In ihrer elektronischen Form ELSTER erledige sich die Steuererklärung im Schnelldurchgang, versprechen die Finanzbehörden. Sie fahren zweigleisig: Einmal durch Werbung mit dem sympathischen, im Waschsalon ins Notebook tippenden Krawattenträger. Zum andern bestimmt ein Gesetz, dass die Zahlen digital zu liefern sind. Aber wie sicher ist das ganze Verfahren? Markus Hiereth hat nachgefragt.
Audiodatei unter
http://www.hiereth.de/multimedia/1307os1.ogg
7 MByte / 5 min 04 s
Beitrag
Zum Steuerdatentransfer via www.elsteronline.de braucht es eine persönliche Schlüsseldatei - die das Finanzamt ausstellt -, eine schnelle Internetverbindung und einen Browser. Weil in diesem Fall Internetexplorer, Safari, Firefox oder Google Chrome dabei nicht bloß Seiten aus dem Internet auf den Bildschirm bringen sollen, bedarf es einer Zusatzsoftware, eines "Plugins" für die Programmiersprache Java. Damit kann der Browser Dateien von der heimischen Festplatte öffnen und deren Inhalte zusammen mit den Eingaben des Nutzers verarbeiten.
Doch bei IT-Sicherheitsexperten hat Java nicht den besten Ruf.
bb0028
Natürlich ist es für uns ein herber Schlag gewesen, dass gerade ein Javascript-Modul dafür verwendet wird, um Steuerinformation zu übermitteln, weil wir als Sicherheitsexperten immer versucht haben, gerade Java einzuschränken.
Boris Bärmichl vom Kompetenzzentrum für Sicherheit in Bayern erklärt warum. Eigentlich für Multimediafunktionen geschaffen, bahne Java einen Weg zu tiefliegenden Prozessen im Computer. Wenn der Programmierer der Java-Zusatzsoftware nur in einer Kleinigkeit unachtsam war, kann es mit dem sicherem Surfen im Netz im Nu vorbei sein. Ein Angreifer bedient sich des Plugins als Pforte ...
bb0049
...um zum Beispiel in ein System einzudringen oder Schadcode in ein System zu überführen, oder auch Manipulationen zu veranlassen, die dazu führen, dass ich Administrationsrechte auf dem anzugreifenden System bekomme.
Die Hand auf dem Rechner hat dann der Unbekannte irgendwo im Netz. Im Januar warnte sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) Computernutzer wegen einer Sicherheitslücke des Java-Plugins. Anwender sollten es standardmäßig deaktivieren. Sein Gebrauch in der Kommunikation mit Behörden berge aber keine Gefahr.
Hersteller Oracle bot rasch eine korrigierte Version an. Im März und April merzte er zwei weitere Fehler aus. War nicht schon der Ansatz falsch, simple Zahlen mit komplexen Multimedia-Werkzeugen zu transferieren? Boris Bärmichl:
bb0505
Ich glaube hier sind wir aufgefordert, massiv umzudenken. Erst an die Sicherheit zu denken und dann zu entwickeln, weil wir dann einfach bessere Produkte in den Markt bekommen.
Auf der Elster-Internetsite ist zu erfahren, dass das BSI die elektronische Steuererklärung nach ISO-Norm 27001 zertifizierte. Auf Nachfrage wird jedoch eingeräumt, dass die Software, der sich der Steuerzahler bedienen soll, nicht Gegenstand der Prüfung war.
Die bei Elster federführende Stelle, das Bayerische Landesamt für Steuern, wollte sich nicht am Mikrofon zur Sicherheit des Java-Plugins äußern, weil die Materie zu technisch sei.
Oracle, der Hersteller des Java-Plugins, hat seinen Sitz in Kalifornien. Grund, IT-Produkte aus den Vereinigten Staaten mit spitzen Fingern anzufassen, gaben Boris Bärmichl nicht erst Edward Snowdens Veröffentlichungen. Denn der nach dem 11. September 2001 in den USA verabschiedete "Patriot Act" ordnet sogar die Programmierer geheimdienstlichen Belangen unter. Bärmichl favorisiert daher Programme deutscher Entwickler:
bb0944
Ganz einfach, weil wir in Deutschland halt ein deutsches Recht haben, nach dem Firmen agieren müssen und sollten. [...] Denken wir an Datenschutzgesetzgebung und andere Gesetzgebungen Fernmeldegesetz, die mich zwingen, auf eine gewisse Weise korrekt zu entwickeln.
Auf eine heikle Gegebenheit des Marktes weist Boris Bärmichl jedoch selbst hin: Wer heute Software entwickle, konzipiert diese zum weltweiten Vertrieb. Bei Telefonie-Produkten für China etwa wird vom Hersteller eine Schnittstelle zum Abhören verlangt. Sie ist ansprechbar über einen geheimen Code. Ein Anwender, der glaubt, nachrichtendienstlich uninteressant zu sein, denkt zu kurz.
bb1320
Wenn jetzt natürlich ein Angreifer das herausfindet, dann kann er den Code auch in Deutschland eingeben um abzuhören. Auch wenn das illegal ist, ist es ein klassisches Vorgehen ...
... von Kriminellen. Freie Software wäre eine Alternative. Deren Entwickler machen für Analyse, Abwandlung oder Verbesserung den Quellcode ihrer Programme öffentlich - für kommerzielle Anbieter ein Ding der Unmöglichkeit. Boris Bärmichl:
bb0000
Wir sehen das in der Lebensmittelindustrie, [...] Die Menschen wollen wissen, was ihnen vorgesetzt wird. [...] Bei Open Source kriege ich die Baupläne auf den Tisch gelegt und kann verstehen, wie das Ganze in Funktion ist. Ich kann es begreifen, wenn ich mich da einarbeite. Hingegen wenn ich ein fertiges Produkt kaufe, dann muss ich das einfach schlucken. Ich habe aber keine Chance zu verstehen, welche Funktionen in diesem Produkt drin sind.
Eben diese Wahl hatten Nutzer auf Elster-Online nicht. Über OpenSource-Alternativen zum Java-Plugin hieß es auf der Elster-Website lapidar, sie seien fehlerbehaftet und daher nicht verwendbar.
Eine Konsequenz allerdings zog das Elster-Projekt: Inzwischen gibt es eine Anmeldung ohne Plugin. Auf die Frage, ob dieses neue Verfahren nun sicherer sei, merkt das Bayerische Landesamt für Steuern an, dass dieses vom Fraunhofer-Institut für angewandte und integrierte Sicherheit untersucht worden sei.