Was die Finanzbehörden den Zwangs-Anwendern ihrer Soft- und Hardware Namens ELSTER zumuten ist bahnbrechend und soll im Folgenden an einem Beispiel aus der Praxis zusammengefasst werden.
Seit dem 01.01.2013 ist die Umsatzsteuer-Voranmeldung, der Antrag auf Dauerfristverlängerung, die Anmeldung auf Sondervorauszahlungen und die Lohnsteueranmeldung nur noch mit elektronischem Zertifikat an die Finanzbehörden übermittelbar. Vorzugsweise erfolgt die Übermittlung mittels ERiC, einer Softwareschnittstelle von ELSTER und wird in naher Zukunft die einzige Schnittstelle zur Abgabe vorgenannter Erklärungen sein.
Das dazu notwendigen elektronische Zertifikat kann ein dateibasiertes Zertifikat, eine Zertifikat auf einem Sicherheitsstick oder ein Zertifikat auf einer Signaturkarte sein.
Wer liefert was?
In diesem Beispiel kommt ein Sicherheitsstick “G&D StarSign USB Token für ELSTER”, entwickelt von der secunet Security Networks AG und der Giesecke & Devrient GmbH, zum Einsatz. Merkwürdigerweise muss man beim Herunterladen der Treibersoftware dann allerdings noch einen Lizenzvertrag mit der Firma A.E.T. Europe B.V. absegnen. Kaufen kann man den Stick nur über einen von Reiner SCT bereitgestellten Shop. Ist doch klar, wer bei Fehlern im Zusammenhang mit dem Stick zuständig ist. Oder?
Zugang
Die Kommunikation mit der Finanzbehörde erfolgt über das Portal elsteronline.de. Ebenfalls über diese Seite werden die Zertifikate auf den unterschiedlichen Medien verwaltet. Der Login mittels Signatur-Stick oder Signatur-Karte wurde früher (2012) per Java implementiert. Zur Installation der für die Hardware-Tokens erforderlichen DLLs wurde man aufgefordert, den Internet-Explorer mit Administrator-Rechten zu starten, damit dieser mittels Java erforderliche DLLs ins Windows-Systemverzeichnis kopieren konnte. Nochmal ganz langsam: Internet-Explorer mit Administrator-Rechten mit Java zum Schreiben ins Windows-Systemverzeichnis. Da kann man nur schreiend aus dem Büro rennen.
Heute ist das zum Glück anders. Auch die Finanzbehörde hat erkannt, das Java mittlerweile im Browser größtenteils deaktiviert ist, ja sogar die NPAPI-Schnittstelle für die Anbindung von Plugins aus den Browsern verschwindet. Es musste eine andere Lösung gefunden werden. Die fand die Finanzbehörde mit der ElsterAuthenticator getauften Eigenentwicklung, die, wer hätte das gedacht, wiederum auf Java basiert.
ElsterAuthenticator
180 MB für einen Minianwendung? Sportlich. Wohlgemerkt für einen Treiber, der Signatur-Sticks oder -Karten bedient, kein Grafikkartentreiber. Ein genauerer Blick offenbart Schlimmeres: integriert ist eine Java-Runtime, Version 1.8.0_112 (aktuell ist 1.8.0_131), bei der man wohl nur wenig hoffen kann, dass sie jemals aktualisiert wird.
Die GUI der Anwendung erinnert an eine Smartphone-App:
Nett ist, dass die Anwendung jedes Mal nach dem Neustart beim Klick auf “Schließen” in den Systemtray minimiert und eine entsprechende Benachrichtigung abgesetzt wird. Unter Windows 10 wird man dann inkl. Hinweiston mit solch nutzlosen Meldungen genervt:
Schließen kann man die Anwendung aus der Oberfläche nicht, sondern nur über das Symbol im Systemtray.
Ein Blick in die Eigenschaften des Prozesses offenbart dann Schreckliches: der Prozess lauscht am externen Interface auf Port 24848, sowohl per IPv4 als auch per IPv6! Anscheinend wird dort HTTP gesprochen, denn ein Abruf zeigt einen dort laufenden Jetty:
Geht’s noch? Beim ersten Aufruf der Anwendung wird man freilich von Windows gefragt, ob man dem Programm das Lauschen ermöglichen möchte. Doch wer wählt das ab ohne zu riskieren, dass die Anwendung dann gar nicht funktioniert? So ist die Anwendung zumindest für das lokale Netzwerk bzw. das Firmennetzerk offen und jeder kann da mal dran rumspielen, da offensichtlich anschließende Anfragen auch ohne jedwede Authentifizierung beantwortet werden.
Versuch
Nachdem dann diese ganzen Schrecklichkeiten gestartet waren und ein Login auf der ELSTER-Online-Webseite angestoßen wurde, meldet der ElsterAuthenticator lapidar:
Der Token ist angesteckt und wurde im Gerätemanager korrekt erkannt. In der Konfiguration des ElsterAuthenticators können nur zwei verschiedene Sicherheitssticks ausgewählt werden. Zur Vereinfachung werden die zwei Sticks sogar abgebildet. Hilft aber alles nichts, erst ein Blick auf die Herstellerseite offenbart einen winzigen Unterschied: eingesetzt wird ein “G&D StarSign USB Token für ELSTER”, der installierte Treiber ist für einen “G&D StarSign Crypto USB Token für ELSTER”. Na, Unterschied erkannt?
Eine sichere Investition
Wenn man den Unterschied gefunden hat, kann man dann auf der Herstellerseite nachlesen, dass der “G&D StarSign USB Token für ELSTER” unter Windows 10 gar nicht mehr unterstützt wird. Wie bitte? ELSTER beendet regelmäßig den Support für Windows-Versionen, welche von Microsoft nicht mehr gewartet werden. Das ist auch richtig so. Aber Verschlüsselungshardware von 2012 ist heute schon veraltet? Waren damals noch keine Schlüssellängen größer 512 Bit bekannt? Zumal der Stick auch noch 44,74 € gekostet hat. Das Versprechen für eine aktuelle Version des Sticks ist daher wohl mit Vorsicht zu genießen: “Eine sichere Investition - bestellen Sie gleich hier!”
Was zur libgeier noch mal!
Fazit
Hier jedenfalls kann der Stick nicht mehr zum Laufen gebracht werden und wird demnächst durch ein dateibasiertes Zertifikat ersetzt. Auf die dann folgenden Fallstricke bin ich gespannt.
ELSTER® ist ein eingetragenes Markenzeichen des Freistaates Bayern. Titelbild mit Pressematerial von elster.de.