Die Unveränderbarkeit der (Kassen-)Buchführung nach § 146 Abs. 4 AO im EDV-Zeitalter und INSIKA
Teil 2: Probleme, Ursachen und Lösungen
Nach [i]Huber/Reckendorf/ Zisky, Die Unveränderbarkeit der (Kassen-) Buchführung nach § 146 Abs. 4 AO im EDV-Zeitalter und INSIKA – Teil 1, BBK 12/2013 S. 567 NWB MAAAE-37806 einem Blick auf die historischen Wurzeln des § 146 Abs. 4 AO zur Unveränderbarkeit der (Kassen-)Buchführung in der letzten BBK-Ausgabe widmet sich der zweite der drei Teile den praktischen Folgen des Paradigmenwechsels von der Papier-Buchführung hin zu den EDV-Systemen, insbesondere im Hinblick auf Datenmanipulationen im Bereich der Vorsysteme, etwa der Registrierkassen. Beleuchtet wird auch, welche Möglichkeiten insgesamt bestehen, diesen Manipulationen zu begegnen. Der dritte Teil im nächsten Heft stellt die technische Lösung INSIKA in leicht verständlicher Form vor.
Eine Kurzfassung des Beitrags finden Sie .
Die Reihe „Die Unveränderbarkeit der (Kassen-)Buchführung im EDV-Zeitalter und INSIKA” gliedert sich in die folgenden Teile:
Teil 1: Historische Wurzeln und Realzustand, NWB MAAAE-37806
Teil 2: Probleme, Ursachen und Lösungen, NWB NAAAE-39375
Teil 3: Konzept, Technik, Praxis, NWB SAAAE-40175
I. 12 Thesen zur Unveränderbarkeit von Aufzeichnungen in der EDV-gestützten Buchführung
Bei [i]Strukturell-technische Lösung statt Detailverbesserungender Manipulation von Buchführungsdaten und den Schwierigkeiten, sie zu verhindern oder zu entdecken, handelt es sich unserer Ansicht nach um grundsätzliche Probleme, die dementsprechend elementare Lösungsansätze erfordern. Es ist nicht ausreichend, im Rahmen der aktuellen Rechtslage Details zu verbessern oder einfach nur die Prüfungen zu intensivieren. Stattdessen sind konkrete Vorgaben für eine technische Lösung erforderlich. Das soll anhand der folgenden zwölf Thesen hergeleitet werden.
1. Bis heute ist das Verfahrensrecht nicht angemessen an EDV-Systeme angepasst worden
Die [i]Unveränderbarkeit als Bedingung aber ohne konkrete VorgabenAbgabenordnung in der aktuellen Fassung beinhaltet in § 146 Abs. 4 AO lediglich die Forderung, dass eine Aufzeichnung entweder nicht oder nur so verändert werden darf, dass der ursprüngliche Inhalt weiterhin festgestellt werden kann. In den hierzu rele-vanten Erlassen, also den GoBS [1], den GDPdU [2] und dem [3], S. 611wird die Forderung nach Unveränderbarkeit der Daten wiederholt, ohne dazu konkretere Vorgaben zu machen. Eine hinreichende Übertragung der immer noch richtigen Prinzipien von 1919 auf die EDV-gestützte Buchführung ist damit auch Jahrzehnte nach deren Einführung nicht erfolgt. Momentan ist dies auch nicht abzusehen [4].
Die [i]Übertragung der Grundsätze auf EDV-Buchführungen steht noch ausgesamte Fachliteratur und alle entsprechenden Urteile können daher auch nur grobe Anhaltspunkte statt konkreter Anleitungen liefern. Darüber hinaus sind dort nur Negativbeispiele dokumentiert, also Darstellungen nicht ordnungsmäßiger Systeme. Darstellungen ordnungsmäßiger Systeme existieren nicht und können aufgrund der Rechtslage auch nicht existieren.
2. Manipulationen in Buchführungssystemen hatten viele Jahre keine große praktische Bedeutung
Manipulationen [i]Manipulationen erfolgen meist außerhalb der Buchführungssystemeim Bereich der eigentlichen Buchführungssysteme kommen vor, sind aber so selten, dass deren Vermeidung oder Erkennung keine wesentliche praktische Bedeutung hatten und haben [5]. Wenn Manipulationen stattfinden, erfolgt das i. d. R. außerhalb der Buchführungssysteme.
Die Unternehmer erfassen bereits verfälschte Daten oder Belege werden gar nicht verbucht.
Werden [i]Manipulationen bei der DatenübernahmeVorsysteme wie eine Fakturierungssoftware, eine Warenwirtschaft und vor allem Registrierkassen verwendet, manipulierten die Unternehmen bisher überwiegend bei der Übernahme der Daten; sie übernehmen also nicht die korrekten, sondern veränderte Daten.
3. Frühe Manipulationsmethoden waren die erste Reaktion auf gründlichere Prüfungen
Durch [i]Manipulationsmöglichkeiten von Anwendern nachgefragtdie Forderung [6] nach Vorlage von Originalbelegen aus den Vorsystemen, vor allem den Tagesabschlüssen der Registrierkassen [7] entstand bei diesen Systemen eine Nachfrage nach recht simplen Manipulationsverfahren, die praktisch alle Registrierkassenhersteller auch erfüllten – den üblichen Marktmechanismen folgend. Dabei handelt es sich um Funktionen wie z. B.
Trainingsbediener, deren Buchungen nicht in die Berichte einfließen,
Managerstorno, also ein Storno, der nicht als solcher ausgewiesen wird,
mit Service-Schlüsseln veränderbare Z-Zähler, um zwei Berichte pro Tag zu erstellen und den einen davon zu vernichten [8].
Aus [i]Koalitionsangriffsicherheitsanalytischer Sicht handelt es sich dabei um einen sog. „Koalitionsangriff” auf das System, d. h. zwei Parteien arbeiten zusammen – in diesem Fall Hersteller und Anwender. Die Praxis zeigt, dass man damit schon aufgrund der wirtschaftlichen Abhängigkeiten rechnen muss (die Hersteller liefern, was die Kunden verlangen). Damit ist die Situation nur schwer vergleichbar mit praktisch jeder anderen Sicherheitslösung, bei denen sich Hersteller und Anwender gemeinsam gegen Angriffe von Dritten schützen [9]. S. 612
4. Hochentwickelte Manipulationsverfahren sind die Reaktion auf den Datenzugriff bei den Vorsystemen
Die [i]Datenzugriff der Finanzverwaltung auch auf KassendatenReaktion der Finanzverwaltungen vieler Staaten auf die einfachen Manipulationsmechanismen bestand darin, einen elektronischen Datenzugriff auch auf die Vorsysteme zu verlangen, vor allem auf die Registrierkassen. Dabei müssen die Daten jedes einzelnen Verkaufsvorgangs bereitgestellt werden. Die Vorlage ausschließlich verdichteter Daten ist nicht zulässig.
In [i]BMF, Schreiben vom 26. 11. 2010 - IV A 4 - S 0316/08/10004-07 (Kassenrichtlinie) NWB KAAAD-56752 Deutschland erfolgte dieser Schritt endgültig durch das das die Erleichterungen des aufhebt [10]. Obwohl für Registrierkassen mit elektronischer Journalaufzeichnung grundsätzlich bereits seit 2002 die GDPdU galten [11], ist dies in der Praxis nur in seltenen Fällen vollzogen worden.
Für eine vollständige Erfassung der Daten in Registrierkassen gibt es eine Reihe betrieblicher Notwendigkeiten:
die korrekte Rechnungserstellung,
die Personalkontrolle,
die Organisation von Betriebsabläufen oder
die Erfassung der Verkaufsmengen für die Warenwirtschaft.
Um [i]Automatische Datenmanipulationdiese Anforderungen zu erfüllen und gleichzeitig manipulierte, aber korrekt erscheinende Daten vorlegen zu können, müssen die Daten automatisiert verändert werden; eine manuelle Veränderung wäre zu aufwendig und ist zu leicht erkennbar. Auch hier hat der Markt durch die Entwicklung von leistungsfähigeren Manipulationsfunktionen reagiert. Meistens handelt sich es sich um von der eigentlichen Registrierkassensoftware getrennte Manipulationssoftware, die sog. „Zapper” [12]. Auch wenn Entwicklung und Vertrieb von Zapper-Software eindeutig eine Beihilfe zur Steuerhinterziehung darstellen [13], gestaltet sich die Strafverfolgung in der Praxis noch als schwierig.
In [i]Strafverfolgung der Programmierer von Zappern schwierigDeutschland hat es in den letzten Jahren (noch) keine strafrechtlichen Sanktionen gegen Kassenhersteller oder -händler wegen Beihilfe zur Steuerhinterziehung gegeben. Ein großes Problem besteht darin, dass die Zapper i. d. R. von der Kassensoftware getrennte Programme sind, so dass sich die Urheberschaft nur schwer gerichtsfest nachweisen lässt [14].
5. Die bisherigen Ansätze zur Manipulationserkennung sind aufwendig und bedingen ein „technisches Wettrüsten”
Im [i]StrategienWesentlichen verfolgen die Finanzverwaltungen folgende Strategien zur Bekämpfung von Datenmanipulationen:
Im [i]Finanzverwaltung verschärft AnforderungenRahmen der aktuellen Rechtslage werden die Anforderungen an die Systeme verschärft: Beispiele hierfür sind das in Deutschland, das Betrugsbekämpfungsgesetz 2006, die Kassenrichtlinie 2012 in Österreich sowie die Hersteller-Selbstverpflichtung in den Niederlanden.
Die [i]Mehr Prüfungen mit feineren Analysen und unangekündigten Kontrollen S. 613Häufigkeit von Prüfungen in Risikobranchen wird erhöht.
Die Analyse der Daten wird verfeinert.
Durch unangekündigte Kontrollen wie Testkäufe oder eine Umsatzsteuer-Nachschau [15] wird versucht, Verstöße aufzudecken.
Es wird Druck auf Kassenhersteller und -händler ausgeübt.
Versuche, [i]Oberflächliche Sicherheitdie Sicherheit der Daten ohne technische Sicherungen zu erhöhen, müssen jedoch prinzipbedingt immer nur an der Oberfläche bleiben. Am besten lässt sich dies an einem Beispiel verdeutlichen:
Es wird nicht darauf vertraut, dass in einem System Datensätze unveränderbar sind. Also wird eine Protokollierung der Änderungen verlangt. Wie soll man dann aber darauf vertrauen, dass diese Protokolle überhaupt korrekt erstellt werden oder nicht selbst veränderbar sind?
Also bleibt nur die Aufdeckung von Manipulationen durch Kontrollen, z. B. im Rahmen einer Umsatzsteuer-Nachschau, durch häufigere Außenprüfungen oder auch durch den Einsatz der Steuerfahndung.
Dabei [i]Zusätzliche Kontrollen haben ihre Grenzen zum Beispiel durch technische Umgehungenist zu bedenken: Verfahren zur Aufdeckung einfacher Manipulationen sind bei Zapper-Software wirkungslos. Chi-Quadrat- und Benford-Tests sowie einfache Zeitreihenanalysen erkennen frei erfundene oder punktuell veränderte Zahlen. Ein wirkungsvoller Zapper berechnet und verteilt Veränderungen aber so, dass sie bei diesen Analysen meist nicht auffallen. Intelligente Manipulation kann Auffälligkeiten selbst bei Verteilungsprüfungen (Strukturanalysen) vermeiden. Ein zusätzliches Problem ist die Frage, ob mathematische Sollmodelle universal gültig sind, um sie zur schätzungsweisen Ermittlung zu berichtigender Besteuerungsgrundlagen einzusetzen.
Werkzeuge wie die neue Prüfungstechnik [16] oder die summarische Risikoprüfung (SRP) [17] können die Entdeckungswahrscheinlichkeit erhöhen, jedoch hauptsächlich im qualitativen Bereich, also ob Manipulationen stattgefunden haben. Die quantitative Entdeckungswahrscheinlichkeit – also die Ermittlung der realen Manipulationsausmaße – bleibt in der überwiegenden Mehrzahl der Fälle auf der Strecke.
Diese [i]Technisches Wettrüsten ohne eine gleichmäßige Besteuerung sicherzustellenAnsätze sind sehr aufwendig und voraussichtlich nicht dauerhaft wirksam. Letztendlich führen sie zu einem „technischen Wettrüsten” zwischen Manipulanten und Verfolgern, so dass sie nur Übergangslösungen darstellen können. Da nach wie vor nur eine Minderheit der „Risikounternehmen” geprüft wird [18], führen die aktuellen Maßnahmen auch kaum zu einer gleichmäßigen Besteuerung.
6. Bei vielen Sicherheitsproblemen in der EDV bieten nur geeignete technische Sicherungen eine echte Lösung
In vielen anderen Bereichen des EDV-Einsatzes bedeutet eine Manipulierbarkeit von Daten ein massives Sicherheitsproblem, das das jeweilige System praktisch wertlos machen würde. S. 614
Elektronischer [i]Ungesicherter elektronischer Zahlungsverkehr wäre kaum vorstellbarZahlungsverkehr oder der Versand vertraulicher Daten über unsichere Kanäle wie das Internet.
Hier wurden die Probleme sehr viel früher erkannt und entsprechende Schutzmaßnahmen entwickelt. Praktisch alle aktuell verwendeten Lösungen basieren auf kryptografischen Verfahren. Bei hohen Sicherheitsanforderungen werden dafür meistens Smartcards [19] eingesetzt.
7. Auch die Sicherheit technischer Systeme basiert auf Vertrauen
Bei der Beurteilung von EDV-Sicherheitslösungen ist zu beachten, dass deren Sicherheit nur zum Teil auf dem technischen Verfahren wie Verschlüsselung oder besondere Hardware basiert, sondern auch auf Vertrauen. Konkret bedeutet das: [i]Vertrauen in das Verfahren, die Technik und die AnwenderVertrauen in
das Verfahren selbst,
die verwendeten kryptografischen Algorithmen,
die Personen/Stellen, die Zugriff auf sicherheitskritische Teile haben, und
die korrekte Anwendung des Systems.
Um [i]Regeln und Standards zur Verschlüsselungein hohes Vertrauensniveau zu erreichen, existieren verschiedene allgemein anerkannte Regeln und Standards:
Die verwendeten kryptografischen Verfahren sollten nicht deren Geheimhaltung erfordern; dieser Ansatz wird oft als „security through obscurity” bezeichnet. Stattdessen sollten sie veröffentlicht und von unabhängigen Experten geprüft sein. Lediglich die verwendeten Schlüssel müssen geheim bleiben (das sog. Kerkhoffs'sche Prinzip).
Um ein hohes Vertrauensniveau in die verwendete Hard- und Software zu gewährleisten, existieren standardisierte Evaluierungsverfahren, vor allem die „Common Criteria for Information Technology Security Evaluation” („CC”).
Für die sichere Erzeugung und Verwaltung von Schlüsseln muss eine sog. Public Key Infrastructure (PKI) genutzt werden. Dafür sind Standardlösungen verfügbar.
Darüber hinaus ist zu beachten, dass ein System möglichst wenige Komponenten enthalten sollte, die sicherheitskritisch sind und daher ein hohes Vertrauensniveau erfordern. Je mehr solcher Komponenten es gibt, desto aufwendiger und/oder unsicherer wird das System [20].
8. Nur mit technischen Sicherungen kann wieder das Vertrauensniveau einer papierbasierten Buchführung erreicht werden
Aus [i]Gefährdung in Risikobranchenden bisherigen Thesen folgt: Eine ungesicherte elektronische Aufzeichnung von Buchführungsdaten ist grundsätzlich manipulationsgefährdet. Sofern in der Praxis dann auch tatsächlich der Bedarf an Manipulationen besteht, werden diese auch vorgenommen. Dies betrifft vor allem Registrierkassen in „Risikobranchen”. Dies ist durch eine Reihe von Fällen belegt [21]. Betroffen sind sowohl die Daten in den Kassen selbst als auch die in nachgelagerten Auswertungssystemen sowie mit der Abrechnung interdependenten Einrichtungen, z. B.
die Warenwirtschaft bei Apotheken,
Reservierung in der Hotellerie,
Angebotsverwaltung bei Handwerkern.S. 615
Gleiches gilt für Taxameter; dort sind aufgrund der Eichung Eingriffe schwieriger und werden i. d. R. durch Löschungen von Zählern vorgenommen – aufwendige Manipulationen finden eher bei der Weiterverarbeitung der Daten statt.
9. Das fehlende Vertrauen trifft verstärkt die ehrlichen Steuerpflichtigen
Die [i]Nachweisproblem der ehrlichen Steuerpflichtigen durch „Misstrauensvorschuss”theoretischen und praktisch nachgewiesenen Möglichkeiten der Manipulation schaffen ein weiteres Problem, das in den bisherigen Veröffentlichungen, die vor allem aus der Perspektive der Finanzverwaltung verfasst wurden, kaum thematisiert wurde [22]:
Der Nachweis der Ordnungsmäßigkeit ihrer Aufzeichnungen wird für Steuerpflichtige schwierig bis unmöglich. Da sich der Vertrauensvorschuss des § 158 AO in der Praxis [i]Pauschalen Einwänden ist schwierig zu begegneninzwischen oft in einen „Misstrauensvorschuss” [23] verwandelt, erheben Betriebsprüfer aufgrund der weit verbreiteten Manipulationsoptionen immer häufiger pauschale Einwände, gegen die sich ein rechtschaffener Steuerpflichtiger nicht leicht verteidigen kann. Gelingt dies erfolgreich, ist es oft mit sehr großem Kosten- und Zeitaufwand bei allen Beteiligten verbunden.
Diese „Kollateralschäden” treffen viele Steuerehrliche. Das ist nicht nur nach Ansicht der Autoren in einem Rechtsstaat ist inakzeptabel [24].
10. Verfahren auf Basis digitaler Signaturen sind für eine Manipulationssicherung ideal geeignet
Ein [i]Einsatz sicherer HardwareVerfahren auf der Basis digitaler Signaturen stellt eine ideale Lösung dar. Eine der Voraussetzungen dafür ist natürlich ein ausreichendes Vertrauensniveau. Das erfordert u. a. den Einsatz einer sicheren Hardware zur Erzeugung der Signaturen. Mit einem solchen System ist dann sogar ein höheres Sicherheitsniveau erreichbar als bei einer papierbasierten Aufzeichnung.
Technische [i]Festlegung von Verfahren und AbläufenSicherungen erfordern eine exakte Spezifikation und damit eine Festlegung auf bestimmte Verfahren und Abläufe. Mit entsprechenden Regelungen tut sich speziell der deutsche Gesetzgeber recht schwer, da Eingriffe in den Wettbewerb oder andere Schäden für die Wirtschaft befürchtet werden.
Ausreichend [i]Praktikable technische Sicherungen bestehen seit zehn Jahrensichere, praktikable und preiswerte technische Verfahren, die zu einer Anwendung in Registrierkassen und Taxametern geeignet sind, existieren allerdings erst seit gut zehn Jahren [25].
11. Neben der Technik ist ein rechtlicher Rahmen erforderlich
Eine [i]Definition des rechtlichen Rahmenstechnische Lösung ohne einen rechtlichen Rahmen ist sinnlos. in diesem Zusammenhang ist Folgendes klar zu definieren:
Verpflichtung, die Systeme bei jedem Geschäftsvorfall zu nutzen, um die einfachste Art der Umgehung zu verhindern: die „Nicht-Nutzung”;
Verpflichtung, bei Nutzung eines Systems für jeden Geschäftsvorfall an den Kunden Belege zu erteilen, auf denen die Sicherheitsmaßnahmen aufsetzen können, S. 616
Kontrollbefugnisse für die Behörden;
Rechtssicherheit für alle Beteiligten;
objektiv nachprüfbare Bedingungen für die Ordnungsmäßigkeit eines Systems;
Regelungen für die Infrastruktur, die für den Betrieb eines Systems mit digitalen Signaturen erforderlich ist.
Nur [i]Rechtlicher Rahmen schafft Vertrauen in der Praxisdurch ein geeignetes rechtliches Rahmengerüst können Steuerpflichtige, Finanzverwaltung und weitere Beteiligte ausreichend sicher darauf vertrauen, dass die eingesetzte Lösung das theoretisch mögliche Sicherheitsniveau auch in der Praxis aufweist.
12. „Pseudo-Sicherheit” ist problematischer als gar keine Sicherheitslösung
Eine [i]Teillösungen gleichbedeutend mit fehlenden LösungenSicherheitslösung ist genau wie eine Kette nur so verlässlich wie das schwächste Glied, selbst wenn andere Bereiche der Kette massiv verstärkt werden sollten. Werden also nur Teilaspekte einer vollständigen Sicherheitslösung umgesetzt [26], ist die resultierende Lösung in vielen Fällen genauso unsicher, als würde es gar kein Sicherheitssystem geben. Eine scheinbare Sicherheit kann darüber hinaus dazu führen, dass die Lücken von den meisten Beteiligten nicht wahrgenommen werden. Es wird also ein unberechtigtes Vertrauen erzeugt [27].
Besonders brisant wird das in der hier behandelten Situation durch die Erwartungshaltung eines Teils der Anwender an die Hersteller, Systeme mit bewusst geschaffenen Sicherheitslücken zu liefern. Je eindrucksvoller dann die scheinbare Sicherheit ist, desto weniger wird eine Sicherheitslücke bemerkt.
Es [i]Objektiv nachprüfbare Sicherheitslösung erforderlichmuss unbedingt eine objektiv durch befugte Außenstehende nachprüfbare Sicherheitslösung gewählt werden. Diese Überprüfung muss nicht nur theoretisch möglich sein, sondern auch tatsächlich stattfinden. Das Sicherheitsniveau jeglicher proprietären Sicherheitslösung eines Herstellers wird grundsätzlich durch das Vertrauen in diesen Hersteller limitiert.
Die [i]Gründe der fehlenden Übertragung des § 146 Abs. 4 AO auf EDV-Buchführungbisherigen Ausführungen lassen erkennen, worin die wesentlichen Gründe für die bisher fehlende Übertragung des § 146 Abs. 4 AO auf die moderne EDV-gestützte Buchführung liegen dürften:
Lange Zeit bestand kein Bedarf nach technischen Absicherungen; Manipulationen wurden vor der Erfassung im EDV-System vorgenommen.
Ein Problembewusstsein musste und muss erst noch entstehen – sowohl für die Manipulationen selbst als auch für die Wirksamkeit verschiedener Lösungen.
Eine passende Technik ist erst seit relativ kurzer Zeit vorhanden.
Die Finanzverwaltung und der Gesetzgeber scheuen traditionell vor der Festlegung auf konkrete Verfahren zurück (Problem „Technik im Recht”).
II. Parallelen zu anderen Sicherheitslösungen
Für ein besseres Verständnis der Situation und eine Einordnung in einen größeren Rahmen ist die Betrachtung einiger Parallelen sehr hilfreich.S. 617
1. Digitalisierung von Medieninhalten
Die [i]Urheber- und Nutzungsrechte als BeispielDigitalisierung von Texten, Musik und Video war – sogar in mehrfacher Hinsicht – ebenfalls ein Paradigmenwechsel. Hier soll nur die Auswirkung auf die Durchsetzung der Urheber- und Nutzungsrechte betrachtet werden.
Vor der Digitalisierung hatte das legale und illegale Kopieren von Inhalten natürliche Grenzen, da die Qualität spätestens durch mehrfaches Kopieren rapide abnahm. Außerdem war das Kopieren oft sehr arbeitsintensiv, z. B. bei Büchern. Die Möglichkeit der schnellen, verlustfreien und anonymen digitalen Kopie hat letztendlich die Strukturen und Geschäftsmodelle eines ganzen Wirtschaftszweigs völlig verändert.
Technische [i]Technische Sicherungen schwierig umzusetzen Sicherungen wie Kopierschutzverfahren oder digitales Rechtemanagement waren zum einen schwierig umzusetzen [28], zum anderen sind sie nicht vom Markt akzeptiert worden. Würde es in diesem Bereich durchgängig technische Sicherungen geben, hätte sich die Digitalisierung gänzlich anders ausgewirkt.
Der Wechsel des „Transportmittels” von Medieninhalten und das Fehlen technischer Sicherungen hatten erhebliche Nebeneffekte mit großen wirtschaftlichen Folgen.
2. Elektronische Signatur nach Signaturgesetz
Eine [i]Qualifizierte elektronische Signatur als „eigenhändige” Unterschriftweitere Parallele ist die elektronische Signatur: Hier ist durch die Kombination einer geeigneten technischen Lösung mit einem rechtlichen Rahmen [29] erreicht worden, dass die sog. „qualifizierte elektronische Signatur” rechtlich der eigenhändigen Unterschrift gleichgestellt wird. Praktische [i]AnwendungsbeispieleAnwendung findet das Verfahren z. B. bei Anmeldungen zum Handelsregister durch Notare oder der Abrechnung ärztlicher Leistungen mit den Abrechnungsstellen der Kassenärztlichen Vereinigungen.
Durch eine sinnvolle technische und rechtliche Lösung sind elektronische Signaturen praktisch nutzbar und sogar sicherer als die „Papierversion”.
3. Rechnungssignatur nach § 14 UStG
Anhand [i]Fehler bei der Einführung der Rechnungssignaturder Rechnungssignatur nach § 14 UStG lässt sich dagegen erkennen, welche Herausforderungen bei der Umsetzung eines kryptografischen Sicherungssystems zu bewältigen sind. Hier wurden u. E. folgende Sachverhalte nicht beachtet:
Tabelle in neuem Fenster öffnen
1. | Mit der qualifizierten elektronischen
Signatur nach Signaturgesetz wurde ein für diesen Fall nicht optimal
geeignetes, rechtliches Konstrukt verwendet. Diese Signatur ist konzipiert, um
eine eigenhändige Unterschrift einer Person zu ersetzen –
Rechnungssignaturen werden jedoch durch Systeme automatisch erstellt. |
2. | Durch die Anforderung, eine
qualifizierte elektronische Signatur zu verwenden, sind Kosten und
Einstiegshürden massiv erhöht worden. So gab es erhebliche politische
Widerstände mit anschließender Aufweichung der Regeln z. B. für
Flugtickets. |
3. | Umfang und Form der zu signierenden
Daten (also der Daten, die gegen Manipulationen geschützt werden sollten)
wurden nicht standardisiert. |
4. | Durch die fehlende Standardisierung
konnte und musste jeder Anbieter ein eigenes System entwickeln. |
5 | Es konnte somit kein Prüfmechanismus
geschaffen werden, der für signierte Rechnungen aller Systeme übergreifend
einsetzbar war. |
S. 618 | |
6. | Damit waren die Prüfungen zum einen
nicht praktikabel, da viel zu aufwendig. |
7. | Zum anderen waren die Signaturprüfungen
nicht sicher, da sich ein Prüfer auf das Prüfergebnis der Software des
jeweiligen Herstellers der Signaturlösung verlassen musste. Die Beurteilung des
Prüfergebnisses basierte also nur auf Vertrauen in den Hersteller
[30] und nicht auf
allgemein anerkannten Standards. |
Tab. 1: Fehler bei der Einführung der elektronischen Signatur nach § 14 UStG
Letztendlich sind diese Umsetzungsfehler nicht durch eine Veränderung, sondern durch die Abschaffung der gesamten Regelung mit dem Steuervereinfachungsgesetz 2011 „korrigiert” worden.
4. Umstellung der Kreditkarten auf Smartcards
Durch [i]Niedriges Sicherheitsniveau von Kreditkartendie historische Entwicklung bedingt basiert die Sicherheit von Kreditkarten vor allem darauf, dass sehr leicht zugängliche – weil im Klartext auf der Karte vorhandene – Informationen wie Kartennummer, Ablaufdatum, Name, Prüfnummer nicht in falsche Hände gelangen dürfen. Da diese Daten außerdem alle im Rahmen eines Zahlvorgangs erfasst und verarbeitet werden, ist das Sicherheitsniveau dementsprechend sehr niedrig und die Betrugsquote hoch.
Eine [i]PCI-Zertifizierung als BehelfslösungBehelfslösung im Bereich der Online-Zahlungen ist die PCI-Zertifizierung [31]. Damit wird versucht, alle Stationen, an denen die Daten verarbeitet werden, mit großem Aufwand sicherer zu machen. Nicht erfüllt wird dabei das Prinzip, dass es so wenig sicherheitskritische Komponenten wie möglich geben sollte.
Die [i]Umstellung auf sichere Lösung läuftsystematisch sinnvollere – allerdings bisher für Zahlungen im Online-Handel kaum genutzte – Lösung besteht in der noch andauernden Umstellung auf Smartcards und PIN-Eingabe nach dem EMV-Standard [32]. Durch geeignete kryptografische Mechanismen ist der Zahlungsvorgang so abgesichert, dass nur noch sehr wenige Elemente sicherheitskritisch sind: der Chip auf der Karte, Teile des Zahlungsterminals und einige Komponenten im Rechenzentrum des Zahlungsdienstleisters.
Auf dem gesamten Übertragungsweg sind die Daten gesichert, so dass dort keine Manipulationen möglich sind.
III. Mögliche Auswege
1. Intensivierung der Prüfungen
Der [i]Mehr Kontrollen in Deutschland, Österreich und den Niederlandenmomentan von der Finanzverwaltung etwa in Deutschland, Österreich und den Niederlanden gewählte Ansatz besteht darin, häufiger und gründlicher zu prüfen oder zeitnah zu kontrollieren. Das ist keine nachhaltige Lösung des Grundproblems – es wird lediglich der Rückstand der Prüfung vorübergehend verringert. Es ist nur eine Frage der Zeit, bis die Manipulationen wieder besser an die Prüfungsmethoden angepasst werden.
2. Konventionelle Fiskalspeicher
Das „klassische” Verfahren, um Registrierkassen technisch abzusichern, ist der sog. „Fiskalspeicher”. Er ist seit den 1980er-Jahren in einer Reihe von Ländern im Einsatz [33]. S. 619 [i]Sichere Speicherung verdichteter DatenUnter dem Begriff „Fiskalspeicher” wird eine recht große Bandbreite von Lösungen zusammengefasst. Die meisten davon verwenden mechanische Schutzmaßnahmen wie Gießharz oder Plomben. Sie basieren nicht auf einer sicheren Aufzeichnung von Einzelbuchungen, sondern der sicheren Speicherung verdichteter Daten, also i. d. R. der Tagessummen.
Um Manipulationen der Daten vor der Übertragung in den Fiskalspeicher zu verhindern, muss das ganze System vertrauenswürdig sein. Das kann nur durch eine Bauartprüfung und Zertifizierung aller Komponenten sowie eine laufende Überwachung der eingesetzten Geräte erreicht werden.
Zertifizierungen [i]Fiskalspeicher bedingen hohen Aufwandsind aufwendig, teuer und behindern die technische Weiterentwicklung, da jede Veränderung des Systems eine Erneuerung der Zertifizierung erfordert. Eine flächendeckende Marktüberwachung derartiger Systeme ist sehr aufwendig. Prüfer müssen über technische Spezialkenntnisse verfügen, um sowohl die Übereinstimmung der Bauart mit den Seriengeräten überprüfen zu können als auch unerlaubte Veränderungen an Systemen zu erkennen.
Verschiedene Fiskalspeichersysteme wurden in den letzten Jahren um die Speicherung von Einzeltransaktionen und kryptografische Elemente ergänzt. Dies hat vor allem den Aufwand und damit die Kosten erhöht, z. B. für Entwicklung, Zertifizierung, Anschaffung, Wartung und Marktüberwachung [34]. Sinnvoller wäre eine generelle Neustrukturierung der Konzepte gewesen.
In [i]Einfache Umgehung der Fiskalspeicher durch Nicht-Nutzungder Praxis leiden viele Fiskalsysteme unter der einfachsten möglichen Umgehungsmethode: Die Verkäufe werden gar nicht erst eingegeben [35], da entsprechende Kontrollen nicht oder zu selten stattfinden [36]. Dies ist zum einen dadurch bedingt, dass die Systeme solche Kontrollen nicht erleichtern. Zum anderen erlauben sie i. d. R. keine nachträgliche Erkennung der zeitweisen Nicht-Erfassung der Daten [37].
In Italien haben sich zwei Kassen („double till”) eingebürgert: eine, an der regulär gearbeitet wird, und eine „Fiskal-Kasse”, an der die Daten dann ein zweites Mal erfasst werden – oder eben auch nicht.
3. Selbstverpflichtungen
In [i]Selbstverpflichtungen sind keine standardisierten Sicherheitslösungenden Niederlanden wurde vor allem auf Betreiben der Finanzverwaltung eine Stiftung „Vertrauenswürdige Kassensysteme” [38] gegründet. Diese Stiftung erteilt ein „Qualitätssiegel” auf Basis einer Selbsterklärung des jeweiligen Herstellers. Deren Anforderungen sollen vor allem sicherstellen, dass keine Datenmanipulationen möglich sind. Sie basieren nicht auf standardisierten Sicherheitslösungen, sondern auf Mechanismen, die jeder Hersteller selbst festlegen soll [39]. S. 620
Aus einer sicherheitstechnischen Perspektive erzeugt dieser Ansatz „Pseudo-Sicherheit”, da er das Problem nicht grundsätzlich angeht, sondern versucht, die Vertrauenswürdigkeit des Herstellers durch Einbindung einer neutralen Instanz (also der Stiftung) zu erhöhen. Die Hemmschwelle für einen Hersteller, Manipulationsfunktionen zu entwickeln oder Manipulationen bewusst zuzulassen, wird dadurch sicher erhöht – die Auswirkungen in der Praxis bleiben aber abzuwarten.
4. INSIKA
Eine [i]www.insika.deweitere Möglichkeit ist das sog. INSIKA-System. INSIKA steht für „ INtegrierte SIcherheitslösung für KAssensysteme”. Die Verfasser halten es für den mit Abstand sinnvollsten Weg, die geschilderten Probleme zu lösen. INSIKA kombiniert einen besonders sicheren technischen Ansatz mit effizienten einfachen Prüfverfahren und einer vergleichsweise einfachen und preiswerten Umsetzung. Es wurde auf Basis eines vom BMF erarbeiteten Fachkonzepts in einem vom BMWi geförderten Projekt unter Leitung der Physikalisch-Technischen Bundesanstalt bis zur Serienreife entwickelt.
Eine ausführliche und ohne Vorkenntnisse kryptografischer Sicherheitslösungen leicht verständliche Darstellung des INSIKA-Systems folgt in der nächsten BBK.
Eine gewisse Ironie des Schicksals ist im Übrigen die Tatsache, dass mit dem INSIKA-System die Anforderungen an die Rechnungssignatur nach § 14 UStG einfach und wirkungsvoll erfüllbar wären. Dazu hätte es lediglich auch auf elektronische Rechnungen ausgeweitet und minimal angepasst werden müssen.
Fundstelle(n):
BBK 2013 Seite 610 - 620
NAAAE-39375
1, BStBl 1995 I S. 738 (GoBS) NWB HAAAA-77174.
2, BStBl 2001 I S. 415 (GDPdU) NWB FAAAA-82366.
3, BStBl 2010 I S. 1342 (Kassenrichtlinie) NWB KAAAD-56752; vgl. Teutemacher, Checkliste für eine ordnungsgemäße Kassenführung – Aufbewahrung digitaler Unterlagen bei Bargeschäften, BBK 23/2012 S. 1073 NWB SAAAE-23904.
4Auch die aktuell vorliegenden Entwürfe für einen Nachfolger von GoBS und GDPdU, die GoBD oder die GoBIT, lassen hier keine Weiterentwicklung erkennen, vgl. hierzu Burlein, BBK 9/2013 S. 404 NWB UAAAE-34831.
5Vgl. Huber/Reckendorf/Zisky, Die Unveränderbarkeit der (Kassen-)Buchführung nach § 146 Abs. 4 AO im EDV-Zeitalter und INSIKA, Teil 1, BBK 12/2013 S. 567, 570 NWB MAAAE-37806.
6, BStBl 1996 I S. 34: Verzicht auf die Aufbewahrung von Kassenstreifen bei Einsatz elektronischer Registrierkassen NWB OAAAA-77205.
7Das spricht von „Tagesendsummenbons”.
8Die momentan umfangreichste Darstellung zu diesem Thema findet sich in: Huber, ÖStZ Spezial – Registrierkassen und Kassensysteme im Steuerrecht.
9Typische Beispiele sind E-Mail- und Datenträgerverschlüsselung, Virtuelle Private Netze, Internet-Firewalls, Virenscanner.
10Hierzu ausführlich Teutemacher, Checkliste für eine ordnungsgemäße Kassenführung – Aufbewahrung digitaler Unterlagen bei Bargeschäften, BBK 23/2012 S. 1073 NWB SAAAE-23904.
11Härtl/Schieder, Ordnungsmäßigkeit digital geführter Erlösaufzeichnungen – Elektronische Registrierkassen und digitale Erlöserfassungssysteme im Brennpunkt des Steuerrisikos Erlösverkürzung, Teil III, StBp 4/2011 S. 99.
12Ausführliche Darstellungen finden sich in: Huber, ÖStZ Spezial – Registrierkassen und Kassensysteme im Steuerrecht.
13Vgl. Drüen, in: Tipke/Kruse, AO/FGO, Köln 2012, § 146 AO Rz. 59.
14Vgl. als Beispiel auch www.apotheke-adhoc.de/nachrichten/nachricht-detail/betriebspruefer-haben-lauer-fischer-daten/
15Die Umsatzsteuer-Nachschau nach § 27b UStG erlaubt nach der Änderung durch das Steuervereinfachungsgesetz 2011 auch einen Datenzugriff.
16Huber, Die neue Prüfungstechnik in der Betriebsprüfung, Wien 2004.
17Auch „Neue interaktive Prüfungstechnik” (NiPt) genannt; dazu etwa: Wähnert, Summarische Risikoprüfung – Echtes Risikomanagement in der Finanzverwaltung mit Hilfe einer neuen Prüfungsmethode, StBp 10/2008 S. 296, und Anmerkung von Strahl in KÖSDI 1/2009 S. 16348; Huber/Wähnert, Der systematische Einsatz neuer Prüfverfahren in der Finanzverwaltung – Neue interaktive Prüfungstechnik (NiPt), NWB 36/2009 S. 2814 NWB DAAAD-27139; vgl. auch Wikipedia, Stichwort „Summarische Risikoprüfung”.
18Lt. Betriebsprüfungsstatistik 2011 des BMF wurden 1,0 % der Kleinstbetriebe und 3,3 % der Kleinbetriebe geprüft.
19Der Begriff „Smartcard” wird hier für Prozessorchipkarten mit Sicherheitsdiensten verwendet.
20Vgl. hierzu Teil 3 im folgenden Heft.
21Eine Zusammenstellung von öffentlich bekannt gewordenen Zapper-Fällen findet sich z. B. in Wikipedia, Stichwort „Zapper (Software)” http://de.wikipedia.org/wiki/Zapper_%28Software%29
22Fast alle Veröffentlichungen stammen von Mitarbeitern der Finanzbehörden. Es gibt einige wenige Artikel z. B. von Steuerberatern, die vor allem die Rechtsgrundlagen für den Zugriff auf bestimmte Daten in Frage stellen. Differenzierte Betrachtungen gibt es bisher jedoch kaum.
23Huber, Steueraufsicht und Betriebsprüfung in der Zeit der Kassenandroiden und ohne INSIKA – Grundgedanken, Ziele, Risiken und zweitbeste Lösungen, Teil V, StBp 3/2013 S. 78.
24Vgl. Huber/Reckendorf/Zisky, Teil 1, BBK 12/2013 S. 567, 579 NWB MAAAE-37806.
25Für diese Anwendung eignet sich aufgrund der kurzen Signaturen und schnellen Berechnung vor allem das ECDSA-Verfahren, das 1998 als ISO/IEC 14888-3 standardisiert wurde. In einer praxistauglichen und ausreichend schnellen Implementierung auf Smartcards war es erst nach dem Jahr 2000 verfügbar.
26Bei „politisch” und ohne ausreichende Detailkenntnisse zustande gekommenen Kompromisslösungen kann das leicht passieren. Ein Beispiel ist die weiter unten diskutierte Signatur für elektronische Rechnungen.
27Vgl. Huber, StBp 3/2013 S. 76; Exkurs: Fiskalspeicher und Ordnungsmäßigkeitsvermutung aus historischer Sicht und unter Betrachtung des § 146 Abs. 4 AO: Nur ein perfekter Fiskalspeicher ist ein guter Fiskalspeicher. Ein „nicht perfekter” Fiskalspeicher ist wesentlich schlechter als gar kein Fiskalspeicher, weil durch das zu Unrecht in ihn gesetzte Vertrauen (samt der Rechtsvermutung der Ordnungsmäßigkeit) in tiefgehender Weise und unvorhersehbarem Ausmaß das abgabenrechtliche Gleichheitsgebot verletzt wird.
28Da z. B. Audiodaten am Ende immer analog und damit ohne technische Sicherung ausgegeben werden, kann dort ohne nennenswerte Nachteile wieder eine digitale, ungesicherte und unbeschränkt kopierbare Version erzeugt werden. Anders sieht das im Bereich der elektronischen Bücher aus, wo das digitale Rechtemanagement auch praktisch funktioniert.
29Europäische Signaturrichtlinie 1999/93/EG und deutsches Signaturgesetz (SigG).
30Dieses Vertrauen mag in der Praxis berechtigt gewesen sein – mit einer soliden Sicherheitsarchitektur hat das aber wenig zu tun.
31 Payment Card Industry Data Security Standard, üblicherweise abgekürzt mit PCI bzw. PCI-DSS. Dies ist ein komplexes Regelwerk, nach dem die EDV-Systeme und -Prozesse, mit denen Kreditkarten-Daten verarbeitet werden, zertifiziert werden können.
32EMV steht für die Unternehmen, die den Standard ursprünglich definierten: Europay International (heute MasterCard Europe), MasterCard und VISA.
33Siehe auch PTB-Bericht IT-18, Revisionssicheres System zur Aufzeichnung von Kassenvorgängen und Messinformationen, http://dx.doi.org/10.7795/210.20130206a, S. 59 ff. sowie http://de.wikipedia.org/wiki/Fiskalspeicher.
34Solche Lösungen sind in Schweden und in Belgien eingeführt worden. Deren Komplexität ist schon daran zu erkennen, dass die Erstellung der technischen Spezifikationen durch die Behörden sich in beiden Fällen um mehrere Jahre verzögert hat.
35Das wahre Verhalten bei Aufzeichnung und Belegerteilung ist nicht im Rahmen regulärer Prüfungen zu ermitteln; dazu bedarf es eines verdeckten Augenscheins, den z. B. in Österreich die Finanzpolizei durchführt. Diese – ressourcenbedingt nur stichprobenartig durchführbare – Maßnahme ist aber auch nur in Verbindung mit strengen Folgesanktionen wirksam.
36Vgl. Im Land der steinreichen Armen, Spiegel Online vom 7. 1. 2012: „Mit 80 Steuerinspektoren rückte die Staatsmacht am frühen Morgen im mondänen italienischen Ski-Ort Cortina d'Ampezzo ein. […] In den Geschäften, Hotels und Restaurants, in denen am Tag vor Silvester ein Steuerfahnder neben der Kasse saß, ging der Umsatz steil in die Höhe. Restaurants nahmen das Doppelte vom Vortag ein und das Dreifache vom Vor-Silvestertag 2010. Bei Luxusboutiquen vervierfachte sich der Absatz sogar.”
37Bei den meisten Systemen fehlt eine Möglichkeit, einen gültigen sicher von einem ungültigen Beleg unterscheiden zu können. Wenn nur Tagessummen aufgezeichnet werden, hinterlässt eine zeitweise Nicht-Verwendung auch keine Spuren in den Daten.
38Stichting Betrouwbare Afrekensystemen, http://www.keurmerkafrekensystemen.nl.
39Österreich geht einen ähnlichen Weg auf Basis der Beschreibung von Sicherheitsmaßnahmen („Einrichtung im Sinne des § 131 BAO – E131”) durch den Hersteller, die dem FA zur Begutachtung und Auskunft auf Ordnungsmäßigkeit übersandt werden kann.