Eine TSE gemäß der Technischen Richtlinie BSI TR-03153 hat folgende wesentliche Funktionen:
- Beliebige Daten können mit
- einer Nummerierung
- einer Zeitinformation und
- einer elektronischen Signatur versehen,
- in der TSE gespeichert und
- auf Anforderung zusammengefasst in einer Datei exportiert werden.
Anforderungen und Komponenten an eine TSE
Die detaillierten Anforderungen an eine TSE wurden vom BMF in diversen Schreiben veröffentlicht. (vgl. hierzu: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03153/tr-03153.html)
Das BSI hat in den Technischen Richtlinien Mindestanforderungen an eine zertifizierte TSE festgelegt. Auf technische Vorgaben, wurde soweit es geht verzichtet und es ist sowohl eine Cloudvariante der TSE, als auch eine physische TSE (in Form einer Speicherkarte o.ä.) zulässig.
Die TSE besteht aus:
- Sicherheitsmodul: muss die sichere Protokollierung von Vorgängen gewährleisten. Folgende Daten müssen erzeugt werden: Zeitpunkt des Vorgangsbeginns und der Vorgangsbeendigung, eindeutige und fortlaufende Transaktionsnummer, Prüfwert, Seriennummer der TSE, Signaturzähler
- Speichermedium: dient der Speicherung der innerhalb der TSE abgelegten Daten und muss deren Export ermöglichen.
- Digitale Schnittstelle: Das BSI hat die Einbindungsschnittelle, die Exportschnittstelle und die Digitale Schnittstelle der Finanzverwaltung für Kassensysteme (DSFinV-K) als die drei Bestandteile der einheitlichen digitalen Schnittstellen der zertifizierten TSE definiert.
Über die Einbindungsschnittstelle spricht das Kassensystem die TSE an. Das BSI stellt eine technologieoffene und implementierungsunabhängige Kapselung der Sicherheitsfunktionalität der TSE in Aussicht. In einem bestimmten Kassensystem können jedoch nur TSE eingesetzt werden, für die der jeweilige Anbieter die Schnittstelle implementiert hat.
Mit der Exportfunktion in der Exportschnittstelle werden die Ausgabedateien in definierter Form erzeugt. Die TSE muss die gespeicherten Daten in einer Archivdatei bereitstellen.
Digitale Schnittstelle der Finanzverwaltung für Kassensysteme (DSFinV-K): Über diese Datenschnittstelle werden die Einzelaufzeichnungen des Kassensystems zur Verfügung gestellt. Sie enthält die erforderlichen von der TSE erzeugten Informationen, um die Daten zu prüfen – es kann festgestellt werden, von wem sie stammen (Authentizität), ob wesentliche Daten verändert (Integrität) oder entfernt wurden (Vollständigkeit). Technisch gesehen handelt es sich um mehrere miteinander verknüpfte Tabellen, die in einem CSV-Format bereitzustellen sind.
In jeder TSE befindet sich ein Zertifikat, sprich ein Datensatz, in dem kryptografischen Schlüssel zur Absicherung der Daten abgelegt sind. Dieses Zertifikat ist mit einem Ablaufdatum versehen (in der Regel sind dies 5 Jahre). Wenn das Ablaufdatum überschritten ist, kann die TSE keine weiteren Vorgänge mehr absichern.
Grundsätzlich sind folgende TSE-Typen möglich:
- Einfache TSE: zur Verwendung durch eine oder einige wenige Kassen. Kann als Speichermedium, das mit einem Sicherheitschip erweitert wurde, umgesetzt werden (z.B. als Mikro-SD-Karten, USB-Sticks)
- Mehrplatz TSE: zur Verwendung für eine größere Anzahl an Kassen (z.B. TSE in der Filiale oder in einem Rechenzentrum des Anwenders). Diese, sowie die Cloud-TSE erfordern den Einsatz eines Hardware-Sicherheitsmoduls.
- Cloud-TSE: zur Verwendung durch mehrere verschiedene Anwender mit einer Anbindung über das Internet. Hier wird zusätzlich eine zertifizierte Software in den Kassen oder an anderer Stelle im lokalen Kassen-Netzwerk verlangt, um eine sichere Verbindung zwischen den Komponenten herzustellen.
Protokollierung durch die zertifizierte TSE
Im Zuge der Protokollierung werden die Anwendungs- und Protokolldaten eines Vorgangs durch die TSE gegen nachträgliche, unerkannte Veränderungen geschützt und die Existenz und Herkunft der Aufzeichnung zu einem bestimmten Zeitpunkt bestätigt.
Die abgesicherten Daten bestehen aus folgenden Informationen:
- Anwendungsdaten (Seriennummer des elektronischen Aufzeichnungssystems, Art des Vorgangs, Daten des Vorgangs)
- Protokolldaten (Seriennummer der zertifizierten TSE, Zeitpunkt der Absicherung, eindeutige und fortlaufende Transaktionsnummer, Signaturzähler, optionale Protokolldaten)
- Prüfwert
Die Protokollierung erfolgt in drei Schritten.
- Beginn der Protokollierung: das Aufzeichnungssystem muss unmittelbar mit Beginn eines aufzuzeichnenden Vorgangs die Protokollierung in der TSE starten. In diesem Zuge erfolgt zwingend die Vergabe einer eindeutigen und fortlaufenden Transaktionsnummer, die Erhöhung des Signaturzählers und die Erzeugung eines Prüfwertes durch die TSE.
- Aktualisierung der Protokollierung: Spätestens 45 Sekunden nach einer Änderung der Daten des Vorgangs ist die Aktualisierung der Transaktion durch die TSE erforderlich. Die Erzeugung eines Prüfwertes durch die TSE ist optional. Die Transaktionsnummer bleibt erhalten und der Signaturzähler wird bei jeder Aktualisierung mit Prüfwertberechnung um den Wert 1 erhöht.
- Beendigung der Protokollierung: Bei Beendigung des Vorgangs ist die Transaktion innerhalb der TSE zu beenden. Dabei erfolgt zwingend die Erzeugung eines Prüfwertes durch die TSE. Die Transaktionsnummer bleibt erhalten und der Signaturzähler wird um den Wert 1 erhöht. Erst bei diesem Protokollierungsschritt wird der Zeitpunkt der Beendigung des Vorgangs in die Protokolldaten aufgenommen.
Die für den Beleg erforderlichen Protokolldaten werden anschließend an das elektronische Aufzeichnungssystem übermittelt.
Nachstehenden ist das TSE Grundprinzip lt. DSFinV-K ersichtlich. Mehr dazu finden Sie in der DSFinV-K.
Abbildungen zum Thema "langanhaltende Bestellvorgänge" wie beispielsweise in der Gastronomie, finden Sie unter "Besonderheiten in der Gastronomie".
Quelle: DSFinV-K
Ausfall der zertifizierten technischen Sicherheitseinrichtung
Bei einem Ausfall der TSE kann mit der verwendeten Kasse weitergearbeitet werden. Ausfallzeiten und -grund der TSE sind zu dokumentieren. Die Belegausgabepflicht bleibt weiterhin aufrecht und der Ausfall muss auf dem Beleg ersichtlich sein. Der Ausfall muss unverzüglich vom Unternehmer beseitigt und entsprechende Maßnahmen eingeleitet werden.
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.