Seit heute müssen Gewerbetreibende endgültig ihre Umsatzsteuervoranmeldung elektronisch über das Elster-System anmelden. Die Finanzbehörden hatten eine Schonfrist bis 31. März gewährt, obwohl die entsprechenden Vorschriften schon Anfang des Jahres in Kraft getreten waren. Ausnahmegenehmigungen werden aber nach wie vor recht großzügig erteilt.
Elster war mehrfach in die Kritik geraten, nicht nur, weil es nur für Windows einen kostenlosen Client gab, sondern auch weil nach Meinung vieler Experten die fehlende Authentifizierung die Gefahr des Missbrauchs birgt. Im Vordergrund stand dabei aber meist die Möglichkeit, durch falsche Angaben einzelne Unternehmen gezielt zu schädigen.Der Sicherheitsexperte Thomas Maus wies uns darauf hin, dass das Verfahren aber nicht nur für die Steuerpflichtigen sondern auch für die Finanzbörden erhebliche Gefahren birgt.
Für die Abgabe der Umsatzsteuervoranmeldung ist lediglich eine Steuernummer erforderlich, die viele Unternehmen auf ihren Rechnungen angeben. Der Aufbau der Steuernummern und die Erzeugung der Prüfsumme ist genauso öffentlich dokumentiert wie die Nummern der Finanzämter, die zum Erzeugen einer plausiblen Steuernummer nötig sind. Darüber hinaus bringt der ElsterFormular, der Client für Windows-Systeme, auch gleich eine nur schwach geschützte Access-Datenbank mit den entsprechenden Informationen frei Haus mit. Hinzu kommt, dass die Anzahl der möglichen Anmeldungen von einer IP aus nicht beschränkt ist.
Nach Aussagen von Steuersoftware-Entwicklern prüft das System serverseitig nicht, ob der Name der Firma oder auch die Kontonummer zu der angegebenen Steuernummer passt. Es kontrolliert nur, ob ein Unternehmen mit dieser Steuernummer existiert. Es kann also ein beliebiger Fantasiename oder auch gar keiner eingetragen werden.Zusammen mit der fehlenden Authentifizierung, die in Medienberichten schon mehrfach bemängelt wurde, steigt damit laut Thomas Maus das Gefahrenpotential stark an. Es ergäben sich hier ganz konkrete Angriffszenarien.
Der einzelne Steuerpflichtige hat immerhin die Möglichkeit, statt der Steuernummer die Umsatzsteuer-ID auf Rechnungen und Webseiten zu verwenden und gegebenenfalls die Einzugsermächtigung des Finanzamtes zu widerrufen. Das löst jedoch nicht die Probleme, die der Fiskus mit einem Denial-of-Service-Angriff haben könnte.
Elster-Projektleiter Roland Krebs bestätigte zwar, dass das Verfahren so wie beschrieben abläuft, hält die Besorgnis jedoch für übertrieben. Rein technisch seien die Server auf große Lastspitzen ausgelegt, auch würde durch zusätzliche Plausibilitätsabfragen der weitaus größte Teil falscher Anmeldungen automatisch herausfallen. Nur einige wenige Zweifelsälle müssten manuell geprüft werden.
Ab 1.1. 2006 können Unternehmen online ein digitales Zertifikat nach X.509 erwerben, das auf dem Rechner des Anwenders gespeichert wird, und sich damit bei jeder elektronischen Steueranmeldung authentifizieren. Zusätzlich wird dies auch mit Smartcards möglich sein. Das bisherige System ohne Authentifizierung soll laut Krebs aber auch dann weiterhin in Betrieb bleiben, da man nicht jedem Steuerpflichtigen zumuten könne, mit digitalen Zertifikaten umzugehen.
