Sicherheitsprobleme bei elektronischer Steuererklärung Elster
Unternehmen, die ab Anfang 2005 pflichtgemäß ihre Steuerdaten per Internet ans Finanzamt übermitteln, müssen einkalkulieren, dass böswillige Geschäftspartner falsche Daten in ihrem Namen einreichen könnten.
Unternehmen, die ab Anfang 2005 pflichtgemäß ihre Steuerdaten per Internet ans Finanzamt übermitteln, müssen einkalkulieren, dass böswillige Geschäftspartner falsche Daten in ihrem Namen einreichen könnten. Während gedruckte Steuerformulare klar machen, dass man beim Ausfüllen die Richtigkeit der gegebenen Auskünfte per Unterschrift zu bestätigen hat, liegt der Fall bei der elektronischen Umsatzsteuer-Voranmeldung anders.
Bevor ein Betrieb vorschriftsgemäß am Elster-Verfahren für Umsatzsteuer- und Lohnsteuer-Voranmeldungen teilnehmen darf, muss er die Richtigkeit seiner Angaben mittels einmaliger schriftlicher Teilnahmeerklärung zusichern. Danach erfolgen die Anmeldungen zwar verschlüsselt, aber ohne Authentifizierung gegenüber dem Finanzamt, wie kommerzielle Steuerprogramme erläutern. So kann jeder Hinz oder Kunz, um einem Unternehmen einen Streich zu spielen, irgendwelche Zahlen unter Angabe von dessen Steuernummer beim Finanzamt einreichen. Gegen dieses Risiko wendet sich nun der Bund der Steuerzahler in Schulterschluss mit dem Bundesbeauftragten für den Datenschutz. Sollten es die Finanzbehörden "nicht schaffen, ein einwandfreies Verfahren zu gewährleisten, muss die Software so lange abgeschaltet werden" äußerte dessen Sprecherin gegenüber der Presse.
Unberechtigte Abbuchungen kann der Steuerzahler durch einfache Erklärung korrigieren lassen, wie der bundesweite Elster-Projektleiter Roland Krebs gegenüber heise online erklärte. Was er nicht sagte: Selbst wenn das in allen Fällen auf Anhieb funktionieren sollte, bleibt den Firmen ein beträchtlicher Mehraufwand für die ständige Nachprüfung der verwendeten Angaben in Steuerbescheiden. Kein Wunder, dass die Elster-Entwickler eifrig an einer besseren Lösung arbeiten: Spätestens am 1.1.2006 soll es laut Krebs ein behördliches Elster-Webportal geben, das authentisierte Steuerdaten von registrierten Absendern entgegennimmt.
Schon der maßgebliche Paragraph sechs der aktuellen Steuerdaten-Übermittlungsverordnung (PDF) suggeriert die einmalige Teilnahmeerklärung eher als Ausweichlösung für den Fall, dass die Daten nicht rechtsverbindlich mit einer fortgeschrittenen digitalen Signatur übertragen werden. Schlüssel für solche Unterschriften sind nämlich nur mit einigem Aufwand, etwa nach persönlicher Beantragung auf einem Postamt, zu beschaffen und haben bislang kaum Verbreitung gefunden -- sogar die Finanzämter sind nur in einigen Bundesländern auf die Annahme signierter Datensätze vorbereitet, sodass dieser Übertragungsweg anderswo ausgeschlossen ist. Der Ausweg über ein Portal könnte diesen Mangel elegant umgehen -- peinlich nur, dass er bestenfalls mit mehrmonatiger Verspätung zum Tragen kommen wird.
Siehe dazu auch das Editorial in iX-Ausgabe 1/2005 (seit dem gestrigen Donnerstag, den 16. Dezember, im Handel): (hps)
