IDG TecChannel

Wirbel um Steuererklärungssoftware ELSTER völlig überzogen
"tecChannel.de": Vorwürfe der Zeitschrift "Finanztest" sind nicht haltbar

    München (ots) - Als völlig überzogen erweist sich der Bericht
der Zeitschrift "Finanztest", wonach die Software zur Einreichung
einer elektronischen Steuererklärung, ELSTER, grobe Sicherheitslücken
aufweisen soll. Das hat jetzt "tecChannel.de", das Webzine für
Computer- und Kommunikationsprofis nach technischen Untersuchungen
festgestellt.
    
    Entgegen dem Eindruck, den die Zeitschrift der Stiftung Warentest
in ihrem Artikel erweckt, konnten die sogenannten "Datenräuber" weder
Daten durch die Vortäuschung einer gefälschten Internetadresse am
Domain-Name-Server (DNS-Spoofing-Attacke) umleiten noch die Server
der getesteten Oberfinanzdirektion überlisten. Wie ein Test-Techniker
von "Finanztest" gegenüber "tecChannel.de" einräumte, wurde bei den
Untersuchungen lediglich der Code von bereits heruntergeladenen
Programmen lokal modifiziert. Dass die so überarbeitete Software sich
dann mit den veränderten Eigenschaften nicht zum ELSTER-Server
verbindet, sondern zu den händisch eingearbeiteten IP-Adressen, kann
nicht verwundern, so "tecChannel.de".
    
    Der Nachweis der im Artikel mehrfach aufgestellten Behauptung, ein
Angreifer könne über einen nicht genauer spezifizierten
"Man-in-the-Middle-Attack" den Download- oder Datenstrom von ELSTER
umleiten und so dem Anwender veränderte Programmversionen
unterschieben, bleibt jedoch aus. Tatsächlich sind die technischen
Grundlagen von Spoofing-Attacken seit langem bekannt, die
DNS-Serversoftware ist entsprechend geschützt.
    
    Unrichtig ist vor allem die Aussage, selbst wer die Original- oder
CD-ROM-Version von ELSTER besitze, sei durch Spoofing-Attacken
gefährdet, so "tecChannel.de". Wie der ELSTER-Projektleiter bei der
Oberfinanzdirektion München, Roland Krebs, im
"tecChannel.de"-Interview erläuterte, ist die IP-Adresse des
Update-Servers direkt in der Software verankert und nicht per
DNS-Spoofing zu verändern. Der Benutzer landet also in jedem Fall auf
der richtigen Maschine.
    
    Ein - im Internet grundsätzlich mögliches - Abhören der von einem
nicht veränderten ELSTER-Programm übermittelten Daten des
Steuerzahlers würde dem Lauscher aber keine verwertbaren Erkenntnisse
bringen. Alle wichtigen Angaben werden von der Software mit als
sicher geltenden Verfahren verschlüsselt.
    
    Um künftigen Diskussionen um vermeintliche Sicherheitslücken schon
im Vorfeld zu begegnen, bauen die Finanzämter gegenwärtig einen
SSL-Server auf und warten den kompletten Sicherheitscheck einer
beauftragten IT-Security-Firma ab. Die ELSTER-Site ist schon jetzt
nur noch per HTTPS zu erreichen, allerdings noch ohne endgültiges
Zertifikat. Jedoch bleibe der Programm- und Update-Download die
nächsten Tage noch verwehrt. Zudem wolle man für alle Fälle das
Kopieren und Verbreiten der ELSTER-Software künftig untersagen, so
dass die Steuererklärungssoftware ausschließlich über den
ELSTER-Server erhältlich ist, so Projektleiter Krebs.
    
    
ots Originaltext: tecChannel.de
Im Internet recherchierbar: http://recherche.newsaktuell.de


Für Rückfragen der Redaktionen:
Frank Klinkenberg
Chefredaktion "tecChannel.de"
Tel. 089/36086-713
fklinkenberg@tecchannel.de
www.tecchannel.de

Original-Content von: IDG TecChannel, übermittelt durch news aktuell

Weitere Meldungen: IDG TecChannel

Das könnte Sie auch interessieren: