FAQ You, Bonpflicht!

Seit dem neuen Jahr wird mein Erklärartikel zu den Kassenbons in sozialen Medien eifrig geteilt. Dabei sind viele Fragen aufgetreten, die ich hier mal zusammenfasse.

Es gibt doch sichere Kassen, warum also noch Bons?

Nein, es gibt keine sicheren Kassen in Deutschland — zumindest nicht aus Sicht des Finanzamts. Es gibt in Deutschland mehrere Hundert verschiedene Kassenhersteller. Auf denen kann eine Vielzahl von Software installiert sein – mitunter sogar ein völlig veraltetes Windows. Und deshalb kann man auch verschiedene Programme ausführen oder die offiziellen Kassenprogramme mitunter sehr einfach umschreiben. Es wird sicher viele Abzeichen und Siegel geben, dass eine Kasse einen Funktionstest bestanden hat. Das hat aber wenig mit Sicherheit vor gezielter Manipulation zu tun.

Aber die neuen Gesetze schreiben doch sichere Kassen vor?

Jein, mit Betonung auf Nein. Vorgeschrieben ist ab 2020 ein so genanntes TSE — eine Technische Sicherheitseinrichtung — wenn man denn eine Registerkasse hat. Das TSE ist ein Speicher mit einem zusätzlichen Sicherheitselement. Im Prinzip ein USB-Stick oder eine SD-Karte mit einem Extra-Chip, die in die altbekannten Kassen eingesetzt werden. Was darauf einmal gespeichert ist, kann der Kassenbesitzer nicht mehr einfach herunterlöschen. Der bis dahin übliche Trick, einfach am Abend Buchungen aus dem elektronischen Kassenbuch zu löschen ist damit nicht mehr möglich. Stornos gehen immer noch — aber die müssen transparent gespeichert werden.

Also ist alles gut. Weshalb die Bons?

Kryptografie kann nicht zaubern. Selbst wenn man die besten Algorithmen verwendet und die sichersten Schlüssel — sie können nicht für sich selbst stehen. Mit installiertem TSE hat der Steuerfahnder eine Buchführung und eine Garantie vorliegen, dass diese tatsächlich so eingegeben wurde. Doch wer sagt ihm, dass die Eingabe stimmt? Hierzu sind die Bons gut, denn darauf ist eine Art digitalen Stempel enthalten.

Warum kann nicht nur dann ein Bon gedruckt werden, wenn ein Kunde das will?

Zunächst einmal: Gedruckt werden muss gar kein Bon — sie können auch elektronisch übermittelt werden. Bis auf den E-Bon von Rewe für Payback-Kunden ist mir aber keine massenfähige Lösung bekannt, die schon im breiten Einsatz wäre. Es gibt viele Ideen und Startups, aber noch wenig Umsetzungen. Ein Hersteller hat mir im Dezember eine begeisterte Pressemitteilung geschickt. Auf meine zweimalige Nachfrage, wo das tolle neue System denn im Einsatz sei, habe ich bis heute keine Antwort.

Zurück zum Thema: Warum soll denn ein Bon ausgedruckt werden, wenn der Kunde das gar nicht will?

Kernproblem ist: Der Staat will sicherstellen, dass ein Gewerbetreibender nicht einfach jeden Kauf löscht, der nicht mit einem Bon verbunden ist. Trotz der TSE wäre das weiterhin möglich. Denn wenn die Kasse keine Buchung schreibt, kann das TSE keine Manipulation verzeichnen. Und wie gesagt: Nichts hält den Kassenbesitzer wirklich davon ab, die Software zu manipulieren. Der Fantasie sind kaum Grenzen gesetzt. Alle Buchungen ohne Bon könnten ins Nichts geschrieben werden. Oder ein verkauftes Motorrad könnte als Weizenbrötchen im Speicher landen. Die Bundesregierung hat auch von der Einführung einer ähnlichen Sicherheitseinrichtung in Österreich gelernt, wo diese Lücke nicht ganz geschlossen wurde. Die Lösung ist: Ein Kassenbesitzer darf vorher nicht wissen ob ein Kunde einen Bon/E-Bon verlangen wird.

Der Bon sagt das doch auch nicht?

Nun: Der Bon erschwert den Betrug doch ganz erheblich. Zum einen sieht jeder Kunde, ob ein Bon aus der Kasse kommt. Der Steuerhinterzieher hat also plötzlich eine Vielzahl von Mitwissern. Und wenn das Finanzamt zur unangemeldeten Kassennachschau anrückt — diese Befugnisse des Finanzamts wurden auch grade sehr erweitert — können die auch mal eben ein Brötchen, eine Pizza oder eine Bohrmaschine kaufen und sehen, was die Kassierer machen.

Ist in den Kassen wirklich eine Blockchain?

Nein, nicht wirklich. Aber etwas verwandtes. Auf jedem Bon muss nicht nur die Seriennummer des TSE vermerkt sein, sondern auch eine kryptografische Signatur. Darin ist nicht nur festgehalten, was auf dem Bon steht — sondern auch eine Art kryptografischer Fingerabdruck des ganzen Kassenbuchs. Wenn das Finanzamt dann diese Signatur mit den elektronischen Aufzeichnungen vergleicht, muss jede Manipulation auffallen.

Auf meinen Bons ist aber keine tolle Signatur zu sehen. Wieso?

Auf meinen Bons leider auch noch nicht. Grundproblem: Die TSEs wurden grade erst vor Kurzem vom BSI zertifiziert und werden nun produziert. Erst wenn die neuen Speicher montiert sind, werden nach und nach die Signaturen auf den Kassenzetteln zu sehen sein. Die Bonpflicht gilt dennoch bereits. Die Finanzämter verfolgen es lediglich bis September nicht, wenn die TSEs und damit die Signaturen fehlen.

Aber das System ist doch ganz leicht zu umgehen!?

Nein.

Muss ein Kunde den Bon mitnehmen wie in Italien?

Nein. Dank der Signatur ist es unnötig, viele Belege von Kunden einzusammeln, wenn eine Kassenprüfung ansteht.

Aber ich hab eine ganz tolle Idee! Was wäre, wenn…?

Ich habe mir in den letzten Wochen bestimmt 50 solcher Ideen angehört. Keine hatte auch nur ansatzweise mit den Sicherheitsmechanismen auseinandergesetzt. Wer sie nachlesen will, kann sich zum Beispiel durch diese 111 Seiten vom Bundeszentralamt für Steuern wühlen. Das ist nur eins von vier wesentlichen Dokumenten, aber es hat einen unbestreitbaren Vorteil: Der untere Teil des Bons wird hierin tatsächlich „Bonpo“ genannt.

Aber es soll doch nicht mal Bußgelder geben, wenn man keine Bons ausgibt. Warum sollte ich überhaupt mitmachen?

Natürlich kann man weiterhin einfach in die offene Kassenlade Geld einnehmen und nichts in die Kasse eintippen. Die Entdeckungswahrscheinlichkeit ist halt sehr viel höher. Ob die neue Gesetzeslage erfolgreich sein wird, hängt auch wesentlich davon ab, wie effektiv die Steuerfahndung kontrolliert. Hier haben die Landesregierungen die Zügel in der Hand. Ich vermute, dass die Gesetzgebung in den kommenden Jahren nachgebessert wird. Etwa wäre eine Erleichterung denkbar, dass Mini-Beträge nicht mehr in jedem Fall gebont werden müssen. Oder auch eine Bußgeldvorschrift, um die Bonpflicht durchzusetzen.

Warum werden die Kleinen kontrolliert und nicht die Cum-Ex-Betrüger, die so viel mehr Schaden verursachen?

Nun, das wissen wir nicht, es ist aber sehr unwahrscheinlich. Zur neuen Gesetzgebung wurden Schätzungen angeführt, die alleine durch Registrierkassenbetrug von einem jährlichen Schaden von fünf bis zehn Milliarden Euro ausgehen. Es gibt auch wesentlich höhere Schätzungen. Vor kurzem haben Richter in Osnabrück errechnet, das ein Betrüger-Duo ohne technische Ausbildung oder die Unterstützung einer kriminellen Organisation alleine einen Schaden von einer Milliarde Euro angerichtet hat. Und das war bei weitem kein Einzelfall. Die meisten Betrüger von damals dürften aber nicht erwischt werden, da die Kassen bisher viel zu einfach zu manipulieren waren.

Warum zwingt der Staat Gewerbetreibenden so viel Thermopapier auf? Das ist Sondermüll!

Nun: Soweit ich weiß, gibt es keinerlei Verpflichtung, Thermopapier zu verwenden. Realistisch betrachtet wird der Thermopapier-Verbrauch aber zunehmen. Immerhin: Ab diesem Jahr gelten auch neue Umweltvorschriften, so dass das Thermopapier zumindest deutlich weniger schädlich sein soll. Wer will, kann sich auch bei Spezialhändlern mit „Ökobons“ eindecken. Wenn ihr jedoch wütende Protestplakate beim Bäcker seht: Fragt doch mal, warum sie überhaupt eine Registrierkasse da stehen haben. Denn bis heute besteht in Deutschland keine allgemeine Pflicht, eine solche Computerkasse zu haben. Und ohne Computerkasse gibt es auch keine Bonpflicht. Man muss dann halt ein altmodisches Kassenbuch führen, das weder an die Warenwirtschaft angeschlossen ist, noch verhindert, dass sich ein Kassierer heimlich an den Firmenumsätzen bedient.

Wir brauchen bessere WLAN-Einstellungen

Die Süddeutsche Zeitung berichtet über eine neue Schwachstelle im Kurznachrichtendienst RCS. Darin wird der Angriffsvekor beschrieben:

Um eine solche Falle aufzustellen, brauchen Hacker wenig mehr als einen Laptop. Fake-Hotspots könnten kriminelle Hacker beispielsweise am Flughafen neben einer Airline-Lounge betreiben, um potenziell lukrative Opfer zu finden. Sobald die Zielperson in dem falschen Wlan eine Website aufruft, leiten die Hacker die Anfrage auf eine von ihnen kontrollierte Webpage. Das Opfer kann sich dagegen nicht wehren.

Vielleicht sollten wir dies auch als Sicherheitslücke begreifen. Denn der normale Android-Nutzer hat keinerlei Möglichkeiten, Fake-APs zu erkennen. Schlimmer noch: Das Gerät übernimmt es für ihn, sich in ungesicherte Netze einzuwählen.

Ein Beispiel: Ich habe mich neulich an einem privaten Router eingeloggt, der noch die Standard-Kennung für das WLAN nutzte. „FRITZ!Box 6490“ oder ähnliches. Kurze Zeit später bemerkte ich, dass mein Datenverkehr beim weg durch die Stadt immer wieder mal stockte und dass unvermutet eine WLAN-Verbindung angezeigt wurde. Die Lösung: Mein Handy versuchte sich schlicht bei jedem der Router mit diesem WLAN-ID einzuloggen. Was nicht klappt, da die Netze passwortgeschützt sind. Und es gibt Tausende davon.

Ein Screenshot einer WLAN-Liste

Ich habe vergeblich nach einer Möglichkeit gesucht, dies abzuschalten. Der Android-Dialog zu WLANs bietet jedoch keinerlei Option dafür. Obwohl jeder Router eine eindeutige MAC-Adresse hat, unterscheidet Android nicht. Ich kann mir die MAC-Adresse eines Routers auch nicht anzeigen lassen, um zu entscheiden ob es der richtige ist. Erst wenn ich mich bereits verbunden habe, bietet mir Android an, die Details zu dem Netzwerk nachzulesen. Darunter sind die Geräte-IP, der Verschlüsselungs-Standard und die MAC-Adresse. Damit anfangen kann ich jedoch nichts.

Dabei wäre die Lösung relativ einfach. Neben der Option ein Netzwerk zum Autologin zu wählen oder nachträglich zu löschen, sollten wir auch die Möglichkeit haben, uns nur bei einem bestimmten Router einzuloggen. Natürlich bietet eine MAC-Adresse keinen vollendeten Schutz – ein Hacker kann sie ja beliebig manipulieren. Jedoch kann sie dem Nutzer eine Möglichkeit geben, die Gefährdung wesentlich zu reduzieren.

Neben dem Sicherheit- wäre es auch ein Komfort-Gewinn. So musste ich zum Beispiel die Freifunk-APs aus meiner WLAN-Liste nehmen, weil mir die Datenverbindung immer wieder abhanden kam. Solange eine WLAN-Verbindung erhältlich ist, krallen sich Smartphones daran und lassen den Mobilfunk außen vor. Der Empfang von Freifunk ist jedoch meist schlecht, die Datenrate unterirdisch. Und plötzlich setzen Streams aus, Chat-Nachrichten kommen nicht an, dringende Emails gelangen nicht zu mir.

Lange Rede, kurzer Sinn: wir brauchen bessere WLAN-Einstellungen. Warum hatten wir sie nicht von Anfang an?

Das Positive an #0zapftis

Schockierende Nachrichten

Die beiden Lenker von RSA, Art Coviello (Chairman) und Tom Heiser (President), nutzten ihre jeweiligen Eröffnungsansprachen zur RSA Conference in London, um Einzelheiten der Angriffe im März zu erläutern. Coviello sagte, dass es sich beim Angreifer um einen Staat handeln müsse. Der Angriff sei zu ausgefuchst, als dass andere Angreifer in Frage kämen.

Das Positive: Deutschland gehört nicht zu den verdächtigen.

iphone-Apps: Don’t update

Das iPhone und der iPod Touch haben etwas, was ich unter Linux sehr schätze und unter Windows immer noch schmerzlich vermisse: Einen Paketmanager. So kann man immer sicher stellen, dass man die aktuelle Software parat hat, hat immer die neusten Features und die wenigsten Sicherheitslücken.

Doch leider vermasseln sie es grade Mal wieder. Nicht nur die Beschränkung auf die gnädigerweise von Apple genehmigten Anwendungen ist ein Makel, der komplette Sinn des Paketmanagers wird ins Gegenteil verkehrt. Statt immer bessere Funktionen und Software zu haben, hat man plötzlich immer weniger Funktionen.

Hier ist ein aktueller Fall – bei weitem nicht der einzige. Bei anderen Apps werden irgendwelche Pseudo-Funktionen nachgeschoben, um ganz nebenbei Werbung in die zu integrieren – dabei ist auf kleinen Bildschirmen jedes Pixel kostbar. Oder es werden wesentliche Funktionen entfernt und in eine Bezahl-Applikation transferiert.

Mein Rat daher: wenn kein wirklich guter Grund für ein Update besteht, sollte man es derzeit vermeiden.

Die Kinderporno-Bots

Netzpolitik.org über die Bundestagsanhörungen zum Thema Kinderporno-Sperren:

Laut Maurer wird Kinderpornografie im Netz per Botnet-Spam beworben, die Links zu entsprechenden Seiten beinhalten. Eine Sperrung der Seiten mittels Stopp-Seite könne User in einer solchen Situation auf die Unrechtsmäßigkeit hinweisen und Access-Versuche gleich noch protokollieren.

Das klingt logisch. Die pauschale Sperrung für Kinderporno wird durch massenhaften Spam bedingt. Ich hab zwar nie solchen Spam gesehen, aber es klingt logisch. Dann gehen die BKA-Erläuterungen aber weiter:

Nach seinen Vorschlägen schickt schickt das BKA dann täglich 10 Uhr eine Liste mit Domains auf sicherem Weg an ISPs, welche diese dann innerhalb von 6 Stunden in ihr Filter-System pflügen, damit die Seiten spätestens 24 Stunden später für Endnutzer gesperrt sind.

Nach den Informationen die ich bekommen habe, sind die allermeisten Kinderporno-Seiten – von denen übrigens 80 Prozent in den USA gehostet werden – nur wenige Stunden erreichbar. Ein täglich aktualisierte Liste kann hier keinen Blumentopf gewinnen. Das BKA bekäme dann nur noch eine Statistik, wie viele Leute vermeintlich einen Tag zu spät auf Porno-Spam klicken.

Aber das ist vielleicht nicht schlecht. Denn würden die Mechanismen wirken und den Kinderporno-Verkäufern das Wasser abgraben, wären die Kriminellen technisch schon längst drei Schritte weiter. Zum Beispiel hat Microsoft grade eine Belohnung von 250.000 Dollar auf den Autoren des Conficker-Wurms ausgesetzt. Der generiert immer neue Domainnamen, auf denen er Anweisungen sucht. Im Prinzip kann diese Technik auch zum bulletproof hosting eingesetzt werden. Steigt auch nur ein Kinderporno-Verbreiter auf diese Technik um, wird die Filtertliste nicht 5000 bis 10000, sondern Millionen Einträge haben müssen. Die Kosten für die Kriminellen sind relativ gering.

The day the routers died

heise online am 13. Juni:

Trojaner, die Router manipulieren, gab es bislang nur in Gedankengemälden von Sicherheitsspezialisten. Nun ist eine besondere Variante des Schädlings Zlob der Leinwand entstiegen und verbiegt von infizierten Windows-PCs aus die DNS-Einstellungen handelsüblicher Router

Golem.de am 13. Juni:

Ein Novum dürfte die Remote-Control-Software darstellen, mit der Linksys-Kundendienstmitarbeiter zur Not die Konfiguration aus der Ferne einstellen können.

Nur einmal verwenden.

Aus dem Polizeibericht:

Er sagte aus, dass er zunächst kleinere Internetforen auf Schwachstellen hinsichtlich gespeicherter Daten überprüft habe. Sobald er dort fündig wurde, las er die gespeicherten Mitgliederdaten (email-Adressen und dazugehörigen Passwörter) aus und testete mit Hilfe illegaler Software, ob die so erlangten Daten von ihren Inhabern auch als Zugangsdaten für andere Internetdienste benutzt werden. Tatsächlich wurde der „Hobbyhacker“ in bisher noch unbekannter Größenordnung fündig. Viele seiner Opfer benutzten in den unterschiedlichsten Internetportalen ein und dasselbe Passwort.