Sicherheit

Wichtiger Hinweis

Aktuell werden gefälschte E-Mails im Namen der Steuerverwaltung versendet. Als Absender wird zum Beispiel ELSTER, das Finanzamt oder das Bundeszentralamt für Steuern (BZSt) vorgetäuscht. In diesen Nachrichten wird der Empfänger meist aufgefordert, eine im Anhang befindliche Datei zu öffnen, bei der es sich angeblich um einen Steuerbescheid oder eine Rechnung handelt.

Sowohl Absenderadresse als auch der Inhalt der E-Mail variieren dabei ständig. In allen Fällen wird jedoch versucht, per E-Mail an Anmeldedaten sowie Konto- und/oder Kreditkarteninformationen von Steuerzahlern zu gelangen.

Die Steuerverwaltung sendet Ihnen grundsätzlich nur Benachrichtigungen, aber niemals die eigentlichen Steuerdaten oder Rechnungen in Form eines E-Mail-Anhangs.

Bitte beachten Sie hierzu folgendes:

  • Öffnen Sie niemals Anhänge, von denen Sie nicht sicher sind, dass sie aus einer vertrauenswürdigen Quelle stammen.
  • Die Steuerverwaltung wird in einer E-Mail niemals Informationen, wie die Steuernummer, Kontoverbindungen, Kreditkartennummern, PIN oder die Antwort auf Ihre Sicherheitsabfrage, anfordern.
  • Klicken Sie nicht auf einen eingebetteten Link in einer E-Mail, wenn Sie Zweifel daran haben, dass die E-Mail von der Finanzverwaltung stammt.
  • Allgemeine Tipps für den Umgang im Internet, sowie aktuelle Warnungen finden Sie auf den Internetseiten des BSI - Bundesamt für Sicherheit in der Informationstechnik.

Wichtiger Hinweis zu Phising-Mails - Grafik Warndreieck

IT-Sicherheit bei ELSTER

Die Finanzverwaltungen des Bundes und der Länder bekennen sich zu ihrer Verantwortung für IT-Sicherheit im Verfahren ELSTER. Der Schutz vertraulicher Informationen sowie die Gewährleistung der Verfügbarkeit und der Integrität aller im Rahmen von ELSTER zu verarbeitenden Daten sowie deren Verarbeitungssysteme sind zu gewährleisten.

Das ELSTER-Verfahren unterliegt diversen gesetzlichen Anforderungen an die IT-Sicherheit. Bei der elektronischen Übermittlung von Daten sind eine Vielzahl gesetzlicher Vorschriften sowie diverse Schreiben des BMF zu beachten, die eine ordnungsmäßige Behandlung elektronischer Daten zu einer herausfordernden Aufgabe machen. Zu den wichtigsten gesetzlichen Vorschriften zählen:

  • Abgabenordnung (AO)
  • Steuerdaten-Abrufverordnung (StDAV)
  • Bundesdatenschutzgesetz (BDSG)
  • Bayerisches Datenschutzgesetz (BayDSG)
  • Datenschutzgesetz Nordrhein-Westfalen (DSG NRW)

Die ELSTER-Leistungen werden in einer nach  ISO 27001 auf Basis der IT-Grundschutz-Kataloge des BSI zertifizierten eigenen IT-Infrastruktur erbracht. Mit der Zertifizierung soll sowohl dokumentiert werden, dass für diese vom Bayerischen Landesamt für Steuern und dem Rechenzentrum der Finanzverwaltung des Landes Nordrhein-Westfalen zur Verfügung gestellten Dienste der IT-Grundschutz nach ISO 27001 vollständig implementiert wurde und, dass die Auseinandersetzung mit IT-Sicherheitsthemen ein essentieller Bestandteil der Behördenphilosophie ist.

Sicherheit der Daten

Die elektronische Übertragung erfolgt bei der ELSTER-Clientsoftware via Internet. Zum Schutz des Steuergeheimnisses werden die Steuerdaten verschlüsselt vom Anwender in die Rechenzentren der Bundesländer übermittelt. Dazu wurde eine hybride Verschlüsselung gewählt, die dem aktuellen Stand der Sicherheitstechnik entspricht. Die Unversehrtheit (Integrität) der Daten wird über einen Hash-Code gewährleistet.

Sicherheit der Software

Eine Gesamtaussage zur Sicherheit des ELSTER-Verfahrens, insbesondere auch im Hinblick auf die Vertraulichkeit der Steuerdaten gegenüber Dritten im Umfeld des Anwenders, muss etwaige Sicherheitsfunktionen der genutzten Steuererklärungsprogramme berücksichtigen. Hierbei handelt es sich regelmäßig um Softwarelösungen von Drittanbietern. Diese stehen mit Ihrem Namen für die Sicherheit und Qualität der von ihnen vertriebenen Steuererklärungssoftware. Die Verantwortung der Finanzverwaltung erstreckt sich in diesem Zusammenhang lediglich auf die Bereitstellung vertrauenswürdiger, manipulationsfester Module.

Übertragungswege

Die elektronische Übertragung erfolgt bei der ELSTER-Clientsoftware via Internet.
Download des Elster HTTPS-Servlet-Zertifikats

SHA1 Fingerprint

CF:A3:9C:5C:B2:10:4B:D9:25:26:CC:95:16:D4:79:23:CF:2A:07:B2

SHA256 Fingerprint

19:D2:95:E4:1E:C4:F8:0B:65:7E:C2:2D:06:C6:0C:2B:4F:D8:98:F3:19:2F:74:52:11:B5:C9:BA:EA:73:79:A2

Registrierung

Das Verfahren ELSTER ermöglicht dem Steuerbürger die sichere Übermittlung seiner sensiblen Steuerdaten an die Finanzverwaltung. Das Verfahren stellt dabei die Vertraulichkeit, Authentizität und Integrität der gesendeten Daten sicher. Die zur Authentifizierung verwendeten elektronischen Zertifikate und die dazugehörigen Schlüsselpaare werden in der dem Anwenderpaket entsprechenden Persönlichen Sicherheitsumgebung (PSE) Glossar zu Persönliche Sicherheitsumgebung (PSE) anzeigen des Authentifizierungsmittels Glossar zu Authentifizierungsmittels anzeigen aufbewahrt. Im Rahmen Ihrer Registrierung ist abhängig von der ausgewählten Login-Option (Zertifikatsdatei, Sicherheitsstick, Signaturkarte) und der damit verbundenen Sicherheitsstufe die Authentifizierungsmethode festgelegt worden.

Authentifizierung

Die verschiedenen Authentifizierungsmethoden unterscheiden sich durch die Sicherheitsstufe und durch die verfügbaren Funktionen. Der Zugriff auf das elektronische Zertifikat wird durch ein Passwort gesichert, das Sie selbst festlegen müssen.
Die Authentifizierung eines registrierten Benutzers gegenüber Mein ELSTER basiert auf einer Public-Key-Infrastruktur (PKI) Glossar zu Public-Key-Infrastruktur (PKI) anzeigen . Besitzer einer von ELSTER unterstützten Signaturkarte können sich mit dieser registrieren. In diesem Fall wird die PKI des Kartenherausgebers benutzt. Alternativ erhält der Benutzer im Rahmen des Registrierungsprozesses ein Schlüsselpaar und ein elektronisches Zertifikat. Diese Daten werden in der so genannten Persönlichen Sicherheitsumgebung (PSE) Glossar zu Persönlichen Sicherheitsumgebung (PSE) anzeigen abgelegt.

Umgang mit elektronischen Zertifikaten

Für den sicheren Umgang mit Zertifikatsdatei, Sicherheitsstick oder Signaturkarte und dem jeweils dazugehörigen Passwort ist der Anwender selbst verantwortlich. Bitte beachten Sie deshalb folgende wichtige Hinweise bezüglich der Weitergabe oder Aufbewahrung der PSE:

  1. Wählen Sie ein sicheres Passwort. Eine Kombination aus Zahlen und Buchstaben erhöht die Sicherheit. Bitte beachten Sie, dass zwischen Groß- bzw. Kleinschreibung unterschieden wird.
  2. Gehen Sie mit Ihrem Passwort vorsichtig um. Geben Sie dieses nicht an Dritte weiter.
  3. Notieren Sie sich Ihr Passwort sowie Ihre Antwort auf die Sicherheitsabfrage und bewahren Sie beide Informationen an einem sicheren Ort auf.
    Das Passwort ist nur Ihnen bekannt und bei Verlust kann nur über den Weg der Zugangserneuerung ein neues Zertifikat mit neuem Passwort ausgestellt werden.

  4. Geben Sie niemals Ihr elektronisches Zertifikat an Dritte weiter. Ausnahmen werden im Folgenden beschrieben.
  5. Signaturkarten dürfen niemals an Dritte weitergegeben werden. Sie sind immer an eine Person gebunden.

Genauere Informationen zum Umgang mit den Authentifizierungsmitteln finden Sie hier:

Weitergabe von Zertifikaten

Sie können Dritte mit der Übermittlung Ihrer Daten beauftragen. Sie sollten aber nie Ihre persönlichen Zertifikate an Dritte weitergeben, unabhängig davon, ob Sie als Privatperson oder Unternehmer eine andere Person mit der Übermittlung Ihrer Steuerdaten beauftragen. Für eine Datenübermittlung durch beauftragte Dritte werden daher abhängig davon, ob Sie im Besitz eines persönlichen Zertifikates oder im Besitz von Organisationszertifikaten sind, folgende Handlungsmöglichkeiten empfohlen:

  1. Geben Sie Ihr persönliches Zertifikat nie an Dritte weiter. Bei einer Übermittlung durch Dritte sollte sich immer der eigentliche Datenübermittler selbst registrieren. Hat sich der Datenlieferant bei Mein ELSTER registriert, kann er Steuererklärungen in Ihrem Auftrag übermitteln.
  2. Sind Sie Unternehmer, können Sie auch eine Registrierung für ein Organisationszertifikat durchführen. Im Gegensatz zu persönlichen Zertifikaten sind Organisationszertifikate nicht an einzelne Personen, sondern an eine steuerrechtliche Organisation (z. B. Firma, Gesellschaft, Verein, Institution) gebunden. Daher können Organisationszertifikate zur Datenübermittlung an Mitarbeiter der Firma weitergegeben werden. Allerdings sollte hierbei die Weitergabe kontrolliert und nur an vertrauenswürdige Personen erfolgen.