Steuererklärung Test

Mit Pauken und Trompeten feiert die Finanzverwaltung ihre neue Online-Steuererklärung. Doch sie entpuppt sich als großer Flop mit erheblichen Sicherheitsmängeln.

Endlich haben die Steuerverwaltungen der Länder und des Bundes ihre "Elster" zum Fliegen gebracht. Mithilfe der ELektronischen STeuerERklärung, kurz Elster genannt, können sich Bürger die Steuererklärungsformulare per Internet auf ihren Computer laden, ausfüllen und direkt übers Netz an ihr Finanzamt übermitteln. Eine tolle Sache, wenn sie nicht einen gewaltigen Haken hätte.

Finanztest hat Elster auf ihre Datensicherheit geprüft und ein gewaltiges Kuckucksei entdeckt: Hacker können den Elster-Server überlisten und unbemerkt die Steuererklärungen abfangen, verändern und ­ noch schlimmer ­ die persönlichen Daten missbrauchen. Mit diesem Ergebnis haben nicht einmal die kritischen Tester gerechnet.

Unter www.elsterformular.de bietet die Finanzverwaltung kostenlos ElsterFormular 2000 zum Download an. Das Bundesfinanzministerium verspricht, dass die Übertragung der Steuererklärung via Internet unmittelbar an das Finanzamt dem Stand der Technik entspreche und datensicher verschlüsselt sei.

Doch das offizielle Programm der Steuerverwaltungen entpuppt sich bei genauer Analyse als Schuss vor den Bug der Steuerzahler. Finanztest schlüpfte in die Rolle eines Datenräubers und prüfte vom 8. bis 22. Februar 2001, wie sicher die sensiblen Daten der Steuerzahler mit Elster-Formular-Versionen 1.1. bis 1.3. zum Finanzamt gelangen.

Programm ist sicher

Steuererklärung Test

1. Download
Ich lade mir nicht das Original-Programm ElsterFormular 2000 von der Finanzverwaltung, sondern eine gefälschte Version runter. Ich kann mich nicht vergewissern, dass es eine Originalversion ist.
2. Zwangs-Update
Elster empfiehlt mir, beim Start des Programms ein Update durchzuführen. Ein Hacker könnte auch jetzt meine echte Version in eine gefälschte tauschen.
3. Onlineversand
Beim Versand der Steuererklärung an das Finanzamt fängt der Hacker mit der modifizierten Version meine Daten unbemerkt ab. Er kann nun mit meiner Steuererklärung machen, was er will.

ElsterFormular 2000 an sich könnte eine sichere elektronische Übertragung der Steuerdaten gewähren. Die Steuererklärungsdaten sind mit gängigen Sicherheitsmitteln wie 3DES (112-BitSchlüssel) und RSA (1.024-Bit-Schlüssel) verschlüsselt.

Damit hat das Originalprogramm im Prinzip keine Schwachstellen und entspricht durchaus dem Stand der Technik. Allerdings kommt tatsächlich nur ein Teil der Daten verschlüsselt zum Finanzamt. Vorname, Name, Postleitzahl, Ort, Straße, Hausnummer, Finanzamt- und Steuernummer sowie Installationspfad der Elster-Software überträgt das Programm unverschlüsselt.

Offenes Tor für Angreifer

Doch damit ist der Finanzverwaltung noch keine grobe Fahrlässigkeit vorzuwerfen. Dummerweise hat aber die Behörde ihre eigene Sicherheitstechnik ausgehebelt. Die Art und Weise, wie sie ElsterFormular 2000 zum Downloaden anbietet, ist bereits problematisch. Denn wer sich das Programm direkt aus dem Internet lädt, kann nicht sicher sein, dass er wirklich die Originalversion bekommt.

Hackern würde es mit relativ geringem Aufwand gelingen, den Server der Finanzverwaltung nachzubilden. Mit einem so genannten Man-in-the-Middle- Angriff könnte er eine andere, nämlich seine Programmversion für Steuerzahler bereitstellen. Doch das kann keiner sehen: Elster-Interessenten glauben, dass sie sich vom Verwaltungsserver das amtliche Original laden, holen sich aber in Wirklichkeit die gefälschte Version vom Angreifer auf ihren Rechner.

Schon sitzen Elster-Nutzer in der Falle. Von nun an hat der Räuber die Gewalt über das Elster-Programm und somit über die Steuererklärung des Onlinenutzers. Die Steuerdaten landen nicht mehr auf elektronischem Wege beim Finanzamt, sondern beim Räuber. Und er kann mit den sensiblen Daten machen, was er will.

Selbst wer eine Originalversion vom Elster-Server geladen oder sich die CD-Rom vom Finanzamt geholt hat, ist nicht geschützt. Das erhebliche Sicherheitsrisiko verursacht die automatische Update-Funktion des Elster-Programms. Zwangsweise müssen Nutzer regelmäßig die neueste Version von ElsterFormular 2000 auf ihrem Rechner installieren. Ein elektronischer Assistent, der zum Programmpaket von Elster gehört, sorgt dafür, dass immer die neueste Version des ElsterFormulars auf dem Rechner ist.

Sicherheitsschranken möglich

Gerade beim Download des Update bietet die Finanzverwaltung aber keine Sicherheit. Wieder können sich Datenräuber einschleichen und nichts ahnenden Bürgern eine gefälschte Version unterjubeln. Ist es erst einmal gelungen, Elster-Anwendern ein Kuckucksei ins Nest zu legen und eine falsche Steuerformular-Version unterzujubeln, haben Hacker kein Problem, die persönlichen Daten zu entschlüsseln.

Dabei ließen sich solche Sicherheitsmängel beispielsweise mit einem Bytecode-Check entschärfen, mit dem das Programm sich selber überprüft. Wie es viele Programmanbieter längst tun, gibt es die Möglichkeit, die Software speziell zu kodieren: Der Hersteller signiert sein Programm mit einem speziellen Zertifikat, sodass Anwender automatisch Identität des Herstellers und Integrität der Anwendung überprüfen können.

Und das haben Elster-Nutzer bitter nötig. Schließlich verrät die Steuererklärung ihre persönlichen Daten, die keinesfalls in falsche Hände gehören. Doch auch beim Abschicken des ElsterFormulars können sich Anwender nicht sicher sein, dass die Erklärung wirklich beim Finanzamt landet. Wieder sorgt der automatische Updatemechanismus für erhebliches Risiko.

Hacker können sich unbemerkt in die Onlineverbindung zwischen Computer und Elster-Server einschleichen und die fertige Steuererklärung abfangen. Es ist ein Leichtes, die Daten zu kopieren und an das zuständige Finanzamt weiterzuleiten, ohne dass jemand etwas merkt.

Grob fahrlässig

Die passenden Werkzeuge für die verschiedenen Möglichkeiten des Datenraubs stellt die Finanzverwaltung höchst persönlich bereit. Der Finanztest-Datenräuber war selbst verblüfft, als er alles, was er brauchte, öffentlich zugänglich auf dem Elster-Update-Server fand. Ohne Probleme konnte er in den Server einbrechen und sich ein spezielles Patch-Programm runterladen. Die Daten zum Einloggen auf den Server wie Benutzername und Passwort präsentiert ElsterFormular auf silbernem Tablett.

Damit stehen alle Programm-Module zur Verfügung, die ElsterFormular 2000 verwendet. Mit diesem Programm ist die Verwandlung des echten ElsterFormular-Programms in ein gefälschtes ein Kinderspiel. Und noch schlimmer: Statt der Finanzamt-Server kann jetzt der Angreifer Adressat für Steuerzahler werden. Das heißt, statt den Finanzamt-Server kontaktiert der ElsterFormular-Nutzer den Hacker immer, wenn das Formular ein Software-Update verlangt.

Weitere Gefahr

Das bedeutet für Elster-Nutzer nicht nur, dass sie ihre persönlichen Daten preisgeben, sondern auch eine Gefahr für ihren Computer. Durch die bestehende Verbindung kann es dem Räuber sogar gelingen, noch andere Daten auf dem PC auszuschnüffeln. Ganz zu schweigen davon, dass Viren, Würmer oder Trojanische Pferde den Rechner plattmachen könnten.

Im Schlepptau der groben Fahrlässigkeit der Finanzverwaltung sind leider auch die Hersteller der PC-Steuerprogramme. Sie haben meist die Elster-Module in ihr Programm integriert, sodass Anwender ihre Steuererklärung gleich per PC ans Finanzamt schicken können.

Eine Stichprobe ergab: Auch hier war ein Einbruch möglich. Nach kurzer Zeit hat der Finanztest-Räuber die Online-Steuererklärung von Wiso Sparbuch 8.04, QuickSteuer 7.01 und Taxmann 7.01 abgefangen. Zwar verwenden die Programme unterschiedliche Mechanismen, aber Hacker kommen nach dem gleichen Prinzip wie bei ElsterFormular an die Daten.

Solange die Räuberpistole funktioniert, sollten Steuerzahler nach alter Manier die papierenen Formulare ausfüllen oder die mit einem PC-Steuerprogramm erstellte Steuererklärung ausdrucken und dem Finanzamt per Post übermitteln. Das Finanzamt braucht sowieso die Unterschrift im Original.

Dieser Artikel ist hilfreich. 142 Nutzer finden das hilfreich.