Bundesamt für Sicherheit in der Informationstechnik

Schutz vor Manipulation an digitalen Grundaufzeichnungen

Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme

Im Zuge der Digitalisierung kommen beim Verkauf von Waren und Dienstleistungen heutzutage in der Regel elektronische Kassensysteme oder Registrierkassen (elektronische Aufzeichnungssysteme) zum Einsatz. Hierdurch hat sich das technische Umfeld des Besteuerungsverfahrens stark verändert. So sind nachträgliche Manipulation an Aufzeichnungen elektronischer Kassensysteme (digitale Grundaufzeichnungen) ohne entsprechende Schutzmaßnahmen nur mit sehr hohem Aufwand feststellbar.

Das Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen hat daher zum Ziel Manipulation an solchen Aufzeichnungen weiter zu erschweren. Der zentrale technische Baustein zur Umsetzung des Gesetzesentwurfs ist die Einführung einer technischen Sicherheitseinrichtung.

Ansprechpartner für das Gesetz ist das zuständige Bundesministerium der Finanzen.

Ab dem Jahr 2020 müssen elektronische Aufzeichnungssysteme über eine zertifizierte technische Sicherheitseinrichtung verfügen, die aus drei Bestandteilen besteht:

  • Sicherheitsmodul:
    Das Sicherheitsmodul gewährleistet, dass Kasseneingaben mit Beginn des Aufzeichnungsvorgangs protokolliert und später nicht mehr unerkannt verändert werden können.
  • Speichermedium:
    Auf dem Speichermedium werden die Einzelaufzeichnungen für die Dauer der gesetzlichen Aufbewahrungsfrist gespeichert.
  • einheitliche digitale Schnittstelle:
    Die digitale Schnittstelle soll eine reibungslose Datenübertragung, für Prüfungszwecke gewährleisten.

Ein Kassenhersteller oder Kassensoftware-Hersteller muss eine technische Sicherheitseinrichtung nicht unbedingt selbst entwickeln und zertifizieren, sondern kann eine am Markt verfügbare technische Sicherheitseinrichtung in das Kassensystem integrieren. Durch die einheitliche digitale Schnittstelle der technischen Sicherheitseinrichtung soll auch die Integration vereinfacht werden. Insbesondere sind für die digitale Schnittstelle keine besonderen Anforderungen an die physikalische Schnittstelle geplant, so dass übliche Standardschnittstellen wie z.B. USB, Ethernet, SD-Karten, etc. zum Einsatz kommen können.

Anforderungen an die Zertifizierung der technischen Sicherheitseinrichtung

Die Zertifizierungspflicht beschränkt sich auf die technische Sicherheitseinrichtung, mit der die Aufzeichnungen des Kassensystems mit Beginn des Aufzeichnungsvorgangs zu sichern sind. Eine Zertifizierung der Kasse (oder Kassensoftware) selbst ist nicht vorgesehen. Hierdurch soll eine weitgehend flexible Integration in bestehende Kassensysteme ermöglicht werden.

Die detaillierten Anforderungen an das Sicherheitsmodul, das Speichermedium, die digitale Schnittstelle sowie die elektronische Aufbewahrung werden nun vom BSI entwickelt und im Anschluss in technischen Richtlinien und Schutzprofile veröffentlicht.

Es ist vorgesehen, die Anforderungen an das Sicherheitsmodul technologieneutral in einen Schutzprofil nach ISO/IEC 15408 (Common Criteria) festzulegen. Zur Erfüllung dieser Sicherheitsanforderungen müssen Hersteller ihre technische Sicherheitseinrichtung beim BSI zertifizieren lassen.

Für das Speichermedium und die digitale Schnittstelle sind Interoperabilitäts- Verfügbarkeitsanforderungen vorgesehen, welche in einer Technischen Richtlinie definiert und im Rahmen einer Zertifizierung nach Technischen Richtlinien geprüft werden.