Elster wird sicherer

Rund 90 Prozent aller Unternehmen und 20 Prozent der privaten Steuerpflichtigen haben letztes Jahr das ‘Elster’-System des Bundes genutzt und ihre Steuererklärungen online eingereicht. Höchste Zeit, das sieben Jahre alte System mit einigen wichtigen Funktionen in Hinsicht auf Authentifizierung auf einen aktuelleren Stand der Technik zu bringen.

Obwohl Missbrauch laut Betreiber so gut wie nie stattgefunden habe, ist spätestens seit März letzten Jahres bekannt, dass er zumindest möglich ist: Um eine Steuerklärung für eine bestimmte Steuernummer einzureichen musste man sich bis jetzt nicht zu erkennen geben. Theoretisch könnte man dadurch für eine dritte Partei eine gefälschte Erklärung abgeben, die den Einzug hoher Beträge aus ihrem Konto und andere Unannehmlichkeiten nach sich ziehen würde.

Das wird zwar dieses Jahr immer noch möglich sein, die Weichen für eine obligatorische Identifizierung des Einreichers ab 2007 sind jedoch gestellt. Das Elster-Portal bietet ab sofort drei verschiedene Verfahren zur Authentifizierung der Nutzer: Über ein Software-Zertifikat, über ein USB-Stick mit Verschlüsselungsfunktionen, oder über gängige Signaturkarten. Ab 2007, wenn die Authentifizierung zur Pflicht wird, wird sich jeder Einreicher oder Auskunftssuchende bei Bedarf ermitteln lassen.

Alle drei Verfahren nutzen über Public-Key-Mechanismen für mehr Sicherheit. Jeder Anwender erhält ein Schlüsselpaar – einen ein privaten zur individuellen Signatur oder Entschlüsselung von Daten und einen öffentlichen zur Überprüfung einer mit dem privaten Schlüssel durchgeführten Signatur.

Das rein als Software implementierte Zertifikat (‘Elster Basis’) ist kostenlos, bindet aber den Dialog mit dem Finanzamt auf einen bestimmten PC. Zudem könnte er bei einer Phishing-Attacke gestohlen werden, weswegen die zwei nächst höheren Sicherheitsstufen eher empfehlenswert sind.

Bei ‘Elster Spezial’ wird der Schlüssel auf einem speziellen USB-Stick mit Kryptographie-Funktionen gespeichert, dem ‘Elster-Stick’. Dieser ist weitgehend immun gegen Phishing-Attacken und gestattet eine freie Wahl des verwendeten Computers zur Übermittlung der Steuererklärung – sofern der Treiber für den Stick darauf installiert wurde. Der Stick soll um die 40 Euro kosten und ist damit deutlich günstiger als gängige Signaturkarten, die außer den Anschaffungskosten von 50 bis 70 Euro auch eine Jahresgebühr erfordern. Üblicherweise liegt diese bei 30 bis 40 Euro jährlich.

Eine Signaturkarte ist allerdings notwendig, wenn die höchste Sicherheitsstufe bevorzugt wird (‘Elster Plus’). Dabei wird nicht ein vom Finanzamt herausgegebenes Zertifikat verwendet, sondern das des Trust-Centers, welches die Karte herausgegeben hat. Dafür ist mit Elster Plus auch die volle Funktionalität des Elster-Portals zugänglich, darunter die Steuerkontoabfrage nach dem Status der Zahlungen oder der Schuld.

Die Sicherheitskonzepte und die Trust-Center, die die digitalen Zertifikate herausgeben, wurden vom deutschen Security-Dienstleister Secunet AG implementiert. Betrieben werden sie genauso wie das Portal vom Elster-Projekt selbst mit seinen Clearing-Stellen in München und Düsseldorf.