Schlagwort-Archive: ELSTER

Software

Finanzbehörden und Verschlüsselung – the never ending story…

Schreibe einen Kommentar

Dieser Artikel lag einige Jahre im Entwurfsordner und ist nicht mehr aktuell. Meines Wissens nach nutzt Elster inzwischen korrekte Zertifikate, zudem hat Microsoft das Produkt Forefront TMG eingestellt.

Sicherheit von IT-Systemen spielt in vielen Unternehmen eine immer größere Rolle. Kein Wunder, dass vorallem bei sensiblen Daten wie Mitarbeiterdaten und Behördenkommunikation versucht wird ein gewisses Sicherheitslevel zu halten. Leider gilt das nur für Unternehmen, die Behörden scheinen noch nicht so weit zu sein. Seit 2005 sind Unternehmen verpflichtet Steuerdaten elektronisch an das Finanzamt zu übermitteln. Anfangs kam hierbei die auf Java basierende Schnittstelle „COALA“ zum Einsatz, welche die (intern verschlüsselten) Daten über HTTP-Aufrufe an die Elster-Server weitergab. Mitte des Jahres soll nun letztendlich diese Schnittstelle abgeschaltet werden, fortan ist nur der neuere „ELSTER Rich Client“ aka. ERiC nutzbar. Prinzipiell sind die Unterschiede – abgesehen vom Umstieg auf C statt Java – nur minimal, jedoch hat man die Sicherheit ein kleines Stück erhöht – oder es jedenfalls versucht: Statt HTTP wird nun auf HTTPs gesetzt. Was sich auf den ersten Blick gut anhört ist in der Praxis leider eher nervig, denn die X.509-Regeln interpretiert die zuständige Steuerbehörde etwas frei. Die Zertifikate sind selbstsigniert und haben nicht wie vorgesehen den DNS des Servers sondern den Eigennamen der Behörde als CN deklariert. Das hierauf jedes Sicherheitsprogramm allergisch reagiert und den Zugriff sperrt versteht sich von selbst. Apropos DNS: In der Software sind selbstverstandlich die IPv4-Adressen hardcoded, wer also darauf hofft die Ausnahmefunktion der Sicherheitssoftware nutzen zu können muss bangen. So erlaubt z.B. Microsoft Forefront TMG nur eine Definition von Ausnahmen auf Domainebene, für die IPs direkt ist eine Freischaltung also nicht möglich. Einen Workaround zeigt it-training-grote.de, dieser bietet jedoch ein (zugegebenerßen geringes) Missbrauchspotential, da hier mehr IPs als gewünscht freigegeben werden.