Deutsche Steuerverwaltung (Finanzamt) ohne HTTPS-Zertifikat im Web unterwegs

Sicherheit (Pexels, allgemeine Nutzung)Aktuell sind möglicherweise einige Leute auf den Webseiten der deutschen Finanzämter und beim Elster-Portal unterwegs. Denn die Frist zur Abgabe der Steuererklärung läuft in wenigen Tagen ab. Wenn der aufmerksame Bürger dann auf den Portalen surft und sich bestimmter Links bedient, kann er gar wundersames erleben. Patrick hat mich per Mail auf die "Besonderheiten" des deutschen Steuerrechts, pardon, der deutschen Steuerseiten der Finanzämter, hingewiesen (danke dafür). Ist zwar nur ein "Fliegenschiss", im Vergleich zu dem, was mancher an Steuer zahlen darf. Aber ein schönes Beispiel, was bei der Digitalisierung schief läuft.


Anzeige

Von Elster per http zum Finanzamt

Patrick hat, wie andere Bürger auch, wohl die Elster-Webseite der Finanzämter im Browser aufgerufen, um dort seine Steuererklärung einzureichen. Patrick gehört aber zu den Leuten, die sich die Datenschutzhinweisen auf der betreffenden Seite genauer ansehen.

Datenschutz beim Elster-Portal

Der Link Datenschutz befindet sich am unteren Ende der Elster-Portalseite www.elster.de, so wie in obigem Screenshot abgebildet. Klickt man nun auf den Link Datenschutz öffnet sich ein Popup-Fenster mit reichlich Text zum Thema. Es ist eine Seite, die mit "Hilfe" überschrieben und auf dem Stand April 2023 ist.

Kontaktdaten auf elster.de


Anzeige

Im Text der Seite zum Datenschutz wird auch ausgeführt, dass sich die entsprechenden Kontaktdaten für die Landesfinanzbehörden unter www.finanzamt.de finden. So weit, so gut. Wer sich dann die betreffenden Daten von der angegebenen Seite holen möchte, erlebt ein kleines Wunder. Ich habe den Link im Ungoogled Chromium-Clone angesehen und bekomme beim Zeigen auf den Link in der Fußzeile des Browserfensters angezeigt, dass diese Zielseite per http aufgerufen wird. Der Firefox blendet dagegen nur die Ziel-URL in der Fußzeile ein – die Entwickler haben alle störenden Informationen für den Nutzer weg rationalisiert.

Dachte erst, es sei ein Fehler im HTML-Code der Webseite und jemand habe das https mit http verwechselt (passiert mir auch schon mal). Bei http wird die Verbindung ja zur Webseite unverschlüsselt aufgebaut. Wer nun aber die Website www.finanzamt.de aufruft, erlebt sein spezielles Wunder, denn es erscheint berechtigt eine
Sicherheitswarnung und es heißt:

Sicherheitswarnung bei finanzamt.de

Nur-HTTPS-Modus-Warnung

Sichere Website nicht verfügbar

Sie haben den Nur-HTTPS-Modus für erhöhte Sicherheit aktiviert und es ist keine HTTPS-Version von www.finanzamt.de verfügbar.

Weitere Informationen…

Was könnte die Ursache sein?

  • Höchstwahrscheinlich unterstützt die Website HTTPS einfach nicht.
  • Es ist auch möglich, dass ein Angreifer beteiligt ist. Falls Sie sich dafür entscheiden, die Website aufzurufen, sollten Sie nicht sensible Informationen wie Passwörter, E-Mail-Adressen oder Kreditkartendaten in diese eingeben.

Wenn Sie fortfahren, wird der Nur-HTTPS-Modus für diese Website vorübergehend deaktiviert.

Die Ursache ist recht einfach – die Zielseite besitzt kein SSL-Zertifikat und triggert so die betreffende Browser-Warnung. Nur wer die Schaltfläche Weiter zur HTTP-Website anwählt, gelangt zur Zielseite von finanzamt.de und wird dann automatisch zur Seite des Bundeszentralamts für Steuern (BZST) und zum Behördenwegweiser weitergeleitet. Patrick hatte einen englischsprachigen Firefox zum Aufruf benutzt und schrieb, dass er folgende Warnung erhalten habe:

"Warning: Potential Security Risk Ahead Firefox detected a potential security threat and did not continue to
www.finanzamt.de. If you visit this site, attackers could try to steal information like your passwords, emails, or credit card details.

What can you do about it?

The issue is most likely with the website, and there is nothing you can do to resolve it. You can notify the website's administrator about the problem."

(Advanced: "Websites prove their identity via certificates. Firefox does not trust this site because it uses a certificate that is not valid for www.finanzamt.de. The certificate is only valid for the following names:
steuerliches-info-center.de, www.steuerliches-info-center.de
Error code: SSL_ERROR_BAD_CERT_DOMAIN")

Er schrieb mir ebenfalls, dass der Link bei www.elster.de unter Datenschutz ohne https angegeben sei und der Browser teilweise auch nur eine Warnung anzeigt, dass die Seite nicht via https erreichbar ist. Der Hintergrund ist irgendwie klar: Es gibt unter der Ziel-URL www.finanzamt.de keine Website (mehr), sondern nur eine Weiterleitung zur Site www.bzst.de (Bundeszentralamt für Steuern). Diese Zielseite kann der Anwender aber, wegen der Sicherheitswarnung im Browser, nur erreichen, wenn er die  Sicherheitswarnung ignoriert.

Für Nutzer mit Kenntnissen der Hintergründe ist der Sachverhalt klar, aber der normale Steuerpflichtige, der die Zusammenhänge nicht kennt, wird in diesem Fall gezwungen, eine deutliche Warnung des Browsers zu ignorieren. Warum nicht direkt die Webseite des Bundeszentralamt für Steuern per https verlinkt wird, wird nur der Ersteller der Webseite wissen.

Patrick merkte in seiner E-Mail an mich an: Nachdem hier in der Region bereits 2 Landkreise wegen eines direkten Angriffs und eines Malware-Befalls teilweise für über eine Woche ihren gesamten Betrieb einstellen mussten, müssten solch grundsätzliche Konfigurationsfehler gerade beim zentralen Portal der Finanzämter www.elster.de durch das IT-Management ausgeschlossen werden können. Dem ist nichts hinzuzufügen. Er hat daher den Vorgang vor einigen Tagen auch an das BSI gemeldet und hofft auf eine Antwort. Die Mail von Patrick ist schon einige Tage alt, die Verlinkung wurde noch nicht angepasst – vermutlich kreist der Vorgang noch und jemand überlegt, wo er fündig werden könnte.

Es ist gefixt

Zum 9. Februar 2024 hat sich ein Blog-Leser gemeldet und berichtet, dass das Problem behoben sei – finanzamt.de habe nun ein SSL-Zertifikat. Das lässt sich bestätigen. Der Leser schrieb mir, dass er den Blog-Beitrag gesehen, und weil die Domain zum ITZBund gehört, intern als Incident gemeldet habe. 

Es hat zwar "nur" einige Monate gedauert – aber was lange währt wird endlich gut. Seit dem 8. Februar 2024 hat die Seite nun ein gültiges Zertifikat – der Incident wurde  beim ITZBund entsprechend bearbeitet und geschlossen. An dieser Stelle mein Dank an den Leser – und schön zu lesen, dass der Blog hier für etwas gut ist.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

18 Antworten zu Deutsche Steuerverwaltung (Finanzamt) ohne HTTPS-Zertifikat im Web unterwegs

  1. Jens sagt:

    Noch interessanter wird es, wenn man https://www.finanzamt.de aufruft und sich dann nach der Zertifikatswarnung (SSL_ERROR_BAD_CERT_DOMAIN) das Zertifikat anzeigen lässt:

    Inhabername
    Organisation Informationstechnikzentrum Bund (ITZBund)
    Allgemeiner Name steuerliches-info-center.de

    Ausstellername
    Organisation Verein zur Foerderung eines Deutschen Forschungsnetzes e. V.

    Alternative Inhaberbezeichnungen
    DNS-Name steuerliches-info-center.de
    DNS-Name http://www.steuerliches-info-center.de

  2. yumper sagt:

    Hallo

    kann ich hier nicht nachvollziehen. Chrome zeigt einwandfreie https Seiten an.

    Liegt Wohl eher am Firefox Bastelkasten

    so long

    yumper

    • Günter Born sagt:

      Hab es sowohl im Ungoogled als auch im Firefox nachvollzogen – wenn https erzwingen als Default-Option eingestellt ist, kommt die Warnung.

    • ich bin´s sagt:

      Es liegt keinesfalls am „Bastelkasten", denn auch Chrome und Opera zeigen mir die Warnung an.

    • Patrick sagt:

      Bei der Anzeige von "einwandfreien HTTPS-Seiten" lohnt sich der genaue Blick auf die Adresse im Browser. Die dürfte
      "https://www.bzst.de/DE/Service/Behoerdenwegweiser/FinanzverwaltungLaender/finanzverwaltunglaender_node.html"
      lauten.
      Die Domain "www.finanzamt.de" wird nur als Weiterleitung verwendet, was die unübersichtliche Programmierung weiter kompliziert und Angreifern die Arbeit vereinfacht.

  3. Bolko sagt:

    Im Supermium (Chromium für Win7) wird in der Adresszeile links neben dem https die Warnung "Nicht sicher" angezeigt.
    Klickt man darauf, dann erscheint die Fehlerursache "Zertifikat ist ungültig".
    Klickt man wiederum auf dieses "Zertifikat ist ungültig", dann erscheint:

    Allgemeiner Name (CN): "Steuerliches.info-center.de"

    Organisation (O): Informationstechnikzentrum Bund (ITZBund)

    Organisationseinheit (OU): Gehört nicht zum Zertifikat

    Die Seite www[.]finanzamt[.]de und das Zertifikat passen nicht zusammen.

    Wenn man die Browser-Warnung ignoriert und auf "Weiter zur unsicheren Webseite" klickt, dann wird man zu dieser Seite umgeleitet:

    www[.]bzst[.]de/DE/Service/Behoerdenwegweiser/FinanzverwaltungLaender/finanzverwaltunglaender_node.html

    (Diese Seite zeigt der Browser als sicher an, https).

  4. Wil Ballerstedt sagt:

    Komisch, im Firefox und Edge immer https.

  5. Anonymous sagt:

    Unterschiedliche Ergebnisse liegen vermutlich an unterschiedlichen Einstellungen in den jeweiligen Browsern bzgl. Upgrade-Insecure-Requests Header in der Anfrage an den Server.

    https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Upgrade-Insecure-Requests

  6. ChrizzChrozz sagt:

    unter https://www.finanzamt.de liegt einfach ein Zertifikat, welches nicht auf diese Domain ausgestellt ist.
    Vor derartigen "Konstrukten" sollte heutzutage jeder Browser warnen – es sei denn, er ist falsch eingestellt oder schon gehijackt.
    Jedenfalls liegt es nicht an "Bastelkram", auch Safarie/OSX meckert. Zu Recht.

  7. A. B. sagt:

    Ganz toll:
    Ich versuche jetzt schon seit 2 Stunden, meine Steuererklärung in MeinElster (bzw. im Elsterportal) abzugeben.
    Alle Daten sind bereits eingegeben und geprüft, ich wollte/muss mich nur nochmal nach dem Standard-Timeout (30min.) per Zertifikatsdatei neu einloggen, um alles final abzusenden… aber es liegt anscheinend Deutschlandweit eine Störung vor:
    https://www.netzwelt.de/ist-down/361-elster.html#aktuelle-probleme

    Das Einloggen geht gar nicht, dauert ewig (vergeblich) oder es erscheint folgende Seite: https://download.elster.de/wartung/wartung.html

    Und das nur 1 Tag vor der Abgabefrist !!

    (Hat das was mit dem Inhalt des Posts zu tun ?)

  8. BR sagt:

    Das ist im 21. Jahrhundert tatsächlich peinlich.. bin zwar nicht für die Seite finanzamt.de zuständig, arbeite aber für den Hoster und habe das Ganze via Incident an die zuständige Fachabteilung weitergegeben. Mal sehen, ob sich was tut..

  9. 1ST1 sagt:

    GB schrieb am 10.2. zur aktuellen Entwicklung:

    "Fairerweise muss man anmerken, dass so eine Änderung nicht aus der Lameng passieren kann, sondern interne Abstimmungsprozesse durchlaufen muss. Man kann sicherlich über die Zeitdauer nachdenken. Was ich aber positiv hervorheben muss: Es gibt sie noch, die Mitarbeiter in Behörden, die proaktiv tätig werden und etwas, was hier im Blog behandelt wird, aufgreifen und abstellen lassen. "

    Kann man so sehen, Lob soll ja bekanntermaßen motivieren. Dass dort aber selbst niemand auf die Idee kam, nichtmal die eigene Webseite mit einem aktuellen Browser geprüft wurde, überhaupt, dass es offensichtlich keine Sicherheits-Audits gibt, das ist dann doch wieder ein Armutszeugnis für das Hochtechnologie#neuland das bei allen Themen ganz vorne mit dabei sein will.

    • P. Wagner sagt:

      Und wegen "das kann man nicht so aus der Lameng machen" frage ich mich, was genau für ein Aufwand oder Risiko/Nutzen-Abschätzung hier erfolgen musste, einfach ein *weiteres* Zertifikat im Webserver einzubinden, wenn die Webseite, die ja sogar nur ein Redirect ist, also keine großen Content-Security-Themen, schon auf einem Webserver lag, wo ja offensichtlich schon SSL-Zertifikate lagen, halt nur keins für diese Domain?

      Wenn das 1 Woche nach Meldung an ITZBund geändert gewesen wäre, dann hätte ich gesagt "jo mei, durchsprechen, in irgendeinem Weekly oder CAB-Meeting abnicken lassen, implementieren, ist OK". Aber Monate?

  10. Patrick sagt:

    Unter "Datenschutz" auf der Seite "www.elster.de" erfolgt der Hinweis:

    "Die entsprechenden Kontaktdaten für die Landesfinanzbehörden finden Sie unter http://www.finanzamt.de in den jeweiligen landesspezifischen Übersichten, für das Bundesministerium der Finanzen unter http://www.bundesfinanzministerium.de und für das Bundeszentralamt für Steuern und die Familienkassen unter http://www.bzst.de."

    Der Link zu "www.finanzamt.de" ist dabei der einzige, der (immer noch) nur via HTTP aufgerufen wird. Beim Wechsel zu HTTPS im Browser wird jetzt ein gültiges Zertifikat verarbeitet, dennoch erfolgt lediglich eine Weiterleitung zur Website des Bundeszentralamts für Steuern (www.bzst.de) auf der man gar nicht die entsprechenden Kontaktdaten für die Landesfinanzbehörden (direkt?) findet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.