Schweizer Steuerdaten öffentlich im Internet

Die Steuer-App Steuer59.ch hat persönliche Daten wie Steuererklärungen und andere Belege leicht einsehbar im Web gespeichert.

Datenleck bei der Steuer-App: Die Angaben von 80 Kunden von Steuer59.ch waren öffentlich einsehbar.

Datenleck bei der Steuer-App: Die Angaben von 80 Kunden von Steuer59.ch waren öffentlich einsehbar. Bild: Gaetan Bally/Keystone

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

In wenigen Tagen läuft wieder eine Deadline ab. Dann müssen auch diejenigen Zürcher ihre Steuererklärung abgeben, die um Fristerstreckung gebeten haben - oder noch einmal um Verlängerung bitten. Viele Schweizer wenden sich dann an einen Dienstleister, der die lästige Arbeit für sie erledigt. Denn auch wenn eine einfache Steuererklärung vielerorts leicht online ausgefüllt werden kann, werden die Vermögensverhältnisse rasch so kompliziert, dass man Hilfe braucht. Diese gibt es bei klassischen Treuhändern oder auch bei Internetanbietern.

Einer davon ist die Smartphone-App Steuern59.ch des Zürcher Unternehmens Zürich Financial Solutions (Zufiso). Die App verspricht, die Steuerklärung für 59 Franken auszufüllen. Die Kunden gingen aber ein hohes Risiko ein, denn die App sei unsauber mit den Nutzerdaten umgegangen, berichtet das deutsche Informatikportal Heise.de.

80 Kunden betroffen

Die Firma habe Steuererklärungen, Steuerbescheide, Belege und andere personenbezogene Daten in einem öffentlich lesbaren Cloud-Speicher des Anbieters Amazon abgelegt, schreibt das Portal. Weiter seien auch Chat-Verläufe einsehbar gewesen, welche Kunden mit dem Dienstleister über ihre Steuererklärung führten. Entdeckt wurde die Sicherheitslücke vom Sicherheitsforscher und Blogger mit dem Pseudonym Secu Ninja.

Bild: Screenshot

Laut Zufiso ist das Problem unterdessen behoben. Es habe zwar 200 Registrationen gegeben, doch hätten nur rund 80 User die App auch tatsächlich benützt, so Geschäftsleiter Haci Bozca. Alle Nutzer der App seien benachrichtigt worden. Dafür, dass jemand tatsächlich das Leck missbraucht habe, gebe es keine Hinweise. Der Hinweis für das Leck kam vom Sicherheitsbeauftragten. Doch auch wenn die Lücke unterdessen geschlossen ist, kritisiert Heise.de das Verhalten von Zufiso. Das Unternehmen habe nur widerwillig reagiert.

«Wir haben uns so sehr um die Sicherheit der App selbst konzentriert, dass wir die Serverseite unterschätzt haben», so Bozca. Die Registration sowie der Anmeldeprozess seien sehr sicher. So sei bei der App selbst eine Zwei-Faktor-Authentifizierung programmiert. Das bedeutet: Nebst dem Passwort erhält der Nutzer bei jedem Login ein SMS mit einem einmaligen Code.

«Anfängerfehler» der Entwickler

Die Smartphone-Apps von Steuer59.ch für Android und Apple haben alle von den Nutzern abfotografierten Dokumente beim Cloud-Dienstleister Amazon Web Services (AWS) gespeichert. Jeder, der ein kostenloses AWS-Konto eröffnet und nach den Informationen gesucht habe, habe diese Informationen einsehen können, so Heise.de.

Der Sicherheitsforscher Secu Ninja habe Zufiso nach dem Finden der Schwachstelle kontaktiert. Das Unternehmen habe aber nicht auf den Hinweis reagiert. Dies, da die Firma einen Streich vermutet habe, heisst es bei Heise.de. Das Portal erklärt sich die Lücke dadurch, dass die Apps von einem Dienstleister in Indien entwickelt worden seien, der nur über wenig Erfahrung verfüge. Das sei so weit nicht ungewöhnlich. Dass die Dateien öffentlich einsehbar seien, sei aber ein Anfängerfehler. (Redaktion Tamedia)

Erstellt: 19.09.2018, 10:41 Uhr

Artikel zum Thema

Das müssen Sie für die Steuererklärung wissen

Abzüge, Ausland-Besitz, Spezialfälle: Mit diesen Fragen und Antworten sind Sie gerüstet. Mehr...

Anlagefonds: Im Zweifel für die Steuerzahlerin

Geldblog Steuer- und Kurswert können bei Anlagefonds unterschiedlich sein. In der Steuererklärung setzen Sie den tieferen Wert ein. Zum Blog

Service

Ihre Kulturkarte

Abonnieren Sie den Carte Blanche-Newsletter und verpassen Sie kein Angebot.

Kommentare

Abo

Abo Digital - 26 CHF im Monat

Den Tages-Anzeiger unbeschränkt digital lesen, inkl. ePaper. Flexibel und jederzeit kündbar.
Jetzt abonnieren!

Die Welt in Bildern

Volle Lippen: Indische Künstler verkleiden sich während des Dussehra Fests in Bhopal als Gottheit Hanuman. (19.Oktober 2018)
(Bild: Sanjeev Gupta/EPA) Mehr...