Übergangsregelung cv cryptovision TSE

Wie bekannt, ist die Zertifizierung der Version 1 der TSE der Firma cv cryptovision GmbH (Produkt: D-TRUST TSE Modul) mit dem 7. Jänner 2023 aufgelaufen. Eine erste Übergangsregelung wurde für TSEs geschaffen, welche vor dem 7. Juli 2022 angeschafft wurden. Diese sollten noch bis zum 31. Juli 2023 (auch ohne gültiges Zertifikat) weiterverwendet werden dürfen.

Nun teilt die oberste deutsche Finanzbehörde in ihrem Schreiben vom 16. März mit, dass:

Der Austausch der nicht mehr zertifizierten technischen Sicherheitseinrichtung […] spätestens ab der Zertifizierung der TSE Version 2 der Firma cv cryptovision GmbH umgehend durchzuführen [ist] und die rechtlichen Voraussetzungen sind unverzüglich zu erfüllen [sind]. Soweit die Übergangsregelung in Anspruch genommen und dem zuständigen Finanzamt schriftlich oder elektronisch angezeigt wurde, werden für den Zeitraum bis zum 31. Juli 2024 keine nachteiligen Folgen, allein aus der fehlenden Zertifizierung der TSE, gezogen.

Davon sind auch TSEs umfasst, welche nach dem 7. Juli 2022 angeschafft wurde. Wenn ein Unternehmen bereits eine Meldung zur Inanspruchnahme der Übergangsregelung aufgrund des BMF-Schreibens vom 13. Oktober 2022 beim zuständigen Finanzamt gemacht hatte, muss keine weitere Meldung zu einer Inanspruchnahme der Verlängerung mehr erfolgen. Es wird jedoch empfohlen, dies in der Verfahrensdokumentation entsprechend festzuhalten.

Das vollständige Schreiben kann auf der Website des BMF abgerufen werden.

Auslaufen TSE Zertifikat „Bundesdruckerei D-TRUST“

In seinem Schreiben vom 8. Juli 2022, informiert das deutsche Bundesministerium der Finanzen, über das Auslaufen des Zertifikates der Technischen Sicherheitseinrichtung „Bundesdruckerei D-TRUST TSE, Version 1.0“ der cv cryptovision GmbH.

Das aktuelle Zertifikat „BSI-K-TR-0491-2021“, für die oben genannte TSE, ist nur mehr befristet bis zum 07.01.2023 gültig. Laut dem BSI wurden die Voraussetzungen für eine Anschlusszertifizierung nach den technischen Richtlinien „BSI TR-03153-2 Regelung 2“ derzeit noch nicht erfüllt.

Mehr Informationen dazu auf der Website des BSI:

Quellen:

DSFinV-K neue Version gültig ab 1. Juli 2022

Vergangene Woche hat das Deutsche Bundesministerium der Finanzen die Veröffentlichung einer neuen Version der s.g. „Digitalen Schnittstelle der Finanzverwaltung für Kassensysteme (DSFinV-K)“ bekanntgegeben. Die Spezifikationen wurden auf der Website des Bundeszentralamtes für Steuern veröffentlich. Die aktuelle Version, 2.3, muss ab dem 1. Juli 2022 verwendet werden.

RetailForce integriert die enthaltenen Änderungen in die Fiskal Middleware.

Änderungen

Einen Großteil der Änderungen machen textuelle Ergänzungen und Klarstellungen aus, es wurden allerdings auch ein paar gravierendere Anpassungen fixiert.

Eine dieser wesentlichen Änderung an der DSFinV-K betrifft die Kassennummer (KASSE_SERIENNR). Zitat:

„Aus technischen Gründen dürfen weder Slash („/“) noch Unterstriche („_“) in der Seriennummer der Kasse verwendet werden.“

DSFinV-K, Anhang E Nr. 3, S. 69.

Im RetailForce System wird die Kassennummer für die Initialisierung des Fiskal Clients verwendet und im Cloud Portal, bei der Anlage eines neuen Terminals (=Kasse), im Feld „Terminal number“ eingetragen. Wir empfehlen bei der Vergabe von „Store number“ (Anlage neuer Store) und „Terminal number“ weder Slash („/“) noch Unterstriche („_“) zu verwenden, sondern ausschließlich Zahlen und Buchstaben – ohne Trennzeichen.

Die Zahlart „Guthabenkarte“ wurde, im Vergleich zur Vorversion, wesentlich ausführlicher beschrieben. Die Erläuterung orientiert sich an der EU-Richtlinie 2015/2366 über Zahlungsdienste im Binnenmarkt. Wichtig: Guthabenkarten stellen bloße Zahlungsmittel dar und gelten als solche, wenn sie jederzeit und voraussetzungslos gegen den ursprünglich bezahlten (bzw. den noch nicht verwendeten) Betrag zurückgetauscht werden können. Sie entsprechen somit nicht Einzweckgutscheinen.

Weiters wurde eine kleine, aber entscheidende, textuelle Anpassung an der Bon Referenz gemacht. Die Kurzbeschreibung des Referenz Datums (DSFinV-K-Feld: REF_DATUM) wurde von: (v2.2) „Zeitstempel des Vorgangs, auf den referenziert wird“ auf: (v2.3) „Zeitstempel des Kassenabschlusses, auf den referenziert wird“ abgeändert.

In Anbetracht der Änderungen an der KassenSichV, welche im Sommer des vergangenen Jahres durch den Bundesrat beschlossen wurden (siehe dazu unseren Beitrag vom Juli 2021) fand auch eine Überarbeitung des Abschnittes: „Definition des QR-Codes für maschinell prüfbare Kassenbelege“ statt. Für die Darstellung des QR-Codes wird eine Kantenlänge von mind. 3 cm vorgeschrieben. Weitere Informationen zum QR-Code finden sich auch in unserem Solution-Center.

Aus heutiger Sicht können sämtliche Änderungen, welche sich aus der neuen Version der DSFinV-K ergeben, durch RetailForce implementiert werden, ohne Anpassung der Integration. Sollte sich an dieser Einschätzung etwas ändern, werden wir Sie rechtzeitig darüber informieren. Die Änderungen werden über eine neue Version des Fiskal Clients bereitgestellt, welche voraussichtlich Anfang der 2. Mai-Hälfte von uns veröffentlicht wird.

Sicherheitslücke „Log4Shell“

Derzeit wird eine kritische Sicherheitslücke in der Protokollierungsbibliothek für JAVA-Anwendungen log4j verstärkt für Cyberangriffe genutzt. Durch das Protokollieren einer bestimmten Zeichenfolge wird eine Remote Code Execution ermöglicht. Die Sicherheitslücke wird unter dem Begriff „Log4Shell“ geführt. Sämtliche Systeme von RetailForce (RetailForce Cloud, Fiskal Client,…) sind frei von dieser Sicherheitslücke, da keine JAVA basierte Dienste eingesetzt werden.

Unseren Informationen nach sind die Fiskal Cloud Connectors (FCC) von Cloud TSEs der Anbieter swissbit und Deutsche Fiskal von „Log4Shell“ betroffen. Laut swissbit / Deutsche Fiskal wurden externe Tools der AZURE Umgebung der TSE-Webservices sowie die zentralen Cloud Applikationen nach dem derzeitigen Stand der Technik begutachtet und als unkritisch eingestuft. Ebenfalls nicht von der Sicherheitslücke betroffen sind physische TSEs („Hardware TSE“).

Empfehlung seitens der Cloud TSE Anbieter:

Prüfung des Fiskal Cloud Connectors (FCC)
Zur umgehenden Behebung der Sicherheitslücke empfehlen wir dringend  allen Kunden, die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS=true auf  dem Konto zu setzen, welches die FCC Applikation ausführt. Anschließend  ist der FCC Dienst neu zu starten.
Allen Kunden, die dieses Vorgehen nicht ausführen können, stellen wir  schnellstmöglich ein Update des FCC als Version 3.2.4 bereit, welches  die Anpassung der Umgebungsvariablen im Zuge des Updatevorgangs  ausführt.

Stellungnahme DF zu BSI CVE-2021-44228

Weiteren Informationen finden Sie in der Veröffentlichung des BSI („Kritische Schwachstelle in log4j veröffentlicht“): https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=3

Vollständige Stellungnahme / Kundeninformation der Deutschen Fiskal (DF):

Sehr geehrte Nutzer der Fiskal Cloud,
seitens DF Deutsche Fiskal GmbH möchten wir Ihnen ein Update zur aktuellen Sicherheitslage im Bezug auf den vom BSI am 11.12.2021 veröffentlichen Sicherheitshinweis (BSI: CVE-2021-44228) geben.
Auch DF Deutsche Fiskal GmbH nutzt JAVA basierte Dienste und kann daher nicht ausschließen, dass die Systeme betroffen sein könnten.
Im Rahmen einer gebildeten Taskforce wurden nachfolgende Maßnahmen definiert und auch teilweise bereits umgesetzt. Details hierzu mit dem Stand 13.12.2021 nachfolgend:

Prüfung der externen JAVA basierten Dienste/Tools:
Nach aktuellem Wissensstand wurden für die externen Tools in der AZURE Umgebung die vom BSI und den Herstellern empfohlenen Sicherheitsmaßnahmen umgesetzt.
(STAND 13.12.21: Erledigt)

Prüfung des zentralen TSE-Webservices der Bundesdruckerei:
Die D-Trust GmbH als Tochtergesellschaft der Bundesdruckerei und Betreiber des TSE-Webservices hat in einer Vorabinformation bestätigt, dass in der zentralen TSE-Web Service Umgebung der genannte „log4j-Logger“ nicht eingesetzt wird.
(STAND 13.12.21: Erledigt)

Prüfung der internen zentralen Fiskal Cloud Applikationen:
Voraussetzung für die Ausnutzung der Sicherheitslücke ist ersten Erkenntnissen nach, dass der Log4j 2 Parameter „formatMsgNoLookups“ als Wert „false“ gesetzt sein muss und eine Java Runtime 8 Update 191 bzw. 11.0.1 oder älter im Einsatz ist, damit der Exploit funktioniert. Bei neueren Versionen ist die ausgenutzte Funktionalität standardmäßig durch die Java Runtime deaktiviert.
Da es jedoch Möglichkeiten gibt, den JDK Schutz zu umgehen, wurden zur Erhöhung der Sicherheit alle Services der Fiskal Cloud zusätzlich dahingehend umkonfiguriert, dass der Exploit nicht mehr möglich ist. Des Weiteren wird in der FCC Version 4.0.0. die neue Bibliothek (ab Version 2.15) genutzt werden, um den Schutz nochmals zu erhöhen.
(STAND 13.12.21: Erledigt)

Prüfung des Fiskal Cloud Connectors (FCC)
Zur umgehenden Behebung der Sicherheitslücke empfehlen wir dringend allen Kunden, die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS=true auf dem Konto zu setzen, welches die FCC Applikation ausführt. Anschließend ist der FCC Dienst neu zu starten.
Allen Kunden, die dieses Vorgehen nicht ausführen können, stellen wir schnellstmöglich ein Update des FCC als Version 3.2.4 bereit, welches die Anpassung der Umgebungsvariablen im Zuge des Updatevorgangs ausführt.

Wir setzen die Analysen fort und sobald neue Erkenntnisse vorliegen, werden wir Sie umgehend informieren.

Mit freundlichen Grüßen
Ihr DF Support Team

Wichtige Fiskal Cloud Kundeninformation / Stellungnahme DF zu BSI CVE-2021-44228

Wir empfehlen allen Nutzern des Fiskal Cloud Connectors die von DF empfohlenen Schritte durchzuführen, um die Sicherheitslücke zu schließen.

Firmware Update Swissbit Hardware TSE

Für die Swissbit Hardware TSE ist ein Firmware Upgrade verfügbar. Wir empfehlen allen Kunden, welche in Deutschland zur Erfüllung der KassenSichV eine Swissbit Hardware TSE einsetzen und diese vor dem 01. Juli 2021 erhalten haben, auf die aktuelle Firmware upzugraden. Laut swissbit erhöht die neue Firmware (Version 1.1.0.) die Produkt-Zuverlässigkeit und sollte installiert werden um in seltenen Fällen auftretenden Hardwaredefekten vorzubeugen.

Die Funktionalität der TSE wird durch das Firmware Update nicht beeinflusst, Abwärtskompatibilität wird durch swissbit bestätigt. Die Prüfung der neuen Software Version durch das BSI, wurde bereits erfolgreich abgeschlossen.

Austausch von TSE, im Falle von Hardware-Defekten wird nur durchgeführt, wenn diese bereits die neue Firmware enthalten. Grundsätzlich hat Swissbit nach dem 01. Juli 2021 nur mehr TSEs mit dem neuen Firmware-Stand ausgeliefert. Aufgrund von terminlicher Überschneidungen beim Hardware-Versand, kann nicht ausgeschlossen werden, dass auch kurz nach dem 01. Juli noch TSEs mit einer älteren Firmware bei Kunden eingetroffen sind.

Wir empfehlen daher den Firmwarestand von eingesetzten swissbit Hardware TSEs zu prüfen.

Wir haben für Sie einen Lösungs-Artikel im RetailForce Support-Portal erstellt, welcher beschreibt, wie Sie die Firmware Version der TSE überprüfen und das Firmware Update durchführen können. Den Artikel finden Sie unter: https://support.retailforce.cloud/hc/de/articles/4411327044497-Firmware-Update-swissbit-Hardware-TSE-1-1-0-

Die neue Firmware-Version finden Sie im Download-Bereich der RetailForce Website unter: https://www.retailforce.cloud/downloads/Swissbit/TseFirmwareUpdate/

Bundesrat beschließt Änderungen an KassenSichV

In der 1006. Plenarsitzung vom 25.06.2021 hat der deutsche Bundesrat einer Änderung der KassenSichV zugestimmt. Diese Änderungen finden sich in der „Verordnung zur Änderung der Kassensicherungsverordnung wieder“.

Ausnahme für Parkautomaten und E-Ladestationen

Bereits in seinem Schreiben vom 03.Mai dieses Jahres, hatte das BMF in einer Übergangsregelung Automatenkassen der Parkraumbewirtschaftung sowie Ladepunkte für Elektro- oder Hybridfahrzeuge von der KassenSichV ausgenommen. Diese Ausnahme wurde nun im Zuge der Plenarsitzung beschlossen.

Kassen- und Parkscheinautomaten der Parkraumbewirtschaftung sowie Ladepunkte für Elektro- oder Hybridfahrzeuge müssen somit nicht (mehr) die Anforderungen der KassenSichV erfüllen.

Das BMF begründet diesen Schritt damit, dass diese Systeme funktionell und technisch mit Fahrscheinautomaten und Fahrscheindruckern vergleichbar sind, welche ja von Anfang an aus dem Anwendungsbereich der KassenSichV ausgenommen wurden.

Weiters seien Park- und Ladedienste miteinander verbundene Leistungen, da das Aufladen in der Regel über mehrere Stunden erfolgt und somit (Zitat:) „das Parkservice zu einem untrennbaren und integralen Bestandteil des Ladevorgangs wird.“, so die Begründung warum Abrechnungssysteme für Ladedienste ebenso von der KassenSichV ausgenommen werden.

Compliance für Taxameter

Eine weitere Änderung betrifft künftig s.g. EU-Taxameter und Wegstreckenzähler. Diese müssen ab dem 01.01.2024 der KassenSichV entsprechen und somit wie Registrierkassensysteme mit einer technischen Sicherheitseinrichtung (TSE) ausgestattet werden. Dies dient der Herstellung eines gleichmäßigen und effizienten Steuervollzugs – so die Begründung des BMF.

Der in den Empfehlungen an den Bundesrat enthaltene Vorschlag, die KassenSichV auch auf Geldspielgeräte auszudehnen, findet sich in der Verordnung nicht wieder.

Belegverifikation – Signatur als QR-Code

Erweitert wurden ebenfalls die Anforderungen an den Kassenbeleg (§ 6 – KassenSichV). Um die Verifikationen von Belegen effizienter zu gestalten und Kassen-Nachschauen schneller durchführen zu können, müssen Kassenbelege zwei weitere Mindestangaben enthalten:

  • den Prüfwert nach § 2 Satz 2 Nummer 7 KassenSichV, sowie
  • den fortlaufenden Zähler der vom Sicherheitsmodul festgesetzt wird (= „Signaturzähler“)

Dadurch können Belege außerhalb der Räumlichkeiten des Unternehmens verifiziert werden. Die Angaben nach § 6 KassenSichV können allerdings künftig, alternativ zur Ausgabe in lesbarer Form, als QR-Code am Beleg dargestellt werden.

Die Änderung an § 6 Satz 2 KassenSichV konkret:
„Die Angaben auf einem Beleg nach Satz 1 müssen für jedermann ohne maschinelle Unterstützung lesbar oder auf einem QR-Code auslesbar sein.

Der Aufbau und die technischen Vorgaben zum QR-Code müssen jedenfalls der digitalen Schnittstelle der Finanzverwaltung (DSFinV-K) entsprechen.

Lt. BMF werde die Länge der ausgedruckten Belege durch diese Maßnahme verkürzt, was Schätzungen des Bundesministeriums zufolge, eine Einsparung von jährlich 108.000 km Papier, mit einem Gegenwert von 2,1 Mio. EUR, bedeutet.

Weitere Änderungen ab 01.01.2024

Beschlossen wurden weiters zusätzliche Änderungen, welche – wie der Fall der Ausnahmeregelung für EU-Taxameter und Wegstreckenzähler – ab dem 01. Jan. 2024 in Kraft treten.

  • Künftig muss die Transaktion sowohl die Seriennummer des elektronischen Aufzeichnungssystems als auch die Seriennummer des Sicherheitsmoduls enthalten: § 2 Satz 2 Zif. 8: Die Seriennummer des elektronischen Aufzeichnungssystems oder und die Seriennummer des Sicherheitsmoduls.
  • • Dies findet sich ebenfalls in den Angaben am Beleg wieder: § 6 Satz 2 Ziff. 6: die Seriennummer des elektronischen Aufzeichnungssystems oder sowie die Seriennummer des Sicherheitsmoduls und (neu hinzukommend): §6 Satz 2 Ziff. 7: den Prüfwert im Sinne des § 2 Satz 2 Nummer 7 und den fortlaufenden Signaturzähler, der vom Sicherheitsmodul festgelegt wird.

Digitale Belege mit RetailForce

Noch viel größere Einsparungen als die durch den Bundesrat beschlossenen Änderungen an der KassenSichV können Sie erzielen, wenn Sie auf die Belegausgabe in Papierform gänzlich verzichten! Wir beraten Sie gerne zur digitalen Belegausgabe über das RetailForce System. [Kontaktieren Sie uns!]

Ressourcen

Link zur 1006. Plenarsitzung des Bundesrates: https://www.bundesrat.de/SharedDocs/termine/DE/plenum/2021/2021-06-25.html?nn=4352766