pretix

Aktuelles Update zur TSE unter Android 11

28. Okt. 2021

Seit 2020 ist für den Einsatz digitaler Kassensysteme in Deutschland die Verwendung einer sogenannten Technischen Sicherheitseinrichtung (TSE) vorgeschrieben. Der Einführungsprozess dieser Pflicht war schwer überschaubar, denn erst sehr knapp vor Inkrafttreten der Pflicht wurden die ersten Hersteller solcher Sicherheitseinrichtungen vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert. Wir hatten uns in der Entwicklung für Swissbit entschieden. Swissbit hat später als einer der beiden ersten Hersteller die Zertifizierung erreicht. Inzwischen sind vier Hersteller von Hardware-TSEs zertifiziert.

Die TSE von Swissbit gibt es als USB-Stick sowie als microSD-Karte. Insbesondere der Formfaktor der microSD-Karte ist außerordentlich praktisch, da die TSE so in fast allen Android-Geräten, auf denen unsere Kassensoftware pretixPOS läuft, problemlos untergebracht werden kann. Unsere App und der kryptografische Chip der TSE kommunizieren dabei über den Austausch spezieller Dateien auf dem SD-Laufwerk.

Problematik

Leider kam es im Zuge des Android-Betriebssystem-Updates auf Version 11 zu einer Änderung, die diese Art der Kommunikation nicht mehr in gleichem Umfang ermöglicht. Dies betrifft möglicherweise nicht alle Geräte-Hersteller, mindestens jedoch alle aktuellen Modelle von Samsung. Wir haben von diesem Problem im Juni 2021 erstmalig erfahren, als die ersten unserer Kunden für Samsung-Tablets ein automatisches Update auf Android 11 erhielten und die TSE nicht mehr funktionierte.

Für die TSE im USB-Format gibt es bereits seit Juli ein Firmware-Update, das das Problem behebt. Eine Lösung für die microSD-TSE ist nur durch Mitwirkung von Google und Samsung möglich. Über die Erfolgschance und Zeitpläne hier lässt sich leider keine verlässliche Aussage treffen.

Da es zwar erlaubt ist, eine Kasse wegen eines technischen Defekts unter bestimmten Bedingungen vorübergehend ohne TSE zu betreiben¹, dieser Zustand jedoch abgestellt werden muss, ist nicht dazu zu raten, auf diese Lösung zu warten, um steuerliche Risiken zu minimieren.

Aus diesem Grund haben wir im Juli 2021 über die in unserem System vorliegenden Daten die betroffenen und potentiell bald betroffenen Kunden ermittelt und per E-Mail gewarnt, kein Update auf Android 11 durchzuführen. Den Kunden, die das Update bereits durchgeführt hatten, haben wir Leih-Tablets mit Android 10 zur Verfügung gestellt.

Lösungsweg 1: Downgrade des Tablets

Ein Samsung-Tablet, das auf Android 11 aktualisiert wurde, kann wieder auf Android 10 zurückgesetzt werden. Dies ist zwar nicht offiziell von Samsung empfohlen, es finden sich aber zahlreiche Anleitungen und auch passende Firmware-Images im Internet. Dieser Schritt funktioniert und bot vielen unsererer Kunden eine schnelle Lösung, hat jedoch einige Nachteile. Erstens erfordert er ein gewisses Maß an Erfahrung, um ihn durchzuführen; zweitens erfordert er einen Reset des Geräts auf Werkseinstellung und damit eine komplette Neu-Einrichtung des Tablets und aller Apps; und drittens ist er nicht unbedingt von Dauer: Samsung gibt sich (prinzipiell ja zu Recht) viel Mühe, das Update wieder einzuspielen.

Wenn das Downgrade erfolgt ist, sollten daher auf dem Tablet folgende Einstellungen getroffen werden:

  • Einstellungen > Software-Update > Automatisch über WLAN laden aus

  • Einstellungen > Info zu Tablet > Softwareinformationen > Build-Nummer 7x antippen, um den Entwicklermodus zu aktivieren

  • Einstellungen > Entwickleroptionen > System autom. aktualisieren aus

Für von uns verkaufte Tablets führen wir diese Schritte auf Wunsch gerne kostenlos für Sie nach Einsendung des Tablets an uns durch. Trotzdem ist nicht garantiert, dass das Update nicht versehentlich wieder eingespielt wird -- und es bedeutet natürlich den Verzicht auf die prinzipiell durchaus empfehlenswerten Sicherheitsupdates. Daher taugt dieser Lösungsweg meist nur als gute Übergangslösung.

Lösungsweg 2: Verwendung eines anderen Tablets

Wir haben unsere Tablet-Empfehlung unter anderem aus diesem Grund von der Samsung Galaxy Tab A-Reihe auf das „Lenovo Smart Tab M10 FHD Plus (2. Gen.)“ geändert. Dieses wird mit Android 9 ausgeliefert und kann auf Android 10 geupdated werden -- ein Update auf Android 11 wird es für dieses Gerät nicht mehr geben. Trotzdem erhält das Gerät zumindest im Moment noch Sicherheitsupdates, wenn auch voraussichtlich nur bis Mitte 2022. Dieses Tablet kann ab sofort auch über uns bezogen werden.

Sobald von Lenovo und anderen Herstellern die ersten – in Preis und Ausstattung als Alternative geeigneten – Modelle mit Android 11 erhältlich sind, werden wir diese entsprechend testen und unsere Empfehlungen anpassen.

Die von uns vertriebenen professionelleren Kassensysteme von Herstellern wie HP oder Sunmi sind nach aktuellem Stand nicht betroffen. Selbst wenn diese auf Android 11 geupdated werden, ist hier in der Regel eine USB-TSE im Einsatz, die von diesem Problem nicht (mehr) betroffen ist.

Lösungsweg 3: Die TSE der Bundesdruckerei

Neben einem anderen Tablet bietet sich als Lösung eine andere TSE an. Hierfür gibt es für uns noch einen zweiten Grund: Vermutlich auch aufgrund dieses Problemkomplexes lässt die Nachfrage nach den Swissbit-TSEs im microSD-Format im Markt insgesamt nach und Swissbit konzentriert sich weiter auf das USB-Modell. Während wir noch einen Lagerbestand an microSD-TSEs verfügbar haben, wird es zunehmend schwerer, Nachschub zu beschaffen.

Wir haben daher über die letzten Monate eine Anbindung an die TSE geschaffen, die von der Firma Cryptovision entwickelt wurde und von der Bundesdruckerei bzw. deren Tochterfirma D-TRUST vertrieben wird. Diese ist (ausschließlich) im microSD-Format verfügbar und verfügt seit diesem Jahr auch über eine Android-Anbindung.

Grundlegend ist diese TSE ebenfalls von der Änderung im Android-Betriebssystem betroffen und läuft unter Android 11 nicht so einwandfrei wie unter Android 10. Im Gegensatz zur Swissbit-TSE hingegen läuft sie immerhin überhaupt, wenn auch mit zwei Einschränkungen:

  • Der Export der auf der TSE gespeicherten Daten z.B. zur Archivierung oder für eine Steuerprüfung ist nicht möglich, hierzu muss die TSE aus dem Gerät entnommen und in einen PC oder ein älteres Android-Gerät eingesetzt werden.

  • Zumindest auf unserem Testmodell Samsung TM-500 ist die TSE sehr stark von der Energiesparfunktion des Tablets betroffen und "schläft" nach jeder Kommunikation direkt wieder ein. Danach muss sie von uns erneut aufgeweckt werden. Dies führt zu einer geringen, aber spürbaren Verlangsamung von ca. 1-3 Sekunden am Anfang und am Ende jeder Transaktion.

Die Verwendung einer Bundesdruckerei-TSE ist ab pretixPOS-Version 2.9.0 möglich. Die TSE ist ab sofort über uns erhältlich und preislich zur Swissbit-TSE identisch.

Update Februar 2022: Die TSE der Bundesdruckerei scheint auf dem Samsung-Gerät SM-T510 ebenfalls Probleme zu machen. AUf anderen Modellen haben wir bislang keine Probleme festgestellt.

Fazit

Es gibt verschiedene Möglichkeiten, mit der TSE-Problematik unter Android 11 umzugehen und wieder zu einer rechtssicheren Kassenführung zu gelangen. Wir müssen daher dringend davon abraten, die Kasse aufgrund dieses Problems vorübergehend ohne TSE zu betreiben, denn eine unverzügliche Abhilfe ist möglich. Gerne beraten wir Sie in Ihrer Situation individuell.

Wir konnten dieses Problem zwar bei der Entwicklung der TSE-Anbindung 2020 oder bei der Auswahl der von uns empfohlenen Hardware nicht vorhersehen und an der entstandenen Inkompatibilität sind weder wir, noch Swissbit, noch Samsung wirklich "schuld".

Trotzdem fühlen wir uns Ihnen verpflichtet und wollen das Vertrauen, das Sie mit Ihrer Kaufentscheidung in uns gesetzt haben, nicht enttäuschen. Wenn Sie von diesem Problem betroffen sind und sowohl TSE als auch Tablet bei uns erworben haben, setzen Sie sich bitte mit unserem Team in Verbindung. Wir versuchen gemeinsam eine Lösung zu finden, die Sie finanziell möglichst gering belastet, z.B. durch Inzahlungnahme des alten Tablets oder der alten TSE im Verhältnis zur restlichen Laufzeit bei der Anschaffung eines Ersatzgerätes.


Fußnote 1: AEAO zu § 146a, Abschnitt 7

Raphael Michel

Raphael ist der Gründer und Haupt-Entwickler von pretix. Er begeistert sich für benutzerfreundliche, elegante Software und wenn er nicht zu beschäftigt mit pretix ist, organisiert er gerne selbst Konferenzen mit.

Mehr Blog-Posts lesen