Heutzutage sollte es nicht mehr notwendig sein, über Passwortsicherheit zu sprechen. Es ist selbstverständlich, ein sicheres Passwort (ausreichend lang, mit Groß-, Kleinbuchstaben, Sonderzeichen und Ziffern) zu haben. Auch das regelmäßige Ändern des Passworts ist uns bereits in Fleisch und Blut übergegangen. Aber wie ist das nun mit einer Kasse, wie sicher muss die sein?
Sicherheit durch Zertifizierung oder Attestierung?
Dies ist wie beim Passwort: Welche Ebene oder Sicherheitsstufe möchte ich einsetzen.
In Frankreich sind Kassensysteme sicher sobald diese den ISCA-Regeln entsprechen. Das Einhalten dieser Regeln kann schon an sich schwierig sein und fordert den Kassenhersteller, in der Software-Architektur, den Prozessen während der Softwareentwicklung, im Qualitätsmanagement und auch im Updateprozess.
Sobald all diese Vorgaben erfüllt sind ist die Kasse gesetzeskonform oder wie man auch sage: Sie ist sicher! Der letzte kleine Schritt kann jetzt die Bestätigung durch eine Selbstattestierung sein. Eine einfache Vorlage welche ausgefüllt wird und dem Kassenbetreiber übergeben wird.
Oder es wird der aufwändigere Weg der Zertifizierung gewählt. Hier wird das Einhalten der ISCA-Regeln durch eine unabhängige Zertifizierungsstelle geprüft und am Ende ein Zertifikat über die Sicherheit ausgestellt. Dieses erhält auch der Kassenbetreiber als Beweis der gesetzeskonformen Kasse.
Einfach Zertifizieren
Sicher bleiben mit einem Zertifikat oder einer Testierung?
Auch hier gibt es die Parallele zum Passwort: Je älter das Passwort ist, desto unsicherer wird es.
Auch bei der Testierung ist es so! Kleine Änderungen an der Benutzeroberfläche der Kasse oder auch neue Features, welche die Fiskalisierung nicht betreffen werden schnell gemacht. Der Kassenbetreiber erhält ein Update und alle sind glücklich. Doch nach Monaten oder Wochen oder gar Tagen wird eine tiefergehende Änderung an der POS-Software durchgeführt. Beispielsweise wird eines Datenfeld für den Kassenbeleg eingeführt oder die Erstellung der Archive ändert sich. Und schon ist die ausgestellte Bestätigung ungültig. Jeder PosOperator muss jetzt eine neue Bestätigung für die aktuelle Software erhalten, genauso, wie Sie ein Passwort wieder ändern.
Bei der Zertifizierung ist es ähnlich. Nur hier wird der Kassenhersteller zum Aktualisieren gezwungen. Jedes Jahr muss er sein POS-System wieder auf den Prüfstand der Zertifizierungsstelle legen und ein neues Zertifikat erhalten. Dieses wird auch dem PosOperator zur Verfügung gestellt. Macht der PosCreator kein jährliches Audit, wird die Kasse nach spätestens 12 Monaten unsicher. Sie entspricht nicht mehr den Gesetzen.
Bei beiden Wegen ist eines wichtig: Die Software und die Bescheinigung müssen so aktuell wie das Passwort sein. Denn bei einer Kontrolle der Finanzbehörden, muss die Bescheinigung vorhanden sein.
Einfach konform bleiben
Sind die Daten in einer konformen Kasse sicher?
Wir haben auch noch die nächste Ebene der Kassensicherheit. So wie sie ihr Passwort vergessen können, ist es möglich, dass Kassendaten verschwinden.
Die Finanzbehörden schreiben ein Fiskalarchiv der Kassendaten vor. Jeder Kassenhersteller bietet es an, sonst wäre das POS-System nicht konform. Aber wie sieht es mit der Aufbewahrung aus? Der Kassenbetreiber speichert die Daten brav auf dem USB-Stick, Platz ist genug vorhanden. Die Jahre gehen ins Land und auf einmal ist der USB-Stick verschwunden und die Finanzbehörden stehen in der Tür! Jetzt hat der PosOperator wirklich ein Problem, denn die Daten wurden nicht sicher aufbewahrt.
Und noch schlimmer ist es wenn die Kasse überraschend defekt oder sogar gestohlen wird. Wo sind jetzt all die Daten der letzten Stunden, Tage, Wochen oder gar Monate? Weg! Denn ein Backup wird meistens in der Hektik der täglichen Arbeit vergessen. Dann wäre es gut, wenn diese Daten auf einem externen Speicher gespiegelt werden und idealerweise automatisch und ohne Eingriff des Benutzers.
Einfach sicher