Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme

Im Zuge der Digitalisierung kommen beim Verkauf von Waren und Dienstleistungen heutzutage in der Regel elektronische Aufzeichnungssysteme (z.B. elektronische Kassensysteme oder Registrierkassen) zum Einsatz. Hierdurch hat sich das technische Umfeld des Besteuerungsverfahrens stark verändert. So sind nachträgliche Manipulation an Aufzeichnungen elektronischer Aufzeichnungssysteme  (digitale Grundaufzeichnungen) ohne entsprechende Schutzmaßnahmen nur mit sehr hohem Aufwand feststellbar.

Um nachträglichen Manipulationen an solchen Aufzeichnungen entgegenzuwirken, müssen seit dem Jahr 2020 elektronische Aufzeichnungssysteme gemäß §146a der Abgabenordnung eine zertifizierte Technische Sicherheitseinrichtung nutzen. Ab 2024 muss auch ein Großteil der Taxis und Funkmietwagen mit einer zertifizierten Technischen Sicherheitseinrichtung ausgestattet werden.

Ansprechpartner für das Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen ist das zuständige Bundesministerium der Finanzen.

Der zentrale technische Baustein zur Umsetzung des Gesetzes ist die Technische Sicherheitseinrichtung, die aus drei Bestandteilen besteht:

• Sicherheitsmodul:
  Das Sicherheitsmodul gewährleistet, dass Eingaben mit Beginn des Aufzeichnungsvorgangs protokolliert und später nicht mehr unerkannt verändert werden können.
• Speichermedium:
  Auf dem Speichermedium werden die Einzelaufzeichnungen für die Dauer der gesetzlichen Aufbewahrungsfrist gespeichert.
• einheitliche digitale Schnittstelle:
  Die digitale Schnittstelle soll eine reibungslose Datenübertragung, für Prüfungszwecke gewährleisten.

Ein Hersteller einer Kasse, einer Kassensoftware, eines Taxameters oder eines Wegstreckenzählers entwickelt eine Technische Sicherheitseinrichtung in der Regel nicht selbst und lässt diese zertifizieren, sondern integriert eine der vielen bereits am Markt verfügbaren Technischen Sicherheitseinrichtungen. Die einheitliche digitale Schnittstelle der Technischen Sicherheitseinrichtung dient dabei der Vereinfachung der Integration.

Anforderungen an die Zertifizierung der Technischen Sicherheitseinrichtung

Die Zertifizierungspflicht beschränkt sich auf die Technische Sicherheitseinrichtung, mit der die Aufzeichnungen des Kassensystems, des Taxameters oder Wegstreckenzählers mit Beginn des Aufzeichnungsvorgangs zu sichern sind. Eine Zertifizierung durch das BSI der Kasse (oder Kassensoftware), des Taxameters oder Wegstreckenzählers selbst ist nicht vorgesehen. Hierdurch wird eine weitgehend flexible Integration in bestehende Kassensysteme ermöglicht.

Die detaillierten Anforderungen an das Sicherheitsmodul, das Speichermedium, die digitale Schnittstelle sowie die elektronische Aufbewahrung sind vom BSI entwickelt und in Technischen Richtlinien und Schutzprofilen veröffentlicht worden.

Hersteller Technischer Sicherheitseinrichtungen müssen nachweisen, dass die von ihnen erstellten Technischen Sicherheitseinrichtungen die Konformitäts- und Sicherheitsanforderungen des BSI erfüllen. Der Nachweis ist durch Zertifizierung zu erbringen.

Weitere Informationen zur Zertifizierung finden Sie hier.

Übersicht über Technische Richtlinien für Technische Sicherheitseinrichtungen elektronischer Aufzeichnungssysteme

• BSI TR-03153 Technische Sicherheitseinrichtungen elektronischer Aufzeichungssysteme
• BSI TR-03151 Secure Element API
• BSI TR-03116-5 Kryptographische Vorgaben für Projekte der Bundesregierung - Teil 5 Anwendungen der Secure Element API
• BSI TR-03145-5, Secure CA Operation, Part 5: Specific requirements for a Public Key Infrastructure for Technical Security Systems

TSE-Simulator

Im Rahmen eines studentischen Praxisprojektes einer Studentin der Hochschule Bonn-Rhein-Sieg wurde ein TSE-Simulator in der Programmiersprache Java erstellt. Dieser wird über GitHub zum Download bereitgestellt.