TR-03153 – entdeckt, erklärt
KassenSichV: Zertifizierte technische Sicherheitseinrichtung (TSE) ist Pflicht
Um elektronische Kassensysteme vor solchen unerlaubten Eingriffen zu schützen, muss die Integrität, Authentizität und Vollständigkeit der entsprechenden Daten gewährleistet werden. Ermöglicht wird dies durch den Einsatz einer Technischen Sicherheitseinrichtung (TSE), die die aufzuzeichnenden Daten schützt und speichert. Diese muss nach der BSI TR-03153 zertifiziert sein.
Die TSE stellt den zentralen technischen Baustein dar, um Grundaufzeichnungen gegen nachträgliche Manipulationen zu schützen. Welche Anforderungen diese, beispielsweise in Bezug auf Protokollierung, Speicherung oder Systemfunktionen, zu erfüllen hat, legt die TR-03153 fest.
Grundsätzlich besteht die TSE aus drei Bestandteilen:
Über die Eingabeschnittstelle übermittelt das elektronische Aufzeichnungssystem die Daten, die gesichert werden sollen, schrittweise an die TSE. Daraufhin vergibt das Sicherheitsmodul eine eindeutig fortlaufende Transaktionsnummer, erfasst Beginn, Zubuchungen und Ende der Transaktion und erzeugt währenddessen Prüfwerte (Signaturen) mit fortlaufenden Signaturzählern. Gespeichert werden die auf diese Weise erhaltenen Vorgangsdaten letztendlich auf dem Speichermedium. Für eine Archivierung oder eine Kassenprüfung können die abgesicherten Daten über die (Export-)Schnittstelle in einem einheitlichen Format abgerufen werden.
Die technische Sicherheitseinrichtung (TSE) stellt den zentralen technischen Baustein dar, um Grundaufzeichnungen von Kassensystemen gegen nachträgliche Manipulationen zu schützen.
Grundsätzlich weist die TSE drei Bestandteile auf:
Von der KassenSichV betroffen sind alle elektronischen oder computergestützten Kassensysteme oder Registrierkassen, die für den Verkauf von Waren oder die Erbringung von Dienstleistungen eingesetzt werden, und auf deren Abrechnung spezialisierte elektronische Aufzeichnungssysteme, die „Kassenfunktion“ haben.
Kassenfunktion haben elektronische Aufzeichnungssysteme dann, wenn diese der Erfassung und Abwicklung von zumindest teilweise baren Zahlungsvorgängen dienen können. Das gilt auch für vergleichbare elektronische, vor Ort genutzte Zahlungsformen (z. B. Geldkarte, virtuelle Konten oder Bonuspunktesysteme von Drittanbietern) sowie anstelle von Geld angenommene Gutscheine, Guthabenkarten, Bons und dergleichen.
Eine Aufbewahrungsmöglichkeit des verwalteten Bargeldbestandes (z.B. Kassenlade) ist nicht erforderlich.
Generell besteht ab Januar 2020 die Pflicht zum Einsatz eines elektronischen Aufzeichnungssystems mit zertifizierter technischer Sicherheitseinrichtung. Haben Unternehmen bereits vor dem 31.12.2019 mit den technisch notwendigen Anpassungen und Aufrüstungen begonnen, greift zusätzlich die Nichtbeanstandungsregelung.
Eine Ausnahme gilt für Registrierkassen, die nach dem 25.11.2010 bzw. vor dem 01.01.2020 angeschafft wurden und die Vorgaben der Kassenrichtlinie erfüllen. Sind diese bauartbedingt nicht aufrüstbar, dürfen sie längstens bis zum 31. Dezember 2022 weiterverwendet werden.
Bei Unternehmen, die vor dem 31.12.2019 mit den technisch notwendigen Anpassungen und Aufrüstungen begonnen haben, greift die Nichtbeanstandungsregelung des Bundesfinanzministeriums. In diesem Fall wird es bis zum 30.09.2020 nicht beanstandet, wenn elektronische Aufzeichnungssysteme noch nicht über eine zertifizierte technische Sicherheitseinrichtung verfügen.
Es werden weder Kassensysteme oder Registrierkassen noch deren Software zertifiziert. Zertifiziert wird nur die montierte oder entfernt verbundene TSE.
Der Nachweis über die Sicherheitsanforderungen ist durch Sicherheitszertifizierungen nach Common Critieria mit den folgenden Schutzprofilen nachzuweisen:
Bei Cloud-basierten Lösungen kann die Komponente CSP in einem sicheren Rechenzentrum zentral betrieben werden. Wird ein hinreichend hohes physikalisches und organisatorisches Sicherheitsniveau für das Rechenzentrum nachgewiesen, kann alternativ eine Sicherheitszertifizierung nach folgenden Schutzprofilen erfolgen:
Im Rahmen der Einführungsphase ermöglicht das BSI eine befristete Übergangsphase für die Zertifizierung. Innerhalb dieser Übergangsphase kann eine noch nicht abgeschlossene CC-Zertifizierung des Sicherheitsmoduls nach dem Schutzprofil PP-CSP durch ein positives Gutachten des BSI ersetzt werden.
Weitere Informationen finden Sie auf der Website des BSI.
Die eigentliche Zertifizierung erfolgt durch das BSI als Zertifizierungsstelle. Die grundlegende Voraussetzung für diese Zertifizierung bildet allerdings die Prüfung durch eine anerkannten Prüfstelle wie TÜViT. Die Prüfung wird vom BSI begleitet und das Zertifikat bei einem positiven Ergebnis entsprechend ausgestellt.
Eine Übersicht über weitere häufig gestellte Fragen und Antworten finden Sie auf der Website des BSI.
Die Zertifikate für eine TSE sind üblicherweise auf fünf Jahre befristet. Sie können durch eine Neubewertung verlängert werden. Werden im Rahmen der Neubewertung Schwachstellen bekannt, die durch eine Softwareupdate behoben werden können, ist eine Rezertifizierung notwendig.