Hallo.
Kennt sich jemand bei der FSFE mit dem aktuellen Stand bei elektronischen Registrierkassen aus?
Natürlich weiß ich als EDV'ler, dass eine Kassen die elektronisch speichert zunächst einmal nicht wirklich maipulationssicher ist, da man den kompletten Speicher ja jederzeit neu schreiben kann und damit mit neuen, geänderten Daten füllen kann.
Letztes Jahr hieß es noch, dem Problem werde mit dem so genannten INSIKA-Verfahren [1] begegnet. Als ist gelesen hatte, dass es von der PTB erfunden wurde, hatte ich schon übelste Befürchtungen, dass das mit freier Software nicht nutzbar sein werde, Wikipedia nimmt mir da aber die Befürchtungen. INSIKA scheint zumindest mit freien Kassensystemen zu funktionieren, auch wenn ein wesentlicher Teil eine aktive Smartcard ist, deren Funktionsweise möglicherweise proprietär ist, da habe ich nicht nachgeforscht.
Jetzt lese ich aber, dass dieses System definitiv nicht kommen soll, stattdessen soll eine Art Zertifizierung des BSI zur Vorschrift werden [2]. Das erinnert stark an die Katastrophe mit der "Qualifizierten elektronischen Signatur" bei Rechnungen.
Mein Problem dabei: Als Nutzer einer freien Software (ich hab meine Kassensoftware selbst erstellt), werde ich sicherlich nicht die Ressourcen aufwenden, diese Kassensoftware mit all meinen laufend gemachten Änderungen vom BSI zertifizieren zu lassen. Eine externe Smartcard anzusteuern wäre ja noch im Bereich des machbaren, aber mit der aktuell diskutierten Lösung habe ich schlichtweg keine Chance, meine Umsätze über eine freie Kassenlösung zu erfassen. Falls sich jemand mit dieser Materie beschäftigt hat und ggf. auch genaueres zu den geplanten Anforderungen kennt, würde ich mich über Informationen freuen. Falls meine Befürchtung und Schlussfolgerung zutrifft, sollte die FSFE hier auch mal intervenieren. Gibt es eigentlich freie Kassensysteme für z.B. Gastronomie mit signifikanter Verbreitung?
Gruß, Bernd
[1]: https://de.wikipedia.org/wiki/INSIKA [2]: http://www.spiegel.de/wirtschaft/soziales/steuern-wolfgang-schaeuble-will-be...
Hallo zusammen,
Am 17.04.2016 um 06:27 schrieb Bernd Wurst:
Natürlich weiß ich als EDV'ler, dass eine Kassen die elektronisch speichert zunächst einmal nicht wirklich maipulationssicher ist, da man den kompletten Speicher ja jederzeit neu schreiben kann und damit mit neuen, geänderten Daten füllen kann.
Letztes Jahr hieß es noch, dem Problem werde mit dem so genannten INSIKA-Verfahren [1] begegnet. Als ist gelesen hatte, dass es von der PTB erfunden wurde, hatte ich schon übelste Befürchtungen, dass das mit freier Software nicht nutzbar sein werde, Wikipedia nimmt mir da aber die Befürchtungen. INSIKA scheint zumindest mit freien Kassensystemen zu funktionieren, auch wenn ein wesentlicher Teil eine aktive Smartcard ist, deren Funktionsweise möglicherweise proprietär ist, da habe ich nicht nachgeforscht.
Jetzt lese ich aber, dass dieses System definitiv nicht kommen soll, stattdessen soll eine Art Zertifizierung des BSI zur Vorschrift werden [2]. Das erinnert stark an die Katastrophe mit der "Qualifizierten elektronischen Signatur" bei Rechnungen.
Hier haben anscheinend Lobbyverbände Herrn Schäuble weichgeklopft. So wie ich die Sache verfolgt habe, hätte es die von dir gegebene einsatzbereite sichere Lösung gegeben, man konnte sich jedoch nicht darauf einigen, diese eine Lösung vorzuschreiben.
Mein Problem dabei: Als Nutzer einer freien Software (ich hab meine Kassensoftware selbst erstellt), werde ich sicherlich nicht die Ressourcen aufwenden, diese Kassensoftware mit all meinen laufend gemachten Änderungen vom BSI zertifizieren zu lassen. Eine externe Smartcard anzusteuern wäre ja noch im Bereich des machbaren, aber mit der aktuell diskutierten Lösung habe ich schlichtweg keine Chance, meine Umsätze über eine freie Kassenlösung zu erfassen.
Die Frage wäre, ob du INSIKA einsetzen darfst. Eventuell muss ja nur die eingesetzte Lösung zertifiziert sein und nicht das Gesamtsystem.
Falls sich jemand mit dieser Materie beschäftigt hat und ggf. auch genaueres zu den geplanten Anforderungen kennt, würde ich mich über Informationen freuen. Falls meine Befürchtung und Schlussfolgerung zutrifft, sollte die FSFE hier auch mal intervenieren.
Soweit ich in der Presse gelesen habe bedeutet diese Entscheidung, dass der Manipulation weiter Tür und Tor geöffnet bleibt.
Gibt es eigentlich freie Kassensysteme für z.B. Gastronomie mit signifikanter Verbreitung?
Das würde mich auch interessieren.
Viele Grüße Michael
Hallo,
Am 17.04.2016 um 15:00 schrieb Michael Kesper:
Hallo zusammen,
...
Gibt es eigentlich freie Kassensysteme für z.B. Gastronomie mit signifikanter Verbreitung?
Das würde mich auch interessieren.
Ich kann hier nur ein paar Erfahrungen aus "Nachfrager"-Sicht beisteuern: ich habe letztes Jahr dazu eine umfangreiche Recherche angestellt, weil ich auf der Suche nach eine Lösung für ein kleines Cafe war.
1. Erkenntnis: Kassensysteme werden normalerweise von Dienstleistern angeboten und sind geschlossene Systeme. Das geht so weit, dass man schlicht nichts erfährt, weder darüber, welches Programm eingesetzt wird, noch welches Betriebssystem o.ä. Kostenpunkt, je nach Ausstattung und Zubehör: einige tausend Euro.
2. Erkenntnis: Es gibt einiges an freien bzw. OpenSource-Programmen, die aber fast alle a) nicht den deutschen Regeln ("GDPdU") entsprechen bzw. auf diese konfiguriert werden können b) als Cloud-Systeme daherkommen (vor allem neuere, die auf mobile Endgeräte setzen, wobei man dann natürlich für die Cloud-Dienstleistung zahlt).
3. Erkenntnis: Genutzt habe ich dann POSper (http://posper.net/) auf einem Debian Jessie und entsprechender Hardware. Es handelt sich um ein Java-Programm auf Basis einer SQL-Datenbank, das wohl den deutschen Bestimmungen entspricht.
Es scheint nicht viele Nutzer von 2 oder 3 zu geben, zumindest habe ich nicht viel Infos oder größere Communities gefunden, vermutlich, weil die meisten Nutzer doch auf Dienstleister (siehe 1) zurückgreifen - was ich auch gut nachvollziehen kann.
Viele Grüße Irmhild
Hallo.
Am 17.04.2016 um 15:00 schrieb Michael Kesper:
Hier haben anscheinend Lobbyverbände Herrn Schäuble weichgeklopft. So wie ich die Sache verfolgt habe, hätte es die von dir gegebene einsatzbereite sichere Lösung gegeben, man konnte sich jedoch nicht darauf einigen, diese eine Lösung vorzuschreiben.
Ich halte es grundsätzlich auch für nicht rechtens, eine konkrete Lösung vorzuschreiben. Siehe z.B. die Windows-Pflicht für Steuererklärungen, sowas ist schlimm.
Außerdem bin ich ohne das recherchiert zu haben ziemlich sicher, dass sich auf der Smartcard eine propretäre Software befindet. Es wäre also einem Verbot gleich gekommen, ausschließlich freie Buchhaltungssoftware zu nutzen. Aber das ist jetzt ja nicht anders.
Die Frage wäre, ob du INSIKA einsetzen darfst. Eventuell muss ja nur die eingesetzte Lösung zertifiziert sein und nicht das Gesamtsystem.
So klingt es in den von Dennis verlinkten Texten. Leider ist das dann auch eine proprietäre Komponente, zumindest eine die vollständig vom Rest abgekapselt ist.
Soweit ich in der Presse gelesen habe bedeutet diese Entscheidung, dass der Manipulation weiter Tür und Tor geöffnet bleibt.
Kannst du das irgendwie mit Beispielen unterlegen? Was wäre der Angriffsvektor auf die Systeme nach neuer Verordnung?
Ich finde grade, dass die aktuelle Entwicklung weit über das Ziel hinaus schießt. Wenn ich nur noch zertifizierte (= besonders teure) Kassen einsetzen kann, baut man eine vergleichsweise hohe Grundlast auf dem Einzelhändler auf. Man verlangt hohe Investitionen in die Geschäftsausstattung, die jeder einzelne Händler tragen muss. Gemessen am Umsatz eines kleinen Einzelhändlers ist das vermutlich deutlich mehr Aufwand als das was große Aktiengesellschaften machen müssen um ihre Buchhaltung zu führen. Und wenn bei den großen mal 5% Umsatz vertuscht werden (was ja weiterhin technisch möglich bleibt), sollte das den Staat doch deutlich mehr stören als wenn das beim Einzelhändler technisch möglich wäre. Ein einzelner Mensch mit krimineller Energie im Großkonzern macht einen deutlich größeren Schaden als wenn unter den vielen Kleingewerben mal einer ist. Und ersterer haftet evtl. noch nichtmal persönlich!
Der Staat baut systematisch Vertrauen zum Fußvolk ab und ich halte das für keine gute Entwicklung.
Gruß, Bernd
Am Sonntag, 17. April 2016, 06:27:59 schrieb Bernd Wurst:
stattdessen soll eine Art Zertifizierung des BSI zur Vorschrift werden
Die entsprechenden Entwürfe findest Du hier:
http://www.bundesfinanzministerium.de/Content/DE/Gesetzestexte/Referentenent...
Gruß Dennis
Hallo Dennis.
Am 17.04.2016 um 19:09 schrieb D. Schreiber:
Die entsprechenden Entwürfe findest Du hier: http://www.bundesfinanzministerium.de/Content/DE/Gesetzestexte/Referentenent...
Danke.
Das liest sich so, als wäre eine Lösung wie INSIKA *auch* erlaubt. Versteht das noch jemand so? Das wäre zumindest eine Möglichkeit, mit einer proprietären Black-Box, die man auch mit freier Software einsetzen kann.
Generell finde ich Software, die nur in einer unveränderten Version eingesetzt werden darf aus Sicherheitsaspekten ein no-go, so ganz grundsätzlich.
Wenn wir hier von normalen Software-Zertifikaten reden würden, die der Autor oder Distributor einer Software selbst in Einsatz bringen kann um Software zu zertifizieren, dann wäre das kein Problem aber wir reden hier von einer Zertifizierung im Sinne eines Audit. Der kann entweder schlampig gemacht werden oder ist teuer und langwierig. Letzteres führt dazu, dass Hersteller ihre Sicherheitslücken lieber verschweigen werden als eine Neuzertifizierung anzustreben.
Gruß, Bernd
Hallo Bernd,
Das liest sich so, als wäre eine Lösung wie INSIKA *auch* erlaubt. Versteht das noch jemand so?
Du brauchst eine vom BSI zertifizierte " technische Sicherheitseinrichtung". Wenn diese im INSIKA-System enthalten ist, wirst Du diese wahrscheinlich auch einsetzen können.
Vielleicht einfach mal das für dich zuständige Finanzamt anfragen. Ich gehe mal davon aus, das bei einer Umsetzung des Gesetzesvorhabens auch weitere Erläuterungen seitens des BMF erfolgen werden.
Gruß Dennis
Hallo.
Am 19.04.2016 um 19:55 schrieb D. Schreiber:
Vielleicht einfach mal das für dich zuständige Finanzamt anfragen. Ich gehe mal davon aus, das bei einer Umsetzung des Gesetzesvorhabens auch weitere Erläuterungen seitens des BMF erfolgen werden.
Erfahrungsgemäß weiß das FA auch frühestens dann Bescheid, wenn die Verordnung rechtskräftig wird. Und falls man politisch intervenieren möchte, ist es dann einfach zu spät.
Gruß, Bernd