Massive Sicherheitslücken bei der Elster

Teilen

Kryptographische Techniken dienen in altbewährter Weise der Datensicherheit. So sichert die Verschlüsselung die Daten vor unbefugter Einsicht und die Signatur stellt die Echtheit sicher. So soll niemand eines Anderen Bankdaten sehen oder unbemerkt verändern können. Was beim Online-Banking seit vielen Jahren Standard ist und vergleichsweise gut funktioniert, weist aber bei der elektronischen Steuererklärung (sehr treffend "Elster" abgekürzt) ein Riesen-Sicherheitsloch auf. Deutschland, Dein Steuergeheimnis…

Seit Anfang des Jahres müssen Umsatzsteuervoranmeldungen und Lohnsteueranmeldungen elektronisch übermittelt werden (§18 Abs. 1 UStG und §41a Abs. 1 EStG). Hierzu haben die Steuerpflichtigen vor Beginn des Jahres eine Erklärung unterzeichnet, aufgrund derer ihre Teilnahme am elektronischen Verfahren begründet wird. Kostenlose Software erlaubt das Ausfüllen der Formulare direkt am Bildschirm und deren Übermittlung an die Finanzbehörden. Ein bequemes, papierloses Verfahren, das nach einigen Problemen mit Serverüberlastungen Ende Januar inzwischen auch eher zuverlässig funktioniert. Aber es hat eine Lücke, ein Riesen-Sicherheitsloch.

Während die Daten nämlich verschlüsselt übertragen werden, besteht keinerlei wirksame Echtheitskontrolle. Signaturverfahren, die hierzu benutzt werden könnten, fehlen schon im Ansatz. Zwar sind die übermittelten Daten (möglicherweise) signiert, aber es bestehen keine anwenderspezifischen Signaturschlüssel. Die Anforderungen, die beispielsweise das Umsatzsteuergesetz hinsichtlich Echtheitszertifizierung an elektronische Rechnungen stellt (§14 UStG i.V.m. §126a BGB) wird damit von der Software der Finanzverwaltung selbst nicht erfüllt.

Nun muß auf jeder Rechnung und jeder Quittung neben Namen und Anschrift des Ausstellers (§14 Abs. 4 Nr. 1 UStG) auch die Steuernummer des Ausstellers vermerkt sein (§14 Abs. 4 Nr. 2 UStG). Mangels jeglicher digitaler Signatur braucht man nicht mehr, um jemanden massiv zu schädigen: will ich meines besten Feindes Konto stillegen, müßte ich also lediglich mit der Elster-Software eine deftige Steueranmeldung in seinem Namen abgeben, und prompt kommt die hammerharte Buchung des Fiskus. Die hierfür erforderlichen Daten kriege ich frei Haus mit jedem Beleg des Steuerpflichtigen geliefert.

Wir empfehlen das hier wohlgemerkt nicht zur Nachahmung, haben es aber dennoch schon ausprobiert – indirekt: nach der Anschaffung eines neuen Rechners wurde auch die Elster-Software neu installiert, und hat klaglos die nächste Steueranmeldung angenommen – ohne nach einer Vorinstallation, Legitimation oder dergleichen zu fragen. Hätte die Software also auch Daten im Namen einer anderen Person akzeptiert? Vermutlich, nur das auszuprobieren wäre dann doch jenseits der Grenze.

Die urheberrechtlichen Sicherheitsmaßnahmen der Softwarehersteller sind mit Aktivierung und Registrierung weitaus besser als die des deutschen Fiskus, von den bisweilen sackstandigen (aber zweifellos notwendigen) Kontrollmaßnahmen beim Eröffnen eines Onlinebanking-Zuganges mal ganz zu schweigen. Die Elster erlaubt Identitätsdiebstahl und Steuerdaten werden ohne jede Echtheitsprüfung übermittelt – an sich schon ein Riesenproblem, aber daß es nichtmal zur Kenntnis genommen wird ist der eigentliche Hammer.

Das Finanzamt kann aufgrund unbilliger Härten von der Pflicht zur elektronischen Übermittlung absehen (§18 Abs. 1 Satz 1 UStG). Ist eine so einfach mögliche Schädigung durch Dritte eine "unbillige Härte"?

Links zum Thema: Neue Kontrollmöglichkeiten des Schnüffelstaates | Das Drama mit der Vorsteuerberichtigung (interne Links)

Ähnliche Themen, die Ihnen gefallen könnten