Anzeigen

Anbieter von Lösungen zur elektronischen Steuerprüfung
Logo Audicon
Data Migration
Gisa
DATEV eG
Home  Kommentare

Wem nutzen fragwürdige Kassenzertifikate, für die wohl niemand haftet?

Von Gerhard Schmidt

24.03.2016

Gerhard Schmidt

Gerhard Schmidt 
Chefredakteur des "Forum Elektronische Steuerprüfung".

Mit dem Entwurf für ein Kassen-Gesetzes nebst technischer Durchführungsverordnung will die Finanzverwaltung Steuerbetrug durch manipulierte Kassensysteme konsequent eindämmen. Neben den bestimmt wirksamen Maßnahmen einer Kassen-Nachschau und einer Sanktionierung von Verstößen sollen auch zertifizierte technische Sicherheitseinrichtungen bei Kassensystemen kommen. Betrachtet man die geplanten Kassenzertifikate etwas genauer, stellen sich Fragen: Können die Zertifikate die Erwartungen des Fiskus überhaupt erfüllen? Wird das BSI als Zertifizierungsbehörde für seine Zertifikate haften? Wird es für den Außenprüfer vor Ort nicht noch schwieriger, weil die Kassenmanipulationen „notgedrungen“ noch raffinierter werden?

Dass jeder Art von Steuerbetrug ein Riegel vorgeschoben werden muss, ist für den ehrlichen Steuerbürger selbstverständlich. Dass Branchen, in denen Kassen eingesetzt werden, für Steuerbetrug äußerst anfällig sind, ist hinlänglich bekannt. Ebenso, dass der Fiskus bestrebt ist, hier immer energischer durchzugreifen. Nun will er dies mit einem „Kassengesetz“ nebst Durchführungsverordnung versuchen. Ein Referentenentwurf dazu liegt seit Mitte März 2016 vor.

Die drei zentralen Elemente der Entwürfe sind:

  • Zertifizierte technische Sicherheitseinrichtung in einem elektronischen Aufzeichnungssystem
  • Einführung einer Kassen-Nachschau
  • Sanktionierung von Verstößen


Kassen-Nachschau

Um Steuersünder auf frischer Tat zu ertappen, soll die Kassen-Nachschau ergänzend zu den bereits vorhandenen Instrumenten der Steuerkontrolle neu eingeführt werden. Die Kassen-Nachschau ist keine Außenprüfung sondern ein eigenständiges Verfahren zur zeitnahen Aufklärung steuererheblicher Sachverhalte. Wenn allerdings die bei der Kassen-Nachschau getroffenen Feststellungen hierzu Anlass geben, kann ohne vorherige Prüfungsanordnung zu einer Außenprüfung übergegangen werden.

Die Kassen-Nachschau ist sicherlich eine praktikable, erfolgversprechende Maßnahme.

Sanktionierung von Verstößen

Auch die geplante Sanktionierung von Verstößen als Ordnungswidrigkeit mit einer Geldbuße bis zu 25.000 Euro dürfte eine wirksame, auch abschreckende Maßnahme sein.

Zertifizierte technische Sicherheitseinrichtung

Die in der Gesetzesbegründung enthaltene Analyse der Finanzverwaltung ist sicherlich zutreffend: „Technische Manipulationen von digitalen Grundaufzeichnungen, wie Kassendaten sind im Rahmen von Maßnahmen der Außenprüfung immer schwerer oder nur mit hohem Aufwand feststellbar. Die bestehenden gesetzlichen Regelungen bieten keine ausreichenden Möglichkeiten, um Manipulationen von digitalen Grundaufzeichnungen, insbesondere Kassendaten, ohne großen Aufwand durch die Außenprüfungsdienste vor Ort aufzudecken.“

Doch was ist von der im Gesetzentwurf enthaltenen Lösung einer zertifizierten technischen Sicherheitseinrichtung zu halten? Kann sie den Prüfer tatsächlich wie gewünscht entlasten?

Mit ihrer Forderung nach zertifizierten technischen Sicherheitseinrichtung schlägt die Finanzverwaltung ein neues Kapitel auf in der langen Diskussion um die Zertifizierung von Software, die steuerlich relevante Daten erzeugt, verarbeitet oder aufbewahrt.

In den GoBD betont die Finanzverwaltung, dass sie Positivtestate zur Ordnungsmäßigkeit der Buchführung - und damit zur Ordnungsmäßigkeit DV-gestützter Buchführungssysteme - weder im Rahmen einer steuerlichen Außenprüfung noch im Rahmen einer verbindlichen Auskunft erteilt.

Bei Kassensystemen nun sollen Positivtestate gesetzlich vorgeschrieben werden. Die Logik dabei: Wenn nur noch positiv zertifizierte Kassen im Einsatz sind, dann ist der Manipulation von Kassen ein Riegel vorgeschoben und die Außenprüfer vor Ort haben es leichter. Zertifizieren soll das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Können die Zertifikate die Erwartungen des Fiskus erfüllen?

Betrachten wir erst einmal Software-Zertifikate zur GoBD-Konformität. Diese haben einen sehr bescheidenen Wert (Siehe dazu Editorial 08-2015 des Newsletters des „Forum Elektronische Steuerprüfung“). Diese Art von Zertifikaten wollen Softwareanbieter für Marketingzwecke nutzen.

Nutznießer der geplanten Kassen-Zertifikaten will dagegen der Fiskus sein. Das macht einen gewaltigen Unterschied hinsichtlich der Aussagekraft der Zertifikate, des für sie zu betreibenden Aufwands und der Haftung bei Einsatz der zertifizierten Software.

Ein GoBD-Zertifikat besagt, dass es wenigstens eine Möglichkeit gibt, die Software GoBD-konform einzusetzen. Ob die Software auch GoBD-konform eingesetzt wird, liegt in der Verantwortung des Anwenders.

Ein Kassen-Zertifikat muss besagen (ansonsten wäre es absurd), dass mit der Kassensoftware in keinem Fall manipuliert werden kann. Darauf will sich der Fiskus verlassen können. Aber auch der Anwender, der indirekt über seine Lizenzgebühren ja für das Zertifikat bezahlt.

Herausforderungen bei der Zertifizierung von Kassensystemen

Ein Kassen-Zertifikat stellt den Zertifizierer vor erhebliche Probleme. Es genügt hier bei Weitem nicht wie beim GoBD-Zertifikat, den Hersteller nur zu befragen, ob ihm die Anforderungen an eine Kassensoftware bewusst waren und wie er diese erfüllt hat, um das dann durch ein paar Blackbox-Tests zu plausibilisieren. Beim Blackbox-Test werden die Erwartungen an die Funktionalität einer Software formuliert und anhand einer begrenzten Anzahl ausgewählter Testfälle überprüft, ob die Software die Erwartungen erfüllt.

Hintertüren für Manipulation können mit einem Blackbox-Test nicht entdeckt werden. Das geht nur mit einem Whitebox-Test. Und das bedeutet: ran an den Programmcode. Zeile um Zeile, Programmverästelung um Programmverästelung müssen nachverfolgt werden. Die Software muss sozusagen semantisch völlig dekonstruiert werden, um konstatieren zu können: keine Manipulation möglich! Dazu muss man die entsprechende Programmiersprache beherrschen, über die Datenbank Bescheid wissen, über Schnittstellen ebenso etc. Dass die Software klar strukturiert ist, kann nicht erwartet werden, Bezeichnungen im Programmcode müssen nicht selbsterklärend sein, sondern können auch völlig in die falsche Richtung denken lassen. Mit solchen Widrigkeiten ist zu rechnen. Auf all das muss sich das BSI aber einlassen, wenn es die Ziele des BMF ernst nimmt. Ein Riesenaufwand, enorme Kosten.

Und das alles für eine einzige Programmversion! Denn sobald nur eine Programmzeile geändert wird, erlischt das Zertifikat quasi automatisch. Und eine Neuzertifizierung steht an.

Fragwürdige Zertifikatsqualität

So viel Aufwand wird das BSI für eine Zertifizierung sicherlich nicht spendieren. Geht auch gar nicht mit zwei Stellen im höheren Dienst, wie im Gesetzentwurf der Erfüllungsaufwand für das BSI kalkuliert ist. Mit entsprechenden Auswirkungen auf die Qualität der Kassen-Zertifikate.

Würde ein Wettbewerb unter Informatikstudenten ausgelobt (Preisgeld: zehn Kassen-Zertifikats-Gebühren, die das BSI den Kassenherstellern in Rechnung stellen wird) mit der Aufgabenstellung, eine Kassensoftware zu entwickeln, mit der das BSI hinters Licht und damit das BMF ob seiner technischen Naivität vorgeführt werden sollen, der Preis könnte wohl sehr schnell vergeben werden. Auch die Preissumme wäre durch Crowdfunding in der Gastronomie fix zusammen.

Mehr als butterweiche Zertifikate scheint das BMF selbst nicht zu erwarten, denn in der Gesetzesbegründung heißt es: „Mit der gesetzlichen Neuregelung sollen Manipulationen an digitalen Grundaufzeichnungen erschwert …  werden.“ Erschwert, nicht verhindert!

Durch das geplante Kassen-Gesetz wird der Aufwand für die Entwicklung von Software zur Kassenmanipulation einzig etwas höher geschraubt. Die Vertriebswege dafür verlagern sich ins Ausland, denn im Inland drohen jetzt dafür Sanktionen. Vorbei also die Zeiten, als auf Handelsmessen unverhohlen mit den Manipulationsmöglichkeiten der angebotenen Kassen geworben werden konnte. Doch was hat der Außenprüfer davon?

Haftet das BSI für seine Zertifikate?

Setzt nun ein Gastronom die preisgekrönte studentische, vom BSI-zertifizierte Kassensoftware ein, und ein Betriebsprüfer merkt, dass da etwas faul ist, was dann? Schütz das BSI-Zertifikat den Gastronomen vor Steuernachzahlungen und bewahrt ihn vor den neu eingeführten Sanktionen? Haftet das BSI vollumfänglich für seine Zertifikate? Gegenüber der Finanzverwaltung und gegenüber dem Kassennutzer? Das wäre bei einem belastbaren Zertifikat nur allzu folgerichtig. Wenn das Zertifikat aber lediglich aussagt „Etwas manipulationssicherere als der Status quo“ oder wie bei den GoBD-Zertifikaten „Gilt nicht grundsätzlich sondern nur bei regelkonformer Anwendung“ dann kann man sich die ganze Kassen-Zertifiziererei getrost schenken.

Baumuster-Zertifikate müssten durch Kasseneichung ergänzt werden

Selbst wenn die Kassen-Zertifikate in jedem Fall unanfechtbar wären, bleibt die Frage, ob derartige Baumuster-Zertifikate für die Zielstellung des Fiskus überhaupt ausreichend wären. Manipuliert wird schließlich nicht mit dem Baumuster sondern mit dem konkreten Kassengerät. Das müsste geeicht werden! Eichung bedeutet ja nichts anderes als die vom Gesetzgeber vorgeschriebene Prüfung eines Messgerätes auf Einhaltung der zugrundeliegenden rechtlichen Vorschriften. In ihrer Grundfunktion ist eine Kasse ein Messgerät: für Bargeldeinnahmen und -ausgaben.

Die Eichung einer Kasse würde bedeuten, dass überprüft wird, ob es sich bei ihrer Software um eine (streng!) zertifizierte Software handelt, die auf eine (in Teilen vielleicht ebenfalls zertifizierte) Hardware aufgespielt ist, was durch ein Eichsiegel bestätigt wird. Das (wie auch immer geartete) Eichsiegel bricht bei der kleinsten Veränderung an Soft- und Hardware (vom normalen Softwareupdate bis zur Manipulation).

Die Eichung von Kassensystemen wäre das im Referentenentwurf für ein Kassengesetz angelegte Konzept des Fiskus konsequent zu Ende gedacht.

Fazit

Die Finanzverwaltung hat die Probleme im Kassenbereich klar analysiert. Die im Referentenentwurf für ein Kassengesetz vorgesehene Einführung einer Kassen-Nachschau, sowie die Sanktionierung von Verstößen im Umgang mit Kassen, sind geeignete Mittel, die Probleme einzudämmen.

Zertifikate für eine technische Sicherheitseinrichtung dagegen können Kassenmanipulationen zwar etwas erschweren, doch nicht verhindern. Intelligentere Manipulationssoftware wird auf den Markt kommen, mit der Folge, dass der Außenprüfer vor Ort manipulierten Kassen noch schwerer auf die Spur kommt als bisher.

Aktuell scheut die Finanzverwaltung noch davor zurück, ihre Ideallösung für manipulationssichere Kassensysteme zu präsentieren: die universelle Kassensoftware in der Fiskus-Cloud. Daran sind die Kassen aller Unternehmen via Internet angebunden. Die Kasse fungiert dann nur noch als Terminal und nicht mehr als eigenständiges, manipulierbares System.

Die digitale Transformation wird um die Finanzämter keinen Bogen machen. Irgendwann werden wir die Finanzverwaltung 4.0 mit der Fiskus-Cloud haben.

Newsletter
 hier abonnieren