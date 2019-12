Kurz vor knapp hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Freitag die ersten technischen Sicherheitseinrichtungen (TSE) für elektronische Registrierkassen zertifiziert. Nun also können Hersteller von Registrierkassen die geprüften Hardwaremodule von Epson und Swissbit einbauen, die digitale Aufzeichnungen vor nachträglichen Manipulationen schützen. Neu angeschaffte digitale Kassensysteme müssen vom 1. Januar 2020 an gemäß § 146a der Abgabenordnung über ein einschlägiges Sicherheitssystem verfügen.

Alle Eingaben müssen verschlüsselt erfasst werden

Diese Pflicht hatte der Bundestag vor drei Jahren mit dem Gesetz "zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen" beschlossen. Das Parlament wollte damit Umsatzsteuerbetrug durch Tricks an elektronischen Registrierkassen schärfer bekämpfen. Ältere, nicht nachrüstbare Modelle dürfen noch bis Ende 2022 betrieben werden.

Eine fiskalkonforme TSE muss demnach vom ersten Tastendruck an alle Eingaben in das System unveränderlich und verschlüsselt erfassen. Vorgeschrieben sind neben dem eigentlichen Sicherheitsmodul ein Speichermedium, auf dem die Aufzeichnungen für die Dauer der gesetzlichen Aufbewahrungsfrist archiviert werden, und eine einheitliche digitale Schnittstelle, die eine "reibungslose Datenübertragung" für Prüfungszwecke gewährleisten soll.

Ein Hersteller von Kassen oder dafür benötigter Software muss eine TSE nicht unbedingt selbst entwickeln und zertifizieren, sondern kann eine am Markt verfügbare Lösung in das System integrieren. Für die digitale Schnittstelle bestehen keine besonderen Anforderungen, sodass übliche Techniken wie USB, Ethernet oder SD-Karten zum Einsatz kommen können.

Epson und Swissbit haben die ersten Zertifikate ergattert

Epson bietet nach eigener Darstellung neben der nun zertifizierten USB-gestützten TSE für den direkten Einsatz an der Kasse und einem zugehörigen Server auch die zwei Druckermodelle TM-m30F und TM-T88VI-iHub-F an, deren Sicherheitsmodule ebenfalls bereits vom BSI freigegeben sind. Der Hersteller will so gewährleisten, dass sich die TSE "in der lokalen Umgebung der Kasse befindet und eine vorschriftsmäßige Absicherung auch offline funktioniert".

Das BSI hat einige TSE-Module für die manipulationssichere Aufzeichnung von Kassendaten zertifiziert, zum Beispiel das USB-Dongle "PU-50n" von Swissbit. (Bild: Swissbit )

Swissbit bietet die zertifizierte TSE mit der Zulassungsnummer BSI-K-TR-0362 für die wichtigsten Speicherschnittstellen in Form eines USB-Sticks, einer SD- sowie einer MicroSD-Karte an. Dies mache die Integration insbesondere bei der Nachrüstung bereits vorhandener Systeme ebenfalls einfach. Neben dem sicheren Fiskalspeicher, in dem die automatisch signierten Transaktionen gespeichert werden, enthält die Sicherheitseinrichtung laut dem Schweizer Unternehmen "einen von den Kassenherstellern frei nutzbaren Anwenderspeicher".

Die BSI-Zertifizierung der TSE erstreckt sich auf Maßnahmen nach der Technischen Richtlinie BSI TR-03153 sowie beim zugehörigen Sicherheitskernmodul nach den Schutzprofilen PP-SMAERS und PP-CSP (Common Criteria). In einer befristeten Einführungsphase kann die Freigabe nach PP-CSP übergangsweise durch ein Sicherheitsgutachten des BSI ersetzt werden.

Bonpflicht – und die Kassen dafür

Mit dem im Januar vollständig geltenden Gesetz ist auch die besonders umstrittene Bonpflicht verknüpft, an der das federführende Bundesfinanzministerium trotz Kritik etwa aus dem Wirtschaftsressort uneingeschränkt festhalten will. Ausgenommen davon hat der Gesetzgeber nur offene Handkassen etwa auf Wochenmärkten, Sportveranstaltungen und Volksfesten. Schätzungen zufolge entgehen dem Fiskus durch Mogelkassen mit Schummelsoftware ("Zapper") oder fingierte Rechnungen jedes Jahr Steuern in Milliardenhöhe. (ola)