Mike Kuketz
10. August 2017 | 08:55 Uhr

Leserfrage: Authentifizierung bei Elster

Mich erreichte folgende Leserfrage zur Abwicklung der Steuererklärung und Steueranmeldung über Elster.

Hi Mike,
im Blog finden sich ja öfters Kurzeinschätzungen zur Sicherheit / Spionageaktivität von Anwendungen. Wie ist aus Deiner Sicht die Nutzung der Elster-Software für die Einkommenssteuererklärung zu bewerten, die ja z.B. ein Zertifikat auf dem Rechner des Nutzers (Steuerpflichtigen) ablegt. Sind Dir da z.B. Datenabflüsse o.Ä. bekannt? Wie ist das insgesamt zu bewerten?

Also zunächst mal zu den Datenabflüssen. Das ist ja immer so ein Thema und ich bekomme dazu häufig Anfragen. Um einen Datenabfluss innerhalb einer App oder von einer Software festzustellen, muss man einiges an Zeit und Geduld mitbringen. Teilweise muss man auch technische Hürden wie TLS-Zertifikate, verschlüsselten Bytestrom oder sogar Cert-Pinning überwinden, um den Datenverkehr anschließend analysieren zu können. Ihr merkt schon: Das ist nichtmal eben in 5 Minuten erledigt.

Zurück zu Elster: Nein, den Datenverkehr habe ich bisher nicht analysiert. Mir wäre aber nicht bekannt, dass die offizielle Software des Bundes und aller Länder irgendwelche heimlichen Datenlecks hat.

Zur Sicherheit: Zur Übermittlung der digitalen Steuererklärung / Anmeldung wird eine Zertifikat benötigt, das den Versender gegenüber der Finanzverwaltung authentifiziert. Elster bietet hier drei verschiedene Varianten der Authentifizierung:

  • Zertifikatsdatei (ElsterBasis): Authentifizierung via Softwarezertifikat – also eine Datei auf dem Rechner oder externen Laufwerk.
  • Sicherheitsstick (ElsterSpezial): Ein USB-Stick, der einen Kartenleser und Chip beinhaltet. Sensible kryptographische Operationen mit dem geheimen Schlüssel des Anwenders werden innerhalb des Sicherheitssticks durchgeführt. Zudem können die geheimen Schlüssel nicht aus dem Sicherheitsstick ausgelesen werden.
  • Signaturkarte (ElsterPlus): Eine Chipkarte (Format einer Bankkarte) wird mit einem Lesegerät kombiniert und mit dem Rechner verbunden.

Euer Zertifikat wird zusätzlich durch eine PIN / Passwort geschützt, das aus mindestens 6 Stellen bestehen muss – viel zu kurz. Generiert euch mit einem Passwort-Manager ein zufälliges Passwort mit der maximalen Länge von 20 Zeichen, das aus a-z / A-Z und 0-9 bestehen darf. Den korrekten Umgang mit Passwörtern habe ich euch im Artikel »Sicheres Passwort wählen: Der Zufall entscheidet« aufgezeigt.

Meine Einschätzung: Den Sicherheitsstick (ElsterSpezial) halte ich persönlich für ein vernünftiges Gleichgewicht aus Sicherheit, Anwendbarkeit und Kosten.

Du kannst den Blog aktiv unterstützen! Mitmachen ➡
Ähnliche Beiträge
GnuPG-Key
10. Juni 2019

GnuPG-Schlüsselerstellung und Smartcard-Transfer – Nitrokey Teil2

Anleitung zur Generierung eines GPG-Schlüsselpärchens inklusive der anschließenden Übertragung auf die sichere Smartcard des Nitrokeys.
Sicheres Passwort
1. Februar 2017

Sicheres Passwort wählen: Der Zufall entscheidet

Ein Wegweiser für den kompetenten Umgang mit sicheren Passwörtern.
E-Mail Verschlüsselung
19. Juli 2013

Verschlüsselte E-Mails mit GnuPG als Supergrundrecht

E-Mail Verschlüsselung mit GnuPG als Schutz gegen Datenschnüffellei.
GnuPG-Public-Key-Authentifizierung
26. Juli 2019

GnuPG-Public-Key-Authentifizierung – Nitrokey Teil3

Das GnuPG-Schlüsselpärchen des Nitrokeys kann zur passwortlosen Authentifizierung gegenüber einem SSH-Server genutzt werden.
Nitrokey Android
14. Januar 2020

GnuPG: E-Mail-Verschlüsselung unter Android – Nitrokey Teil4

Kopplung eines Nitrokeys mit einem Android-Smartphone zur E-Mail-Verschlüsselung via OpenKeychain und FairEmail.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.