Die Unveränderbarkeit der (Kassen-)Buchführung nach § 146 Abs. 4 AO im EDV-Zeitalter und INSIKA

Teil 2: Probleme, Ursachen und Lösungen

Die Reihe „Die Unveränderbarkeit der (Kassen-)Buchführung im EDV-Zeitalter und INSIKA” gliedert sich in die folgenden Teile:

• Teil 1: Historische Wurzeln und Realzustand, BBK 12/2013 S. 567  NWB MAAAE-37806

• Teil 2: Probleme, Ursachen und Lösungen, BBK 13/2013 S. 610  NWB NAAAE-39375

• Teil 3: Konzept, Technik, Praxis, BBK 14/2013 S. 663  NWB SAAAE-40175

I. 12 Thesen zur Unveränderbarkeit von Aufzeichnungen in der EDV-gestützten Buchführung

Bei [i]Strukturell-technische Lösung statt Detailverbesserungender Manipulation von Buchführungsdaten und den Schwierigkeiten, sie zu verhindern oder zu entdecken, handelt es sich unserer Ansicht nach um grundsätzliche Probleme, die dementsprechend elementare Lösungsansätze erfordern. Es ist nicht ausreichend, im Rahmen der aktuellen Rechtslage Details zu verbessern oder einfach nur die Prüfungen zu intensivieren. Stattdessen sind konkrete Vorgaben für eine technische Lösung erforderlich. Das soll anhand der folgenden zwölf Thesen hergeleitet werden.

1. Bis heute ist das Verfahrensrecht nicht angemessen an EDV-Systeme angepasst worden

Die [i]Unveränderbarkeit als Bedingung aber ohne konkrete VorgabenAbgabenordnung in der aktuellen Fassung beinhaltet in § 146 Abs. 4 AO lediglich die Forderung, dass eine Aufzeichnung entweder nicht oder nur so verändert werden darf, dass der ursprüngliche Inhalt weiterhin festgestellt werden kann. In den hierzu rele-vanten Erlassen, also den GoBS [1], den GDPdU [2] und dem BMF-Schreiben vom 26. 11. 2010 [3], S. 611wird die Forderung nach Unveränderbarkeit der Daten wiederholt, ohne dazu konkretere Vorgaben zu machen. Eine hinreichende Übertragung der immer noch richtigen Prinzipien von 1919 auf die EDV-gestützte Buchführung ist damit auch Jahrzehnte nach deren Einführung nicht erfolgt. Momentan ist dies auch nicht abzusehen [4].

2. Manipulationen in Buchführungssystemen hatten viele Jahre keine große praktische Bedeutung

Manipulationen [i]Manipulationen erfolgen meist außerhalb der Buchführungssystemeim Bereich der eigentlichen Buchführungssysteme kommen vor, sind aber so selten, dass deren Vermeidung oder Erkennung keine wesentliche praktische Bedeutung hatten und haben [5]. Wenn Manipulationen stattfinden, erfolgt das i. d. R. außerhalb der Buchführungssysteme.

Werden [i]Manipulationen bei der DatenübernahmeVorsysteme wie eine Fakturierungssoftware, eine Warenwirtschaft und vor allem Registrierkassen verwendet, manipulierten die Unternehmen bisher überwiegend bei der Übernahme der Daten; sie übernehmen also nicht die korrekten, sondern veränderte Daten.

3. Frühe Manipulationsmethoden waren die erste Reaktion auf gründlichere Prüfungen

Durch [i]Manipulationsmöglichkeiten von Anwendern nachgefragtdie Forderung [6] nach Vorlage von Originalbelegen aus den Vorsystemen, vor allem den Tagesabschlüssen der Registrierkassen [7] entstand bei diesen Systemen eine Nachfrage nach recht simplen Manipulationsverfahren, die praktisch alle Registrierkassenhersteller auch erfüllten – den üblichen Marktmechanismen folgend. Dabei handelt es sich um Funktionen wie z. B.

• Trainingsbediener, deren Buchungen nicht in die Berichte einfließen,

• Managerstorno, also ein Storno, der nicht als solcher ausgewiesen wird,

• mit Service-Schlüsseln veränderbare Z-Zähler, um zwei Berichte pro Tag zu erstellen und den einen davon zu vernichten [8].

4. Hochentwickelte Manipulationsverfahren sind die Reaktion auf den Datenzugriff bei den Vorsystemen

Die [i]Datenzugriff der Finanzverwaltung auch auf KassendatenReaktion der Finanzverwaltungen vieler Staaten auf die einfachen Manipulationsmechanismen bestand darin, einen elektronischen Datenzugriff auch auf die Vorsysteme zu verlangen, vor allem auf die Registrierkassen. Dabei müssen die Daten jedes einzelnen Verkaufsvorgangs bereitgestellt werden. Die Vorlage ausschließlich verdichteter Daten ist nicht zulässig.

In [i]BMF, Schreiben vom 26. 11. 2010 - IV A 4 - S 0316/08/10004-07 (Kassenrichtlinie) NWB KAAAD-56752 Deutschland erfolgte dieser Schritt endgültig durch das BMF-Schreiben vom 26. 11. 2010, das die Erleichterungen des BMF-Schreibens vom 9. 1. 1996 aufhebt [10]. Obwohl für Registrierkassen mit elektronischer Journalaufzeichnung grundsätzlich bereits seit 2002 die GDPdU galten [11], ist dies in der Praxis nur in seltenen Fällen vollzogen worden.

Für eine vollständige Erfassung der Daten in Registrierkassen gibt es eine Reihe betrieblicher Notwendigkeiten:

• die korrekte Rechnungserstellung,

• die Personalkontrolle,

• die Organisation von Betriebsabläufen oder

• die Erfassung der Verkaufsmengen für die Warenwirtschaft.

Um [i]Automatische Datenmanipulationdiese Anforderungen zu erfüllen und gleichzeitig manipulierte, aber korrekt erscheinende Daten vorlegen zu können, müssen die Daten automatisiert verändert werden; eine manuelle Veränderung wäre zu aufwendig und ist zu leicht erkennbar. Auch hier hat der Markt durch die Entwicklung von leistungsfähigeren Manipulationsfunktionen reagiert. Meistens handelt sich es sich um von der eigentlichen Registrierkassensoftware getrennte Manipulationssoftware, die sog. „Zapper” [12]. Auch wenn Entwicklung und Vertrieb von Zapper-Software eindeutig eine Beihilfe zur Steuerhinterziehung darstellen [13], gestaltet sich die Strafverfolgung in der Praxis noch als schwierig.

5. Die bisherigen Ansätze zur Manipulationserkennung sind aufwendig und bedingen ein „technisches Wettrüsten”

Im [i]StrategienWesentlichen verfolgen die Finanzverwaltungen folgende Strategien zur Bekämpfung von Datenmanipulationen:

• Im [i]Finanzverwaltung verschärft AnforderungenRahmen der aktuellen Rechtslage werden die Anforderungen an die Systeme verschärft: Beispiele hierfür sind das BMF-Schreiben vom 26. 11. 2010 in Deutschland, das Betrugsbekämpfungsgesetz 2006, die Kassenrichtlinie 2012 in Österreich sowie die Hersteller-Selbstverpflichtung in den Niederlanden.

• Die [i]Mehr Prüfungen mit feineren Analysen und unangekündigten Kontrollen S. 613Häufigkeit von Prüfungen in Risikobranchen wird erhöht.

• Die Analyse der Daten wird verfeinert.

• Durch unangekündigte Kontrollen wie Testkäufe oder eine Umsatzsteuer-Nachschau [15] wird versucht, Verstöße aufzudecken.

• Es wird Druck auf Kassenhersteller und -händler ausgeübt.

Versuche, [i]Oberflächliche Sicherheitdie Sicherheit der Daten ohne technische Sicherungen zu erhöhen, müssen jedoch prinzipbedingt immer nur an der Oberfläche bleiben. Am besten lässt sich dies an einem Beispiel verdeutlichen:

Also bleibt nur die Aufdeckung von Manipulationen durch Kontrollen, z. B. im Rahmen einer Umsatzsteuer-Nachschau, durch häufigere Außenprüfungen oder auch durch den Einsatz der Steuerfahndung.

Werkzeuge wie die neue Prüfungstechnik [16] oder die summarische Risikoprüfung (SRP) [17] können die Entdeckungswahrscheinlichkeit erhöhen, jedoch hauptsächlich im qualitativen Bereich, also ob Manipulationen stattgefunden haben. Die quantitative Entdeckungswahrscheinlichkeit – also die Ermittlung der realen Manipulationsausmaße – bleibt in der überwiegenden Mehrzahl der Fälle auf der Strecke.

Diese [i]Technisches Wettrüsten ohne eine gleichmäßige Besteuerung sicherzustellenAnsätze sind sehr aufwendig und voraussichtlich nicht dauerhaft wirksam. Letztendlich führen sie zu einem „technischen Wettrüsten” zwischen Manipulanten und Verfolgern, so dass sie nur Übergangslösungen darstellen können. Da nach wie vor nur eine Minderheit der „Risikounternehmen” geprüft wird [18], führen die aktuellen Maßnahmen auch kaum zu einer gleichmäßigen Besteuerung.

6. Bei vielen Sicherheitsproblemen in der EDV bieten nur geeignete technische Sicherungen eine echte Lösung

In vielen anderen Bereichen des EDV-Einsatzes bedeutet eine Manipulierbarkeit von Daten ein massives Sicherheitsproblem, das das jeweilige System praktisch wertlos machen würde. S. 614

Hier wurden die Probleme sehr viel früher erkannt und entsprechende Schutzmaßnahmen entwickelt. Praktisch alle aktuell verwendeten Lösungen basieren auf kryptografischen Verfahren. Bei hohen Sicherheitsanforderungen werden dafür meistens Smartcards [19] eingesetzt.

7. Auch die Sicherheit technischer Systeme basiert auf Vertrauen

Bei der Beurteilung von EDV-Sicherheitslösungen ist zu beachten, dass deren Sicherheit nur zum Teil auf dem technischen Verfahren wie Verschlüsselung oder besondere Hardware basiert, sondern auch auf Vertrauen. Konkret bedeutet das: [i]Vertrauen in das Verfahren, die Technik und die AnwenderVertrauen in

• das Verfahren selbst,

• die verwendeten kryptografischen Algorithmen,

• die Personen/Stellen, die Zugriff auf sicherheitskritische Teile haben, und

• die korrekte Anwendung des Systems.

Um [i]Regeln und Standards zur Verschlüsselungein hohes Vertrauensniveau zu erreichen, existieren verschiedene allgemein anerkannte Regeln und Standards:

• Die verwendeten kryptografischen Verfahren sollten nicht deren Geheimhaltung erfordern; dieser Ansatz wird oft als „security through obscurity” bezeichnet. Stattdessen sollten sie veröffentlicht und von unabhängigen Experten geprüft sein. Lediglich die verwendeten Schlüssel müssen geheim bleiben (das sog. Kerkhoffs'sche Prinzip).

• Um ein hohes Vertrauensniveau in die verwendete Hard- und Software zu gewährleisten, existieren standardisierte Evaluierungsverfahren, vor allem die „Common Criteria for Information Technology Security Evaluation” („CC”).

• Für die sichere Erzeugung und Verwaltung von Schlüsseln muss eine sog. Public Key Infrastructure (PKI) genutzt werden. Dafür sind Standardlösungen verfügbar.

• Darüber hinaus ist zu beachten, dass ein System möglichst wenige Komponenten enthalten sollte, die sicherheitskritisch sind und daher ein hohes Vertrauensniveau erfordern. Je mehr solcher Komponenten es gibt, desto aufwendiger und/oder unsicherer wird das System [20].

8. Nur mit technischen Sicherungen kann wieder das Vertrauensniveau einer papierbasierten Buchführung erreicht werden

Aus [i]Gefährdung in Risikobranchenden bisherigen Thesen folgt: Eine ungesicherte elektronische Aufzeichnung von Buchführungsdaten ist grundsätzlich manipulationsgefährdet. Sofern in der Praxis dann auch tatsächlich der Bedarf an Manipulationen besteht, werden diese auch vorgenommen. Dies betrifft vor allem Registrierkassen in „Risikobranchen”. Dies ist durch eine Reihe von Fällen belegt [21]. Betroffen sind sowohl die Daten in den Kassen selbst als auch die in nachgelagerten Auswertungssystemen sowie mit der Abrechnung interdependenten Einrichtungen, z. B.

• die Warenwirtschaft bei Apotheken,

• Reservierung in der Hotellerie,

• Angebotsverwaltung bei Handwerkern.S. 615

Gleiches gilt für Taxameter; dort sind aufgrund der Eichung Eingriffe schwieriger und werden i. d. R. durch Löschungen von Zählern vorgenommen – aufwendige Manipulationen finden eher bei der Weiterverarbeitung der Daten statt.

9. Das fehlende Vertrauen trifft verstärkt die ehrlichen Steuerpflichtigen

Die [i]Nachweisproblem der ehrlichen Steuerpflichtigen durch „Misstrauensvorschuss”theoretischen und praktisch nachgewiesenen Möglichkeiten der Manipulation schaffen ein weiteres Problem, das in den bisherigen Veröffentlichungen, die vor allem aus der Perspektive der Finanzverwaltung verfasst wurden, kaum thematisiert wurde [22]:

Der Nachweis der Ordnungsmäßigkeit ihrer Aufzeichnungen wird für Steuerpflichtige schwierig bis unmöglich. Da sich der Vertrauensvorschuss des § 158 AO in der Praxis [i]Pauschalen Einwänden ist schwierig zu begegneninzwischen oft in einen „Misstrauensvorschuss” [23] verwandelt, erheben Betriebsprüfer aufgrund der weit verbreiteten Manipulationsoptionen immer häufiger pauschale Einwände, gegen die sich ein rechtschaffener Steuerpflichtiger nicht leicht verteidigen kann. Gelingt dies erfolgreich, ist es oft mit sehr großem Kosten- und Zeitaufwand bei allen Beteiligten verbunden.

10. Verfahren auf Basis digitaler Signaturen sind für eine Manipulationssicherung ideal geeignet

Ein [i]Einsatz sicherer HardwareVerfahren auf der Basis digitaler Signaturen stellt eine ideale Lösung dar. Eine der Voraussetzungen dafür ist natürlich ein ausreichendes Vertrauensniveau. Das erfordert u. a. den Einsatz einer sicheren Hardware zur Erzeugung der Signaturen. Mit einem solchen System ist dann sogar ein höheres Sicherheitsniveau erreichbar als bei einer papierbasierten Aufzeichnung.

Technische [i]Festlegung von Verfahren und AbläufenSicherungen erfordern eine exakte Spezifikation und damit eine Festlegung auf bestimmte Verfahren und Abläufe. Mit entsprechenden Regelungen tut sich speziell der deutsche Gesetzgeber recht schwer, da Eingriffe in den Wettbewerb oder andere Schäden für die Wirtschaft befürchtet werden.

11. Neben der Technik ist ein rechtlicher Rahmen erforderlich

Eine [i]Definition des rechtlichen Rahmenstechnische Lösung ohne einen rechtlichen Rahmen ist sinnlos. in diesem Zusammenhang ist Folgendes klar zu definieren:

• Verpflichtung, die Systeme bei jedem Geschäftsvorfall zu nutzen, um die einfachste Art der Umgehung zu verhindern: die „Nicht-Nutzung”;

• Verpflichtung, bei Nutzung eines Systems für jeden Geschäftsvorfall an den Kunden Belege zu erteilen, auf denen die Sicherheitsmaßnahmen aufsetzen können, S. 616

• Kontrollbefugnisse für die Behörden;

• Rechtssicherheit für alle Beteiligten;

• objektiv nachprüfbare Bedingungen für die Ordnungsmäßigkeit eines Systems;

• Regelungen für die Infrastruktur, die für den Betrieb eines Systems mit digitalen Signaturen erforderlich ist.

Nur [i]Rechtlicher Rahmen schafft Vertrauen in der Praxisdurch ein geeignetes rechtliches Rahmengerüst können Steuerpflichtige, Finanzverwaltung und weitere Beteiligte ausreichend sicher darauf vertrauen, dass die eingesetzte Lösung das theoretisch mögliche Sicherheitsniveau auch in der Praxis aufweist.

12. „Pseudo-Sicherheit” ist problematischer als gar keine Sicherheitslösung

Eine [i]Teillösungen gleichbedeutend mit fehlenden LösungenSicherheitslösung ist genau wie eine Kette nur so verlässlich wie das schwächste Glied, selbst wenn andere Bereiche der Kette massiv verstärkt werden sollten. Werden also nur Teilaspekte einer vollständigen Sicherheitslösung umgesetzt [26], ist die resultierende Lösung in vielen Fällen genauso unsicher, als würde es gar kein Sicherheitssystem geben. Eine scheinbare Sicherheit kann darüber hinaus dazu führen, dass die Lücken von den meisten Beteiligten nicht wahrgenommen werden. Es wird also ein unberechtigtes Vertrauen erzeugt [27].

Besonders brisant wird das in der hier behandelten Situation durch die Erwartungshaltung eines Teils der Anwender an die Hersteller, Systeme mit bewusst geschaffenen Sicherheitslücken zu liefern. Je eindrucksvoller dann die scheinbare Sicherheit ist, desto weniger wird eine Sicherheitslücke bemerkt.

II. Parallelen zu anderen Sicherheitslösungen

Für ein besseres Verständnis der Situation und eine Einordnung in einen größeren Rahmen ist die Betrachtung einiger Parallelen sehr hilfreich.S. 617

1. Digitalisierung von Medieninhalten

Die [i]Urheber- und Nutzungsrechte als BeispielDigitalisierung von Texten, Musik und Video war – sogar in mehrfacher Hinsicht – ebenfalls ein Paradigmenwechsel. Hier soll nur die Auswirkung auf die Durchsetzung der Urheber- und Nutzungsrechte betrachtet werden.

Vor der Digitalisierung hatte das legale und illegale Kopieren von Inhalten natürliche Grenzen, da die Qualität spätestens durch mehrfaches Kopieren rapide abnahm. Außerdem war das Kopieren oft sehr arbeitsintensiv, z. B. bei Büchern. Die Möglichkeit der schnellen, verlustfreien und anonymen digitalen Kopie hat letztendlich die Strukturen und Geschäftsmodelle eines ganzen Wirtschaftszweigs völlig verändert.

Technische [i]Technische Sicherungen schwierig umzusetzen Sicherungen wie Kopierschutzverfahren oder digitales Rechtemanagement waren zum einen schwierig umzusetzen [28], zum anderen sind sie nicht vom Markt akzeptiert worden. Würde es in diesem Bereich durchgängig technische Sicherungen geben, hätte sich die Digitalisierung gänzlich anders ausgewirkt.

2. Elektronische Signatur nach Signaturgesetz

Eine [i]Qualifizierte elektronische Signatur als „eigenhändige” Unterschriftweitere Parallele ist die elektronische Signatur: Hier ist durch die Kombination einer geeigneten technischen Lösung mit einem rechtlichen Rahmen [29] erreicht worden, dass die sog. „qualifizierte elektronische Signatur” rechtlich der eigenhändigen Unterschrift gleichgestellt wird. Praktische [i]AnwendungsbeispieleAnwendung findet das Verfahren z. B. bei Anmeldungen zum Handelsregister durch Notare oder der Abrechnung ärztlicher Leistungen mit den Abrechnungsstellen der Kassenärztlichen Vereinigungen.

3. Rechnungssignatur nach § 14 UStG

Anhand [i]Fehler bei der Einführung der Rechnungssignaturder Rechnungssignatur nach § 14 UStG lässt sich dagegen erkennen, welche Herausforderungen bei der Umsetzung eines kryptografischen Sicherungssystems zu bewältigen sind. Hier wurden u. E. folgende Sachverhalte nicht beachtet:

Tab. 1: Fehler bei der Einführung der elektronischen Signatur nach § 14 UStG

4. Umstellung der Kreditkarten auf Smartcards

Durch [i]Niedriges Sicherheitsniveau von Kreditkartendie historische Entwicklung bedingt basiert die Sicherheit von Kreditkarten vor allem darauf, dass sehr leicht zugängliche – weil im Klartext auf der Karte vorhandene – Informationen wie Kartennummer, Ablaufdatum, Name, Prüfnummer nicht in falsche Hände gelangen dürfen. Da diese Daten außerdem alle im Rahmen eines Zahlvorgangs erfasst und verarbeitet werden, ist das Sicherheitsniveau dementsprechend sehr niedrig und die Betrugsquote hoch.

Eine [i]PCI-Zertifizierung als BehelfslösungBehelfslösung im Bereich der Online-Zahlungen ist die PCI-Zertifizierung [31]. Damit wird versucht, alle Stationen, an denen die Daten verarbeitet werden, mit großem Aufwand sicherer zu machen. Nicht erfüllt wird dabei das Prinzip, dass es so wenig sicherheitskritische Komponenten wie möglich geben sollte.

Die [i]Umstellung auf sichere Lösung läuftsystematisch sinnvollere – allerdings bisher für Zahlungen im Online-Handel kaum genutzte – Lösung besteht in der noch andauernden Umstellung auf Smartcards und PIN-Eingabe nach dem EMV-Standard [32]. Durch geeignete kryptografische Mechanismen ist der Zahlungsvorgang so abgesichert, dass nur noch sehr wenige Elemente sicherheitskritisch sind: der Chip auf der Karte, Teile des Zahlungsterminals und einige Komponenten im Rechenzentrum des Zahlungsdienstleisters.

III. Mögliche Auswege

1. Intensivierung der Prüfungen

Der [i]Mehr Kontrollen in Deutschland, Österreich und den Niederlandenmomentan von der Finanzverwaltung etwa in Deutschland, Österreich und den Niederlanden gewählte Ansatz besteht darin, häufiger und gründlicher zu prüfen oder zeitnah zu kontrollieren. Das ist keine nachhaltige Lösung des Grundproblems – es wird lediglich der Rückstand der Prüfung vorübergehend verringert. Es ist nur eine Frage der Zeit, bis die Manipulationen wieder besser an die Prüfungsmethoden angepasst werden.

2. Konventionelle Fiskalspeicher

Das „klassische” Verfahren, um Registrierkassen technisch abzusichern, ist der sog. „Fiskalspeicher”. Er ist seit den 1980er-Jahren in einer Reihe von Ländern im Einsatz [33]. S. 619 [i]Sichere Speicherung verdichteter DatenUnter dem Begriff „Fiskalspeicher” wird eine recht große Bandbreite von Lösungen zusammengefasst. Die meisten davon verwenden mechanische Schutzmaßnahmen wie Gießharz oder Plomben. Sie basieren nicht auf einer sicheren Aufzeichnung von Einzelbuchungen, sondern der sicheren Speicherung verdichteter Daten, also i. d. R. der Tagessummen.

Um Manipulationen der Daten vor der Übertragung in den Fiskalspeicher zu verhindern, muss das ganze System vertrauenswürdig sein. Das kann nur durch eine Bauartprüfung und Zertifizierung aller Komponenten sowie eine laufende Überwachung der eingesetzten Geräte erreicht werden.

Verschiedene Fiskalspeichersysteme wurden in den letzten Jahren um die Speicherung von Einzeltransaktionen und kryptografische Elemente ergänzt. Dies hat vor allem den Aufwand und damit die Kosten erhöht, z. B. für Entwicklung, Zertifizierung, Anschaffung, Wartung und Marktüberwachung [34]. Sinnvoller wäre eine generelle Neustrukturierung der Konzepte gewesen.

In [i]Einfache Umgehung der Fiskalspeicher durch Nicht-Nutzungder Praxis leiden viele Fiskalsysteme unter der einfachsten möglichen Umgehungsmethode: Die Verkäufe werden gar nicht erst eingegeben [35], da entsprechende Kontrollen nicht oder zu selten stattfinden [36]. Dies ist zum einen dadurch bedingt, dass die Systeme solche Kontrollen nicht erleichtern. Zum anderen erlauben sie i. d. R. keine nachträgliche Erkennung der zeitweisen Nicht-Erfassung der Daten [37].

3. Selbstverpflichtungen

In [i]Selbstverpflichtungen sind keine standardisierten Sicherheitslösungenden Niederlanden wurde vor allem auf Betreiben der Finanzverwaltung eine Stiftung „Vertrauenswürdige Kassensysteme” [38] gegründet. Diese Stiftung erteilt ein „Qualitätssiegel” auf Basis einer Selbsterklärung des jeweiligen Herstellers. Deren Anforderungen sollen vor allem sicherstellen, dass keine Datenmanipulationen möglich sind. Sie basieren nicht auf standardisierten Sicherheitslösungen, sondern auf Mechanismen, die jeder Hersteller selbst festlegen soll [39]. S. 620

4. INSIKA

Eine [i]www.insika.deweitere Möglichkeit ist das sog. INSIKA-System. INSIKA steht für „ INtegrierte SIcherheitslösung für KAssensysteme”. Die Verfasser halten es für den mit Abstand sinnvollsten Weg, die geschilderten Probleme zu lösen. INSIKA kombiniert einen besonders sicheren technischen Ansatz mit effizienten einfachen Prüfverfahren und einer vergleichsweise einfachen und preiswerten Umsetzung. Es wurde auf Basis eines vom BMF erarbeiteten Fachkonzepts in einem vom BMWi geförderten Projekt unter Leitung der Physikalisch-Technischen Bundesanstalt bis zur Serienreife entwickelt.

Eine ausführliche und ohne Vorkenntnisse kryptografischer Sicherheitslösungen leicht verständliche Darstellung des INSIKA-Systems folgt in der nächsten BBK.

Fundstelle(n):
BBK 2013 Seite 610 - 620
NWB NAAAE-39375