IDG TecChannel

Wirbel um Steuererklärungssoftware ELSTER völlig überzogen
"tecChannel.de": Vorwürfe der Zeitschrift "Finanztest" sind nicht haltbar

München (ots) - Als völlig überzogen erweist sich der Bericht der Zeitschrift "Finanztest", wonach die Software zur Einreichung einer elektronischen Steuererklärung, ELSTER, grobe Sicherheitslücken aufweisen soll. Das hat jetzt "tecChannel.de", das Webzine für Computer- und Kommunikationsprofis nach technischen Untersuchungen festgestellt. Entgegen dem Eindruck, den die Zeitschrift der Stiftung Warentest in ihrem Artikel erweckt, konnten die sogenannten "Datenräuber" weder Daten durch die Vortäuschung einer gefälschten Internetadresse am Domain-Name-Server (DNS-Spoofing-Attacke) umleiten noch die Server der getesteten Oberfinanzdirektion überlisten. Wie ein Test-Techniker von "Finanztest" gegenüber "tecChannel.de" einräumte, wurde bei den Untersuchungen lediglich der Code von bereits heruntergeladenen Programmen lokal modifiziert. Dass die so überarbeitete Software sich dann mit den veränderten Eigenschaften nicht zum ELSTER-Server verbindet, sondern zu den händisch eingearbeiteten IP-Adressen, kann nicht verwundern, so "tecChannel.de". Der Nachweis der im Artikel mehrfach aufgestellten Behauptung, ein Angreifer könne über einen nicht genauer spezifizierten "Man-in-the-Middle-Attack" den Download- oder Datenstrom von ELSTER umleiten und so dem Anwender veränderte Programmversionen unterschieben, bleibt jedoch aus. Tatsächlich sind die technischen Grundlagen von Spoofing-Attacken seit langem bekannt, die DNS-Serversoftware ist entsprechend geschützt. Unrichtig ist vor allem die Aussage, selbst wer die Original- oder CD-ROM-Version von ELSTER besitze, sei durch Spoofing-Attacken gefährdet, so "tecChannel.de". Wie der ELSTER-Projektleiter bei der Oberfinanzdirektion München, Roland Krebs, im "tecChannel.de"-Interview erläuterte, ist die IP-Adresse des Update-Servers direkt in der Software verankert und nicht per DNS-Spoofing zu verändern. Der Benutzer landet also in jedem Fall auf der richtigen Maschine. Ein - im Internet grundsätzlich mögliches - Abhören der von einem nicht veränderten ELSTER-Programm übermittelten Daten des Steuerzahlers würde dem Lauscher aber keine verwertbaren Erkenntnisse bringen. Alle wichtigen Angaben werden von der Software mit als sicher geltenden Verfahren verschlüsselt. Um künftigen Diskussionen um vermeintliche Sicherheitslücken schon im Vorfeld zu begegnen, bauen die Finanzämter gegenwärtig einen SSL-Server auf und warten den kompletten Sicherheitscheck einer beauftragten IT-Security-Firma ab. Die ELSTER-Site ist schon jetzt nur noch per HTTPS zu erreichen, allerdings noch ohne endgültiges Zertifikat. Jedoch bleibe der Programm- und Update-Download die nächsten Tage noch verwehrt. Zudem wolle man für alle Fälle das Kopieren und Verbreiten der ELSTER-Software künftig untersagen, so dass die Steuererklärungssoftware ausschließlich über den ELSTER-Server erhältlich ist, so Projektleiter Krebs. ots Originaltext: tecChannel.de Im Internet recherchierbar: http://recherche.newsaktuell.de Für Rückfragen der Redaktionen: Frank Klinkenberg Chefredaktion "tecChannel.de" Tel. 089/36086-713 fklinkenberg@tecchannel.de www.tecchannel.de Original-Content von: IDG TecChannel, übermittelt durch news aktuell

Themen in dieser Meldung


Das könnte Sie auch interessieren: