Im heutigen Blog-Beitrag rühre ich euch – fast passend zu Halloween – eine nette Horror-Story zusammen. Mit dabei: Das deutsche Steuerverwaltungsportal Elster-Online.de, eine veritable Sicherheitslücke, zwei ‚Pudel‘ und der deutsche Steuermichel, der den Amtsschimmel reitet.
Worum geht es?
Seit Mitte Oktober ist die gravierende SSL-Poodle-Verschlüsselungslücke bekannt, die das Aushebeln der SSL-Verschlüsselung ermöglicht. Ich hatte u.a. im Beitrag Poodle-Verschlüsselungslücke und wie man testet auf das Thema aufmerksam gemacht. Die Poodle-Sicherheitslücke ermöglicht den Angriff auf verschlüsselte https-Verbindungen. Konkret lässt sich die Verschlüsselungsmethode SSLv3 ausgehebeln, so dass die Daten ausspioniert werden können. Der Bug wurde von Google am 14. Oktober im Online Security Blog öffentlich gemacht. Hier gibt es einen Beitrag, der detaillierter in die Thematik eintaucht. Ein Serverbetreiber kann die veralterte SSLv3 Verschlüsselungsmethode deaktivieren, um die Sicherheitslücke zu schließen.
Wie kommt Elster-Online ins Spiel?
Vor ein paar Tagen hatte ich mich im Beitrag Elster-Zertifikat verloren, was tun? etwas mit dem Elster-Online-Portal befasst und die nicht sonderlich anwendergerechte Portalgestaltung thematisiert. Konkret ging es um das Problem, dass man als Steuerbürger erheblich suchen muss, falls man ein Zertifikat zum Signieren der Steuerdaten verloren hat.
Das obige Bild spricht Bände: Kein Durchblick, nirgendwo – und schwierig ist’s obendrein – so die Aussage. Scheint zu stimmen – jedenfalls kommen die Webseiten des Elster-Portals etwas “angestaubt” daher, und können den unbedarften Anwender schon mal zur Verzweifelung treiben. Aber egal.
Jedenfalls betreibt die deutsche Steuerverwaltung einen riesigen Aufwand, um ein neu auszustellendes Zertifikat sicher in die Hände des Beantragenden zu übermitteln. Ein neues Zertifikat kann nicht so einfach per E-Mail mit Zugangsdaten heruntergeladen werden. Nein, Du musst ein Konto (mit deinen Zugangsdaten) löschen, darfst ein neues Konto beantragen und bekommst anschließend einen Autorisierungscode per Post an die dem Finanzamt bekannte Adresse zugesandt. Klappt sogar, klingt bombensicher und erinnert irgendwie an Fort-Knox.
So weit so gut – da soll man nicht maulen, denn schließlich geht’s ja um unsere Steuerdaten und dem Wolfgang Schäuble sein Geld. Da muss gelten “sicher is sicher” (aber das war wohl eher Martin Schneiders Devise).
Und wie kommen der Steuermichel und der Pudel zu Halloween?
Na ja, naiv wie ich bin, dachte ich mir: Wenn die die Zertifikatsausstellung schon so absichern, dann ist da beim Elster-Portal alles im grünen Bereich. Muss auch so sein, denn immerhin verwalten die ja die Zugangsdaten von 50 Millionen Steuerflüchtigen – up’s Freudcher Vertipper – meinte natürlich Steuerpflichtigen (der Internetradiergummi funktioniert momentan noch nicht). Allein, ein Kommentar zum Artikel Elster-Zertifikat verloren, was tun? brachte mich auf die Idee, mal genauer hinzuschauen.
Auf der Webseite https://www.ssllabs.com/ssltest/ bietet Qualsys SSL Labs einen SSL Server Test an. Da kann man die URL eines https-Servers eintippen und Qualsys prüft, ob dieser Server durch die Poodle SSLv3-Attacke (das ist der erste Pudel) angreifbar ist. Habe ich doch glatt mal für die Site https://www.elsteronline.de getan. Beim Ergebnis ist mir dann doch etwas die Kinnlade heruntergeklappt (hier kommt der zweite Pudel, ins Spiel den die Administratoren imho geschossen haben).
Tja, nicht so ganz einfach in diesem #neuland. Der Elster-Server ist nicht nur per Poodle-Lücke angreifbar, sondern verwendet auch in den Zertifikaten das SHA1-Verschlüsselungsverfahren. Qualsys SSL Labs empfehlt bei der Zertifikatserneuerung auf das sicherere SHA256 zu wechseln (und die NIST gibt die Empfehlung seit 2005). Jetzt habt ihr auch noch die Gruselgeschichte pünktlich zum Freitag, zu Halloween, zusammen – und wie Marc hier schreibt, sollte man mal das BSI in Bayern zur Beratung vorbeischicken …
aktuell: Grade reduced to A-.