Wie sicher ist die Datenübertragung per Elster?
-
Die Steuererklärung mit einer Software erstellen und dann einfach online per Elster übertragen: So einfach geht Steuererklärung heute. Die Bundesregierung hat jetzt in der Antwort auf eine sog. Kleine Anfrage der FDP erklärt, welche Sicherheitsmerkmale dabei zur Anwendung kommen.
Die Steuerverwaltung wird digitaler
Die Digitalisierung der Steuerverwaltung wird bereits seit Jahren vorangetrieben und auch in Zukunft entsprechend fortgeführt. Dies versichert die Bundesregierung in ihrer Antwort auf eine Kleine Anfrage der FDP-Fraktion. Unter anderem stelle das ELSTER-Portal eine sehr gute Basis dar.
In der Antwort wird weiter darauf hingewiesen, dass die Bundesregierung für die koordinierte neue Softwareentwicklung der Steuerverwaltung (KONSENS) in diesem Jahr rund 12,3 Millionen Euro zur Verfügung gestellt hat. Im vergangenen Jahr waren es rund 28,3 Millionen Euro gewesen.
Zum Dokument: Sachstand zur Digitalisierung der Steuerverwaltung (PDF auf der Seite des Bundestags), Antwort der Bundesregierung (Drucksache 19/19733 vom 3.6.2020) auf die Kleine Anfrage der Abgeordneten Katja Hessel, Christian Dürr, Grigorios Aggelidis, weiterer Abgeordneter und der Fraktion der FDP (Drucksache 19/19303)
ELSTER Formular wird eingestellt
Die SteuerSparErklärung bietet Ihnen eine Alternative
Elster-Schnittstelle, Übertragungswege und Verschlüsselung: Die Technik hinter Elster
Frage: Über welche Schnittstellen werden aktuell Daten von Bürgern, Unternehmen und Behörden zur Finanzverwaltung übertragen?
Antwort: Die einheitliche Schnittstelle zur Finanzverwaltung stellt das ELSTER-Angebot bereit. Die Schnittstelle ist so ausgelegt, dass die Übertragung der Daten an die Finanzverwaltung über die Steueridentifikationsnummer oder Steuernummer adressiert werden kann.
Softwarehersteller von Steuersoftware können die Schnittstelle mittels der ELSTER-Softwarebibliothek ERiC frei nutzen.
Frage: Welche Übertragungswege werden eingesetzt?
Antwort: Die Finanzverwaltung lässt – im Wesentlichen aus Gründen der IT-Sicherheit und des Datenschutzes – nur definierte Datenwege zu. Als Schnittstelle wird die für alle Plattformen verfügbare, kostenfreie ELSTER Softwarebibliothek ERiC verwendet. Darüber hinaus besteht die Möglichkeit, das kostenlose ELSTER-Portal zu verwenden.
Als Übertragungsprotokoll wird S verwendet. Dabei wird für die Verschlüsselung immer auf die aktuellen Empfehlungen des BSI abgestellt. Dies wird zum einen durch unabhängige Audits im Rahmen der BSI-ISO27001-Zertifizierung, als auch von unabhängigen Penetrations- bzw. DDoS-Tests sichergestellt.
Frage: Welche Verschlüsselungstechnik wird verwendet?
Antwort: Die Kommunikation innerhalb der Steuerverwaltung der Länder, insbesondere die Kommunikation der Finanzämter mit den Landesrechenzentren ist mit Hardware Kryptoboxen verschlüsselt. Die eingesetzten Technologien sind landesspezifisch.
Die Kommunikation zwischen den Steuerverwaltungen der Länder erfolgt über die zentrale Produktionsstelle (ZPS) ELSTER Kommunikation.
Die ZPS ELSTER-Kommunikation betreibt das VPN-Overlay-Netz Finanzverwaltungsverbindungsnetz (FV-VN). Das FV-VN ist aufgespannt zwischen der ZPS Elster-Kommunikation und den Landes-Rechenzentren, der ZPS Elster-Kommunikation und den Landeskopfstellen (LKSen), der ZPS Zentrale Fachdienste und den Landeskopfstellen (LKSen), etc. Die ZPS ELSTER-Kommunikation wechselt gerade technologisch von der Technologie SSH-VPN auf IPSEC und damit einhergehend auch die Hardware.
Die Länderübergreifende Kommunikation der Steuerverwaltungen der Länder ist in jedem Land über einheitliche Kommunikationskomponenten und mit jeweils aktuellen ELSTER Zertifikaten mit PKI Infrastruktur abgesichert. Die ELSTER-Zertifikate haben eine Schlüssellänge von 2048 Bit. Aktuell erfolgt der Ausbau auf Zertifikate mit 8192 Bit Schlüssellänge.
Eine Ende-zu-Ende-Verschlüsselung der Daten ist zwischen den Nutzern und der ZPS ELSTER Kommunikation bereits umgesetzt. Die Übertragung von den Landes-Rechenzentren zu ELSTER ist ebenfalls Ende zu Ende verschlüsselt.
Die Daten werden in der ZPS ELSTER Kommunikation nur temporär gespeichert, welche diese dann in Folge in die zuständigen Rechenzentren der Bundesländer weiterverteilt. Die ZPS ELSTER Kommunikation ist ein IT-Verbund, der seit 2007 eine gültige BSI-ISO27001-Zertifizierung auf der Basis von IT-Grundschutz besitzt. Im Rahmen der jährlichen Vor-Ort Audits durch einen externen Auditor wird unter anderem überprüft, dass Verschlüsselungstechniken auf dem Stand der Technik verwendet werden.
Zum Dokument: Sachstand zur Digitalisierung der Steuerverwaltung (PDF auf der Seite des Bundestags), Antwort der Bundesregierung (Drucksache 19/19733 vom 3.6.2020) auf die Kleine Anfrage der Abgeordneten Katja Hessel, Christian Dürr, Grigorios Aggelidis, weiterer Abgeordneter und der Fraktion der FDP (Drucksache 19/19303)
Datenspeicherung und Zugriffsmöglichkeiten: Wo liegen Ihre Steuer-Daten und wer kommt an sie heran?
Frage: Wie werden die Steuerdaten der Bürgerinnen und Bürger derzeit bei einer elektronischen Übermittlung an die Finanzverwaltungen der Länder gespeichert?
Antwort: Für die Speicherung der Daten in den Ländern sind die Länder zuständig.
Die Speichermedien befinden sich beim Bayerischen Landesamt für Steuern, ZPS ELSTER-Kommunikation. Nach Übermittlung der Daten an die Länder obliegt die Wahl des Ortes der Datenspeicherung aufgrund der Datenhoheit der Länder dem jeweiligen Land: in der Regel sind dies die Finanzrechenzentren der Länder.
Die Speicherkapazitäten liegen im Terabyte-Bereich. Die Speicherkapazitäten sind jedoch grundsätzlich abhängig von der Größe des Bundeslandes. Die notwendigen Speicherkapazitäten werden ständig überwacht und werden den Notwendigkeiten entsprechend angepasst.
Frage: Welche Schutzvorrichtungen bestehen, um die Datensicherheit zu gewährleisten?
Antwort: Die ZPS ELSTER-Kommunikation hat seit dem Jahr 2007 eine gültige BSI-ISO27001-Zertifizierung auf der Basis von IT-Grundschutz. Folglich sind die entsprechenden BSI-Maßnahmen bzgl. der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit umgesetzt.
Die Daten sind ausschließlich im Netz der jeweiligen Finanzverwaltungen der Länder verfügbar. Auf dieses Netz haben nur autorisierte Nutzer und aus-schließlich Angehörige der Finanzverwaltung Zugriff. Der tatsächliche Zugriff auf jeden einzelnen Steuerfall ist darüber hinaus durch genau definierte auf-gabenabhängige Berechtigungen geregelt und wird aufgezeichnet. Die Einhaltung des Datenschutzes obliegt den Finanzverwaltungen der Länder und wird durch Aufzeichnungen der jeweiligen Datenschutzbeauftragten der einsetzen-den Länder kontrolliert
Die Daten werden in der ZPS ELSTER-Kommunikation aus Datenschutzgründen nur temporär, aber nicht revisionssicher mit Aufbewahrungsfristen von sechs bis zehn Jahren gespeichert. Die revisionssichere Speicherung der Daten erfolgt bei der Finanzverwaltung der Länder.
Jeder Eingang und jede Bearbeitung des Falles wird in den Finanzverwaltungen der Länder revisionssicher dokumentiert. Die gesicherten Daten unter-liegen den obengenannten Zugangsbeschränkungen.
Frage: Kann bei der Speicherung von Steuerdaten durch den Anwender selbstbestimmt entschieden werden, welche Daten zur Nutzung durch die Finanzverwaltung freigegeben sind, oder sind die Finanzbehörden grundsätzlich berechtigt, auf sämtliche gespeicherte Daten zuzugreifen?
Antwort: Mit der Übermittlung der Daten durch den Anwender an ELSTER entscheidet dieser selbstbestimmt, welche Daten die Finanzverwaltung erhält. Beim ELSTER-Portal sind die Daten einer Steuererklärung erst dann für die Steuerverwaltung einsehbar, wenn der Nutzer seine Steuererklärung willentlich bei der Steuerverwaltung einreicht (absendet). Bis dahin werden Steuererklärungen, die sich noch in einem Bearbeitungszustand durch den Nutzer befinden und beim ELSTER-Portal als sogenannter Entwurf zwischengespeichert werden, in verschlüsselter Form im Benutzerkonto des Nutzers gespeichert. Ein Zugriff auf einen solchen Entwurf durch die Steuerverwaltung der Länder ist technisch nicht möglich.
Daten, die der Finanzverwaltung vom Steuerpflichtigen überlassen werden, sind dem obengenannten Personenkreis im Rahmen des Berechtigungskonzepts zugänglich. Der Überlassung der Daten hat der Steuerpflichtige durch entsprechende und dokumentierte Willensäußerungen zugestimmt. Sofern die Daten nur übermittelt, aber nicht authentisiert werden, sind sie den Bearbeitern nicht zugänglich und werden nach Ablauf einer Einlassungsfrist gelöscht.
auch interessant
-
Welche Vorteile hat ELSTER und wie versende ich meine Steuererklärung über Elster?
-
SteuerSparErklärung 2020: Erstellen Sie Ihre Steuererklärung ganz einfach mit dieser Software!
(MB)