Hilfe
ISO 27001 - Sicherheit bei ELSTER
Die Finanzverwaltungen von Bund und Ländern bekennen sich zu ihrer Verantwortung für die Informationstechnik (IT)-Sicherheit im Verfahren ELSTER. Der Schutz vertraulicher Informationen sowie die Gewährleistung der Verfügbarkeit und der Integrität aller im Rahmen von ELSTER zu verarbeitenden Daten sowie deren Verarbeitungssysteme müssen gewährleistet sein.
Das ELSTER Verfahren unterliegt diversen gesetzlichen Anforderungen an die IT-Sicherheit. Bei der elektronischen Übermittlung von Daten sind eine Vielzahl gesetzlicher Vorschriften sowie diverse Schreiben des Bundesfinanzministeriums zu beachten, die eine ordnungsmäßige Behandlung elektronischer Daten zu einer herausfordernden Aufgabe machen. Zu den wichtigsten gesetzlichen Vorschriften zählen:
- Abgabenordnung (AO)
- Steuerdaten-Übermittlungsverordnung (StDÜV)
- Steuerdaten-Abrufverordnung (StDAV)
- Bundesdatenschutzgesetz (BDSG)
- Bayerisches Datenschutzgesetz (BayDSG)
- Datenschutzgesetz Nordrhein-Westfalen (DSG NRW)
Die Leistungen von ELSTER werden in einer nach ISO 27001 auf Basis des IT-Grundschutz-Kompendiums des Bundesamts für Sicherheit in der Informationstechnik zertifizierten eigenen IT-Infrastruktur erbracht. Mit der Zertifizierung soll dokumentiert werden, dass für diese, vom Bayerischen Landesamt für Steuern zur Verfügung gestellten Dienste, der IT-Grundschutz nach ISO 27001 vollständig implementiert wurde und die Auseinandersetzung mit IT-Sicherheitsthemen ein essentieller Bestandteil der Ziele der Finanzverwaltung ist.
Sicherheitsanalyse der JavaScript-Komponenten durch Fraunhofer AISEC
Das Fraunhofer AISEC hat zwischen April und Juli 2023 im Auftrag des Bayerischen Landesamts für Steuern, Abteilung IuK, eine Sicherheitsanalyse des Online-Portals Mein ELSTER durchgeführt. Zur Durchführung wurde eine Testumgebung genutzt. Die Prüfung begann am 26.04.2023 und endete am 14.07.2023. Getestet wurde die Version 56.1.0-rc001 des Mein ELSTER-Portals und Version 56.0.2 der MeinElster+-App.
Es wurden verschiedene Prozesse von Mein ELSTER und der MeinELSTER+-App auf Schwachstellen untersucht. Der Fokus wurde auf folgende Prozesse gelegt:
- Registrierung (ohne Nutzung des nPA) am Portal
- Login: Challenge-Response-Authentisierung mit dem ELSTER-Zertifikat
- Entschlüsselung von Postfachnachrichten und Entwürfen
- XML-Signatur mit und ohne Abrufcode
- Ändern der Zertifikats-PIN
- Zertifikatsverlängerung
- Prozess des Beleguploads in der Webanwendung (OCR, Markieren von Werten)
- Clientseitige Implementierung des Chats in der Webanwendung
- Kopplung der MeinELSTER+-App mit dem Benutzerkonto via QR-Code
- Prozess des Beleguploads in der App (OCR, Transportkanal)
- Support-Formular in der App (authentisiert / nicht authentisiert)
- Clientseitige Implementierung des Chats in der App
Aus dieser Vorgehensweise ergaben sich die Hauptziele der Sicherheitsüberprüfung:
- Untersuchung der Schnittstellen zwischen dem Mein ELSTER-Portal und der MeinELSTER+-App auf Sicherheitslücken
- Feststellung von schweren Lücken in der Nutzung der kryptografischen Funktionen durch das Mein ELSTER-Portal oder der MeinELSTER+-App
- Generelles Review der Gesamtlösung auf weitere potentielle Schwachstellen
Die Kritikalität der Befunde wurde mithilfe einer 5-stufigen Skala beurteilt: Information, Niedrig, Mittel, Hoch und Kritisch. Die Einteilung der Befunde ergibt sich wie folgt:
- Kritische Befunde stellen konkrete Schwachstellen dar, die es erlauben, das System vollständig zu übernehmen. Dafür sind keine oder nur geringe Voraussetzungen nötig.
- Befunde der Kategorie Hoch sind Schwachstellen, welche höheren Voraussetzungen unterliegen und/oder geringere Auswirkungen haben, z.B. die Übernahme eines Accounts statt des gesamten Systems.
- Mittlere und Niedrige Befunde deuten auf eine Anfälligkeit hin, die die Angriffsfläche höher kategorisierter Befunde vergrößern kann.
- Befunde der Kategorie Information liefern Hinweise auf die Verbesserung der Wartbarkeit des Quelltextes.
Insgesamt wurden im Laufe des Projekts ein als hoch, zwei als mittel sowie vier als niedrig eingestufte Befunde ermittelt. Die als hoch eingestufte Schwachstelle betraf lediglich Software-Abhängigkeiten und wurde kurz nach Ablauf des Projekts beseitigt. Die verbleibenden Befunde stellen keine kritischen oder hohen Sicherheitsrisiken dar. Jedoch zeigen sich an mehreren Stellen Möglichkeiten zur Vereinfachung von Abläufen, was langfristig die Wartbarkeit des Codes erhöhen und zur Minimierung von Sicherheitsrisiken beitragen kann.
Basiswissen
Die Gefahren aus dem Internet nehmen täglich zu. Entwickler von Internet-Software, wie z. B. Mein ELSTER, stehen in einem ständigen Wettlauf mit Hackern, die immer neue Wege für Angriffe finden, um über das Internet kommunizierte elektronische Informationen auszuspähen oder zu manipulieren. Übliche Gefahren durch Hacker sind hier zum Beispiel Hijacking, Masquerading und Phishing. Bei der Verwendung von Mein ELSTER ist die Gewährleistung von Sicherheit das oberste Gebot für die Finanzverwaltung.
Ihre Verbindung zu Mein ELSTER ist elektronisch verschlüsselt. Dadurch wird verhindert, dass unberechtigte Dritte die Übertragung von Informationen über das Internet zwischen Ihrem Computer und Mein ELSTER einsehen können.
Mein ELSTER bietet Ihnen über diese Verbindung letztendlich folgende Möglichkeiten für eine sichere Nutzung seiner personalisierten Dienste an:
Registrierung:
Die Registrierung für Mein ELSTER erfolgt aus Sicherheitsgründen in mehreren Schritten. Sie muss jedoch nur einmal durchgeführt werden. Bei der Registrierung müssen Sie sich für eine der Login-Optionen Zertifikatsdatei, Sicherheitsstick oder Signaturkarte entscheiden. Die Login-Optionen unterscheiden sich durch die Sicherheitsstufe und dementsprechend auch durch die verfügbaren Funktionen. Nähere Informationen dazu finden Sie auf den Seiten der Registrierung.Nach der Registrierung stehen Ihnen abhängig von der Art des Logins und der damit verbundenen Sicherheitsstufe unterschiedliche personalisierte Dienste zur Verfügung. Das personalisierte Login ist sicherheitstechnisch ausschließlich den registrierten Anwendern möglich. Nicht registrierte Anwender können nur auf den öffentlichen Bereich von ELSTER zugreifen.
Login:
Vor der Nutzung von Mein ELSTER müssen Sie sich ein Benutzerkonto erstellen. Im Rahmen Ihrer Registrierung ist abhängig von der ausgewählten Login-Option und der damit verbundenen Sicherheitsstufe eine der folgenden Authentifizierung smethoden festgelegt worden:- Zertifikatsdatei:
Die Zertifikatsdatei ist eine individuell geschützte Datei, die auf Ihrem Computer in einer speziellen Sicherheitsumgebung gespeichert wird und Ihre persönlichen Schlüssel und Zertifikate enthält. Sie können diese Datei auf Ihrem Computer (Ihrer Festplatte) oder einem externen Speichermedium (z. B. USB-Memory-Stick) speichern. Sicherheitsstick:
Der Sicherheitsstick ist ein an den USB-Anschluss Ihres Computer anschließbares, individuell geschütztes Gerät, welches einen Kryptochip beinhaltet und dort Ihre persönlichen Kryptomittel speichert. Das Aussehen des Sicherheitssticks ähnelt einem USB-Memory-Stick. Die Funktionen des integrierten Kryptochips entsprechen in Hard- und Software denen einer Chipkarte. Den Sicherheitsstick können Sie gesondert käuflich erwerben: zum ShopSignaturkarte:
Das für ELSTER benötigte Zertifikat befindet sich auf einem Signaturkartenchip (Kryptochip), einem kleinen Mikroprozessor, über dem man auf die gespeicherten Daten (Zertifikat) zugreifen kann. Der Umweg über den Mikroprozessor erlaubt es, die Daten auf der Karte über kryprographische Verfahren vor fremden Zugriff zu schützen. Dadurch wird höchste Sicherheit erreicht: Phishing und andere Angriffe bezüglich des Zertifikats sind ausgeschlossen. Es wird ein Kartenleser benötigt, der ebenso wie die Signaturkarte käuflich erworben werden muss.
Die Finanzverwaltung fordert bei der Verwendung von Signaturkarten ein Mindestmaß an Sicherheit, das in der ELSTER-Policy nachzulesen ist. Die aktuell unterstützten Karten sind unter "Sicherheit" einsehbar.
- Zertifikatsdatei:
Konto löschen:
Sie haben hier die Möglichkeit, Ihren persönlichen Zugang zu Mein ELSTER dauerhaft zu löschen. Dabei werden alle Daten Ihres Benutzerkontos unwiederbringlich gelöscht. Sie benötigen hierfür die für Ihr Benutzerkonto hinterlegte E-Mail-Adresse, den Benutzernamen Ihres Benutzerkontos sowie die Antwort zu Ihrer persönlichen Sicherheitsabfrage, die im Rahmen der Registrierung durch Sie selbst festgelegt wurde.Falls Sie den Benutzernamen Ihres Benutzerkontos nicht mehr wissen, können Sie sich Informationen über alle unter einer E-Mail-Adresse registrierten Benutzerkonten zusenden lassen. Klicken Sie hierzu auf "Benutzernamen zusenden".
Sie müssen sich zum Löschen Ihres Benutzerkontos nicht anmelden.
Nutzen Sie diese Funktionalität beim Verlust Ihres Zertifikats oder wenn Sie den Verdacht haben, dass jemand sich unberechtigt Zugang zu Ihrer Zertifikatsdatei, Ihrem Sicherheitsstick oder Ihrer Signaturkarte verschafft hat.
Bitte beachten Sie, dass insbesondere bei Verdacht auf unbefugtes Kopieren der Zertifikatsdatei die bloße Passwort-Änderung der Zertifikatsdatei nicht ausreichend ist.
Ihr Browser ist das Tor zum Internet. Mit ihm lassen sich von Ihrem Computer aus Internet-Seiten erkunden, Informationen suchen und Dateien herunterladen. Ob Internet-Explorer, Mozilla Firefox oder Google Chrome: Bei allen Internet-Browsern werden immer neue Sicherheitslöcher entdeckt. Prüfen Sie also regelmäßig Ihren Internet-Browser und aktualisieren Sie die Software mit Hilfe von Sicherheitsupdates. In allen gängigen Internet-Browsern sind zudem Sicherheitsmechanismen vorgesehen, die verhindern sollen, dass zum Beispiel Computerviren und Trojaner Dateien auf Ihrem Computer verändern, löschen oder auslesen können. Weiterführende Informationen zu Gefahren und Sicherheitsmaßnahmen bei der Nutzung Ihres Internet-Browsers sind zum Beispiel über die folgende Internet-Seite des Bundesamtes für Sicherheit in der Informationstechnik abrufbar:
https://www.bsi-fuer-buerger.deMit den sogenannten Phishing-E-Mails locken Betrüger auf gefälschte Internetseiten oder fordern Sie auf, Angaben zu Zugangsinformationen zu Internet-Anwendungen zu machen. Mit den so gewonnenen Daten versuchen die Betrüger den Nutzern Schaden zuzufügen.
Bitte beachten Sie dazu: Die Finanzverwaltung wird Ihnen nie E-Mails schicken, die Zahlungsanweisungen oder Handlungsanweisung enthalten, die die Herausgabe sicherheitsrelevanter Daten wie z. B. Steuerdaten, persönliches Passwort, persönliches Zertifikat, etc. fordern. Machen Sie niemals - weder telefonisch noch per E-Mail - Angaben über Ihre geheimen Zugangsdaten zu Mein ELSTER. Ignorieren Sie daher E-Mails von vermeintlichen Absendern aus der Finanzverwaltung, in denen Sie zur Preisgabe vertraulicher Daten aufgefordert werden.
Sollten Sie versehentlich eine zweifelhafte Internetseite besuchen und Ihre Daten preisgegeben haben, setzen Sie sich umgehend mit der Finanzverwaltung in Verbindung und löschen Sie gegebenenfalls Ihr Benutzerkonto bei Mein ELSTER.
Registrierung
Die Registrierung für Mein ELSTER beginnt mit der Erhebung Ihrer persönlichen Daten. Dies sind z. B. Name, Benutzername Ihres Benutzerkontos, E-Mail Adresse und persönliche Identifikationsnummer bzw. Organisations-Steuernummer. Auf Basis dieser Daten erfolgt ein Nachweis der Übereinstimmung Ihrer elektronischen Identität mit Ihrer Person durch die Finanzverwaltung. Für den Identitätsnachweis wird aus Sicherheitsgründen zwischen Ihnen und der Finanzverwaltung der Austausch von Daten notwendig sein. Die Registrierung besteht aus mehreren Schritten. Die Finanzverwaltung muss genau wissen, dass Sie die Person sind, für die Sie sich elektronisch ausgeben, um den elektronischen Missbrauch Ihrer persönlichen Zugangsmöglichkeit zu Mein ELSTER zu verhindern. Nach erfolgreicher Registrierung stehen Ihnen die Dienste von Mein ELSTER zur Verfügung.
Mein ELSTER bietet Ihnen unterschiedliche Wege sich anzumelden, also den Nachweis Ihrer Identität zu erbringen. Diese Wege unterscheiden sich in ihrem Anspruch an Sicherheit, in den Anschaffungskosten, im Beschaffungsaufwand und letztendlich in ihrer Gültigkeit.
In Abhängigkeit von der Sicherheit der unterschiedlichen Anmeldungen bietet Ihnen Mein ELSTER drei Login-Optionen mit unterschiedlichen Diensten an. Diese Informationen sind in der Seite Art der Registrierung und Art des Loginsübersichtlich dargestellt.
Damit ausgeschlossen werden kann, dass jemand anderes als Sie selbst sich bei Mein ELSTER anmeldet, müssen Sie im Rahmen der Registrierungsprozesse ein Authentifizierung smittel erwerben. Das Authentifizierungsmittel kann eines der folgenden sein:
- Zertifikatsdatei
- Sicherheitsstick
- Signaturkarte
Damit können Sie Mein ELSTER zukünftig über das Login zweifelsfrei und schnell Ihre elektronische Identität nachweisen. Nach abgeschlossener Registrierung ist der Zugang zu Ihren personalisierten Diensten nur über das gewählte Authentifizierung smittel möglich.
Bei der Verwendung einer Zertifikatsdatei ist die Sicherheit Ihrer persönlichen Zugangsmöglichkeit zu Mein ELSTER auch stark abhängig von der Sicherheit des verwendeten Computers. Diese Sicherheit obliegt Ihrer persönlichen Hoheit und ist unter anderem Gefahren aus dem Internet (z. B. Hijacking, Masquerading und Phishing) ausgesetzt. So kann zum Beispiel ein auf Ihrem Computer befindliche Zertifikatsdatei von Ihnen beliebig oft kopiert werden und gegebenenfalls durch Unachtsamkeit in falsche Hände gelangen. Da das Kopieren aber auch unbemerkt erfolgen kann (z. B. durch über das Internet eingeschleuste Computerviren oder Trojaner), bringt eine Zertifikatsdatei Risiken für Sie mit sich, die Sie berücksichtigen sollten. Wir empfehlen Ihnen deshalb, dass Sie Sicherheitsmaßnahmen zur Einschränkung der Bedrohungen aus dem Internet ergreifen. Als Maßnahmen sind zum Beispiel die Installation eines Virenscanners, einer Personal-Firewall oder der Sicherheitscheck Ihrer Computer-Konfiguration in Betracht zu ziehen. Informationen zu Gefahren und Sicherheitsmaßnahmen sind beim Bundesamt für Sicherheit in der Informationstechnik oder bei "Deutschland sicher im Netz e. V." zu finden:
Im Gegensatz zur Zertifikatsdatei, das auf der Festplatte Ihres Computers abgelegt wird, liegen Ihre Schlüssel auf dem Sicherheitsstick oder der Signaturkarte für Authentifizierung außerhalb der Sicherheitsumgebung Ihres Computers. Die so hinterlegten privaten Schlüssel können nicht ausgelesen werden. Hinzu kommt, dass sowohl der Sicherheitsstick als auch die Signaturkarte nach wenigen fehlgeschlagenen Zugriffen - üblicherweise drei - automatisch gesperrt werden und wieder freigeschaltet werden müssen. Die Wahrscheinlichkeit, dass sich jemand durch Ausprobieren von Passwörtern Zugang zu Ihrem Zertifikat verschafft, ist damit sehr gering. Sensible kryptographische Operationen mit Ihren privaten Schlüsseln können innerhalb eines Sicherheitsstick oder einer Signaturkarte durchgeführt werden und hängen nicht von der durch Gefahren aus dem Internet geprägten Sicherheitsumgebung Ihres Computers ab. Zudem können die privaten Schlüssel aus dem Sicherheitsstick nicht ausgelesen werden. So erfüllen der Sicherheitsstick und die Signaturkarte auch höhere Sicherheitsanforderungen. Wenn Sie Ihrerseits Unwägbarkeiten in der Sicherheit des verwendeten Computers sehen oder die vorgeschlagenen Sicherheitsmaßnahmen im Sinne einer sicheren Nutzung einer Zertifikatsdatei nicht umsetzen können (z. B. im Internet-Café), empfehlen wir Ihnen, dass Sie sich mit einem Sicherheitsstick oder Signaturkarte registrieren.
Konto löschen
Sie haben hier die Möglichkeit Ihren Zugang (Login) zu Mein ELSTER dauerhaft sperren zu lassen. Dabei werden Ihre Daten in Mein ELSTER unwiederbringlich gelöscht. Bereits übermittelte Steuererklärungen sind davon nicht betroffen. Einerseits können Sie die Funktion verwenden, wenn Sie Ihren Zugang nicht mehr benötigen. Andererseits steht Ihnen diese Funktion sicherheitstechnisch zur Verfügung, wenn Ihr Authentifizierungs mittel (Zertifikatsdatei, Sicherheitsstick oder Signaturkarte) unabsichtlich in fremde Hände geraten ist oder Sie es verloren haben. In diesem Fall sollten Sie umgehend Ihr Benutzerkonto bei Mein ELSTER löschen. In diesem Fall besteht ein erhöhtes Risiko, dass eine unberechtigte Person Zugriff auf Ihre personalisierten Dienste erhalten kann.
Zur Löschung des Benutzerkontos benötigen Sie persönliche Daten (E-Mail und Benutzername des Benutzerkontos) und die Antwort zur Sicherheitsabfrage, die Sie im Rahmen der Registrierung bei Mein ELSTER ausgewählt und beantwortet haben. Dadurch können nur Sie die Löschung bzw. Sperrung veranlassen, da nur Sie alle persönlichen Daten haben und die Sicherheitsabfrage beantworten können.
Bitte tragen Sie zunächst den Benutzernamen des Benutzerkontos und Ihre E-Mail-Adresse ein und klicken Sie anschließend auf "Weiter".
Falls Sie den Benutzernamen Ihres Benutzerkontos nicht mehr wissen, können Sie sich Informationen über alle unter einer E-Mail-Adresse registrierten Benutzerkonten zusenden lassen. Klicken Sie hierzu auf "Benutzername(n) zusenden".
Hinweis zur Löschung des Benutzerkontos bei Zertifikatsdatei und Sicherheitsstick:
Wenn Sie den Löschvorgang durchführen, werden Ihr ELSTER-Zertifikat und Ihre Daten sofort gesperrt bzw. gelöscht und der Zugang (Login) unwiderruflich verhindert. Die Verwendung Ihres ELSTER-Zertifikates für die Authentifizierung bei elektronischen Steuererklärungen (ELSTER), z. B. bei ElsterFormular, ist dann nicht mehr möglich. Ihre elektronische Identität wird gemäß der Festsetzungsfrist nach § 169 AO für einen Zeitraum von 10 Jahren gespeichert und erst danach endgültig gelöscht.
Hinweis zur Löschung des Benutzerkontos bei Signaturkarte:
Wenn Sie den Löschvorgang durchführen, werden Ihre Daten sofort gelöscht bzw. gesperrt und damit der Zugang (Login) für dieses Benutzerkonto unwiderruflich verhindert. Ihre elektronische Identität wird gemäß der Festsetzungsfrist nach § 169 AO für einen Zeitraum von 10 Jahren gespeichert und erst danach endgültig gelöscht. Die Verwendung Ihrer Signaturkarte für die Authentifizierung bei elektronischen Steuererklärungen (ELSTER), z. B. bei ElsterFormular, ist dann nicht mehr möglich. Ihre Signaturkarte (Zertifikat) bleibt weiterhin gültig. Sie können sich mit Ihrer Signaturkarte erneut registrieren und ein neues Benutzerkonto eröffnen. Falls Sie auch Ihre Signaturkarte für Authentifizierung sperren wollen, müssen Sie sich an den Herausgeber Ihrer Signaturkarte wenden.
Sie haben sich gegenüber Mein ELSTER erfolgreich identifiziert. Erlauben Sie die Sperrung durch Eingabe Ihrer Antwort zur zugeordneten Sicherheitsabfrage, wird die Sperrung Ihres persönlichen Zugangs sofort ausgeführt. Würde ein Unberechtigter einen Ihrer Zugänge sperren wollen, so müsste dieser Ihre eingesetzte E-Mail-Adresse, Ihren Benutzernamen und die Antwort auf Ihre persönliche Sicherheitsabfrage kennen, was unwahrscheinlich ist. Zudem besteht keine besondere Motivation für Unberechtigte, eine persönliche Zugangsmöglichkeit zu sperren. Die Motivation bestünde für Unberechtigte bzw. Hacker eher darin, Ihre dem Steuergeheimnis unterliegenden persönlichen Daten zu erhalten, was bei Mein ELSTER verlässlich durch Sicherheitstechniken in den Bereichen Authentifizierung und Verschlüsselung abgesichert ist.
Weitergabe von Organisationszertifikaten an Dritte
Unternehmern, die ihre Mitarbeiter mit der Übermittlung von Steuerdaten beauftragen, haben die Möglichkeit, eine Registrierung für ein Organisationszertifikat durchzuführen. Dabei sollten Sie als Unternehmer Ihre Organisationszertifikate nur an vertrauenswürdige Mitarbeiter weitergeben und aus Sicherheitsgründen folgendes beachten:
- Sie haben die Möglichkeit, selbst die Registrierung bei Mein ELSTER durchzuführen. Dadurch können Sie das persönliche Passwort, die E-Mail-Adresse und die Antwort auf die Sicherheitsabfrage selbst bestimmen. Sie haben dann bei Bedarf immer die Möglichkeit, zu entscheiden, ob Sie das Benutzerkonto der Organisation löschen wollen oder sich selbst zur Kontrolle in das Benutzerkonto einloggen möchten. Auf keinen Fall sollten Sie die Antwort auf die Sicherheitsabfrage weitergeben, da diese zum Löschen des Kontos benötigt wird.
- Wenn Sie Ihrem Mitarbeiter die Möglichkeit geben wollen, das Passwort selbst bestimmen zu können, dann führen Sie nur den ersten Registrierungsschritt selbst durch und überlassen Sie den zweiten Schritt der Registrierung Ihrem Mitarbeiter. Sie haben dann keine Kenntnis des Passworts und sind nicht im Besitz des Zertifikats, könnten aber trotzdem weiterhin das Benutzerkonto jederzeit löschen (z. B. bei Ausscheiden des Mitarbeiters). Auch hier sollten Sie die Antwort auf die Sicherheitsabfrage niemals an Dritte weitergeben.
Bei einer Registrierung mit Zertifikatsdatei wird diese auf Ihrer Festplatte abgelegt. Sie sollten beachten, dass diese unbemerkt kopiert werden könnte. Daher empfehlen wir Ihnen, sich mit Sicherheitsstick zu registrieren. Dieser ist durch einen eigenen Kryptochip mit aufwändigen festverdrahteten Sicherheitsfunktionen geschützt. Sicherheitsrelevante Daten lassen sich nicht direkt auslesen oder kopieren, da sie nur dem Prozessor zur Verfügung stehen und nicht als Datei kopiert werden können. Zudem können Sie den Sicherheitsstick sicher verwahren, wenn Sie ihn nicht benötigen. Ausgeschiedenen Mitarbeitern können Sie diesen durch physische Wegnahme wieder entziehen. Haben Sie sich dagegen mit Ihrer persönlichen Signaturkarte registriert, so dürfen Sie diese nie an Dritte weitergeben.
Datensicherheit in Mein ELSTER
Nach dem Login in Mein ELSTER haben Sie Zugriff auf die entsprechenden personalisierten Dienste. Die im Rahmen Ihres Logins verwendete Authentifizierungsmethode (Zertifikatsdatei, Sicherheitsstick oder Signaturkarte) und die von Mein ELSTER bereitgestellte Sicherheitstechnologie ermöglicht es, dass nur Sie diese personalisierten Dienste nutzen können. Sie können verlässlich davon ausgehen, dass Sie wirklich mit Mein ELSTER kommunizieren (SSL-Zertifikat) und kein Unberechtigter Zugriff auf Ihre Kommunikation hat (Verschlüsselung). Das Steuergeheimnis ist gewahrt. Ebenso kann Mein ELSTER verlässlich davon ausgehen, dass Sie die Person sind, die eine Kommunikationsverbindung zu Mein ELSTER aufgebaut hat und alle kommunizierten Daten von Ihnen erstellt wurden (Authentifizierung).
Um sich weitere Sicherheit zu verschaffen, können Sie nach dem Login auf der Startseite des privaten Bereichs folgende Angaben prüfen: Benutzername des Benutzerkontos, Zeitpunkt des letzten Logins, Zeitpunkt zu dem Ihr Zertifikat ungültig wird.
In Ihrem Posteingang in Mein ELSTER finden Sie Rückmeldungen der Finanzverwaltung vor. Diese resultieren aus Ihren Abfragen von Diensten oder sind Ihnen zur Information von der Finanzverwaltung zugestellt. Damit aus Gründen des Steuergeheimnisses kein Unbefugter Einsicht in diese Daten erhalten kann, sind diese vor der Zustellung mit Ihrem öffentlichen Schlüssel verschlüsselt worden. Ihr öffentlicher Schlüssel liegt der Finanzverwaltung in einem vom ELSTER Trustcenter ausgestellten Zertifikat vor.
Für einige Funktionen müssen Sie sich gegenüber ELSTER authentisieren. Zur Authentisierung benötigen Sie wieder Ihr Zertifikat (Zertifikatsdatei, Sicherheitsstick oder Signaturkarte) und das dazugehörige Passwort.
Bei Zertifikatsdatei und Sicherheitsstick müssen Sie falls Sie das Passwort-Caching deaktiviert haben Ihr Passwort bereits vor dem Klick auf Absenden eingeben. Bei Verwendung einer Signaturkarte wird der Authentisierungsvorgang in den entsprechenden Eingabemasken jeweils über eine Schaltfläche ausgelöst und führt anschließend zu einer Passwort-Abfrage.
Sie haben auf dieser Seite die Möglichkeit Ihr Passwort zu ändern, wenn Sie zum Beispiel vermuten, dass ein Unberechtigter Ihr Passwort ausgespäht hat. Kennt ein Unberechtigter Ihre Passwort, basiert Ihre Sicherheit grundlegend nur noch auf Ihrem Besitz von Zertifikatsdatei, Sicherheitsstick oder Signaturkarte und nicht mehr dem Wissen "Passwort". Sie unterliegen dann einem erhöhten Sicherheitsrisiko in der Kommunikation mit Mein ELSTER, sofern Sie Ihre Passwort nicht ändern. Die Änderung der PIN Ihrer Signaturkarte ist in Mein ELSTER nicht möglich. Sie kann nur über Ihre verwendete Karten-Hardware oder Karten-Software erfolgen.
Wenn Sie Ihren privaten Bereich verlassen möchten, empfehlen wir, den Button "Logout" anzuklicken. Es besteht ein geringes Restrisiko, dass Ihre Verbindung zu Mein ELSTER im Internet offen bleibt und unter Umständen von Hackernübernommen werden kann, wenn Sie einfach eine andere Internet-Seite auswählen oder den Internet-Browser beenden (Gefahren Hijacking und Masquerading).
Grundsätzlich sollten Sie im Internet immer ein "Logout" durchführen, wenn Sie ein "Login" in eine Internetanwendung benötigt haben!
Mit den sogenannten Phishing-E-Mails locken Betrüger auf gefälschte Internetseiten oder fordern Sie auf, Angaben zu Zugangsinformationen zu Internet-Anwendungen zu machen. Mit den so gewonnenen Daten versuchen die Betrüger den Nutzern Schaden zuzufügen.
Bitte beachten Sie dazu: Die Finanzverwaltung wird Ihnen nie E-Mails schicken, die Zahlungsanweisungen oder Handlungsanweisung enthalten, die die Herausgabe sicherheitsrelevanter Daten wie z. B. Steuerdaten, PIN, persönliches Zertifikat, etc. fordern. Machen Sie niemals - weder telefonisch noch per E-Mail - Angaben über Ihre geheimen Zugangsdaten zu Mein ELSTER. Ignorieren Sie daher E-Mails von vermeintlichen Absendern aus der Finanzverwaltung, in denen Sie zur Preisgabe vertraulicher Daten aufgefordert werden.
Sollten Sie versehentlich eine zweifelhafte Internetseite besuchen und Ihre Daten preisgegeben haben, setzen Sie sich umgehend mit der Finanzverwaltung in Verbindung und löschen Sie gegebenenfalls Ihr Benutzerkonto bei Mein ELSTER.