Anforderungen an den Betrieb der verschiedenen TSE-Lösungen im Markt

Das “Gesetz zum Schutz vor Manipulationen von digitalen Grundaufzeichnungen” wurde vom Deutschen Bundestag 2016 beschlossen und trat im Januar 2020 in Kraft. Ein Kernbestandteil der gesetzlichen Änderungen, die sich im Wesentlichen im Paragraphen 146a AO und der daraus ermächtigten Kassensicherungsverordnung (KassenSichV) ergeben ist die Forderung, jedes Kassensystem in Deutschland mit einer Technischen Sicherheitseinrichtung (TSE) abzusichern.

Anstatt selbst eine solche Sicherheitskomponente zu entwickeln, wurde das Bundesamt für Sicherheit in der Informationstechnik (BSI) damit beauftragt, allgemeine Sicherheitsanforderungen an TSE zu definieren. Die Finanzbehörden des Bundes und der Länder waren sich der sehr großen technischen Vielfalt von Kassensystemen im Markt bewusst. TSE mussten daher für verschiedene Architekturen von Kassensystemen entwickelt werden. Die Anforderungen wurden seitens des BSI deshalb technologieoffen gehalten und die Entwicklung von TSE-Lösungen wurde seitens der Finanzbehörden dem Markt überlassen.

Fast drei Jahre nach Inkrafttreten des Gesetzes ist die Landschaft an verfügbaren TSE-Lösungen für Kassenhersteller aber immer noch sehr überschaubar. Gerade einmal drei Hersteller bieten Systeme an (nachdem ein vierter Hersteller seine Zertifizierung verloren hat). Je nach verwendeter Kassenarchitektur ist die Auswahl aufgrund der Unterschiedlichkeit der TSE-Systeme dabei in der Praxis noch geringer. Es gibt entweder eine TSE, die man sinnvoll einbinden kann oder nicht. Und die Einbindungsprojekte von TSE in Kassensysteme sind aufwändig und teuer.

In einer aktuellen Umfrage hat der DFKA ermittelt, dass mehr als 90% der Kassensysteme in Deutschland mittlerweile an eine TSE angebunden sind. Das ist vor dem Hintergrund der oben genannten Schwierigkeiten ein großer Erfolg. TSE-Hersteller, Kassenhersteller und Integratoren haben es geschafft, Kassen mit Technischen Sicherheitseinrichtungen flächendeckend in Deutschland auszurollen. Leider reißen die Diskussionen um die Anbindungen der TSE und deren Betrieb in der Praxis aber nicht ab.

Das liegt schon allein daran, dass sämtliche TSE-Lösungen bestimmte “Betriebsanforderungen” mit sich bringen, damit sie so betrieben werden, wie es im Rahmen der Zertifizierung der TSE (durch das BSI) vorgesehen war. Nur wenn diese Anforderungen eingehalten werden, wird die TSE im sogenannten “zertifizierten Betrieb” genutzt.  In der Praxis dürfte vielen Betreibern einer Kasse mit TSE gar nicht bewusst sein, welche besonderen Anforderungen ihre Kombination aus Kasse und TSE stellt. Es besteht die Gefahr, bei einer Kassenprüfung durchzufallen.

Manche Hersteller geben die Auflagen, die sie mit dem BSI für den korrekten Betrieb ihrer TSE vereinbart haben, in internen Dokumenten an Integratoren und Kassenhersteller weiter. Ob diese dann in jedem Fall zum steuerrechtlich verantwortlichen Betreiber der Kasse gelangen, darf bezweifelt werden. Lobenswert ist es, wenn TSE-Hersteller diese Dokumente selbst bspw. auf ihrer Webseite öffentlich machen. Das hilft auch der Finanzverwaltung, die ja den korrekten Betrieb einer Kasse mit TSE prüfen muss.

Im Folgenden haben wir für die drei im Markt angebotenen TSE die Anforderungen soweit diese uns über Integratoren und Kassenherstellern zur Verfügung gestellt wurden oder eben öffentlich einsehbar sind aufgelistet. Der Vollständigkeit halber haben wir die Informationen hier auch für die TSE der Cryptovision aufgenommen, wenngleich diese wie bereits erwähnt ihre Zertifizierung verloren hat und ab dem 08.01.2023 nicht mehr verwendet werden darf.

Die TSE der Swissbit AG

Die TSE der Swissbit AG wird von ihr selbst unter dem Namen “Swissbit TSE” vertrieben. Die Firmen Epson und Diebold verwenden für ihre TSE-Produkte “intern” ebenfalls die Swissbit-TSE als “Epson TSE” bzw. “Diebold Nixdorf TSE”. 

Swissbit hat die TSE in Form einer reinen Hardwarelösung entwickelt. Sämtliche TSE-Komponenten (CSP-Modul, SMAERS-Modul und TSE-Speicher) befinden sich auf einer SD-Karte und sind dann bspw. in einen USB-Stick eingebaut. Die TSE wurde seitens des BSI bis Dezember 2027 zertifiziert. In dieser Lösung wird eine TSE häufig direkt in eine Kasse eingesteckt. Die Anforderungen an den Schutz der TSE selbst sind daher direkt vom Steuerpflichtigen zu erfüllen, der sie zur Absicherung seiner Kasse verwenden soll. Sollte man also eine Kasse betreiben, deren Hersteller sich für die Integration der Swissbit-TSE entschieden hat so muss man laut Swissbit und dem Zertifizierungsbericht des BSI u.a. sicherstellen, dass

  • die TSE vor physikalischen Manipulationen geschützt ist, die bspw. das Abziehen eines USB-Sticks (mit TSE) durch Kunden oder Mitarbeiter verhindern
  • es im steuerpflichtigen Betrieb einen Prozess für das Risikomanagement gibt und der Schutz der TSE darin berücksichtigt wird
  • der Versand und Empfang der TSE auf besonders sichere Weise stattfindet und vom Empfänger geprüft und dokumentiert wird

Die Cloud-TSE der fiskaly GmbH

Die fiskaly GmbH hat eine TSE-Lösung entwickelt, deren Module sämtlichst in einem Cloud-Rechenzentrum arbeiten und über das Internet in die Kassen integriert sind. fiskaly vertreibt die Lösung unter dem Namen “fiskaly SIGN DE” durch die fiskaly Germany GmbH. Hierbei liefern Kassenhersteller die fiskaly-TSE in der Regel als Teil ihrer Kassenlösung direkt an die Endkunden aus. Das BSI hat die ”fiskaly sign Cloud-TSE” bis Dezember 2029 zertifiziert. Die fiskaly-TSE kann grundsätzlich nur in solche Kassensysteme integriert werden, die über eine Internetverbindung verfügen. Darüber hinaus muss laut fiskaly vom Kassenhersteller sichergestellt werden, dass die Kassensoftware direkt mit der fiskaly SIGN DE Middleware kommuniziert.

Anforderungen an die Einsatzumgebung gibt es auf Seiten des Steuerpflichtigen nicht. Da die TSE in einem Cloud-Rechenzentrum betrieben wird, ist die Firma fiskaly und deren Cloud-Dienstleister selbst für den Schutz der Einsatzumgebung verantwortlich. Dies wird für die fiskaly-TSE durch ISO 27001 und auf Seiten der SMAERS-Hosts zusätzlich durch BSI C5 erfüllt, wie man es für hochsichere Cloudumgebungen erwarten würde.

Die TSE der D-Trust GmbH (DF Deutsche Fiskal GmbH)

Die DF Deutsche Fiskal GmbH vertreibt eine Cloud TSE-Lösung, die die D-Trust GmbH, eine Tochter der Bundesdruckerei Gruppe GmbH, entwickelt hat. Spannend ist dabei, dass diese TSE ihre Komponenten sowohl in der Cloud als auch lokal auf Komponenten der Kasse betreibt. In der Cloud arbeitet bei der D-Trust-TSE das CSP-Modul. Die SMAERS-Komponente wird lokal auf einem Modul der Kasse betrieben. D-Trust hat daher ihre TSE-Lösung auch für eine Vielzahl von Kassenbetriebssystemen entwickelt und zertifizieren lassen. Das BSI hat diese TSE bis zum Dezember 2029 zertifiziert.

Um die zentrale CSP-Komponente zu erreichen, muss die Kasse wie bei der fiskaly-TSE ebenfalls über eine Internetverbindung verfügen. Außerdem setzt der Betrieb der SMAERS-Komponente in der Kasse einen Hardwaresicherheitsanker bspw. ein Trusted Platform Module (TPM) voraus. Laut D-Trust müssen Steuerpflichtige im Betrieb noch dafür Sorge tragen, dass ein Rechtemanagement am Kassensystem existiert und so konfiguriert ist, dass der steuerpflichtige Betreiber der Kasse keine administrativen Rechte am System hat.

Die TSE der Cryptovision GmbH

Gemeinsam mit der Bundesdruckerei und D-Trust hat die Cryptovision GmbH eine Hardware-TSE entwickelt. Diese stellt im Wesentlichen dieselben Anforderungen an den Einsatz wie die TSE der Swissbit. Hinzu kommt hier allerdings, dass das BSI dieser TSE-Lösung das Zertifikat entzogen hat. Somit darf diese TSE nach dem 08.01.2023 nicht mehr betrieben werden.

Fazit

TSE sind noch lange keine Commodity, die von Kassenherstellern oder gar Kassenbenutzern einfach nach individuellen Bedürfnissen und Möglichkeiten gekauft und installiert werden können. Wünschenswert wäre es, wenn es für Steuerpflichtige genauso einfach wäre eine TSE zu kaufen, einzubauen und bei Bedarf zu wechseln, wie es für Hausbesitzer einfach ist Rauchmelder zu kaufen, zu installieren und bei Bedarf zu wechseln. Dies scheint aber zumindest in absehbarer Zeit nicht möglich. Zu aufwändig ist dafür die durch Kassenhersteller zu leistende Integration einer TSE. Als Anwender oder Kassenhersteller ist man hier leider meilenweit vom gewünschten Konzept “kaufen, einstecken, fertig” entfernt.

Wichtig ist, dass Hersteller von Kassensystemen sich den Anforderungen an den “zertifizierten Betrieb” der integrierten TSE bewusst sind und ihre Kunden darüber aufklären.