Finanztest macht ELSTER zur Ente

Als völlig überzogen erweist sich der Bericht der Zeitschrift Finanztest, wonach die elektronische Steuererklärung ELSTER grobe Sicherheitslöcher aufweisen soll. Der Medienhype ist bei genauer Analyse eine Ente.

Entgegen dem Eindruck, den die Stiftung-Warentest-Tochter in ihrem Artikel erweckt, konnten die Finanztest-Datenräuber weder Daten über eine DNS-Spoofing-Attacke umleiten noch die Server der zuständigen Oberfinanzdirektion kompromittieren. Wie der im Artikel als "Finanztest-Datenräuber" bezeichnete Testredakteur gegenüber tecChannel.de einräumte, wurde bei den "Analysen" der Zeitschrift lediglich der Code bereits heruntergeladener Programme lokal modifiziert. Dabei patchte man veränderte Serveradressen und SSL-Zertifikate ein. Dass die so überarbeiteten Programme sich dann nicht zum ELSTER-Server verbanden, sondern zu den händisch eingearbeiteten IP-Adressen, kann nicht sonderlich verwundern.

Kurzfristig vom Netz: Auf den Finanztest-Bericht hin stoppten die Finanzbehörden die Steuererklärung per Internet.
Kurzfristig vom Netz: Auf den Finanztest-Bericht hin stoppten die Finanzbehörden die Steuererklärung per Internet.

Nun könne ja nichts Dritte hindern, solche modifizierten ELSTER-Versionen auf beliebigen Servern oder durch direkte Weitergabe zu verbreiten, so die Argumentation der Tester. In diesem Fall würden die Daten statt beim zuständigen Finanzamt vermutlich bei einem Server des Programmfälschers landen. Zu dieser Gefahr trage zudem bei, dass ELSTER ausdrücklich kopiert und weitergegeben werden dürfe. Wohl wahr - allerdings fallen auf eine derartige "Sicherheitslücke" nur die leichtsinnigsten Anwender herein. Wie inzwischen sattsam bekannt ist, sollte man Software aus nicht genau identifizierbaren Quellen schon wegen der Infektionsgefahr mit Viren oder Trojanern nicht verwenden.