Elster-Portal – Sicherheitsrisiko

Der Gesetzgeber fordert mittlerweile von jedem Bürger, seine Steuererklärung elektronisch zu übermitteln. Eigentlich müsste die Finanzverwaltung dann eine sichere Möglichkeit der Datenübertragung anbieten.

Der Gesetzgeber fordert mittlerweile von jedem Bürger, seine Steuererklärung elektronisch zu übermitteln. Eigentlich müsste die Finanzverwaltung dann eine sichere Möglichkeit der Datenübertragung anbieten. Dies ist leider nicht durchgängig gegeben.

Will man über das ELSTER-Portal, das vom Bayerisches Landesamt für Steuern für alle Finanzbehörden bundesweit zur Verfügung gestellt wird, seine Steuererklärung abgeben, wird als einfachste Lösung die Schlüsseldatei zur Verfügung gestellt. Diese Schlüsseldatei kann man nach Anmeldung erst herunterladen, wenn man von seinem Finanzamt den zugehörigen Zugangscode erhalten hat. Diesen Code erhält man per Post.
Die Schlüsseldatei stellt ein Zertifikat dar, das auf dem eigenen Rechner hinterlegt wird und dann für den Zugang zu ELSTER genutzt wird. Um ganz sicher zu sein, muss man nach dem herunterladen der Datei sich nochmals auf dem Portal mit der Schlüsseldatei einloggen. Auf diesem Wege soll die Zuordnung von Steuerdaten zum Erklärenden sichergestellt werden.

Genau dieses ganz einfache System funktioniert beim ELSTER-Portal nicht. Wie ich selbst in mehreren Versuchen festgestellt habe und von anderen Nutzern weis, funktioniert bei dem Portal offenkundig das Protokolliersystem nicht sicher. Dies bedeutet, dass es mit der Schlüsseldatei Einlogg-Vorgänge gibt, die das System nicht erkennt. Wenn aber nun nach 6 Monaten das System keinen Einlogg-Vorgang mit der Schlüsseldatei festgestellt hat, wird der Zugang gelöscht und muss neu beantragt werden.
Die Schwierigkeit dabei ist, dass die Übertragung von Steuerdaten in dieser Zeit möglich ist. Man merkt also nicht, dass man vom System noch nicht verifiziert wurde.

Dies stellt eine wesentliche Sicherheitslücke dar. Die Standards für Datensicherheit schreiben vor, dass ein Zertifikat, das verifiziert werden muss, wie die Schlüsseldatei, so lange nicht für Datenübertragungen genutzt werden darf, wie die Verifizierung nicht stattgefunden hat. Die Zuordnung der Daten zum Erklärenden ist nicht eindeutig.
Die Betreiber des ELSTER-Portals verstoßen also gegen elementare Sicherheitsstandards.

Das Elster-Portal wurde Anfang diesen Jahres auf diese Sicherheitslücke hingewiesen. Es war möglich, mehrere Log-Ins auf dem Portal mittels Schlüsseldatei zu belegen, die vom System nicht protokolliert wurden.
Das Bayerisches Landesamt für Steuern legte in seiner Erwiderung die Protokolle vor und bestritt den Fehler, weil ja in den Protokollen nichts zu sehen war. Man wollte nicht begreifen, dass es ja genau darum geht.
Die Sicherheitslücke besteht also weiterhin, wie auch aktuelleren Fällen zu entnehmen ist. Eine Behebung ist von Seiten des Landesamtes offensichtlich nicht vorgesehen. Dies ist ein erheblicher Verstoß gegen geltendes Datenschutzrecht.

Das ELSTER-Portal bietet zwei weitere Möglichkeiten des Zugangs, den Sicherheitsstick und die Signaturkarte. Letztere kann als sicher gelten, da es sich hierbei um eine qualifizierte elektronische Signatur handelt. Hier wird beim ELSTER-Portal nur der Schlüssel registriert. Diese Variante ist allerdings teurer als die kostenlose Schlüsseldatei. Doch auch hier war zunächst festzustellen, dass die Programmierung nicht dem aktuellen Stand der Technik entsprach, da von Seiten des Portals jeder Signaturkarte ein Softwareanbieter zugeordnet wird. Signaturkarten können auf PCs nur mit einer besonderen Software eingesetzt werden. Diese Zuordnung durch das Portal stellt einen Vertsoß gegen die Vertragsfreiheit dar, da man so gezwungen wird, für eine bestimmte Signaturkarte einen bestimmten Softwareanbieter zu nutzen. Dieser Fehler wurde auf Seiten des Portals mittlerweile beseitigt.
Sollte man Buchhaltungs- oder Bankensoftware für die Übermittlung von Steuerdaten nutzen, so hat nach den hier vorliegenden Erkenntnissen nur Buhl-Data bislang diese Softwareanpassungen bislang nicht umgesetzt. Aber, mit der Software Elster-Formular des Elster-Portals kann die Signaturkarte einfach genutzt werden

Die Sicherheitslücke bei der Schlüsseldatei besteht also noch. Man darf gespannt sein, wann das Bayerisches Landesamt für Steuern hier für Abhilfe sorgt.

Teilen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.