Elektronische Steuererklärung vorerst gestoppt

Aufgrund eines Berichts der Zeitschrift Finanztest über Sicherheitsmängel der Elektronischen Steuererklärung ELSTER haben die Finanzbehörden das Programm bundesweit aus dem Netz genommen. Die in ELSTER integrierten Sicherheitsstandards entsprächen zwar dem Stand der Technik, ließ das bayerische Finanzministerium auf Anfrage verlauten. Wegen der hochsensiblen Natur der übermittelten Daten wolle man jedoch jedes Risiko ausschließen.

In der Ausgabe 4/2001 bezeichnet Finanztest ELSTER als "großen Flop mit erheblichen Sicherheitsmängeln". Über einen so genannten Man-in-the-Middle-Attack könnten sich Angreifer unbemerkt in die Onlineverbindung zwischen Computer und ELSTER-Server einschleichen und die Daten abfangen, so die Zeitschrift. Eine besondere Gefahrenquelle stellen laut Finanztest der Download sowie die anschließend automatisch erfolgenden Updates von ELSTER dar. Da hier keinerlei Zertifikate oder Signaturen zum Einsatz kommen, sei es Crackern "mit relativ geringem Aufwand" möglich, den Server der Finanzverwaltung nachzubilden und so den Anwendern getürkte Programmversionen unterzuschieben.

Auf diesem Wege ließe sich durch manipulierte ELSTER-Versionen die Verschlüsselung der übertragenen Steuerdaten unterlaufen. Die Angreifer könnten dann die sensitiven Finanzdaten unschwer mitlesen. Die zur Manipulation der Steuererklärungssoftware nötigen Werkzeuge hat Finanztest nach eigenem Bericht bei einem Einbruch auf dem ELSTER-Update-Server der Finanzverwaltung erbeutet. Nach dem Bekanntwerden des Finanztest-Berichts reagierten die zuständigen Steuerbehörden mit einem vorläufigen Stopp für die elektronische Steuererklärung. "Die Sicherheit für die Internet-Steuererklärung ist oberstes Gebot, deshalb wird ELSTER vorerst bundesweit vom Netz genommen", ließ Bayerns Finanzminister Kurt Faltlhauser in einer Pressemitteilung wissen.

Zwar bescheinige selbst der Finanztest-Artikel der Software, dass deren Sicherheitsstandards dem Stand der Technik entsprächen. Dazu zählt beispielsweise die hybride 112-Bit-Triple-DES/1024-Bit-RSA-Verschlüsselung aller Daten außer Name, Adresse, Finanzamt und Steuernummer. Den möglichen Schwachstellen bei Download und Update des Programms wolle man jedoch mit allen möglichen Sicherheitsmaßnahmen begegnen. "Bei hoch sensiblen Steuerdaten gibt es hierzu keine Alternative." Bei den von Finanztest geschilderten Sicherheitsmängeln handele es sich allerdings lediglich um theoretische Probleme beim Download, führt die zuständige Finanzverwaltung auf der ELSTER-Webseite aus. Bislang seien Schwierigkeiten noch nicht aufgetreten.

Tatsächlich erscheint ein Angriff über DNS-Spoofing - also das Vortäuschen eines fingierten ELSTER- oder Finanzamt-Servers - als relativ unwahrscheinlich. Zum einen gestalten sich solche Attacken in der Praxis deutlich anspruchsvoller, als der technisch etwas vage gehaltene Finanztest-Bericht suggeriert. Gegen typische Angriffsmethoden wie Response Spoofing oder Cache Poisoning sind aktuelle BIND-Versionen zudem resistent. Sollte es Finanztest jedoch tatsächlich gelungen sein, einen DNS- oder ELSTER-Server der Finanzverwaltung zu hacken, stünden dem Mitlesen und der Manipulation der übermittelten Daten und Programme allerdings keinerlei Hindernisse mehr im Weg. Bislang waren weder bei Finanztest noch bei der zuständigen Oberfinanzdirektion München Ansprechpartner zu erreichen, die konkrete technische Auskünfte zum Ablauf des im Finanztest-Artikel geschilderten Spoofings oder der Serverkompromittierung geben konnten. (jlu)