57076

Kritik an "Elster" überzogen

26.03.2001 | 15:33 Uhr |

"Sicherheitslücken bei 'Elster', dem Programm für die elektronische Steuererklärung". Diese Nachricht verunsicherte vor einigen Tagen die Benutzer. Doch die Kritik der Stiftung Warentest an Elster scheint überzogen, die im Testbericht aufgezählten Sicherheitslücken existieren tatsächlich nicht.

"Sicherheitslücken bei 'Elster', dem Programm für die elektronische Steuererklärung". Diese Nachricht verunsicherte vor einigen Tagen die Benutzer. Doch die Kritik der Stiftung-Warentest-Tochter "Finanztest" an Elster scheint überzogen. Die im Testbericht aufgezählten Sicherheitslücken existieren nach Untersuchungen unseres Schwestermagazins Tecchannel nicht.

Entgegen dem Finanztest-Bericht konnten die sogenannten "Datenräuber" weder Daten durch die Vortäuschung einer gefälschten Internetadresse am Domain-Name-Server (DNS-Spoofing-Attacke) umleiten, noch die Server der getesteten Oberfinanzdirektion überlisten.

Ein am Test beteiligter Techniker musste einräumen, dass bei den Untersuchungen lediglich der Code von bereits heruntergeladenen Programmen lokal modifiziert wurde. Die so veränderte Software verband sich dann nicht mehr mit dem Elster-Server, sondern logischerweise mit den von Hand eingefügten Adressen.

Somit kann die Stiftung Warentest keinen Nachweis für ihre Behauptung bringen, dass potentielle Angreifer über eine nicht genauer spezifizierte "Man-in-the-Middle"-Attacke den Download- oder Datenstrom von Elster umleiten können. Bei einer solchen "Man-in-the-Middle"-Attacke wäre es möglich, dem Anwender eine veränderte Programmversion unterzuschieben. Genau diesen Eindruck erweckte der damalige Bericht, doch ist dies dem Tecchannel zufolge nicht möglich.

Ganz im Gegenteil ist die DNS-Serversoftware gegen solche Attacken ausreichend geschützt, wie der Tecchannel betont. Die IP-Adresse des Update-Servers ist direkt in der Original- oder CD-ROM-Version von Elster verankert. Somit ist es nicht möglich, diese per DNS-Spoofing so zu verändern, dass der Benutzer mit einem falschen Server Kontakt aufnimmt.

Ein andere Befürchtung war das "Abhören" der durch Elster übertragen Daten. Das ist grundsätzlich möglich, doch gewinnt der Lauscher dadurch keine verwertbaren Erkenntnisse. Alle wichtigen Angaben werden von der Software mit als sicher geltenden Verfahren verschlüsselt.

Derzeit bauen die Finanzämter einen SSL-Server auf, um künftigen Sicherheitsbedenken den Wind aus den Segeln zu nehmen. Außerdem führt eine IT-Security-Firma einen kompletten Sicherheits-Check durch. Die Elster-Website ist schon jetzt nur noch per HTTPS zu erreichen, allerdings noch ohne endgültiges Zertifikat. Ein Programm- und Update-Download ist in den nächsten Tage noch nicht möglich. In Zukunft soll die Elster-Software nur noch über diesen Server erhältlich sein. (PC-WELT, 26.03.2001, hc)

Steuererklärung mit Sicherheitslücke (PC-WELT Online, 20.03.2001)

Steuererklärung per Internet (PC-WELT Online, 09.02.2001)

TecChannel: Finanztest macht ELSTER zur Ente

0 Kommentare zu diesem Artikel
57076