Sie sind hier:

Online-Steuersoftware: Wie sicher sind Ihre vertraulichen Daten?

Würden Sie Ihre sensiblen Daten für die Steuererklärung öffentlich zugänglich machen? Was passiert mit Ihren persönlichen Daten, wenn diese via Internet an Online-Dienste, für das Erstellen und Berechnen der Steuerklärung, weitergereicht werden? Sind diese Informationen auf der Datenautobahn wirklich sicher oder wird schon beim ersten virtuellen „Rasthof“ eine Kopie gezogen, die dann in dunklen Kanälen verschwindet?

Fast täglich gibt es neue Meldungen und Skandale. Diese werden meist ausgelöst durch kriminelle Computer Experten, die nichts mehr mit den eher harmlosen Hackern von anno dazumal zu tun haben. So wurde unlängst bekannt, dass der Firma Sony 75 Millionen Kundendaten bei einem Angriff auf das „Playstation Network“ (PSN) entwendet wurden. Schlimm dabei ist, dass nicht nur die Adressen und Passwörter der Kunden den Computer-Kriminellen in die Hände fielen, sondern vermutlich auch sehr viele Kreditkartendaten. Wir können es zudem drehen und wenden wie wir wollen: das, was für uns heute der letzte Stand der Technik zum Thema Sicherheit im Internet ist, kann Morgen schon Geschichte sein; und wenn die Daten einmal in die falschen Hände gelangt sind, dann kann es bitter werden.

Bereits seit dem Jahr 2005 sind fast alle in Deutschland steuerpflichtigen Unternehmer und Arbeitgeber gesetzlich dazu verpflichtet, ihre Lohnsteueranmeldungen, die Umsatzsteuervoranmeldung und die Lohnbescheinigungen der Arbeitnehmer, elektronisch mittels dem ELSTER-System an die Finanzbehörden weiterzuleiten. Nur noch in Härtefällen (kein Internetanschluss möglich, kein Computer vorhanden etc.) kann der Unternehmer von der Verpflichtung befreit werden.

Auch für Privatpersonen wird es zunehmend elektronischer. Bevor wir Online Dienste kannten, die beim Ausfüllen der Steuererklärung helfen, gab es bereits das Online-Banking. Um ganze neun Prozentpunkte ist der Anteil der Nutzer seit dem vergangenen Jahr auf 44 Prozent gestiegen. Dies wird belegt durch eine repräsentative Umfrage des Bundesverbands deutscher Banken (BdB).

Die Online-Abwicklung der Kontoführung betrachten bereits 43 Prozent der Deutschen als sicher. Im Jahr 2010 waren nur 35 Prozent von der Sicherheit des Online-Bankings überzeugt. Es stellt sich allerdings heraus, dass die jüngeren Bankkunden weitaus weniger skeptisch sind als die Kunden der reiferen Generation. So sind bei den unter 40-Jährigen ganze 60 Prozent von der Sicherheit überzeugt. Bei den über 60-Jährigen trauen gerade einmal 23 Prozent der Sicherheit bei der Abwicklung der Bankgeschäfte über das Internet.

Mit der fortwährenden Beliebtheit von Computerprogrammen die beim Ausfüllen der Steuererklärung helfen sollen, gibt es seit einigen Jahren auch Dienste, die diesen Service komplett online anbieten. Dies ermöglicht Ihnen, dass Sie ohne den Kauf und die Installation eines Programms die Steuerklärung direkt im Browser vornehmen können.

Um zu klären wie sicher der gesamte Vorgang der Datenübermittlung, Datenspeicherung und der Berechnung ist, haben wir die einzelnen Unternehmen direkt angesprochen.

Folgende Firmen bieten online Dienste an, die beim Ausfüllen der Steuererklärung helfen:

Buhl Data
- Internet Steuer-Sparbuch
- Taxango
Hartwerk
- Steuerfuchs
Gorilla Concept GmbH (KONZ)
- Konz Online Steuererklärung
Forium
- Lohnsteuer Kompakt

Vorteile der Online Programme zum Erstellen der Steuererklärung

Ein ganz großer Vorteil der Online-Dienste ist, dass diese unabhängig vom verwendeten Betriebssystem funktionieren. Die meisten zu installierenden Programme, die es für das Ausfüllen der Steuererklärung gibt, sind nur kompatibel zu Windows Betriebssystemen. Da Online-Dienste nicht mehr als einen gängigen und aktuellen Internetbrowser, wie zum Beispiel Firefox, Google Chrome, Internet Explorer oder Opera benötigen, ist es egal ob auf dem Rechner ein Mac-, Linux- oder ein Windows Betriebssystem installiert ist.

Ganz besonders interessant dürfte es wohl auch sein, wenn die Hilfestellung zum Ausfüllen der Steuererklärung auf den aktuell sehr beliebten Tablett-Computern wie zum Beispiel dem iPad erfolgen kann – denn die online Dienste machen auch dies möglich. Auch die lästigen Updates, welche bei installierbaren Programmen unumgänglich sind, entfallen bei den Online-Lösungen, da diese immer automatisch vom Hersteller an die neuesten Änderungen im Steuerrecht angepasst werden.

Bei allen Online Diensten ist das Erfassen der Daten kostenlos, gezahlt wird erst wenn die ausgefüllten Steuerformulare an das Finanzamt gesendet werden sollen. Dies geschieht wahlweise via ELSTER oder via E-Mail Versand der ausgefüllten Steuerformulare, die dann vom Kunden ausgedruckt und per Briefpost an das zuständige Finanzamt gesendet werden müssen.

Unsere Fragen an die Hersteller

Um ein Statement der jeweiligen Hersteller zu bekommen, fragten wir bei diesen direkt an. Buhl Data, Konz und Hartwerk reagierten innerhalb von kürzester Zeit und sendeten uns umgehend die Antworten, einzig bei der Firma Forium mussten wir wiederholt um Beantwortung bitten.

Wir baten um die Beantwortung der folgenden Fragen:

Wie sind die Daten bei der Bearbeitung mit der von Ihnen vertriebenen Applikation für die Steuerklärung gegen Missbrauch durch Dritte geschützt?
Werden die Daten der Benutzer in irgendeiner Weise zwischengespeichert, wenn ja wie lange und wie verhindern Sie den Zugriff nicht berechtigter Personen auf diese Daten?
Können Sie sicherstellen, dass beim Datenverkehr (Internet PC <-> Server) während der Bearbeitung keine Außenstehenden auf diese Daten Zugriff erlangen?

KONZ Online Steuerklärung

Der Datenschutzbeauftragte der Gorilla Concept GmbH (KONZ) verfasste eine freundliche und informative Rückmeldung. Die Firma Gorilla Concept GmbH betreibt den Online Dienst: Online Steuererklärung. Das Thema Sicherheit spielt bei Gorilla Concept eine große Rolle, so der Datenschutzbeauftragte, er selbst hätte auch Probleme damit seine Steuerdaten „irgendwo im Web“ abzulegen. Diese Bedenken waren bei Konz seit Beginn der Entwicklung des Online Dienstes auch ein sehr großes Thema. Er kommt sogar zu dem Schluss, dass die Steuerdaten auf einem Online Server oftmals sicherer aufbewahrt sind als auf dem eigenen Rechner zu Hause. Dies liegt daran, dass viele Nutzer einfach ihren Heimrechner nicht sicher bekommen. Der Datenschutzbeauftragte der Gorilla Concept GmbH bezieht sich hier auf den hauseigenen Support, wo er selbst eine Zeit lang tätig war und daher weiß wieviele Anfragen dort mit Inhalten wie „Hilfe, ich hatte einen Virus auf der Festplatte und musste alles löschen, wie komme ich jetzt an meine Steuerdaten?“, hereinkamen.

Er bemerkt zudem, dass für die Online Steuererklärung viel Zeit und Geld in das Thema Sicherheit investiert wird. So wurde extra für diesen Online Dienst schon beim Start eine neuen Hoster (Der Dienst der die Internetserver bereitstellt) gesucht. Dieser Hoster weist die notwendigen Sicherheitsmaßnahmen mit den entsprechende Zertifizierungen vor und betreibt seine Server nur in Deutschland. Ein ganz wichtiger Punkt sei zudem das der Hoster individuell in entsprechenden Sicherheitsfragen beratend zur Seite steht.

Die Gorilla Concept GmbH weist darauf hin, dass sehr streng auf die Sicherheit im System geachtet werde. Unter anderem werden die folgenden Sicherheitsmaßnahmen aufgelistet:

Alle Steuerdaten werden in den Datenbanken hoch verschlüsselt abgespeichert
DMZ-Konzept (Demilitarisierte Zonen) mit eigener Firewall in jeder Zone
Trennung von Anwendungs- und Datenschichten
Automatisches Logout bei Inaktivität
Regelmäßige Systemupdates
Regelmäßige Backup-Routinen
24h Überwachung
Regelmäßige Sicherheitsaudits zusammen mit unserem Hoster und mit externen Partnern
Hosting nur auf deutschen Servern bei Anbieter mit SAS 70 Typ II b Zertifikat
Verzicht auf die Integration von externen Scripts und Programme (z.B. Tracking oder ähnliches) innerhalb der Online-Steuererklärung
Möglichkeit für den Nutzer den Steuerfall auf der Platte zu speichern und die Steuerdaten damit aus dem Internet zu nehmen
Zusätzlicher Passwortschutz durch den Nutzer möglich
Regelmäßige Dokumentation des Systems beim Hoster
Shop-Zertifizierung durch TrustedShops

Die Eingabe von Steuerdaten geschieht nachdem der Nutzer einen entsprechenden Login für das bei Gorilla Konzept verwendetet System angelegt hat. Bereits bei der Eingabe sind entsprechende Passwortregeln zu beachten (mindestens acht Zeichen, darin enthalten mindestens ein Großbuchstabe sowie mindestens eine Zahl) – so wird der Nutzer schon an dieser Stelle an die Hand genommen um dafür zu sorgen dass er ein sicheres Passwort wählt.

Der Kunde arbeitet sich dann durch das Steuer-Interview, seine Eingaben werden nach jeder Interviewfrage automatisch gespeichert. So ist garantiert, dass auch bei einem Aussetzer der Internetverbindung noch (fast) alle Daten vorhanden sind und man nicht alles noch einmal eingeben muss. Ein „Session-Hijacking“ wird ebenfalls unterbunden – in so einem Fall gehen bei Gorilla Konzept zudem alle Warnlampen an, so dass nachvollzogen werden kann wer wie versucht hat Unsinn zu machen. Wenn der Benutzer die Daten zusätzlich schützen möchte, kann er diese auch noch einmal mit einem eigenen Passwort verschlüsseln oder die Daten sogar komplett auf die eigene Festplatte exportieren und sie so aus der Online-Steuererklärung von Servern bei Konz entfernen.

Alle Internet-Seiten sind mit AES 256 bit SSL- verschlüsselt, somit soll der gesamte Verkehr zwischen Ihrem Computer und dem Server im Internet „abhörsicher“ sein.

Für weitere Fragen zum Thema Datensicherheit steht bei der Firma Gorilla Konzept (Konz) der Datenschutzbeauftragte bereit: datenschutz@konz-steuertipps.de

Internet Steuer-Sparbuch & Taxango

Die Firma Buhl Data Service GmbH die mit den Online Diensten: Internet Steuer-Sparbuch und Taxango bei der Steuererklärung hilfreich zur Seite steht, verweist auf die Datenschutzerklärung. In dieser wird festgestellt das der größte Wert auf den verantwortungsvollen Umgang mit den persönlichen Daten der Kunde gelegt wird. Sämtliche Daten, die der Kunden während der Nutzung der Online Dienste überträgt, werden mit höchster Vertraulichkeit behandelt und nur zum Zwecke dieser Internetanwendung gespeichert und genutzt.

Beim Aufruf von WISO Internet Steuer-Sparbuch wird eine Verbindung mit den Servern hergestellt. Erfasst und gespeichert werden dabei die Zugriffspfade der Seiten, der Zeitpunkt der Verbindungsherstellung sowie die derzeitige IP-Adresse. Während des Besuchs auf den Internetseiten der Firma Buhl können Daten („Cookies“) auf Ihrem Computer gespeichert werden, diese dienen dazu die Nutzung des Online Dienstes zu erleichtern. Diese Daten werden weder verwendet um Sie zu identifizieren noch um mit Ihnen in Kontakt zu treten. Personenbezogene Daten werden ausschließlich im Rahmen der gesetzlichen Vorschriften des Bundesdatenschutzgesetzes (BDSG) sowie des Telemediengesetzes (TMG) erhoben und gespeichert.

Buhl Data bietet die Möglichkeit den Steuerfall wahlweise bei Ihnen auf einem lokalen Datenträger oder auf dem Buhl Server im Internet verschlüsselt zu speichern. Ein Zugriff auf die Daten ist erst nach Eingabe eines von Ihnen festgelegten, frei wählbaren Passworts möglich. Das Passwort wird in verschlüsselter Form gespeichert, die Buhl Data Service GmbH weist darauf hin das sie zu keinem Zeitpunkt die Möglichkeit hat, auf die entschlüsselte Version des Passworts zuzugreifen. Sämtliche auf dem Buhl Server verschlüsselt gespeicherten Daten (einschließlich der Steuerfälle) werden automatisch gelöscht, wenn der WISO InternetSparbuch-Account über einen Zeitraum von vier Jahren nicht genutzt wird. Die Nutzung von WISO InternetSparbuch erfolgt ausschließlich über eine gesicherte Internetverbindung (SSL/HTTPS), die an einem Schlosssymbol in der Fußleiste des Browsers erkennbar ist. Die bei der Nutzung von WISO InternetSparbuch eingegebenen Daten werden temporär auf dem Buhl Server gespeichert und beim Abmelden oder nach 15 minütiger Inaktivität innerhalb einer Sitzung gelöscht. Dies gilt nicht für Daten, die zuvor vom Kunden verschlüsselt auf dem Buhl Server gespeichert wurden.

Buhl gibt weiterhin an das Sie jederzeit Auskunft über die gespeicherten Daten verlangen können. Dies gilt auch für die Berichtigung, Sperrung und Löschung Ihrer gespeicherten Daten und deren Verarbeitung. Sofern einer Löschung gesetzliche, vertragliche oder handels- bzw. steuerrechtliche Aufbewahrungsfristen oder sonstige gesetzlich verankerte Gründe entgegenstehen, werden die entsprechenden Daten nicht gelöscht sondern mit einer Sperre versehen.

Für weitere Fragen zum Thema Datensicherheit ist der Datenschutzbeauftragte der Buhl Data Service GmbH ist unter der E-Mail Adresse datenschutz@buhl-data.com erreichbar.

Steuerfuchs

Die Hartwerk GmbH betreibt den Online Dienst SteuerFuchs und nimmt das Thema Datenschutz / Datensicherheit sehr ernst und verweist, statt eine vereinfachte Zusammenfassung vorzulegen, auf die Datenschutzerklärung im Internet.

Kurze Zusammenfassung der Datenschutzerklärung der Hartwerk GmbH

Es wird unter anderem darauf hingewiesen das der Schutz der Daten höchste Priorität hat. Sofern im Rahmen der Nutzung von SteuerFuchs die Möglichkeit zur Eingabe persönlicher, geschäftlicher oder steuerlicher Daten besteht, erfolgt die Preisgabe dieser Daten durch den Kunden auf ausdrücklich freiwilliger Basis. Soweit technisch möglich und zumutbar, können die SteuerFuchs-Leistungen auch anonym oder unter Verwendung eines Pseudonyms in Anspruch genommen werden. Beim Aufruf der SteuerFuchs-Websites wird eine Verbindung mit den Servern der Hartwerk GmbH hergestellt. Bei diesen Vorgängen werden die Zugriffspfade der Seiten, der Zeitpunkt der Verbindungsherstellung sowie die aktuelle IP-Adresse des Kunden Rechners registriert und gespeichert. Diese Daten werden zu keinem Zeitpunkt dazu verwendet, den Kunden zu identifizieren oder Kontakt mit ihm aufzunehmen. Die vom Kunden erfassten Datensätze werden mittels einer frei wählbaren Kombination aus Benutzerkennung und Passwort („Zugangsdaten“) in verschlüsselter Form über die Sitzung hinaus gespeichert. Bei erneutem Abruf ist die Eingabe der Zugangsdaten erforderlich.

Das Passwort zum Schutz der besonders sensiblen Steuerdaten wird nirgends im Klartext angezeigt oder gespeichert und ist niemandem außer dem jeweiligen Kunden bekannt. Bei Verlust von Benutzerkennung und/oder Passwort ist ein Zugriff auf die darunter verschlüsselt abgespeicherten Daten unmöglich. Die verschlüsselt gespeicherten Datensätze werden automatisch gelöscht, wenn über einen Zeitraum von zwei Jahren kein Zugriff auf die Daten erfolgt.

Der Dialog mit dem SteuerFuchs-Programm erfolgt ausschließlich über eine gesicherte Verbindung (SSL/HTTPS). Dies ist erkennbar durch das Schloss-Symbol in der Fußleiste des Browsers, durch einen Doppelklick auf dieses Symbol ist es möglich jederzeit zu überprüfen ob die Daten in verschlüsselter Form ausschließlich an einen von der Hartwerk GmbH autorisierten und zertifizierten Webserver gelangen. Durch technische und organisatorische Schutzvorkehrungen bemüht sich die Hartwerk GmbH um Gewährleistung höchstmöglicher Sicherheit vor unberechtigten Zugriffen sowie Verlust, Zerstörung oder Manipulationen der Kunden Daten. Ein Zugriff auf die gespeicherten Daten ist nur durch von der Hartwerk GmbH ermächtigte Personen möglich, welche im Hinblick auf die personenbezogenen Daten – vorbehaltlich der Verwendung nach § 6 Abs. 5 – zur strengsten Verschwiegenheit verpflichtet sind.

Lohnsteuer Kompakt

Eine relativ kurze Antwort erhielten wir von der forium GmbH die den Online Dienst Lohnsteuer Kompakt betreibt. Bei der forium Gmbh sind die Daten durch 128Bit Verschlüsselung geschützt, Passwörter sind mit dem MD5-Verfahren verschlüsselt, die Daten werden zudem immer verschlüsselt in einer Datenbank abgelegt, für den Datenverkehr zwischen dem Server im Internet und dem lokalen Computer beim Kunden werden die gleichen Verfahren, die Banken auch in Ihrem online Banking verwenden, genutzt.

Zusätzlich stellte die forium GmbH noch folgende Informationen zur Verfügung.

Bis zur Abgabe sind Datenverwaltung und Steuerberechnung anonym möglich.
Die Server stehen in Hochsicherheits-Rechenzentren mit biometrischen Zugangskontrollen
Die verschlüsselt gespeicherten Daten werden erst nach einem Auftrag übermittelt.
Speicherung der Daten auf dem Server mit Passwortschutz. Exportierte Daten können nur vom Server und bei gleichem Nutzerprofil wieder entschlüsselt werden.
Auto-Logout nach 30 Minuten Inaktivität

Die Informationen der Steuererklärung werden durch Extended-Validation-SSL-Zertifikate geschützt und authentifiziert. Diese Zertifikate sind an strengere Vergabekriterien gebunden.

So können Sie sich schützen

Überprüfen Sie ob die Verbindung wirklich verschlüsselt stattfindet, dies können Sie erkennen wenn in der Adresszeile des Browsers anstatt http:// die Zeichenfolge https:// zu finden ist. Sichere Webseiten, die verschlüsselt übertragen werden, erkennt man zudem an einem kleinen Schloss in der unteren Browserzeile. Dies ist allerdings abhängig vom eingesetzten Browser, auch ein dunkelgrünes Favicon vor der Adresse im oberen Bereich des Browserfensters weisst auf eine sichere Verbindung hin. Zudem sorgt die Verwendung von SSL Zertifikaten für eine „abhörsichere“ Datenübertragung.

Die Passwörter für den Zugang zur Online-Anwendung für die Steuerklärung sollten Sie nicht im Browser speichern. Es ist sicherer, wenn Sie die Passwörter schriftlich an einem abschließbaren Ort in der Wohnung hinterlegt werden. Wenn die Passwörter im Browser gespeichert sind, könnte JEDER der Zugang zu Ihrem Computer hat, auf die Online Dienste zugreifen.

Nach Beendigung der jeweiligen Eingaben bei den Online Steuerprogrammen löschen Sie den Internetcache oder besser starten Sie zuvor den „privaten Modus“, wenn dieser von Ihrem Browser angeboten wird. Bei Firefox finden Sie beide Modi oben im Menü „Extras“. Ist der private Modus aktiviert legt der Browser keine Dateien mehr temporär auf Ihrem Computer ab, die andere unter Umständen später wieder auslesen könnten. Mit der Löschung des Internetcaches (z.B.: Firefox: Neueste Chronik löschen) werden alle Daten die sich während der Bearbeitung auf der Online Seite im temporären Zwischenspeicher des Browsers gesammelt haben wieder gelöscht.

FAZIT

Es ist festzustellen das sich alle vier Betreiber Gedanken zum Thema Sicherheit gemacht haben und diese auch bestmöglich umsetzen.

Für die Nutzung der Online Dienste spricht die Unabhängigkeit von einem bestimmten Betriebssystem und die automatische Aktualisierung der Dienste, auch das nichts auf dem Rechner installiert werden muss und die Steuerdaten unter Umständen tatsächlich sicherer auf einem Internetserver sind. (So manches Notebook hat schon ungewollt den Besitzer gewechselt, wer hat dann wohl Zugriff auf die Daten?) ist von Vorteil. Dagegen spricht leider die Möglichkeit das auch einmal etwas schief gehen kann, das was wir heute als sicher erachten kann Morgen schon Geschichte sein. Das dies am laufenden Band passiert können wir ja schon an den vielen Sicherheit-Updates bei z.B. Windows erkennen. Auch ein kleiner Fehler bei den Betreibern der online Dienste kann böse Auswirkungen haben und da wir alle nur Menschen sind ist auch das nicht auszuschließen.

Schlussendlich sollte jeder selbst entscheiden ob er die Daten online übertragen möchte, und hierzu sei anzumerken das auch die zu installierende Steuersoftware auf die Übertragung via ELSTER über das Internet setzt. Wer sagt uns das dieses System 100% sicher ist, heute vielleicht ja aber Morgen auch noch?