Bundesamt für Sicherheit in der Informationstechnik

BSI veröffentlicht Richtlinien für Sicherheitseinrichtungen von elektronischen Kassen

Datum 08.06.2018

Das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht Technische Richtlinien für Sicherheitseinrichtungen von elektronischen Aufzeichnungssystemen. Die Richtlinien machen Vorgaben, wie Aufzeichnungen von elektronischen Kassen zur Steuerprüfung kryptographisch abgesichert werden.

Im Zuge der Digitalisierung kommen beim Verkauf von Waren und Dienstleistungen heutzutage in der Regel elektronische Kassensysteme zum Einsatz. Hierdurch hat sich das technische Umfeld des Besteuerungsverfahrens stark verändert. So sind nachträgliche Manipulationen an Aufzeichnungen elektronischer Kassen, wie zum Beispiel das Löschen ganzer Transaktionen, ohne entsprechende Schutzmaßnahmen nur mit sehr hohem Aufwand feststellbar.
Das „Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen“ geht gegen die Manipulationen an solchen Aufzeichnungen vor. Der zentrale technische Baustein zur Umsetzung des Gesetzes ist die Einführung einer technischen Sicherheitseinrichtung. Dem Gesetz folgend, legt das BSI die Anforderungen an diese technische Sicherheitseinrichtung fest.

Ab dem Jahr 2020 müssen elektronische Kassen über eine zertifizierte technische Sicherheitseinrichtung verfügen, die aus drei Bestandteilen besteht: einem Sicherheitsmodul zur Signaturerstellung, einem Speichermedium und einer einheitlichen digitalen Schnittstelle (API).
Nach dem Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen bezieht sich die Zertifizierungspflicht nicht auf die Kassen selber, sondern beschränkt sich auf die technische Sicherheitseinrichtung, mit der die Aufzeichnungen zu sichern sind.

Die Technischen Richtlinien richten sich in der Hauptsache an Kassenhersteller und Hersteller von Technischen Sicherheitseinrichtungen. Mit der Veröffentlichung der TR-03151, TR-03153 und TR-03116-5 können Hersteller von Sicherheitseinrichtungen diese nun konform zu den Vorgaben des BSI und damit dem Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen entwickeln und dem Markt zur Verfügung stellen.

Generelle Informationen zu dem Thema finden sich unter:
https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/Grundaufzeichnungen/grundaufzeichnungen_node.html

Links zu den einzelnen Richtlinien:

BSI TR-03153 Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme
https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03153/index_htm.html

BSI TR-03151 Secure Element API (SE API)
https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03151/index_htm.html

BSI TR-03116 Kryptographische Vorgaben für Projekte der Bundesregierung
Teil 5: Anwendungen der Secure Element API
https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03116/index_htm.html

Link zum Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen
http://www.bundesfinanzministerium.de/Content/DE/Gesetzestexte/Gesetze_Verordnungen/2016-12-28-G-z-Schutz-v-Manipulationen-an-digitalen-Grundaufzeichnungen.html