Hilfe

ISO-27001 - Sicherheit bei ELSTER

Grundsatz
zuklappenmit Enter bzw. Leertaste

Die Finanzverwaltungen von Bund und Ländern bekennen sich zu ihrer Verantwortung für die IT-Sicherheit im Verfahren ELSTER. Der Schutz vertraulicher Informationen sowie die Gewährleistung der Verfügbarkeit und der Integrität aller im Rahmen von ELSTER zu verarbeitenden Daten sowie deren Verarbeitungssysteme müssen gewährleistet werden.

Gesetze
zuklappenmit Enter bzw. Leertaste

Das ELSTER-Verfahren unterliegt diversen gesetzlichen Anforderungen an die IT-Sicherheit. Bei der elektronischen Übermittlung von Daten sind eine Vielzahl gesetzlicher Vorschriften sowie diverse Schreiben des Bundesfinanzministeriums zu beachten, die eine ordnungsmäßige Behandlung elektronischer Daten zu einer herausfordernden Aufgabe machen. Zu den wichtigsten gesetzlichen Vorschriften zählen:

  • Abgabenordnung (AO)
  • Steuerdaten-Übermittlungsverordnung (StDÜV)
  • Steuerdaten-Abrufverordnung (StDAV)
  • Bundesdatenschutzgesetz (BDSG)
  • Bayerisches Datenschutzgesetz (BayDSG)
  • Datenschutzgesetz Nordrhein-Westfalen (DSG NRW)
IT-Sicherheit nach ISO 27001
zuklappenmit Enter bzw. Leertaste

Die Leistungen von ELSTER werden in einer nach ISO 27001 auf Basis der IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik zertifizierten eigenen IT-Infrastruktur erbracht. Mit der Zertifizierung soll sowohl dokumentiert werden, dass für diese, vom Bayerischen Landesamt für Steuern und dem Rechenzentrum der Finanzverwaltung des Landes Nordrhein-Westfalen zur Verfügung gestellten Dienste, der IT-Grundschutz nach ISO 27001 vollständig implementiert wurde und dass die Auseinandersetzung mit IT-Sicherheitsthemen ein essentieller Bestandteil der Ziele der Finanzverwaltung ist.

ISO 27001 Zertifikat des Bundesamtes für Sicherheit in der Informationstechnik, gültig bis 15.09.2019

Basiswissen

Ausgangslage
zuklappenmit Enter bzw. Leertaste

Die Gefahren aus dem Internet nehmen täglich zu. Entwickler von Internet-Software, wie zum Beispiel dem BZStOnline-Portal, stehen in einem ständigen Wettlauf mit Hackern, die immer neue Wege für Angriffe finden, um über das Internet kommunizierte elektronische Informationen auszuspähen oder zu manipulieren. Übliche Gefahren durch Hacker sind hier zum Beispiel Hijacking, Masquerading und Phishing. Bei der Verwendung von BZStOnline ist die Gewährleistung von Sicherheit das oberste Gebot für die Finanzverwaltung.

Verschlüsselung
zuklappenmit Enter bzw. Leertaste

Ihre Verbindung zum BZStOnline-Portal ist elektronisch verschlüsselt. Dadurch wird verhindert, dass unberechtigte Dritte die Übertragung von Informationen über das Internet zwischen Ihrem Computer und BZStOnline einsehen können.

Zugriffsschutz
zuklappenmit Enter bzw. Leertaste

Das BZStOnline-Portal bietet Ihnen über diese Verbindung letztendlich folgende Möglichkeiten für eine sichere Nutzung seiner personalisierten Dienste an:

  • Registrierung:
    Die Registrierung für ElsterOnline erfolgt aus Sicherheitsgründen in mehreren Schritten. Sie muss jedoch nur einmal durchgeführt werden. Bei der Registrierung müssen Sie sich für eines der Anwenderpakete ELSTER-Basis, ELSTER-Spezial und ELSTER-Plus entscheiden. Die Anwenderpakete unterscheiden sich durch die Sicherheitsstufe und dementsprechend auch durch die verfügbaren Funktionen. Nähere Informationen dazu finden Sie auf den Seiten der Registrierung.
    Nach der Registrierung stehen Ihnen abhängig von der Art des Logins und der damit verbundenen Sicherheitsstufe unterschiedliche personalisierte Dienste zur Verfügung. Das personalisierte Login ist sicherheitstechnisch ausschließlich den registrierten Anwendern möglich. Nicht registrierte Anwender können nur auf den öffentlichen Bereich des BZStOnline-Portals zugreifen.

  • Login:
    Vor der Nutzung Ihrer persönlichen BZStOnline-Portal-Funktionalitäten müssen Sie sich anmelden. Im Rahmen Ihrer Registrierung ist abhängig von dem ausgewählten Anwenderpaket (ELSTER-Basis, ELSTER-Spezial oder ELSTER-Plus) und der damit verbundenen Sicherheitsstufe eine der folgenden Authentifizierungs methoden festgelegt worden:

    • Zertifikatsdatei (ELSTER-Basis):
      Die Zertifikatsdatei ist eine individuell geschützte Datei, die auf Ihrem Computer in einer speziellen Sicherheitsumgebung gespeichert wird und Ihre persönlichen Schlüssel und Zertifikate enthält. Sie können diese Datei auf Ihrem Computer (Ihrer Festplatte) oder einem externen Speichermedium (z. B. Diskette, ZIP-Laufwerk oder USB-Memory-Stick) speichern.
    • Sicherheitsstick (ELSTER-Spezial):
      Der Sicherheitsstick ist ein an den USB-Anschluss Ihres Computers anschließbares, individuell geschütztes Gerät, welches einen Kryptochip beinhaltet und dort Ihre persönlichen Kryptomittel speichert. Das Aussehen des Sicherheitssticks ähnelt einem USB-Memory-Stick. Die Funktionen des integrierten Kryptochips entsprechen in Hard- und Software denen einer Chipkarte. Den Sicherheitsstick können Sie gesondert käuflich erwerben: zum Shop »»»

    • Signaturkarte für Authentifizierung (ELSTER-Plus):
      Das für ELSTER benötigte Zertifikat befindet sich auf einem Signaturkartenchip (Kryptochip), einem kleinen Mikroprozessor, über dem man auf die gespeicherten Daten (Zertifikat) zugreifen kann. Der Umweg über den Mikroprozessor erlaubt es, die Daten auf der Karte über kryprographische Verfahren vor fremden Zugriff zu schützen. Dadurch wird höchste Sicherheit erreicht: Phishing und andere Angriffe bezüglich des Zertifikats sind ausgeschlossen. Es wird ein Kartenleser benötigt, der ebenso wie die Signaturkarte für Authentifizierung käuflich erworben werden muss.
      Die Finanzverwaltung fordert bei der Verwendung von Signaturkarten für Authentifizierung ein Mindestmaß an Sicherheit, das in der ELSTER-Policy nachzulesen ist. Die aktuell unterstützten Karten sind unter "Sicherheit" einsehbar.

  • Konto löschen:
    Sie haben hier die Möglichkeit, Ihren persönlichen Zugang zum BZStOnline-Portal dauerhaft zu löschen. Dabei werden alle Daten Ihres Benutzerkontos unwiederbringlich gelöscht. Sie benötigen hierfür die für Ihr Benutzerkonto hinterlegte E-Mail-Adresse, den Kurznamen Ihres Benutzerkontos sowie die Antwort zu Ihrer persönlichen Sicherheitsabfrage, die im Rahmen der Registrierung durch Sie selbst festgelegt wurde.
    Falls Sie den Kurznamen Ihres Benutzerkontos nicht mehr wissen, können Sie sich Informationen über alle unter einer E-Mail-Adresse registrierten Benutzerkonten zusenden lassen. Klicken Sie hierzu auf "Kurznamen zusenden".
    Sie müssen sich zum Löschen Ihres Benutzerkontos nicht anmelden.
    Nutzen Sie diese Funktionalität beim Verlust Ihres Zertifikats oder wenn Sie den Verdacht haben, dass jemand sich unberechtigt Zugang zu Ihrem Zertifikat, Ihrem Sicherheitsstick oder Ihrer Signaturkarte verschafft hat.

Sicherheitscheck
zuklappenmit Enter bzw. Leertaste

Ihr Browser ist das Tor zum Internet. Mit ihm lassen sich von Ihrem Computer aus Internet-Seiten erkunden, Informationen suchen und Dateien herunterladen. Ob Internet-Explorer, Google Chrome, Mozilla Firefox oder Opera: Bei allen Internet-Browsern werden immer neue Sicherheitslöcher entdeckt. Prüfen Sie also regelmäßig Ihren Internet-Browser und aktualisieren Sie die Software mit Hilfe von Sicherheitsupdates. In allen gängigen Internet-Browsern sind zudem Sicherheitsmechanismen vorgesehen, die verhindern sollen, dass zum Beispiel Computerviren und Trojaner Dateien auf Ihrem Computer verändern, löschen oder auslesen können. Weiter führende Informationen zu Gefahren und Sicherheitsmaßnahmen bei der Nutzung Ihres Internet-Browsers sind zum Beispiel über die folgende Internet-Seite des Bundesamtes für Sicherheit in der Informationstechnik abrufbar:

Hinweise zu Phishing
zuklappenmit Enter bzw. Leertaste

Mit den sogenannten Phishing-E-Mails locken Betrüger auf gefälschte Internetseiten oder fordern Sie auf, Angaben zu Zugangsinformationen zu Internet-Anwendungen zu machen. Mit den so gewonnenen Daten versuchen die Betrüger den Nutzern Schaden zuzufügen.
Bitte beachten Sie dazu: Die Finanzverwaltung wird Ihnen nie E-Mails schicken, die Zahlungsanweisungen oder Handlungsanweisung enthalten, die die Herausgabe sicherheitsrelevanter Daten wie z. B. Steuerdaten, persönlicher Identifikationsnummer (PIN), persönliches Zertifikat, etc. fordern. Machen Sie niemals - weder telefonisch noch per E-Mail - Angaben über Ihre geheimen Zugangsdaten zum BZStOnline-Portal. Ignorieren Sie daher E-Mails von vermeintlichen Absendern aus der Finanzverwaltung, in denen Sie zur Preisgabe vertraulicher Daten aufgefordert werden.
Sollten Sie versehentlich eine zweifelhafte Internetseite besuchen und Ihre Daten preisgegeben haben, setzen Sie sich umgehend mit der Finanzverwaltung in Verbindung und löschen Sie gegebenenfalls Ihr Benutzerkonto bei BZStOnline.

Registrierung

Identitätsnachweis
zuklappenmit Enter bzw. Leertaste

Die Registrierung für das BZStOnline-Portal beginnt mit der Erhebung Ihrer persönlichen Daten. Dies sind zum Beispiel Name, Kurzname Ihres Kontos, BZSt-Nummer und E-Mail Adresse. Auf Basis dieser Daten erfolgt ein Nachweis der Übereinstimmung Ihrer elektronischen Identität mit Ihrer Person durch die Finanzverwaltung. Für den Identitätsnachweis wird aus Sicherheitsgründen zwischen Ihnen und der Finanzverwaltung der Austausch von Daten notwendig sein. Die Registrierung besteht aus mehreren Schritten. Die Finanzverwaltung muss genau wissen, dass Sie die Person sind, für die Sie sich elektronisch ausgeben, um den elektronischen Missbrauch Ihrer persönlichen Zugangsmöglichkeit zum BZStOnline-Portal zu verhindern. Nach erfolgreicher Registrierung stehen Ihnen die Dienste des BZStOnline-Portals zur Verfügung.

Sicherheitsstufen
zuklappenmit Enter bzw. Leertaste

Das BZStOnline-Portal bietet Ihnen unterschiedliche Wege sich anzumelden, also den Nachweis Ihrer Identität zu erbringen. Diese Wege unterscheiden sich in ihrem Anspruch an Sicherheit, in den Anschaffungskosten, im Beschaffungsaufwand und letztendlich in ihrer Gültigkeit.
In Abhängigkeit von der Sicherheit der unterschiedlichen Anmeldungen bietet Ihnen Ihr BZStOnline-Portal drei Anwenderpakete mit unterschiedlichen Diensten an. Die Details der drei Anwenderpakete werden Ihnen präsentiert, sobald Sie im BZStOnline-Portal den Bereich Registrierung aufrufen.

Authentifizierung
zuklappenmit Enter bzw. Leertaste

Damit ausgeschlossen werden kann, dass jemand anderes als Sie selbst sich bei BZStOnline anmeldet, müssen Sie im Rahmen der Registrierungsprozesse ein Authentifizierung smittel erwerben. Das Authentifizierungsmittel kann eines der folgenden sein:

  • Zertifikatsdatei
  • Sicherheitsstick
  • Signaturkarte


Damit können Sie dem BZStOnline-Portal zukünftig über das Login zweifelsfrei und schnell Ihre elektronische Identität nachweisen. Nach abgeschlossener Registrierung ist der Zugang zu Ihren personalisierten Diensten nur über das mit Ihrem BZStOnline-Anwenderpaket verbundene Authentifizierung smittel möglich.

Bewertung
zuklappenmit Enter bzw. Leertaste

Bei der Verwendung einer Zertifikatsdatei, also bei der Registrierung für ELSTER-Basis, ist die Sicherheit Ihrer persönlichen Zugangsmöglichkeit zum BZStOnline-Portal auch stark abhängig von der Sicherheit des verwendeten Computers. Diese Sicherheit obliegt Ihrer persönlichen Hoheit und ist unter anderem Gefahren aus dem Internet (zum Beispiel Hijacking, Masquerading und Phishing) ausgesetzt. So kann zum Beispiel eine auf Ihrem Computer befindliche Zertifikatsdatei von Ihnen beliebig oft kopiert werden und gegebenenfalls durch Unachtsamkeit in falsche Hände gelangen. Da das Kopieren aber auch unbemerkt erfolgen kann (zum Beispiel durch über das Internet eingeschleuste Computerviren oder Trojaner), bringt eine Zertifikatsdatei Risiken für Sie mit sich, die Sie berücksichtigen sollten. Wir empfehlen Ihnen deshalb, dass Sie Sicherheitsmaßnahmen zur Einschränkung der Bedrohungen aus dem Internet ergreifen. Als Maßnahmen sind zum Beispiel die Installation eines Virenscanners, einer Personal-Firewall oder der Sicherheitscheck Ihrer Computer-Konfiguration in Betracht zu ziehen. Informationen zu Gefahren und Sicherheitsmaßnahmen sind beim Bundesamt für Sicherheit in der Informationstechnik oder bei "Deutschland sicher im Netz e. V." zu finden:


Im Gegensatz zur Zertifikatsdatei, das auf der Festplatte Ihres Computers abgelegt wird, liegen Ihre Schlüssel auf dem Sicherheitsstick oder der Signaturkarte außerhalb der Sicherheitsumgebung Ihres Computers. Die so hinterlegten privaten Schlüssel können nicht ausgelesen werden. Hinzu kommt, dass sowohl der Sicherheitsstick als auch die Signaturkarte nach wenigen fehlgeschlagenen Zugriffen - üblicherweise drei - automatisch gesperrt werden und wieder freigeschaltet werden müssen. Die Wahrscheinlichkeit, dass sich jemand durch Ausprobieren von Passwörtern Zugang zu Ihrem Zertifikat verschafft, ist damit sehr gering. Sensible kryptographische Operationen mit Ihren privaten Schlüsseln können innerhalb eines Sicherheitsstick oder einer Signaturkarte durchgeführt werden und hängen nicht von der durch Gefahren aus dem Internet geprägten Sicherheitsumgebung Ihres Computers ab. Zudem können die privaten Schlüssel aus dem Sicherheitsstick nicht ausgelesen werden. So erfüllen der Sicherheitsstick und die Signaturkarte auch höhere Sicherheitsanforderungen. Wenn Sie Ihrerseits Unwägbarkeiten in der Sicherheit des verwendeten Computers sehen oder die vorgeschlagenen Sicherheitsmaßnahmen im Sinne einer sicheren Nutzung einer Zertifikatsdatei nicht umsetzen können (zum Beispiel im Internet-Café), empfehlen wir Ihnen, dass Sie sich für ELSTER-Spezial (Sicherheitsstick) oder ELSTER-Plus (Signaturkarte) registrieren.

Konto löschen

Identifikation (Löschen ohne Login)
zuklappenmit Enter bzw. Leertaste

Sie haben hier die Möglichkeit, Ihren Zugang zum BZStOnline-Portal dauerhaft sperren zu lassen. Dabei werden Ihre gesamten Daten im BZStOnline-Portal unwiederbringlich gelöscht. Bereits übermittelte Steuererklärungen sind davon nicht betroffen. Einerseits können Sie die Funktion verwenden, wenn Sie Ihren Zugang nicht mehr benötigen. Andererseits steht Ihnen diese Funktion sicherheitstechnisch zur Verfügung, wenn Ihr Authentifizierungsmittel(Zertifikatsdatei, Sicherheitsstick oder Signaturkarte) unabsichtlich in fremde Hände geraten ist oder Sie es verloren haben. In diesem Fall sollten Sie dann umgehend Ihren entsprechenden persönlichen Zugang zum BZStOnline-Portal sperren. In diesem Fall besteht ein erhöhtes Risiko, dass ein Unberechtigter Zugriff auf Ihre personalisierten Dienste erhalten kann.
Zur Sperrung benötigen Sie persönliche Daten (E-Mail und Kurzname) und Ihre persönliche Antwort zur Sicherheitsabfrage, die Sie im Rahmen Ihrer Registrierung für Ihren persönlichen Zugang ausgewählt und beantwortet haben. Dadurch können nur Sie die Sperrung veranlassen, da im Idealfall nur Sie alle persönlichen Daten haben und die ausgewählte Frage beantworten können. Nur wenn Sie über die persönlichen Daten und die Beantwortung Ihrer Frage von BZStOnline authentifiziert sind, kann Ihre persönliche Zugangsmöglichkeit gesperrt werden. Das Prinzip der Authentifizierung für die Sperrfunktion ist ein gängiges Vorgehen zur Authentifizierung von Personen über Telefon (zum Beispiel oft von Call-Centern praktiziert), wenn ein Passwort oder anderes Sicherheitsmittel vergessen wurde.
Bitte tragen Sie zunächst als persönliche Daten Ihren Kurznamen und Ihre E-Mail-Adresse für Ihre Identifikation ein und klicken Sie anschließend auf "Weiter".
Falls Sie den Kurznamen Ihres Kontos nicht mehr wissen, können Sie sich Informationen über alle unter einer E-Mail-Adresse registrierten Benutzerkonten zusenden lassen. Klicken Sie hierzu auf "Kurznamen zusenden".

Authentifizierung (Löschen mit Login)
zuklappenmit Enter bzw. Leertaste

Sie haben hier die Möglichkeit, Ihren Zugang zum BZStOnline-Portal dauerhaft sperren zu lassen. Dabei werden Ihre gesamten Daten im BZStOnline-Portal unwiederbringlich gelöscht. Bereits übermittelte Steuererklärungen sind davon nicht betroffen.
Klicken Sie im privaten Bereich des BZStOnline-Portals auf "Konto löschen". Erlauben Sie die Sperrung durch Eingabe Ihrer Antwort zur zugeordneten Sicherheitsabfrage. Danach wird die Sperrung Ihres persönlichen Zugangs sofort ausgeführt.
Würde ein Unberechtigter einen Ihrer Zugänge sperren wollen, so müsste dieser Ihre eingesetzte E-Mail-Adresse, Ihren Kurznamen und die Antwort auf Ihre persönliche Sicherheitsabfrage kennen, was unwahrscheinlich ist. Zudem besteht keine besondere Motivation für Unberechtigte, eine persönliche Zugangsmöglichkeit zu sperren. Die Motivation bestünde für Unberechtigte beziehungsweise Hacker eher darin, Ihre dem Steuergeheimnis unterliegenden persönlichen Daten zu erhalten, was bei BZStOnline verlässlich durch Sicherheitstechniken in den Bereichen Authentifizierung und Verschlüsselung abgesichert ist.