BBK Nr. 14 vom Seite 663

Die Unveränderbarkeit der (Kassen-)Buchführung nach § 146 Abs. 4 AO im EDV-Zeitalter und INSIKA

Teil 3: Konzept, Technik, Praxis

Erich Huber, Jens Reckendorf und Dr. Norbert Zisky *

[i]BBK 12/2013 S. 567Huber/Reckendorf/ Zisky, Teil 1, NWB MAAAE-37806 und Teil 2, BBK 13/2013 S. 610 NWB NAAAE-39375 Das Konzept der „Integrierten Sicherheitslösung für messwertverarbeitende Kassensysteme” (INSIKA) gewährleistet, Daten von Registrierkassen und Taxametern sicher aufzuzeichnen. Dadurch wird die Unveränderbarkeit von Buchführungsdaten sichergestellt, und es greift der Vertrauensschutz des § 158 AO.

Teile 1 und 2 in den beiden letzten BBK zeigten, warum die Vorschrift zur Unveränderbarkeit der Buchführung im EDV-Zeitalter zum Teil neu interpretiert werden muss und welche Möglichkeiten zu ihrer Umsetzung bestehen. Dieser abschließende Teil 3 erläutert nun das Konzept und den technischen Hintergrund des INSIKA-Verfahrens.

Eine Kurzfassung des Beitrags finden Sie .

Die Reihe „Die Unveränderbarkeit der (Kassen-)Buchführung im EDV-Zeitalter und INSIKA” gliedert sich in die folgenden Teile:

I. Funktionsweise von INSIKA

1. Anforderungen und Entwicklungsziele

Bei der Entwicklung des INSIKA-Systems wurden im Wesentlichen die folgenden Anforderungen zugrunde gelegt:

  1. Datenintegrität,

  2. Datenauthentizität,

  3. Kontrollfähigkeit,

  4. Datensicherheit und

  5. Kostenminimierung.

1.1 Integrität – Daten unveränderbar machen

[i]Nur nachweisbare Veränderungen Einmal erfasste Daten sollen nicht verändert werden können, ohne dass dieses eindeutig nachweisbar ist. Auch die Löschung von Daten muss erkannt werden. Umgekehrt muss bewiesen werden können, dass die Daten unverändert und vollständig sind. S. 664

1.2 Authentizität und Nichtabstreitbarkeit – Herkunft der Daten sicherstellen

[i]Urheberschaft der Daten unstreitig Es muss überprüfbar sein, ob Daten wirklich vom vermeintlichen Urheber stammen. Außerdem muss sichergestellt sein, dass kein Dritter Daten unter einer falschen Identität erzeugen kann, so dass im Umkehrschluss der Urheber der Daten seine Urheberschaft nicht abstreiten kann.

1.3 Kontrollfähigkeit – korrekte Nutzung effektiv prüfbar machen

[i]Alle Verkäufe müssen nachprüfbar in der Kasse gespeichert seinDas System muss eine einfache, schnelle und sichere Überprüfung der korrekten Nutzung erlauben. Es muss jederzeit kontrollierbar sein, ob die Daten wirklich erfasst werden, also etwa die Verkäufe durchgängig in die Registrierkasse eingegeben und dort gespeichert werden. Diese Anforderung ist eine Ergänzung zur Prüfbarkeit, die sich auf die vergangenheitsbezogene Analyse der Daten bezieht [1].

1.4 Vorkehrungen gegen Datenverlust – Folgen eines Datenverlustes minimieren

[i]Bei verlorenen Einzeldaten immer noch GesamtsummenGeschützte Daten sollen weiterhin zum Zweck der Datensicherung kopierbar sein. Falls trotzdem Daten fehlen, sollen die Auswirkungen minimiert werden. Für Lücken in den Datenaufzeichnungen sollen so weit wie möglich zumindest Gesamtsummen ermittelbar sein. Selbst bei einem kompletten Verlust aller Einzelaufzeichnungen sollen immer noch Summenwerte vorhanden sein.

1.5 Kostenminimierung – Kosten sowie Eingriffe in vorhandene Systeme und den Markt so gering wie möglich halten

[i] So einfach wie möglichDie Lösung soll so einfach wie möglich sein, möglichst wenige Änderungen an vorhandenen Systemen bedingen und in möglichst vielen bestehenden Geräten nachrüstbar sein. Damit lassen sich die Kosten minimieren und Wettbewerbsverzerrungen verhindern.

2. Grundlegende Ideen

Die hier beschriebenen Zusammenhänge und Metaphern dienen nur der anschaulichen Darlegung der Grundprinzipien des Verfahrens. Eine Bewertung des Systems im Hinblick auf Aufwand, praktischen Einsatz und das erreichte Schutzniveau kann nur anhand der genauen technischen Spezifikation erfolgen.

2.1 Versiegelter, aber transparenter Umschlag

[i]Zwingende Belegerteilung Zu jedem Verkaufsvorgang wird ein Dokument erzeugt, d. h. eine Rechnung. Dieses Dokument wird bei der Erfassung in einem Umschlag abgelegt und dieser sofort versiegelt. Um das Dokument weiterhin lesen zu können, ist dieser Umschlag transparent. Eine Veränderung des Dokuments wäre nur mit einer Beschädigung des Umschlags oder des Siegels möglich, die auch im Nachhinein jederzeit erkennbar ist. Durch diesen Schutz kann das Dokument auf jedem beliebigen Weg transportiert und an jeder beliebigen Stelle abgelegt werden.

Abb. 1: Rechnung im Umschlag mit SiegelS. 665

Hinweis:

Erfüllt werden damit die Anforderungen Nr. 1 „Daten unveränderbar machen” und Nr. 4 „Vorkehrungen gegen Datenverlust”.

2.2 Persönliches Siegel

[i]Ein Siegelstempel für jedes Gerät Jeder Steuerpflichtige, vereinfachend im Folgenden „Unternehmer” genannt, bekommt für jedes von ihm eingesetzte Gerät zur Erfassung von Einnahmen einen eigenen, eindeutigen Siegelstempel, mit dem die Umschläge versiegelt werden. Anhand des Siegels ist jedes Dokument eindeutig auf einen Unternehmer zurückzuführen.

[i]Siegel lässt sich nicht fälschen Da keine andere Person den gleichen Siegelstempel besitzt, können die Daten auch von niemand anderem stammen. Das Siegel kann durch Dritte jederzeit überprüft werden. Der Siegelstempel kann nicht kopiert werden, das Siegel ist daher nicht fälschbar.

Abb. 2: Siegel und Stempel

Hinweis:

Erfüllt werden damit die Anforderungen Nr. 2 „Authentizität und Nichtabstreitbarkeit” sowie Nr. 3 „Kontrollfähigkeit”.

2.3 Zählwerke

[i]Addition der Gesamtumsätze Bei jeder Erzeugung eines Siegels werden immer einige Zählwerke aktualisiert. Eines der Zählwerke zählt jedes erzeugte Siegel fortlaufend durch – diese sog. Sequenznummer wird vor dem Versiegeln auf das Dokument geschrieben. In anderen Zählwerken werden die Gesamtumsätze addiert.

[i]Gesamtumsätze bleiben im Zählwerk erhalten Anhand der fortlaufenden Nummer fällt es bei einer Prüfung durch einfaches Durchzählen auf, wenn einzelne Umschläge fehlen sollten. Sollten einige oder alle Umschläge verloren gehen (oder bewusst vernichtet werden), sind die Gesamtumsätze immer noch an den Zählwerken ablesbar.

Abb. 3: Zählwerke, Sequenznummer und versiegelter UmschlagS. 666

Hinweis:

Dieser Ansatz leistet einen wichtigen Beitrag zur Erfüllung der Anforderungen Nr. 1 „Daten unveränderbar machen” und Nr. 4 „Vorkehrungen gegen Datenverlust”.

2.4 Sichere Versiegelungsstelle

[i]Missbrauchsverhinderung durch vertrauenswürdige Person Um einen Missbrauch des Siegelstempels zu verhindern und zu garantieren, dass die beschriebenen Abläufe immer zusammen durchgeführt werden, erfolgen die Versiegelung der Umschläge und die Aktualisierung der Zählwerke immer durch eine vertrauenswürdige Person. Diese Person führt den Vorgang in einem Raum durch, zu dem niemand sonst Zugang hat. Die Dokumente kommen nur über einen Eingangs- und Ausgangsbriefkasten hinein und wieder hinaus.

Abb. 4: Versiegelungsstelle

Hinweis:

Dieses Verfahren ist erforderlich, um folgende Anforderungen zu erfüllen: Nr. 1 „Daten unveränderbar machen”, Nr. 2 „Authentizität und Nichtabstreitbarkeit” und Nr. 4 „Vorkehrungen gegen Datenverlust”.

2.5 Verwaltung der Siegelstempel

[i]Verzeichnis Um sicher zu sein, dass sich der Urheber eines Siegels eindeutig zuordnen lässt, ist eine gewisse Bürokratie erforderlich: Die Siegelstempel werden nur ausgegeben, wenn sich der Empfänger ausweist. Alle Siegelstempel werden in einem Verzeichnis erfasst. Außerdem wird ein Abbild des Siegels aufbewahrt, um zu einem Siegel sicher ermitteln zu können, wem der passende Siegelstempel gehört.

[i]Jederzeitige Prüfbarkeit der versiegelten Umschläge Falls Siegelstempel als verloren gemeldet werden, wird ebenfalls Buch darüber geführt. Will eine Person die versiegelten Umschläge überprüfen, kann sie jederzeit die dafür nötigen Auskünfte erhalten (vgl. Abb. 5 auf der folgenden Seite).

Hinweis:

Nur durch diese Maßnahmen ist sichergestellt, dass folgende Anforderungen wirklich erfüllt sind: Nr. 2 „Authentizität und Nichtabstreitbarkeit” und Nr. 3 „Kontrollfähigkeit”.S. 667

Abb. 5: Lagerung der Stempel und Identitätsprüfung bei Ausgabe

3. Technische Umsetzung der Konzepte

Die im vorherigen Abschnitt I.2 vorgestellten Metaphern haben alle eine direkte Entsprechung im INSIKA-System. In der Praxis laufen die sicherheitskritischen Funktionen automatisch innerhalb einer Smartcard ab.

3.1 Versiegelter Umschlag = Digitale Signatur

[i]Digitale Signatur macht Veränderungen erkennbarDie Aufgabe des Umschlags und des Siegels wird von einer digitalen Signatur übernommen. Wie der transparente Umschlag macht diese die Daten nicht unsichtbar – es ist keine Verschlüsselung [2]. Sie macht aber jegliche Veränderung der Daten eindeutig erkennbar [3]. Für die Übertragung und Ablage der Daten bestehen keine Einschränkungen. Die Sicherheit ist durch die Signatur gewährleistet und nicht durch Anforderungen an die Datenhaltung. Damit sind Datensicherungen leicht und sicher möglich [4].

[i]Abdruck der Signatur auf dem Beleg Gleichzeitig wird die Signatur auf dem Beleg abgedruckt und stellt damit einen Nachweis darüber dar, dass die mit dem Beleg dokumentierte Buchung korrekt erfasst und abgelegt wurde. Um diese Nachweismöglichkeit sicherzustellen, ist ein Belegausgabezwang [5] erforderlich.

Hinweis:

[i]Gültigkeit der Signatur prüfbar anhand der Daten oder des BelegsDie Gültigkeit der Signatur kann jederzeit überprüft werden. Dazu sind nur die signierten Daten selbst oder der gedruckte Beleg erforderlich. Es wird kein Zugriff auf das erzeugende System benötigt, also die Registrierkasse oder das Taxameter. Es sind nicht einmal Kenntnisse über das System erforderlich, da die zu prüfenden Daten standardisiert und damit immer gleich aufgebaut sind.

3.2 Persönliches Siegel = Kryptografischer, privater Schlüssel auf einer Smartcard

[i]Beliebig viele Karten je Unternehmen Bei der sog. Personalisierung der Smartcard wird diese einem Unternehmer eindeutig zugeordnet. Ein Unternehmer kann beliebig viele Karten verwenden, die aber alle eine S. 668 individuelle eindeutige Nummer tragen, so dass sie voneinander unterschieden werden können. Jede einzelne Karte erhält einen einmaligen, zufällig erzeugten privaten Schlüssel, der zur Berechnung der Signaturen verwendet wird. So sind die mit der Karte signierten Daten eindeutig zuzuordnen.

3.3 Zählwerke = Summenspeicher und Sequenzzähler

[i]Ablage der wichtigsten Summenwerte je MonatTrotz der nach wie vor begrenzten Speicherkapazität von Smartcards können dort über einen mehrjährigen Zeitraum die wichtigsten Summenwerte jedes Monats abgelegt werden. Bei der aktuellen INSIKA-Implementierung beträgt dieser Zeitraum zehn Jahre.

Außerdem erfolgt die Zählung der signierten Belege durch die Smartcard selbst, so dass diese Nummerierung nicht manipuliert werden kann. Der jeweilige Sequenzzählerstand ist ein Datenelement der signierten Daten.

3.4 Sichere Versiegelungsstelle = Smartcard

[i]Smartcard als sichere UmgebungUm eine unberechtigte Erzeugung von Signaturen zu verhindern, braucht man wie in der Metapher mit dem Siegel eine „sichere Umgebung”. Wie bei sehr vielen kryptografischen Sicherheitslösungen mit hohen Anforderungen verwendet INSIKA eine Smartcard als sichere Umgebung. In der Smartcard (und nur dort) befindet sich der Schlüssel, der zur Erzeugung der Signaturen benötigt wird. Dieser Schlüssel verlässt die Smartcard niemals, kann also nicht ausgelesen und kopiert werden.

Auch die „Zählwerke” liegen in der Smartcard. Die Ein- und Ausgangsbriefkästen entsprechen der Schnittstelle zwischen der Software auf der Smartcard und dem System, das die Daten verarbeitet (Registrierkasse oder Taxameter).

Hinweis:

[i]Smartcards zu manipulieren praktisch unmöglich Geeignete Smartcards sind mit umfangreichen Sicherungsmechanismen ausgestattet, die jegliche Manipulation praktisch unmöglich machen [6].

3.5 Verwaltung der Siegelstempel = PKI und Zertifikate

Ein sicheres System auf Basis von digitalen Signaturen mit asymmetrischen Verfahren erfordert immer eine sog. „Public Key Infrastructure” (PKI). Hierbei handelt es sich um gängige und erprobte Verfahren und Prozesse, auf die hier nur oberflächlich eingegangen werden soll. Hauptaufgaben in einer PKI sind

  • [i]Aufgaben der PKIdie Prüfung der Berechtigung und Identität von Antragstellern,

  • die Personalisierung der Smartcards mit Erzeugung der Schlüssel,

  • die Zuordnung eines öffentlichen Schlüssels zu einer Person, einem Unternehmen oder einem Gerät durch eine vertrauenswürdige Stelle,

  • die Ausstellung eines sog. Zertifikats, in dem die Zuordnung festgelegt ist und

  • die sichere Verwaltung von Zertifikaten inkl. deren Sperrung.

Die vertrauenswürdigen Stellen werden als Zertifizierungsdienstanbieter (ZDA) oder Certification Authority (CA) bezeichnet.

4. INSIKA im Verhältnis zur aktuellen Rechtslage

[i]Kaum zusätzliche Datenaufzeichnungen notwendig, aber BelegzwangDas INSIKA-Verfahren erfordert bis auf wenige Ausnahmen nur die Aufzeichnung von Daten, die nach GoBS [7], GDPdU [8] und dem ohnehin S. 669aufzuzeichnen sind [9]. Zusätzlich zu erfassen ist lediglich die Buchungssignatur. Daneben sind eine Verpflichtung zur Belegausgabe und die Festlegung bestimmter Mindestinhalte des Belegs erforderlich.

[i]Standardisiertes Datenformat Die INSIKA-Spezifikation legt in eindeutiger Weise Inhalte und Formate der Daten fest, die signiert und zu Prüfzwecken bereitgestellt werden. Prüfer können auf Daten mit einer einheitlichen Prüfsoftware zugreifen, da ein standardisiertes Format verwendet wird. Die Erfassung von Daten, die über den Standardumfang hinausgehen, ist bei Bedarf problemlos möglich. Über die Sequenznummer können diese zusätzlichen Daten den signierten Daten jederzeit eindeutig zugeordnet werden.

Hinweis:

[i]Unternehmer kann seine Redlichkeit nachweisen INSIKA stellt damit eine technisch saubere Grundlage für die in § 146 Abs. 4 AO geforderte Unveränderbarkeit der Daten dar. Ganz wesentlich dabei ist, dass mit INSIKA für den Unternehmer ebenfalls nachweisbar ist, dass die Daten unverändert und authentisch sind.

5. Praxisbeispiele

Hinweis:

Die hier dargestellten Beispiele sollen helfen, einen ersten Überblick über den Gesamtablauf zu erhalten. Für eine Vertiefung ist eine Beschäftigung mit den in Abschnitt IV. genannten, weiterführenden Informationen zu empfehlen.


Tabelle in neuem Fenster öffnen
Typischer Ablauf der täglichen Datenerfassung [10]
Bei einer Registrierkasse: Erfassung der einzelnen Positionen des Verkaufsvorgangs (im folgenden „Buchung” genannt) und Abschluss der Buchung durch den Kassenbediener.
Aufbereitung der Buchungsdaten gemäß der INSIKA-Spezifikation.
Übergabe der Daten an die Smartcard und Empfang der Antwort.
Druck des Belegs inkl. der in der INSIKA-Spezifikation vorgegebenen Daten wie z. B. der von der Smartcard erhaltenen Sequenznummer und Signatur; bei Taxametern kann der Druck entfallen.
Speicherung der Buchungsdaten (bei Taxametern werden die Daten per Mobilfunknetz an einen Server übertragen).
Zum Tagesabschluss wird der INSIKA-Smartcard der entsprechende Befehl übermittelt und die erhaltenen Tagesabschlussdaten werden zusammen mit den Buchungsdaten gespeichert.
Die Buchungsdaten können bei Bedarf aus der Registrierkasse ausgelesen und an einem anderen Ort gespeichert werden. Wenn ohnehin eine Datenübertragung von Filialen an eine Zentrale erfolgt, werden die Daten i. d. R. in der Zentrale abgelegt.
Prüfung eines Belegs
Zur Prüfung eines Belegs müssen die wichtigsten Daten (z. B. Datum/Zeit, Gesamtumsatz, Sequenznummer, Signatur usw.) erfasst werden. Dies kann manuell oder vollautomatisch durch Einlesen eines auf den Beleg gedruckten QR-Codes erfolgen.
Die Überprüfung der Signatur kann online (über eine Website) oder mit einem speziellen PC-Programm durchgeführt werden.
Bei Bedarf kann zusätzlich eine Prüfung der einzelnen Positionen vorgenommen werden, z. B. um sicherzustellen, dass die Bezeichnungen nach dem Erzeugen der Signatur nicht verändert wurden. Dazu müssen die Positionen erfasst und ein daraus errechneter Kontrollwert mit dem entsprechenden Wert auf dem Beleg verglichen werden.
S. 670
Prüfung der Buchungsdaten, z. B. in einer Außenprüfung
Für eine Prüfung müssen die gespeicherten Buchungsdaten gemäß der INSIKA-Spezifikation aufbereitet werden.
Zusätzliche Daten können bei Bedarf in separaten Dateien bereitgestellt werden – eine Zusammenführung ist über die eindeutigen Smartcard- und Sequenznummern leicht möglich.
Die Daten werden in die INSIKA-Prüfsoftware eingelesen. Dabei werden die Signaturen der Daten geprüft sowie fehlende Sequenznummern erkannt.
Die INSIKA-Prüfsoftware stellt die Daten zur Weiterverarbeitung in der IDEA-Software zur Verfügung. Das Ergebnis der Signaturprüfung ist Teil der übergebenen Daten.
Die weitere inhaltliche Prüfung der Daten findet in IDEA (oder einer anderen Datenanalysesoftware) statt.
Rekonstruktion von fehlenden Daten
Wenn Buchungsdaten fehlen, ist das eindeutig anhand der Sequenznummer erkennbar.
Die Gesamtumsätze (nach Steuersätzen getrennt) zwischen zwei beliebigen Tagesabschlüssen lassen sich aus diesen errechnen. Diese Information ist zuverlässig, da die Daten von der Smartcard errechnet und signiert wurden. So lässt sich der Gesamtumsatz für die fehlenden Buchungsdaten jederzeit ermitteln.
Sollten Buchungsdaten für längere Zeiträume oder gar komplett fehlen, sind auf der INSIKA-Smartcard noch die Gesamtumsätze jedes einzelnen Monats inkl. des aktuellen verfügbar. Sie können direkt aus der Smartcard ausgelesen werden.

II. Technischer Hintergrund von INSIKA

1. Digitale Signaturen

[i]Digitale Signatur als Pendant zur Unterschrift Digitale Signaturen entsprechen unter Einhaltung bestimmter Randbedingungen herkömmlichen Unterschriften. Die Authentizität und Integrität eines Dokumentes soll nachweisbar gegen Veränderungen gesichert werden.

Bei digitalen Daten muss man jedoch auf geeignete Verfahren des „elektronischen Unterschreibens” zurückgreifen, um die Herkunft und die Unversehrtheit der Daten prüfen zu können. Eine gängige Methode ist die Anwendung von so genannten Public-Key-Verschlüsselungsverfahren [11]. Diese haben den Vorteil, dass der Umgang mit den zur Erzeugung und Prüfung der digitalen Signaturen erforderlichen Schlüssel im Gegensatz zu den älteren Verfahren wesentlich einfacher ist.

[i]Kombination von privatem und öffentlichem Schlüssel Bei Public-Key-Verfahren wird mit einem privaten Schlüssel die digitale Signatur von Daten berechnet und mit einem zugehörigen öffentlichen Schlüssel die digitale Signatur geprüft. Der private Schlüssel muss unbedingt geheim bleiben, der zugehörige öffentliche Schlüssel kann jedem übergeben werden, der die Datensignatur prüfen will.

Hinweis:

[i]Hohe Sicherheit bei geringer Signaturlänge Das Public-Key-Verfahren ECDSA [12] wurde für INSIKA ausgewählt, weil es hohe Sicherheit bei einer geringen Signaturlänge erlaubt. Außerdem ist die Berechnungsgeschwindigkeit auch auf einer verhältnismäßig leistungsschwachen Hardware wie der einer Smartcard ausreichend [13].

Die erreichte Sicherheit ist nach dem heutigen Stand sehr hoch, da hierbei keine Verfahren geheim gehalten werden, sondern lediglich ein privater Signaturschlüssel S. 671geschützt werden muss. Dafür steht auf den Smartcards ein spezieller, von außen unzugänglicher Speicher zur Verfügung.

[i]Sicher gegen reines Ausprobieren Würde man versuchen, den Signierschlüssel durch Probieren herauszufinden, benötigte man für das bei INSIKA ausgewählte ECDSA-Verfahren 2 192 Versuche. Könnte man pro Sekunde eine Billion Versuche unternehmen, würde das gesamte Alter des Universums gerade einmal ausreichen, um 0,000000000000000000000000007 % der Möglichkeiten auszuprobieren [14]. Selbst wenn es gelingen würde, von einer Smartcard den Signaturschlüssel zu erraten, wäre damit auch nur die Verfälschung von Daten dieses speziellen Systems möglich.

Hinweis:

[i]Public-Key-Verfahren als gängige Methoden Public-Key-Verfahren kommen heute in fast allen sicherheitskritischen Bereichen zur Anwendung. Beispiele dafür sind Zugangskontrollsysteme, Steuerungsanlagen, der neue Personalausweis mit Signierfunktion oder der Dokumentenaustausch der Notare mit dem Handelsregister.

2. Smartcard

[i]Unabhängigkeit von Herstellern und TechnologieINSIKA ist nicht auf einen bestimmten Typ von Smartcards festgelegt. Es ist lediglich genau festgelegt, welche Funktionen die Karte ausführen muss und wie sie sich zu verhalten hat. Eine Implementierung ist daher auf Basis verschiedener Karten-Hardware möglich, und es besteht somit keine Abhängigkeit von bestimmten Herstellern oder Technologien. Im Laufe der Zeit können jeweils dem Stand der Technik entsprechende Karten eingesetzt werden.

[i]Prüfung durch unabhängige Stellen Smartcards verfügen über komplexe Schutzmaßnahmen, die Manipulationen sehr stark erschweren. Hard- und Software können durch einen Evaluierungsprozess von einer unabhängigen Stelle überprüft werden [15].

Hinweis:

Eine Implementierung von Signaturlösungen kann grundsätzlich auch mit anderen Verfahren erfolgen. So sind etwa reine Software-Lösungen möglich und bei vielen Anwendungen auch üblich.

[i]Auch Hardware muss vertrauenswürdig sein Da in diesem Fall aber die vertrauenswürdige Hardware fehlt, ist dieser Ansatz für INSIKA nicht verwendbar. Bei sehr hohen Anforderungen an die Verarbeitungsgeschwindigkeit können statt Chipkarten Hardware-Sicherheitsmodule (HSM) eingesetzt werden. Für INSIKA ist allerdings die Verarbeitungsgeschwindigkeit von Chipkarten ausreichend.

3. Zertifikate und Public Key-Infrastruktur

3.1 Zertifikate

Digitale Zertifikate sind Dateien, die Angaben über die Zugehörigkeit einer Smartcard mit einem Schlüsselpaar zu einem Unternehmen enthalten und durch eine anerkannte Zertifizierungsstelle digital signiert sind. Die aus INSIKA-Sicht wichtigsten Informationen sind

  • die Identifikationsnummer des Unternehmens [16],

  • die Identifikationsnummer der Smartcard und

  • der öffentliche Schlüssel der Smartcard. S. 672

Die „Unterschrift” der [i]Echtheit der Unterneh-merzertifikate lässt sich prüfen Zertifikatsdatei erfolgt mit dem eigenen, privaten Signaturschlüssel der Zertifizierungsstelle. Der öffentliche Schlüssel der Zertifizierungsstelle steht über verschiedene Medien offen zum Abruf bereit, z. B. über Internet, CD oder auch gedruckt. Vertraut man der Zertifizierungsstelle, kann zunächst die Echtheit von Unternehmerzertifikaten geprüft werden.

In einem zweiten Schritt ist mit dem im Zertifikat enthaltenen öffentlichen Schlüssel des Unternehmers die Prüfung digitaler Signaturen von Unternehmerdaten möglich, die mit der zugehörigen Unternehmer-Smartcard erzeugt wurden.

Hinweis:

[i]Prozesse sind vollautomatischDie hier beschriebenen Prozesse sind für den Anwender nur scheinbar aufwendig, da sie im Normalbetrieb vollautomatisch ablaufen. Der Anwender muss natürlich sicher sein, dass die eingesetzten Programme zuverlässig arbeiten.

3.2 Public-Key-Infrastruktur (PKI)

[i]Zertifizierungsstelle Für die Anwendung der Public-Key-Verfahren wird eine Verwaltungsstruktur benötigt, die als Public-Key-Infrastruktur (PKI) bezeichnet wird. Das wichtigste Element einer PKI ist die Zertifizierungsstelle – eine Organisation, die digitale Zertifikate auf Antrag ausstellt. Grundlage für die Arbeit der Zertifizierungsstelle sind zuverlässige Registrierungsinformationen, hier des Unternehmens.

Typischerweise arbeitet die Zertifizierungsstelle mit einer oder mehreren Registrierungsstellen zusammen, bei denen Personen, Unternehmen oder Maschinen Smartcards mit dem dazugehörigen Zertifikat beantragen können. Die Zertifizierungsstellen prüfen die Richtigkeit der Daten im gewünschten Zertifikat und genehmigen den Zertifikatsantrag, der dann durch die Zertifizierungsstelle signiert wird.

[i]Begrenzte Gültigkeit der Zertifikate Ausgestellte Zertifikate haben i. d. R. nur eine begrenzte Gültigkeit. Außerhalb des Gültigkeitszeitraums eines Zertifikats erstellte Signaturen sind ungültig. Deshalb muss vor der eigentlichen Prüfung von digitalen Signaturen eine Zertifikatsstatusprüfung erfolgen.

Hinweis:

[i]Zertifikatssperrliste z. B. für verlorene Smartcards Zertifizierungsstellen verwalten außerdem eine Zertifikatssperrliste, in der alle Zertifikate enthalten sind, die vor Ablauf der Gültigkeit zurückgezogen wurden. Gründe dafür sind beispielsweise die Ungültigkeit der Zertifikatsdaten oder der Verlust der Smartcard. Eine Zertifikatssperrliste hat eine definierte Laufzeit, nach deren Ablauf sie erneut aktualisiert erzeugt wird.

Eine Zertifizierungsstelle stellt einen Verzeichnisdienst bereit, mit dessen Hilfe auf ein Verzeichnis zugegriffen werden kann, das alle von der Zertifizierungsstelle ausgestellten Zertifikate enthält. Oft steht auch ein Validierungsdienst zur Verfügung, der die Überprüfung des Zertifikatsstatus in Echtzeit ermöglicht.

[i]Zertifizierungsstellen werden streng reguliert Anerkannte Zertifizierungsstellen unterliegen strengen Regularien. Sie müssen die von ihnen unterstützte PKI exakt dokumentieren. Kernpunkte sind der Registrierungsprozess, Handhabung des privaten Schlüssels, zentrale oder dezentrale Schlüsselerzeugung, technischer Schutz der PKI-Systeme sowie eventuell rechtliche Zusicherungen.

Hinweis:

[i]Infrastruktur für den Betrieb von INSIKA besteht bereits Die hier beschriebenen Verfahren und Abläufe sind für den praktischen Einsatz von INSIKA bereits vorhanden (vgl. Abschnitt III.2). S. 673

4. Prüfverfahren

[i]INSIKA beruht auf offen zugänglichen StandardsDie INSIKA-Prüfverfahren stehen grundsätzlich jedem zur Verfügung. Da die INSIKA-Spezifikationen auf Standards basieren und offen zugänglich sind, können Prüfwerkzeuge von verschiedenen Anbietern erstellt und genutzt werden [17]. Ein Interesse an effizienten Prüfungen haben neben der Finanzverwaltung und weiteren zuständigen Behörden die Unternehmer selbst sowie deren Steuerberater und ggf. Wirtschaftsprüfer.

[i]Nach positiver Prüfung der Signatur sind die Daten sicherDas INSIKA-Verfahren bedingt einen Paradigmenwechsel bei der Prüfmethodik für die Ursprungsaufzeichnungen: Vorliegende digital signierte Daten sind nach positiver Prüfung der Signaturen grundsätzlich nicht manipuliert. Es muss jedoch mit geeigneten Maßnahmen sichergestellt und überprüft werden, ob die Erzeugung der Signaturen tatsächlich so erfolgt, wie vorgeschrieben (vgl. Abschnitt II.5).

Hinweis:

[i]Prüfer beschränken sich auf die inhaltliche Analyse der DatenMit dem Abschluss eines Geschäftsvorfalls (Buchung, Taxifahrt) muss dieser unmittelbar aufgezeichnet und digital signiert werden. Sind diese Anforderungen erfüllt, kann sich ein Prüfer auf die inhaltliche Analyse der Daten beschränken. Komplexe Plausibilitätsprüfungen und Vergleiche verschiedenster Datenbestände zur Aufdeckung eventueller Manipulationen sind überflüssig.

Zur [i]Prüfung der Vollständigkeit mittels speziellem Prüfprogramm Prüfung müssen die Daten im INSIKA-XML-Export-Format bereitgestellt werden. Mit geeigneten Prüfprogrammen wie dem im INSIKA-Projekt entwickelten IVM-Prüfprogramm werden die digitalen Signaturen jeder Einzelaufzeichnung und jedes Tagesabschlusses geprüft. Darüber hinaus kann unter Auswertung von Sequenznummern die Vollständigkeit der signierten Datenaufzeichnung geprüft werden.

[i]Ablauf einer Prüfung mit INSIKA gesicherter DatenDa jede Einzelaufzeichnung eine Zeitinformation enthalten muss, kann man aus der Kombination von Sequenzzähler und Zeit bereits Rückschlüsse auf die Korrektheit der Datenaufzeichnung ziehen. Eine Prüfung von mit INSIKA gesicherten Daten läuft im Wesentlichen wie folgt ab:


Tabelle in neuem Fenster öffnen
Der Prüfende informiert sich darüber, wie viele INSIKA-Smartcards auf das zu prüfende Unternehmen ausgestellt sind. Dazu kann er auf den Verzeichnisdienst der Zertifizierungsstelle zurückgreifen.
Weiterhin muss er über die aktuelle Sperrliste verfügen oder während der Prüfung einen Online-Zugriff hierauf haben.
Für den festgelegten Prüfzeitraum müssen in einem weiteren Prüfschritt alle aufgezeichneten Daten im INSIKA-XML-Exportformat übernommen werden.
Hat der Unternehmer einzelne INSIKA-Smartcards nicht genutzt (z. B. Reservekarten), so ist das nachzuweisen. Dazu muss ein aktueller signierter Tagesabschluss herangezogen werden. Die Umsätze aller Umsatzsteuerklassen müssen dann Null sein. Der Prüfer kann dazu die Karte auch selbst auslesen.
Die erste Prüfung der Daten ist die Validierung des XML-Formats: Hier wird geprüft, ob die Daten den festgelegten INSIKA-Formatbeschreibungen genügen. Dies ist lediglich eine formale technische Prüfung, die sicherstellt, dass für die folgenden Prüfschritte korrekte Ausgangsdaten verwendet werden.
Mit dem zweiten Prüfschritt erfolgt die Verifikation der Signaturen nach dem festgelegten mathematischen Verfahren. Bei positiver Prüfung hat der Prüfende die Gewissheit, dass die Daten exakt die gleichen sind, die zum Zeitpunkt des Signierens an die INSIKA-Smartcard übergeben wurden. Mit diesem Prüfschritt sind die Anforderungen Nr. 1 und Nr. 2 aus Abschnitt I. erfüllt.
Nach der Signaturprüfung stehen nun die Daten mit allen Ausgangsinformationen zur Vollständigkeits- und Konsistenzprüfung bereit, die von der Datenerfassungseinheit (Kasse, Taxameter, Geldspielgeräte [18]) und der INSIKA-Smartcard zu einer Buchung oder einem Tagesabschluss zusammengestellt wurden. Anhand der Sequenznummern können sehr leicht Lücken in der Datenaufzeichnung oder falsche Zeitzuordnungen aufgedeckt werden. Damit lässt sich die Anforderung Nr. 4 aus Abschnitt I erfüllen.
S. 674
Die inhaltliche Prüfung der Daten orientiert sich an den bekannten Prüfverfahren der jeweiligen Prüfer. Eine IDEA-konforme Übergabe der INSIKA-Daten ist problemlos möglich.

5. INSIKA und Datenanalyse-Verfahren

[i]Neue Prüfungsmethoden sind eine Ergänzung aber keine Alternative zu INSIKA Da bisher keine Verfahren zur sicheren Aufzeichnung von Buchführungsdaten praktisch eingesetzt werden, wird momentan vor allem versucht, nachträglich Manipulationen durch komplexe Verfahren zur Datenanalyse zu erkennen (NiPT oder summarische Risikoprüfung). Diese sollten jedoch nicht als Alternative zu INSIKA, sondern als Ergänzung verstanden werden: Wenn gewährleistet ist, dass die Daten nach der Erfassung nicht mehr verändert werden können, bleibt als Manipulation nur die zeitweise Nichterfassung von Daten.

Hinweis:

[i]Wähnert, Aussagekraft und Belastbarkeit von Zeitreihenvergleichen, BBK 9/2013 S. 420 NWB AAAAE-34774 Die Nichterfassung von Daten führt dann allerdings unweigerlich zu Auffälligkeiten in Zeitreihenvergleichen, Schicht- und Zeitprofilen und ist damit durch geeignete Analyseverfahren recht gut erkennbar.

6. Verfahren zur laufenden Kontrolle

[i]Kontrolle für alle Beteiligten wesentlich erleichtert Jedes System zur Erfassung und Speicherung von Geschäftsvorfällen – ob ungesicherte Aufzeichnung, konventioneller Fiskalspeicher oder INSIKA – erfordert eine regelmäßige Kontrolle durch die Behörden, ob die Systeme korrekt eingesetzt werden. Das technische System kann diese Kontrolle allerdings wesentlich erleichtern, sowohl für die Behörden als auch für die Unternehmen.

Hinweis:

[i]Datenzugriff nicht erforderlich – Beleg und PKI-Daten genügen Diese Kontrollfähigkeit war eines der wesentlichen Entwicklungsziele von INSIKA. Sie basiert auf dem Abdruck der Signatur auf dem Beleg. Mit dieser Signatur kann jederzeit überprüft werden, ob der Beleg von einer gültigen INSIKA-Smartcard signiert wurde. Dazu ist kein für alle Beteiligten aufwendiger, störender und damit teurer Zugriff auf die aufgezeichneten Daten des Unternehmens erforderlich [19] – der Beleg selbst und die über die PKI zugänglichen Daten sind ausreichend. Hiermit wird die Anforderung Nr. 3 aus Abschnitt I. erfüllt.

Werden die Daten als 2D-Code gedruckt, ist sogar die manuelle Erfassung überflüssig. Durch einfaches Einscannen des Codes ist eine vollautomatische Prüfung des Belegs möglich [20].

Die Belegverifikation kann mit dem auf der folgenden Seite abgedruckten Beispiel in Abb. 6 leicht nachvollzogen werden. Dazu muss nur der QR-Code mit einer Software eingelesen werden, welche die im Code enthaltene Web-Adresse (URL) öffnet. Dies ist am einfachsten mit einer entsprechenden Smartphone-App möglich.

Beim [i]www.insika.deEinsatz in Taxametern sind heute meist keine elektronisch erzeugten Belege vorhanden. Deren Funktion übernehmen jedoch die direkt nach erfolgter Buchung per Mobilfunk an einen Server übertragenen Daten. Damit können die gleichen Kontrollen wie mit gedruckten Belegen vorgenommen werden. S. 675

Abb. 6: Musterbeleg

7. Sicherheit

[i]Ausführliche Darstellung im PTB-Bericht zu INSIKA Eine ausführliche Darstellung aller Sicherheitselemente würde den Rahmen dieses Beitrags sprengen. Eine umfangreiche Darstellung aller Maßnahmen, mit denen Angriffe auf das System verhindert werden, findet sich im PTB-Bericht „Revisionssicheres System zur Aufzeichnung von Kassenvorgängen und Messinformationen. INSIKA – Konzept, Umsetzung und Erprobung” [21]. Die wichtigsten Probleme und die Gegenmaßnahmen werden im Folgenden kurz anhand häufiger Gegenargumente dargestellt:


Tabelle in neuem Fenster öffnen
Problem
Gegenmaßnahme
„Ein technisches System wird irgendwann geknackt”
Nach heutigem Stand der Sicherheitsforschung wird durch die Verwendung von Smartcards das technisch höchste Sicherheitsniveau zum Schutz geheimer Schlüssel erreicht. Erfolgreiche Angriffe auf moderne Smartcards und das ECDSA-Verfahren sind nicht bekannt. Außerdem unterliegen die Verfahren und Karten einer permanenten Beobachtung, so dass eine Sicherheitslücke oder gar Kompromittierung des Systems innerhalb kürzester Zeit bekannt würde.
„Umsätze werden dann nicht mehr an der Kasse oder im Taxameter erfasst”
Wie in Abschnitt II.4 dargestellt, sind laufende Kontrollen erforderlich, um diese Art der Umgehung des Systems zu verhindern. Das INSIKA-Verfahren macht diese Kontrollen vergleichsweise einfach. Darüber hinaus fällt es bei einer Analyse der detaillierten Umsatzdaten mittels Zeitprofil auf, wenn das System zeitweise nicht genutzt wurde (vgl. Abschnitt II.5).
„Es wird mit zwei Kassen gearbeitet – einer offiziellen und einer schwarzen”
Da die „schwarze Kasse” über keine INSIKA-Smartcard verfügt und damit keine gültigen signierten Belege erzeugt, fällt diese Arbeitsweise bei Kontrollen auf, genauso wie die Nichtnutzung. Nicht oder nicht korrekt signierte Belege sind auch im Nachhinein leicht als solche zu erkennen.
S. 676
„Die erfassten Daten können ja immer noch vernichtet werden”
Wenn INSIKA nicht wie im Taxi-Bereich mit einer Datenspeicherung auf Servern eines Dienstleisters kombiniert wird, können die erfassten Daten vernichtet werden. Wenn es sich dabei um wesentliche Teile des Datenbestandes handelt, sind die Voraussetzungen nach § 158 AO nicht mehr gegeben, so dass in diesem Fall die Besteuerungsgrundlagen zu schätzen sind. Die i. d. R. immer noch vorhandenen Summenspeicher auf der Smartcard bieten dafür eine gute Grundlage. Hinzu kommt: Nach Auffassung der Finanzverwaltung erfüllt die Löschung dieser Daten den Straftatbestand der Datenunterdrückung nach § 274 StGB [22].

III. INSIKA in der Praxis

1. Entwicklungsstand

[i]INSIKA als offenes und herstellerunabhängiges System Das INSIKA-System ist vollständig definiert und getestet. Zwischenzeitlich wurde der Nachweis erbracht, dass auf der Grundlage der INSIKA-Dokumentationen relativ schnell marktfähige Produkte bereitgestellt werden können. Das INSIKA-Verfahren ist als offene, herstellerunabhängige Lösung bekannt; geeignete Prüfmethoden und Prüfsoftware stehen zur Verfügung. Für das Taxigewerbe gibt es bereits ein größeres Angebot an Produkten und Dienstleistungen.

Hinweis:

[i]Praxistauglichkeit bewiesenNoch während der Projektlaufzeit wurde die Praxistauglichkeit des Verfahrens in längeren Feldversuchen für den Kassenbereich nachgewiesen. Zuständige Behörden setzen sich seit 2012 verstärkt mit dem System und den damit verbundenen Möglichkeiten zur Verbesserung der Prüfabläufe auseinander.

2. Praxiseinsatz

[i]Unternehmer wünschen einheitliche Lösung für ein Tarifgebiet Obwohl die INSIKA-Taxispezifikation erst im Jahr 2011 fertiggestellt wurde, existieren für den realen Einsatz heute bereits Systeme von mindestens drei Taxameterherstellern (Taxameter plus INSIKA-Signiereinheit). Hier sind vor allem die Taxiunternehmer an einer einheitlichen Lösung für das ganze Tarifgebiet interessiert. Die Hamburger Förderinitiative hat bewirkt, dass Anträge auf Förderung für mehr als 60 % der Hamburger Taxen gestellt wurden. Die Verantwortlichen rechnen bis Ende 2013 mit etwa 1.000 Taxen in Hamburg, die mit INSIKA-Technik ausgestattet sind.

In Berlin liegt eine vergleichbare Situation vor: Auch hier fordern verschiedene Verbandsvertreter ein entsprechendes Handeln der Verantwortlichen. Die Berliner Verkehrsgewerbeaufsicht wird voraussichtlich ab August 2013 die Rolle der Registrierungsstelle für INSIKA-Smartcards für Taxiunternehmer des Landes Berlin übernehmen.

Hinweis:

Damit würden die Länder Hamburg und Berlin für das Taxigewerbe als INSIKA-Registrierungsstellen für die D-Trust GmbH [23] auftreten. Diese bietet seit August 2012 INSIKA-Smartcards als Zertifizierungsstelle an. Die D-Trust ist somit die anerkannte Wurzelinstanz für INSIKA-Smartcards. Sie verwaltet die Kartenzuordnung und stellt über die Verzeichnisdienste die Zertifikate und Sperrlisten bereit. S. 677

3. Kostenschätzung

[i]Keine pauschale Kostenabschätzung Eine Abschätzung der Kosten des praktischen Einsatzes von INSIKA ist nicht pauschal möglich. Generell müssen dabei folgende Kostenblöcke unterschieden werden:

3.1 Entwicklungskosten

Für jede Anpassung von Geräten an neue gesetzliche Anforderungen entstehen Entwicklungskosten bei den Herstellern. Für das INSIKA-System sind diese vergleichsweise gering, da lediglich notwendig ist,

  • die Smartcard-Schnittstelle (Hard- und Software) zu entwickeln und

  • leichte Erweiterungen des Datenmodells und der Programmabläufe vorzunehmen.

[i]Anforderungen entsprechen der Kassenrichtlinie des BMF Alle anderen Anforderungen entsprechen denen des . Eine erhebliche Kosteneinsparung resultiert daraus, dass beim INSIKA-System jegliche Zertifizierung der Registrierkassen oder Taxameter selbst überflüssig ist.

3.2 Zusatzkosten bei Neugeräten

[i]Zusatzkosten bei Neugeräten Durch die Integration der INSIKA-Smartcard entstehen Zusatzkosten bei Neugeräten – einerseits für die Schnittstelle und andererseits für die Smartcard selbst. Die reinen Material- und Herstellungskosten eines Smartcard-Lesers sind sehr gering und werden in den meisten Fällen im unteren zweistelligen oder sogar einstelligen Euro-Bereich liegen. Die Kosten für eine INSIKA-Smartcard für den realen Einsatz von der Bundesdruckerei liegen momentan bei 75,20 € (netto) einschließlich Zertifikat [24].

3.3 Umstellung von Bestandsgeräten

[i]Umstellung im Rahmen der WartungDie Kosten für eine Umstellung von Bestandsgeräten (wenn sie technisch möglich ist) unterscheiden sich je nach eingesetztem System erheblich. Da INSIKA nur in geringem Maß in die Systeme selbst eingreift, fallen diese Kosten allerdings i. d. R. eher gering aus. Ein wesentlicher Teil der Kosten entsteht durch den anfallenden Arbeitsaufwand. Dieser lässt sich minimieren, wenn die Umstellung im Rahmen regulärer Wartungsarbeiten durchgeführt wird.

3.4 Laufende Kosten

[i]Keine verpflichtenden WartungsverträgeLaufende Kosten fallen bei INSIKA nur an, wenn mit Online-Datenübertragung gearbeitet wird – das ist beim Einsatz in Taxametern der Fall. Kosten z. B. für verpflichtende Wartungsverträge entstehen nicht.

3.5 Entfallende Kosten im Vergleich zum Fiskalspeicher

Im Vergleich zu konventionellen Fiskalspeicher-Lösungen entfallen beim INSIKA-System wesentliche Kostenfaktoren:

  • [i]Keine Neuentwicklung von Hard- und SoftwareEs sind keine grundsätzlichen Modifikationen oder gar Neuentwicklungen der Hard- und Software nötig.

  • Aufwendungen für Zertifizierungen der Systeme selbst entfallen.

  • Konventionelle Fiskallösungen bedingen durch die aufwendige Implementierung und Zertifizierung deutliche Markteintrittsbarrieren. Sie führen erfahrungsgemäß zu einer erheblichen Reduzierung des Wettbewerbs und damit zu hohen Preisen bei vergleichsweise schlechten Leistungen.S. 678

  • [i]Standardisiertes und automatisch prüfbares DatenformatDa die zu prüfenden Daten in einem standardisierten und weitgehend automatisch prüfbaren Datenformat vorliegen, ist auch im Bereich der Prüfung mit einer erheblichen Reduzierung des Aufwands zu rechnen [25].

Fazit:

Daher handelt es sich beim INSIKA-System um das preiswerteste System zur technischen Manipulationssicherung von Aufzeichnungen gemäß § 146 Abs. 4 AO.

IV. Weiterführende Informationen

[i]www.insika.deDieser Beitrag stellt das INSIKA-Verfahren kurz und ohne viele technische Details dar. Zur Vertiefung gibt es eine Reihe weiterer Quellen. Die Wichtigsten sind:

[i]PTB-BerichtMit dem PTB-Bericht IT-18 „Revisionssicheres System zur Aufzeichnung von Kassenvorgängen und Messinformationen/INSIKA – Konzept, Umsetzung und Erprobung” steht eine umfangreiche Einführung in das Thema zur Verfügung. Die gedruckte Version wird in Kürze beim NW-Verlag unter der ISBN 978-3-95606-001-4 erscheinen. Das Dokument kann außerdem online unter http://dx.doi.org/10.7795/210.20130206a abgerufen werden (kostenlos).

[i] INSIKA-DemopaketUm die praktische Seite kennenzulernen, steht ein INSIKA-Demopaket zur Verfügung. Es besteht aus folgenden Komponenten:

  • INSIKA-Smartcard: Voll funktionsfähige Demo-Smartcard.

  • Kassensimulator: Simulation einer Registrierkasse mit INSIKA-Einbindung zum einfachen Nachvollziehen der Abläufe und zur Erzeugung von Beispieldaten.

  • IVM: Software zur Prüfung von INSIKA-Daten.

  • Dokumentation.

Hinweis:

Die auf Windows-PC lauffähige Software und die Dokumentation können über www.insika.de heruntergeladen werden. Die INSIKA-Smartcard kann dort ebenfalls gegen einen geringen Kostenbeitrag bestellt werden. Die INSIKA-Schnittstellenspezifikationen können ebenfalls von allen Interessierten angefordert werden.

Für das Verständnis des INSIKA-Systems und die praktische Nutzung sind keine Detailkenntnisse über Smartcards, Kryptografie oder IT-Sicherheit erforderlich. Für die Implementierung in Registrierkassen oder Taxameter ist lediglich eine Einarbeitung in die Kommunikation mit Smartcards nötig. Für eine darüber hinausgehende Einarbeitung in die Technik sind beide zuerst genannten Bücher zu empfehlen:

Literatur-Hinweise:

Wolfgang Effing/Wolfgang Rankl, Handbuch der Chipkarten: Aufbau – Funktionsweise – Einsatz von Smart Cards, Carl Hanser Verlag, ISBN 3-446-40402-3; Bundesamt für Sicherheit in der Informationstechnik (BSI), Grundlagen der elektronischen Signatur, nur noch online auf www.bsi.bund.de unter „Themen / Elektronische Signatur / Download / Kontakt” verfügbar (kostenlos); Huber, ÖStZ Spezial – Registrierkassen und Kassensysteme im Steuerrecht, LexisNexis, ISBN 978-3-7007-5360-5; Michael Brinkmann, Schätzungen im Steuerrecht: Fälle – Methoden – Vermeidung – Abwehr, Erich Schmidt Verlag, ISBN 978-3-5031-2640-8; Beiträge in der Zeitschrift „Die steuerliche Betriebsprüfung”, Erich Schmidt Verlag, www.stbpdigital.de, Stichwortsuche „Registrierkassen”. S. 679

Fazit

Die Unveränderbarkeit von Aufzeichnungen ist wesentlich für die Vermutung der Ordnungsmäßigkeit des § 158 AO, wurde aber bisher nicht adäquat auf die digitale Datenaufzeichnung übertragen. Größere praktische Bedeutung hat das Thema, seitdem die Finanzverwaltung auf die Daten manipulationsgefährdeter Vorsysteme wie Registrierkassen und Taxameter zugreift. Derzeit sind Manipulationen nicht zu verhindern und nur schwer zu erkennen. In der Konsequenz kann die Finanzverwaltung mit den Manipulationen nicht Schritt halten. Gleichzeitig können die Unternehmen aber auch keinen umfassenden Nachweis der Ordnungsmäßigkeit erbringen. Die Folge: Viele ehrliche Steuerpflichtige werden zu Unrecht verdächtigt, und es entsteht Streit mit den Finanzbehörden [26]. Zur Durchsetzung oder Wiederherstellung von Steuergerechtigkeit, Rechtssicherheit [27] und Manipulationsschutz im Umfeld von elektronischer Aufzeichnung besteht nun wirklicher Handlungsbedarf.

Technische, praktisch nutzbare Lösungen für das Problem existieren ? vor allem in Form des INSIKA-Systems, das im Vergleich mit anderen Konzepten sicherheitstechnisch, prozesslogisch, vollzugsmäßig und aus Kostensicht als optimal anzusehen ist. Mit den Feldversuchen sowie dem 2012 begonnenen Realbetrieb für Taxen in Hamburg konnte die Eignung des INSIKA-Systems nachgewiesen werden. Ohne einen rechtlichen Rahmen ist die Einführung einer solchen Lösung jedoch nicht möglich – der Gesetzgeber ist gefragt.

Autoren

Erich Huber
ist Leiter des Bereiches Prüfungs- und Analysetechnik im Risiko-, Informations- und Analysezentrum des österreichischen BMF und hat in beratender Funktion am INSIKA-Projekt mitgewirkt.

Jens Reckendorf
ist bei der Vectron Systems AG, einem Hersteller von Kassensystemen, für die Produktentwicklung verantwortlich und war für Vectron im INSIKA-Projektkonsortium tätig.

Dr. Norbert Zisky
ist Leiter der Arbeitsgruppe „Datenkommunikation und -sicherheit” bei der Physikalisch-Technischen Bundesanstalt und war Projektleiter des INSIKA-Projekts.

Fundstelle(n):
BBK 2013 Seite 663 - 679
SAAAE-40175

1Die Prüfbarkeit ist eine Anforderung, die unabhängig vom INSIKA-System für jegliche Buchführung gilt. Sie wird in diesem Fall durch die Anforderungen 1 und 2 sowie die Standardisierung der Dateninhalte gewährleistet.

2Eine Datenverschlüsselung ist natürlich zusätzlich möglich. Da diese aber nicht erforderlich ist, um die Interessen der Finanzverwaltung zu schützen, kann der Steuerpflichtige diese problemlos „in Eigenregie” durchführen.

3Durch eine digitale Signatur ist erkennbar, dass Daten verändert wurden – nicht in welcher Art. Um die Effekte eines Datenverlustes oder einer Manipulation zu ermitteln, werden die Summenzähler verwendet.

4Eine digitale Signatur ist kein Kopierschutz – hier ist die Metapher mit dem Umschlag nicht mehr ganz korrekt.

5Ein Belegzwang ist bei jedem System zur sicheren elektronischen Erfassung von Bargeschäften der gängige Weg, die Kontrollfähigkeit herzustellen. Wenn ein Belegzwang praktisch nicht möglich ist, kann alternativ mit einer Online-Datenübertragung gearbeitet werden. Dieser Ansatz wurde bei der Taxameter-Lösung gewählt. Siehe dazu auch Abschnitt II.6.

6Absolute Sicherheit ist nicht möglich. Durch geeignete Maßnahmen lässt sich aber das Sicherheitsniveau so erhöhen, dass das verbleibende Restrisiko – auch unter Berücksichtigung der Kosten – für alle Beteiligten akzeptabel ist.

7, BStBl 1995 I S. 738 NWB HAAAA-77174.

8, BStBl 2001 I S. 415 NWB FAAAA-82366; IV D 2 - Information zum „Beschreibungsstandard für die Datenträgerüberlassung” (zum Datenzugriff).

9, BStBl 2010 I S. 1342 NWB KAAAD-56752.

10Mit Ausnahme des ersten werden alle Schritte automatisch durch die Software der Registrierkasse oder des Taxameters durchgeführt.

11Public-Key-Verfahren werden auch „asymmetrische Verfahren” genannt, da zum Ver- und Entschlüsseln unterschiedliche Schlüssel benutzt werden.

12ECDSA = Elliptic Curve Digital Signature Algorithm, also ein digitaler Signatur-Algorithmus auf Basis der Elliptische-Kurven-Kryptographie.

13Der Signaturvorgang inkl. der Datenübertragung zur und von der Smartcard dauert mit heute gängigen Karten ca. 0,3 Sekunden, was im Arbeitsablauf nur eine leichte, nicht störende Verzögerung verursacht. Zu Public-Key-Verfahren auf der Basis elliptischer Kurven vgl. Zisky (Hrsg.), PTB-Bericht IT-12: Das SELMA-Projekt, Teilbericht 1.5, Abschnitt 6.

14Daran wird deutlich, dass moderne Kryptographieverfahren nicht mehr durch Ausprobieren der Schlüssel (sog. „Brute force”-Angriffe) zu brechen sind. Wenn Angriffe erfolgreich sind, werden fast immer Sicherheitslücken ausgenutzt, die durch fehlerhafte oder nachlässige Umsetzung entstehen.

15In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Aufgabe, IT-Sicherheitszertifizierungen vorzunehmen; siehe dazu www.bsi.bund.de unter „Themen, Zertifizierung und Anerkennung, Zertifizierung nach CC und ITSEC, Zertifizierte Produkte”.

16Sinnvoll ist dafür die noch nicht eingeführte Wirtschafts-Identifikationsnummer (W-IdNr), die Umsatzsteueridentifikationsnummer (USt-IdNr) ist jedoch ebenso geeignet; eine erteilte USt-IdNr wird ohnehin als W-IdNr übernommen werden.

17Siehe PTB-Bericht IT-18 (Bezugsquelle siehe Abschnitt IV), Beitrag „INSIKA-Prüfverfahren für Kassenbelege und aufgezeichnete Daten”.

18Das INSIKA-System wurde bisher noch nicht zur Absicherung von Geldspielgeräten eingesetzt, ist dafür jedoch auch grundsätzlich verwendbar.

19Dies ist heute regelmäßig der Fall, z. B. bei Kassenprüfungen im Rahmen der Umsatzsteuer-Nachschau in Deutschland, Kassenprüfungen der Finanzpolizei in Österreich oder Überprüfungen der Aufzeichnungen des Fiskalspeichers in Schweden.

20Der QR-Code auf dem Beleg enthält die wesentlichen Daten wie Umsätze, Datum, Zeit oder Sequenznummer der Buchung und die Signatur in Form einer URL (Adresse einer Website). Wird diese URL aufgerufen, prüft der Web-Server die Signatur und erzeugt eine Seite mit dem Prüfungsergebnis.

21Siehe PTB-Bericht IT-18 (Bezugsquelle siehe Abschnitt IV), Beitrag „Praktische Aspekte des INSIKA-Sicherheitskonzepts”.

22Vgl. Becker, Beweismittelunterdrückung gemäß § 274 Abs. 1 Nummern 1 und 2 StGB – Ein kaum beachteter Straftatbestand in der Außen- und Fahndungsprüfung, StBp 2/2008 S. 29-36, StBp 3/2008 S. 61-65 und StBp 4/2008 S. 104-109.

23Bei der D-Trust GmbH handelt es sich um einen „Großzertifizierer”. Das Unternehmen ist eine 100 %ige Tochter der Bundesdruckerei GmbH, deren Anteile seit dem Jahr 2009 wieder vollständig der Bund innehat. Das BMF nimmt seitdem für den Bund die Rechte des Anteilseigners wahr.

24Diese Kosten sind vergleichbar mit denen für Chipkarten zur Erzeugung qualifizierter digitaler Signaturen nach Signaturgesetz. Sie sind vor allem durch den Aufwand für den Betrieb der PKI bedingt, weniger durch die Kosten für die Smartcard selbst.

25So wurde z. B. bei den erst in den letzten Jahren konzipierten Fiskalsystemen in Schweden und Belgien keine Standardisierung der Transaktionsdaten vorgenommen, so dass hier nach wie vor eine hersteller- und anwenderspezifische Auswertung erforderlich ist.

26Beispielhaft deutlich wird das an den kontroversen Beiträgen zu diesem Thema in BBK 13/2013 von Wacker/Högemann NWB RAAAE-39378 aus Beratersicht und von Anders/Rühmann aus der Sicht der Finanzverwaltung NWB BAAAE-39379.

27Vgl. z. B. die kontroversen FG-Urteile aus Hessen vom - 4 K 422/12 NWB GAAAE-37244 und Sachsen Anhalt vom - 1 V 580/12 NWB UAAAE-32472.