Elektronische Kassensysteme

Elektronische Kassensysteme

Elektronische Kassensysteme: Mit TÜVIT zur TR- und CC-Zertifizierung

Seit 2020 muss jedes elektronische Aufzeichnungssystem über eine zertifizierte technische Sicherheitseinrichtung (TSE) verfügen, die die Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Kassensicherungsverordnung (KassenSichV) erfüllt. Durch ein entsprechendes Zertifikat ist seitdem zu belegen, dass die TSE den Vorgaben der Technischen Richtlinie BSI TR-03153 gerecht wird. Zusätzlich muss auch das Sicherheitsmodul der TSE nach den Common Criteria zertifiziert sein. TÜVIT ist als Prüfstelle für die TR-03153 / TR-03151 und als Prüfstelle für Sicherheitsevaluierungen nach dem internationalen Standard der Common Criteria vom BSI anerkannt. Somit können wir Ihnen beide Dienstleistungen aus einer Hand bieten.
 

KassenSichV: Zertifizierte technische Sicherheitseinrichtung (TSE) ist Pflicht

Im Zuge der Fiskalisierung müssen elektronische oder computergestützte Kassensysteme sowie Registrierkassen seit Januar 2020 über eine zertifizierte technische Sicherheitseinrichtung (TSE) verfügen. Die zu erfüllenden Anforderungen sind in der TR-03153 "Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme" festgehalten. 

Gleichzeitig muss das Sicherheitsmodul der TSE wiederum nach den Common Criteria (CC) evaluiert und zertifiziert sein. Im Rahmen der geforderten CC-Zertifizierungen ist eine Konformität zu den Schutzprofilen [BSI PP-CSP] und [BSI PP-SMAERS] nachzuweisen.

Ziel ist es, die Systeme vor unerlaubten Eingriffen und Manipulationen zu schützen und auf diese Weise die Integrität, Authentizität und Vollständigkeit der entsprechenden Daten zu gewährleisten.
 

Unsere Leistungen im Bereich der elektronischen Aufzeichnungssysteme

Informations- und Vorbereitungsworkshop | Elektronische Kassensysteme Informations- und Vorbereitungsworkshop | Elektronische Kassensysteme Informations- und Vorbereitungsworkshop | Elektronische Kassensysteme Informations- und Vorbereitungsworkshop | Elektronische Kassensysteme

Spezifischer Informations- und Vorbereitungsworkshop

Mit unserem ein- bis zweitägigen Informations- und Vorbereitungsworkshop bereiten Sie sich optimal und effektiv auf eine anstehende Prüfung nach TR-03153 oder eine Evaluierung nach den Common Criteria vor. Herzstück des Workshops ist eine Gap-Analyse, die Ihnen als Hersteller aufzeigen soll, an welchem Punkt Sie aktuell stehen und, welche Vorkehrungen Sie für eine erfolgreiche Zertifizierung noch treffen müssen.


 

Prüfung & Zertifizierung nach BSI TR-03153 | Elektronische Kassensysteme Prüfung & Zertifizierung nach BSI TR-03153 | Elektronische Kassensysteme Prüfung & Zertifizierung nach BSI TR-03153 | Elektronische Kassensysteme Prüfung & Zertifizierung nach BSI TR-03153 | Elektronische Kassensysteme

Prüfung nach BSI TR-03153 und Zertifizierungsvorbereitung

Wir begleiten Sie entlang des gesamten TR-Zertifizierungsprozesses: Unsere erfahrenen IT-Sicherheitsexperten prüfen Ihre technische Sicherheitseinrichtung im Hinblick auf die Anforderungen der TR-03153. Unser Prüfbericht dient als Grundlage für die Ausstellung des geforderten TR-Zertifikats durch das BSI.

Common Criteria: Evaluierung Sicherheitsmodul | Elektronische Kassensysteme Common Criteria: Evaluierung Sicherheitsmodul | Elektronische Kassensysteme Common Criteria: Evaluierung Sicherheitsmodul | Elektronische Kassensysteme Common Criteria: Evaluierung Sicherheitsmodul | Elektronische Kassensysteme

Common Criteria: Evaluierung des Sicherheitsmoduls

Als einer der weltweit führenden Prüfdienstleister für Common Criteria evaluieren wir Ihr Sicherheitsmodul und unterstützen Sie auf Ihrem Weg zu den erfolgreichen CC-Zertifizierungen mit den Schutzprofilen BSI PP-SMAERS und BSI PP-CSP. 


 

Wissenswertes rund um die BSI TR-03153

Häufig gestellte Fragen (FAQ):

Was ist eine TSE?

Die technische Sicherheitseinrichtung (TSE) stellt den zentralen technischen Baustein dar, um Grundaufzeichnungen von Kassensystemen gegen nachträgliche Manipulationen zu schützen.

Grundsätzlich weist die TSE drei Bestandteile auf:

  • Ein Sicherheitsmodul zur Signaturerstellung: Dieses gewährleistet, dass Kasseneingaben mit Beginn des Aufzeichnungsvorgangs protokolliert und elektronisch signiert werden. Dadurch können sie zu einem späteren Zeitpunkt nicht mehr unbemerkt manipuliert werden.

  • Ein nichtflüchtiges Speichermedium: Auf diesem werden die Einzelaufzeichnungen temporär oder für den Zeitraum der gesetzlichen Aufbewahrungspflicht gespeichert.

  • Eine einheitliche digitale Schnittstelle (API): Hierbei ist zwischen einer optionalen einheitlichen Eingabeschnittstelle und einer verpflichtenden einheitlichen Exportschnittstelle für eine Archivierung oder eine Kassenprüfung zu unterscheiden.
Wer ist von der KassenSichV betroffen?

Von der KassenSichV betroffen sind alle elektronischen oder computergestützten Kassensysteme oder Registrierkassen, die für den Verkauf von Waren oder die Erbringung von Dienstleistungen eingesetzt werden, und auf deren Abrechnung spezialisierte elektronische Aufzeichnungssysteme, die „Kassenfunktion“ haben.

Kassenfunktion haben elektronische Aufzeichnungssysteme dann, wenn diese der Erfassung und Abwicklung von zumindest teilweise baren Zahlungsvorgängen dienen können. Das gilt auch für vergleichbare elektronische, vor Ort genutzte Zahlungsformen (z. B. Geldkarte, virtuelle Konten oder Bonuspunktesysteme von Drittanbietern) sowie anstelle von Geld angenommene Gutscheine, Guthabenkarten, Bons und dergleichen.

Eine Aufbewahrungsmöglichkeit des verwalteten Bargeldbestandes (z.B. Kassenlade) ist nicht erforderlich.

Welche Übergangsregelungen gibt es?

Generell besteht ab Januar 2020 die Pflicht zum Einsatz eines elektronischen Aufzeichnungssystems mit zertifizierter technischer Sicherheitseinrichtung. Haben Unternehmen bereits vor dem 31.12.2019 mit den technisch notwendigen Anpassungen und Aufrüstungen begonnen, greift zusätzlich die Nichtbeanstandungsregelung.

Eine Ausnahme gilt für Registrierkassen, die nach dem 25.11.2010 bzw. vor dem 01.01.2020 angeschafft wurden und die Vorgaben der Kassenrichtlinie erfüllen. Sind diese bauartbedingt nicht aufrüstbar, dürfen sie längstens bis zum 31. Dezember 2022 weiterverwendet werden.

Was ist die Nichtbeanstandungsregelung?

Bei Unternehmen, die vor dem 31.12.2019 mit den technisch notwendigen Anpassungen und Aufrüstungen begonnen haben, greift die Nichtbeanstandungsregelung des  Bundesfinanzministeriums. In diesem Fall wird es bis zum 30.09.2020 nicht beanstandet, wenn elektronische Aufzeichnungssysteme noch nicht über eine zertifizierte technische Sicherheitseinrichtung verfügen. 

Muss jede Kasse zertifiziert werden?

Es werden weder Kassensysteme oder Registrierkassen noch deren Software zertifiziert. Zertifiziert wird nur die montierte oder entfernt verbundene TSE.


Auf Ihrer Seite sind noch weitere Fragen offen? Gerne beantworten wir Ihnen diese im persönlichen Gespräch oder per E-Mail. 

 

Elektronische Kassensysteme: Prüfung und Zertifizierung | TR 03153 | Common Criteria Elektronische Kassensysteme: Prüfung und Zertifizierung | TR 03153 | Common Criteria Elektronische Kassensysteme: Prüfung und Zertifizierung | TR 03153 | Common Criteria Elektronische Kassensysteme: Prüfung und Zertifizierung | TR 03153 | Common Criteria


 

Weitere Informationen zu den CC-Zertifizierungen der TSE

 

Elektronische Kassensysteme: Prüfung und Zertifizierung | TR 03153 | Common Criteria Elektronische Kassensysteme: Prüfung und Zertifizierung | TR 03153 | Common Criteria Elektronische Kassensysteme: Prüfung und Zertifizierung | TR 03153 | Common Criteria Elektronische Kassensysteme: Prüfung und Zertifizierung | TR 03153 | Common Criteria

Häufig gestellte Fragen (FAQ):

Nach welchen Schutzprofilen muss das Sicherheitsmodul zertifiziert werden?

Der Nachweis über die Sicherheitsanforderungen ist durch Sicherheitszertifizierungen nach Common Critieria mit den folgenden Schutzprofilen nachzuweisen:

Bei Cloud-basierten Lösungen kann die Komponente CSP in einem sicheren Rechenzentrum zentral betrieben werden. Wird ein hinreichend hohes physikalisches und organisatorisches Sicherheitsniveau für das Rechenzentrum nachgewiesen, kann alternativ eine Sicherheitszertifizierung nach folgenden Schutzprofilen erfolgen:

Welche Übergangsregelungen gibt es?

Im Rahmen der Einführungsphase ermöglicht das BSI eine befristete Übergangsphase für die Zertifizierung. Innerhalb dieser Übergangsphase kann eine noch nicht abgeschlossene CC-Zertifizierung des Sicherheitsmoduls nach dem Schutzprofil PP-CSP durch ein positives Gutachten des BSI ersetzt werden.

Weitere Informationen finden Sie auf der Website des BSI.

Wer zertifiziert das Sicherheitsmodul der TSE?

Die eigentliche Zertifizierung erfolgt durch das BSI als Zertifizierungsstelle. Die grundlegende Voraussetzung für diese Zertifizierung bildet allerdings die Prüfung durch eine anerkannten Prüfstelle wie TÜViT. Die Prüfung wird vom BSI begleitet und das Zertifikat bei einem positiven Ergebnis entsprechend ausgestellt.

Eine Übersicht über weitere häufig gestellte Fragen und Antworten finden Sie auf der Website des BSI.

Wie lange ist die Zertifizierung gültig?

Die Zertifikate für eine TSE sind üblicherweise auf fünf Jahre befristet. Sie können durch eine Neubewertung verlängert werden. Werden im Rahmen der Neubewertung Schwachstellen bekannt, die durch eine Softwareupdate behoben werden können, ist eine Rezertifizierung notwendig.


Auf Ihrer Seite sind noch weitere Fragen offen? Gerne beantworten wir Ihnen diese im persönlichen Gespräch oder per E-Mail.