Zertifizierung

Unsere Swissbit TSEs (USB und SD-, Micro-SD-Karte) sind alle nach TR-03153 vom BSI zertifiziert

Support

Als Mit-Entwickler der Swissbit TSEs unterstützen wir mit Implementierungs-Kits und Premium-Support.

Prüfung

Alle drei TSE-Prüfungen mit AmadeusVerify selbst durchführen: QR-Codes, TAR-Files, DSFinV-K-Exporte

 

Freuen Sie sich auf folgende Vorteile

 

  • TSEs in verschiedenen Ausführungen: USB, SD, Micro-SD
  • Vom BSI zertifiziert nach TR-03153
  • Sehr hohe Verarbeitungsgeschwindigkeit
  • Platz für 20 Millionen Signaturen
  • Experten-Knowhow durch Mitentwicklung der TSEs
  • Implementierungskits (SDK) und Premiumsupport mit FAQ-Zugang
  • Verifizierungsungstool zur Prüfung der Implementierung der DSFinV-K 2.0

Features und Funktionen

Zusammenspiel TSE & Kasse

Technische Spezifikationen

 

  • TSE in drei Varianten mit 8 GB Flash-Speicher (nach BSI TR-03153)
  • Verschlüsselung: 384 bit (höher als derzeit vom BSI spezifiziert!)
  • Laufzeit des Signaturzertifikats: 5 Jahre + 6 Monate für Logistik
  • Verarbeitungszeit: Signatur und Speicherung in unter 250 ms
  • Lebensdauer: garantiert mind. 10 Mio. Signaturen, typisch 20 Mio.
  • Datenaufbewahrung: bei unbestromter Lagerung 10 Jahre
Spezifikation der drei TSE Varianten

TSEs kaufen und einrichten

Jetzt TSEs bei Amadeus bestellen

Als Kassenhändler beziehen Sie Technische Sicherheitseinrichtungen direkt in unserem Shop. Gastronomen führen die Einrichtung meist nicht selbst durch. Bitte wenden Sie sich an Ihren Kassenfachhändler oder bitten uns um Kontakt zu einem Implementierungspartner.

Folgende TSEs gibt es in unserem Shop – natürlich mit Mengenrabatt bei größeren Stückzahlen:

  • Hardware – TSE als USB, SD oder Micro-SD
  • Implementierungskits – TSE, SDK-Paket und SDK / API Zugriff
  • AmadeusVerify – Prüfung QR-Codes, TAR-Files & DSFinV-K Exporte
  • TSE Support – erweiterte Doku, Use Cases und FAQ-Bereich

Zum TSE Shop

TSE Einbindung prüfen

Mit AmadeusVerify können Sie schon vor einer eventuellen Kassennachschau sicherstellen, dass Sie die TSE richtig angebunden haben und die DSFinV-K korrekt umgesetzt ist.

Prüfschritte

  • QR-Code: Überprüfen und Validieren des QR-Codes auf dem Bon/Rechnung
  • TAR-Files: Überprüfen und Validieren der TAR-Files (Export von TSE)
  • DSFinV-K: Überprüfen und Validieren der DSFinV-K – Exporte
    Ergänzend: Prüfen relevanter Summen innerhalb des Exports
  • DFKA: Überprüfen und Validieren der DFKA-Taxonomie-Exporte
    Ergänzend: Prüfen relevanter Summen innerhalb des Exports
  • Konvertierung: zwischen DSFinV-K und DFKA-Taxonomie

Systemvoraussetzungen

  • Windows 10 / kompatible Server-Betriebssysteme
  • .net 4.6
  • 30 MB freier Platz auf der Festplatte
  • Optional: QR-Code-Scanner mit Tastatur-Emulation

Mehr über AmadeusVerify

Zertifizierung

Alle Swissbit TSEs zertifiziert

Alle Swissbit TSEs sind vom BSI (Bundesamt für Sicherheit und Informationstechnik) zertifiziert.

Grundlage für die Konformitätsprüfung:

  • BSI TR-03153 – Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme, Version 1.0.1 vom 20. Dezember 2018
  • BSI TR-03153-TS – Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme – Testspezifikation,Version 1.0.1 vom 5. Februar 2019

Alle geprüften Technischen Sicherheitseinrichtungen von Swissbit – erhältlich über Amadeus – erfüllten die Anforderungen der Technischen Richtlinie BSI TR-03153.

Auslegung der Swissbit Guidance

Swissbit Guidance

Der Gesetzgeber hat den Betrieb von Technischen Sicherheitseinrichtungen nicht bis ins kleinste Detail vorgegeben. Daher gibt es eine Guidance mit Auflagen zum Betrieb der TSEs direkt von Swissbit.

Verfügbarkeit von Sicherheitsupdates

Diese Auflagen beinhalten, dass eine TSE nur in einer sicheren Umgebung betrieben werden darf. Laut Swissbit Interpretation schließt das die Verfügbarkeit von Sicherheitsupdates ein.

Demnach dürfen TSEs nur an Systemen betrieben werden, deren Betriebssysteme noch mit Sicherheitsupdates durch den Hersteller versorgt werden.

Serverversion 1.4.8

Exakte Vorgaben, welche Betriebssystem dazu gehören, gibt es nicht. Unsere Interpretation sieht wie folgt aus: Wir geben unsere Swissbit TSEs nur für System mit dem Update zu 1.4.8 frei.

Mögliche TSE Zusammensetzung

 

„Gemeinsam mit einem Kollegen leite ich die TSE-Feldtests. Mein Team besteht aus Experten mit langjähriger Erfahrung in der IT für die Gastronomie-Branche. Dadurch ergänzen wir die Swissbit Hardware durch außerordentliche Expertise und besonders praxisnahen Support.

So bekommen Kassenhändler und -hersteller alles aus einer Hand und gewinnen dadurch wertvolle Zeit, um sich besser auf ihr Kerngeschäft zu fokussieren.”


Dr. Mirco Till, Geschäftsführer
Gastro-MIS

500

Entwicklerstunden hat Amadeus investiert, um gemeinsam mit Swissbit die TSEs zu entwickeln

2000000

TSEs werden in Deutschland voraussichtlich für Gastronomie und Einzelhandel benötigt

Warum eigentlich TSEs?

TSE Merkblatt

 

  • Warum brauche ich eine Technische Sicherheitseinrichtung?
  • Wer braucht keine Technische Sicherheitseinrichtung?
  • Wie viele TSEs brauche ich?
  • Woraus besteht eine TSE?

Diese Fragen und mehr beantworten wir in unserem TSE Merkblatt

 

Zum TSE Merkblatt

Angebot

TSE sichert Kassenvorgang

TSE Module kaufen und 50€ bei NCR Orderman Kassen sparen

 

Bestellen Sie jetzt Ihre TSE Module über unseren TSE Shop und Sie erhalten einen Gutschein im Wert von 50€ auf die neuesten Kassensysteme von NCR Orderman. Gültig für:

  • Das top-of-the-line Modell NCR CX7
  • Das basic-and-sleek Modell Orderman PX10/PX15

 

Zum TSE Shop

TSE FAQs

BSI Zertifikat

TSE bedeutet technische Sicherheitseinrichtung. Die TSE kann physisch (z. B. als USB-Stick, SD oder microSD) oder cloudbasiert zur Verfügung gestellt werden. Allerdings sind nach wie vor keine Cloud TSEs zertifiziert.

BSI Vorgabe

Eine Technische Sicherheitseinrichtung muss nämlich vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert sein, damit die KassenSichV erfüllt wird.

Daten-Prüfung

Durch eine TSE wird sichergestellt, dass die im Kassensystem aufgezeichneten Daten vollständig und richtig gespeichert werden. Man bekommt eine TSE entweder vom Kassenanbieter oder anderen Herstellern bzw. Anbietern.

KassenSichV

Seit dem 1. Januar 2020 gelten in Deutschland die verschärften Anforderungen der Kassensicherungs-Verordnung (KassenSichV), damit die Präzisierung des “Kassengesetzes” (§ 146a AO).

Registrierkassen

Es gibt dadurch eine neue Pflicht zur Einführung manipulationssicherer Kassen für alle Verwender von Registrierkassen. Das bedeutet, es dürfen nur noch Registrierkassen verwendet werden, die eine Technische Sicherheitseinrichtung (TSE) haben.

Ausschluss von Manipulation

So sollen nachträgliche Manipulationen der Kassendaten ausgeschlossen werden – durch eine exakte Protokollierung der Daten. Für jede Transaktion wird unter anderem eine Transaktionsnummer vergeben wird, um Lücken in den Aufzeichnungen erkennbar zu machen.

Frist

Alle bereits im Feld befindlichen Kassensysteme sind bis spätestens Ende 2022 nachzurüsten – PC-Systeme bis Ende September 2020.

Kassenhändler / -hersteller

Am deutschen Markt gibt es nur wenige Anbieter von TSEs. Unser Partner Swissbit ist bei den physischen Varianten in den meisten Fällen involviert. Die zertifizierten Swissbit TSEs können Kassenhändler und -hersteller direkt von uns beziehen.

Gastronomen

Die Implementierung einer TSE erfordert einiges an technischem Wissen, daher raten wir allen Gastronomen und Händlern, TSEs nicht direkt zu beziehen, sondern sich dafür an Kassenhändler und Kassenhersteller zu wenden.

Manipulation von Daten

Die TSE Technologie verhindert Betrug, der auf der Veränderung von Buchungen basiert. Diese werden auf der TSE manipulationssicher festgehalten. Somit wird eine Löschung/ Veränderung verhindert. TSEs können aber nicht verhindern, dass Kassenvorgänge gar nicht erst in die Kasse eingegeben werden.

Erfassung von Daten

Der Bon ist deshalb als zweite Kontrollinstanz notwendig, weil er nur erzeugt werden kann, wenn der Kassenvorgang ordnungsgemäß eingegeben und beendet wurde. Auf dem Bon müssen auch die gekauften Waren / Dienstleistungen eindeutig identifizierbar dargestellt sein. So soll jeder Laie überprüfen können, ob auch die richtigen Artikel gebucht wurden.

Prüfung der Daten

Jeder Bon erhält außerdem eine Teil-Signatur von der TSE, deren Vollständigkeit über Zähler in der TSE sichergestellt wird. Vereinfacht gesagt: Würde eine Signatur verändert werden, würden alle anderen auch verändert.

Mehr dazu in der Infografik TSEs und Bonpflicht

DSFinV-K

Die DSFinV-K ist die technische Grundlagen-Beschreibung für die Umsetzung der Kassen-Sicherungsverordnung (KassenSichV) – nämlich der Schnittstelle für den Export von Daten aus elektronischen Aufzeichnungssystemen für die Datenträgerüberlassung im Rahmen von Außenprüfungen und Kassen-Nachschauen.

Einheitliche Angaben

Sie soll eine einheitliche Strukturierung und Bezeichnung der Daten unabhängig vom elektronischen Aufzeichnungssystem sicherstellen.

Version 2.2

Durch die Mehrwertsteueränderung wurde eine neue Version fällig. Die aktuellste ist damit Version Nummer 2.2 (Stand Juli 2020)

Geschäftsvorfälle und potenzielle Geschäftsvorfälle

Grundsätzlich müssen alle Vorgänge an einem Kassensystem abgesichert werden, die zu einem Geschäftsvorfall führen (könnten). Ein Geschäftsvorfall ist „Jeder Vorgang, der die Vermögenszusammensetzung des Unternehmens (oder des Einzelunternehmers) verändert.“

Im Grunde führen die meisten Vorgänge, die eine Interaktion zwischen Mitarbeiter und Kunde enthalten, (potenziell) zu einem Geschäftsvorfall.

Beispiele für tatsächliche Geschäftsvorfälle:
  • Kauf und Bezahlung eines Getränks im Restaurant
  • Entnahme aus der Kasse z.B. zur Bezahlung einer Lieferung
  • Kauf auf Rechnung z.B. eines Hochzeitsgestecks
Beispiele für potenzielle Geschäftsvorfälle:
  • Abgebrochener Kauf z.B. in einer Bäckerei mangels Bargeld
  • Abgebrochene Vorgänge an einem Selfordering-Terminal
  • Abgebrochene Ticketkäufe unbeliebter Sitzplätze z.B. im Theater

Mehr dazu in der DSFinV-K (Z.B. auf S. 37)

Arten der Workflows

Im Wesentlichen gibt es zwei Workflows für das Absichern von Vorgängen:

  • Kurze Bestellvorgänge
    Verkehrsgastronomie / Einzelhandel (Stichwort Scannerkasse)
  • Länger andauernde Bestellvorgänge
    Vollgastronomie mit mehrmaliger Bestellaufnahme am Tisch
Gemeinsamkeiten

Mit dem ProcessType „Beleg“ werden die Brutto-Summen und Beträge auf den Zahlarten von der TSE signiert. Der Prüfbare Beleg muss Vorgangsstart und Vorgangsende enthalten. Die Aktion von finish() der Transaktion entspricht dann dem ProcessType „Beleg“.

Beleg

Bei kurzen Bestellvorgängen (kurze Zeitspanne zwischen Vorgangstart und Vorgangsende bzw. Zahlung) eröffnet die TSE mit dem ersten Artikel eine Transaktion – ProcessType „Beleg“. Mit Zahlung und Druck der Rechnung wird die Transaktion beendet.

Bestellung

Bei langen Bestellvorgängen wird der erste Artikel mit dem Prozesstyp „Bestellung“ als Transaktion erfasst. Der Bestellvorgang an sich ist somit die Transaktion.

Mehr dazu in unserer Infografik „Bestellprozesse…“ 

ProcessType „Kassenbeleg-V1“

Bei Transaktionen vom ProcessType „Beleg“ (bei kurzen Bestellprozessen) in der TSE, müssen die ProcessData bei der finish() Funktion folgende Daten enthalten:

  • processType: Kassenbeleg-V1
  • processData: <Transaktionstyp>^<Brutto-Steuerumsätze>^<Zahlungen>
  • als Trennzeichen: ^ (Unicode U+005E)
Mögliche Transaktionstypen
  • Beleg
  • AVTransfer
  • AVBestellung
  • AVTraining
  • AVBelegstorno
  • AVBelegabbruch
  • AVSachbezug
  • AVSonstige
  • AVRechnung
Mögliche Steuersätze
  • Regelsteuersatz (19%)
  • Ermäßigter Steuersatz (7%)
  • Durchschnittsatz (§24(1)Nr.3 UStG) (10.7%)
  • Durchschnittsatz (§24(1)Nr.1 UStG) (5.5%)
  • 0%
  • [Sonderregelungen wie zur Corona-Pandemie]
Arten von Zahlungen
  • bar
  • unbar

Mehr dazu in unserer Dokumentation

Bei Transaktionen vom ProcessType „Bestellung“ (bei langen Bestellprozessen) in der TSE, müssen die ProcessData bei der finish() Funktion folgende Daten enthalten:

  • processType: Bestellung-V1
  • processData: <Menge>;”<Bezeichnung>”;<Preis>
  • Trennzeichen: Zeilentrennzeichen ist  “\n” (Waagenrücklauf, Unicode U+000D) und Spaltentrennzeichen “;” (Semikolon, Unicode U+003B)
Menge

Menge immer mit der minimal möglichen Menge von Nachkommastellen angeben

Bezeichnung

Immer in Anführungszeichen (Unicode U+0022) zu setzen. Anführungszeichen in der Beschreibung selbst, mit zwei Anführungszeichen kennzeichnen.

Preis

Preis ist immer der Brutto-Einzelpreis der Bestellzeile. Angabe immer mit zwei Nachkommastellen. Weitere Nachkommastellen abschneiden.

Mehr dazu in unserer Dokumentation

TSE-Protokoll-Daten müssen im TAR-Format aufbewahrt werden. Diese sogenannten TAR-Files gehören zu den drei Grundprüfungen, die bei einer Betriebsprüfung oder Kassennachschau kontrolliert werden.
Mehr unter AmadeusVerify

Aufbewahrungspflicht

Da es sich bei den von der TSE protokollierten Daten um digitale Grundaufzeichnungen handelt, unterliegen sie der gängigen 10-jährigen Aufbewahrungspflicht.

Kassenwechsel

In diesem Zeitraum müssen sie jederzeit vorgezeigt werden können, auch wenn z.B. die Kasse gewechselt wurde.

Nein, die Daten der TSE dürfen auch in ein sicheres Langzeit-Archiv überführt werden. Wenn sie auch dann jederzeit vorzeigbar sind, muss die TSE an sich über den Nutzungszeitraum hinaus nicht aufbewahrt werden.

Zeitquelle

Ja, die Zeitquelle innerhalb der TSE ist ungenau. Nach ein paar Tagen sind Abweichungen von mehreren Minuten möglich. Deshalb muss die Zeit in der TSE in regelmäßigen Intervallen aktualisiert werden – natürlich automatisiert.

Intervall

Das benötigte Intervall kann über die Funktion „maxSynchronizationDelay“ auslesen  

AmadeusVerify

Natürlich wollen Sie Ihre TSE Implementierungen bzw. die Ihrer Kunden selbst kontrollieren, bevor es eine offizielle Institution macht. Dafür ist unsere  Validierungs-Software AmadeusVerify da.

Validierung

Mit ihr können Sie sowohl den QR-Code auf dem Kundenbeleg, als auch die von der TSE exportierten TAR-Files verifizieren (Signaturprüfung) und die Daten auch inhaltlich überprüfen. Das bedeutet eine erhebliche Arbeitserleichterung und Zeitersparnis für Prüfer und Prüflinge – egal ob bei einer offiziellen Prüfung oder bei einer eigenen Vorab-Prüfung. 

Mehr dazu bei AmadeusVerify

Gesetzliche Vorgabe

Grundsätzlich erfordert nicht jede Kasse eine eigene Technische Sicherheits-Einrichtung.

Hardware TSEs

Auch bei Hardware-TSEs gibt es die Möglichkeit, mehrere Kassen an eine TSE zu hängen beispielsweise mit einem LAN-Konnektor. Bitte prüfen Sie zuvor sorgfältig, ob das für Ihre IT-Architektur zulässig ist.

IT-Architektur

Theoretisch können Sie (fast) unendlich viele Kassen eines Standorts an dieselbe TSE hängen – wenn die erforderliche IT-Architektur gegeben ist.

Performance

Zu Bedenken ist lediglich, dass die Performance der TSE sinken kann, wenn zu viele Signaturen gleichzeitig angefragt werden. Da der Prozess der Signatur-Erstellung in Millisekunden abläuft, ist es eher unwahrscheinlich, dass der Fall bei Ihnen eintritt. 

Sicherung

Nein, eine Synchronisation mehrerer TSEs eines Betriebs ist nicht notwendig. Jede TSE sichert die Aufzeichnungs-Pflichtigen Vorgänge eigenständig ab.

Zähler

Auch die Signaturzähler und Transaktionszähler müssen sich demnach nicht gegenseitig updaten.

Export

Jede Technische Sicherheitseinrichtung verfügt über eine Export-Funktion. Sie dürfen die gespeicherten Daten in ein sicheres Archiv überführen. Wenn Sie dabei die steuerlichen Aufbewahrungs-Pflichten beachten, können die Daten von der TSE gelöscht werden.

Daten löschen

Bitte nur Daten löschen, wenn Sie sich sicher sind, dass der Vorgang konform ist. Für Rechtssicherheit sollten Sie vorher einen auf TSE spezialisieren Experten konsultieren.

Sicherungsschicht

Anders als die DSFinV-K nimmt die Technische Sicherheitseinrichtung Daten entgegen und ergänzt eine Sicherungsschicht in Form von Metadaten und Signatur. Das genaue Format dieser Sicherungsschicht und die Regeln des Exports werden vom BSI festgelegt.

Datenformat

Inhalt und Form der Daten, welche von der TSE abgesichert werden, werden vom Bundesministerium für Finanzen festgelegt.

Im Sinne der Technologie-Offenheit sind grundsätzlich auch Cloudlösungen („fernverbundene Technische Sicherheitseinrichtungen“) zulässig, wenn sie zertifiziert sind. Aktuell gibt es allerdings keine zertifizierten „Cloud TSEs“.

Vorgaben des BSI

Um KassenSichV konform zu sein, muss eine Technische Sicherheitseinrichtung u.a. den Technischen Richtlinien und Schutzprofilen des BSI gerecht werden.

Transaktionszähler

Der BSI hat darin festgelegt, dass die Transaktions-Nummern einer TSE eindeutig und ansteigend sein müssen. Mit jedem Start einer Start einer Transaktion muss das Sicherheitsmodul den Zähler erhöhen. 

Schlüssel und Sicherheitsmodul

Die Transaktionsnummer hängt vom Schlüssel des Sicherheitsmoduls in der TSE ab. Tauscht man den Schlüssel, beginnt die Zählung wieder bei 0. Jede SMAERS hat einen eigenen Signaturschlüssel und in jeder SMAERS-Instanz müssen die Transaktionsnummern eindeutig sein.

Technische Richtlinie

Bevor Sie eine TSE bestellen, achten Sie darauf, dass der Hersteller bzw. die TSE die Interoperabilitätsanforderungen der Technischen Richtlinien erfüllt. Das ist nur dann der Fall, wenn die Technische Sicherheitseinrichtung über eine Konformitäts-Zertifizierung gemäß Testspezifikation der TR-03153 verfügt.

Sicherheitsanforderung

Außerdem muss der Hersteller nachweisen, dass er ebenfalls die Sicherheits-Anforderungen einhält. Dafür wurden die Schutzprofile BSI PP-SMAERS und BSI PP-CSP für die einzelnen Komponenten definiert.

TSEs bestellen

Kalkulation von Wareneinsatz

Jetzt kaufen

Die Swissbit TSEs sind als USB, SD oder Mirco-SD in unserem TSE-Shop erhältlich. Genau wie die ergänzende Software und unser Premium-Support:

  • AmadeusVerify – Prüfung QR-Codes, TAR-Files & DSFinV-K Exporte
  • Implementierungskits – TSE, SDK-Paket und SDK/API Zugriff
  • TSE Support – erweiterte Doku, Use Cases und FAQ-Bereich

Zu den TSEs im Shop