Bei Nutzern von Kassen, Herstellern von Kassen oder Kassensoftware sowie Herstellern von Technischen Sicherheitseinrichtungen treten häufig grundlegende Fragen auf. Im Folgenden findet sich eine Auflistung der häufigsten Fragen und die entsprechenden Antworten zum Thema Digitale Grundaufzeichnungen bei Kassen und Kassensystemen.
Generelle Antworten
Die Technische Sicherheitseinrichtung (TSE) besteht aus einem Sicherheitsmodul, einem Speichermedium und einer einheitlichen digitalen Schnittstelle.
Die Technische Sicherheitseinrichtung wird vom elektronischen Aufzeichnungssystem (z. B. eine Kasse) angesprochen, übernimmt die Absicherung der aufzuzeichnenden Daten gegen nachträgliche Veränderung und Löschen und speichert die gesicherten Aufzeichnungen in einem einheitlichen Format. Finanzbehörden können die geschützten Daten dann einfordern und auf Vollständigkeit und Korrektheit prüfen.
Die mit einer Signatur abgesicherten Daten können exportiert werden und außerhalb der Technischen Sicherheitseinrichtung aufbewahrt werden. Hierbei muss natürlich auf eine sichere und vorschriftenkonforme Aufbewahrung geachtet werden.
Hinweis: Die abgesicherten Daten müssen den Finanzbehörden immer in Form des durch die Technische Richtlinie TR-03151 spezifizierten Formats als TAR-Container übergeben werden.
Einen Newsletter, eine Mailingliste oder automatische Benachrichtigungen bieten wir leider nicht an. Grundsätzlich sind alle Informationen über unsere Seite zum Thema Schutz vor Manipulation an digitalen Grundaufzeichnungen zu finden.
Das Bundesministerium der Finanzen bietet ebenfalls Antworten auf häufig gestellte Fragen (FAQs) im Internet an.
Sollten Sie darüber hinaus individuelle Fragen haben, sollte die für Sie zuständige Finanzbehörde (z.B. Ihr Finanzamt) kompetente Auskünfte erteilen können.
Hinweis: Bitte beachten Sie, dass das Bundesamt für Sicherheit in der Informationstechnik keine finanz- und steuerrechtlichen Fragen beantworten kann und darf.
Ansprechpartner für weitergehende Fragen zum Ablauf eines Zertifizierungsverfahrens können Sie unter Produktzertifizierung finden.
Antworten für Nutzer von Kassen / elektronischen Aufzeichnungssystemen:
Das Bundesamt für Sicherheit in der Informationstechnik kann dies leider nicht für Sie bewerten.
Eine Hilfe bei einer Abschätzung könnten die FAQs des Bundesministeriums der Finanzen sein.
Kontaktieren Sie den Hersteller Ihrer Kasse / Ihres Aufzeichnungssystems und fragen Sie, welche Technische Sicherheitseinrichtung an das System angeschlossen werden kann und wie Ihre Kasse für die Verwendung mit der Technischen Sicherheitseinrichtung aktualisiert werden kann.
Grundsätzlich darf das Bundesamt für Sicherheit in der Informationstechnik keine Auskünfte zu laufenden Zertifizierungsverfahren geben.
Die bloße Beantragung der Zertifizierung eines Produktes und die damit verbundene Erteilung einer Zertifizierungs-ID bedeuten nicht, dass ein Hersteller bis zu einem gewissen Zeitpunkt die erforderlichen Nachweise zur Sicherheit und Konformität vorlegen kann oder wird.
Ein positiver Abschluss der Zertifizierungsverfahren (bis zu einem bestimmten Zeitpunkt) kann also nicht garantiert oder genannt werden.
Die Dauer und der Zeitpunkt des Abschlusses der Zertifizierungsverfahren sind in der Hauptsache vom Hersteller selbst abhängig. Er muss ein geeignetes Produkt entwickeln und den externen (privaten) Prüfstellen zur Prüfung vorlegen.
Das Bundesamt für Sicherheit in der Informationstechnik kann leider keine Unterstützung bei der Einrichtung und dem Betrieb von Technischen Sicherheitseinrichtungen und Kassensystemen leisten. Bei Fragen zur Kompatibilität und zur Einrichtung wenden Sie sich bitte an den Hersteller Ihres Kassensystems beziehungsweise Ihrer Technischen Sicherheitseinrichtung.
Für eine Technischen Sicherheitseinrichtung müssen mehrere Zertifizierungsverfahren erfolgreich abgeschlossen werden. Dies sind die Konformitätszertifizierung nach der Technischen Richtlinie TR-03153 und die Sicherheitszertifizierungen nach den Common Criteria-Schutzprofilen SMAERS und CSP.
Die Zertifikate der Sicherheits- und Konformitätszertifizierungen finden Sie unter den nachfolgenden Links:
Sollte sich ein Produkt nicht auf der Webseite finden lassen, so können Sie sich immer vom Hersteller der Technischen Sicherheitseinrichtung die Zertifikate zeigen lassen.
Bestehen Zweifel an der Echtheit der Zertifikate, so können Sie sich an die folgenden Postfächer wenden:
Grundsätzlich kann eine Technische Sicherheitseinrichtung nur entsprechend der gesetzlichen Vorgaben betrieben werden, wenn sie über alle erforderlichen Zertifizierungen verfügt.
Der Hersteller einer Technischen Sicherheitseinrichtung muss zur Erlangung der Zertifizierungen sein Produkt so entwickeln und produzieren, dass es die Zertifizierungsanforderungen erfüllt. Somit liegt das Erlangen der benötigten Zertifizierungen in der Verantwortlichkeit des Herstellers der Technischen Sicherheitseinrichtung.
Fragen zu nicht zertifizierten Technischen Sicherheitseinrichtungen sind daher an den jeweiligen Hersteller zu richten.
Grundsätzlich können mehrere elektronische Aufzeichnungssysteme eine gemeinsame Technische Sicherheitseinrichtung nutzen.
Nein. Grundsätzlich können mehrere Geräte eine gemeinsame Technische Sicherheitseinrichtung nutzen.
Eine Transaktion wird immer nur mit einer einzelnen Technischen Sicherheitseinrichtung durchgeführt. Eine Absicherung von einer einzelnen Transaktion mit mehreren Technischen Sicherheitseinrichtungen ist nicht erlaubt.
Die Technische Sicherheitseinrichtung benutzt kryptografische Schlüssel zum Signieren von Aufzeichnungen. Zertifikate (Dateien), welche die sichere Herkunft der Schlüssel "beurkunden" sind nach den Vorgaben des BSI nicht personengebunden. In jedem Fall müssen die verwendeten Schlüssel den Finanzbehörden bekannt sein, also bei den Finanzbehörden auf einen Steuerpflichtigen registriert werden.
Die Technische Sicherheitseinrichtung besitzt eine Funktion zum Export der gespeicherten Daten. Diese exportierten Daten können an geeigneter Stelle sicher aufbewahrt werden. Hierbei sind die steuerlichen Aufbewahrungspflichten zu beachten. Wenn die Daten sicher aufbewahrt werden, dann können sie vom Speichermedium der TSE gelöscht werden.
Wenn die Daten zur Prüfung angefordert werden, müssen Sie im Export-Format der Sicherheitseinrichtung übergeben werden.
Dies hängt von der Implementierung der Exportschnittstelle des Herstellers der Sicherheitseinrichtung ab. Die Daten dürfen von der Technischen Sicherheitseinrichtung gelöscht werden, sofern sie an anderer Stelle sicher aufbewahrt werden. Hierbei sind die steuerlichen Aufbewahrungspflichten zu beachten.
Nein. Die Technische Sicherheitseinrichtung nimmt Daten entgegen und legt eine "Sicherungsschicht" (Metadaten und Signatur) um diese. Wie diese Sicherungsschicht formatiert werden muss und wie die abgesicherten Daten aus der Technischen Sicherheitseinrichtung exportiert werden, legt das Bundesamt für Sicherheit in der Informationstechnik mit seinen Richtlinien fest.
Den Inhalt und das Format der Daten, welche zur Absicherung an die Technische Sicherheitseinrichtung übergegeben werden, legt das Bundesministerium der Finanzen fest.
Weitere Informationen zur „Digitalen Schnittstelle der Finanzverwaltung für Kassensysteme“ sind auf der Internetseite des BZST zu finden.
Antworten für Kassen- und Kassensoftwarehersteller:
Die Zertifizierungspflicht beschränkt sich auf die Technische Sicherheitseinrichtung, eine Zertifizierung des gesamten Kassensystems selbst ist nicht vorgesehen. Ein Kassensystem muss ab dem 1. Januar 2020 über eine zertifizierte Technische Sicherheitseinrichtung verfügen und diese über eine definierte Schnittstelle einbinden.
Die Zertifizierungspflicht beschränkt sich auf die Technische Sicherheitseinrichtung, eine Zertifizierung der Kassensoftware selbst ist nicht vorgesehen. Ein Kassensystem muss ab dem 1. Januar 2020 über eine zertifizierte Technische Sicherheitseinrichtung verfügen und diese über eine definierte Schnittstelle einbinden.
Idealerweise richten Sie sich an Hersteller zertifizierter Technischer Sicherheitseinrichtungen.
Informationen über zertifizierte technische Sicherheitseinrichtungen werden nach Abschluss einer Zertifizierung auf Seite des BSI unter Produktzertifizierung veröffentlicht.
Grundsätzlich gilt hier § 1 der "Verordnung zur Bestimmung der technischen Anforderungen an elektronische Aufzeichnungs- und Sicherungssysteme im Geschäftsverkehr" (Kassensicherungsverordnung – KassenSichV).
Ob ein Produkt oder System im Einzelfall betroffen ist, kann durch das BSI nicht bewertet werden.
Weitere Informationen finden Sie unter den FAQs des BMF.
Ein Produkt ist nur dann eine gesetzeskonforme Technische Sicherheitseinrichtung, wenn es die notwendigen Zertifizierungsverfahren erfolgreich abgeschlossen hat. Die Verwendung einer nicht zertifizierten Technischen Sicherheitseinrichtung ist nicht gesetzeskonform.
Ihr Produkt muss daher entweder die Zertifizierungsprozesse durchlaufen oder in die Lage versetzt werden, eine zertifizierte Technische Sicherheitseinrichtung anzusprechen.
Hinweis: Ein bloßer Zertifizierungsantrag und die damit verbundene Erteilung einer Zertifizierungs-ID stellen keine gesetzeskonforme Zertifizierung dar.
Grundsätzlich kann jeder Technische Sicherheitseinrichtungen herstellen und in der Umsetzung herrscht der Grundsatz der Technologieoffenheit. Damit diese Sicherheitseinrichtungen dann benutzt werden dürfen, müssen sie den Vorgaben des BSI folgen. Die Konformität zu den Vorgaben muss über eine entsprechende Zertifizierung nachgewiesen werden.
Im Zuge der Konformitätszertifizierung einer Technischen Sicherheitseinrichtung wird auch überprüft, ob diese ihre Aufzeichnungen korrekt kodiert und aufzeichnet. Das gilt auch für die Daten, welche die Technische Sicherheitseinrichtung an das Aufzeichnungssystem (Kasse) zurückgibt.
Antworten für Hersteller von Technischen Sicherheitseinrichtungen:
Eine technische Umsetzung der Technischen Sicherheitseinrichtung kann grundsätzlich auf unterschiedliche Arten erfolgen, etwa lokal (z. B. via via USB-Token oder (µ)SD-Karte) oder fernverbunden (als „Cloud“-Lösung), solange die notwendigen Sicherheits- und Interoperabilitätsanforderungen des BSI erfüllt sind und im Rahmen der Zertifizierung nachgewiesen werden. Eine fernverbundene Technische Sicherheitseinrichtung muss grundsätzlich für alle angeschlossenen elektronischen Aufzeichnungssysteme erreichbar sein.
Ja. Im Zuge der Technologieoffenheit sind auch fernverbundene Technische Sicherheitseinrichtungen und Komponenten von Technischen Sicherheitseinrichtungen möglich. Bei dieser Art einer Technischen Sicherheitseinrichtung muss jedoch auch in der Kasse oder dem Kassenverbund eine zertifizierte Sicherheitsmodulanwendung eingesetzt werden, über welche die sichere Anbindung des fernverbundenen Hardware-Sicherheitsmoduls erfolgt.
Die Konformitätszertifikate für eine Technische Sicherheitseinrichtung nach Technischer Richtlinie (TR) sind üblicherweise auf acht Jahre befristet. Eine Re-Zertifizierung auf Basis der jeweils gültigen TR-Vorgaben ist jederzeit möglich.
Die Sicherheitszertifikate für eine Technische Sicherheitseinrichtung haben ebenfalls eine Gültigkeit von acht Jahren, jedoch muss spätestens nach 5 Jahren die Widerstandsfähigkeit durch eine Neubewertung bestätigt werden. Wird im Rahmen der Neubewertung eine Schwachstelle erkannt, kann das Sicherheitszertifikat die Gültigkeit verlieren. Sofern die Schwachstelle durch ein Update (z. B. durch ein Softwareupdate) behoben werden kann, ist für das aktualisierte Produkt grundsätzlich eine erfolgreiche Rezertifizierung notwendig damit es im Einsatz verbleiben darf.
Die Technischen Richtlinien sind unter folgenden Links veröffentlicht:
Die Technischen Richtlinien und Schutzprofile stehen jeweils nur in einer Sprache zur Verfügung. Die Wahl der Sprache selbst hängt in der Regel von der entsprechenden Zielgruppe und der Verwendung im sowie Vorgaben aus dem nationalen und internationalen Kontext ab.
Die Kosten der Zertifizierung einer Technischen Sicherheitseinrichtung setzen sich, neben den Entwicklungs- und Herstellungskosten des Herstellers, aus Kosten der Evaluierung für die beauftragte Prüfstelle sowie Gebühren beim BSI zusammen.
Zu den Kosten einer Evaluierung durch eine Prüfstelle kann das BSI keine Aussage machen, da diese in der Hauptsache von den individuellen Verhandlungen eines Herstellers mit der jeweiligen Prüfstelle abhängen.
Zeitpunkt und Dauer der Zertifizierungen (TR und Common Criteria) hängen im Wesentlichen von Ihren Verhandlungen mit den Prüfstellen und dem Reifegrad Ihres Produktes ab.
Bitte beachten Sie, dass Produkte, welche sich schon im frühen Stadium der Entwicklung an die Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik halten, das größte Potenzial haben, die Zertifizierungsprozesse besonders schnell zu durchlaufen.
Das BSI macht die Vorgaben für die Technische Sicherheitseinrichtung. Der Hersteller entwickelt dann die Technische Sicherheitseinrichtung nach diesen Vorgaben. Im Anschluss daran vereinbart er mit einer (oder mehreren) anerkannten Prüfstelle die Prüfung seines Produktes. Damit ist der Hersteller bereit beim BSI das Zertifizierungsverfahren zu beantragen. Nach Beendigung der Prüfung durch die Prüfstelle bewertet das BSI den Prüfbericht der Prüfstelle und stellt nach positiver Bewertung ein Zertifikat aus. Das BSI ist somit die Zertifizierungsstelle.
Für eine Technische Sicherheitseinrichtung müssen mehrere Zertifizierungen durchgeführt werden:. Eine Zertifizierung für das grundsätzliche Verhalten der Einrichtung gegenüber dem Aufzeichnungssystem (Kasse) und mehrere Sicherheitszertifizierungen. Die Sicherheitszertifizierungen überprüfen, wie manipulationsgeschützt die Systeme sind.
Allgemeine Informationen zu Zertifizierungen von Produkten sind auf der Webseite des BSI unter Produktzertifizierung zu finden.
Informationen zum Ablauf von Zertifizierungen sind auf der Webseite des BSI unter Produktzertifizierung zu finden.
Informationen zur Beantragung einer Zertifizierung sind auf der BSI-Website unter Produktzertifizierung zu finden.
Zur Erfüllung der gesetzlichen Anforderung, dass alle aufzeichnungspflichtigen Vorgänge zeitnah erfasst werden sollen, muss das Sicherheitsmodul die Systemzeit autark führen, um mögliche Manipulationen an den Erfassungszeitpunkten zu erschweren. Es gibt keine hohen Anforderungen an die Genauigkeit der internen Zeitquelle, insbesondere muss die Systemzeit im ausgeschalteten Zustand nicht aktualisiert werden. Stattdessen darf die Systemzeit des Sicherheitsmoduls mit externen Zeitquellen manuell oder automatisiert synchronisiert werden. Das Stellen der Systemzeit ist ein aufzeichnungspflichtiger Vorgang.
Ein durch das Bundesamt für Sicherheit in der Informationstechnik ausgestelltes Konformitätszertifikat besitzt seine Gültigkeit nur für das im Zertifikat genannte Produkt. Für ein Produkt, welches unter anderem Namen vertrieben wird, besitzt das Zertifikat keine Gültigkeit. Ein solches Produkt als vom BSI zertifiziertes Produkt zu bezeichnen, zu bewerben oder zu vertreiben ist folglich nicht zulässig.
Es besteht die Möglichkeit, ein Zertifikat unter Berücksichtigung der bereits erbrachten Prüfungen zu erhalten. Bei Rückfragen hierzu richten Sie sich bitte an das Postfach der TR-Zertifizierungsstelle.
Es gelten die grundsätzlichen Anforderungen aus den Sicherheitsvorgaben, nach denen die Sicherheitsmodulanwendung zwingend in der physischen Einsatzumgebung des elektronischen Aufzeichnungssystems zu betreiben ist.
Aus den Sicherheitsvorgaben der SMAERS-Komponente der Technischen Sicherheitseinrichtung geht hervor, dass das Sicherheitsmodul der Technischen Sicherheitseinrichtung und das Aufzeichnungssystem sich in der gleichen physischen Einsatzumgebung befinden müssen.
Die physische Einsatzumgebung des Aufzeichnungssystems, im Sinne der Sicherheitsvorgaben, erstreckt sich auf den gesamten zusammenhängenden Bereich in der das Aufzeichnungssystem steht und für den der Betreiber des Aufzeichnungssystems unmittelbar verantwortlich ist.
Der Betrieb der SMAERS-Komponente z. B. im Büro der Filiale, in dessen Verkaufsraum das Aufzeichnungssystem steht, ist konform.
Der Hersteller einer Technischen Sicherheitseinrichtung kann Anforderungen an den Betrieb der Technischen Sicherheitseinrichtung stellen, die durch den Steuerpflichtigen oder einen Integrator umgesetzt werden müssen. Diese Anforderungen an die Einsatzumgebung sind Bestandteil der Zertifizierung und müssen entsprechend umgesetzt werden. Sind diese Anforderungen nicht oder nur teilweise umgesetzt wird die TSE nicht wie in den Zertifizierungsverfahren und Prüfungen angenommen betrieben. In diesem Fall erfüllt die Technischen Sicherheitseinrichtung die Vorgaben der Zertifizierung nicht und der Steuerpflichtige nutzt keine gesetzeskonforme Technische Sicherheitseinrichtung.
Der Hersteller muss die Anforderungen an die Einsatzumgebung dokumentieren (Umgebungsschutzkonzept) und den Steuerpflichtigen oder den Integrator auf die Einhaltung der dokumentierten Vorgaben sowie auf die Konsequenzen bei nicht vollständiger Umsetzung hinweisen.
Das Umgebungsschutzkonzept ist fester Teil der Zertifizierung und sorgt für die sichere Ausführung der Sicherheitsmodulanwendung. Ein Nichteinhalten der Anforderungen im Umgebungsschutzkonzept ermöglicht daher potenziell Angriffe auf die Sicherheitsmodulanwendung.
Das Umgebungsschutzkonzept muss zwingend eingehalten und umgesetzt werden. Andernfalls erfüllt die Technischen Sicherheitseinrichtung die Vorgaben der Zertifizierung nicht und der Steuerpflichtige nutzt keine gesetzeskonforme Technische Sicherheitseinrichtung.
Hinweis: Bitte beachten Sie, dass vom Bundesamt für Sicherheit in der Informationstechnik keine finanz- und steuerrechtlichen Fragen beantwortet werden können. Dies betrifft somit also auch das genannte Postfach.
Falls Sie solche Fragen haben sollten, bitten wir Sie sich zunächst die FAQS des Bundesministeriums der Finanzen (BMF) anzusehen beziehungsweise die für Sie zuständige Finanzbehörde (Finanzamt) zu kontaktieren.
Fragen zur DSFinV-K können leider ebenfalls nicht durch das genannte Postfach beantwortet werden. Wenden Sie sich hierzu bitte an die Herausgeber / Verfasser des Dokuments.
