Zum Inhalt springen

TR-03153 – entdeckt, erklärt

BSI TR-03153

KassenSichV: Zertifizierte technische Sicherheitseinrichtung (TSE) ist Pflicht

Um elektronische Kassensysteme vor solchen unerlaubten Eingriffen zu schützen, muss die Integrität, Authentizität und Vollständigkeit der entsprechenden Daten gewährleistet werden. Ermöglicht wird dies durch den Einsatz einer Technischen Sicherheitseinrichtung (TSE), die die aufzuzeichnenden Daten schützt und speichert. Diese muss nach der BSI TR-03153 zertifiziert sein.

Was ist die BSI TR-03153?

Die TSE stellt den zentralen technischen Baustein dar, um Grundaufzeichnungen gegen nachträgliche Manipulationen zu schützen. Welche Anforderungen diese, beispielsweise in Bezug auf Protokollierung, Speicherung oder Systemfunktionen, zu erfüllen hat, legt die TR-03153 fest.

Grundsätzlich besteht die TSE aus drei Bestandteilen:

  1. Einem Sicherheitsmodul zur Signaturerstellung: Dieses gewährleistet, dass Kasseneingaben mit Beginn des Aufzeichnungsvorgangs protokolliert und elektronisch signiert werden. Dadurch können sie zu einem späteren Zeitpunkt nicht mehr unbemerkt manipuliert werden.
  2. Einem nichtflüchtigen Speichermedium: Auf diesem werden die Einzelaufzeichnungen temporär oder für den Zeitraum der gesetzlichen Aufbewahrungspflicht gespeichert.
  3. Einer einheitlichen digitalen Schnittstelle (API): Hierbei ist zwischen einer optionalen einheitlichen Eingabeschnittstelle und einer verpflichtenden einheitlichen Exportschnittstelle für eine Archivierung oder eine Kassenprüfung zu unterscheiden.

Über die Eingabeschnittstelle übermittelt das elektronische Aufzeichnungssystem die Daten, die gesichert werden sollen, schrittweise an die TSE. Daraufhin vergibt das Sicherheitsmodul eine eindeutig fortlaufende Transaktionsnummer, erfasst Beginn, Zubuchungen und Ende der Transaktion und erzeugt währenddessen Prüfwerte (Signaturen) mit fortlaufenden Signaturzählern. Gespeichert werden die auf diese Weise erhaltenen Vorgangsdaten letztendlich auf dem Speichermedium. Für eine Archivierung oder eine Kassenprüfung können die abgesicherten Daten über die (Export-)Schnittstelle in einem einheitlichen Format abgerufen werden.

Mehr Infos vom BSI
Elektronische Kassensysteme

Besonderheiten der BSI TR-03153

  • Seit 2020 ist durch ein TR-Zertifikat zu belegen, dass die TSE die Vorgaben der Technischen Richtlinie erfüllt.
  • Das Sicherheitsmodul der TSE muss nach den Common Criteria (CC) evaluiert und zertifiziert sein. Im Rahmen dieser CC-Zertifizierung ist eine Konformität zu den Schutzprofilen [BSI PP-CSP] und [BSI PP-SMAERS] nachzuweisen.
  • Herausforderungen für die Steuerprüfung: Das Finanzamt sieht vor allem bei Geschäften mit Barzahlungen ein erhöhtes Risiko des Steuerbetrugs. Denn Manipulationen an den Aufzeichnungen sind ohne entsprechende Schutzmaßnahmen nur mit sehr hohem Aufwand feststellbar. Um elektronische Kassensysteme vor solchen unerlaubten Eingriffen zu schützen, muss die Integrität, Authentizität und Vollständigkeit der entsprechenden Daten gewährleistet werden. Finanzbehörden können diese bei Bedarf einfordern und auf Vollständigkeit und Richtigkeit hin überprüfen.

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie

TÜV NORD IT Secure Communication I Berlin
Zu den Beratungsleistungen Kontakt aufnehmen
Ziel erreicht?

Wir prüfen das

TÜV Informationstechnik I Essen
Zu den Prüfangeboten Kontakt aufnehmen

Häufig gestellte Fragen (FAQ)

Was Sie über die BSI TR-03153 wissen müssen

Die technische Sicherheitseinrichtung (TSE) stellt den zentralen technischen Baustein dar, um Grundaufzeichnungen von Kassensystemen gegen nachträgliche Manipulationen zu schützen.

Grundsätzlich weist die TSE drei Bestandteile auf:

  • Ein Sicherheitsmodul zur Signaturerstellung: Dieses gewährleistet, dass Kasseneingaben mit Beginn des Aufzeichnungsvorgangs protokolliert und elektronisch signiert werden. Dadurch können sie zu einem späteren Zeitpunkt nicht mehr unbemerkt manipuliert werden.

     
  • Ein nichtflüchtiges Speichermedium: Auf diesem werden die Einzelaufzeichnungen temporär oder für den Zeitraum der gesetzlichen Aufbewahrungspflicht gespeichert.

     
  • Eine einheitliche digitale Schnittstelle (API): Hierbei ist zwischen einer optionalen einheitlichen Eingabeschnittstelle und einer verpflichtenden einheitlichen Exportschnittstelle für eine Archivierung oder eine Kassenprüfung zu unterscheiden.

Von der KassenSichV betroffen sind alle elektronischen oder computergestützten Kassensysteme oder Registrierkassen, die für den Verkauf von Waren oder die Erbringung von Dienstleistungen eingesetzt werden, und auf deren Abrechnung spezialisierte elektronische Aufzeichnungssysteme, die „Kassenfunktion“ haben.

Kassenfunktion haben elektronische Aufzeichnungssysteme dann, wenn diese der Erfassung und Abwicklung von zumindest teilweise baren Zahlungsvorgängen dienen können. Das gilt auch für vergleichbare elektronische, vor Ort genutzte Zahlungsformen (z. B. Geldkarte, virtuelle Konten oder Bonuspunktesysteme von Drittanbietern) sowie anstelle von Geld angenommene Gutscheine, Guthabenkarten, Bons und dergleichen.

Eine Aufbewahrungsmöglichkeit des verwalteten Bargeldbestandes (z.B. Kassenlade) ist nicht erforderlich.

Generell besteht ab Januar 2020 die Pflicht zum Einsatz eines elektronischen Aufzeichnungssystems mit zertifizierter technischer Sicherheitseinrichtung. Haben Unternehmen bereits vor dem 31.12.2019 mit den technisch notwendigen Anpassungen und Aufrüstungen begonnen, greift zusätzlich die Nichtbeanstandungsregelung.

Eine Ausnahme gilt für Registrierkassen, die nach dem 25.11.2010 bzw. vor dem 01.01.2020 angeschafft wurden und die Vorgaben der Kassenrichtlinie erfüllen. Sind diese bauartbedingt nicht aufrüstbar, dürfen sie längstens bis zum 31. Dezember 2022 weiterverwendet werden.

Bei Unternehmen, die vor dem 31.12.2019 mit den technisch notwendigen Anpassungen und Aufrüstungen begonnen haben, greift die Nichtbeanstandungsregelung des  Bundesfinanzministeriums. In diesem Fall wird es bis zum 30.09.2020 nicht beanstandet, wenn elektronische Aufzeichnungssysteme noch nicht über eine zertifizierte technische Sicherheitseinrichtung verfügen. 

Es werden weder Kassensysteme oder Registrierkassen noch deren Software zertifiziert. Zertifiziert wird nur die montierte oder entfernt verbundene TSE.

Was Sie über CC-Zertifizierungen der TSE wissen müssen

Der Nachweis über die Sicherheitsanforderungen ist durch Sicherheitszertifizierungen nach Common Critieria mit den folgenden Schutzprofilen nachzuweisen:

Bei Cloud-basierten Lösungen kann die Komponente CSP in einem sicheren Rechenzentrum zentral betrieben werden. Wird ein hinreichend hohes physikalisches und organisatorisches Sicherheitsniveau für das Rechenzentrum nachgewiesen, kann alternativ eine Sicherheitszertifizierung nach folgenden Schutzprofilen erfolgen:

Im Rahmen der Einführungsphase ermöglicht das BSI eine befristete Übergangsphase für die Zertifizierung. Innerhalb dieser Übergangsphase kann eine noch nicht abgeschlossene CC-Zertifizierung des Sicherheitsmoduls nach dem Schutzprofil PP-CSP durch ein positives Gutachten des BSI ersetzt werden.

Weitere Informationen finden Sie auf der Website des BSI.

Die eigentliche Zertifizierung erfolgt durch das BSI als Zertifizierungsstelle. Die grundlegende Voraussetzung für diese Zertifizierung bildet allerdings die Prüfung durch eine anerkannten Prüfstelle wie TÜViT. Die Prüfung wird vom BSI begleitet und das Zertifikat bei einem positiven Ergebnis entsprechend ausgestellt.

Eine Übersicht über weitere häufig gestellte Fragen und Antworten finden Sie auf der Website des BSI.

Die Zertifikate für eine TSE sind üblicherweise auf fünf Jahre befristet. Sie können durch eine Neubewertung verlängert werden. Werden im Rahmen der Neubewertung Schwachstellen bekannt, die durch eine Softwareupdate behoben werden können, ist eine Rezertifizierung notwendig.

Noch nicht fündig geworden?

Eine Person reicht im Bezahlvorgang eine Kreditkarte über ein EC-Gerät hinweg.
HSMs und Secure Server
Eine Frau arbeitet am Schreibtisch in einem Hardwarelabor.
Common Criteria
IT-Grundschutz