TSE: wie sich die TSE4CLOUD-Lösung technisch von hybriden und Hardware-Lösungen unterscheidet!

Die technische Sicherheitseinrichtung (TSE) dient als Schutzmaßnahme, welche Manipulationen an digitalen Aufzeichnungen verhindern soll. Das bedeutet, dass die Aufzeichnungen, die mit einem Kassensystem durchgeführt werden, nachträglich nicht mehr gelöscht oder geändert – also nicht manipuliert – werden können. Die TSE ermöglicht zudem eine fehlerfreie Übermittlung der Daten und Umsätze an das Finanzamt. Damit ist also gleichzeitig sichergestellt, dass die Kasse finanzamtkonform ist. Mit der Einführung des KassenSichV sind sämtliche Unternehmen, welche eine Registrierkasse nutzen, seit 2021 verpflichtet, ein entsprechend gesetzeskonformes Kassensystem mit TSE zu führen und somit Datenmanipulationen entgegenzuwirken.Grundsätzlich gibt es drei Herangehensweisen, wie eine TSE-Lösung aussehen kann: die klassische Hardware-, eine Hybrid- sowie die innovative Cloud-Lösung. Laut einer Umfrage des Deutschen Fachverbandes für Kassen- und Abrechnungssystemtechnik im bargeld- und bargeldlosen Zahlungsverkehr e.V. (DFKA) im Februar dieses Jahres gaben immerhin schon 82 % (Mitglieder) bis 88% (Nicht-Mitglieder) der Befragten an, eine technische Sicherheitseinrichtung zu nutzen. Die große Mehrzahl der Befragten nutzt eine Hardware-Lösung.

Im Folgenden wird skizziert, wie die unterschiedlichen Lösungsansätze technisch funktionieren, wo die Unterschiede sind und welche Konsequenzen sich daraus für den Anwender ergeben.

Weitere Details

TSE als klassische Hardware-Lösung:

Die Hardware-TSE wird direkt (lokal) an das Kassensystem (Point-of-Sale) physisch angesteckt. Bei einer lokalen Anbindung handelt es sich entweder um eine SD-Karte und oder einen USB-Stick oder gar um eine Mirco-SD Karte. Die TSE-Einheit kann sichtbar am Gerät verbaut oder durch ein Gehäuse versteckt werden. Sticks werden an einen USB-Port angeschlossen. Dies ist bei mobilen Endgeräten (iPad) häufig nicht möglich.

Die Belege werden dabei direkt an die TSE geschickt, signiert und sicher an das Kassensystem zurückgegeben. Dort erfolgt die manipulationssichere Speicherung der Daten. Bei einem Netzwerkausfall ist die TSE-Einheit nicht betroffen, was von Vorteil sein kann. Um die Speicherung und ein Backup der Daten muss sich der Kunde selbstständig kümmern, da die Daten “nur“ lokal gespeichert werden.

Händler, die eine entsprechende Größe haben und über ein weit verzweigtes Filialnetz verfügen, müssen sich zudem um eine weiter Hardware-Applikation kümmern. Die Anschaffungskosten der Hardware sind recht hoch. Darüber hinaus haben die Hardware-Lösungen eine begrenzte Laufzeit (Ablaufdatum). Zum Ende des Verfallsdatums beginnt der Rollout für die Kunden erneut!

TSE als Hybrid-Lösung:

Bei einer hybriden Lösung können die Hardware-Varianten im Netzwerk des Kunden über einen HUB an die elektronischen Aufzeichnungssysteme angebunden werden. Die eigentliche Technische Sicherheitseinrichtung ist identisch, lediglich der Einbau und die Systemumgebung unterscheidet sich.

Für den Händler hätte es den Vorteil, dass die TSE-Einheiten nicht am Point-of-Sale verbaut werden, sondern an einem anderen Ort eingebaut sind. Eine bisher recht unbeliebte Variante vieler Händler, da sie die Risiken eines Netzwerkausfalls und die möglichen Verzögerungen in der Reaktionszeit des Signierens nicht komplett absichern können. Auch bei dieser Lösung haben die TSE-Sticks eine entsprechende Laufzeitbeschränkung.

Sich andeutende gesetzliche Veränderungen machen es erforderlich, dass ebenfalls alle USB-Sticks schon vor Erreichen des Laufzeitendes ausgetauscht werden müssen.

TSE als innovative Cloud-Lösung, z.B. TSE4CLOUD:

Die CLOUD-Variante hat den smarten Vorteil, dass die Händler die TSEs über ein monatliches Mietmodell erwerben können. Die Reaktionszeiten der CLOUD-Anbieter sind, mit denen einer Hardwarelösung vergleichbar. Die Betreuung der Cloud-Applikation obliegt, nicht der eigenen Shop-IT sondern dem Anbieter einer solchen Cloud-Lösung.

Um ein Backup der Daten kümmert sich im Beispiel der TSE4CLOUD die fiskaly GmbH. Sollte es seitens des BSI oder des Gesetzgebers zu Anpassungen im Umgebungsschutz oder zur Konformität der Lösung kommen, dann ist der Händler nicht der Leidtragende, weil er die Verantwortung ausgelagert hat.

 

7 wichtige Kriterien, die bei der Auswahl der richtigen Lösung zu beachten sind:

  • Kommt in den Filialen unterschiedliche Hardware zum Einsatz?
  • Werden elektronische Eingabegeräte (Tablets oder iPads) genutzt?
  • Die Kosten!
  • Beim TSE-Hardware-Einsatz besteht die Gefahr, dass diese entfernt werden könnte.
  • Aufwand beim Rollout der Hardware sowie bei der Betreuung der Applikation.
  • Immer wiederkehrender Aufwand nach Ablauf Hardware-Laufzeit.
  • Einsatz virtueller verteilter Systemlandschaften

Das Elektronische Aufzeichnungssystem (ERS) kommuniziert mit der TSE über die in [BSI TR-03151] und [BSI TR-03151-AMT] spezifizierte Einbindungsschnittstelle (Secure Element API, SE-API) mittels TLS-Verbindung. Die SE-API ist in das SMAERS integriert. Die Einbindungsschnittstelle wird über eine Remote Procedure Call (RPC) basierte API angesprochen. Ein RPC-Request wird an einen http-Endpunkt der Einbindungsschnittstelle gesendet, die mit einem RPC-Response antwortet. Die Einbindungsschnittstelle agiert hier als Server. Die Daten einer Anfrage und einer Antwort werden als Protocol Buffers gesendet.

Dank der SMAERS-Komponente im FiskalySign Modul kommt die TSE4CLOUD ohne Middleware aus. Bei vergleichbaren Anbietern muss der Kunde dafür Sorge tragen, dass der Umgebungsschutz eingehalten wird, weil die Middleware auf den Systemlandschaften des Kunden betrieben wird.

Das Argument eines Netzwerkausfalls kann in diesem Zusammenhang nicht komplett unbeachtet bleiben. Der Gesetzgeber erlaubt ausdrücklich, dass das elektronische Eingabesystem weiterbetrieben werden darf, auch wenn die Technische Sicherheitseinrichtung einmal durch einen Netzwerkausfall gestört wird. Der Kassiervorgang läuft weiter und der Bon enthält die Informationen über den TSE-Ausfall.

Falls es jetzt noch weiterer Unterstützung bei der Entscheidungsfindung der geeignetsten TSE-Lösung bedarf, zögern Sie nicht, Herrn Tobias Siltmann, Kassenbotschafter und CCO-Experte der hokona GmbH heute noch zu kontaktieren. Herr Siltmann kann Ihnen jede Frage rund um das Thema “Technische Sicherheitseinrichtung“ beantworten. Sie erreichen ihn telefonisch unter 040 – 2281 7022 33 oder bequem per E-Mail.