Zertifizierte technische Sicherheitseinrichtungen

Gemäß der Abgabenordnung (§ 146a AO) und der Kassensicherungsverordnung (KassenSichV) müssen elektronische Aufzeichnungssysteme (elektronische oder computergestützte Kassensysteme oder Registrierkassen) ab dem 1. Januar 2020 mit einer zertifizierten technischen Sicherheitseinrichtung geschützt werden, um nachträglichen Manipulationen elektronischer Aufzeichnungen entgegenzuwirken und digitale Grundaufzeichnungen von elektronischen Kassen für die Steuerprüfung kryptografisch abzusichern.

Das Bundesamt für Sicherheit und Informationstechnik (BSI) hat dazu eine neue Version der „Technischen Richtlinien für Sicherheitseinrichtungen elektronischer Aufzeichnungssysteme“ veröffentlicht. Die dazugehörigen technischen Anforderungen vom BSI werden in den Richtlinien BSI TR-03153, BSI TR-03151 und BSI TR-03116-5 festgelegt. Diese unterstützen insbesondere das Verfahren der Steuerprüfung. Dieses hat sich im Zuge der Digitalisierung stark verändert, da heutzutage immer häufiger Geschäftsvorfälle elektronisch abgebildet werden und nachträgliche Veränderungen ohne geeignete Schutzmaßnahmen nicht oder nur mit sehr hohem Aufwand feststellbar sind. Das Gesetz zum Schutz vor Manipulation an digitalen Grundaufzeichnungen verfolgt das Ziel, Manipulationen an solchen Aufzeichnungen weiter zu erschweren, und setzt hierzu auf die Einführung einer zertifizierten technischen Sicherheitseinrichtung (TSE).

Die TSE besteht im Wesentlichen aus drei Bausteinen:

  • einem Sicherheitsmodul,
  • einem Speichermedium und
  • einer einheitlichen digitalen Schnittstelle.

Das Sicherheitsmodul garantiert die sichere und später unveränderbare Protokollierung der Kasseneingaben, von Beginn des Aufzeichnungsvorgangs an. Alle Einzelaufzeichnungen werden anschließend auf dem Speichermedium für die Dauer der gesetzlichen Aufbewahrungsfrist gespeichert. Die digitale Schnittstelle soll die reibungslose Datenübertragung gewährleisten und somit Prüfungsverfahren vereinfachen.Auf diese Weise wird zum einem die Authentizität und Integrität und damit die Herkunft, Echtheit und Unverfälschbarkeit der aufgezeichneten Daten sichergestellt. Darüber hinaus wird das Sicherheitsziel der Vollständigkeit umgesetzt, indem auch Lücken der Aufzeichnung nachvollziehbar sind. Zudem wird eine zeitgerechte Aufzeichnung garantiert, die alle relevanten Vorgänge unmittelbar erfasst.

Die detaillierten Anforderungen an die technischen Grundbausteine und an die elektronische Aufbewahrung werden vom BSI entwickelt und in den oben genannten Technischen Richtlinien umfassend beschrieben. Die TSE muss nicht vom Kassen- oder Kassensoftwarehersteller entwickelt oder zertifiziert werden. Eine auf dem Markt verfügbare TSE kann in ein Kassensystem integriert werden. Es ist vorgesehen, die Anforderungen an das Sicherheitsmodul technologieneutral in einem Schutzprofil nach ISO/IEC 15408 (Common Criteria) festzulegen. Zur Erfüllung dieser Sicherheitsanforderungen müssen Hersteller ihre technische Sicherheitseinrichtung daher beim BSI zertifizieren lassen. Im Rahmen einer Zertifizierung nach den Technischen Richtlinien wird geprüft, ob das Speichermedium und die digitale Schnittstelle den Interoperabilitäts- und Verfügbarkeitsanforderungen genügen, die in den Technischen Richtlinien definiert sind. Generell begrenzt sich die Zertifizierungspflicht auf die technische Einrichtung, mit der die Aufzeichnungen des Kassensystems mit Beginn des Aufzeichnungsvorgangs zu sichern sind. Eine Zertifizierung der Kasse (oder Kassensoftware) selbst ist nicht vorgesehen. Damit wird die flexible Integration in bestehende Kassensysteme ermöglicht.

Fazit
Wir empfehlen, frühzeitig die Umsetzung der Maßnahmen bei den jeweiligen Kassensystemherstellern zu erfragen und die notwendigen Schritte einzuleiten, um den Anforderungen zu genügen. Eine Verpflichtung zur Einführung elektronischer Kassensysteme ergibt sich aus der KassenSichV und der Abgabenordnung explizit nicht.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Köln
Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM)
Ingo Kreutz
+49 (0)2203 8997-217
 
Leitung IT-Revision
Solidaris Revisions-GmbH
Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft
Schwerpunkte
  • Informationssicherheitsmanagement (ISMS)
  • IT-Systemprüfungen und Prozessanalysen
  • Begleitung von Softwaremigrationen
Veröffentlichungen in der Fachpresse
2016
  • Steuerung von IT-Risiken: Health&Care Management, 11/2016, S. 66-67.