{"id":292936,"date":"2024-03-02T08:21:40","date_gmt":"2024-03-02T07:21:40","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=292936"},"modified":"2024-03-13T16:05:34","modified_gmt":"2024-03-13T15:05:34","slug":"bsi-untersuchung-9-steuererklrungs-apps-mit-97-it-sicherheitsmngeln","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/03\/02\/bsi-untersuchung-9-steuererklrungs-apps-mit-97-it-sicherheitsmngeln\/","title":{"rendered":"BSI-Untersuchung: 9 Steuererkl&auml;rungs-Apps mit 97 IT-Sicherheitsm&auml;ngeln"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat sich neun Steuererkl\u00e4rungs-Apps angesehen und auf deren Sicherheit \u00fcberpr\u00fcft. Das vernichtende Ergebnis: In den neun Apps wurden gleich 97 Sicherheitsm\u00e4ngel entdeckt. Die M\u00e4ngel wurden den Anbietern gemeldet, so dass diese behoben wurden. Die Episode zeigt aber, dass was im Argen liegt und Sicherheit zuk\u00fcnftig ein wesentlicher Bestandteil der Entwicklung von IT-L\u00f6sungen sein muss. <strong>Erg\u00e4nzung:<\/strong> Ein Anbieter hat mir noch einige Erl\u00e4uterungen zukommen lassen, die ich nachgetragen habe.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/e1b861b601ba4f3c8de541cc098ebfe2\" alt=\"\" width=\"1\" height=\"1\" \/>Steuererkl\u00e4rungs-Apps erfreuen sich bei den Menschen zunehmender Beliebtheit. Und Steuerdaten sind irgendwie \"sensibel\". Da dort besonders viele sensible Verbraucherdaten zu verarbeiten sind, wird man annehmen, dass die Datensicherheit bei Steuererkl\u00e4rungs-Apps von gro\u00dfer Bedeutung ist. Um diesbez\u00fcglich Erkenntnisse sammeln zu k\u00f6nnen, fand eine Untersuchung von neun Apps durch das BSI statt. Nach einer Analyse des Marktes f\u00fcr Steuererkl\u00e4rungs-Apps wurden die Sicherheitseigenschaften der ausgew\u00e4hlten Apps <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Publikationen\/DVS-Berichte\/steuererklaerungsapps.html\" target=\"_blank\" rel=\"noopener\">untersucht<\/a>.<\/p>\n<p><a href=\"https:\/\/twitter.com\/BSI_Bund\/status\/1763467042311582029\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Sicherheit in Steuererkl\u00e4rungs-Apps\" src=\"https:\/\/i.postimg.cc\/59St0mWy\/image.png\" alt=\"Sicherheit in Steuererkl\u00e4rungs-Apps\" \/><\/a><\/p>\n<p>Obiger <a href=\"https:\/\/twitter.com\/BSI_Bund\/status\/1763467042311582029\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> bringt es bereits auf den Punkt: Das BSI fand bei einer Untersuchung von 9 Steuererkl\u00e4rungs-Apps 97 IT-Sicherheitsm\u00e4ngel. Bei 75 Schwachstellen gibt es sogar einen CVSS-Score. Die Liste der Verfehlungen ist lang:<\/p>\n<ul>\n<li>Mangelhafte Passwortrichtlinien<\/li>\n<li>Mangelhafte Cookie-Konfiguration<\/li>\n<li>Keine 2FA-Absicherung m\u00f6glich<\/li>\n<li>Daten\u00fcbermittlung an Drittanbieter<\/li>\n<li>Benutzertracking<\/li>\n<li>Veraltete Cipher-Suites und TLS-Versionen<\/li>\n<li>Benutzer-Enumeration m\u00f6glich<\/li>\n<li>Verwendung veralteter Software<\/li>\n<\/ul>\n<p>Nachfolgender Screenshot zeigt die betreffenden Punkte samt Verteilung der Schwachstellen in den Apps.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.postimg.cc\/3NyjYrt5\/image.png\" \/><\/p>\n<p>Es ist ein Bild des Grauens, bei fast jeder App wurde veraltete Software mit hohen Sicherheitsrisiken verwendet. Keine der neun Apps kam ohne Sicherheitsrisiko daher und im Grunde muss man feststellen, dass alle Apps bez\u00fcglich der Sicherheit laut BSI-Pr\u00fcfbericht erst einmal durchgefallen sind. Das BSI hat dann die Sicherheitsm\u00e4ngel den Anbietern gemeldet, wodurch die Schwachstellen gr\u00f6\u00dftenteils behoben werden. Der BSI-Pr\u00fcfbericht l\u00e4sst sich als <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Publikationen\/DVS-Berichte\/steuererklaerungsapps.pdf?__blob=publicationFile&amp;v=4\" target=\"_blank\" rel=\"noopener\">PDF-Dokument herunterladen<\/a>, ist aber recht sperrig zu lesen. Die Kollegen von Golem haben das Ganze f\u00fcr eilige Leser in <a href=\"https:\/\/www.golem.de\/news\/risiko-fuer-steuerdaten-bsi-entdeckt-97-sicherheitsmaengel-in-steuererklaerungsapps-2403-182751.html\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> etwas aufbereitet.<\/p>\n<p>Das BSI fordert nicht nur die Einhaltung der Grunds\u00e4tze der Datensparsamkeit und Zweckbindung sowie die Durchf\u00fchrung regelm\u00e4\u00dfiger Sicherheitspr\u00fcfungen. Es hei\u00dft auch, dass Sicherheit zuk\u00fcnftig ein wesentlicher Bestandteil der Entwicklung von IT sein muss. Wohl wahr.<\/p>\n<h2>WISO Steuer sticht positiv heraus<\/h2>\n<p>Erg\u00e4nzung: In den Kommentaren gab es ja berechtigte Kritik, dass die Apps, die das BSI gepr\u00fcft hat, ungenannt blieben. Ich kann mir da nichts aus den Rippen schneiden. Im Nachgang hat mich aber eine Agentur kontaktiert, die wohl f\u00fcr die Entwickler von WISO Steuer aktiv ist. Hier deren erg\u00e4nzender Text.<\/p>\n<blockquote><p>Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat neun Apps und Browser-Anwendungen f\u00fcr die Steuererkl\u00e4rung auf m\u00f6gliche Sicherheitsl\u00fccken gepr\u00fcft. Der jetzt ver\u00f6ffentlichte Untersuchungsbericht (PDF) zeigt: Bei den untersuchten Apps gibt es deutliche Unterschiede sowohl in der Anzahl als auch im Risikograd der festgestellten Punkte. Das BSI gewichtet dabei das Risiko von \u201egering\" bis \u201ekritisch\". Hinzu kommen Feststellungen, die lediglich informativen Charakter besitzen.<\/p>\n<p>Zu einer App schreibt das BSI: \u201eBei der Verteilung der Pr\u00fcfungsfeststellungen sticht eine App positiv heraus, die lediglich zwei Feststellungen mit dem Risikograd \u201emedium\" und \u201elow\" sowie eine \u201eInfo\"-Feststellung verzeichnet.\"<\/p>\n<p>\u201eAus Gr\u00fcnden der Fairness, insbesondere gegen\u00fcber den nicht untersuchten Anwendungen, nennt das BSI in seinem Bericht weder Hersteller noch Apps beim Namen,\" so Peter Schmitz, Gesch\u00e4ftsf\u00fchrer von WISO Steuer. \u201eAus den uns vorliegenden Details der Untersuchung wissen wir, dass es sich bei der positiv herausstechenden App um WISO Steuer handelt.\"<\/p>\n<p>\u201eWir sind sehr dankbar f\u00fcr die wertvollen Hinweise zur Verbesserung der Sicherheit von WISO Steuer,\" so Peter Schmitz weiter. \u201eAuf alle Punkte haben wir umgehend reagiert und diese bereits im Juli 2023 behoben. Dieses schnelle Handeln zeigt, wie wichtig uns die Sicherheit unserer Kunden ist. Wir setzen weiterhin alles daran, h\u00f6chstm\u00f6glichen Schutz f\u00fcr ihre Daten zu bieten.\"<\/p>\n<p>Mit diesen f\u00fcnf Ma\u00dfnahmen k\u00f6nnen Nutzer selbst f\u00fcr eine hohe Sicherheitsstufe Ihrer Apps sorgen:<\/p>\n<ul>\n<li>Steuer-Apps f\u00fcr das Smartphone nur \u00fcber die offiziellen Stores von Apple und Google laden<\/li>\n<li>Bei Web-Apps auf HTTPS-Transportverschl\u00fcsselung achten<\/li>\n<li>Benutzerkonto per 2FA sch\u00fctzen (ist bei WISO Steuer m\u00f6glich)<\/li>\n<li>Sicheres Passwort w\u00e4hlen und dieses nicht mehrfach verwenden<\/li>\n<li>Biometrische Absicherung per Fingerabdruck oder Gesichtserkennung nutzen<\/li>\n<\/ul>\n<\/blockquote>\n<p>Ich habe den Text der betreffenden Presseagentur einfach mal 1:1 mit leichten K\u00fcrzungen hier angef\u00fcgt. Zum Anbieter Buhl verweise ich gleichzeitig auf die nachfolgenden Beitr\u00e4ge hier im Blog &#8211; ich selbst verwende aber keine Buhl-Produkte, kann also die Erfahrungen weder best\u00e4tigen noch widerlegen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/01\/17\/buhl-data-service-gmbh-massive-qualittsprobleme-bei-produkten\/\" rel=\"bookmark\">Buhl Data Service GmbH: Massive Qualit\u00e4tsprobleme bei Produkten?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/05\/21\/buhl-wiso-mein-geld-und-der-datenschutz-in-log-dateien\/\" rel=\"bookmark\">Buhl \"WISO Mein Geld\" und der Datenschutz in Log-Dateien<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/11\/23\/neues-vom-cybervorfall-bei-convotis-geigercloud-geigerasp-desaster-fr-steuerberater\/\" rel=\"bookmark\">Neues vom Cybervorfall bei Convotis (GeigerCloud\/GeigerASP), Desaster f\u00fcr Steuerberater?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/11\/22\/convotis-asp-probleme-mit-geigercloud-geigerasp-datev-steuerberater-betroffen\/\" rel=\"bookmark\">Convotis: ASP-Probleme mit GeigerCloud\/GeigerASP; DATEV-Steuerberater betroffen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/11\/01\/steuersparerklrung-liefert-fr-2022-andere-elster-bescheiddaten-als-der-ek-steuerbescheid-zurck\/\" rel=\"bookmark\">Steuersparerkl\u00e4rung liefert f\u00fcr 2022 andere Elster-Bescheiddaten als der EK-Steuerbescheid zur\u00fcck<\/a><\/p>\n<h2 class=\"entry-title\"><\/h2>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat sich neun Steuererkl\u00e4rungs-Apps angesehen und auf deren Sicherheit \u00fcberpr\u00fcft. Das vernichtende Ergebnis: In den neun Apps wurden gleich 97 Sicherheitsm\u00e4ngel entdeckt. Die M\u00e4ngel wurden den Anbietern gemeldet, so dass diese behoben &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/03\/02\/bsi-untersuchung-9-steuererklrungs-apps-mit-97-it-sicherheitsmngeln\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-292936","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292936","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=292936"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292936\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=292936"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=292936"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=292936"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}