Eigene TSE entwickeln

TSE Zertifizierung/Evaluierung (KassenSichV – Kassensicherungsverordnung)

  • Wird durch BSI (Bundesamt für Sicherheit in der Informationstechnik) vergeben
  • Antrag auf Evaluierung stellen (Security Target)
  • Prüfung wird durch zertifiziertes Unternehmen (Evaluator) durchgeführt:
    • atsec information security GmbH
    • Deutsches Forschungszentrum für Künstliche Intelligenz (DFKI) GmbH
    • MTG AG
    • secuvera GmbH
    • SRC Security Research & Consulting GmbH
    • T-Systems International GmbH
    • TÜVsfin Informationstechnik GmbH
  • Evaluierung durch Evaluierungspartner (6-9 Monate)
  • Evaluierungspartner reicht Prüfung an BSI weiter, welche Zertifikat erstell/erteilt (5 Jahre gültig)

Zertifizierungsablauf

  • Vorbereitung (Beschreibung der Anforderungsumsetzung – als Security Target
  • Einreichung (formale Prüfung durch BSI)
  • Abstimmung (Veröffentlicung auf BSI Website)
  • Prüfung durch Evaluator (Dauer 6 – 9 Monate, vorläufige Freigabe durch BSI möglich)
  • Nach Evaluierungsabschluss finale Zertifizierung durch BSI (5 Jahre gültig)
  • Danach Rezertifizierung nötig (für weitere 5 Jahre gültig und so weiter)

Die detaillierten Anforderungen an das Sicherheitsmodul, das Speichermedium, die digitale Schnittstelle sowie die elektronische Aufbewahrung sind vom BSI entwickelt und in technischen Richtlinien und Schutzprofile veröffentlicht worden. Es ist vorgesehen, die Anforderungen an das Sicherheitsmodul technologieneutral in einen Schutzprofil nach ISO/IEC 15408 (Common Criteria) festzulegen. Zur Erfüllung dieser Sicherheitsanforderungen müssen Hersteller ihre technische Sicherheitseinrichtung beim BSI zertifizieren lassen.

Zusätzlich zur TSE muss auch das darin integrierte Speichermodul nach den Common Criteria (CC) zertifiziert werden. Im Rahmen dieser CC-Zertifizierung ist eine Konformität zu den Schutzprofilen [BSI PP-CSP light] und [BSI PP-SMAERS] nachzuweisen

Durchzuführende Zertifizierungen für eigens entwickelte TSE

Der Hersteller einer TSE muss nachweisen, dass die TSE die Interoperabilitätsanforderungen der Technischen Richtlinien einhält. Der Nachweis ist durch eine Konformitätszertifizierung nach der Testspezifikation der TR-03153 zu erbringen.

Weiterhin muss der Hersteller einer TSE nachweisen, dass die Sicherheitsanforderungen eingehalten werden. Der Nachweis ist durch Sicherheitszertifizierungen nach Common Critieria mit folgenden Schutzprofilen nachzuweisen:

Der Hersteller kann eine vorläufige Freigabe einer Technischen Sicherheitseinrichtung beantragen, wenn die Konformitätszertifizierung nach der Testspezifikation der TR-03153 und eine Sicherheitszertifizierung nach PP-105 erfolgreich abgeschlossen wurde und die Prüfstelle bestätigt, dass die Evaluierung voraussichtlich erfolgreich abgeschlossen werden kann. Die vorläufige Freigabe ist auf ein Jahr befristet und kann auf Antrag des Herstellers bei Nachweis eines signifikanten Fortschritts der Evaluierung verlängert werden. Nach erfolgreichem Abschluss der Zertifizierung ist die TSE ggf. in Verbindung mit einem Software-Update als zertifizierte TSE einsetzbar.

Die Technischen Richtlinien sind unter folgendem Links veröffentlicht

Die Schutzprofile sind unter folgenden Links veröffentlicht

Übersicht über Technische Richtlinien für Technische Sicherheitseinrichtungen elektronischer Aufzeichnungssysteme

  • BSI TR-03153 Technische Sicherheitseinrichtungen elektronischer Aufzeichungssystem
  • BSI TR-03151 Secure Element API
  • BSI TR-03116-5 Kryptographische Vorgaben für Projekte der Bundesregierung
    Teil 5: Anwendungen der Secure Element API

Aufbau einer TSE

  • Speichermedium (auf dem die Einzelaufzeichnungen für die Dauer der gesetzlichen Aufbewahrungsfrist gespeichert werden)
    • Fiskaldatenspeicher
    • Freier Nutzer Datenspeicher
  • Sicherheitsmodul (das gewährleistet, dass Kasseneingaben mit Beginn des Aufzeichnungsvorgangs protokolliert und später nicht mehr unerkannt verändert werden können) – Untergliederung:
    • SMAERS (Security Module Application for Electronic Record-keeping Systems, BSI-CC-PP-0105-2019) und
    • CSP (Cryptographic Service Provider, BSI-CC-PP-0104-2019) bzw. CSP Light (Cryptographic Service Provider Light, BSI-CC-PP-0111-2019)
    • Zertifikat
  • Digitale Schnittstelle CTSS Interface Component (optionale Funktionen, Transaktionen, Export, Administration)
    Eine einheitliche digitale Schnittstelle, für den möglichst reibungslosen Datentransfer zu Prüfzwecken