INSIKA 2020 & Elektronische Aufzeichnungssysteme

Diese und weitere Informationen zu dem Thema INSIKA 2020 sowie Zertifizierung von Produkten, Elektronischen Aufzeichnungssystemen finden Sie unter :

https://www.bsi.bund.de

Das Bundesamt für Sicherheit in der Informationstechnik zeigt den neusten Stand der Anforderungen für Kassensoftware sowie Kassensystemen auf. Darunter finden Sie FAQ Seiten mit allen benötigten Informationen.

Das BSI hat nach dem BSI-Gesetz und der BSI-ZertV die Aufgabe, Zertifizierungen informationstechnischer Produkte oder Komponenten sowie informationstechnischer Systeme durchzuführen.

Um diese Aufgaben zu erfüllen, betreibt das BSI Zertifizierungsprogramme, in denen jeweils die Regeln (Geltungsbereiche, bedarfsgerechte Prüfkriterien, Anforderungen und Nachweise), das Verfahren sowie das Management zur Durchführung der Zertifizierung festgelegt und beschrieben sind.

Die Zertifizierung eines Produktes wird auf Antrag durchgeführt. Voraussetzung für eine Zertifizierung ist eine technische Evaluierung bzw. Prüfung gemäß den im Zertifizierungsprogramm veröffentlichten Sicherheitskriterien bzw. Technischen Richtlinien.

Für unsere Kunden möchten wir mit Hilfe der Internetseite des Bundesamts für Sicherheit in der Informationstechnik die wichtigsten Aspekte zusammengefasst darstellen.

Was ist in technischer Betrachtung unter einer technischen Sicherheitseinrichtung für elektronische Aufzeichnungssysteme zu verstehen?

  • Die Technische Sicherheitseinrichtung besteht aus einen Sicherheitsmodul, einem Speichermedium und einer einheitlichen digitalen Schnittstelle.
  • Die Technische Sicherheitseinrichtung wird vom elektronischen Aufzeichnungssystem (z.B. eine Kasse) angesprochen, übernimmt die Absicherung der aufzuzeichnenden Daten gegen nachträgliche Veränderung und Löschen und speichert die gesicherten Aufzeichnungen in einem einheitlichen Format. Finanzbehörden können die geschützten Daten dann einfordern und auf Vollständigkeit und Korrektheit prüfen.

Müssen die Daten immer in der Technischen Sicherheitseinrichtung gespeichert bleiben oder gäbe es eine Möglichkeit  diese auch zu exportieren und woanders zu speichern?

  • Die mit einer Signatur abgesicherten Daten können exportiert werden und außerhalb der Technischen Sicherheitseinrichtung aufbewahrt werden. Hierbei muss natürlich auf eine sichere und vorschriftenkonforme Aufbewahrung geachtet werden.

An wen kann ich mich bei weiteren Fragen zu dem Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen wenden?

  • Ansprechpartner für das Gesetz ist das zuständige Bundesministerium der Finanzen.
  • Aktuelle technische Informationen finden Sie unter „Schutz vor Manipulation an digitalen Grundaufzeichnungen“. Hier werden auch die relevanten Technischen Richtlinien und Schutzprofile veröffentlicht.

Benötige ich für jede meiner Kassen eine eigene technische Sicherheitseinrichtung?

  • Ziel des technologieoffenen Ansatzes ist es, eine möglichst pragmatische Integration in existierende Kassensysteme zu erlauben. Hierunter fällt insbesondere der Fall einer Anbindung mehrerer Kassensysteme an eine zentralisierte Sicherheitseinrichtung.
  • Auch die technische Umsetzung grundsätzlich auf unterschiedliche Arten erfolgen, z.B. lokal (via Smartcard) oder fernverbunden (als „Cloud“-Lösung), solange die notwendigen Sicherheits- und Interoperabilitätsanforderungen des BSI erfüllt sind und im Rahmen der Zertifizierung nachgewiesen werden.
  • Eine Transaktion wird immer nur mit einer einzelnen TSE durchgeführt. Eine Absicherung von einer einzelnen Transaktion mit mehreren Sicherheitseinrichtungen ist aufgrund der Sicherheitsanforderungen nicht möglich.

Wird es die eine vorgegebene Lösung geben und wird diese dann vom BSI oder anderen Behörden bereitgestellt?

  • Jeder kann Technische Sicherheitseinrichtungen herstellen und in der Umsetzung herrscht Technologieoffenheit. Der rechtskonforme Einsatz einer Technischen Sicherheitseinrichtung erfordert den Nachweis, dass die Sicherheits- und Interoperabilitätsanforderungen des BSI eingehalten wurden.
  • Eine einzige, für alle verbindlich zu nutzende, Umsetzung der Richtlinien wird es nicht geben.

Wo finde ich Informationen über zertifizierte technische Sicherheitseinrichtungen?

  • Informationen über zertifizierte technische Sicherheitseinrichtungen werden nach Abschluss einer Zertifizierung auf Seite des BSI unter Produktzertifizierung veröffentlicht.
  • Die Anpassung der Kassensysteme kann jedoch unabhängig von der Zertifizierung des Sicherheitsmoduls bereits vor Abschluss der des jeweiligen Zertifizierungsverfahrens erfolgen.
  • Informationen über zertifizierte technische Sicherheitseinrichtungen werden dann auf Seite des BSI unter Produktzertifizierung veröffentlicht.

Muss eine Technische Sicherheitseinrichtung immer direkt am Aufzeichnungssystem angeschlossen werden?

  • Eine technische Umsetzung kann grundsätzlich auf unterschiedliche Arten erfolgen, etwa lokal (z.B. via Smartcard) oder fernverbunden (als „Cloud“-Lösung), solange die notwendigen Sicherheits- und Interoperabilitätsanforderungen des BSI erfüllt sind und im Rahmen der Zertifizierung nachgewiesen werden. Eine fernverbundene TSE muss grundsätzlich für alle angeschlossenen elektronischen Aufzeichnungssysteme erreichbar sein.

Wie lange ist die Zertifizierung einer Technsichen Sicherheitseinrichtung gültig?

  • Die Zertifikate für eine TSE sind üblicherweise auf 5 Jahre befristet.
  • Die Sicherheitszertifikate können durch eine Neubewertung verlängert werden. Werden im Rahmen der Neubewertung Schwachstellen bekannt, die durch ein Softwareupdate behoben werden können, ist eine Rezertifizierung notwendig. Ebenso ist auch eine Re-Zertifizierung nach Technischer Richtlinie auf Basis der jeweils gültigen TR-Vorgaben möglich.

Wo finde ich die Technischen Richtlinien?

Die Technischen Richtlinien sind unter folgendem Links veröffentlicht:

Wo finde ich die benötigten Schutzprofile?

Die Schutzprofile sind unter folgenden Links veröffentlicht:

Welche Kosten fallen bei der Zertifizierung an?

  • Die Kosten der Zertifizierung einer technischen Sicherheitseinrichtung setzen sich aus Kosten der Evaluierung für die beauftragte Prüfstelle sowie Gebühren beim BSI zusammen.
  • Die Gebühren für das Zertifizierungsverfahren beim BSI, ergeben sich aus der BSI-Kostenverordnung.
  • Zu den Kosten einer Evaluierung kann das BSI keine Aussage machen, da diese in der Hauptsache von den individuellen Verhandlungen eines Herstellers mit der jeweiligen Prüfstellen abhängen.

Wie lange dauert eine Zertifizierung?

  • Zeitpunkt und Dauer der Zertifizierungen (TR und Common Criteria) hängen im Wesentlichen von Ihren Verhandlungen mit den Prüfstellen und dem Reifegrad ihres Produktes ab.

Wie beantrage ich eine Zertifizierung beim BSI?

  • Informationen zur Beantragung einer Zertifizierung sind auf der BSI-Website unter Produktzertifizierung zu finden.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.