Manipulationssichere Registrierkassen sollen Pflicht werden

Ab 1. Januar 2020 sollen nur noch Registrierkassen mit einem vom BSI zertifizierten Sicherheitsmodul zugelassen werden, das jede Form der Manipulation an Kassensystemen unterbindet.

In Pocket speichern vorlesen Druckansicht 310 Kommentare lesen
Manipulationssichere Registerierkassen sollen Pflicht werden
Lesezeit: 3 Min.
Von
  • Detlef Borchers

Mit dem neuen Entwurf eines Gesetzes zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen will das Bundesfinanzministerium betrügerische Veränderungen an Registrierkassen unterbinden. Kernstück ist ein zertifiziertes Sicherheitsmodul, das jeden Tastendruck einer Kasse speichert und auf einem manipulationssicheren Speichermedium sichert.

Die Anforderungen an das Sicherheitsmodul sollen bis 2017 durch eine "Technische Richtlinie" des Bundesamtes für Sicherheit in der Informationstechnik (BSI) festgelegt werden, das später die Module der Kassenhersteller zertifiziert. Nach Einschätzung des Ministeriums können 1,7 Millionen Registrierkassen nachgerüstet und 411.000 Kassen müssten neu gekauft werden. Dem Handel entstünden dabei einmalige Umrüstungskosten von 470 Millionen und jährliche Betriebskosten von 106 Millionen Euro.

Deutschland ist eines der letzten Länder, das eine Nutzungspflicht von manipulationsgeschützten Registrierkassen einführt. Das BSI wird einbezogen um ein Schutzniveau zu erreichen, das den Einsatz von Zapper-Software verunmöglicht. So wird Software bezeichnet, die wie Malware entweder im Arbeitsspeicher eines Kassensystem installiert oder als USB-Stick an einem PC-Kassensystem gesteckt ist und gleichzeitig Einnahmen wie Ausgaben manipuliert. Das kann etwa dadurch geschehen, dass die Stückzahlen bei einem Bar-Verkauf gefälscht werden und nur ein Bier statt eines Sechserpacks berechnet wird.

Gegen solche "Zapper" gibt es etwa die Integrierte Sicherheitslösung für messwertverarbeitende Kassensysteme (INSIKA) für Registrierkassen und Taxameter, die von der Physikalisch-technischen Bundesanstalt entwickelt wurde. Bei INSIKA kommt eine Smartcard zum Einsatz, die jede Transaktion fälschungssicher signiert. INSIKA kann aber laut einem FAQ des Bundesfinanzministeriums nicht vorgeschrieben werden, weil hier die Bundesdruckerei mit ihrem Trustcenter D-Trust als Lieferant der Smartcards festgeschrieben ist und diese Regelung europarechtlich nicht haltbar ist.

Wie viel Einnahmen den Steuerverwaltungen durch elektronischen Kassenbetrug entgehen, darüber schweigt sich das Ministerium aus. Im Raum steht die Zahl von 10 Milliarden Euro, die der Bundesrechnungshof auf Basis einer kanadischen Studie zum Einsatz von Zapper-Software auf Deutschland "umgerechnet" hat und dabei die ungleich höhere Nutzung des Bargeldes in Deutschland "Pi mal Daumen" ansetzte. Diese Zahl wird vom Bundesfinanzministerium als methodisch nicht seriös abgelehnt.

Der jetzt bekannt gewordene Gesetzesentwurf enthält anders als etwa in Österreich keine allgemeine Registrierkassenpflicht, die bei Vereinen und Almhütten für Verärgerung sorgte. So soll es in Deutschland "insbesondere bei Wochenmärkten, Gemeinde-, Vereinsfesten oder Hofläden und Straßenverkäufern sowie Personen, die ihre Dienstleistungen nicht an festen Orten anbieten" weiterhin den Akteuren überlassen sein, wie sie ihre Verkäufe buchen. (anw)