Steuererklärung per Smartphone-App: sind Sie sicher? Das BSI deckt zahlreiche Schwachstellen auf.

In Deutschland vollzieht sich die Digitalisierung öffentlicher Dienste mitunter schleppend- eine Herausforderung, die auch die Steuerverwaltung betrifft. Vor diesem Hintergrund treten private Anbieter mit Steuererklärungs-Apps auf den Plan, um den Bürgerinnen und Bürgern eine effiziente, digitale Alternative anzubieten. Diese Apps versprechen eine unkomplizierte und schnelle Abwicklung der Steuererklärung, was besonders in einem Umfeld, in dem Behörden mit der Digitalisierung hinterherhinken, innovativ und effizient sein kann. Die Anbieter entsprechender Dienste werben gerne mit der Nutzerfreundlichkeit und leicht verständlicher Handhabung. Doch erfüllen Sie auch die Sicherheitsstandards, die wir bei der Verarbeitung sensibler, personenbezogener Finanzdaten erwarten? Das Bundesamt für Sicherheit in der Informationstechnik hat sich die Anwendungen von neun Anbietern angesehen und zahlreiche gravierende Sicherheitslücken entdeckt.

Weshalb sind Steuerklärungs-Apps zunehmend populär?

Die Popularität von Steuer-Apps ist hauptsächlich auf deren Fähigkeit zurückzuführen, den Steuererklärungsprozess erheblich zu vereinfachen und zu beschleunigen. Durch die Nutzung dieser digitalen Helfer können Steuerpflichtige ihre Steuererklärungen bequem von zu Hause aus und zu jeder Zeit erledigen. Die Apps leiten die Nutzer durch den komplexen Prozess, helfen dabei, mögliche Absetzungen zu identifizieren, und verbessern so die Genauigkeit der Einreichungen. Im Vergleich zum altmodischen Gang zum Steuerberater oder Lohnsteuerhilfeverein, spart dies nicht nur Zeit, sondern maximiert potenziell auch die Steuerrückzahlungen. Es senkt zudem die mentalen Hürden, sich überhaupt mit der Materie zu beschäftigen, denn es wird sozusagen gebrauchsfertig angerichtet. Angesichts der langsamen Digitalisierung in vielen deutschen Behörden bieten diese Apps eine willkommene Alternative, um den bürokratischen Aufwand zu minimieren und die Effizienz zu steigern.

Papier, PC oder App?

Welche Daten sind erforderlich?

Bei der Nutzung von Steuererklärungs-Apps müssen Nutzer eine Vielzahl sensibler persönlicher und finanzieller Daten eingeben. Dazu gehören unter anderem das Einkommen, Lohnsteuerbescheinigungen, Angaben zu Sonderausgaben, außergewöhnlichen Belastungen sowie Informationen zu Kapitalerträgen und Vermietungseinkünften. Diese Daten sind für die korrekte Berechnung der Steuerschuld unerlässlich. Die Sicherheit dieser Informationen ist von höchster Bedeutung, da sie bei Missbrauch zu ernsthaften Datenschutzverletzungen und finanziellen Schäden führen können.

Was hat das BSI herausgefunden?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führte eine Untersuchung von neun Steuererklärungs-Apps durch und stellte dabei insgesamt 97 IT-Sicherheitsmängel fest. Diese Mängel umfassten eine Vielzahl von Sicherheitsproblemen, darunter schwache Passwortrichtlinien, mangelhafte Cookie-Konfigurationen, das Fehlen einer Zweifaktor-Authentifizierung, die Übermittlung von Daten an Dritte, Benutzertracking, die Nutzung veralteter Verschlüsselungsmethoden und Software, sowie die Möglichkeit zur Benutzer-Enumeration. Nachdem das BSI diese Sicherheitslücken identifiziert und den betreffenden Anbietern mitgeteilt hatte, wurden die meisten dieser Mängel von den Anbietern behoben. In Anbetracht der streng vertraulichen Natur der potentiell gefährdeten Daten, sind dies dennoch bedenkliche und beunruhigende Erkenntnisse.

Informationspolitik des BSI

Erst kürzlich haben wir uns in diesem Blog mit der merkwürdigen bis fragwürdigen Informationspolitik des BSI beschäftigt. Im Zuge des AnyDesk-Hacks stellte sich die Frage, wie früh das BSI wieviel wusste und weshalb es seine Informationen zunächst nicht oder nur mit ausgewählten Personenkreisen teilte. Auch bei der jetzigen Untersuchung der Steuererklärungs-Apps nennt das BSI keine Namen betroffener Anbieter, obwohl Nutzerinnen und Nutzer natürlich besonders hieran ein großes Interesse hätten. Selbstredend muss das BSI verschiedene Interessengruppen gegeneinander abwägen und kann keine bestehenden Sicherheitslücken publizieren und damit Kriminellen in die Hände spielen. Da die Anbieter der mangelhaften Apps jedoch bereits vorab informiert worden sind und die meisten Mängel beseitigen konnten, wäre nur transparent, hierzu ein Ranking zu veröffentlichen und die fraglichen Anwendungen zu bennenen. Dies ist nicht erfolgt.

Was sind die konkreten Sicherheitslücken?

• Schwache Passwortrichtlinien: Fehlen strenger Vorgaben für die Erstellung sicherer Passwörter.
• Mangelhafte Cookie-Konfigurationen: Unzureichende Sicherheitsmaßnahmen im Umgang mit Cookies, was die Privatsphäre der Nutzer beeinträchtigen kann.
• Fehlende Zweifaktor-Authentifizierung: Keine zusätzliche Sicherheitsebene durch Verifizierung über ein zweites Gerät oder eine zweite Methode.
• Datenübermittlung an Dritte: Übertragung von Nutzerdaten an externe Parteien ohne ausreichende Transparenz oder Zustimmung.
• Benutzertracking: Verfolgung der Nutzeraktivität innerhalb der App, oft ohne klare Offenlegung oder Einwilligung der Nutzer.
• Verwendung veralteter Verschlüsselungsmethoden und Software: Einsatz nicht mehr zeitgemäßer Technologien, die potenzielle Sicherheitslücken aufweisen.
• Möglichkeit zur Benutzer-Enumeration: Anfälligkeit, die es ermöglicht, gültige Benutzernamen oder E-Mail-Adressen durch systematisches Ausprobieren zu ermitteln.
  
  

Den gesamten Bericht des BSI finden Sie hier.

Welche potenziellen Gefährdungen ergeben sich aus diesen Schwachstellen?

• Identitätsdiebstahl: Schwache Passwortrichtlinien und die Abwesenheit von Zweifaktor-Authentifizierung erhöhen das Risiko, dass unbefugte Dritte Zugriff auf persönliche und finanzielle Informationen erlangen. Dies kann zur unrechtmäßigen Nutzung dieser Daten führen, einschließlich Identitätsdiebstahl.
• Verlust der Privatsphäre: Die mangelhafte Konfiguration von Cookies und das Benutzertracking ohne transparente Zustimmung ermöglichen es Anbietern, detaillierte Profile über das Nutzerverhalten zu erstellen. Diese Informationen könnten potenziell für Werbezwecke missbraucht werden oder in die falschen Hände geraten.
• Phishing-Angriffe: Die Möglichkeit zur Benutzer-Enumeration kann dazu führen, dass Angreifer an valide Nutzerdaten gelangen und diese für gezielte Phishing-Angriffe verwenden, um weitere sensible Informationen zu extrahieren oder Schadsoftware zu verbreiten.
• Datenlecks und -verlust: Die Verwendung veralteter Verschlüsselungsmethoden und Software birgt das Risiko, dass Daten leicht abgefangen oder kompromittiert werden können. Dies kann nicht nur zum Verlust persönlicher und finanzieller Informationen führen, sondern auch das Vertrauen in den Anbieter dauerhaft beschädigen.

Fazit

Als Nutzer von Steuererklärungs-Apps ist es für Sie in diesem Moment wichtig, eine bewusste Auswahl zu treffen, wenn es um die Nutzung digitaler Dienste für Ihre Steuerangelegenheiten geht. Dies beginnt mit der Entscheidung für Apps, die nicht nur für ihre Benutzerfreundlichkeit bekannt sind, sondern auch für ihre Sicherheits- und Datenschutzmaßnahmen.

Wählen Sie Anbieter, die transparent darüber informieren, wie sie Ihre Daten schützen und welche Sicherheitsprotokolle implementiert sind. Ein wichtiger Schritt zur Sicherung Ihrer eigenen Daten ist die Aktivierung zusätzlicher Sicherheitsoptionen, wie beispielsweise der Zweifaktor-Authentifizierung. Diese zusätzliche Sicherheitsebene erschwert unbefugten Zugriff erheblich und sollte immer aktiviert werden, wenn sie verfügbar ist. Darüber hinaus ist es unabdingbar, starke, einzigartige Passwörter für jeden Online-Dienst, den Sie nutzen, zu erstellen.

Sie sollten auch Ihre Privatsphäre-Einstellungen in den Apps regelmäßig überprüfen und anpassen, um sicherzustellen, dass Ihre Daten so geschützt sind, wie Sie es wünschen. Diese proaktive Herangehensweise hilft Ihnen, Ihr digitales Profil sicher zu halten und potenziellen Missbrauch zu vermeiden. 

Bleiben Sie informiert, bleiben Sie sicher!