Das Anwenderforum der Steuersoftware Elster wurde gehackt. Dabei konnte ein Angreifer die persönlichen Daten der im Anwenderforum registrierten Benutzer abgreifen. Betroffene sollten inzwischen benachrichtigt worden sein.
Anzeige
Hack des Elster Anwenderforums per Sicherheitslücke
Ich bin vor einigen Stunden per Mail von Blog-Leser Tobias auf das Thema hingewiesen worden – er hat wohl eine solche Mail bekommen. Die Startseite des Elster-Anwenderforums zeigt aktuell einen entsprechenden Hinweis. Auch heise hat das inzwischen in einem Beitrag thematisiert.
Elster-Anwenderforum: Angreifer griffen über Sicherheitslücke Nutzerdaten ab https://t.co/j9YeYJrdqU #ElsterOnline #Security
— heise Security (@heisec) August 21, 2020
Benutzer, die im Anwenderforum der Steuersoftware Elster angemeldet waren, müssen sich darauf einstellen, dass ihre persönlichen Daten entwendet wurden. Denn im ELSTER-Anwenderforum bestand leider eine Sicherheitslücke (sog. Zero-Day-Schwachstelle), die inzwischen zwar geschlossen ist. Die Angabe 'kurzfristig geschlossen' deutet in Nebel-Sprech-Manier darauf hin, dass ein Patch nicht eingespielt worden war. Heise schreibt, dass die Software mit vBulletin läuft – da gab es am 10. August 2020 einen Sicherheitspatch, das die Schwachstelle ausgenutzt wurde (siehe diesen Blog-Beitrag). Möglicherweise sind die Betreiber Opfer genau dieses Angriffs geworden. Ein Angreifer konnte sich sich jedenfall in der Zwischenzeit die Sicherheitslücke zu Nutze machen, um Daten registrierter Benutzer abzuziehen.
Personenbezogene Daten abgeflossen
Laut den Betreibern des Elster-Anwendungsforums sind von dem Sicherheitsangriff personenbezogenen Daten, die Nutzer im Anwenderforum angegeben haben (z.B. selbstvergebener Benutzername, E-Mailadresse und ggf. Geburtsdatum, falls dieses angegeben wurde) betroffen. Die Passwörter sind laut Betreiber jedoch verschlüsselt hinterlegt und waren von dem Angriff nicht betroffen. Die Betreiber empfehlen den Betroffenen dennoch, ihr Passwort vorsorglich zu ändern.
Anzeige
Die Datenschutzaufsichtsbehörden wurden über den Vorfall informiert. Das Anwenderforum "ELSTER – Ihr Onlinefinanzamt" war ausdrücklich nicht betroffen, da dieses auf einem eigenen System betrieben wird. Nachfolgend noch die Information, die von den Betreibern des Elster-Anwendungsforums verschickt wurde.
Betreff: Wichtige Sicherheitsinformation
Sehr geehrte/r Forumsteilnehmer/in,
im ELSTER-Anwenderforum bestand leider eine Sicherheitslücke (sog. Zero-Day-Sicherheitslücke), die sich ein Angreifer zu Nutze gemacht hat. Die Sicherheitslücke konnte kurzfristig geschlossen werden.Von dem Sicherheitsangriff betroffen waren Ihre personenbezogenen Daten, die Sie im Anwenderforum angegeben haben (z.B. selbstvergebener Benutzername, E-Mailadresse und ggf. Geburtsdatum, falls Sie dieses angegeben haben). Ihre Passwörter sind verschlüsselt hinterlegt und waren von dem Angriff nicht betroffen. Wir empfehlen Ihnen dennoch, Ihr Passwort vorsorglich zu ändern.
Für die Erstellung von Passwörtern können wir Ihnen die Informationen und Richtlinien auf der Website des Bundesamtes für Sicherheit in der Informationstechnik (BSI) empfehlen: www.bsi-fuer-buerger.de
Eine Benachrichtigung der datenschutzrechtlichen Aufsichtsbehörde ist umgehend erfolgt.
Darüber hinaus möchten wir Sie noch auf Folgendes hinweisen: Das Anwenderforum wird unabhängig von „ELSTER – Ihr Onlinefinanzamt" auf einem eigenen System betrieben. Die Sicherheitslücke war ausschließlich in der Software des Anwenderforums enthalten. Der Angriff hat keinerlei Auswirkungen auf Ihr ELSTER-Zertifikat, Ihre Daten bei „Mein ELSTER" und daher auch nicht auf Ihre Steuerdaten.
Abschließend möchten wir Ihnen noch einmal versichern, dass wir den Datenschutz unserer Nutzer sehr ernst nehmen und „ELSTER – Ihr Onlinefinanzamt" sehr strengen IT-Sicherheitsanforderungen unterliegt. Die Leistungen von „ELSTER – Ihr Onlinefinanzamt" werden in einer nach ISO 27001 auf Basis der IT-Grundschutz-Kataloge des BSI zertifizierten eigenen IT-Infrastruktur erbracht.
Für die Ihnen entstandenen Unannehmlichkeiten bitten wir um Entschuldigung.
Für Rückfragen wenden Sie sich an die
Behördliche Datenschutzbeauftragte
Bayerisches Landesamt für Steuern – Dienststelle München E-Mail: datenschutz@elster.de
Mit freundlichen Grüßen
Ihr ELSTER-Web-Team
Anzeige
Das ist eine Vorstufe, um komplett in das ELSTER-System der gesamten deutschen Finanzverwaltung hineinzukommen.
Gut, das Anwenderforum ist insoweit nicht gefährlich, da dort keine Daten übermittelt werden. Es kann aber gefährlich werden zur Manipulation.
Hierzu ist anzumerken, dass alle elektronischen Übermittlung von Steuererklärungen, -Anmeldungen etc. (egal ob Elster direkt oder von Drittanbieter) über ELSTER laufen. Das System sitzt in Bayern. Dieses verteilt an die Landesfinanzverwaltungen etc. Es ist somit die entscheidende Schnittstelle bzw. Übermittlungsstelle zur Verteilung.
Was eigentlich betroffen ist, ist so nicht ersichtlich.
Bis jetzt ist ersichtlich, dass steuerrelevante Daten nicht betroffen sind.