BSI findet Schwachstellen in Steuererklärungs-Apps

Table of Contents

In einer kürzlich durchgeführten Studie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wurden ernsthafte Sicherheitsmängel in verschiedenen Steuererklärungsapps aufgedeckt. Diese Studie, die am 27. Februar 2024 veröffentlicht wurde, nahm 16 unterschiedliche Apps unter die Lupe und das Ergebnis ist ein Weckruf für alle Nutzer dieser digitalen Helfer.

Die Befunde der Studie sind alarmierend: Keine der untersuchten Apps konnte sich als vollständig sicher erweisen. Besonders hervorgehoben wurden Schwachstellen wie schwache Passwörter, unsichere Datenübertragungen, mangelhafte Authentifizierungsverfahren und unzureichende Maßnahmen zur Datensicherheit. Diese Punkte sind besonders kritisch, da sie die finanziellen und persönlichen Informationen der Nutzer gefährden können.

Das BSI hat aufgrund dieser Ergebnisse eine Reihe von Empfehlungen für die Nutzer von Steuererklärungsapps herausgegeben. An erster Stelle steht die Nutzung starker Passwörter – eine grundlegende, aber entscheidende Maßnahme zur Sicherung von Konten und Daten. Weiterhin wird geraten, stets auf eine sichere Datenübertragung zu achten, was insbesondere in öffentlichen WLAN-Netzen von Bedeutung ist. Die Authentifizierungsmethoden der Apps sollten ebenfalls einer kritischen Prüfung unterzogen werden, um sicherzustellen, dass sie den aktuellen Standards entsprechen. Schließlich ist es essenziell, sich über die Datensicherheitsmaßnahmen der jeweiligen App zu informieren, um zu verstehen, wie die eigenen Daten geschützt werden.

Die Studie betont, dass unter den untersuchten Apps bekannte Namen wie Elster, Wiso Steuer und Taxfix waren.

Update vom 11.03.2024

Unserer Redaktion ist eine Pressemitteilung von App Wiso Steuer zugesandt worden, in der der Geschäftsführer von WISO Steuer Peter Schmitz zum Bericht des BSI Stellung nimmt. Laut dessen Aussage ist WISO Steuer die App die positiv heraussticht, da lediglich 2 Probleme mit dem Schweregrad “medium” und “low” aufgetaucht sind. So seien bereits im Juli 2023 die vom BSI angesprochenen Punkte im Update integriert worden.

Das proaktive Vorgehen und das bereits bestehende Sicherheitsniveau bei WISO Steuer finden wir von Sentiguard sehr lobenswert.

Update vom 14.03.2024

Unserer Redaktion wurde eine Stellungnahme des Anbieters Steuer Go zugespielt. In der Stellungnahme heißt es, dass der einzige Mangel in deren Anwendung mit der Einstufung “hoch” der Einsatz der CDN Software Cloudflare gewesen sei. Cloudflare dient der Abwehr von DDOS Angriffen auf Web- und Cloud Infrastrukturen und unsere Redaktion teilt die Meinung des Anbieters, dass in der Nutzung dessen per se kein Mangel abzuleiten ist, da dies eher das Sicherheitsniveau erhöht. Laut Aussage des Geschäftsführers von Steuer Go, stellen Studien wie die des BSI eine Momentaufnahme dar, sind aber nützlich, da Sie für Anbieter eine Hilfestellung zur Auswahl geeigneter Dienstleister bieten, und damit der Etablierung eines Qualitätsniveaus in der jeweiligen Branche helfen.

Wir weisen darauf hin, dass die Studie eine Momentaufnahme aus dem Sommer 2023 darstellt und nun davon auszugehen ist, dass viele Anbieter bereits geeignete technische und organisatorische Maßnahmen getroffen haben, um gefundene Risiken zu minimieren.

Tags :

Related Posts

Wordpress Ultimate Member Plugin leaked Passwort Hashes

Im Februar 2024 wurde eine kritische Sicherheitslücke im Ultimate Member WordPress-Plugin entdeckt wurde, die die Versionen 2.1.3 bis 2.8.2 betrifft. Diese Schwachstelle CVE-2024-1071 resultiert aus einem nicht authentifizierten SQL-Injection-Fehler. Angreifer können diese Schwachstelle ausnutzen, indem sie den “sorting”-Parameter innerhalb des Plugins manipulieren. Diese Manipulation ermöglicht es ihnen, bösartigen SQL-Code in die Datenbankabfragen des Plugins einzufügen.

Read More

SSRF Schwachstelle in libuv: Windows und Linux betroffen

Februar 2024: in der libuv Bibliothek wurde eine eine Server-Side Request Forgery (SSRF) Schwachstelle ( CVE-2024-24806 , CVSS 9.8/10) gefunden, die Windows und Linux Systeme betrifft. libuv ist eine beliebte Open-Source-Bibliothek, die für asynchrone I/O-Operationen über verschiedene Plattformen hinweg verwendet wird. Die Schwachstelle entsteht durch die unsachgemäße Behandlung von langen Hostnamen innerhalb der Funktionen uv_getaddrinfo und uv__idna_toascii.

Read More

Savvy Seahorse: Hacker nutzen CNAME DNS Records für Angriffe

Die “Savvy Seahorse” Technik ist eine raffinierte Vorgehensweise in der Welt der Cyberangriffe, die das Domain Name System (DNS) ausnutzt, um bösartige Aktivitäten zu tarnen. Bei dieser Methode bedienen sich die Angreifer der CNAME-Einträge, um ihre wahren Absichten zu verschleiern. CNAME-Einträge, oder Canonical Name Einträge, sind ein integraler Bestandteil des DNS, welches wie ein Telefonbuch für das Internet fungiert. Es übersetzt benutzerfreundliche Domainnamen in IP-Adressen, die Computer verwenden, um miteinander zu kommunizieren. Diese Einträge agieren als Alias für Domains, erlauben es also, eine Domain auf eine andere umzuleiten, ohne dass der Nutzer etwas davon mitbekommt.

Read More