteht.[4]

Da eine Technische Sicherheitseinrichtung nur sichern kann, was auch in die Kassen eingegeben wurde, ist für die Eindämmung von Steuerbetrug darüber hinaus eine Belegausgabepflicht notwendig. In der Vergangenheit gab es eine ganze Reihe von Betrugsszenarien, die nun entweder von der TSE, der "Bonpflicht" oder beidem zusammen verhindert werden sollen. Das Finanzamt kann künftig durch die Belegausgabepflicht binnen Minuten im Rahmen einer Kassen-Nachschau überprüfen, ob ein Betrieb KassenSichV-konform arbeitet. Gesetzlich ist der Vorgang der Überprüfung durch § 146b AO[5] abgesichert.

Zertifizierung[Bearbeiten | Quelltext bearbeiten]

Die Herstellung einer TSE ist technologisch nicht beschränkt. Jeder kann eine solche bei den ernannten Prüfstellen einreichen und zertifizieren lassen. In der Umsetzung herrscht laut Bundesamt für Sicherheit in der Informationstechnik Technologieoffenheit. Neben Hardware-Lösungen, bei denen die Speicherung auf einem physischen Medium vor Ort erfolgt (z. B. auf SD-Karten oder USB-Sticks), sind auch Cloud-Lösungen vorgesehen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bisher sieben Prüfstellen autorisiert, welche die eingereichten technischen Sicherheitseinrichtungen prüfen und zertifizieren sollen, falls sie den Anforderungen der KassenSichV entsprechen:

  • TÜV Informationstechnik GmbH
  • SRC Security Research & Consulting GmbH
  • Fraunhofer IOF
  • CTC advanced GmbH
  • Datenschutz cert GmbH
  • IABG Industrieanlagen-Betriebsgesellschaft mbH
  • MTG AG
  • secunet Security Networks AG

Im Dezember 2019 befanden sich mehrere TSE als USB-Stick und SD-Karten Format sowie TSE-Cloud-Lösungen im Zertifizierungsprozess. Am 20. Dezember 2019 erhielten EPSON und Swissbit[6] die ersten Zertifikate für zertifizierte TSE[7]. Als erste funktionierende TSEs ging die USB- und SD-Lösungen des Unternehmens Swissbit hervor, welche im DFKA Feldtest durch die Projektleitung von Gastro-MIS (Mitglied der Arbeitsgruppe Taxonomie) bereits erfolgreich getestet worden waren.[8] Die Zertifikate dieser TSEs laufen üblicherweise für 5 Jahre plus 6 Monate Toleranz für Logistik und die Einbindung in die Kasse. Eine Ausnahme machen die TSEs von Diebold Nixdorf, die 7 Jahre Zertifikatslaufzeit bieten. Nach Ablauf der Nutzungsdauer muss der USB-Stick oder die SD-Karte ersetzt werden. EPSON[9] (in BON-Drucker integrierbar) und Diebold Nixdorf[10] (7 Jahres-TSE) bieten ebenso TSE-Module an. Ein weiterer Anbieter eines solchen TSE-Moduls ist D-TRUST, ein Unternehmen der Bundesdruckerei GmbH, und ihr Technologie-Partner cryptovision, die eine zertifizierte TSE in Form einer adaptierbaren microSD-Karte anbieten.[11] Ende September 2020 wurde außerdem eine Cloud-TSE der D-TRUST zertifiziert[12][13][14]. Alle bisher zertifizierten TSE lassen sich per Netzwerk oder lokal anbinden.

Generell wird zwischen Hardware-TSE (HW-TSE) und sogenannten Cloud-TSE unterscheiden. HW-TSE kombinieren dabei die Funktionsgruppen CSP (Crypto-Service-provider) und SMAERS (Security Module Application for Electronic Record Keeping Systems) in einem Hardware-Modul. Cloud-TSE trennen typischerweise CSP und SMAERS örtlich, wobei die SMAERS Komponente als Software-Bibliothek in der Kassen-Software integriert oder integrierbar ist und der CSP in einem Rechenzentrum betrieben wird. Durch die räumliche Trennung des Sicherheitsmoduls vom Speichermodul wird bei der Cloud-TSE ein Trusted Platform Module notwendig, welches im Kassencomputer verbaut sein muss, damit eine sichere Umgebung gewährleistet ist, in der die Prozesse unangreifbar ablaufen können. Damit diese sichere Umgebung auch nicht durch den Kassenbetreiber selbst gefährdet werden kann, ist es für den Betrieb von Cloud-TSEs zwingend erforderlich, dass auf dem Kassencomputer keine Administrationsrechte beim Kassenbetreiber liegen. Diese erlaubten Anwendungsbedingungen sind jeweils im Zertifikat der TSE hinterlegt und beim TSE-Herausgeber anzufragen.

Als Zwitter zwischen Cloud- und lokaler TSE gilt eine LAN-TSE, wo sich eine oder mehrere HW-TSE an zentraler Stelle im Laden befinden und diese über das lokale Netzwerk von den Kassen ohne Hardwareeingriff ansprechen lassen. Somit kommt der SMAERS Komponente besondere Bedeutung zu. Das aktuelle SMAERS Schutzprofil liegt in V 1.0 vor.[15] Die zertifizierten HW-TSE verwenden das vorige zertifizierte SMAERS Schutzprofil V 0.7.5, was keinen Mangel darstellt, sondern in der früheren Zertifizierung begründet ist.

Die Hardware-TSEs der meisten Hersteller sind entweder für 5 oder 7 Jahre zertifiziert.[16]

Technische Funktionsweise[Bearbeiten | Quelltext bearbeiten]

TSE-Daten eines Kassenbons aus 2020: Signatur, TransaktionsNr, Start[zeit], Ende[zeit], Seriennummer, ClientID, Signaturzähler, Zeitformat, Algorithmus, PublicKey

Jeder Kassenvorgang wird künftig auf der TSE gespeichert und von dieser elektronisch signiert. Hierbei wird ein Verkettungsprinzip angewendet. Jede Transaktion bekommt eine elektronische Signatur, einen Signaturzähler sowie einen Zeitstempel. Somit lässt sich jede Signatur nur exakt einmal fertigen. So wird sichergestellt, dass es unmöglich ist, im Nachhinein Änderungen an der Kette der Transaktionen vorzunehmen, ohne dass dies nachweisbar wäre. Die technische Sicherheitseinrichtung kann folglich vom Finanzamt mit einer Prüfsoftware auf Manipulation, Lücken und Veränderungen überprüft werden. Von allen Transaktionen wird ein Journal gespeichert, welches jederzeit für das Finanzamt exportierbar sein muss. Die Datei mit den exportierten Daten hat das TAR-Format.

Prüfung[Bearbeiten | Quelltext bearbeiten]

Die Korrektheit der TSE-Anbindung wird von Finanzprüfern im Rahmen einer Kassennachschau (Kurzform) oder Betriebsprüfung (Langform) überprüft.[17] Dafür wird der Betrieb zunächst inkognito aufgesucht, eine Bestellung getätigt und der Bon unnachgefragt in Empfang genommen. Die sich auf dem Bon in Klartext befindlichen Daten werden dann unter anderem mithilfe der TSE-Signatur mit den von der TSE gesicherten Daten verglichen. Dafür benötigt der Prüfer eine Software, die die TSE-Daten rekonstruieren und das Zertifikat validieren kann.[18] Sind die Daten stimmig, ist die Prüfung beendet. Sind sie es nicht, beginnt die Betriebsprüfung.[19] Für die Betriebsprüfung werden zusätzliche Daten standardisiert per DSFinV-K Schnittstelle aus der Kasse exportiert, welche mit den TSE-Daten übereinstimmen sollten.[20]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. KassenSichV. (PDF) Bundesfinanzministerium, 26. September 2017, abgerufen am 6. Oktober 2017.
  2. Nichtbeanstandungsregelung. (PDF) Bundesfinanzministerium, 6. November 2019, abgerufen am 6. November 2019.
  3. ZDH - Keine bundeseinheitliche Verlängerung der Nichtbeanstandungsregelung für die Aufrüstung von Kassen. 30. Juli 2020, abgerufen am 3. Dezember 2020.
  4. Bayerisches Landesamt für Steuern: Meldepflicht für elektronische Kassensysteme. Abgerufen am 24. Juli 2020.
  5. Abgabenordnung - § 146b Kassen-Nachschau. Abgerufen am 24. Juli 2020.
  6. Swissbit TSE für den Fiskalmarkt – einfach steckbar. - Swissbit. Abgerufen am 24. Juli 2020.
  7. BSI - Presseinformationen des BSI - BSI zertifiziert technische Sicherheitseinrichtungen für Kassensysteme. Abgerufen am 24. Juli 2020.
  8. gemeinsame Presseinformation von Swissbit und Gastro-MIS. Abgerufen am 26. Februar 2020.
  9. EPSON: EPSON Fiskal Lösungen. In: EPSON Website. EPSON, 24. Juli 2020, abgerufen am 24. Juli 2020.
  10. Diebold Nixdorf -. Abgerufen am 24. Juli 2020.
  11. Bundesdruckerei Technische Sicherungseinrichtung (TSE) für Kassensysteme. Abgerufen am 7. April 2021.
  12. Erfolgreicher Rollout und rechtssicherer Betrieb der Cloud-TSE von Deutsche Fiskal und D-TRUST. Abgerufen am 7. April 2021.
  13. heise online: Erste Cloudanwendung zur Umsetzung der Kassensicherungsverordnung zertifiziert. Abgerufen am 18. Januar 2021.
  14. BSI - Technische Sicherheitseinrichtungen für elektronische Aufzeichnungssysteme - BSI-K-TR-0369-2020. Abgerufen am 18. Januar 2021.
  15. SMAERS Schutzprofil V1.0. Abgerufen am 5. August 2020.
  16. Technische Sicherheitseinrichtungen. Abgerufen am 19. März 2021.
  17. Kassen-Nachschau – Amadeus360. Abgerufen am 7. März 2021 (deutsch).
  18. AmadeusVerify – Amadeus360. Abgerufen am 7. März 2021 (deutsch).
  19. Kassennachschau: so läuft Prüfung bei TSE-Kassen. In: Gastgewerbe-Magazin. 7. Oktober 2020, abgerufen am 7. März 2021 (deutsch).
  20. DSFinV-K – Amadeus360. Abgerufen am 7. März 2021 (deutsch).