Categories: NetzwerkeUnternehmen

Elster wird sicherer

Rund 90 Prozent aller Unternehmen und 20 Prozent der privaten Steuerpflichtigen haben letztes Jahr das ‘Elster’-System des Bundes genutzt und ihre Steuererklärungen online eingereicht. Höchste Zeit, das sieben Jahre alte System mit einigen wichtigen Funktionen in Hinsicht auf Authentifizierung auf einen aktuelleren Stand der Technik zu bringen.

Obwohl Missbrauch laut Betreiber so gut wie nie stattgefunden habe, ist spätestens seit März letzten Jahres bekannt, dass er zumindest möglich ist: Um eine Steuerklärung für eine bestimmte Steuernummer einzureichen musste man sich bis jetzt nicht zu erkennen geben. Theoretisch könnte man dadurch für eine dritte Partei eine gefälschte Erklärung abgeben, die den Einzug hoher Beträge aus ihrem Konto und andere Unannehmlichkeiten nach sich ziehen würde.

Das wird zwar dieses Jahr immer noch möglich sein, die Weichen für eine obligatorische Identifizierung des Einreichers ab 2007 sind jedoch gestellt. Das Elster-Portal bietet ab sofort drei verschiedene Verfahren zur Authentifizierung der Nutzer: Über ein Software-Zertifikat, über ein USB-Stick mit Verschlüsselungsfunktionen, oder über gängige Signaturkarten. Ab 2007, wenn die Authentifizierung zur Pflicht wird, wird sich jeder Einreicher oder Auskunftssuchende bei Bedarf ermitteln lassen.

Alle drei Verfahren nutzen über Public-Key-Mechanismen für mehr Sicherheit. Jeder Anwender erhält ein Schlüsselpaar – einen ein privaten zur individuellen Signatur oder Entschlüsselung von Daten und einen öffentlichen zur Überprüfung einer mit dem privaten Schlüssel durchgeführten Signatur.

Das rein als Software implementierte Zertifikat (‘Elster Basis’) ist kostenlos, bindet aber den Dialog mit dem Finanzamt auf einen bestimmten PC. Zudem könnte er bei einer Phishing-Attacke gestohlen werden, weswegen die zwei nächst höheren Sicherheitsstufen eher empfehlenswert sind.

Bei ‘Elster Spezial’ wird der Schlüssel auf einem speziellen USB-Stick mit Kryptographie-Funktionen gespeichert, dem ‘Elster-Stick’. Dieser ist weitgehend immun gegen Phishing-Attacken und gestattet eine freie Wahl des verwendeten Computers zur Übermittlung der Steuererklärung – sofern der Treiber für den Stick darauf installiert wurde. Der Stick soll um die 40 Euro kosten und ist damit deutlich günstiger als gängige Signaturkarten, die außer den Anschaffungskosten von 50 bis 70 Euro auch eine Jahresgebühr erfordern. Üblicherweise liegt diese bei 30 bis 40 Euro jährlich.

Eine Signaturkarte ist allerdings notwendig, wenn die höchste Sicherheitsstufe bevorzugt wird (‘Elster Plus’). Dabei wird nicht ein vom Finanzamt herausgegebenes Zertifikat verwendet, sondern das des Trust-Centers, welches die Karte herausgegeben hat. Dafür ist mit Elster Plus auch die volle Funktionalität des Elster-Portals zugänglich, darunter die Steuerkontoabfrage nach dem Status der Zahlungen oder der Schuld.

Die Sicherheitskonzepte und die Trust-Center, die die digitalen Zertifikate herausgeben, wurden vom deutschen Security-Dienstleister Secunet AG implementiert. Betrieben werden sie genauso wie das Portal vom Elster-Projekt selbst mit seinen Clearing-Stellen in München und Düsseldorf.

Lesen Sie auch : KI-Bluff bei AIOps erkennen
Silicon-Redaktion

Recent Posts

IT 2025: IT-Führungskräfte erwarten massiven KI-Ruck

Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.

6 Stunden ago

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…

9 Stunden ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago