Update: In seiner Auswertung schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass in allen neun Apps aus der Stichprobe Schwachstellen identifiziert werden konnten. Dennoch würde eine App positiv herausstechen. Denn diese verzeichnete „lediglich zwei Feststellungen mit dem Risikograd „medium“ und „low“ sowie eine „Info“-Feststellung“.
Um welche App es sich dabei handelt, wurde nicht genannt. Vermutlich aus Wettbewerbsgründen, da es sich bei den neun analysierten Steuererklärungs-Apps lediglich um eine Stichprobe handelte. Nun hat Peter Schmitz, Geschäftsführer von WISO Steuer, das Geheimnis gelüftet: „Aus den uns vorliegenden Details der Untersuchung wissen wir, dass es sich bei der positiv herausstechenden App um WISO Steuer handelt“, so Schmitz. Man sei dankbar für die Hinweise zur Verbesserung der Sicherheit von WISO Steuer und habe die aufgeführten Punkte bereits im Juli 2023 behoben.
Steuererklärungs-Apps nicht sicher
War die Steuererklärung früher eine Angelegenheit für Steuerberater, greifen mittlerweile zahlreiche Desktop-Tools und auch Apps Steuerzahlern unter die Arme. Doch diese weisen gleich mehrere große Schwächen auf. Einerseits ist fraglich, ob insbesondere betriebswirtschaftlich weniger versierte Steuerzahler nur mit den Apps die für sie größtmöglichen finanziellen Vorteile herausholen können. Andererseits scheint die Nutzung von Steuererklärungs-Apps auch Nachteile gänzlich anderer Art mit sich zu bringen. Das teilt gegenwärtig das BSI mit.
Im Rahmen einer aktuellen Untersuchung analysierte das BSI stichprobenartig neun Steuererklärungs-Apps. Dabei lag der Fokus auf der IT-Sicherheit. Das Ergebnis: Die untersuchten Apps wiesen 97 Sicherheitsmängel auf, von denen 75 Schwachstellen nach dem CVSS-Score (Common Vulnerability Scoring System) bewertet wurden – einem Industriestandard zur Bewertung von Sicherheitsdefiziten. Dieser besteht aus den Risikograden „info“ (informeller Charakter“, „low“, „medium“, „high“ und „critical“.
Die untersuchten Schwächen reichen von der Verwendung veralteter und folglich anfälliger Software. Bis hin zum Fehlen einer Option zur Nutzung der sogenannten Zwei-Faktor-Authentifizierung (2FA). Letztere stellte sechs Prozent aller IT-Sicherheitsmängel dar. Hinzu kamen laut BSI unzureichende Passwortrichtlinien sowie das Fehlen einer Blacklist für häufig genutzte oder kompromittierte Passwörter (fünf Prozent aller Sicherheitsschwächen). Bei den Mängeln mit dem als „high“ eingestuften Risikograd kam indes der Punkt „Datenübermittlung an Drittanbieter“ mit fünf Fällen besonders häufig vor. Einen Überblick über die Sicherheitsmängel und ihre jeweilige Häufung liefert die folgende BSI-Tabelle.
Das BSI hat die gewonnenen Erkenntnisse noch vor der offiziellen Veröffentlichung an die betroffenen Anbieter weitergeleitet. Zudem habe man „in einen kooperativen Dialog mit ihnen gemeinsam an der Behebung gearbeitet“. Daher seien die identifizierten IT-Sicherheitsmängel nach BSI-Angaben mittlerweile größtenteils behoben. Nutzer dürfen jedoch nicht vergessen, dass es sich bei den untersuchten Apps lediglich um eine Stichprobe handelte. Entsprechend sollten Steuerzahler künftig auch eigenständig auf Faktoren wie jene aus der BSI-Tabelle achten.