Manipulationsschutz an Kassensystemen: Cloud-Lösungen mit höheren Anforderungen
Elektronische Kassensysteme für den Bargeldverkehr müssen bis zum 31.03.2021 über einen Manipulationsschutz verfügen. Darauf weist die Industrie- und Handelskammer Lippe zu Detmold hin. Der Manipulationsschutz muss durch eine in das Kassensystem zu implementierende technische Sicherheitseinrichtung (kurz: TSE) sichergestellt sein. „Unternehmen sollen unbedingt auf eine aktuelle Zertifizierung der angebotenen oder bereits verwendeten TSE achten“, klärt Frank Lumma von der IHK-Lippe auf. Dieser Hinweis gelte insbesondere für cloud-basierte TSE. Derzeit würden die Zertifizierungsanforderungen hierfür nämlich erhöht.
Die TSE ist technologieoffen, sie kann aus einer hardware- oder cloud-basierten Lösung bestehen. Zertifizierungsstelle für beide ist ausschließlich das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI). Seit Beginn des Jahres 2020 stehen zwar schon einige zertifizierte hardware-basierte TSE-Lösungen zur Verfügung. Bislang ist jedoch nur ein einziges cloud-basiertes TSE-Modul am Markt erhältlich. Es stammt vom Anbieter Deutsche Fiskal und der Bundesdruckerei-Tochter D-TRUST. Die Laufzeit war jedoch befristet bis zum 31.01.2021, sodass im Anschluss eine Rezertifizierung erforderlich wird. Weitere cloud-basierte Module von anderen Herstellern befinden sich zurzeit im Zertifizierungsverfahren.
Kurz vor Fristablauf zum 31.03.2021 beabsichtigt das BSI nun, die Anforderungen an die Zertifizierung einer cloud-basierten TSE zu erhöhen.
Der Deutsche Industrie- und Handelskammertag (DIHK) hat sich daher gemeinsam mit den Spitzenverbänden der gewerblichen Wirtschaft an die obersten Bundes- und Landesfinanzverwaltungen gewandt und auf eine schnelle, praxistaugliche Lösung gedrängt. Davon unabhängig rät Lumma allen Unternehmen, die bereits eine cloud-basierte TSE verwenden oder es beabsichtigen, sich unverzüglich an ihre Kassenanbieter oder TSE-Hersteller zu wenden. Es sollte geklärt werden, ob weitergehende Umstellungsmaßnahmen ergriffen werden müssen bzw. wann eine zertifizierte Cloud-Lösung implementiert werden kann.
