Bundesamt für Sicherheit in der Informationstechnik

Schutz vor Manipulation an digitalen Grundaufzeichnungen

Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme

Im Zuge der Digitalisierung kommen beim Verkauf von Waren und Dienstleistungen heutzutage in der Regel elektronische Kassensysteme oder Registrierkassen (elektronische Aufzeichnungssysteme) zum Einsatz. Hierdurch hat sich das technische Umfeld des Besteuerungsverfahrens stark verändert. So sind nachträgliche Manipulation an Aufzeichnungen elektronischer Kassensysteme (digitale Grundaufzeichnungen) ohne entsprechende Schutzmaßnahmen nur mit sehr hohem Aufwand feststellbar.

Das Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen hat daher zum Ziel Manipulation an solchen Aufzeichnungen weiter zu erschweren. Der zentrale technische Baustein zur Umsetzung des Gesetzesentwurfs ist die Einführung einer technischen Sicherheitseinrichtung.

Ansprechpartner für das Gesetz ist das zuständige Bundesministerium der Finanzen.

Ab dem Jahr 2020 müssen elektronische Aufzeichnungssysteme über eine zertifizierte technische Sicherheitseinrichtung verfügen, die aus drei Bestandteilen besteht:

  • Sicherheitsmodul:
    Das Sicherheitsmodul gewährleistet, dass Kasseneingaben mit Beginn des Aufzeichnungsvorgangs protokolliert und später nicht mehr unerkannt verändert werden können.
  • Speichermedium:
    Auf dem Speichermedium werden die Einzelaufzeichnungen für die Dauer der gesetzlichen Aufbewahrungsfrist gespeichert.
  • einheitliche digitale Schnittstelle:
    Die digitale Schnittstelle soll eine reibungslose Datenübertragung, für Prüfungszwecke gewährleisten.

Ein Kassenhersteller oder Kassensoftware-Hersteller muss eine technische Sicherheitseinrichtung nicht unbedingt selbst entwickeln und zertifizieren, sondern kann eine am Markt verfügbare technische Sicherheitseinrichtung in das Kassensystem integrieren. Durch die einheitliche digitale Schnittstelle der technischen Sicherheitseinrichtung soll auch die Integration vereinfacht werden. Insbesondere sind für die digitale Schnittstelle keine besonderen Anforderungen an die physikalische Schnittstelle geplant, so dass übliche Standardschnittstellen wie z.B. USB, Ethernet, SD-Karten, etc. zum Einsatz kommen können.

Anforderungen an die Zertifizierung der technischen Sicherheitseinrichtung

Die Zertifizierungspflicht beschränkt sich auf die technische Sicherheitseinrichtung, mit der die Aufzeichnungen des Kassensystems mit Beginn des Aufzeichnungsvorgangs zu sichern sind. Eine Zertifizierung der Kasse (oder Kassensoftware) selbst ist nicht vorgesehen. Hierdurch soll eine weitgehend flexible Integration in bestehende Kassensysteme ermöglicht werden.

Die detaillierten Anforderungen an das Sicherheitsmodul, das Speichermedium, die digitale Schnittstelle sowie die elektronische Aufbewahrung werden nun vom BSI entwickelt und im Anschluss in technischen Richtlinien und Schutzprofile veröffentlicht.

Es ist vorgesehen, die Anforderungen an das Sicherheitsmodul technologieneutral in einen Schutzprofil nach ISO/IEC 15408 (Common Criteria) festzulegen. Zur Erfüllung dieser Sicherheitsanforderungen müssen Hersteller ihre technische Sicherheitseinrichtung beim BSI zertifizieren lassen.

Für das Speichermedium und die digitale Schnittstelle sind Interoperabilitäts- Verfügbarkeitsanforderungen vorgesehen, welche in einer Technischen Richtlinie definiert und im Rahmen einer Zertifizierung nach Technischen Richtlinien geprüft werden.

Weitere Informationen

Die Präsentation enthält einen Überblick über die Bedrohungen und Sicherheitsziele für elektronische Aufzeichnungssysteme und stellt das technologieoffene Konzept des Gesetzes zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen sowie der geplanten Vorgaben vor.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK