Interview Dr. Kim Nguyen und Matthias Robeck
Nachdem die Deutsche Fiskal Ende September 2020 zum ersten Mal die vollständige Zertifizierung ihrer gemeinsam mit D-Trust, einem Unternehmen der Bundesdruckerei Gruppe, entwickelten Cloud-TSE Lösung erhalten hatte, startete kurz darauf der Regelbetrieb der Fiskal Cloud. Seit Januar wurden kontinuierlich weitere Kunden auf das System aufgeschaltet, so dass mittlerweile annähernd vier Milliarden Transaktionen gezählt werden konnten. Im Interview blicken die Geschäftsführer der D-Trust, Dr. Kim Nguyen, und der Deutschen Fiskal, Matthias Robeck, auf drei Jahre gemeinsame Arbeit mit Höhen und Tiefen zurück und geben einen Ausblick auf Pläne für die nächste Zeit.
Für die Fiskal Cloud werden in Kürze 27 verschiedene Betriebssysteme zertifiziert sein. Warum war dies nötig?
Kim Nguyen: Diese hohe Anzahl an Zertifizierungen folgt aus den Anforderungen des BSI, die eine Sammelzertifizierung für ein Betriebssystem nicht zulassen. Daher mussten wir alle bei unseren Kunden eingesetzten Varianten zertifizieren lassen, um hier die notwendige Rechtssicherheit zu erhalten. Dafür mussten jeweils vorgegebene Testfälle geprüft werden, um sicherzustellen, dass alle Anforderungen des BSI an eine sichere Lösung erfüllt werden.
Matthias Robeck: Mit der planmäßigen Ausweitung der Zertifizierung bedienen wir jetzt alle gängigen Windows- und Linuxversionen, die auf PC-basierten Geräten in Handel und Gewerbe zum Einsatz kommen. Damit kann die Fiskal Cloud je nach Voraussetzung auf Seiten des Kunden auf Kassen, Backoffice-Servern, unserem dedizierten Fiskal Cloud Router, in Rechenzentren, sowie auf Android-Geräten und bei reinen Cloudinstallationen unter iOS eingesetzt werden.
Sie haben schon 2019 als einer der ersten Cloud-Anbieter mit der Zertifizierung begonnen. Warum hat es trotzdem so lange gedauert, diese Zertifizierungen zu erhalten?
Kim Nguyen: Der gesamte Zertifizierungsprozess folgt einer vorgegebenen Struktur: Zunächst müssen die grundlegenden Architekturüberlegungen mit dem BSI abgestimmt werden; dabei hat sich zu Beginn beispielsweise herausgestellt, dass mehrere ursprünglich von uns entwickelte Architekturideen nicht mit den mehrfach, teilweise sehr kurzfristig geänderten Anforderungen des BSI in Einklang zu bringen waren. Danach folgten Abstimmungsläufe und Anpassungen auf Seiten der Software. Anschließend mussten die vier notwendigen Teilzertifizierungen (PKI, CC CSPL, CC SMAERS und TR 03153) bei einem akkreditierten Zertifizierer durchgeführt werden. Dabei mussten pro Betriebssystemvariante sehr viele Testfälle erfolgreich abgeschlossen werden. Trotz dieses langwierigen Zertifizierungsprozesses waren wir bereits im September 2020 Anbieter der ersten vollständig zertifizierten Cloud-Lösung für TSE im Markt.
Matthias Robeck: Die größte Herausforderung bestand darin, die vielen Stakeholder mit den Cloudanforderungen vertraut zu machen. Dies war sehr oft Neuland. Zum einen betraf es die sichere Transaktionssignierung für Kassenbelege im Handel und in der Wirtschaft. Zum anderen war aber auch das Thema Umsetzung der Fiskalisierung in der Cloud komplett neu zu entwickeln. Dies bedurfte mehrerer Iterationsstufen in der Definition und Konkretisierung der Anforderungen, die naturgemäß einen derartigen Prozess verlangsamen. Wir hatten bereits im Spätsommer des letzten Jahres die Zertifizierung nach den seinerzeit geltenden Anforderungen nahezu vollständig durchlaufen. Die größeren Änderungen im November seitens des Zertifizierers hatten nochmals Anpassungen auf unserer Seite erforderten. In der Folge hat dies den Prozess erneut um mehrere Monate verlängert. Am Ende kommt es aus unserer Sicht auf eine partnerschaftliche Zusammenarbeit von Behörden, Anbietern und auch Händlern an, um solche Themen in Zukunft mit mehr Vorlauf abklären zu können.
Noch einmal zum Thema Betriebssysteme. Sie haben auch eine Android-Version angekündigt. Wie ist hier der Status? Und kann man auch schon etwas zum Thema iOS sagen?
Kim Nguyen: Wir wissen, dass sich unsere Kunden eine native Android-Version sehr wünschen, um auch ihre mobilen Geräte gesetzeskonform mit der Fiskal-Cloud zu verbinden. Wir haben die Entwicklungsarbeiten bereits abgeschlossen und sind zuversichtlich, die Zertifizierung in naher Zukunft wie geplant zu erhalten.
Matthias Robeck: Beim Thema Android ist noch zu ergänzen, dass die Variante Fiskal Cloud Connector für Android Offline – aufbauenden auf einer Hardware TSE aus dem Hause der Bundesdruckerei – bereits verfügbar ist und von Kunden eingesetzt wird. Mit dem Fiskal Cloud Connector für Android – der online Variante - runden wir hier unser Portfolio ab. Und natürlich bewegt uns das Thema native iOS Lösung auch schon lange, ist aber auf Grund der Besonderheiten des Betriebssystems von Apple nicht auf die gleiche Weise wie das offenere Android umzusetzen. Wir bereiten gegenwärtig eine Lösung vor, die den Anforderungen entspricht. Aktuell können iOS-Geräte bereits über ein Zusatzgerät (Fiskal Cloud Router) mit der Fiskal Cloud oder für Cloudkassensysteme als Cloudinstallationen verbunden werden. Hierfür hat der Gesetzgeber sehr klare Regeln auf seiner Webseite veröffentlicht.
Ihre aktuelle Zertifizierung läuft nur bis zum 31. Juli 2022. Warum ist die Befristung so kurz?
Kim Nguyen: Zunächst einmal sind Zertifizierungen immer befristet. Daher muss auch bei Hardware-Lösungen stets eine Rezertifizierung erfolgen. Zudem haben die benötigten vier Zertifikate in der Regel unterschiedliche Laufzeiten. So müssen etwa die technischen Richtlinien für die PKI in kürzeren Abständen turnusmäßig überprüft werden. Das Fazit: Es wird immer Ablaufdaten geben. Wir haben allerdings durch unsere zahlreichen Gespräche und durch Arbeitskreis TSE bei der Teletrust aktiv dazu beigetragen, dass sich die Fristen mit dem Einspielen der Prozesse verlängert haben. Wichtig ist mir: Lediglich eine unserer vier Zertifizierungen hat diese kurze Laufzeit, nämlich die TR 03153. Die CC-Zertifizierungen für CSP light und SMAERS laufen hingegen bis zum 28. Januar 2026. Die PKI-Zertifizierung muss ohnehin jährlich auditiert werden.
Matthias Robeck: Die Deutsche Fiskal und D-Trust haben diese Thematik immer transparent dargestellt, ihre Zeitpläne kommuniziert und auch eingehalten. Daher können unsere Kunden darauf vertrauen, dass sie immer eine rechtssicher einsetzbare Lösung haben.
Es gab in den vergangenen Monaten viele Diskussionen um das Thema Umgebungsschutz, der in der Umsetzung eine Herausforderung sein kann. Wofür wird der Umgebungsschutz eigentlich benötigt und wie ist hier die aktuelle Situation?
Kim Nguyen: Der Umgebungsschutz soll sicherstellen, dass die lokal betriebene Komponente (SMEARS) nicht manipuliert werden kann. Dafür muss zwingend bei der Zertifizierung ein Umgebungsschutzkonzept vorgelegt werden, das die weitreichenden BSI-Vorgaben sicherstellt. Dies kann je nach technischer Ausstattung der Anwender die Umsetzung durchaus herausfordernd machen. D-Trust und die Deutsche Fiskal waren daher Gründungsmitglieder des Arbeitskreises TSE bei der Teletrust. Unser Ziel: Wir wollen dazu beizutragen, solche und ähnliche Herausforderungen gemeinsam mit allen Beteiligten zu klären und auf eine umsetzungsfähige Lösung hinzuarbeiten.
Eine aktuelle Diskussion im Zusammenhang mit den Cloudlösungen geht darum, ob die lokale Komponente wirklich notwendig ist, oder ob lediglich in der Zentrale eine Installation notwendig ist. Was steckt dahinter?
Matthias Robeck: Wir waren ursprünglich auch davon ausgegangen, dass wir die übliche sichere Internet-Kommunikation basierend auf SSL/TLS mit Standardprotokollen basierend auf Webservices für die Datenübertragung nutzen können. Eine Anforderung des BSI war jedoch, dass eine spezielle Komponente (SMAERS) vor Ort – konkret in unmittelbarer (zeitlicher und örtlicher) Nähe zum Aufzeichnungssystem – zu installieren ist. Das haben wir mit dem Fiskal Cloud Connector umgesetzt. Dabei stellte sich auch die Frage, was ein elektronisches Aufzeichnungssystem (EAS) konkret ist. Die Antwort darauf ist, dass es sich um ein EAS handelt, sobald darauf Daten (temporär) gehalten werden und es sich nicht nur eine Oberfläche wie z.B. bei einem Browser zur Eingabe und zum Empfang von Informationen handelt.
Können Sie das etwas näher erläutern bitte?
Matthias Robeck: Das Bundesministerium der Finanzen hat eindeutig ausgeführt, dass mobile Endgeräte dahingehend zu unterscheiden sind, ob sie selbst ein (Teil eines) Aufzeichnungssystem(s) sind, oder als Eingabegerät zu qualifizieren sind. Sobald ein Gerät offline, ohne Anbindung an eine andere zentrale, die Aufzeichnungen führende Kasse betrieben wird, handelt es sich um ein selbständiges Aufzeichnungssystem und es ist selbst unmittelbar, also in zeitlicher und örtlicher Nähe, an eine TSE anzubinden. Wenn die Funktionen des Geräts hingegen nicht über die Funktionen z.B. einer Tastatur hinausgehen, handelt es sich um ein Eingabegerät. In diesem Fall werden die erfassten Daten unmittelbar – ohne Zwischenspeicherung – nach Erfassung an ein mit einer TSE verbundenes Aufzeichnungssystem übergeben. Daher ist aus unserer Sicht zurzeit ein reiner Webservice ohne lokale Komponente leider nicht umsetzbar, solange eine Datenverarbeitung inkl. (temporärer) Speicherung auf dem lokalen mobilen Endgerät stattfindet.
Kim Nguyen: Natürlich kann der Fiskal Cloud Connector auch als zentrale Installation umgesetzt werden. Das würde die Umsetzung des Umgebungsschutzes erleichtern. Aus den von Matthias genannten Gründen ist dies jedoch derzeit nur unter sehr eingeschränkten Voraussetzungen möglich.
Sie erwähnten beide mehrfach die Zusammenarbeit mit dem BSI. Wie hat sich diese in den vergangenen Monaten entwickelt?
Kim Nguyen: Das BSI hat vom Gesetzgeber die Aufgabe erhalten, den technischen Rahmen für die Fiskalgesetzgebung zu definieren. Das ist jüngst bei der Neufassung der Kassensicherungsverordnung bestätigt worden. Um die Verfahren so sicher wie möglich zu machen, greift das BSI auf langjährige Erfahrungen und aktuelle Risikoeinschätzungen zurück. Dies ist auch im Interesse aller steuerehrlichen Unternehmen und wir unterstützen das vollständig. Natürlich mögen die Entwickler von Lösungen nicht jede Vorgabe, jedoch entstehen diese ja nicht im luftleeren Raum, und wir konnten sie bislang auch immer umsetzen. Um noch besser zusammenzuarbeiten, haben wir den bereits von mir erwähnten Arbeitskreis bei der Teletrust gegründet. Dieser hat unter anderem das Ziel, den Anbietern eine gemeinsame Stimme zu geben und eine einheitliche Sichtweise zu entwickeln. Das wird allen Beteiligten sicher nützen.
Wie wird es jetzt weitergehen mit dem Thema Fiskalisierung? Was kann der Markt von Ihnen noch erwarten?
Matthias Robeck: Es gibt und wird weitere Änderungen seitens des Gesetzgebers geben, es gibt neue Anforderungen und Wünsche unserer Kunden sowie neue Funktionen. Wir haben bereits als Zusatzprodukt das Fiskal Cloud Archiv entwickelt, um unseren Kunden die rechtssichere Speicherung und Zurverfügungstellung der Transaktionsdaten zu ermöglichen. Und selbstverständlich haben wir eine gut gefüllte Roadmap mit spannenden Funktionserweiterungen und breiteren Services, die wir unseren Kunden anbieten werden. Darüber hinaus schauen wir natürlich, welche Bereiche wir mit unserer erprobten Lösung zusätzlich erreichen können.
Fast vier Milliarden Transaktionen aus der Cloud, zahlreiche gemeinsame Kunden und ein sehr erfolgreiches Produkt – wie bewerten Sie beide die Zusammenarbeit ihrer Unternehmen in diesem Projekt?
Kim Nguyen: Zunächst einmal bin ich – und hier spreche ich sicher für alle Beteiligten – sehr stolz auf das bisher Erreichte: Erstens haben wir es trotz enger Zeitpläne und mehrfach geänderter Rahmenbedingungen geschafft, dieses Projekt gemeinsam zu stemmen. Und zweitens entspricht unser Service den hohen Erwartungen unserer Kunden an Datendurchsatz und Responsezeit. Das war nur möglich, weil wir zusätzlich zum technischen Know-how auch in der Zusammenarbeit der Teams und auf der persönlichen Ebene ein hervorragendes Verhältnis aufgebaut haben. Zusammenarbeit lebt vom Vertrauen. Als Hobby-Dirigent von Chören und Orchestern kann ich nur sagen: Es ist letztendlich wie in der Musik: Nur wenn alle Stimmen im Einklang singen, klingt ein Stück richtig gut. Das haben wir geschafft, und das macht mich sehr glücklich.
Matthias Robeck: Ich kann mich dem nur anschließen. Von den ersten Gesprächen, die Kim und ich 2018 über eine mögliche Partnerschaft führten, über die vielen gemeinsam erreichten Projektmeilensteine bis heute war es eine fruchtbringende Zusammenarbeit, die viel Spaß gemacht hat. Wir haben es geschafft, die Teams aus zwei unterschiedlichen Unternehmen mit verschiedenen Abläufen, Kulturen und Prozessen zu einer Einheit zusammenzuschweißen, die alle Hürden genommen hat. Dabei haben wir uns ideal ergänzt. Das Team der Bundesdruckerei Gruppe hat sein ausgeprägtes Spezial-Know-how im Bereich Hochsicherheitstechnologie eingebracht, das Team der Deutschen Fiskal hat dieses um tiefgehendes Handelswissen ergänzt. In der Summe haben wir eine starke Lösung geschaffen, die für unsere Kunden eine neue Herausforderung bewältigt. Dabei waren Qualität, Transparenz und Termintreue die wichtigsten Leitplanken unseres Handelns. Die große Anzahl Kunden aus verschiedensten Bereichen von Handel und Gewerbe zeigen uns, dass unsere Teams hier sehr gute Arbeit geleistet haben und es ist mir ein Bedürfnis, gemeinsam mit Kim allen Beteiligten ausdrücklich zu danken.
