Hilfe

Die Finanzverwaltungen von Bund und Ländern bekennen sich zu ihrer Verantwortung für die IT-Sicherheit im Verfahren ELSTER. Der Schutz vertraulicher Informationen sowie die Gewährleistung der Verfügbarkeit und der Integrität aller im Rahmen von ELSTER zu verarbeitenden Daten sowie deren Verarbeitungssysteme müssen gewährleistet werden.

Das ELSTER-Verfahren unterliegt diversen gesetzlichen Anforderungen an die IT-Sicherheit. Bei der elektronischen Übermittlung von Daten sind eine Vielzahl gesetzlicher Vorschriften sowie diverse Schreiben des Bundesfinanzministeriums zu beachten, die eine ordnungsmäßige Behandlung elektronischer Daten zu einer herausfordernden Aufgabe machen. Zu den wichtigsten gesetzlichen Vorschriften zählen:

• Abgabenordnung (AO)
• Steuerdaten-Übermittlungsverordnung (StDÜV)
• Steuerdaten-Abrufverordnung (StDAV)
• Bundesdatenschutzgesetz (BDSG)
• Bayerisches Datenschutzgesetz (BayDSG)
• Datenschutzgesetz Nordrhein-Westfalen (DSG NRW)

Die Leistungen von ELSTER werden in einer nach ISO 27001 auf Basis der IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik zertifizierten eigenen IT-Infrastruktur erbracht. Mit der Zertifizierung soll sowohl dokumentiert werden, dass für diese, vom Bayerischen Landesamt für Steuern und dem Rechenzentrum der Finanzverwaltung des Landes Nordrhein-Westfalen zur Verfügung gestellten Dienste, der IT-Grundschutz nach ISO 27001 vollständig implementiert wurde und dass die Auseinandersetzung mit IT-Sicherheitsthemen ein essentieller Bestandteil der Ziele der Finanzverwaltung ist.

Die Gefahren aus dem Internet nehmen täglich zu. Entwickler von Internet-Software, wie zum Beispiel Mein BOP, stehen in einem ständigen Wettlauf mit Hackern, die immer neue Wege für Angriffe finden, um über das Internet kommunizierte elektronische Informationen auszuspähen oder zu manipulieren. Übliche Gefahren durch Hacker sind hier zum Beispiel Hijacking, Masquerading und Phishing. Bei der Verwendung von Mein BOP ist die Gewährleistung von Sicherheit das oberste Gebot für die Finanzverwaltung.

Ihre Verbindung zu Mein BOP ist elektronisch verschlüsselt. Dadurch wird verhindert, dass unberechtigte Dritte die Übertragung von Informationen über das Internet zwischen Ihrem Computer und Mein BOP einsehen können.

Mein BOP bietet Ihnen über diese Verbindung letztendlich folgende Möglichkeiten für eine sichere Nutzung seiner personalisierten Dienste an:

• Registrierung:
  Die Registrierung für ElsterOnline erfolgt aus Sicherheitsgründen in mehreren Schritten. Sie muss jedoch nur einmal durchgeführt werden. Bei der Registrierung müssen Sie sich für eine der Login-Optionen Zertifikatsdatei, Sicherheitsstick oder Signaturkarte entscheiden. Die Login-Optionen unterscheiden sich durch die Sicherheitsstufe und dementsprechend auch durch die verfügbaren Funktionen. Nähere Informationen dazu finden Sie auf den Seiten der Registrierung.
  Nach der Registrierung stehen Ihnen abhängig von der Art des Logins und der damit verbundenen Sicherheitsstufe unterschiedliche personalisierte Dienste zur Verfügung. Das personalisierte Login ist sicherheitstechnisch ausschließlich den registrierten Anwendern möglich. Nicht registrierte Anwender können nur auf den öffentlichen Bereich von Mein BOP zugreifen.

• Login:
  Vor der Nutzung Ihrer persönlichen Mein BOP-Funktionalitäten müssen Sie sich anmelden. Im Rahmen Ihrer Registrierung ist abhängig von dem ausgewählten Login-Option und der damit verbundenen Sicherheitsstufe eine der folgenden Authentifizierungs methoden festgelegt worden:

  • Zertifikatsdatei:
    Die Zertifikatsdatei ist eine individuell geschützte Datei, die auf Ihrem Computer in einer speziellen Sicherheitsumgebung gespeichert wird und Ihre persönlichen Schlüssel und Zertifikate enthält. Sie können diese Datei auf Ihrem Computer (Ihrer Festplatte) oder einem externen Speichermedium (z. B. Diskette, ZIP-Laufwerk oder USB-Memory-Stick) speichern.

  • Sicherheitsstick:
    Der Sicherheitsstick ist ein an den USB-Anschluss Ihres Computers anschließbares, individuell geschütztes Gerät, welches einen Kryptochip beinhaltet und dort Ihre persönlichen Kryptomittel speichert. Das Aussehen des Sicherheitssticks ähnelt einem USB-Memory-Stick. Die Funktionen des integrierten Kryptochips entsprechen in Hard- und Software denen einer Chipkarte. Den Sicherheitsstick können Sie gesondert käuflich erwerben: zum Shop »»»

  • Signaturkarte:
    Das für ELSTER benötigte Zertifikat befindet sich auf einem Signaturkartenchip (Kryptochip), einem kleinen Mikroprozessor, über dem man auf die gespeicherten Daten (Zertifikat) zugreifen kann. Der Umweg über den Mikroprozessor erlaubt es, die Daten auf der Karte über kryprographische Verfahren vor fremden Zugriff zu schützen. Dadurch wird höchste Sicherheit erreicht: Phishing und andere Angriffe bezüglich des Zertifikats sind ausgeschlossen. Es wird ein Kartenleser benötigt, der ebenso wie die Signaturkarte für Authentifizierung käuflich erworben werden muss.
    Die Finanzverwaltung fordert bei der Verwendung von Signaturkarten für Authentifizierung ein Mindestmaß an Sicherheit, das in der ELSTER-Policy nachzulesen ist. Die aktuell unterstützten Karten sind unter "Sicherheit" einsehbar.

• Konto löschen:
  Sie haben hier die Möglichkeit, Ihren persönlichen Zugang zu Mein BOP dauerhaft zu löschen. Dabei werden alle Daten Ihres Benutzerkontos unwiederbringlich gelöscht. Sie benötigen hierfür die für Ihr Benutzerkonto hinterlegte E-Mail-Adresse, den Kurznamen Ihres Benutzerkontos sowie die Antwort zu Ihrer persönlichen Sicherheitsabfrage, die im Rahmen der Registrierung durch Sie selbst festgelegt wurde.
  Falls Sie den Kurznamen Ihres Benutzerkontos nicht mehr wissen, können Sie sich Informationen über alle unter einer E-Mail-Adresse registrierten Benutzerkonten zusenden lassen. Klicken Sie hierzu auf "Kurznamen zusenden".
  Sie müssen sich zum Löschen Ihres Benutzerkontos nicht anmelden.
  Nutzen Sie diese Funktionalität beim Verlust Ihres Zertifikats oder wenn Sie den Verdacht haben, dass jemand sich unberechtigt Zugang zu Ihrem Zertifikat, Ihrem Sicherheitsstick oder Ihrer Signaturkarte verschafft hat.

Ihr Browser ist das Tor zum Internet. Mit ihm lassen sich von Ihrem Computer aus Internet-Seiten erkunden, Informationen suchen und Dateien herunterladen. Ob Internet-Explorer, Google Chrome, Mozilla Firefox oder Opera: Bei allen Internet-Browsern werden immer neue Sicherheitslöcher entdeckt. Prüfen Sie also regelmäßig Ihren Internet-Browser und aktualisieren Sie die Software mit Hilfe von Sicherheitsupdates. In allen gängigen Internet-Browsern sind zudem Sicherheitsmechanismen vorgesehen, die verhindern sollen, dass zum Beispiel Computerviren und Trojaner Dateien auf Ihrem Computer verändern, löschen oder auslesen können. Weiterführende Informationen zu Gefahren und Sicherheitsmaßnahmen bei der Nutzung Ihres Internet-Browsers sind zum Beispiel über die folgende Internet-Seite des Bundesamtes für Sicherheit in der Informationstechnik abrufbar:

• https://www.bsi-fuer-buerger.de

Mit den sogenannten Phishing-E-Mails locken Betrüger auf gefälschte Internetseiten oder fordern Sie auf, Angaben zu Zugangsinformationen zu Internet-Anwendungen zu machen. Mit den so gewonnenen Daten versuchen die Betrüger den Nutzern Schaden zuzufügen.
Bitte beachten Sie dazu: Die Finanzverwaltung wird Ihnen nie E-Mails schicken, die Zahlungsanweisungen oder Handlungsanweisung enthalten, die die Herausgabe sicherheitsrelevanter Daten wie z. B. Steuerdaten, persönlicher Identifikationsnummer (PIN), persönliches Zertifikat, etc. fordern. Machen Sie niemals - weder telefonisch noch per E-Mail - Angaben über Ihre geheimen Zugangsdaten zu Mein BOP. Ignorieren Sie daher E-Mails von vermeintlichen Absendern aus der Finanzverwaltung, in denen Sie zur Preisgabe vertraulicher Daten aufgefordert werden.
Sollten Sie versehentlich eine zweifelhafte Internetseite besuchen und Ihre Daten preisgegeben haben, setzen Sie sich umgehend mit der Finanzverwaltung in Verbindung und löschen Sie gegebenenfalls Ihr Benutzerkonto bei Mein BOP.

Die Registrierung für Mein BOP beginnt mit der Erhebung Ihrer persönlichen Daten. Dies sind zum Beispiel Name, Kurzname Ihres Kontos, BZSt-Nummer und E-Mail Adresse. Auf Basis dieser Daten erfolgt ein Nachweis der Übereinstimmung Ihrer elektronischen Identität mit Ihrer Person durch die Finanzverwaltung. Für den Identitätsnachweis wird aus Sicherheitsgründen zwischen Ihnen und der Finanzverwaltung der Austausch von Daten notwendig sein. Die Registrierung besteht aus mehreren Schritten. Die Finanzverwaltung muss genau wissen, dass Sie die Person sind, für die Sie sich elektronisch ausgeben, um den elektronischen Missbrauch Ihrer persönlichen Zugangsmöglichkeit zu Mein BOP zu verhindern. Nach erfolgreicher Registrierung stehen Ihnen die Dienste von Mein BOP zur Verfügung.

Mein BOP bietet Ihnen unterschiedliche Wege sich anzumelden, also den Nachweis Ihrer Identität zu erbringen. Diese Wege unterscheiden sich in ihrem Anspruch an Sicherheit, in den Anschaffungskosten, im Beschaffungsaufwand und letztendlich in ihrer Gültigkeit.
In Abhängigkeit von der Sicherheit der unterschiedlichen Anmeldungen bietet Ihnen Mein BOP drei Login-Optionen mit unterschiedlichen Diensten an. Die Details der drei Login-Optionen werden Ihnen präsentiert, sobald Sie in Mein BOP den Bereich Registrierung aufrufen.

Damit ausgeschlossen werden kann, dass jemand anderes als Sie selbst sich bei Mein BOP anmeldet, müssen Sie im Rahmen der Registrierungsprozesse ein Authentifizierung smittel erwerben. Das Authentifizierungsmittel kann eines der folgenden sein:

• Zertifikatsdatei
• Sicherheitsstick
• Signaturkarte

Damit können Sie gegenüber Mein BOP zukünftig über das Login zweifelsfrei und schnell Ihre elektronische Identität nachweisen. Nach abgeschlossener Registrierung ist der Zugang zu Ihren personalisierten Diensten nur über das gewählte Authentifizierung smittel möglich.

Bei der Verwendung einer Zertifikatsdatei ist die Sicherheit Ihrer persönlichen Zugangsmöglichkeit zu Mein BOP auch stark abhängig von der Sicherheit des verwendeten Computers. Diese Sicherheit obliegt Ihrer persönlichen Hoheit und ist unter anderem Gefahren aus dem Internet (zum Beispiel Hijacking, Masquerading und Phishing) ausgesetzt. So kann zum Beispiel eine auf Ihrem Computer befindliche Zertifikatsdatei von Ihnen beliebig oft kopiert werden und gegebenenfalls durch Unachtsamkeit in falsche Hände gelangen. Da das Kopieren aber auch unbemerkt erfolgen kann (zum Beispiel durch über das Internet eingeschleuste Computerviren oder Trojaner), bringt eine Zertifikatsdatei Risiken für Sie mit sich, die Sie berücksichtigen sollten. Wir empfehlen Ihnen deshalb, dass Sie Sicherheitsmaßnahmen zur Einschränkung der Bedrohungen aus dem Internet ergreifen. Als Maßnahmen sind zum Beispiel die Installation eines Virenscanners, einer Personal-Firewall oder der Sicherheitscheck Ihrer Computer-Konfiguration in Betracht zu ziehen. Informationen zu Gefahren und Sicherheitsmaßnahmen sind beim Bundesamt für Sicherheit in der Informationstechnik oder bei "Deutschland sicher im Netz e. V." zu finden:

• http://www.bsi-fuer-buerger.de
• https://www.sicher-im-netz.de

Im Gegensatz zur  Zertifikatsdatei, das auf der Festplatte Ihres Computers abgelegt wird, liegen Ihre Schlüssel auf dem Sicherheitsstick oder der Signaturkarte außerhalb der Sicherheitsumgebung Ihres Computers. Die so hinterlegten privaten Schlüssel können nicht ausgelesen werden. Hinzu kommt, dass sowohl der Sicherheitsstick als auch die Signaturkarte nach wenigen fehlgeschlagenen Zugriffen - üblicherweise drei - automatisch gesperrt werden und wieder freigeschaltet werden müssen. Die Wahrscheinlichkeit, dass sich jemand durch Ausprobieren von Passwörtern Zugang zu Ihrem Zertifikat verschafft, ist damit sehr gering. Sensible kryptographische Operationen mit Ihren privaten Schlüsseln können innerhalb eines Sicherheitsstick oder einer Signaturkarte durchgeführt werden und hängen nicht von der durch Gefahren aus dem Internet geprägten Sicherheitsumgebung Ihres Computers ab. Zudem können die privaten Schlüssel aus dem Sicherheitsstick nicht ausgelesen werden. So erfüllen der Sicherheitsstick und die Signaturkarte auch höhere Sicherheitsanforderungen. Wenn Sie Ihrerseits Unwägbarkeiten in der Sicherheit des verwendeten Computers sehen oder die vorgeschlagenen Sicherheitsmaßnahmen im Sinne einer sicheren Nutzung einer Zertifikatsdatei nicht umsetzen können (zum Beispiel im Internet-Café), empfehlen wir Ihnen, dass Sie sich mit Sicherheitsstick oder Signaturkarte registrieren.

Sie haben hier die Möglichkeit, Ihren Zugang zu Mein BOP dauerhaft sperren zu lassen. Dabei werden Ihre gesamten Daten in Mein BOP unwiederbringlich gelöscht. Bereits übermittelte Steuererklärungen sind davon nicht betroffen. Einerseits können Sie die Funktion verwenden, wenn Sie Ihren Zugang nicht mehr benötigen. Andererseits steht Ihnen diese Funktion sicherheitstechnisch zur Verfügung, wenn Ihr Authentifizierungsmittel(Zertifikatsdatei, Sicherheitsstick oder Signaturkarte) unabsichtlich in fremde Hände geraten ist oder Sie es verloren haben. In diesem Fall sollten Sie dann umgehend Ihren entsprechenden persönlichen Zugang zu Mein BOP sperren. In diesem Fall besteht ein erhöhtes Risiko, dass ein Unberechtigter Zugriff auf Ihre personalisierten Dienste erhalten kann.
Zur Sperrung benötigen Sie persönliche Daten (E-Mail und Kurzname) und Ihre persönliche Antwort zur Sicherheitsabfrage, die Sie im Rahmen Ihrer Registrierung für Ihren persönlichen Zugang ausgewählt und beantwortet haben. Dadurch können nur Sie die Sperrung veranlassen, da im Idealfall nur Sie alle persönlichen Daten haben und die ausgewählte Frage beantworten können. Nur wenn Sie über die persönlichen Daten und die Beantwortung Ihrer Frage von Mein BOP authentifiziert sind, kann Ihre persönliche Zugangsmöglichkeit gesperrt werden. Das Prinzip der Authentifizierung für die Sperrfunktion ist ein gängiges Vorgehen zur Authentifizierung von Personen über Telefon (zum Beispiel oft von Call-Centern praktiziert), wenn ein Passwort oder anderes Sicherheitsmittel vergessen wurde.
Bitte tragen Sie zunächst als persönliche Daten Ihren Kurznamen und Ihre E-Mail-Adresse für Ihre Identifikation ein und klicken Sie anschließend auf "Weiter".
Falls Sie den Kurznamen Ihres Kontos nicht mehr wissen, können Sie sich Informationen über alle unter einer E-Mail-Adresse registrierten Benutzerkonten zusenden lassen. Klicken Sie hierzu auf "Kurznamen zusenden".

Sie haben hier die Möglichkeit, Ihren Zugang zu Mein BOP dauerhaft sperren zu lassen. Dabei werden Ihre gesamten Daten in Mein BOP unwiederbringlich gelöscht. Bereits übermittelte Steuererklärungen sind davon nicht betroffen.
Klicken Sie im privaten Bereich von Mein BOP auf "Konto löschen". Erlauben Sie die Sperrung durch Eingabe Ihrer Antwort zur zugeordneten Sicherheitsabfrage. Danach wird die Sperrung Ihres persönlichen Zugangs sofort ausgeführt.
Würde ein Unberechtigter einen Ihrer Zugänge sperren wollen, so müsste dieser Ihre eingesetzte E-Mail-Adresse, Ihren Kurznamen und die Antwort auf Ihre persönliche Sicherheitsabfrage kennen, was unwahrscheinlich ist. Zudem besteht keine besondere Motivation für Unberechtigte, eine persönliche Zugangsmöglichkeit zu sperren. Die Motivation bestünde für Unberechtigte beziehungsweise Hacker eher darin, Ihre dem Steuergeheimnis unterliegenden persönlichen Daten zu erhalten, was bei Mein BOP verlässlich durch Sicherheitstechniken in den Bereichen Authentifizierung und Verschlüsselung abgesichert ist.