Was genau ist die "Sicherheitseinheit"?
Meine Kasse funktioniert nach dem Prinzip: Login-Erfassung-Speichern
Kassenbenutzer müssen sich anmelden, und können nur Kassebuchungen hinzufügen. Storno kann nur der Admin, löschen geht gar nicht. Fortlaufender nicht veränderbarer Nummernkreis, mit täglicher Kassenabrechnung.
Speicherung in MySQL-DB, mit Prüfsumme unter Einberechnung der Prüfsumme der verhergehenden Kassenbuchung. Wo soll ich da was einbauen?

Ich habe mir die Mühe gemacht, diverse Quellen und Links im Eröffnungsbeitrag einzufügen.
Siehe bitte ab Seite 13 der PDF des vierten Links von oben.
Hier der Vollständigkeit halber nochmal:
https://www.bsi.bund.de/SharedDocs/D...cationFile&v=3

Hab ich gelesen. All diese Punkte erfüllt meine Kasse bereits eigenständig. Muss ich jetzt trotzdem ein externes, zertifiziertes Sicherheitssystem einbinden, oder verstehe ich das komplett falsch?

Nein, du kannst diesen Teil deiner Anwendung auch nach diesen Richtlinien als eine solche Einheit zertifizieren lassen. Wenn ich mir die Punkte aber so anschaue, bezweifle ich, dass diese rein softwareseitig umgesetzt werden kann. (Prüfsummen als Manipulationsschutz genügen für eine solche Zertifizierung z.B. nicht.) Aber davon abgesehen dürfte die Zertifizierung teurer als der Kauf solcher zertifizierten Einheiten werden.

Eigentlich ist es ganz einfach, Daten manipulationssicher abzuspeichern. Man nimmt einfach einen Secumed-Stick und speichert dort die relevanten Werte parallel zu der Speicherung in die Datenbank in CSV-Dateien. Die sind dann weder löschbar noch veränderbar.

Ein einfacher Vergleich der Daten auf dem Stick mit den Daten aus der Datenbank würde jede nachträgliche Manipulation zeigen.

Einziger Nachteil der Sticks ist der Preis von 80 € netto, für den wir die Sticks verkaufen (geht leider nicht billiger), und dass man sie nur etwas mehr ein Jahr beschreiben kann. Lesen kann man sie garantiert 10 Jahre.

Damit wäre die erste Anforderung erfüllt.
(Deren Lösbarkeit ohne Hardwarelösung ich wie schon geschrieben bezweifle. Eine Sicherung mit inkrementellen Prüfsummen usw. genügt heute den Anforderungen, ab 2020 aber nicht mehr.)

Bleibt aber noch unter anderem die Anforderung nach einem Zeitgeber, der dafür sorgt, dass die Daten mit einer streng monoton steigenden Zeitangabe gespeichert werden, sprich man nicht einfach quasi z.B. einmal pro Tag Phantasiedaten auf eine solche Lösung schreiben kann.

Wenn das euer Stick auch könnte, wäre der auch heute schon durchaus interessant für ehrliche Betreiber, die gerne beweisen möchten, dass bei ihnen alles mit rechten Dingen zugeht.

Die Sicherheitseinrichtung wird ziemlich sicher günstiger sein bzw. sein müssen, aber da es eine gesetzliche Anforderung ist, ist der Preis erst einmal zweitrangig solange es keine deutlich günstigere Lösung gibt.

Gibt es im Internet zu den Sticks eigentlich Informationen?

War gestern Abend etwas spät - der Stick nennt sich Secumem. Der Zeitgeber ist eingebaut - es gibt ein Journal was alle Vorgänge automatisch protokolliert.

Was gut ist, dass der Stick erlaubt an einfache Dateien wie Textdateien (CSV) Daten anzufügen.

Problematisch ist manchmal, das Rechner je nach Bios-Einstellung versuchen von dem Stick zu booten, was natürlich schiefgeht. Für den Anwender mit einem Kassen-PC ohne Maus und Tastatur kann das schon ein großes Problem sein; dazu kommt noch das fehlende Wissen wie man die Bios-Einstellung ändert.