Die TÜV Informationstechnik GmbH bietet ab sofort eine neue Prüfdienstleistung für elektronische Kassensysteme zur Erlangung des notwendigen BSI-Zertifikates an.
Ab 2020 muss jedes Aufzeichnungssystem über eine zertifizierte Technische Sicherheitseinrichtung (TSE) verfügen, die mit den Anforderungen des BSI und der Kassensicherungsverordnung (KassenSichV) konform geht. Durch ein entsprechendes Zertifikat ist von da an zu belegen, dass die TSE den Vorgaben der Technischen Richtlinie BSI TR-03153 gerecht wird. TÜViT ist als Prüfstelle für die TR-03153 / TR-03151 vom BSI anerkannt.
Zu den Hintergründen der TR-03153
Alles wird zunehmend digitaler, das gilt auch für den Verkauf von Waren und Dienstleistungen: Hier kommen heutzutage in der Regel elektronische Kassensysteme zum Einsatz. Mit Nutzung dieser ergeben sich allerdings auch veränderte Herausforderungen für die Steuerprüfung. Das Finanzamt sieht vor allem bei Geschäften mit Barzahlungen ein erhöhtes Risiko des Steuerbetrugs: Denn Manipulationen an den Aufzeichnungen sind ohne entsprechende Schutzmaßnahmen nur mit sehr hohem Aufwand feststellbar. Um elektronische Kassensysteme vor solchen unerlaubten Eingriffen zu schützen, muss die Integrität, Authentizität und Vollständigkeit der entsprechenden Daten gewährleistet werden. Ermöglicht wird dies durch den Einsatz einer Technischen Sicherheitseinrichtung (TSE), die die aufzuzeichnenden Daten schützt und speichert. Finanzbehörden können diese bei Bedarf einfordern und auf Vollständigkeit und Richtigkeit hin überprüfen.
KassenSichV: Zertifizierungspflicht ab 2020
Ab dem 1. Januar 2020 muss jede TSE entsprechend den Anforderungen des BSI zertifiziert sein. Laut Kassensicherungsverordnung (KassenSichV) betrifft die Zertifizierungspflicht alle elektronischen oder computergestützten Kassensysteme sowie Registrierkassen. Die Vorgaben, die es dabei zu erfüllen gilt, sind in der Technischen Richtlinie TR-03153 "Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme" festgehalten. Diese richtet sich primär an Kassenhersteller und Hersteller von Technischen Sicherheitseinrichtungen.
Die Technische Sicherheitseinrichtung: Bestandteile und Zertifizierung
Die TSE stellt den zentralen technischen Baustein dar, um Grundaufzeichnungen gegen nachträgliche Manipulationen zu schützen. Welche Anforderungen diese, beispielsweise in Bezug auf Protokollierung, Speicherung oder Systemfunktionen, zu erfüllen hat, legt die TR-03153 fest.
Grundsätzlich besteht die TSE aus drei Bestandteilen:
- Einem Sicherheitsmodul zur Signaturerstellung: Dieses gewährleistet, dass Kasseneingaben mit Beginn des Aufzeichnungsvorgangs protokolliert und elektronisch signiert werden. Dadurch können sie zu einem späteren Zeitpunkt nicht mehr unbemerkt manipuliert werden.
- Einem nichtflüchtigen Speichermedium: Auf diesem werden die Einzelaufzeichnungen temporär oder für den Zeitraum der gesetzlichen Aufbewahrungspflicht gespeichert.
- Einer einheitlichen digitalen Schnittstelle (API): Hierbei ist zwischen einer optionalen einheitlichen Eingabeschnittstelle und einer verpflichtenden einheitlichen Exportschnittstelle für eine Archivierung oder eine Kassenprüfung zu unterscheiden.
Über die Eingabeschnittstelle übermittelt das elektronische Aufzeichnungssystem die Daten, die gesichert werden sollen, schrittweise an die TSE. Daraufhin vergibt das Sicherheitsmodul eine eindeutig fortlaufende Transaktionsnummer, erfasst Beginn, Zubuchungen und Ende der Transaktion und erzeugt währenddessen Prüfwerte (Signaturen) mit fortlaufenden Signaturzählern. Gespeichert werden die auf diese Weise erhaltenen Vorgangsdaten letztendlich auf dem Speichermedium. Für eine Archivierung oder eine Kassenprüfung können die abgesicherten Daten über die (Export-)Schnittstelle in einem einheitlichen Format abgerufen werden.
Ab 2020 ist durch ein TR-Zertifikat zu belegen, dass die TSE die Vorgaben der Technischen Richtlinie erfüllt. Das Sicherheitsmodul der TSE muss wiederum nach den Common Criteria (CC) evaluiert und zertifiziert sein. Im Rahmen dieser CC-Zertifizierung ist eine Konformität zu den Schutzprofilen [BSI PP-CSP] und [BSI PP-SMAERS] nachzuweisen.
Sanktionen und Übergangsregelungen
Grundsätzlich besteht ab Januar 2020 die Pflicht zum Einsatz eines elektronischen Aufzeichnungssystems mit zertifizierter Technischer Sicherheitseinrichtung. Sollten elektronische Kassensysteme bis dahin nicht entsprechend umgerüstet sein, müssen nicht nur Unternehmen, die das nicht ordnungsgemäße System nutzen, sondern auch Vertreiber dieser mit hohen Geldstrafen rechnen.
Eine Ausnahme gilt für Registrierkassen, die nach dem 25.11.2010 bzw. vor dem 01.01.2020 angeschafft wurden und die Vorgaben der Kassenrichtlinie erfüllen. Sind diese bauartbedingt nicht aufrüstbar, dürfen sie längstens bis zum 31. Dezember 2022 weiterverwendet werden.
Mit TÜViT zur TR-Zertifizierung
TÜViT kann ab sofort Herstellertests und Zertifizierungen nach TR-03153 anbieten. Unsere erfahrenen IT-Sicherheitsexperten begleiten Sie entlang des gesamten Zertifizierungsprozesses: Haben Sie sich für uns entschieden und einen Vertrag mit uns geschlossen, können Sie beim BSI einen Antrag auf Zertifizierung stellen. Im Anschluss daran prüfen wir Ihre Technische Sicherheitseinrichtung im Hinblick auf die Anforderungen der TR-03153 und erstellen Ihnen einen umfassenden Prüfbericht. Gleichzeitig übermitteln wir diesen an das BSI, das den Bericht zum Abschluss der Zertifizierung überprüft. Bei positivem Ergebnis stellt das BSI Ihnen das TR-Zertifikat aus.
Setzen Sie sich am besten bereits frühzeitig mit den Anforderungen der Zertifizierung auseinander und kontaktieren Sie uns.
Über TÜViT
Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit. Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 10.000 Mitarbeitern und Geschäftsaktivitäten in weltweit 70 Ländern als einer der größten Technologie-Dienstleister agiert.
TÜViT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP.
16.07.2019