Technische Sicherheitseinrichtung

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Als Technische Sicherheitseinrichtung (TSE) wird ein Sicherheitsmodul in elektronischen Registrierkassen bezeichnet, das der lückenlosen und unveränderbaren Aufzeichnung aller Kassenvorgänge dient. Der Begriff stammt aus der deutschen Kassensicherungsverordnung (KassenSichV), welche ab 1. Januar 2020 die vollständige, unveränderte und manipulationssichere Speicherung von Geschäftsvorfällen und einiger weiterer Vorgänge verlangt.[1]

Zusammen mit der ebenfalls in der KassenSichV vorgesehenen, generellen Belegausgabepflicht soll Steuerhinterziehung in Deutschland eingedämmt werden.

Technische Sicherheitseinrichtungen müssen von einer Prüfstelle zertifiziert werden, die vom Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) dafür akkreditiert wurde.

Pflichten und Fristen[Bearbeiten | Quelltext bearbeiten]

Grundsätzlich setzt die KassenSichV voraus, dass Betreiber elektronischer Registrierkassen ab 1. Januar 2020 eine zertifizierte technische Sicherheitseinrichtung (TSE) integriert haben und fortan verwenden. Da bis dato jedoch keine zertifizierte TSE auf dem Markt verfügbar war, erließ das Bundesfinanzministerium Anfang November 2019 eine Nichtbeanstandungsregelung.[2] Kassenbetreiber haben danach eine verlängerte Frist bis zum 30. September 2020 und werden in diesem Zeitraum nicht beanstandet, wenn sie die Bedingungen der KassenSichV nicht einhalten und damit de facto nicht GoBD-konform wären.

Kassenbetreiber stehen in der Verpflichtung, sich eigenständig so bald wie möglich um die Umrüstung ihrer Kassen zu kümmern. Die erwarteten Anschaffungskosten für eine zertifizierte technische Sicherheitseinrichtung von ca. 250 € tragen sie selbst.

Für Registrierkassen, die aufgrund ihrer Bauart nachweisbar nicht umrüstbar sind, und zwischen 25. November 2010 und Ende 2019 gekauft wurden, gilt eine Übergangsfrist bis zum 31. Dezember 2022.Vorlage:Zukunft/In 2 Jahren

Betrugsprävention[Bearbeiten | Quelltext bearbeiten]

Mit Einbau der TSE geht auch die Meldepflicht der Kassen einher. Jede Registrierkasse muss ab Verwendung der TSE innerhalb von vier Wochen dem zuständigen Finanzamt gemeldet werden. Durch die Verzögerung der Erscheinung einbaufähiger zertifizierter technischer Sicherheitseinrichtungen, wurde in der Nichtbeanstandungsregelung ebenfalls festgehalten, dass die Meldung der Kassen beim Finanzamt erst unmittelbar nach dem erfolgreichen Einbau der TSE erfolgen muss. Die Meldepflicht ist jedoch mit dem 06.11.2019 vorerst solange ausgesetzt bis eine digitale Übermittlungsmöglichkeit besteht [3].

Da eine Technische Sicherheitseinrichtung nur sichern kann, was auch in die Kassen eingegeben wurde, war darüber hinaus die erwähnte Belegausgabepflicht notwendig um den Steuerbetrug einzudämmen. In der Vergangenheit gab es eine ganze Reihe von Betrugsszenarios, die nun entweder von der TSE, der "Bonpflicht" oder beidem zusammen verhindert werden sollen. Das Finanzamt kann künftig Dank der Belegausgabepflicht binnen Minuten im Rahmen einer verdeckten Kassennachschau überprüfen, ob ein Betrieb KassenSichV konform arbeitet. Bei Nichteinhaltung drohen Bußgelder. Gesetzlich ist der Vorgang der Überprüfung durch §146b AO [4] abgesichert.

Zertifizierung[Bearbeiten | Quelltext bearbeiten]

Die Herstellung einer TSE ist technologisch nicht beschränkt. Jeder kann eine solche bei den ernannten Prüfstellen einreichen und zertifizieren lassen. In der Umsetzung herrscht laut Bundesamt für Sicherheit in der Informationstechnik Technologieoffenheit. Neben Hardware-Lösungen, bei denen die Speicherung auf einem physischen Medium vor Ort erfolgt (z. B. auf SD-Karten oder USB-Sticks), sind auch Cloud-Lösungen vorgesehen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bisher sieben Prüfstellen autorisiert, welche die eingereichten technischen Sicherheitseinrichtungen prüfen und zertifizieren sollen, falls sie den Anforderungen der KassenSichV entsprechen:

  • TÜV Informationstechnik GmbH
  • SRC Security Research & Consulting GmbH
  • Fraunhofer IOF
  • CTC advanced GmbH
  • Datenschutz cert GmbH
  • IABG Industrieanlagen-Betriebsgesellschaft mbH
  • MTG AG
  • secunet Security Networks AG

Im Dezember 2019 befanden sich mehrere TSE als USB-Stick und SD-Karten Format sowie TSE-Cloud-Lösungen im Zertifizierungsprozess. Am 20.12.2019 erhielten EPSON und Swissbit [5]die ersten Zertifikate für zertifizierte TSE [6]. Als erste funktionierende TSEs ging die USB- und SD-Lösungen des Unternehmens Swissbit hervor, welche im DFKA Feldtest durch die Projektleitung von Gastro-MIS (Mitglied der Arbeitsgruppe Taxonomie) bereits erfolgreich getestet worden waren.[7] Die Zertifikate dieser TSEs laufen üblicherweise für 5 Jahre plus 6 Monate Toleranz für Logistik und die Einbindung in die Kasse. Eine Ausnahme machen die TSEs von Diebold Nixdorf, die 7 Jahre Zertifikatslaufzeit bieten. Nach Ablauf der Nutzungsdauer muss der USB-Stick oder die SD-Karte ersetzt werden. EPSON [8] (in BON-Drucker integrierbar) und Diebold Nixdorf [9] (7 Jahres-TSE) bieten ebenso TSE Module an. Ein weiterer Anbieter eines solchen TSE-Moduls ist D-TRUST, ein Unternehmen der Bundesdruckerei GmbH, und ihr Technologie-Partner cryptovision, die eine zertifizierte TSE in Form einer adaptierbaren microSD-Karte anbieten.[10] Alle bisher zertifizierten TSE lassen sich per Netzwerk oder lokal anbinden.

Generell wird zwischen Hardware TSE und sogenannten Cloud-TSE unterscheiden. Hardware TSE kombinieren dabei die Funktionsgruppen CSP (Crypto-Service-provider) und SMAERS (Security Module Application for Electronic Record Keeping Systems) in einem Hardware Modul (HW TSE). Cloud-TSE trennen typischerweise CSP und SMAERS örtlich, wobei die SMAERS Komponente als SW Bibliothek in der Kassen SW integriert oder integrierbar ist und der CSP in einem Rechenzentrum betrieben wird. Die Einfachheit im Rollout der Cloud-TSE efordert jedoch andererseits eine Sicherheitsbetrachtung der Kassen-SW, was bei HW TSE nicht erforderlich ist. Als Zwitter zwischen Cloud und lokaler TSE gilt eine LAN-TSE, wo sich eine oder mehrere HW-TSE an zentraler Stelle im Laden befinden und diese über das lokale Netzwerk von den Kassen ohne Hardwareeingriff ansprechen lassen. Somit kommt wohl der SMAERS Komponente besondere Bedeutung zu. Während Hardware TSE ab Dezember 2019 zertifiziert vorliegen, befinden sich Cloud TSE noch in Zertifizierung. Um Cloud-TSE praktikabel zertifizierbar zu machen befindet sich das Schutzprofil SMAERS Schutzprofil in V 0.9.3 noch in Bearbeitung. Das vorige SMAERS Schutzprofil V 0.9.1 ist aktuell noch in Zertifizierung [11][12]. Die zertifizierten HW-TSE verwenden das SMAERS Schutzprofil V 0.7.5, welches als einziges in zertifiziertem Zustand vorliegt.

Technische Funktionsweise[Bearbeiten | Quelltext bearbeiten]

Jeder Kassenvorgang wird künftig auf der TSE gespeichert und von dieser elektronisch signiert. Hierbei wird ein Verkettungsprinzip angewendet. Jede Transaktion bekommt eine elektronische Signatur, einen Signaturzähler sowie einen Zeitstempel. Somit lässt sich jede Signatur nur exakt einmal fertigen. So wird sichergestellt, dass es unmöglich ist, im Nachhinein Änderungen an der Kette der Transaktionen vorzunehmen, ohne dass dies nachweisbar wäre. Die technische Sicherheitseinrichtung kann folglich vom Finanzamt mit einer Prüfsoftware auf Manipulation, Lücken und Veränderungen überprüft werden. Von allen Transaktionen wird ein Journal gespeichert, welches jederzeit für das Finanzamt exportierbar sein muss. Die Datei mit den exportierten Daten hat das TAR-Format.

Die Bonpflicht erzwingt die Erstellung des Bons, welcher alle prüfbaren Daten für die verdeckte Kassennachschau enthalten muss. Der Bon muss jedoch nicht zwingend in Papierform sondern kann auch elektronisch erstellt werden.

Die Technologieoffenheit der BSI Spezifikation wird an folgenden Varianten deutlich: Bei lokalen HW-TSE wird ein Modul (USB/SD/microSD) direkt in die Kasse gesteckt. Bei Druckerlösungen für die technische Sicherheitseinrichtung wird diese fest in den Bondrucker integriert. Bei LAN-Netzwerklösungen teilen sich mehrere Kassen innerhalb eines Verbunds eine oder mehrere TSE über das lokale Netzwerk. Bei Cloud-Lösungen spricht eine lokale SMAERS SW einen Cloud-CSP in einem Rechenzentrum an.

Weblinks[Bearbeiten | Quelltext bearbeiten]

  • Liste der zertifizierten TSE-Lösungen auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik: bsi.de
  • Liste der in Zertifizierung befindlichen Produkte auf der Website des Bundesamts für Sicherheit in der Informationstechnik: bsi.de

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. KassenSichV. (PDF) Bundesfinanzministerium, 26. September 2017, abgerufen am 6. Oktober 2017.
  2. Nichtbeanstandungsregelung. (PDF) Bundesfinanzministerium, 6. November 2019, abgerufen am 6. November 2019.
  3. Bayerisches Landesamt für Steuern: Meldepflicht für elektronische Kassensysteme. Abgerufen am 24. Juli 2020.
  4. Abgabenordnung - § 146b Kassen-Nachschau. Abgerufen am 24. Juli 2020.
  5. Swissbit TSE für den Fiskalmarkt – einfach steckbar. - Swissbit. Abgerufen am 24. Juli 2020.
  6. BSI - Presseinformationen des BSI - BSI zertifiziert technische Sicherheitseinrichtungen für Kassensysteme. Abgerufen am 24. Juli 2020.
  7. gemeinsame Presseinformation von Swissbit und Gastro-MIS. Abgerufen am 26. Februar 2020.
  8. EPSON: EPSON Fiskal Lösungen. In: EPSON Website. EPSON, 24. Juli 2020, abgerufen am 24. Juli 2020.
  9. Diebold Nixdorf -. Abgerufen am 24. Juli 2020.
  10. Schutz für digitale Kassendaten. Abgerufen am 7. Juli 2020.
  11. BSI - Durch das BSI registrierte Schutzprofile. Abgerufen am 24. Juli 2020.
  12. BSI - In Zertifizierung befindliche Schutzprofile. Abgerufen am 24. Juli 2020.