Technische Sicherheitseinrichtung Die Artikel Kassennachschau und Kassensicherungsverordnung überschneiden sich thematis

Grundsätzlich setzt die KassenSichV voraus, dass Betreiber elektronischer Registrierkassen ab 1. Januar 2020 eine zertifizierte technische Sicherheitseinrichtung (TSE) integriert haben und fortan verwenden. Da bis Anfang November 2019 noch keine zertifizierte TSE auf dem Markt verfügbar war, erließ das Bundesfinanzministerium am 6. November 2019 eine Nichtbeanstandungsregelung. Kassenbetreiber hatten danach grundsätzlich eine verlängerte Frist bis zum 30. September 2020 und wurden in diesem Zeitraum nicht beanstandet, wenn sie die Bedingungen der KassenSichV nicht eingehalten haben und damit de facto nicht GoBD-konform wären. Nahezu alle Bundesländer haben im Juli 2020 weiterführende Nichtbeanstandungsregelungen bis zum 31. März 2021 erlassen.

Kassenbetreiber stehen in der Verpflichtung, sich eigenständig so bald wie möglich um die Umrüstung ihrer Kassen zu kümmern. Die erwarteten Anschaffungskosten für eine zertifizierte technische Sicherheitseinrichtung von ca. 250 € tragen sie selbst, diese 250 € beziehen sich lediglich auf die TSE selbst, andere Kosten wie zum Beispiel Softwareupdates machen die tatsächliche Umrüstung um einiges teurer.

Für Registrierkassen, die aufgrund ihrer Bauart nachweisbar nicht umrüstbar sind und nach dem 25. November 2010 und vor dem 1. Januar 2020 angeschafft wurden, galt eine Übergangsfrist bis zum 31. Dezember 2022.

Mit Einbau der TSE geht auch die Meldepflicht der Kassen einher. Jede Registrierkasse muss ab Verwendung der TSE innerhalb von vier Wochen dem zuständigen Finanzamt gemeldet werden. Die Meldepflicht ist jedoch mit der Nichtbeanstandungsregelung vom 6. November 2019 solange ausgesetzt, bis eine digitale Übermittlungsmöglichkeit besteht.

Da eine Technische Sicherheitseinrichtung nur sichern kann, was auch in die Kassen eingegeben wurde, ist für die Eindämmung von Steuerbetrug darüber hinaus eine Belegausgabepflicht notwendig. In der Vergangenheit gab es eine ganze Reihe von Betrugsszenarien, die nun entweder von der TSE, der „Bonpflicht“ oder beidem zusammen verhindert werden sollen. Dazu kann das Finanzamt – und nur dieses – die auf einem Kassenbon ausgedruckte Signatur bzw. deren QR-Code-Darstellung prüfen, ob sie von einer angemeldeten TSE passend zu den auf dem Kassenbon dokumentierten Umsatzdaten generiert wurde. Rechtlich wurde dieser Prüfvorgang als Teil der sogenannten Kassennachschau in § 146b AO abgesichert.

Die Entwicklung und Herstellung von TSE verlangt die genaueste Beachtung und Umsetzung umfangreicher Spezifikationen und die Verwendung einer zertifizierten Public Key Infrastructure (PKI). TSE-Hersteller müssen keine formalen Voraussetzungen erfüllen – theoretisch kann Jeder eine TSE bei den benannten Prüfstellen einreichen und zertifizieren lassen. In der Umsetzung gilt laut Bundesamt für Sicherheit in der Informationstechnik (BSI) der Grundsatz der Technologieoffenheit. Neben Hardware-Lösungen, bei denen die Speicherung auf einem physischen Medium vor Ort erfolgt (z. B. auf SD-Karten oder USB-Sticks), sind auch Cloud-Lösungen verfügbar. Alle TSE-Lösungen basieren aufgrund von BSI-Vorgaben auf Hardware-Sicherheitsankern. Reine Software-Lösungen sind nicht möglich.

Für die Zertifizierung von TSE müssen insgesamt mindestens 5 Teilzertifizierungen erbracht werden:

• Sicherheitszertifizierung der verwendeten Hardware-Plattform (Smartcard-Chip bei Hardware-TSE oder zertifizierter Server für Cloud-TSE)
• Sicherheitszertifizierung der Komponente „Crypto Service Provider“ (CSP) – Kern der kryptografischen Operationen
• Sicherheitszertifizierung der Komponente „Secure Module Application“ (SMA bzw. SMAERS) – kassenspezifische Sicherheitsmodulapplikation
• Zertifizierung der verwendeten Public Key Infrastructure (PKI) nach Technischer Richtlinie TR-03145-1 (zusätzlich Zertifizierung nach TR-03145-5 in Planung des BSI)
• Funktionale Zertifizierung der gesamten TSE nach TR-03153

Im Fall von Cloud-TSE sind überdies Zertifizierungen des Rechenzentrums, in dem die TSE betrieben wird, erforderlich.

Die Laufzeiten der einzelnen Teilzertifizierungen liegen zwischen 3 Jahren mit jährlicher Auditierung (PKI) und 8 Jahren (TR-03153) – bei i. d. R. unterschiedlichen Startzeitpunkten. Zu beachten ist, dass die TSE nur so lange verwendet werden darf, wie sämtliche Teilzertifizierungen noch gültig sind. Zertifizierungen können regulär auslaufen oder – z. B. bei einem nicht bestandenen Audit oder im Fall einer bekannt gewordenen Sicherheitslücke – vom BSI zurückgezogen werden. Diese Anforderungen führen zu besonderen Herausforderungen für TSE-Hersteller und Unsicherheiten für TSE-Nutzer, da TSE-Hersteller aufgrund der komplexen Zertifizierungsbedingungen und abweichender Verantwortlichkeiten für die Zertifizierung der PKI und der Hardware-Plattform die tatsächliche Laufzeit ihrer TSE nicht garantieren können.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bisher acht Prüfstellen autorisiert, welche Komponenten der eingereichten technischen Sicherheitseinrichtungen auf Konformität mit den zugrunde liegenden Technischen Richtlinien und Schutzprofilen prüfen dürfen. Dabei sind nicht alle Prüfstellen für die Prüfung sämtlicher Komponenten von TSE zugelassen.

• TÜV Informationstechnik GmbH
• SRC Security Research & Consulting GmbH
• Fraunhofer IOF
• CTC advanced GmbH
• Datenschutz cert GmbH
• IABG Industrieanlagen-Betriebsgesellschaft mbH
• MTG AG
• secunet Security Networks AG

Die eigentliche Zertifizierung erfolgt im Anschluss an die Prüfungen der Prüfstelle und Begutachtung durch das jeweilige BSI-Fachreferat durch die Zertifizierungsstelle des BSI.

Im Dezember 2019 befanden sich mehrere TSE als USB-Stick und SD-Karten Format sowie TSE-Cloud-Lösungen im Zertifizierungsprozess. Am 20. Dezember 2019 erhielten EPSON und Swissbit die ersten Zertifikate für zertifizierte TSE. Als erste funktionierende TSEs ging die USB- und SD-Lösungen des Unternehmens Swissbit hervor, welche im DFKA Feldtest durch die Projektleitung von Gastro-MIS (Mitglied der Arbeitsgruppe Taxonomie) bereits erfolgreich getestet worden waren. Die Signaturzertifikate dieser TSEs laufen üblicherweise für 5 Jahre plus 6 Monate Toleranz für Logistik und die Einbindung in die Kasse. Eine Ausnahme machen die TSEs von Diebold Nixdorf, die 7 Jahre Zertifikatslaufzeit bieten. Nach Ablauf des Signaturzertifikats oder beim Auslaufen oder Zurückziehen einer (Teil-)zertifizierung muss die TSE ersetzt werden. EPSON (in BON-Drucker integrierbar) und Diebold Nixdorf (7 Jahres-TSE) bieten ebenso TSE-Module an. Ein weiterer Anbieter eines solchen TSE-Moduls ist D-TRUST, ein Unternehmen der Bundesdruckerei GmbH, und ihr Technologie-Partner cryptovision, die eine zertifizierte TSE in Form einer adaptierbaren microSD-Karte anbieten. Ende September 2020 wurde außerdem eine Cloud-TSE der D-TRUST zertifiziert. Im Mai 2021 wurde die Cloud-TSE der fiskaly GmbH mit einer Laufzeit bis Mai 2029 zertifiziert. Alle bisher zertifizierten TSE lassen sich per Netzwerk oder lokal anbinden.

Generell wird zwischen Hardware-TSE (HW-TSE) und sogenannten Cloud-TSE unterschieden. HW-TSE kombinieren dabei die Funktionsgruppen CSP (Crypto-Service-provider) und SMAERS (Security Module Application for Electronic Record Keeping Systems) in einem Hardware-Modul. Cloud-TSE trennen typischerweise CSP und SMAERS örtlich, wobei die SMAERS Komponente als Software-Bibliothek in der Kassen-Software integriert oder integrierbar ist und der CSP in einem Rechenzentrum betrieben wird. Die für den Betrieb der TSE geltenden Anforderungen sind im Konformitätsbericht der TSE sowie dem sogenannten Umgebungsschutzkonzept der jeweiligen TSE beschrieben und beim TSE-Herausgeber anzufragen.

Als Zwitter zwischen Cloud- und lokaler TSE gilt eine LAN-TSE, wo sich eine oder mehrere HW-TSE an zentraler Stelle im Laden befinden und diese über das lokale Netzwerk von den Kassen ohne Hardwareeingriff ansprechen lassen. Somit kommt der SMAERS Komponente besondere Bedeutung zu. Das aktuelle SMAERS Schutzprofil liegt in V 1.0 vor. Die zertifizierten HW-TSE verwenden das vorige zertifizierte SMAERS Schutzprofil V 0.7.5, was keinen Mangel darstellt, sondern in der früheren Zertifizierung begründet ist.

Die Hardware-TSEs der meisten Hersteller sind entweder für 5 oder 7 Jahre zertifiziert.

Diese nachfolgende Liste zeigt eine Übersicht über die aktuellen, jüngsten Zertifikate mit Stichtag 1. Juni 2023. Es kann vorkommen, dass ältere Zertifikate im Markt zum Einsatz kommen. Deren Laufzeit kann kürzer sein als diese hier genannten.

Eine TSE besteht aus mehreren zertifizierten Komponenten. Siehe dazu die Ausführungen im Abschnitt „Zertifizierung“. Alle Komponenten müssen jederzeit eine gültige Zertifizierung aufweisen. Der Nachweis der Zertifizierung erfolgt durch die Vorlage des jeweiligen Zertifikats mit dem dazugehörigen Konformitäts- bzw. Zertifizierungsbericht.

Es gibt 4 Hersteller mit zertifizierten TSE sowie mehrere White-Label-Lösungen. Davon bietet die Swissbit die TSE als reine Hardware an (USB-Stick, SD-Card), Bundesdruckerei/D-Trust bietet über ihren Partner DF Deutsche Fiskal eine Cloud-TSE mit einer lokalen Komponente und fiskaly eine Cloud-TSE mit zentraler SMAERS-Komponente. Die Zertifizierung einer neuen Hardware-TSE (cryptovision TSE 2.0) des Herstellers cv cryptovision wurde am 25. Mai 2023 abgeschlossen.

Jeder Kassenvorgang wird auf der TSE gespeichert und von dieser elektronisch signiert. Hierbei wird ein Verkettungsprinzip angewendet. Jede Transaktion bekommt eine elektronische Signatur, einen Signaturzähler sowie einen Zeitstempel. Somit lässt sich jede Signatur nur exakt einmal fertigen. So wird sichergestellt, dass es unmöglich ist, im Nachhinein Änderungen an der Kette der Transaktionen vorzunehmen, ohne dass dies nachweisbar wäre. Die technische Sicherheitseinrichtung kann folglich vom Finanzamt mit einer Prüfsoftware auf Manipulation, Lücken und Veränderungen überprüft werden. Von allen Transaktionen wird ein Journal gespeichert, welches jederzeit für das Finanzamt exportierbar sein muss. Die Datei mit den exportierten Daten hat das tar-Format.

Die Korrektheit der TSE-Anbindung wird von Finanzprüfern im Rahmen einer Kassennachschau (Kurzform) oder Betriebsprüfung (Langform) überprüft. Dafür wird der Betrieb zunächst inkognito aufgesucht, eine Bestellung getätigt und der Bon unnachgefragt in Empfang genommen. Die sich auf dem Bon in Klartext befindlichen Daten werden dann unter anderem mithilfe der TSE-Signatur mit den von der TSE gesicherten Daten verglichen. Dafür benötigt der Prüfer eine Software, die die TSE-Daten rekonstruieren und das Zertifikat validieren kann. Sind die Daten stimmig, ist die Prüfung beendet. Sind sie es nicht, beginnt die Betriebsprüfung. Für die Betriebsprüfung werden zusätzliche Daten standardisiert per DSFinV-K Schnittstelle aus der Kasse exportiert, welche mit den TSE-Daten übereinstimmen sollten.

• BSI TR-03153 Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme
• Liste der zertifizierten TSE-Lösungen auf der Website des Bundesamts für Sicherheit in der Informationstechnik
• Liste der in Zertifizierung befindlichen Produkte auf der Website des Bundesamts für Sicherheit in der Informationstechnik
• Anschauliche Beschreibung der Kassennachschau

1. Verordnung zur Bestimmung der technischen Anforderungen an elektronische Aufzeichnungs- und Sicherungssysteme im Geschäftsverkehr (Kassensicherungsverordnung – KassenSichV). Bundesamt für Justiz, 26. September 2017, abgerufen am 18. Januar 2021. 
2. Nichtbeanstandungsregelung. (PDF) Bundesfinanzministerium, 6. November 2019, abgerufen am 6. November 2019. 
3. ZDH - Keine bundeseinheitliche Verlängerung der Nichtbeanstandungsregelung für die Aufrüstung von Kassen. 30. Juli 2020, abgerufen am 3. Dezember 2020. 
4. Bayerisches Landesamt für Steuern: Meldepflicht für elektronische Kassensysteme. Abgerufen am 24. Juli 2020. 
5. Abgabenordnung - § 146b Kassen-Nachschau. Abgerufen am 24. Juli 2020. 
6. Swissbit TSE für den Fiskalmarkt – einfach steckbar. - Swissbit. Abgerufen am 24. Juli 2020. 
7. BSI - Presseinformationen des BSI - BSI zertifiziert technische Sicherheitseinrichtungen für Kassensysteme. Abgerufen am 24. Juli 2020. 
8. gemeinsame Presseinformation von Swissbit und Gastro-MIS. Abgerufen am 26. Februar 2020. 
9. EPSON: EPSON Fiskal Lösungen. In: EPSON Website. EPSON, 24. Juli 2020, abgerufen am 24. Juli 2020. 
10. Diebold Nixdorf -. Abgerufen am 24. Juli 2020. 
11. Bundesdruckerei Technische Sicherungseinrichtung (TSE) für Kassensysteme. Abgerufen am 7. April 2021. 
12. Erfolgreicher Rollout und rechtssicherer Betrieb der Cloud-TSE von Deutsche Fiskal und D-TRUST. Abgerufen am 7. April 2021. 
13. heise online: Erste Cloudanwendung zur Umsetzung der Kassensicherungsverordnung zertifiziert. Abgerufen am 18. Januar 2021. 
14. BSI - Technische Sicherheitseinrichtungen für elektronische Aufzeichnungssysteme - BSI-K-TR-0369-2020. Abgerufen am 18. Januar 2021. 
15. BSI-K-TR-0403-2021. Abgerufen am 29. Oktober 2021. 
16. Zertifizierung | fiskaly. Abgerufen am 29. Oktober 2021 (englisch). 
17. prohandel - Warenwirtschaft für Sie gemacht - News. Abgerufen am 29. Oktober 2021. 
18. SMAERS Schutzprofil V1.0. Abgerufen am 5. August 2020. 
19. Technische Sicherheitseinrichtungen. Abgerufen am 19. März 2021. 
20. Kassen-Nachschau – Amadeus360. Abgerufen am 7. März 2021 (deutsch). 
21. AmadeusVerify – Amadeus360. Abgerufen am 7. März 2021 (deutsch). 
22. Kassennachschau: so läuft Prüfung bei TSE-Kassen. In: Gastgewerbe-Magazin. 7. Oktober 2020, abgerufen am 7. März 2021 (deutsch). 
23. DSFinV-K – Amadeus360. Abgerufen am 7. März 2021 (deutsch).