BSI findet bei Studie Schwachstellen von Steuererklärungsapps
Steuererklärungsapps für Smartphone und Tablets werden beliebter. Das BSI hat einige davon genauer untersucht und zeigt potenzielle Schwachstellen auf.
(Bild: giggsy25/Shutterstock.com)
- Frank Schräer
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Reihe von Steuererklärungsapps für Smartphones und Tablets hinsichtlich IT-Sicherheit untersucht. Die Studie hat dabei einige mögliche Schwachstellen identifiziert, auf die Verbraucher bei der Wahl der eigenen Software achten sollten. Schließlich verarbeiten Steuererklärungsapps besonders viele sensible Daten wie Einkommensinformationen, Sozialversicherungs- und Steueridentifikationsnummern sowie andere persönliche Identifikatoren, betont das BSI.
Grund für die Studie des BSI als zentrale Cybersicherheitsbehörde und unabhängige Stelle für den digitalen Verbraucherschutz in Deutschland war, dass laut einer kürzlichen Umfrage Software und Apps für Steuererklärungen zunehmend beliebter werden. Mittlerweile werden in Deutschland 57 Prozent der Steuererklärungen online abgegeben. Dabei hat sich die Nutzung von Steuererklärungsapps verdoppelt: Das Einreichen der Steuererklärung per Smartphone oder Tablet ist innerhalb eines Jahres von vier auf acht Prozent im Jahr 2023 gestiegen.
Deshalb hat das BSI den Markt für Steuererklärungsapps unter die Lupe genommen und insgesamt neun Produkte genauer analysiert. Die Apps sollten an die Elster-Schnittstelle angebunden sein, damit die Steuererklärung digital abgegeben werden kann, auf Smartphone oder Tablet laufen und die Abgabe einer Einkommenssteuererklärung ermöglichen. Da diese Kriterien von 70 Apps erfüllt wurden, wurde die Auswahl nach dem Zufallsprinzip auf drei Web-Apps, vier Android-Apps und zwei iOS-Apps reduziert.
Schwachstellen offengelegt
Das BSI nennt allerdings keine Produkte beim Namen, sondern beschränkt sich auf potenzielle Schwachstellen, auf die Anwender bei der Nutzung selbst achten sollten. Den höchsten Risikograd bekamen Datenübermittlungen an Drittanbieter, die bei fünf Apps festgestellt wurden, sowie die Verwendung veralteter Software mit bekannten Schwachstellen, was bei drei Apps beklagt wurde.
Zudem bemängelte das BSI mangelhafte Passwortrichtlinien und Cookie-Konfigurationen sowie mögliche Benutzer-Enumerationen, bei der Angreifer Benutzernamen oder E-Mail-Adressen herausfinden könnten, etwa durch inkonsistente oder zu informative Rückmeldungen von Apps während des Authentifizierungsprozesses. Weniger bedenklich, aber trotzdem wichtig ist die Zwei-Faktor-Authentisierung (2FA), die manche Apps noch nicht anbieten.
Forderungen des BSI und positive Resonanz der Anbieter
Abschließend fordert das BSI von den Anbietern der Steuererklärungsapps, dass diese die Verschlüsselungsverfahren regelmäßig überprüfen und eine sichere sowie autorisierte Anmeldung von Diensten sichergestellt ist, etwa durch 2FA. Zudem sollten die Apps periodisch Sicherheitsüberprüfungen unterzogen werden und Drittanbieter wie Cloud-Dienste hinsichtlich ihrer Sicherheit bewertet werden.
Das BSI zeigt sich aber zufrieden von der Zusammenarbeit mit den Anbietern der Apps. Diese wurden über die Studie informiert, um sie für den Schutzbedarf der Verbraucherdaten zu sensibilisieren, und haben überwiegend positive Rückmeldungen gegeben. Ob die Diensteanbieter die Forderungen des BSI hinsichtlich IT-Sicherheit bei den Apps umsetzen, war allerdings nicht mehr Teil der Studie.
(fds)