Szenarien zur Platzierung der TSE-Komponenten
In den letzten Wochen wurde viel über Technische Sicherheitseinrichtungen, die Nichtbeanstandungs-Regelung und Cloud-TSEs diskutiert. Die Landesregierungen einzelner Bundesländer haben in ihren Pressemeldungen explizit Cloud-TSEs erwähnt. Bisher gibt es aber keine Rechtssicherheit, was eine Cloud-TSE eigentlich ist und ob sie dank des neuen Schutzprofils zertifiziert werden wird.
Das können und wollen wir heute auch nicht ändern. Was wir aber gerne für Sie vorbereitet haben, ist eine Übersicht, der verschiedenen Zusammensetzungen der TSEs. Konkret geht es dabei um die Platzierung der SMAERS und der CSP Komponente.
Kassenfunktionalität und SMAERS
Um festzulegen, wo die TSE bzw. die SMAERS Komponente – Security Module Application for Electronic Record-keeping Systems – betrieben werden darf, muss man sich zunächst ansehen, wo sich die Kasse befindet. Vereinfacht formuliert, muss die SMAERS immer dort sitzen, wo auch die Kasse (das elektronische Aufzeichnungssystem) läuft.
Kryptographische Einheit
Die CSP – Cryptographic Service Provider – dagegen darf theoretisch auch in der Cloud liegen. Für diesen Fall wurde extra ein neues Schutzprofil geschaffen, mit dem häufig „Cloud-TSEs“ genannte Konstrukte zertifiziert werden können.
Zertifizierte TSE Anbieter
Gut zwei Monate vor Ende der Nichtbeanstandungsregelung, sind folgende TSEs zertifiziert:
- Swissbit TSE
- Epson TSE
- Bundesdruckerei TSE
- Diebold Nixdorf TSE
Schutzprofile
Technische Sicherheitseinrichtungen und deren Komponenten werden anhand von Schutzprofilen zertifiziert. Aktuelle gibt es folgende:
- Technische Richtlinie für TSEs BSI TR-03151
- Technische Richtlinie für TSEs BSI TR-03153
- CSP Schutzprofil BSI CC-PP-0101-2019
- SMAERS Schutzprofil BSI-CC-PP-0105-V2-2020
Die Zertifizierungspflicht beschränkt sich auf die Technische Sicherheitseinrichtung. Mit dieser müssen die Aufzeichnungen des Kassensystems ab Beginn des Aufzeichnungsvorgangs gesichert werden. Eine Zertifizierung der Kasse (oder Kassensoftware) selbst ist nicht vorgesehen.