| Infos von www.das-gibts-doch-nicht.info
|
| April 2005 |
Harry Zingel |
Info
von: bwl |
| Massive Sicherheitslücken bei der
Elster |
Kryptographische Techniken
dienen in altbewährter Weise der Datensicherheit. So sichert die
Verschlüsselung die Daten vor unbefugter Einsicht und die Signatur stellt
die Echtheit sicher. So soll niemand eines Anderen Bankdaten sehen oder
unbemerkt verändern können. Was beim Online-Banking seit vielen
Jahren Standard ist und vergleichsweise gut funktioniert, weist aber bei der
elektronischen Steuererklärung (sehr treffend "Elster" abgekürzt) ein
Riesen-Sicherheitsloch auf. Deutschland, Dein Steuergeheimnis...
Seit Anfang des Jahres müssen
Umsatzsteuervoranmeldungen und Lohnsteueranmeldungen elektronisch
übermittelt werden (§18 Abs. 1 UStG und §41a Abs. 1 EStG).
Hierzu haben die Steuerpflichtigen vor Beginn des Jahres eine Erklärung
unterzeichnet, aufgrund derer ihre Teilnahme am elektronischen Verfahren
begründet wird. Kostenlose Software erlaubt das Ausfüllen der
Formulare direkt am Bildschirm und deren Übermittlung an die
Finanzbehörden. Ein bequemes, papierloses Verfahren, das nach einigen
Problemen mit Serverüberlastungen Ende Januar inzwischen auch eher
zuverlässig funktioniert. Aber es hat eine Lücke, ein
Riesen-Sicherheitsloch.
Während die Daten nämlich verschlüsselt
übertragen werden, besteht keinerlei wirksame Echtheitskontrolle.
Signaturverfahren, die hierzu benutzt werden könnten, fehlen schon im
Ansatz. Zwar sind die übermittelten Daten (möglicherweise) signiert,
aber es bestehen keine anwenderspezifischen Signaturschlüssel. Die
Anforderungen, die beispielsweise das Umsatzsteuergesetz hinsichtlich
Echtheitszertifizierung an elektronische Rechnungen stellt (§14 UStG
i.V.m. §126a BGB) wird damit von der Software der Finanzverwaltung selbst
nicht erfüllt.
Nun muß auf jeder Rechnung und jeder Quittung neben
Namen und Anschrift des Ausstellers (§14 Abs. 4 Nr. 1 UStG) auch die
Steuernummer des Ausstellers vermerkt sein (§14 Abs. 4 Nr. 2 UStG).
Mangels jeglicher digitaler Signatur braucht man nicht mehr, um jemanden massiv
zu schädigen: will ich meines besten Feindes Konto stillegen,
müßte ich also lediglich mit der Elster-Software eine deftige
Steueranmeldung in seinem Namen abgeben, und prompt kommt die hammerharte
Buchung des Fiskus. Die hierfür erforderlichen Daten kriege ich frei Haus
mit jedem Beleg des Steuerpflichtigen geliefert.
Wir empfehlen das hier wohlgemerkt nicht zur Nachahmung,
haben es aber dennoch schon ausprobiert - indirekt: nach der Anschaffung eines
neuen Rechners wurde auch die Elster-Software neu installiert, und hat klaglos
die nächste Steueranmeldung angenommen - ohne nach einer Vorinstallation,
Legitimation oder dergleichen zu fragen. Hätte die Software also auch
Daten im Namen einer anderen Person akzeptiert? Vermutlich, nur das
auszuprobieren wäre dann doch jenseits der Grenze.
Die urheberrechtlichen Sicherheitsmaßnahmen der
Softwarehersteller sind mit Aktivierung und Registrierung weitaus besser als
die des deutschen Fiskus, von den bisweilen sackstandigen (aber zweifellos
notwendigen) Kontrollmaßnahmen beim Eröffnen eines
Onlinebanking-Zuganges mal ganz zu schweigen. Die Elster erlaubt
Identitätsdiebstahl und Steuerdaten werden ohne jede Echtheitsprüfung
übermittelt - an sich schon ein Riesenproblem, aber daß es nichtmal
zur Kenntnis genommen wird ist der eigentliche Hammer.
Das Finanzamt kann aufgrund unbilliger Härten von der
Pflicht zur elektronischen Übermittlung absehen (§18 Abs. 1 Satz 1
UStG). Ist eine so einfach mögliche Schädigung durch Dritte eine
"unbillige Härte"?
Links zum Thema: Neue Kontrollmöglichkeiten des
Schnüffelstaates | Das Drama mit der Vorsteuerberichtigung (interne
Links)
Hinweise auf relevante Inhalte der BWL CD: [Lexikon]:
"Datenschutz", "Kryptographie", "Lohn- und Gehaltsbuchungen", "Lohnkonto",
"Lohnnebenkosten", "Lohnsteuer", "Lohnsteueranmeldung", "Quittung", "Rechnung",
"Signatur", "Umsatzsteuer", "Umsatzsteuervoranmeldung" (und viele damit
zusammenhängende Begriffe). [Manuskripte]: "Datenschutz und
Kryptographie.pdf", "Datenschutz und Sicherheit.pdf", "Steuerrecht.pdf", "USt
Adressen.pdf", "USt Sätze.pdf", "USt.pdf".
Diese Hinweise beziehen
sich auf die zum Zeitpunkt des Erscheinens dieses Artikels aktuelle Version der
BWL CD. Nicht alle Inhalte und nicht alle Stichworte sind in älteren
Fassungen enthalten. Den tagesaktuellen Stand ersehen Sie aus dem
Inhaltsverzeichnis oder dem thematischen Verzeichnis.
Veröffentlichungsdatum: e2.ot.WL-B, Adresse zum
Verlinken:
© Harry Zingel 2005; Neue Straße 8, 99091 Erfurt,
Tel. 0172-3642082, 0361-2606029, Fax 0361-2118928
Zurück zur
Hauptseite: http://www.bwl-bote.de/index.htm
EMail: HZingel@aol.com
Fortsetzung:
| Pflicht zur elektronischen Steueranmeldung
geplatzt! |
|
Vor zwei Tagen berichteten wir über massive
Sicherheitsmängel bei der elektronischen Steueranmeldung der Lohn- und der
Umsatzsteuer. Jetzt scheint es, daß aufgrund eines Erlasses des
Nordrhein-Westfälischen Finanzministers die Pflicht zur elektronischen
Abgabe von Steueranmeldungen bundesweit platzt. Wir empfehlen daher allen
Lesern, auf die Anwendung dieses neuen Erlasses zu bestehen und vorerst die
Lohn- und die Umsatzsteuer wieder in Papierform anzumelden - schon aus
Datenschutzgründen.
So weist das Nordrhein-Westfälische Finanzministerium in dem
fraglichen Erlaß vom 6. April 2005 (S 0061 - 65 - V 1) auf §150 Abs.
1 AO hin. Dort steht, daß Steuererklärungen nach amtlich
vorgeschriebenem Vordruck abzugeben sind. Es bestehen jedoch Zweifel, ob die
Elster-Software einem "amtlich vorgeschriebenen Vordruck" gleichsteht. Offenbar
hat man einfach vergessen, diese Regelung der AO den Neufassungen der
§§14 Abs. 4 Nr. 2 UStG (Umsatzsteuer-Voranmeldung) und 41a Abs. 1
EStG (Lohnsteuer-Voranmeldung) anzupassen. Das düsseldorfer
Finanzministerium empfiehlt daher, das BMF-Schreiben zur elektronischen
Steueranmeldung vom 29.22.3004 (IV A 6 - S 7340 - 37/04 / IV C 5 - S 2377 -
24/04) vorerst nicht mehr anzuwenden und entsprechende Steueranmeldungen wieder
in Papierform einzureichen. Den Finanzämtern in NRW wird aufgegeben,
Anträgen, in denen ein Verzicht auf die elektronische Steuererklärung
begehrt wird, regelmäßig stattzugeben. Also, in einem Wort: Die
Elster ist geplatzt. Und zwar zunächst nur in Nordrhein-Westfalen, aber
die Finanzminister der anderen Bundesländer sehen das offenbar
ähnlich. Vom Bundesfinanzminister liegt anscheinend noch keine
Stellungnahme vor.
Rein in die Kartoffeln, Raus aus den Kartoffeln: ganz
offensichtlich hat der Gesetzgeber schlampig gearbeitet, aber das in zweierlei
Hinsicht. Zum einen wurde vergessen, für die gesetzliche Festlegung
angemessener Sicherheitsmechanismen wie z.B. der digitalen Signatur nach
§126a BGB und Signaturgesetz zu sorgen, was
Mißbrauchsmöglichkeiten Tür und Tor öffnet;
darüberhinaus wurde aber auch unterlassen, §150 Abs. 1 Satz 1 AO
entsprechend zu ändern. Der Gesetzgeber ist damit bei der schriftlichen
Prüfung durchgefallen und das Gesetz ist geplatzt. Ein Armutszeugnis auch
für den deutschen Volkssouverän!
Von Dauer dürfte dieser Zustand aber nicht sein: mit einer
entsprechenden Nachbesserung und erneuten Inkraftsetzung der Pflicht zur
elektronischen Steueranmeldung ist zu rechnen, dient dies doch der offenbar
künftig geplanten Steuerfahndung per Suchmaschine. Schon das alleine ist
aber unserer Ansicht nach ein Grund, dem Fiskus ein wenig Sand ins Getriebe zu
streuen und zunächst wieder zur manuellen Anmeldung
zurückzukehren...
Links zum Thema: Massive Sicherheitslücken bei der Elster |
Neue Kontrollmöglichkeiten des Schnüffelstaates | Das Drama mit der
Vorsteuerberichtigung (interne Links)
Hinweise auf relevante Inhalte der BWL CD: [Lexikon]:
"Datenschutz", "Kryptographie", "Lohn- und Gehaltsbuchungen", "Lohnkonto",
"Lohnnebenkosten", "Lohnsteuer", "Lohnsteueranmeldung", "Quittung", "Rechnung",
"Signatur", "Umsatzsteuer", "Umsatzsteuervoranmeldung" (und viele damit
zusammenhängende Begriffe). [Manuskripte]: "Datenschutz und
Kryptographie.pdf", "Datenschutz und Sicherheit.pdf", "Steuerrecht.pdf", "USt
Adressen.pdf", "USt Sätze.pdf", "USt.pdf".
Diese Hinweise beziehen
sich auf die zum Zeitpunkt des Erscheinens dieses Artikels aktuelle Version der
BWL CD. Nicht alle Inhalte und nicht alle Stichworte sind in älteren
Fassungen enthalten. Den tagesaktuellen Stand ersehen Sie aus dem
Inhaltsverzeichnis oder dem thematischen Verzeichnis.
Veröffentlichungsdatum: 2a.te.L-Bo, Adresse zum
Verlinken:
© Harry Zingel 2005; Neue Straße 8, 99091 Erfurt,
Tel. 0172-3642082, 0361-2606029, Fax 0361-2118928
Zurück zur
Hauptseite: http://www.bwl-bote.de/index.htm
EMail: HZingel@aol.com
|
