Hilfe

Basiswissen

Zertifikatsprüfung und Sicherheitswarnungen
zuklappenmit Enter bzw. Leertaste

Um sicherzustellen, dass Sie tatsächlich über eine sichere Verbindung mit Mein ELSTER verbunden sind, überprüft ihr Browser, ob das automatisch übermittelte elektronische SSL-Zertifikat gültig ist. So stellen Sie fest, dass Ihr Kommunikationspartner wirklich ELSTER ist. Das SSL-Zertifikat von ELSTER dient dazu, einen kryptographischen, öffentlichen Schlüssel an die Webseite von ELSTER zu binden. Die Bindung des Schlüssels an ELSTER wird wiederum kryptographisch mit einer elektronischen Signatur einer vertrauenswürdigen dritten Stelle, einem international anerkannten Trustcenter abgesichert.

Das Zertifikat des vertrauenswürdigen Trustcenters ist bereits in allen Browsern enthalten, sodass diese Eigenschaft automatisch überprüft werden kann. Zusätzlich werden noch die beiden folgenden Zertifikatseigenschaften automatisch überprüft:

  • Der Domainname, für den das für die sichere Internetverbindung verwendete SSL-Zertifikat ausgestellt wurde, muss mit dem tatsächlichen Domainnamen des Webservers übereinstimmen (zum Beispiel www.elster.de).

  • Das SSL-Zertifikat muss gültig sein. Server-Zertifikate werden aus Sicherheitsgründen nur für einen bestimmten Zeitraum ausgestellt und werden vom Betreiber der ELSTER Webseiten regelmäßig erneuert.


Wenn mindestens eine der drei oben genannten Überprüfungen fehlschlägt, wird dem Anwender eine Browser-Warnung angezeigt. In diesem Fall sollten Sie Mein ELSTER nicht nutzen, sondern die Hotline kontaktieren.
Kryptoalgorithmen
zuklappenmit Enter bzw. Leertaste

Die verschlüsselte elektronische Verbindung zu den Webseiten von ELSTER erfolgt über das anerkannte Internet-Protokoll HTTPS (TLS 1.2). Die Basis ist eine 2048 Bit Authentifizierung der ELSTER Webseiten über das SSL-Zertifikat gegenüber Ihrem Computer gemäß dem asymmetrischen, kryptographischen RSA-Verfahren. Die Verschlüsselung der Datenübertragung erfolgt über ein symmetrisches, kryptographisches Verfahren welches dem aktuellen Stand der Sicherheitstechnik entspricht. Der notwendige symmetrische Schlüssel wird während der Registrierung auf Ihrem Computer als Zufallszahl generiert und den ELSTER Webseiten, verschlüsselt mittels mitgeteilt. Nur Ihr Computer und die ELSTER Webseite kennen damit den symmetrischen Schlüssel, mit dem die Kommunikation entschlüsselt werden kann.

Authentifizierung
zuklappenmit Enter bzw. Leertaste

Innerhalb der drei Authentifizierungsmethoden Zertifikatsdatei, Sicherheitsstick und Signaturkarte wird sicherheitstechnisch ein asymmetrisches kryptographisches RSA-Verfahren mit Zertifikaten eingesetzt.

elektronischer Fingerabdruck
zuklappenmit Enter bzw. Leertaste

Im Internet-Explorer können Sie zum Beispiel die Gültigkeit des SSL-Zertifikats über das Menü "Datei/Eigenschaften/Zertifikate" prüfen. Vergleichen Sie den elektronischen Fingerabdruck in den weitergehenden Erläuterungen zum SSL-Zertifikat.

Registrierung

Kryptographie
zuklappenmit Enter bzw. Leertaste

Sie erhalten für Ihren persönlichen Zugang zwei eigene asymmetrische Schlüsselpaare mit jeweils einem persönlichen Zertifikat, welches vom ELSTER Trustcenter ausgestellt ist (gilt für Zertifikatsdatei und Sicherheitsstick), beziehungsweise es werden die bereits vorhandenen asymmetrischen Schlüsselpaare Ihrer Signaturkarte verwendet. Eines der Schlüsselpaare wird in allen Sicherheitsprozessen von Mein ELSTER Ihrer persönlichen elektronischen Authentifizierung dienen und das andere zur individuellen Verschlüsselung von Daten, die nur für Sie bestimmt sind. Ihre persönlichen Zertifikate dienen Mein ELSTER unter anderem zum Nachweis der eindeutigen Zugehörigkeit der in den asymmetrischen Schlüsselpaaren enthaltenen öffentlichen Schlüssel zu Ihrer Person.

Authentifizierungsmittel
zuklappenmit Enter bzw. Leertaste
  • Zertifikatsdatei
    Die asymmetrischen Schlüsselpaare werden auf Ihrem Computer erzeugt und in einer durch ein individuelles Passwort zu schützenden Datei gemäß dem Sicherheitsstandard PKCS#12 in einer speziellen Sicherheitsumgebung (PSE) des Computer gespeichert. Jedes Paar besteht aus einem privaten und einem öffentlichen Schlüssel. Der jeweilige private Schlüssel der asymmetrischen Schlüsselpaare ist kryptographisch geschützt und kann ausschließlich über das von Ihnen vergebene Passwort aktiviert werden. Zu den zugehörigen öffentlichen Schlüsseln stellt das ELSTER Trustcenter Zertifikate aus.

  • Sicherheitsstick
    Die asymmetrischen Schlüsselpaare werden auf Ihrem Computer im angeschlossenen Sicherheitsstick erzeugt und auf dem enthaltenen Kryptochip durch ein individuelles Passwort geschützt und in einer speziellen Sicherheitsumgebung (PSE) gespeichert und verwendet. Der jeweilige private Schlüssel der asymmetrischen Schlüsselpaare ist kryptographisch geschützt und kann nur über das von Ihnen vergebene Passwort zur Benutzung aktiviert werden. Zu den jeweiligen öffentlichen Schlüsseln stellt das ELSTER Trustcenter Zertifikate aus. Die Registrierungs-, Schlüsselerzeugungs- und Zertifizierungsprozesse sind analog zu den Prozessen der Zertifikatsdatei.

  • Signaturkarte
    Verfügen Sie über eine unterstützte Signaturkarte, so können Sie diese verwenden. Dies ist zum Beispiel mittels qualifizierter oder fortgeschrittener Signaturkarten diverser Banken und Unternehmen möglich, deren Trustcenter in ELSTER eingebunden sind. Üblicherweise sind die auf Ihrer Signaturkarte enthaltenen asymmetrischen Schlüsselpaare durch eine individuelle PIN geschützt und in einer speziellen Sicherheitsumgebung gespeichert und verwendbar. Der jeweilige private Schlüssel der asymmetrischen Schlüsselpaare ist kryptographisch geschützt und kann nur von Ihnen selbst über die PIN zur Benutzung aktiviert werden. Die auf der Signaturkarte vorhandenen Zertifikate der zugehörigen öffentlichen Schlüssel werden von Ihrem Computer zum ELSTER Trustcenter übertragen, damit deren Gültigkeit bestätigt werden kann. Im positiven Fall werden Ihre Zertifikate in ELSTER eingebunden.

    Die technologische Ausgestaltung sowie die Registrier- und Ausgabeprozesse für Signaturkarten werden von den jeweiligen Anbietern unter Beachtung der Vorgaben und Forderungen der StDÜV beziehungsweise des Signaturgesetzes gestaltet und sind konform zur ELSTER-Policy.

Wissen und Besitz
zuklappenmit Enter bzw. Leertaste

Die privaten Schlüssel der asymmetrischen Schlüsselpaare können nur über Eingabe eines von Ihnen gewählten individuellen Passworts zur Benutzung aktiviert werden. Diese Sicherheit wird auch allgemein als Sicherheit auf Basis von "Wissen (Passwort) und Besitz (Authentifizierungsmittel)" bezeichnet. Für den sicheren Umgang mit Ihrem Authentifizierungsmittel und dem dazugehörigen Passwort sind Sie selbst verantwortlich!

Bitte beachten Sie, dass insbesondere bei Verdacht auf unbefugtes Kopieren der Zertifikatsdatei die bloße Passwort-Änderung der Zertifikatsdatei nicht ausreichend ist. Vorsichtshalber sollten Sie in diesem Fall Ihr Benutzerkonto löschen.

E-Mail-Bestätigung
zuklappenmit Enter bzw. Leertaste

Sollten Sie innerhalb einer gewissen Zeit nach dem Absenden der Registrierungsdaten keine E-Mail von Mein ELSTER erhalten haben, müssen Sie noch einmal mit dem Registrierungsprozess beginnen. Die häufigste Ursache hierfür kann ein Tippfehler sein, wie zum Beispiel die unabsichtliche Angabe einer falschen oder ungültigen E-Mail-Adresse. Die empfohlene Wartezeit bevor man von einem Fehler bei der Zustellung der E-Mail ausgehen kann, hängt von vielen Parametern ab, wie zum Beispiel der augenblicklichen Last am Portal, der Last bei Ihrem Internet-Provider sowie der Qualität Ihrer Verbinding zu Ihrem Provider. Üblicherweise wird die E-Mail innerhalb von Minuten bis zu wenigen Stunden ausgeliefert. Bei Wartezeiten über mehrere Tage empfehlen wir die Hotline zu kontaktieren.

Aktivierungsdaten
zuklappenmit Enter bzw. Leertaste

Es erfolgt ein indirekter Identitätsnachweis durch Übermittlung des Aktivierungs-Codes auf dem Standard-Postweg sowie Versenden der Aktivierungs-ID per E-Mail. Der Nachweis Ihrer Identität beziehungsweise der Identität der Organisation, die Sie vertreten, erfolgt dabei, indem nur die authentische Person beide Informationen erhalten und damit das Benutzerkonto in Mein ELSTER aktivieren kann.

Aktivierungsbrief
zuklappenmit Enter bzw. Leertaste

Der Aktivierungs-Code ist ein essentieller Sicherheitsmechanismus bei der Aktivierung eines Benutzerkontos. Initiiert durch Mein ELSTER wird er in einem separat abgesicherten System der Finanzverwaltung erzeugt und gedruckt. Anschließend wird er in einem geschlossenen Brief von der Finanzverwaltung an Sie übermittelt.

Trustcenter
zuklappenmit Enter bzw. Leertaste

Das Trustcenter von ELSTER ist ein dediziert zusammen mit Mein ELSTER zu betreibender Schlüssel- und Zertifikatsmanager. Es dient der Erstellung und Verwaltung von Zertifikaten, welche individuelle Authentifizierung und Verschlüsselung für Anwender von Mein ELSTER ermöglichen. Das Trustcenter wird auf Basis eines eigenen Betriebs-, Organisations- und Sicherheitskonzepts in Anlehnung an weltweit anerkannte Richtlinien betrieben.

Authentifizierung
zuklappenmit Enter bzw. Leertaste

Sie können die personalisierten Dienste zukünftig über das Login nur nutzen, wenn Sie sich über das in Ihrer Zertifikatsdatei / Sicherheitsstick / Signaturkarte befindliche Zertifikat authentifizieren. Bei der Nutzung personalisierter Dienste enthalten die an Mein ELSTER übertragenen elektronischen Datensätze persönliche Authentifizierungsdaten. Damit werden Sie einerseits über Ihr Zertifikat von Mein ELSTER als Urheber sichergestellt und andererseits kann ausgeschlossen werden, dass Ihre Daten bei der Übertragung verändert wurden.

Verschlüsselung
zuklappenmit Enter bzw. Leertaste

Ihre Zertifikatsdatei / Sicherheitsstick / Signaturkarte besitzt zwei asymmetrische Schlüsselpaare und jeweils ein dazu gehöriges Zertifikat. Eines für die Authentifizierung und eines für die Verschlüsselung. Die von Mein ELSTER generierten Rückmeldungen (zum Beispiel Abfrageergebnisse und Übermittlungsbestätigungen), werden mit Ihrem öffentlichen Schlüssel verschlüsselt in Ihrem Posteingang in Mein ELSTER für Sie bereit gestellt. Nur Sie können diese mit Ihrem privaten Schlüssel aus Ihrem Authentifizierungsmittel entschlüsseln.

Zertifikatsdatei

Allgemeines
zuklappenmit Enter bzw. Leertaste

Die Zertifikatsdatei ist eine Datei in einem speziellen Format, in der eine persönliche Sicherheitsumgebung abgelegt wird. Die Daten sind kryptographisch geschützt und können nur mittels Passwort zur Benutzung aktiviert werden. Eine Zertifikatsdatei kann auf unterschiedlichen Speichermedien abgelegt werden (z. B. Festplatte, USB-Stick) und es kann beliebig oft kopiert werden.
Weitere Informationen finden Sie in der Hilfe.

Hinweis zum Gebrauch
zuklappenmit Enter bzw. Leertaste

Die Zertifikatsdatei beinhaltet kryptografische Schlüssel und Zertifikate. Die Zertifikatsdatei stellt die Verknüpfung mit einem Benutzerkonto in Mein ELSTER her. Da die Zertifikatsdatei wie jede andere Datei beliebig oft kopierbar ist, kann auf einfache Weise einfach eine Sicherungskopie erstellt werden.
Da das Kopieren auch unbemerkt erfolgen kann, z. B. bei Ablage auf einem Netzlaufwerk oder durch bösartige Software - so genannte Malware (engl. malicious software), bringt die Zertifikatsdatei Risiken mit sich, die der Anwender berücksichtigen sollte.

Es ist technisch möglich, von mehreren Arbeitsplätzen Zugang zu ein und demselben Benutzerkonto zu bekommen. Diese Möglichkeit birgt allerdings Sicherheitsrisiken und ist fehleranfällig. Die Absicherung eines Benutzerkontos beruht auf einer Kombination von Wissen (Passwort für die Zertifikatsdatei) und Besitz der Zertifikatsdatei. Bei Weitergabe der Zertifikatsdatei gibt der Inhaber des Benutzerkontos diese Sicherheitseigenschaft in eigener Verantwortung auf. Bei missbräuchlicher Nutzung der ELSTER-Infrastruktur durch eine Kopie der Zertifikatsdatei kann der ursprüngliche Eigentümer ermittelt und verantwortlich gemacht werden.
Mein ELSTER-Benutzerkonten sind personenbezogen konzipiert. Die parallele (im Sinne von gleichzeitige) Nutzung eines Benutzerkontos durch mehrere Benutzer mit Zertifikatsdateien ist technisch möglich. Die Ablaufsteuerung von Mein ELSTER unterstützt den Mehrfachnutzerbetrieb für ein Benutzerkonto aber nicht explizit. Die Resultate der Aktionen anderer Nutzer werden erst zeitverzögert oder erst nach erneutem Login sichtbar. Dies kann zu Irritationen und Fehlern führen. Von paralleler Nutzung wird deshalb abgeraten.
Bitte beachten Sie bei Weitergabe der Datei, dass

  • die Anzahl der Kopien nicht eingeschränkt werden kann,
  • alle Kopien der Zertifikatsdatei gleichwertig sind,
  • nicht nachvollzogen werden kann, mit welcher Kopie einer Zertifikatsdatei eine Transaktion durchgeführt wurde,
  • bei Sperrung eines Benutzerkontos alle Kopien der Zertifikatsdatei betroffen sind,
  • und es nicht möglich ist, eine einzelne missbräuchlich verwendete Kopie zu sperren.

Eine weitere mögliche Fehlerquelle gibt es bei der Aktualisierung der Zertifikatsdatei. Aus Sicherheitsgründen ist die Gültigkeit der Zertifikatsdatei begrenzt (gegenwärtig auf 3 Jahre). Mit einem gewissen zeitlichen Sicherheitsabstand zum Ende der Gültigkeitsdauer wird der Benutzer via E-Mail darüber informiert, dass eine Zertifikatsverlängerung durchgeführt werden kann. Beim nächsten Login in Mein ELSTER wird die Verlängerung automatisch gestartet und Sie erhalten nach Abschluss des Prozesses eine neue Zertifikatsdatei. Ab dieser Aktualisierung ist nur noch genau diese neue Zertifikatsdatei gültig. Alle anderen Kopien verlieren ihre Gültigkeit und ein Login mit diesen Kopien ist nicht mehr möglich. Die alten Kopien müssen also als Folgeaktion der Zertifikatserneuerung durch die neue Version ersetzt werden.
Um die Sicherheitsaspekte zu wahren, empfehlen wir daher im Falle der Mehrfachnutzung eines Benutzerkontos, z.B. bei Ehepaaren oder innerhalb einer Organisationseinheit einer Firma die Verwendung eines Sicherheitssticks. Hier kann die Nutzung mit organisatorischen Mitteln kontrolliert werden, die Kopie eines Sicherheitsstick-Zertifikats ist nicht möglich.
Hinweise zur sicheren Aufbewahrung
zuklappenmit Enter bzw. Leertaste

Sie sollten die zum Löschen Ihres Benutzerkontos erforderliche Antwort auf die Sicherheitsabfrage sicher und getrennt von Ihrem Authentifizierungsmittel aufbewahren. Weil bei einer Registrierung die Zertifikatsdatei auf Ihrer Festplatte abgelegt wird, müssen Sie hier zusätzlich auf eine hinreichende Absicherung Ihres Rechners achten. Falls Sie Ihren Rechner für das Surfen im Internet verwenden oder dieser von anderen Personen mitbenutzt wird, könnte die Datei unbemerkt ausgelesen oder kopiert werden. Bei einem solchen Angriff wäre Ihr Zertifikat nur noch durch Ihr Persönliches Passwort gesichert. Wie Sie Ihren Rechner vor den Gefahren des Internets absichern können, können Sie auf den Seiten des Bundesamtes für Sicherheit in der Informationstechnik nachlesen: https://www.bsi-fuer-buerger.de.

Sicherheitsstick

Allgemeines
zuklappenmit Enter bzw. Leertaste

Den Sicherheitsstick können Sie im Online-Shop erwerben.
Der Sicherheitsstick ist ein USB-Sicherheits-Chip, der einen Kartenleser und einen Chip beinhaltet. Das Format ist ähnlich einem USB-Memory Stick. Die Funktionen des integrierten Chips entsprechen in Hard- und Software identisch denen einer Chipkarte. Damit ist der Sicherheitsstick ein Computer im Kleinformat. Der Sicherheitsstick speichert die PSE des Anwenders. Sensible kryptographische Operationen mit dem geheimen Schlüssel des Anwenders werden innerhalb des Sicherheitssticks durchgeführt. Zudem können die geheimen Schlüssel nicht aus dem Sicherheitsstick ausgelesen werden. So erfüllt der Sicherheitsstick auch hohe Sicherheitsanforderungen bezüglich der Ablage der individuellen PSE. Weitere Informationen finden Sie in der Hilfe.

Signaturkarte

Allgemeines
zuklappenmit Enter bzw. Leertaste

Eine Liste der von ELSTER unterstützten Signaturkarten für Authentifizierung finden Sie auf der Seite "Systemanforderungen".
Signaturkarten stellen den elektronischen Ersatz Ihrer handschriftlichen Unterschrift dar und werden z. B. von Banken ausgegeben. Ein mit einer Signaturkarte signiertes Dokument wird als rechtsverbindlich angesehen. Die Finanzverwaltung fordert bei der Verwendung von Signaturkarten ein Mindestmaß an Sicherheit, das in der ELSTER-Policy festgehalten wurde.

Hinweis: Signaturkarten mit Pseudonymen werden ausdrücklich nicht unterstützt!