Technische Sicherheitseinrichtung

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Technische Sicherheitseinrichtung im Drucker
Ausdruck der technischen Sicherheitseinrichtung auf einer Tankquittung, November 2020

Als Technische Sicherheitseinrichtung (TSE) wird ein Sicherheitsmodul in elektronischen Registrierkassen bezeichnet, das der lückenlosen und unveränderbaren Aufzeichnung aller Kassenvorgänge dient. Der Begriff stammt aus der deutschen Kassensicherungsverordnung (KassenSichV), welche die vollständige, unveränderte und manipulationssichere Speicherung von Geschäftsvorfällen und einiger weiterer Vorgänge verlangt.[1]

Zusammen mit der durch § 146a Abs. 2 Abgabenordnung (AO) vorgegebenen generellen Belegausgabepflicht soll die Steuerhinterziehung in Deutschland bei Bargeschäften eingedämmt werden.

Technische Sicherheitseinrichtungen müssen von einer Prüfstelle zertifiziert werden, die vom Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) dafür akkreditiert wurde.

Pflichten und Fristen[Bearbeiten | Quelltext bearbeiten]

Grundsätzlich setzt die KassenSichV voraus, dass Betreiber elektronischer Registrierkassen ab 1. Januar 2020 eine zertifizierte technische Sicherheitseinrichtung (TSE) integriert haben und fortan verwenden. Da bis Anfang November 2019 noch keine zertifizierte TSE auf dem Markt verfügbar war, erließ das Bundesfinanzministerium am 6. November 2019 eine Nichtbeanstandungsregelung.[2] Kassenbetreiber hatten danach grundsätzlich eine verlängerte Frist bis zum 30. September 2020 und wurden in diesem Zeitraum nicht beanstandet, wenn sie die Bedingungen der KassenSichV nicht eingehalten haben und damit de facto nicht GoBD-konform wären. Nahezu alle Bundesländer haben im Juli 2020 weiterführende Nichtbeanstandungsregelungen bis zum 31. März 2021 erlassen.[3]

Kassenbetreiber stehen in der Verpflichtung, sich eigenständig so bald wie möglich um die Umrüstung ihrer Kassen zu kümmern. Die erwarteten Anschaffungskosten für eine zertifizierte technische Sicherheitseinrichtung von ca. 250 € tragen sie selbst, diese 250 € beziehen sich lediglich auf die TSE selbst, andere Kosten wie zum Beispiel Software Updates machen die tatsächliche Umrüstung um einiges teurer.

Für Registrierkassen, die aufgrund ihrer Bauart nachweisbar nicht umrüstbar sind und nach dem 25. November 2010 und vor dem 1. Januar 2020 angeschafft wurden, gilt eine Übergangsfrist bis zum 31. Dezember 2022.

Betrugsprävention[Bearbeiten | Quelltext bearbeiten]

Mit Einbau der TSE geht auch die Meldepflicht der Kassen einher. Jede Registrierkasse muss ab Verwendung der TSE innerhalb von vier Wochen dem zuständigen Finanzamt gemeldet werden. Die Meldepflicht ist jedoch mit der Nichtbeanstandungsregelung vom 6. November 2019 solange ausgesetzt, bis eine digitale Übermittlungsmöglichkeit besteht.[4]

Da eine Technische Sicherheitseinrichtung nur sichern kann, was auch in die Kassen eingegeben wurde, ist für die Eindämmung von Steuerbetrug darüber hinaus eine Belegausgabepflicht notwendig. In der Vergangenheit gab es eine ganze Reihe von Betrugsszenarien, die nun entweder von der TSE, der „Bonpflicht“ oder beidem zusammen verhindert werden sollen. Dazu kann das Finanzamt – und nur dieses – die auf einem Kassenbon ausgedruckte Signatur bzw. deren QR-Code-Darstellung prüfen, ob sie von einer angemeldeten TSE passend zu den auf dem Kassenbon dokumentierten Umsatzdaten generiert wurde. Rechtlich wurde dieser Prüfvorgang als Teil der sogenannten Kassennachschau in § 146b AO[5] abgesichert.

Zertifizierung[Bearbeiten | Quelltext bearbeiten]

Die Herstellung einer TSE ist technologisch nicht beschränkt. Jeder kann eine solche bei den ernannten Prüfstellen einreichen und zertifizieren lassen. In der Umsetzung herrscht laut Bundesamt für Sicherheit in der Informationstechnik Technologieoffenheit. Neben Hardware-Lösungen, bei denen die Speicherung auf einem physischen Medium vor Ort erfolgt (z. B. auf SD-Karten oder USB-Sticks), sind auch Cloud-Lösungen vorgesehen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bisher acht Prüfstellen autorisiert, welche die eingereichten technischen Sicherheitseinrichtungen prüfen und zertifizieren sollen, falls sie den Anforderungen der KassenSichV entsprechen:

  • TÜV Informationstechnik GmbH
  • SRC Security Research & Consulting GmbH
  • Fraunhofer IOF
  • CTC advanced GmbH
  • Datenschutz cert GmbH
  • IABG Industrieanlagen-Betriebsgesellschaft mbH
  • MTG AG
  • secunet Security Networks AG

Im Dezember 2019 befanden sich mehrere TSE als USB-Stick und SD-Karten Format sowie TSE-Cloud-Lösungen im Zertifizierungsprozess. Am 20. Dezember 2019 erhielten EPSON und Swissbit[6] die ersten Zertifikate für zertifizierte TSE[7]. Als erste funktionierende TSEs ging die USB- und SD-Lösungen des Unternehmens Swissbit hervor, welche im DFKA Feldtest durch die Projektleitung von Gastro-MIS (Mitglied der Arbeitsgruppe Taxonomie) bereits erfolgreich getestet worden waren.[8] Die Zertifikate dieser TSEs laufen üblicherweise für 5 Jahre plus 6 Monate Toleranz für Logistik und die Einbindung in die Kasse. Eine Ausnahme machen die TSEs von Diebold Nixdorf, die 7 Jahre Zertifikatslaufzeit bieten. Nach Ablauf der Nutzungsdauer muss der USB-Stick oder die SD-Karte ersetzt werden. EPSON[9] (in BON-Drucker integrierbar) und Diebold Nixdorf[10] (7 Jahres-TSE) bieten ebenso TSE-Module an. Ein weiterer Anbieter eines solchen TSE-Moduls ist D-TRUST, ein Unternehmen der Bundesdruckerei GmbH, und ihr Technologie-Partner cryptovision, die eine zertifizierte TSE in Form einer adaptierbaren microSD-Karte anbieten.[11] Ende September 2020 wurde außerdem eine Cloud-TSE der D-TRUST zertifiziert.[12][13][14] Im Mai 2021 wurde die Cloud-TSE der fiskaly GmbH mit der längsten Laufzeit bis Mai 2029 zertifiziert.[15][16][17] Alle bisher zertifizierten TSE lassen sich per Netzwerk oder lokal anbinden.

Generell wird zwischen Hardware-TSE (HW-TSE) und sogenannten Cloud-TSE unterschieden. HW-TSE kombinieren dabei die Funktionsgruppen CSP (Crypto-Service-provider) und SMAERS (Security Module Application for Electronic Record Keeping Systems) in einem Hardware-Modul. Cloud-TSE trennen typischerweise CSP und SMAERS örtlich, wobei die SMAERS Komponente als Software-Bibliothek in der Kassen-Software integriert oder integrierbar ist und der CSP in einem Rechenzentrum betrieben wird. Die für den Betrieb der TSE geltenden Anforderungen sind im Konformitätsbericht der TSE sowie dem sogenannten Umgebungsschutzkonzept der jeweiligen TSE beschrieben und beim TSE-Herausgeber anzufragen.

Als Zwitter zwischen Cloud- und lokaler TSE gilt eine LAN-TSE, wo sich eine oder mehrere HW-TSE an zentraler Stelle im Laden befinden und diese über das lokale Netzwerk von den Kassen ohne Hardwareeingriff ansprechen lassen. Somit kommt der SMAERS Komponente besondere Bedeutung zu. Das aktuelle SMAERS Schutzprofil liegt in V 1.0 vor.[18] Die zertifizierten HW-TSE verwenden das vorige zertifizierte SMAERS Schutzprofil V 0.7.5, was keinen Mangel darstellt, sondern in der früheren Zertifizierung begründet ist.

Die Hardware-TSEs der meisten Hersteller sind entweder für 5 oder 7 Jahre zertifiziert.[19]

Übersicht der zertifizierten TSEs[Bearbeiten | Quelltext bearbeiten]

Diese nachfolgende Liste zeigt eine Übersicht über die aktuellen, jüngsten Zertifikate mit Stichtag 14. Juni 2022. Es kann vorkommen, dass ältere Zertifikate im Markt zum Einsatz kommen. Deren Laufzeit kann kürzer sein als diese hier genannten.

Eine TSE besteht immer aus 3 zertifizierten Teilen: die Zertifizierung nach TR-03153, einer SMAERS- sowie einer CSP(L)-Komponente. Alle drei Komponenten müssen eine aufrechte Zertifizierung aufweisen. Der Nachweis der Zertifizierung kann ausschließlich durch die Vorlage des Zertifikats mit dem dazugehörigen Zertifizierungsbericht erfolgen. Dies muss für jede der drei Komponenten nachgewiesen werden können. Aktuell hat jedoch nur ein einziger Hersteller alle Dokumente veröffentlicht.

Ab Januar 2023 wird es nur noch 3 TSE-Hersteller geben. Davon bietet die Swissbit die TSE als reine Hardware an (USB-Stick, SD-Card), Bundesdruckerei/D-Trust bietet eine Cloud-Lösung mit einer lokalen Komponente und fiskaly eine reine Cloud-Lösung.

Hersteller TSE (TR-03153) SMAERS CSP / CSPL
Zert-ID gültig bis Konformitätsbericht Zert-ID gültig bis Zertifizierungsbericht Zert-ID gültig bis Zertifizierungsbericht
Swissbit BSI-K-TR-0412-2020 26.11.2028 nicht öffentlich BSI-DSZ-CC-1121-V2-2021 11.03.2029 Report BSI-DSZ-CC-1118-2020 06.04.2025 Report
Bundesdruckerei / D-Trust BSI-K-TR-0474-2021 09.12.2029 nicht öffentlich BSI-DSZ-CC-1137-V3-2021 14.12.2029 Report BSI-DSZ-CC-1139-V3-2021 09.11.2026 Report
fiskaly BSI-K-TR-0490-2021 09.12.2029 Report BSI-DSZ-CC-1130-V2-2021 02.12.2029 Report BSI-DSZ-CC-1153-V3-2021 16.12.2026 Report
Cryptovision (ehem. mit Bundesdruckerei/D-Trust) BSI-K-TR-0491-2021 07.01.2023 nicht öffentlich BSI-DSZ-CC-1120-V2-2021 06.04.2025 Report NICHT MEHR NACHVOLLZIEHBAR, Zertifizierung zurückgezogen, ursprünglich "vorläufige Freigabe" Zurückgezogene Zertifizierung, Statement D-Trust
Whitelabel-Lösungen (TR only)
Epson (auf Swissbit) BSI-K-TR-0414-2020 11.12.2028
Diebold Nixdorf (auf Swissbit) BSI-K-TR-0415-2021 10.01.2029
Sonstige
D-Trust für Android (unbekannte Zusammensetzung) BSI-K-TR-0448-2021 09.12.2029
Swissbit Cloud-TSE (unbekannte Zusammensetzung) BSI-K-TR-0456-2021 31.07.2022
Bundesdruckerei / D-Trust für DF (auf Bundesdruckerei / D-Trust) (SMAERS only, Eingliederung unbekannt) BSI-DSZ-CC-1166-2021 14.12.2029
A-Trust (SMAERS only, wurde nie als TSE ausgerollt) BSI-DSZ-CC-1140-2021 10.11.2029
Utimaco (CSPL only, wurde nie als TSE ausgerollt) BSI-DSZ-CC-1145-2021 31.03.2026
Zurückgezogene Zertifizierungen
Cryptovision BSI-K-TR-0374-2020 08.01.2023 Zurückgezogene Zertifizierung: Statement D-Trust

Technische Funktionsweise[Bearbeiten | Quelltext bearbeiten]

TSE-Daten eines Kassenbons aus 2020: Signatur, TransaktionsNr, Start[zeit], Ende[zeit], Seriennummer, ClientID, Signaturzähler, Zeitformat, Algorithmus, PublicKey

Jeder Kassenvorgang wird künftig auf der TSE gespeichert und von dieser elektronisch signiert. Hierbei wird ein Verkettungsprinzip angewendet. Jede Transaktion bekommt eine elektronische Signatur, einen Signaturzähler sowie einen Zeitstempel. Somit lässt sich jede Signatur nur exakt einmal fertigen. So wird sichergestellt, dass es unmöglich ist, im Nachhinein Änderungen an der Kette der Transaktionen vorzunehmen, ohne dass dies nachweisbar wäre. Die technische Sicherheitseinrichtung kann folglich vom Finanzamt mit einer Prüfsoftware auf Manipulation, Lücken und Veränderungen überprüft werden. Von allen Transaktionen wird ein Journal gespeichert, welches jederzeit für das Finanzamt exportierbar sein muss. Die Datei mit den exportierten Daten hat das tar-Format.

Prüfung[Bearbeiten | Quelltext bearbeiten]

Die Korrektheit der TSE-Anbindung wird von Finanzprüfern im Rahmen einer Kassennachschau (Kurzform) oder Betriebsprüfung (Langform) überprüft.[20] Dafür wird der Betrieb zunächst inkognito aufgesucht, eine Bestellung getätigt und der Bon unnachgefragt in Empfang genommen. Die sich auf dem Bon in Klartext befindlichen Daten werden dann unter anderem mithilfe der TSE-Signatur mit den von der TSE gesicherten Daten verglichen. Dafür benötigt der Prüfer eine Software, die die TSE-Daten rekonstruieren und das Zertifikat validieren kann.[21] Sind die Daten stimmig, ist die Prüfung beendet. Sind sie es nicht, beginnt die Betriebsprüfung.[22] Für die Betriebsprüfung werden zusätzliche Daten standardisiert per DSFinV-K Schnittstelle aus der Kasse exportiert, welche mit den TSE-Daten übereinstimmen sollten.[23]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Verordnung zur Bestimmung der technischen Anforderungen an elektronische Aufzeichnungs- und Sicherungssysteme im Geschäftsverkehr (Kassensicherungsverordnung – KassenSichV). Bundesamt für Justiz, 26. September 2017, abgerufen am 18. Januar 2021.
  2. Nichtbeanstandungsregelung. (PDF) Bundesfinanzministerium, 6. November 2019, abgerufen am 6. November 2019.
  3. ZDH - Keine bundeseinheitliche Verlängerung der Nichtbeanstandungsregelung für die Aufrüstung von Kassen. 30. Juli 2020, abgerufen am 3. Dezember 2020.
  4. Bayerisches Landesamt für Steuern: Meldepflicht für elektronische Kassensysteme. Abgerufen am 24. Juli 2020.
  5. Abgabenordnung - § 146b Kassen-Nachschau. Abgerufen am 24. Juli 2020.
  6. Swissbit TSE für den Fiskalmarkt – einfach steckbar. - Swissbit. Abgerufen am 24. Juli 2020.
  7. BSI - Presseinformationen des BSI - BSI zertifiziert technische Sicherheitseinrichtungen für Kassensysteme. Abgerufen am 24. Juli 2020.
  8. gemeinsame Presseinformation von Swissbit und Gastro-MIS. Abgerufen am 26. Februar 2020.
  9. EPSON: EPSON Fiskal Lösungen. In: EPSON Website. EPSON, 24. Juli 2020, abgerufen am 24. Juli 2020.
  10. Diebold Nixdorf -. Abgerufen am 24. Juli 2020.
  11. Bundesdruckerei Technische Sicherungseinrichtung (TSE) für Kassensysteme. Abgerufen am 7. April 2021.
  12. Erfolgreicher Rollout und rechtssicherer Betrieb der Cloud-TSE von Deutsche Fiskal und D-TRUST. Abgerufen am 7. April 2021.
  13. heise online: Erste Cloudanwendung zur Umsetzung der Kassensicherungsverordnung zertifiziert. Abgerufen am 18. Januar 2021.
  14. BSI - Technische Sicherheitseinrichtungen für elektronische Aufzeichnungssysteme - BSI-K-TR-0369-2020. Abgerufen am 18. Januar 2021.
  15. BSI-K-TR-0403-2021. Abgerufen am 29. Oktober 2021.
  16. Zertifizierung | fiskaly. Abgerufen am 29. Oktober 2021 (englisch).
  17. prohandel - Warenwirtschaft für Sie gemacht - News. Abgerufen am 29. Oktober 2021.
  18. SMAERS Schutzprofil V1.0. Abgerufen am 5. August 2020.
  19. Technische Sicherheitseinrichtungen. Abgerufen am 19. März 2021.
  20. Kassen-Nachschau – Amadeus360. Abgerufen am 7. März 2021 (deutsch).
  21. AmadeusVerify – Amadeus360. Abgerufen am 7. März 2021 (deutsch).
  22. Kassennachschau: so läuft Prüfung bei TSE-Kassen. In: Gastgewerbe-Magazin. 7. Oktober 2020, abgerufen am 7. März 2021 (deutsch).
  23. DSFinV-K – Amadeus360. Abgerufen am 7. März 2021 (deutsch).