Entgegen dem Eindruck, den die Stiftung-Warentest-Tochter in ihrem Artikel erweckt, konnten die Finanztest-Datenräuber weder Daten über eine DNS-Spoofing-Attacke umleiten noch die Server der zuständigen Oberfinanzdirektion kompromittieren. Wie der im Artikel als "Finanztest-Datenräuber" bezeichnete Testredakteur gegenüber tecChannel.de einräumte, wurde bei den "Analysen" der Zeitschrift lediglich der Code bereits heruntergeladener Programme lokal modifiziert. Dabei patchte man veränderte Serveradressen und SSL-Zertifikate ein. Dass die so überarbeiteten Programme sich dann nicht zum ELSTER-Server verbanden, sondern zu den händisch eingearbeiteten IP-Adressen, kann nicht sonderlich verwundern.
Nun könne ja nichts Dritte hindern, solche modifizierten ELSTER-Versionen auf beliebigen Servern oder durch direkte Weitergabe zu verbreiten, so die Argumentation der Tester. In diesem Fall würden die Daten statt beim zuständigen Finanzamt vermutlich bei einem Server des Programmfälschers landen. Zu dieser Gefahr trage zudem bei, dass ELSTER ausdrücklich kopiert und weitergegeben werden dürfe. Wohl wahr - allerdings fallen auf eine derartige "Sicherheitslücke" nur die leichtsinnigsten Anwender herein. Wie inzwischen sattsam bekannt ist, sollte man Software aus nicht genau identifizierbaren Quellen schon wegen der Infektionsgefahr mit Viren oder Trojanern nicht verwenden.
Original-ELSTER ist sicher
Den Nachweis der Behauptung, per DNS-Spoofing könnte ein Angreifer den Download- oder Datenstrom von ELSTER umleiten und so dem Anwender veränderte Programmversionen unterschieben, bleibt Finanztest nicht nur schuldig. Vielmehr hat nach Aussage des Testredakteurs das Warentest-Magazin noch nicht einmal versucht, diese Behauptung zu verifizieren. Tatsächlich ist die Grundlage solcher Response-Spoofing- oder Cache-Poisoning-Attacken seit langem bekannt und die DNS-Serversoftware entsprechend geschützt.
Schlicht falsch ist die Behauptung von Finanztest, selbst wer die Original- oder CD-ROM-Version von ELSTER besitze, sei durch Spoofing-Attacken gefährdet. Die Warentester machen diese Aussage an der Updatefunktion der Software fest, die laut Finanztest ebenfalls entsprechenden Angriffen unterliegen soll. Wie der ELSTER-Projektleiter bei der Oberfinanzdirektion München, Roland Krebs, tecChannel.de im Interview jedoch erläuterte, ist die IP-Adresse des Updateservers in der Software hardcodiert. Der Benutzer landet also in jedem Fall auf der richtigen Maschine.
Vermeintlicher Hack war FTP-Download
Bliebe also noch die Möglichkeit, die ELSTER- oder Updateserver der Oberfinanzdirektion zu hacken und von dort gefälschte Programme und Aktualisierungen zum Download zu offerieren. Das will Finanztest erreicht haben: "Ohne Probleme" hätten die Datenräuber "in den Server einbrechen" können, dort habe man ein "spezielles Patchprogramm" zur Modifizierung des ELSTER-Codes vorgefunden.
Tatsächlich handelt es sich bei der fraglichen Maschine um einen reinen FTP-Server mit lediglich einem als Read-only freigegebenen Verzeichnis. Dort lagern die ELSTER-Patches und auch tatsächlich ein Patchprogramm. Dabei handelt es sich um das im Internet von zahlreichen Sites verfügbare RTPatch. "Natürlich konnten die Tester ohne Probleme auf das Verzeichnis zugreifen - dazu ist es ja da!", wundert sich Projektleiter Krebs.
Viel Lärm um nichts
Ein - im Internet generell stets mögliches - Abhören der von einem nicht veränderten ELSTER-Programm übermittelten Steuerdaten schließlich würde einem Lauscher keine verwertbaren Erkenntnisse bringen. Alle wichtigen Daten verschlüsselt die Software nach einem hybriden 112-Bit-TripleDES/1024-Bit-RSA-Algorithmus. Kryptangriffe auf eine Verschlüsselung derartiger Stärke gelten nach dem momentanen Stand der Technik als aussichtslos.
"Viel Lärm um Nichts!", kommentiert tecChannel.de-Webmaster Thomas Springer trocken die Finanztest-Räuberpistole. "Und alles nur, weil die Finanzämter versäumt haben, einen SSL-Server aufzubauen. Das ließe sich mit Zertifikat innerhalb von zwei Tagen nachholen." Genau das tut die Oberfinanzdirektion jetzt, die ELSTER-Site ist bis zur Herausgabe des endgültigen Zertifikats schon mit einer vorläufigen Version per HTTPS zu erreichen. Allerdings bleibt auch die nächsten Tage der Programm- und Update-Download verwehrt.
ELSTER bald wieder online
Nachdem Finanztest keine handfesten Fakten zu den angeblichen Spoofing- und Hacking-Möglichkeiten liefern konnte, wollte Projektleiter Krebs ursprünglich schon heute Abend mit den ELSTER- und Update-Sites wieder komplett ans Netz.
Um künftigen Überinterpretationen vermeintlicher Sicherheitslücken schon im Vorfeld zu begegnen, warten die Finanzbehörden jetzt aber noch den kompletten Sicherheitscheck einer beauftragten IT-Security-Firma ab. Der könne allerdings einige Tage dauern, so Krebs. Zudem will man für alle Fälle das Kopieren und Verbreiten der ELSTER-Software künftig untersagen, so dass die Steuererklärungssoftware ausschließlich über den ELSTER-Server erhältlich ist. (jlu)