[German Special] Doppelte Umwälzung am Kassenmarkt

Die Kassenbranche befindet sich im Umbruch – und dies gleich in zweifacher Hinsicht. Denn der Trend zum Soft-PoS-System (Standardgerät mit Point-of-Sale-Software), oft im Rahmen gemischter Kassenlandschaften implementiert, macht die Fiskalisierung komplexer. Zugleich rollt eine Welle strengerer Cybersecurity-Anforderungen auf die Hersteller zu – angeführt vom EU Cyber Resilience Act, der auch Kassen-Systeme betrifft!

Will man in einem modernen Hotel, Restaurant oder Geschäft bezahlen, stellt sich oft heraus: Der Betreiber nutzt keine traditionelle Kasse mehr. Kunden bzw. Gäste zahlen vielmehr mittels Apple- oder Android-Tablet mit Soft-PoS-Software. Dies lässt oft hybride Kasseninfrastrukturen entstehen: Im Hotelrestaurant tippt der Kellner die Bestellung in eine physische Kasse und stellt dem Gast zum Zahlen ein mobiles Smart-PoS-Terminal auf den Tisch, während an der Hotelbar ein iPad die Kassenaufgaben übernimmt.

Analysten sagen dem Soft-PoS-Markt eine Blütezeit voraus: Laut Fortune Business Insights zum Beispiel soll der Markt von knapp 350 Millionen Dollar (2024) auf rund 1,46 Milliarden Dollar im Jahr 2032 anwachsen, was einer durchschnittlichen Wachstumsrate von 19,5% pro Jahr entspricht. Research and Markets prognostiziert bis 2030 sogar ein jährliches Plus von 21,3%. Das Hauptwachstum erwarten Marktbeobachter in Nordamerika und Asien. In Europa dürfte sich die Bezahlung per Soft-PoS, wie man dies von vergangenen Trends her kennt, mit einiger Verzögerung etablieren.

Die Hersteller sind damit gefordert, neben herkömmlichen TSE-Kassensystemen (TSE: technische Sicherheitseinrichtung) auch Smart-PoS- und Soft-PoS-Ansätze zu unterstützen. Derzeit läuft die erste Generation von TSE-Zertifikaten aus. Die Anbieter sollten deshalb darauf achten, sämtliche Varianten der Fiskalisierung abzudecken: hardwarebasierte Fiskalisierung mittels USB-, SD- oder microSD-Karte ebenso wie Cloud-TSE. Letzteres ist schließlich die einzige Möglichkeit, Soft-PoS-Geräte gesetzeskonform zu betreiben.

Während die Kassenbranche mit dieser Umwälzung beschäftigt ist, zieht am Horizont ein Sturm auf: Im Dezember trat das Cyberresilienzgesetz (Cyber Resilience Act, CRA) der EU in Kraft. Das neue Gesetz zielt auf möglichst hohe Cybersicherheit von Elektrogeräten. Es fordert von allen Herstellern, die digitale Komponenten verbauen, grundlegende Cybersicherheitsvorgaben einzuhalten. Dies betrifft somit auch Kassensysteme.

Die Zeit drängt: Die Übergangsfrist zur Umsetzung der wichtigsten Vorgaben läuft am 10.12.2027 ab, also in nicht einmal drei Jahren.

Der CRA legt die Messlatte für alle Produkte mit digitalen Komponenten erheblich höher. Auch Hersteller von Kassensystemen müssen künftig:

• eine Risikobewertung für ihre Produkte durchführen, „um einschlägige Risiken und grundlegende Cybersicherheitsanforderungen zu ermitteln“
• ihre Produkte so konzipieren und entwickeln, dass diese vor bekannten Schwachstellen geschützt sind
• über die gesamte marktübliche Nutzungsdauer des Kassensystems hinweg Sicherheitsupdates liefern
• vor der Markteinführung eines Produkts eine Dokumentation erstellen und diese über die Nutzungsdauer hinweg aktuell halten
• Schwachstellen eines Produkts und seiner Komponenten „wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen“ behandeln
• aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle an die zuständigen Stellen melden, in Deutschland also an das Bundesamt für Sicherheit in der Informationstechnik (BSI), zudem an die Europäische Agentur für Cybersicherheit (ENISA)
• innerhalb von 24 Stunden eine Frühwarnung geben und dann detaillierte Informationen über die Schwachstellen und Vorfälle liefern
• Konformitätsbewertungen durchführen (eigenverantwortlich oder per befugter Stelle)
• eine EU-Konformitätserklärung ausstellen, nachgewiesen mittels CE-Kennzeichnung
• den Kunden klare, verständliche Informationen und Anleitungen zur sicheren Installation und Nutzung bereitstellen
• eine zentrale Anlaufstelle einrichten, damit Nutzer Schwachstellen etc. melden können

Ein langer Anforderungskatalog. Und bei Verstößen drohen, wie man dies von der DSGVO schon kennt, saftige Geldbußen: bis zu 15 Mio. Euro oder 2,5 % des globalen Jahresumsatzes.

Der CRA ergänzt die DSGVO und die EU-Sicherheitsrichtlinie NIS 2 – die Gesetze greifen ineinander. Ein Beispiel: Eine Tankstellenkette fällt als wesentliche Einrichtung unter NIS 2. Sie kann somit von Zulieferern die Einhaltung der NIS-2-Vorgaben einfordern, etwa die Ergänzung des Kassensystems um eine FIDO-konforme Zugriffskontrolle.

Mitten im Wandel zur Hybridlandschaft aus Hardware- und Soft-PoS fordert die neue EU-Gesetzgebung von Kassenherstellern umfangreiche und dokumentierte Anstrengungen, um ihre Systeme abzusichern. Dazu müssen die Hersteller auf Produktebene (Softwareentwicklung, Security-Updates) Maßnahmen ergreifen, ebenso wie auf Prozessebene (Dokumentation, Meldung an Behörden, Meldestelle für Nutzer). Zögerlichkeit kann ihnen schnell auf die Füße fallen. Zur Umsetzung sollten sie deshalb die Kompetenz von Partnern heranziehen, die beim Schutz von Kassensystemen auf langjährige Erfahrung zurückgreifen können.