Technische Sicherheitseinrichtung

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Technische Sicherheitseinrichtung im Drucker
Ausdruck der technischen Sicherheitseinrichtung auf einer Tankquittung, November 2020

Als Technische Sicherheitseinrichtung (kurz TSE) wird ein Sicherheitsmodul in elektronischen Registrierkassen bezeichnet, das der lückenlosen und unveränderbaren Aufzeichnung aller Kassenvorgänge dient. Der Begriff stammt aus der deutschen Kassensicherungsverordnung (KassenSichV), welche die vollständige, unveränderte und manipulationssichere Speicherung von Geschäftsvorfällen und einiger weiterer Vorgänge verlangt.[1]

Zusammen mit der durch § 146a Abs. 2 Abgabenordnung (AO) vorgegebenen generellen Belegausgabepflicht soll die Steuerhinterziehung in Deutschland bei Bargeschäften eingedämmt werden.

Technische Sicherheitseinrichtungen müssen von einer Prüfstelle zertifiziert werden, die vom Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) dafür akkreditiert wurde.

Pflichten und Fristen

[Bearbeiten | Quelltext bearbeiten]

Grundsätzlich setzt die KassenSichV voraus, dass Betreiber elektronischer Registrierkassen ab 1. Januar 2020 eine zertifizierte technische Sicherheitseinrichtung (TSE) integriert haben und fortan verwenden. Da bis Anfang November 2019 noch keine zertifizierte TSE auf dem Markt verfügbar war, erließ das Bundesfinanzministerium am 6. November 2019 eine Nichtbeanstandungsregelung.[2] Kassenbetreiber hatten danach grundsätzlich eine verlängerte Frist bis zum 30. September 2020 und wurden in diesem Zeitraum nicht beanstandet, wenn sie die Bedingungen der KassenSichV nicht eingehalten haben und damit de facto nicht GoBD-konform wären. Nahezu alle Bundesländer haben im Juli 2020 weiterführende Nichtbeanstandungsregelungen bis zum 31. März 2021 erlassen.[3]

Kassenbetreiber stehen in der Verpflichtung, sich eigenständig so bald wie möglich um die Umrüstung ihrer Kassen zu kümmern. Die erwarteten Anschaffungskosten für eine zertifizierte technische Sicherheitseinrichtung von ca. 250 € tragen sie selbst, diese 250 € beziehen sich lediglich auf die TSE selbst, andere Kosten wie zum Beispiel Softwareupdates machen die tatsächliche Umrüstung um einiges teurer.

Für Registrierkassen, die aufgrund ihrer Bauart nachweisbar nicht umrüstbar sind und nach dem 25. November 2010 und vor dem 1. Januar 2020 angeschafft wurden, galt eine Übergangsfrist bis zum 31. Dezember 2022.

Ab dem 1. Januar 2024 unterliegen grundsätzlich auch EU-Taxameter der Pflicht zur Einbindung einer TSE (vgl. § 1 Absatz 2 Nummer 1 KassenSichV). Für Wegstreckenzähler gilt dieses nur für Modelle, die ab dem 1. Juli 2024 erstmals in den Verkehr gebracht wurden (§ 10 KassenSichV i.V.m. BMF-Schreiben vom 11. März 2024[4]). Für diese elektronischen Aufzeichnungssysteme gibt es jedoch auch eine Nichtbeanstandungsregelung bis zum 31. Dezember 2025.[5]

Betrugsprävention

[Bearbeiten | Quelltext bearbeiten]

Mit Einbau der TSE geht auch die Meldepflicht der Kassen einher. Jede Registrierkasse muss ab Verwendung der TSE innerhalb von vier Wochen dem zuständigen Finanzamt gemeldet werden. Die Meldepflicht ist jedoch mit der Nichtbeanstandungsregelung vom 6. November 2019 solange ausgesetzt, bis eine digitale Übermittlungsmöglichkeit besteht.[6] Die Übermittlungsmöglich steht ab dem 1. Januar 2025 zur Verfügung, so dass ab diesem Zeitpunkt auch die Übermittlungspflicht greift.[7]

Da eine Technische Sicherheitseinrichtung nur sichern kann, was auch in die Kassen eingegeben wurde, ist für die Eindämmung von Steuerhinterziehung darüber hinaus eine Belegausgabepflicht notwendig. In der Vergangenheit gab es eine ganze Reihe von Betrugsszenarien, die nun entweder von der TSE, der „Bonpflicht“ oder beidem zusammen verhindert werden sollen. Dazu kann das Finanzamt – und nur dieses – die auf einem Kassenbon ausgedruckte Signatur bzw. deren QR-Code-Darstellung prüfen, ob sie von einer angemeldeten TSE passend zu den auf dem Kassenbon dokumentierten Umsatzdaten generiert wurde. Rechtlich wurde dieser Prüfvorgang als Teil der sogenannten Kassennachschau in § 146b AO[8] abgesichert.

Die Entwicklung und Herstellung von TSE verlangt die genaueste Beachtung und Umsetzung umfangreicher Spezifikationen und die Verwendung einer zertifizierten Public Key Infrastructure (PKI). TSE-Hersteller müssen keine formalen Voraussetzungen erfüllen – theoretisch kann jeder eine TSE bei den benannten Prüfstellen einreichen und zertifizieren lassen. In der Umsetzung gilt laut Bundesamt für Sicherheit in der Informationstechnik (BSI) der Grundsatz der Technologieoffenheit. Neben Hardware-Lösungen, bei denen die Speicherung auf einem physischen Medium vor Ort erfolgt (z. B. auf SD-Karten oder USB-Sticks), sind auch Cloud-Lösungen verfügbar. Alle TSE-Lösungen basieren aufgrund von BSI-Vorgaben auf Hardware-Sicherheitsankern. Reine Software-Lösungen sind nicht möglich.

Für die Zertifizierung von TSE müssen insgesamt mindestens 5 Teilzertifizierungen erbracht werden:

  • Sicherheitszertifizierung der verwendeten Hardware-Plattform (Smartcard-Chip bei Hardware-TSE oder zertifizierter Server für Cloud-TSE)
  • Sicherheitszertifizierung der Komponente „Crypto Service Provider“ (CSP) – Kern der kryptografischen Operationen
  • Sicherheitszertifizierung der Komponente „Secure Module Application“ (SMA bzw. SMAERS) – kassenspezifische Sicherheitsmodulapplikation
  • Zertifizierung der verwendeten Public Key Infrastructure (PKI) nach Technischer Richtlinie TR-03145-1 (zusätzlich Zertifizierung nach TR-03145-5 in Planung des BSI)
  • Funktionale Zertifizierung der gesamten TSE nach TR-03153

Im Fall von Cloud-TSE sind überdies Zertifizierungen des Rechenzentrums, in dem die TSE betrieben wird, erforderlich.

Die Laufzeiten der einzelnen Teilzertifizierungen liegen zwischen 3 Jahren mit jährlicher Auditierung (PKI) und 8 Jahren (TR-03153) – bei i. d. R. unterschiedlichen Startzeitpunkten. Zu beachten ist, dass die TSE nur so lange verwendet werden darf, wie sämtliche Teilzertifizierungen noch gültig sind. Zertifizierungen können regulär auslaufen oder – z. B. bei einem nicht bestandenen Audit oder im Fall einer bekannt gewordenen Sicherheitslücke – vom BSI zurückgezogen werden. Diese Anforderungen führen zu besonderen Herausforderungen für TSE-Hersteller und Unsicherheiten für TSE-Nutzer, da TSE-Hersteller aufgrund der komplexen Zertifizierungsbedingungen und abweichender Verantwortlichkeiten für die Zertifizierung der PKI und der Hardware-Plattform die tatsächliche Laufzeit ihrer TSE nicht garantieren können.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bisher acht Prüfstellen autorisiert, welche Komponenten der eingereichten technischen Sicherheitseinrichtungen auf Konformität mit den zugrunde liegenden Technischen Richtlinien und Schutzprofilen prüfen dürfen. Dabei sind nicht alle Prüfstellen für die Prüfung sämtlicher Komponenten von TSE zugelassen.

  • TÜV Informationstechnik GmbH
  • SRC Security Research & Consulting GmbH
  • Fraunhofer IOF
  • CTC advanced GmbH
  • Datenschutz cert GmbH
  • IABG Industrieanlagen-Betriebsgesellschaft mbH
  • MTG AG
  • secunet Security Networks AG

Die eigentliche Zertifizierung erfolgt im Anschluss an die Prüfungen der Prüfstelle und Begutachtung durch das jeweilige BSI-Fachreferat durch die Zertifizierungsstelle des BSI.

Im Dezember 2019 befanden sich mehrere TSE als USB-Stick und SD-Karten Format sowie TSE-Cloud-Lösungen im Zertifizierungsprozess. Am 20. Dezember 2019 erhielten EPSON und Swissbit[9] die ersten Zertifikate für zertifizierte TSE[10]. Als erste funktionierende TSEs ging die USB- und SD-Lösungen des Unternehmens Swissbit hervor, welche im DFKA Feldtest durch die Projektleitung von Gastro-MIS (Mitglied der Arbeitsgruppe Taxonomie) bereits erfolgreich getestet worden waren.[11] Die Signaturzertifikate dieser TSEs laufen üblicherweise für 5 Jahre plus 6 Monate Toleranz für Logistik und die Einbindung in die Kasse. Eine Ausnahme machen die TSEs von Diebold Nixdorf, die 7 Jahre Zertifikatslaufzeit bieten. Nach Ablauf des Signaturzertifikats oder beim Auslaufen oder Zurückziehen einer (Teil-)zertifizierung muss die TSE ersetzt werden. EPSON[12] (in BON-Drucker integrierbar) und Diebold Nixdorf[13] (7 Jahres-TSE) bieten ebenso TSE-Module an. Ein weiterer Anbieter eines solchen TSE-Moduls ist D-TRUST, ein Unternehmen der Bundesdruckerei GmbH, und ihr Technologie-Partner cryptovision, die eine zertifizierte TSE in Form einer adaptierbaren microSD-Karte anbieten.[14] Ende September 2020 wurde außerdem eine Cloud-TSE der D-TRUST zertifiziert.[15][16][17] Im Mai 2021 wurde die Cloud-TSE der fiskaly GmbH mit einer Laufzeit bis Mai 2029 zertifiziert.[18][19][20] Alle bisher zertifizierten TSE lassen sich per Netzwerk oder lokal anbinden.

Generell wird zwischen Hardware-TSE (HW-TSE) und sogenannten Cloud-TSE unterschieden. HW-TSE kombinieren dabei die Funktionsgruppen CSP (Crypto-Service-provider) und SMAERS (Security Module Application for Electronic Record Keeping Systems) in einem Hardware-Modul. Cloud-TSE trennen typischerweise CSP und SMAERS örtlich, wobei die SMAERS Komponente als Software-Bibliothek in der Kassen-Software integriert oder integrierbar ist und der CSP in einem Rechenzentrum betrieben wird. Die für den Betrieb der TSE geltenden Anforderungen sind im Konformitätsbericht der TSE sowie dem sogenannten Umgebungsschutzkonzept der jeweiligen TSE beschrieben und beim TSE-Herausgeber anzufragen.

Als Zwitter zwischen Cloud- und lokaler TSE gilt eine LAN-TSE, wo sich eine oder mehrere HW-TSE an zentraler Stelle im Laden befinden und diese über das lokale Netzwerk von den Kassen ohne Hardwareeingriff ansprechen lassen. Somit kommt der SMAERS Komponente besondere Bedeutung zu. Das aktuelle SMAERS Schutzprofil liegt in V 1.0 vor.[21] Die zertifizierten HW-TSE verwenden das vorige zertifizierte SMAERS Schutzprofil V 0.7.5, was keinen Mangel darstellt, sondern in der früheren Zertifizierung begründet ist.

Die Hardware-TSEs der meisten Hersteller sind entweder für 5 oder 7 Jahre zertifiziert.[22]

Übersicht der zertifizierten TSE

[Bearbeiten | Quelltext bearbeiten]

Diese nachfolgende Liste zeigt eine Übersicht über die aktuellen, jüngsten Zertifikate mit Stichtag 1. Juni 2023. Es kann vorkommen, dass ältere Zertifikate im Markt zum Einsatz kommen. Deren Laufzeit kann kürzer sein als diese hier genannten.

Eine TSE besteht aus mehreren zertifizierten Komponenten. Siehe dazu die Ausführungen im Abschnitt „Zertifizierung“. Alle Komponenten müssen jederzeit eine gültige Zertifizierung aufweisen. Der Nachweis der Zertifizierung erfolgt durch die Vorlage des jeweiligen Zertifikats mit dem dazugehörigen Konformitäts- bzw. Zertifizierungsbericht.

Es gibt 4 Hersteller mit zertifizierten TSE sowie mehrere White-Label-Lösungen. Davon bietet die Swissbit die TSE als reine Hardware an (USB-Stick, SD-Card), Bundesdruckerei/D-Trust bietet über ihren Partner DF Deutsche Fiskal eine Cloud-TSE mit einer lokalen Komponente und fiskaly eine Cloud-TSE mit zentraler SMAERS-Komponente. Die Zertifizierung einer neuen Hardware-TSE (cryptovision TSE 2.0) des Herstellers cv cryptovision wurde am 25. Mai 2023 abgeschlossen.

Hersteller TSE (BSI-TR-03153) SMAERS CSP / CSPL
Zert-ID gültig bis Konformitätsbericht Zert-ID gültig bis Zertifizierungsbericht Zert-ID gültig bis Zertifizierungsbericht
Swissbit BSI-K-TR-0412-2020 26.11.2028 nicht öffentlich BSI-DSZ-CC-1121-V2-2021 11.03.2029 Report BSI-DSZ-CC-1118-2020 06.04.2025 Report
Bundesdruckerei / D-Trust (Web-Dienst 3.0) BSI-K-TR-0474-2021 09.12.2029 nicht öffentlich BSI-DSZ-CC-1137-V3-2021 14.12.2029 Report BSI-DSZ-CC-1139-V3-2021 09.11.2026 Report
D-Trust für Android BSI-K-TR-0448-2021 09.12.2029 nicht öffentlich BSI-DSZ-CC-1166-2021 14.12.2029 Report BSI-DSZ-CC-1139-V3-2021 09.11.2026 Report
fiskaly BSI-K-TR-0490-2021 09.12.2029 Report BSI-DSZ-CC-1130-V2-2021 02.12.2029 Report BSI-DSZ-CC-1153-V3-2021 16.12.2026 Report
cryptovision TSE 2.0 BSI-K-TR-0482-2023 14.05.2031 nicht öffentlich BSI-DSZ-CC-1170-2023 26.04.2031 Report BSI-DSZ-CC-1119-2023 23.01.2028 Report
Whitelabel-Lösungen (TR only)
Epson (auf Swissbit) BSI-K-TR-0414-2020 11.12.2028
Diebold Nixdorf (auf Swissbit) BSI-K-TR-0415-2021 10.01.2029
Swissbit Cloud-TSE (auf D-Trust Webdienst 3.0) BSI-K-TR-0456-2021 31.07.2022
Sonstige
A-Trust (SMAERS only, wurde nie als TSE ausgerollt) BSI-DSZ-CC-1140-2021 10.11.2029
Utimaco (CSPL only, wurde nie als TSE ausgerollt) BSI-DSZ-CC-1145-2021 31.03.2026
Zurückgezogene Zertifizierungen
cryptovision (vermarktet als Bundesdruckerei D-TRUST TSE 1.0) BSI-K-TR-0374-2020 13.04.2028 (Zurückgezogen) Zurückgezogene Zertifizierung: Statement D-Trust, Zertifikat ersetzt durch BSI-K-TR-0491-2021 BSI-DSZ-CC-1120-2020 06.04.2028 (Gültigkeit verloren) Zertifikat ersetzt durch BSI-DSZ-CC-1120-V2-2021

Technische Funktionsweise

[Bearbeiten | Quelltext bearbeiten]
TSE-Daten eines Kassenbons aus 2020: Signatur, TransaktionsNr, Start[zeit], Ende[zeit], Seriennummer, ClientID, Signaturzähler, Zeitformat, Algorithmus, PublicKey

Jeder Kassenvorgang wird auf der TSE gespeichert und von dieser elektronisch signiert. Hierbei wird ein Verkettungsprinzip angewendet. Jede Transaktion bekommt eine elektronische Signatur, einen Signaturzähler sowie einen Zeitstempel. Somit lässt sich jede Signatur nur exakt einmal fertigen. So wird sichergestellt, dass es unmöglich ist, im Nachhinein Änderungen an der Kette der Transaktionen vorzunehmen, ohne dass dies nachweisbar wäre. Die technische Sicherheitseinrichtung kann folglich vom Finanzamt mit einer Prüfsoftware auf Manipulation, Lücken und Veränderungen überprüft werden. Von allen Transaktionen wird ein Journal gespeichert, welches jederzeit für das Finanzamt exportierbar sein muss. Die Datei mit den exportierten Daten hat das tar-Format.

Die Korrektheit der TSE-Anbindung wird von Finanzprüfern im Rahmen einer Kassennachschau (Kurzform) oder Betriebsprüfung (Langform) überprüft.[23] Dafür wird der Betrieb zunächst inkognito aufgesucht, eine Bestellung getätigt und der Bon unnachgefragt in Empfang genommen. Die sich auf dem Bon in Klartext befindlichen Daten werden dann unter anderem mithilfe der TSE-Signatur mit den von der TSE gesicherten Daten verglichen. Dafür benötigt der Prüfer eine Software, die die TSE-Daten rekonstruieren und das Zertifikat validieren kann.[24] Sind die Daten stimmig, ist die Prüfung beendet. Sind sie es nicht, beginnt die Betriebsprüfung.[25] Für die Betriebsprüfung werden zusätzliche Daten standardisiert per DSFinV-K Schnittstelle aus der Kasse exportiert, welche mit den TSE-Daten übereinstimmen sollten.[26]

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. Verordnung zur Bestimmung der technischen Anforderungen an elektronische Aufzeichnungs- und Sicherungssysteme im Geschäftsverkehr (Kassensicherungsverordnung – KassenSichV). Bundesamt für Justiz, 26. September 2017, abgerufen am 18. Januar 2021.
  2. Nichtbeanstandungsregelung. (PDF) Bundesfinanzministerium, 6. November 2019, abgerufen am 6. November 2019.
  3. ZDH - Keine bundeseinheitliche Verlängerung der Nichtbeanstandungsregelung für die Aufrüstung von Kassen. 30. Juli 2020, abgerufen am 3. Dezember 2020.
  4. Bundesministerium der Finanzen: BMF-Schreiben zu Aufzeichnung und Aufbewahrung von Geschäftsvorfällen und anderen steuerlich relevanten Daten bei Taxi- und Mietwagenunternehmen. Bundesministerium der Finanzen, 11. März 2024, abgerufen am 24. Oktober 2024.
  5. Bundesministerium der Finanzen: BMF-Schreiben zur Nichtbeanstandungsregelung bei Verwendung von EU-Taxametern und Wegstreckenzählern ohne zertifizierte technische Sicherheitseinrichtung nach dem 31. Dezember 2023. Bundesministerium der Finanzen, 13. Oktober 2023, abgerufen am 20. Oktober 2024.
  6. Bayerisches Landesamt für Steuern: Meldepflicht für elektronische Kassensysteme. Abgerufen am 24. Juli 2020.
  7. Bundesministerium der Finanzen: BMF-Schreiben zum Beginn der Mitteilungsverpflichtung nach § 146a Absatz 4 Abgabenordnung (AO) vom 28. Juni 2024. Bundesministerium der Finanzen, 28. Juni 2024, abgerufen am 20. Oktober 2024.
  8. Abgabenordnung - § 146b Kassen-Nachschau. Abgerufen am 24. Juli 2020.
  9. Swissbit TSE für den Fiskalmarkt – einfach steckbar. - Swissbit. Abgerufen am 24. Juli 2020.
  10. BSI - Presseinformationen des BSI - BSI zertifiziert technische Sicherheitseinrichtungen für Kassensysteme. Abgerufen am 24. Juli 2020.
  11. gemeinsame Presseinformation von Swissbit und Gastro-MIS. Abgerufen am 26. Februar 2020.
  12. EPSON: EPSON Fiskal Lösungen. In: EPSON Website. EPSON, 24. Juli 2020, abgerufen am 24. Juli 2020.
  13. Diebold Nixdorf -. Abgerufen am 24. Juli 2020.
  14. Bundesdruckerei Technische Sicherungseinrichtung (TSE) für Kassensysteme. Abgerufen am 7. April 2021.
  15. Erfolgreicher Rollout und rechtssicherer Betrieb der Cloud-TSE von Deutsche Fiskal und D-TRUST. Abgerufen am 7. April 2021.
  16. heise online: Erste Cloudanwendung zur Umsetzung der Kassensicherungsverordnung zertifiziert. Abgerufen am 18. Januar 2021.
  17. BSI - Technische Sicherheitseinrichtungen für elektronische Aufzeichnungssysteme - BSI-K-TR-0369-2020. Abgerufen am 18. Januar 2021.
  18. BSI-K-TR-0403-2021. Abgerufen am 29. Oktober 2021.
  19. Zertifizierung | fiskaly. Abgerufen am 29. Oktober 2021 (englisch).
  20. prohandel - Warenwirtschaft für Sie gemacht - News. Abgerufen am 29. Oktober 2021.
  21. SMAERS Schutzprofil V1.0. Abgerufen am 5. August 2020.
  22. Technische Sicherheitseinrichtungen. Abgerufen am 19. März 2021.
  23. Kassen-Nachschau – Amadeus360. Abgerufen am 7. März 2021 (deutsch).
  24. AmadeusVerify – Amadeus360. Abgerufen am 7. März 2021 (deutsch).
  25. Kassennachschau: so läuft Prüfung bei TSE-Kassen. In: Gastgewerbe-Magazin. 7. Oktober 2020, abgerufen am 7. März 2021 (deutsch).
  26. DSFinV-K – Amadeus360. Abgerufen am 7. März 2021 (deutsch).