Die Unveränderbarkeit der (Kassen-)Buchführung nach § 146 Abs. 4 AO im EDV-Zeitalter und INSIKA

Teil 3: Konzept, Technik, Praxis

Die Reihe „Die Unveränderbarkeit der (Kassen-)Buchführung im EDV-Zeitalter und INSIKA” gliedert sich in die folgenden Teile:

• Teil 1: Historische Wurzeln und Realzustand, BBK 12/2013 S. 567  NWB MAAAE-37806

• Teil 2: Probleme, Ursachen und Lösungen, BBK 13/2013 S. 610  NWB NAAAE-39375

• Teil 3: Konzept, Technik, Praxis, BBK 14/2013 S. 663  NWB SAAAE-40175

I. Funktionsweise von INSIKA

1. Anforderungen und Entwicklungsziele

Bei der Entwicklung des INSIKA-Systems wurden im Wesentlichen die folgenden Anforderungen zugrunde gelegt:

1. Datenintegrität,

2. Datenauthentizität,

3. Kontrollfähigkeit,

4. Datensicherheit und

5. Kostenminimierung.

1.1 Integrität – Daten unveränderbar machen

[i]Nur nachweisbare Veränderungen Einmal erfasste Daten sollen nicht verändert werden können, ohne dass dieses eindeutig nachweisbar ist. Auch die Löschung von Daten muss erkannt werden. Umgekehrt muss bewiesen werden können, dass die Daten unverändert und vollständig sind. S. 664

1.2 Authentizität und Nichtabstreitbarkeit – Herkunft der Daten sicherstellen

[i]Urheberschaft der Daten unstreitig Es muss überprüfbar sein, ob Daten wirklich vom vermeintlichen Urheber stammen. Außerdem muss sichergestellt sein, dass kein Dritter Daten unter einer falschen Identität erzeugen kann, so dass im Umkehrschluss der Urheber der Daten seine Urheberschaft nicht abstreiten kann.

1.3 Kontrollfähigkeit – korrekte Nutzung effektiv prüfbar machen

[i]Alle Verkäufe müssen nachprüfbar in der Kasse gespeichert seinDas System muss eine einfache, schnelle und sichere Überprüfung der korrekten Nutzung erlauben. Es muss jederzeit kontrollierbar sein, ob die Daten wirklich erfasst werden, also etwa die Verkäufe durchgängig in die Registrierkasse eingegeben und dort gespeichert werden. Diese Anforderung ist eine Ergänzung zur Prüfbarkeit, die sich auf die vergangenheitsbezogene Analyse der Daten bezieht [1].

1.4 Vorkehrungen gegen Datenverlust – Folgen eines Datenverlustes minimieren

[i]Bei verlorenen Einzeldaten immer noch GesamtsummenGeschützte Daten sollen weiterhin zum Zweck der Datensicherung kopierbar sein. Falls trotzdem Daten fehlen, sollen die Auswirkungen minimiert werden. Für Lücken in den Datenaufzeichnungen sollen so weit wie möglich zumindest Gesamtsummen ermittelbar sein. Selbst bei einem kompletten Verlust aller Einzelaufzeichnungen sollen immer noch Summenwerte vorhanden sein.

1.5 Kostenminimierung – Kosten sowie Eingriffe in vorhandene Systeme und den Markt so gering wie möglich halten

[i] So einfach wie möglichDie Lösung soll so einfach wie möglich sein, möglichst wenige Änderungen an vorhandenen Systemen bedingen und in möglichst vielen bestehenden Geräten nachrüstbar sein. Damit lassen sich die Kosten minimieren und Wettbewerbsverzerrungen verhindern.

2. Grundlegende Ideen

Die hier beschriebenen Zusammenhänge und Metaphern dienen nur der anschaulichen Darlegung der Grundprinzipien des Verfahrens. Eine Bewertung des Systems im Hinblick auf Aufwand, praktischen Einsatz und das erreichte Schutzniveau kann nur anhand der genauen technischen Spezifikation erfolgen.

2.1 Versiegelter, aber transparenter Umschlag

[i]Zwingende Belegerteilung Zu jedem Verkaufsvorgang wird ein Dokument erzeugt, d. h. eine Rechnung. Dieses Dokument wird bei der Erfassung in einem Umschlag abgelegt und dieser sofort versiegelt. Um das Dokument weiterhin lesen zu können, ist dieser Umschlag transparent. Eine Veränderung des Dokuments wäre nur mit einer Beschädigung des Umschlags oder des Siegels möglich, die auch im Nachhinein jederzeit erkennbar ist. Durch diesen Schutz kann das Dokument auf jedem beliebigen Weg transportiert und an jeder beliebigen Stelle abgelegt werden.

Abb. 1: Rechnung im Umschlag mit SiegelS. 665

2.2 Persönliches Siegel

[i]Ein Siegelstempel für jedes Gerät Jeder Steuerpflichtige, vereinfachend im Folgenden „Unternehmer” genannt, bekommt für jedes von ihm eingesetzte Gerät zur Erfassung von Einnahmen einen eigenen, eindeutigen Siegelstempel, mit dem die Umschläge versiegelt werden. Anhand des Siegels ist jedes Dokument eindeutig auf einen Unternehmer zurückzuführen.

[i]Siegel lässt sich nicht fälschen Da keine andere Person den gleichen Siegelstempel besitzt, können die Daten auch von niemand anderem stammen. Das Siegel kann durch Dritte jederzeit überprüft werden. Der Siegelstempel kann nicht kopiert werden, das Siegel ist daher nicht fälschbar.

Abb. 2: Siegel und Stempel

2.3 Zählwerke

[i]Addition der Gesamtumsätze Bei jeder Erzeugung eines Siegels werden immer einige Zählwerke aktualisiert. Eines der Zählwerke zählt jedes erzeugte Siegel fortlaufend durch – diese sog. Sequenznummer wird vor dem Versiegeln auf das Dokument geschrieben. In anderen Zählwerken werden die Gesamtumsätze addiert.

[i]Gesamtumsätze bleiben im Zählwerk erhalten Anhand der fortlaufenden Nummer fällt es bei einer Prüfung durch einfaches Durchzählen auf, wenn einzelne Umschläge fehlen sollten. Sollten einige oder alle Umschläge verloren gehen (oder bewusst vernichtet werden), sind die Gesamtumsätze immer noch an den Zählwerken ablesbar.

Abb. 3: Zählwerke, Sequenznummer und versiegelter UmschlagS. 666

2.4 Sichere Versiegelungsstelle

[i]Missbrauchsverhinderung durch vertrauenswürdige Person Um einen Missbrauch des Siegelstempels zu verhindern und zu garantieren, dass die beschriebenen Abläufe immer zusammen durchgeführt werden, erfolgen die Versiegelung der Umschläge und die Aktualisierung der Zählwerke immer durch eine vertrauenswürdige Person. Diese Person führt den Vorgang in einem Raum durch, zu dem niemand sonst Zugang hat. Die Dokumente kommen nur über einen Eingangs- und Ausgangsbriefkasten hinein und wieder hinaus.

Abb. 4: Versiegelungsstelle

2.5 Verwaltung der Siegelstempel

[i]Verzeichnis Um sicher zu sein, dass sich der Urheber eines Siegels eindeutig zuordnen lässt, ist eine gewisse Bürokratie erforderlich: Die Siegelstempel werden nur ausgegeben, wenn sich der Empfänger ausweist. Alle Siegelstempel werden in einem Verzeichnis erfasst. Außerdem wird ein Abbild des Siegels aufbewahrt, um zu einem Siegel sicher ermitteln zu können, wem der passende Siegelstempel gehört.

[i]Jederzeitige Prüfbarkeit der versiegelten Umschläge Falls Siegelstempel als verloren gemeldet werden, wird ebenfalls Buch darüber geführt. Will eine Person die versiegelten Umschläge überprüfen, kann sie jederzeit die dafür nötigen Auskünfte erhalten (vgl. Abb. 5 auf der folgenden Seite).

Abb. 5: Lagerung der Stempel und Identitätsprüfung bei Ausgabe

3. Technische Umsetzung der Konzepte

Die im vorherigen Abschnitt I.2 vorgestellten Metaphern haben alle eine direkte Entsprechung im INSIKA-System. In der Praxis laufen die sicherheitskritischen Funktionen automatisch innerhalb einer Smartcard ab.

3.1 Versiegelter Umschlag = Digitale Signatur

[i]Digitale Signatur macht Veränderungen erkennbarDie Aufgabe des Umschlags und des Siegels wird von einer digitalen Signatur übernommen. Wie der transparente Umschlag macht diese die Daten nicht unsichtbar – es ist keine Verschlüsselung [2]. Sie macht aber jegliche Veränderung der Daten eindeutig erkennbar [3]. Für die Übertragung und Ablage der Daten bestehen keine Einschränkungen. Die Sicherheit ist durch die Signatur gewährleistet und nicht durch Anforderungen an die Datenhaltung. Damit sind Datensicherungen leicht und sicher möglich [4].

[i]Abdruck der Signatur auf dem Beleg Gleichzeitig wird die Signatur auf dem Beleg abgedruckt und stellt damit einen Nachweis darüber dar, dass die mit dem Beleg dokumentierte Buchung korrekt erfasst und abgelegt wurde. Um diese Nachweismöglichkeit sicherzustellen, ist ein Belegausgabezwang [5] erforderlich.

3.2 Persönliches Siegel = Kryptografischer, privater Schlüssel auf einer Smartcard

[i]Beliebig viele Karten je Unternehmen Bei der sog. Personalisierung der Smartcard wird diese einem Unternehmer eindeutig zugeordnet. Ein Unternehmer kann beliebig viele Karten verwenden, die aber alle eine S. 668 individuelle eindeutige Nummer tragen, so dass sie voneinander unterschieden werden können. Jede einzelne Karte erhält einen einmaligen, zufällig erzeugten privaten Schlüssel, der zur Berechnung der Signaturen verwendet wird. So sind die mit der Karte signierten Daten eindeutig zuzuordnen.

3.3 Zählwerke = Summenspeicher und Sequenzzähler

[i]Ablage der wichtigsten Summenwerte je MonatTrotz der nach wie vor begrenzten Speicherkapazität von Smartcards können dort über einen mehrjährigen Zeitraum die wichtigsten Summenwerte jedes Monats abgelegt werden. Bei der aktuellen INSIKA-Implementierung beträgt dieser Zeitraum zehn Jahre.

Außerdem erfolgt die Zählung der signierten Belege durch die Smartcard selbst, so dass diese Nummerierung nicht manipuliert werden kann. Der jeweilige Sequenzzählerstand ist ein Datenelement der signierten Daten.

3.4 Sichere Versiegelungsstelle = Smartcard

[i]Smartcard als sichere UmgebungUm eine unberechtigte Erzeugung von Signaturen zu verhindern, braucht man wie in der Metapher mit dem Siegel eine „sichere Umgebung”. Wie bei sehr vielen kryptografischen Sicherheitslösungen mit hohen Anforderungen verwendet INSIKA eine Smartcard als sichere Umgebung. In der Smartcard (und nur dort) befindet sich der Schlüssel, der zur Erzeugung der Signaturen benötigt wird. Dieser Schlüssel verlässt die Smartcard niemals, kann also nicht ausgelesen und kopiert werden.

Auch die „Zählwerke” liegen in der Smartcard. Die Ein- und Ausgangsbriefkästen entsprechen der Schnittstelle zwischen der Software auf der Smartcard und dem System, das die Daten verarbeitet (Registrierkasse oder Taxameter).

3.5 Verwaltung der Siegelstempel = PKI und Zertifikate

Ein sicheres System auf Basis von digitalen Signaturen mit asymmetrischen Verfahren erfordert immer eine sog. „Public Key Infrastructure” (PKI). Hierbei handelt es sich um gängige und erprobte Verfahren und Prozesse, auf die hier nur oberflächlich eingegangen werden soll. Hauptaufgaben in einer PKI sind

• [i]Aufgaben der PKIdie Prüfung der Berechtigung und Identität von Antragstellern,

• die Personalisierung der Smartcards mit Erzeugung der Schlüssel,

• die Zuordnung eines öffentlichen Schlüssels zu einer Person, einem Unternehmen oder einem Gerät durch eine vertrauenswürdige Stelle,

• die Ausstellung eines sog. Zertifikats, in dem die Zuordnung festgelegt ist und

• die sichere Verwaltung von Zertifikaten inkl. deren Sperrung.

Die vertrauenswürdigen Stellen werden als Zertifizierungsdienstanbieter (ZDA) oder Certification Authority (CA) bezeichnet.

4. INSIKA im Verhältnis zur aktuellen Rechtslage

[i]Kaum zusätzliche Datenaufzeichnungen notwendig, aber BelegzwangDas INSIKA-Verfahren erfordert bis auf wenige Ausnahmen nur die Aufzeichnung von Daten, die nach GoBS [7], GDPdU [8] und dem BMF-Schreiben vom 26. 11. 2010 ohnehin S. 669aufzuzeichnen sind [9]. Zusätzlich zu erfassen ist lediglich die Buchungssignatur. Daneben sind eine Verpflichtung zur Belegausgabe und die Festlegung bestimmter Mindestinhalte des Belegs erforderlich.

[i]Standardisiertes Datenformat Die INSIKA-Spezifikation legt in eindeutiger Weise Inhalte und Formate der Daten fest, die signiert und zu Prüfzwecken bereitgestellt werden. Prüfer können auf Daten mit einer einheitlichen Prüfsoftware zugreifen, da ein standardisiertes Format verwendet wird. Die Erfassung von Daten, die über den Standardumfang hinausgehen, ist bei Bedarf problemlos möglich. Über die Sequenznummer können diese zusätzlichen Daten den signierten Daten jederzeit eindeutig zugeordnet werden.

5. Praxisbeispiele

II. Technischer Hintergrund von INSIKA

1. Digitale Signaturen

[i]Digitale Signatur als Pendant zur Unterschrift Digitale Signaturen entsprechen unter Einhaltung bestimmter Randbedingungen herkömmlichen Unterschriften. Die Authentizität und Integrität eines Dokumentes soll nachweisbar gegen Veränderungen gesichert werden.

Bei digitalen Daten muss man jedoch auf geeignete Verfahren des „elektronischen Unterschreibens” zurückgreifen, um die Herkunft und die Unversehrtheit der Daten prüfen zu können. Eine gängige Methode ist die Anwendung von so genannten Public-Key-Verschlüsselungsverfahren [11]. Diese haben den Vorteil, dass der Umgang mit den zur Erzeugung und Prüfung der digitalen Signaturen erforderlichen Schlüssel im Gegensatz zu den älteren Verfahren wesentlich einfacher ist.

[i]Kombination von privatem und öffentlichem Schlüssel Bei Public-Key-Verfahren wird mit einem privaten Schlüssel die digitale Signatur von Daten berechnet und mit einem zugehörigen öffentlichen Schlüssel die digitale Signatur geprüft. Der private Schlüssel muss unbedingt geheim bleiben, der zugehörige öffentliche Schlüssel kann jedem übergeben werden, der die Datensignatur prüfen will.

Die erreichte Sicherheit ist nach dem heutigen Stand sehr hoch, da hierbei keine Verfahren geheim gehalten werden, sondern lediglich ein privater Signaturschlüssel S. 671geschützt werden muss. Dafür steht auf den Smartcards ein spezieller, von außen unzugänglicher Speicher zur Verfügung.

[i]Sicher gegen reines Ausprobieren Würde man versuchen, den Signierschlüssel durch Probieren herauszufinden, benötigte man für das bei INSIKA ausgewählte ECDSA-Verfahren 2 ¹⁹² Versuche. Könnte man pro Sekunde eine Billion Versuche unternehmen, würde das gesamte Alter des Universums gerade einmal ausreichen, um 0,000000000000000000000000007 % der Möglichkeiten auszuprobieren [14]. Selbst wenn es gelingen würde, von einer Smartcard den Signaturschlüssel zu erraten, wäre damit auch nur die Verfälschung von Daten dieses speziellen Systems möglich.

2. Smartcard

[i]Unabhängigkeit von Herstellern und TechnologieINSIKA ist nicht auf einen bestimmten Typ von Smartcards festgelegt. Es ist lediglich genau festgelegt, welche Funktionen die Karte ausführen muss und wie sie sich zu verhalten hat. Eine Implementierung ist daher auf Basis verschiedener Karten-Hardware möglich, und es besteht somit keine Abhängigkeit von bestimmten Herstellern oder Technologien. Im Laufe der Zeit können jeweils dem Stand der Technik entsprechende Karten eingesetzt werden.

[i]Prüfung durch unabhängige Stellen Smartcards verfügen über komplexe Schutzmaßnahmen, die Manipulationen sehr stark erschweren. Hard- und Software können durch einen Evaluierungsprozess von einer unabhängigen Stelle überprüft werden [15].

3. Zertifikate und Public Key-Infrastruktur

3.1 Zertifikate

Digitale Zertifikate sind Dateien, die Angaben über die Zugehörigkeit einer Smartcard mit einem Schlüsselpaar zu einem Unternehmen enthalten und durch eine anerkannte Zertifizierungsstelle digital signiert sind. Die aus INSIKA-Sicht wichtigsten Informationen sind

• die Identifikationsnummer des Unternehmens [16],

• die Identifikationsnummer der Smartcard und

• der öffentliche Schlüssel der Smartcard. S. 672

Die „Unterschrift” der [i]Echtheit der Unterneh-merzertifikate lässt sich prüfen Zertifikatsdatei erfolgt mit dem eigenen, privaten Signaturschlüssel der Zertifizierungsstelle. Der öffentliche Schlüssel der Zertifizierungsstelle steht über verschiedene Medien offen zum Abruf bereit, z. B. über Internet, CD oder auch gedruckt. Vertraut man der Zertifizierungsstelle, kann zunächst die Echtheit von Unternehmerzertifikaten geprüft werden.

In einem zweiten Schritt ist mit dem im Zertifikat enthaltenen öffentlichen Schlüssel des Unternehmers die Prüfung digitaler Signaturen von Unternehmerdaten möglich, die mit der zugehörigen Unternehmer-Smartcard erzeugt wurden.

3.2 Public-Key-Infrastruktur (PKI)

[i]Zertifizierungsstelle Für die Anwendung der Public-Key-Verfahren wird eine Verwaltungsstruktur benötigt, die als Public-Key-Infrastruktur (PKI) bezeichnet wird. Das wichtigste Element einer PKI ist die Zertifizierungsstelle – eine Organisation, die digitale Zertifikate auf Antrag ausstellt. Grundlage für die Arbeit der Zertifizierungsstelle sind zuverlässige Registrierungsinformationen, hier des Unternehmens.

Typischerweise arbeitet die Zertifizierungsstelle mit einer oder mehreren Registrierungsstellen zusammen, bei denen Personen, Unternehmen oder Maschinen Smartcards mit dem dazugehörigen Zertifikat beantragen können. Die Zertifizierungsstellen prüfen die Richtigkeit der Daten im gewünschten Zertifikat und genehmigen den Zertifikatsantrag, der dann durch die Zertifizierungsstelle signiert wird.

[i]Begrenzte Gültigkeit der Zertifikate Ausgestellte Zertifikate haben i. d. R. nur eine begrenzte Gültigkeit. Außerhalb des Gültigkeitszeitraums eines Zertifikats erstellte Signaturen sind ungültig. Deshalb muss vor der eigentlichen Prüfung von digitalen Signaturen eine Zertifikatsstatusprüfung erfolgen.

Eine Zertifizierungsstelle stellt einen Verzeichnisdienst bereit, mit dessen Hilfe auf ein Verzeichnis zugegriffen werden kann, das alle von der Zertifizierungsstelle ausgestellten Zertifikate enthält. Oft steht auch ein Validierungsdienst zur Verfügung, der die Überprüfung des Zertifikatsstatus in Echtzeit ermöglicht.

[i]Zertifizierungsstellen werden streng reguliert Anerkannte Zertifizierungsstellen unterliegen strengen Regularien. Sie müssen die von ihnen unterstützte PKI exakt dokumentieren. Kernpunkte sind der Registrierungsprozess, Handhabung des privaten Schlüssels, zentrale oder dezentrale Schlüsselerzeugung, technischer Schutz der PKI-Systeme sowie eventuell rechtliche Zusicherungen.

4. Prüfverfahren

[i]INSIKA beruht auf offen zugänglichen StandardsDie INSIKA-Prüfverfahren stehen grundsätzlich jedem zur Verfügung. Da die INSIKA-Spezifikationen auf Standards basieren und offen zugänglich sind, können Prüfwerkzeuge von verschiedenen Anbietern erstellt und genutzt werden [17]. Ein Interesse an effizienten Prüfungen haben neben der Finanzverwaltung und weiteren zuständigen Behörden die Unternehmer selbst sowie deren Steuerberater und ggf. Wirtschaftsprüfer.

[i]Nach positiver Prüfung der Signatur sind die Daten sicherDas INSIKA-Verfahren bedingt einen Paradigmenwechsel bei der Prüfmethodik für die Ursprungsaufzeichnungen: Vorliegende digital signierte Daten sind nach positiver Prüfung der Signaturen grundsätzlich nicht manipuliert. Es muss jedoch mit geeigneten Maßnahmen sichergestellt und überprüft werden, ob die Erzeugung der Signaturen tatsächlich so erfolgt, wie vorgeschrieben (vgl. Abschnitt II.5).

Zur [i]Prüfung der Vollständigkeit mittels speziellem Prüfprogramm Prüfung müssen die Daten im INSIKA-XML-Export-Format bereitgestellt werden. Mit geeigneten Prüfprogrammen wie dem im INSIKA-Projekt entwickelten IVM-Prüfprogramm werden die digitalen Signaturen jeder Einzelaufzeichnung und jedes Tagesabschlusses geprüft. Darüber hinaus kann unter Auswertung von Sequenznummern die Vollständigkeit der signierten Datenaufzeichnung geprüft werden.

[i]Ablauf einer Prüfung mit INSIKA gesicherter DatenDa jede Einzelaufzeichnung eine Zeitinformation enthalten muss, kann man aus der Kombination von Sequenzzähler und Zeit bereits Rückschlüsse auf die Korrektheit der Datenaufzeichnung ziehen. Eine Prüfung von mit INSIKA gesicherten Daten läuft im Wesentlichen wie folgt ab:

5. INSIKA und Datenanalyse-Verfahren

[i]Neue Prüfungsmethoden sind eine Ergänzung aber keine Alternative zu INSIKA Da bisher keine Verfahren zur sicheren Aufzeichnung von Buchführungsdaten praktisch eingesetzt werden, wird momentan vor allem versucht, nachträglich Manipulationen durch komplexe Verfahren zur Datenanalyse zu erkennen (NiPT oder summarische Risikoprüfung). Diese sollten jedoch nicht als Alternative zu INSIKA, sondern als Ergänzung verstanden werden: Wenn gewährleistet ist, dass die Daten nach der Erfassung nicht mehr verändert werden können, bleibt als Manipulation nur die zeitweise Nichterfassung von Daten.

6. Verfahren zur laufenden Kontrolle

[i]Kontrolle für alle Beteiligten wesentlich erleichtert Jedes System zur Erfassung und Speicherung von Geschäftsvorfällen – ob ungesicherte Aufzeichnung, konventioneller Fiskalspeicher oder INSIKA – erfordert eine regelmäßige Kontrolle durch die Behörden, ob die Systeme korrekt eingesetzt werden. Das technische System kann diese Kontrolle allerdings wesentlich erleichtern, sowohl für die Behörden als auch für die Unternehmen.

Die Belegverifikation kann mit dem auf der folgenden Seite abgedruckten Beispiel in Abb. 6 leicht nachvollzogen werden. Dazu muss nur der QR-Code mit einer Software eingelesen werden, welche die im Code enthaltene Web-Adresse (URL) öffnet. Dies ist am einfachsten mit einer entsprechenden Smartphone-App möglich.

Beim [i]www.insika.deEinsatz in Taxametern sind heute meist keine elektronisch erzeugten Belege vorhanden. Deren Funktion übernehmen jedoch die direkt nach erfolgter Buchung per Mobilfunk an einen Server übertragenen Daten. Damit können die gleichen Kontrollen wie mit gedruckten Belegen vorgenommen werden. S. 675

Abb. 6: Musterbeleg

7. Sicherheit

[i]Ausführliche Darstellung im PTB-Bericht zu INSIKA Eine ausführliche Darstellung aller Sicherheitselemente würde den Rahmen dieses Beitrags sprengen. Eine umfangreiche Darstellung aller Maßnahmen, mit denen Angriffe auf das System verhindert werden, findet sich im PTB-Bericht „Revisionssicheres System zur Aufzeichnung von Kassenvorgängen und Messinformationen. INSIKA – Konzept, Umsetzung und Erprobung” [21]. Die wichtigsten Probleme und die Gegenmaßnahmen werden im Folgenden kurz anhand häufiger Gegenargumente dargestellt:

III. INSIKA in der Praxis

1. Entwicklungsstand

[i]INSIKA als offenes und herstellerunabhängiges System Das INSIKA-System ist vollständig definiert und getestet. Zwischenzeitlich wurde der Nachweis erbracht, dass auf der Grundlage der INSIKA-Dokumentationen relativ schnell marktfähige Produkte bereitgestellt werden können. Das INSIKA-Verfahren ist als offene, herstellerunabhängige Lösung bekannt; geeignete Prüfmethoden und Prüfsoftware stehen zur Verfügung. Für das Taxigewerbe gibt es bereits ein größeres Angebot an Produkten und Dienstleistungen.

2. Praxiseinsatz

[i]Unternehmer wünschen einheitliche Lösung für ein Tarifgebiet Obwohl die INSIKA-Taxispezifikation erst im Jahr 2011 fertiggestellt wurde, existieren für den realen Einsatz heute bereits Systeme von mindestens drei Taxameterherstellern (Taxameter plus INSIKA-Signiereinheit). Hier sind vor allem die Taxiunternehmer an einer einheitlichen Lösung für das ganze Tarifgebiet interessiert. Die Hamburger Förderinitiative hat bewirkt, dass Anträge auf Förderung für mehr als 60 % der Hamburger Taxen gestellt wurden. Die Verantwortlichen rechnen bis Ende 2013 mit etwa 1.000 Taxen in Hamburg, die mit INSIKA-Technik ausgestattet sind.

In Berlin liegt eine vergleichbare Situation vor: Auch hier fordern verschiedene Verbandsvertreter ein entsprechendes Handeln der Verantwortlichen. Die Berliner Verkehrsgewerbeaufsicht wird voraussichtlich ab August 2013 die Rolle der Registrierungsstelle für INSIKA-Smartcards für Taxiunternehmer des Landes Berlin übernehmen.

3. Kostenschätzung

[i]Keine pauschale Kostenabschätzung Eine Abschätzung der Kosten des praktischen Einsatzes von INSIKA ist nicht pauschal möglich. Generell müssen dabei folgende Kostenblöcke unterschieden werden:

3.1 Entwicklungskosten

Für jede Anpassung von Geräten an neue gesetzliche Anforderungen entstehen Entwicklungskosten bei den Herstellern. Für das INSIKA-System sind diese vergleichsweise gering, da lediglich notwendig ist,

• die Smartcard-Schnittstelle (Hard- und Software) zu entwickeln und

• leichte Erweiterungen des Datenmodells und der Programmabläufe vorzunehmen.

[i]Anforderungen entsprechen der Kassenrichtlinie des BMF Alle anderen Anforderungen entsprechen denen des BMF-Schreibens vom 26. 11. 2010. Eine erhebliche Kosteneinsparung resultiert daraus, dass beim INSIKA-System jegliche Zertifizierung der Registrierkassen oder Taxameter selbst überflüssig ist.

3.2 Zusatzkosten bei Neugeräten

[i]Zusatzkosten bei Neugeräten Durch die Integration der INSIKA-Smartcard entstehen Zusatzkosten bei Neugeräten – einerseits für die Schnittstelle und andererseits für die Smartcard selbst. Die reinen Material- und Herstellungskosten eines Smartcard-Lesers sind sehr gering und werden in den meisten Fällen im unteren zweistelligen oder sogar einstelligen Euro-Bereich liegen. Die Kosten für eine INSIKA-Smartcard für den realen Einsatz von der Bundesdruckerei liegen momentan bei 75,20 € (netto) einschließlich Zertifikat [24].

3.3 Umstellung von Bestandsgeräten

[i]Umstellung im Rahmen der WartungDie Kosten für eine Umstellung von Bestandsgeräten (wenn sie technisch möglich ist) unterscheiden sich je nach eingesetztem System erheblich. Da INSIKA nur in geringem Maß in die Systeme selbst eingreift, fallen diese Kosten allerdings i. d. R. eher gering aus. Ein wesentlicher Teil der Kosten entsteht durch den anfallenden Arbeitsaufwand. Dieser lässt sich minimieren, wenn die Umstellung im Rahmen regulärer Wartungsarbeiten durchgeführt wird.

3.4 Laufende Kosten

[i]Keine verpflichtenden WartungsverträgeLaufende Kosten fallen bei INSIKA nur an, wenn mit Online-Datenübertragung gearbeitet wird – das ist beim Einsatz in Taxametern der Fall. Kosten z. B. für verpflichtende Wartungsverträge entstehen nicht.

3.5 Entfallende Kosten im Vergleich zum Fiskalspeicher

Im Vergleich zu konventionellen Fiskalspeicher-Lösungen entfallen beim INSIKA-System wesentliche Kostenfaktoren:

• [i]Keine Neuentwicklung von Hard- und SoftwareEs sind keine grundsätzlichen Modifikationen oder gar Neuentwicklungen der Hard- und Software nötig.

• Aufwendungen für Zertifizierungen der Systeme selbst entfallen.

• Konventionelle Fiskallösungen bedingen durch die aufwendige Implementierung und Zertifizierung deutliche Markteintrittsbarrieren. Sie führen erfahrungsgemäß zu einer erheblichen Reduzierung des Wettbewerbs und damit zu hohen Preisen bei vergleichsweise schlechten Leistungen.S. 678

• [i]Standardisiertes und automatisch prüfbares DatenformatDa die zu prüfenden Daten in einem standardisierten und weitgehend automatisch prüfbaren Datenformat vorliegen, ist auch im Bereich der Prüfung mit einer erheblichen Reduzierung des Aufwands zu rechnen [25].

IV. Weiterführende Informationen

[i]www.insika.deDieser Beitrag stellt das INSIKA-Verfahren kurz und ohne viele technische Details dar. Zur Vertiefung gibt es eine Reihe weiterer Quellen. Die Wichtigsten sind:

[i]PTB-BerichtMit dem PTB-Bericht IT-18 „Revisionssicheres System zur Aufzeichnung von Kassenvorgängen und Messinformationen/INSIKA – Konzept, Umsetzung und Erprobung” steht eine umfangreiche Einführung in das Thema zur Verfügung. Die gedruckte Version wird in Kürze beim NW-Verlag unter der ISBN 978-3-95606-001-4 erscheinen. Das Dokument kann außerdem online unter http://dx.doi.org/10.7795/210.20130206a abgerufen werden (kostenlos).

[i] INSIKA-DemopaketUm die praktische Seite kennenzulernen, steht ein INSIKA-Demopaket zur Verfügung. Es besteht aus folgenden Komponenten:

• INSIKA-Smartcard: Voll funktionsfähige Demo-Smartcard.

• Kassensimulator: Simulation einer Registrierkasse mit INSIKA-Einbindung zum einfachen Nachvollziehen der Abläufe und zur Erzeugung von Beispieldaten.

• IVM: Software zur Prüfung von INSIKA-Daten.

• Dokumentation.

Für das Verständnis des INSIKA-Systems und die praktische Nutzung sind keine Detailkenntnisse über Smartcards, Kryptografie oder IT-Sicherheit erforderlich. Für die Implementierung in Registrierkassen oder Taxameter ist lediglich eine Einarbeitung in die Kommunikation mit Smartcards nötig. Für eine darüber hinausgehende Einarbeitung in die Technik sind beide zuerst genannten Bücher zu empfehlen:

Fundstelle(n):
BBK 2013 Seite 663 - 679
NWB SAAAE-40175