Ein einheitliches Interface für diverse Technische Sicherheitseinrichtungen – TSE
Lokal oder Cloud

Hiermit geben wir einen groben Überblick über die in Zukunft verfügbaren technischen technischen Sicherheitseinrichtung (TSE), welche wir mit dem einheitlichen fiskaltrust.Interface in unsere Middleware einbinden und mit Verfügbarkeit am Markt auch über unseren Webshop anbieten werden.

Durch die Verwendung des fiskaltrust.Interface kann die Integration in die Kassen- oder Aufzeichnungssysteme bereits vor der Verfügbarkeit einer nach den BSI-Richtlinien zertifizierten TSE vorgenommen werden.

Hierfür wird das fiskaltrust.Portal (Sandbox unter https://portal-sandbox.fiskaltrust.de) spezielle Funktionen zur Verfügung stellen. Diverse Fragen werden auch in den FAQ beantwortet.

Verschiedene TSE

fiskaltrust wird TSE in verschiedene Bauformen unterstützen. Dies hat den Vorteil, dass ein Kassenhersteller nur das international einheitlichen fiskaltrust.Interface unterstützen muss und im Hintergrund die verschiedenen Bauformen der TSE ausgesucht und entsprechend den Anforderungen bzw. den Wünschen der Kunden verwenden können.

Lokal

Lokale TSE verschiedener Hersteller werden in verschiedenen Bauformen erhältlich sein: USB-Stick, microSD-Karte, SmartCard oder auch in einen Drucker integriert.

Cloud

Als Middleware verfolgt fiskaltrust die Strategie, auch diverse Cloud-TSE unterschiedlicher Hersteller in die Konfiguration zu integrieren und über den Webshop anzubieten.

Aktuell (Stand 1.3.2020) wird noch immer darüber diskutiert, ob die Richtlinien des BSI eine TSE zulassen deren Komponenten

  • vollständig online in der Cloud „laufen“ und daher
  • keine Komponenten in der lokalen Infrastruktur installiert werden muss.

Relevante Komponenten einer TSE welche vom Hersteller gesondert zertifiziert werden müssen:

CSP (cryptographic service provider):

Der CSP wird voraussichtlich nicht ohne Hardware auskommen. Diese Hardware kann jedoch in Form eines HSM (hardware security module; Kosten voraussichtlich > EUR 20.000) in der sicheren Umgebung eines Rechenzentrums zertifiziert und daher online (in der Cloud) betrieben werden. An den Kriterien der Zertifizierung wird vom BSI aktuell noch etwas geändert, daher wird die Zertifizierung in dieser Variante noch nicht abgeschlossen. (Stand 1.3.2020)
Der CSP könnte demnach
a) in einem Rechenzentrum eines Dienstleisters (fiskaltrust) oder
b) in der Infrastruktur des Unternehmens betrieben werden.

SMAERS (Security Module Application for Electronic Record-keeping Systems):
Die SMAERS kann voraussichtlich ohne Hardware und eben ausschließlich als Software betrieben werden. Sie kann jedoch auch als lokale Hardware (z.B. in einem Hardware-Bauteil (Chip-Karte) oder als Software-Komponente) betrieben werden.
Jedoch soll diese Software-Komponente (SMAERS) nach Meinung des BSI bzw. BMF in der lokalen Infrastruktur am Standort des Unternehmens (z.B. auf dem Kassen-PC; im LAN) betrieben werden.
Warum? Die Kommunikation zwischen der Kasse und der TSE würde über das Internet laufen und die hierbei verwendete Verschlüsselung ist nach Meinung des BSI nicht ausreichend.

Varianten:

1. Cloud-TSE – Online-CSP+Online-SMAERS:
CSP (cryptographic service provider) und SMAERS werden in einem Rechenzentrum eines Dienstleisters betrieben.
Vorteil: Keine Software oder Hardware – daher die perfekte Lösung für

  • Cloud-Kassen
  • Kassen mit „schwacher“ Hardware oder Software (zB Waagen-Kassen)
  • Die von einem Dienstleister angebotete TSE läuft in der sicheren Infrastruktur eines professionellen Rechenzentrums und ist daher vor Manipulations-Angriffen besser geschützt als Komponenten, welche ich der Infrastruktur eines Anwenders laufen.
    Die vollständige entspricht möglicherweise nicht den Vorstellungen des BSI!
    – Die Begründungen sind zum heutigen Stand nicht nachvollziehbar.

2. Hybrid-TSE – Online-CSP+Lokale-SMAERS:
Dies würde bedeuten, dass die SMAERS am Standort des Unternehmens betrieben werden muss. Hierfür gibt es wiederum die zwei Optionen, dass eine lokale Hardware oder eine lokale Software erforderlich ist.
Nachteil ist, dass jedenfalls eine „fremde“ (Software-)Komponente bei der Einrichtung der TSE in der lokalen Infrastruktur installiert werden muss. Diese Installation ist vom jeweiligen Betriebssystem (inkl. Stand der Service-Packs) abhängig und führt in der Praxis dazu, dass es keine Standardisierung gibt und mit sehr hohen Service-Kosten zu rechnen ist.

Lösung:
Um möglichst unabhängig von der Zertifizierung eines einzelnen Produktes zu sein, bietet fiskaltrust den Vorteil, dass das fiskaltrust.Interface als Middleware zur Einbindung diverser Cloud-TSE verschiedener Hersteller verwendet werden kann.

Vergleich zu AT: fiskaltrust betreibt zur Fiskalisierung nach der österreichischen RKSV die „Signature.Cloud“. Hierbei werden sechs Stück Hardware-Sicherheitsmodule in zwei hochsicheren Rechenzentren betrieben. Dies ermöglicht die notwendige Performance um tausende Signaturen in der Sekunde sowie  die erforderliche Ausfallsicherheit anbieten zu können.
Leider verhindern die Richtlinien des BSI diverse dieser erprobten Maßnahmen zur Verbesserung der Funktionalität.

Fazit:

Liebes BSI und BMF. Bitte treten Sie den sicheren Möglichkeiten der 100%-igen Cloud-TSE näher. Die Sicherheit wird dadurch eher erhöht und nicht gefährdet.

Richtlinien zur Zertifizierung

Das rechtliche und technische Regelungswerk ist derart ausgerichtet, dass nicht der Kassenhersteller sondern ein spezieller Anbieter einer technischen Sicherheitseinrichtung (TSE) – entweder online oder offline – diese erforderliche Hard- und Software entwickelt sowie zertifizieren lässt. Die Zertifizierung ist mit Kosten in Höhe von ca. EUR 700k bis EUR 1Mio verbunden.

Die TSE besteht aus folgenden Komponenten welche in drei unterschiedlichen Schritten zu zertifizieren sind.