Wie sicher ist die Datenübertragung per Elster?

Wie sicher ist die Datenübertragung per Elster?

 - 

Die Steuererklärung mit einer Software erstellen und dann einfach online per Elster übertragen: So einfach geht Steuererklärung heute. Die Bundesregierung hat jetzt in der Antwort auf eine sog. Kleine Anfrage der FDP erklärt, welche Sicherheitsmerkmale dabei zur Anwendung kommen.

Die Steuerverwaltung wird digitaler

Die Digitalisierung der Steuerverwaltung wird bereits seit Jahren vorangetrieben und auch in Zukunft entsprechend fortgeführt. Dies versichert die Bundesregierung in ihrer Antwort auf eine Kleine Anfrage der FDP-Fraktion. Unter anderem stelle das ELSTER-Portal eine sehr gute Basis dar.

In der Antwort wird weiter darauf hingewiesen, dass die Bundesregierung für die koordinierte neue Softwareentwicklung der Steuerverwaltung (KONSENS) in diesem Jahr rund 12,3 Millionen Euro zur Verfügung gestellt hat. Im vergangenen Jahr waren es rund 28,3 Millionen Euro gewesen.

Zum Dokument: Sachstand zur Digitalisierung der Steuerverwaltung (PDF auf der Seite des Bundestags), Antwort der Bundesregierung (Drucksache 19/19733 vom 3.6.2020) auf die Kleine Anfrage der Abgeordneten Katja Hessel, Christian Dürr, Grigorios Aggelidis, weiterer Abgeordneter und der Fraktion der FDP (Drucksache 19/19303)

Elster-Schnittstelle, Übertragungswege und Verschlüsselung: Die Technik hinter Elster

Frage: Über welche Schnittstellen werden aktuell Daten von Bürgern, Unternehmen und Behörden zur Finanzverwaltung übertragen?

Antwort: Die einheitliche Schnittstelle zur Finanzverwaltung stellt das ELSTER-Angebot bereit. Die Schnittstelle ist so ausgelegt, dass die Übertragung der Daten an die Finanzverwaltung über die Steueridentifikationsnummer oder Steuernummer adressiert werden kann.

Softwarehersteller von Steuersoftware können die Schnittstelle mittels der ELSTER-Softwarebibliothek ERiC frei nutzen.

Frage: Welche Übertragungswege werden eingesetzt?

Antwort: Die Finanzverwaltung lässt – im Wesentlichen aus Gründen der IT-Sicherheit und des Datenschutzes – nur definierte Datenwege zu. Als Schnittstelle wird die für alle Plattformen verfügbare, kostenfreie ELSTER Softwarebibliothek ERiC verwendet. Darüber hinaus besteht die Möglichkeit, das kostenlose ELSTER-Portal zu verwenden.

Als Übertragungsprotokoll wird S verwendet. Dabei wird für die Verschlüsselung immer auf die aktuellen Empfehlungen des BSI abgestellt. Dies wird zum einen durch unabhängige Audits im Rahmen der BSI-ISO27001-Zertifizierung, als auch von unabhängigen Penetrations- bzw. DDoS-Tests sichergestellt.

Frage: Welche Verschlüsselungstechnik wird verwendet?

Antwort: Die Kommunikation innerhalb der Steuerverwaltung der Länder, insbesondere die Kommunikation der Finanzämter mit den Landesrechenzentren ist mit Hardware Kryptoboxen verschlüsselt. Die eingesetzten Technologien sind landesspezifisch.

Die Kommunikation zwischen den Steuerverwaltungen der Länder erfolgt über die zentrale Produktionsstelle (ZPS) ELSTER Kommunikation.

Die ZPS ELSTER-Kommunikation betreibt das VPN-Overlay-Netz Finanzverwaltungsverbindungsnetz (FV-VN). Das FV-VN ist aufgespannt zwischen der ZPS Elster-Kommunikation und den Landes-Rechenzentren, der ZPS Elster-Kommunikation und den Landeskopfstellen (LKSen), der ZPS Zentrale Fachdienste und den Landeskopfstellen (LKSen), etc. Die ZPS ELSTER-Kommunikation wechselt gerade technologisch von der Technologie SSH-VPN auf IPSEC und damit einhergehend auch die Hardware.

Die Länderübergreifende Kommunikation der Steuerverwaltungen der Länder ist in jedem Land über einheitliche Kommunikationskomponenten und mit jeweils aktuellen ELSTER Zertifikaten mit PKI Infrastruktur abgesichert. Die ELSTER-Zertifikate haben eine Schlüssellänge von 2048 Bit. Aktuell erfolgt der Ausbau auf Zertifikate mit 8192 Bit Schlüssellänge.

Eine Ende-zu-Ende-Verschlüsselung der Daten ist zwischen den Nutzern und der ZPS ELSTER Kommunikation bereits umgesetzt. Die Übertragung von den Landes-Rechenzentren zu ELSTER ist ebenfalls Ende zu Ende verschlüsselt.

Die Daten werden in der ZPS ELSTER Kommunikation nur temporär gespeichert, welche diese dann in Folge in die zuständigen Rechenzentren der Bundesländer weiterverteilt. Die ZPS ELSTER Kommunikation ist ein IT-Verbund, der seit 2007 eine gültige BSI-ISO27001-Zertifizierung auf der Basis von IT-Grundschutz besitzt. Im Rahmen der jährlichen Vor-Ort Audits durch einen externen Auditor wird unter anderem überprüft, dass Verschlüsselungstechniken auf dem Stand der Technik verwendet werden.

Zum Dokument: Sachstand zur Digitalisierung der Steuerverwaltung (PDF auf der Seite des Bundestags), Antwort der Bundesregierung (Drucksache 19/19733 vom 3.6.2020) auf die Kleine Anfrage der Abgeordneten Katja Hessel, Christian Dürr, Grigorios Aggelidis, weiterer Abgeordneter und der Fraktion der FDP (Drucksache 19/19303)

Datenspeicherung und Zugriffsmöglichkeiten: Wo liegen Ihre Steuer-Daten und wer kommt an sie heran?

Frage: Wie werden die Steuerdaten der Bürgerinnen und Bürger derzeit bei einer elektronischen Übermittlung an die Finanzverwaltungen der Länder gespeichert?

Antwort: Für die Speicherung der Daten in den Ländern sind die Länder zuständig.

Die Speichermedien befinden sich beim Bayerischen Landesamt für Steuern, ZPS ELSTER-Kommunikation. Nach Übermittlung der Daten an die Länder obliegt die Wahl des Ortes der Datenspeicherung aufgrund der Datenhoheit der Länder dem jeweiligen Land: in der Regel sind dies die Finanzrechenzentren der Länder.

Die Speicherkapazitäten liegen im Terabyte-Bereich. Die Speicherkapazitäten sind jedoch grundsätzlich abhängig von der Größe des Bundeslandes. Die notwendigen Speicherkapazitäten werden ständig überwacht und werden den Notwendigkeiten entsprechend angepasst.

Frage: Welche Schutzvorrichtungen bestehen, um die Datensicherheit zu gewährleisten?

Antwort: Die ZPS ELSTER-Kommunikation hat seit dem Jahr 2007 eine gültige BSI-ISO27001-Zertifizierung auf der Basis von IT-Grundschutz. Folglich sind die entsprechenden BSI-Maßnahmen bzgl. der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit umgesetzt.

Die Daten sind ausschließlich im Netz der jeweiligen Finanzverwaltungen der Länder verfügbar. Auf dieses Netz haben nur autorisierte Nutzer und aus-schließlich Angehörige der Finanzverwaltung Zugriff. Der tatsächliche Zugriff auf jeden einzelnen Steuerfall ist darüber hinaus durch genau definierte auf-gabenabhängige Berechtigungen geregelt und wird aufgezeichnet. Die Einhaltung des Datenschutzes obliegt den Finanzverwaltungen der Länder und wird durch Aufzeichnungen der jeweiligen Datenschutzbeauftragten der einsetzen-den Länder kontrolliert

Die Daten werden in der ZPS ELSTER-Kommunikation aus Datenschutzgründen nur temporär, aber nicht revisionssicher mit Aufbewahrungsfristen von sechs bis zehn Jahren gespeichert. Die revisionssichere Speicherung der Daten erfolgt bei der Finanzverwaltung der Länder.

Jeder Eingang und jede Bearbeitung des Falles wird in den Finanzverwaltungen der Länder revisionssicher dokumentiert. Die gesicherten Daten unter-liegen den obengenannten Zugangsbeschränkungen.

Frage: Kann bei der Speicherung von Steuerdaten durch den Anwender selbstbestimmt entschieden werden, welche Daten zur Nutzung durch die Finanzverwaltung freigegeben sind, oder sind die Finanzbehörden grundsätzlich berechtigt, auf sämtliche gespeicherte Daten zuzugreifen?

Antwort: Mit der Übermittlung der Daten durch den Anwender an ELSTER entscheidet dieser selbstbestimmt, welche Daten die Finanzverwaltung erhält. Beim ELSTER-Portal sind die Daten einer Steuererklärung erst dann für die Steuerverwaltung einsehbar, wenn der Nutzer seine Steuererklärung willentlich bei der Steuerverwaltung einreicht (absendet). Bis dahin werden Steuererklärungen, die sich noch in einem Bearbeitungszustand durch den Nutzer befinden und beim ELSTER-Portal als sogenannter Entwurf zwischengespeichert werden, in verschlüsselter Form im Benutzerkonto des Nutzers gespeichert. Ein Zugriff auf einen solchen Entwurf durch die Steuerverwaltung der Länder ist technisch nicht möglich.

Daten, die der Finanzverwaltung vom Steuerpflichtigen überlassen werden, sind dem obengenannten Personenkreis im Rahmen des Berechtigungskonzepts zugänglich. Der Überlassung der Daten hat der Steuerpflichtige durch entsprechende und dokumentierte Willensäußerungen zugestimmt. Sofern die Daten nur übermittelt, aber nicht authentisiert werden, sind sie den Bearbeitern nicht zugänglich und werden nach Ablauf einer Einlassungsfrist gelöscht.

auch interessant

(MB)

Weitere News zum Thema

  • Unterstützung für den Lieblingshund im Tierheim ist keine Spende!

    [] Der »Gassigängerin« eines Tierschutzvereins wuchs ein unvermittelbarer Problemhund ans Herz, den sie aber nicht selbst bei sich zuhause aufnehmen konnte. Stattdessen zahlte sie 5.000 Euro für seine dauerhafte Unterbringung in einer Hundepension und erhielt eine Spendenbescheinigung über diesen Betrag. Steuerlich brachte ihr das allerdings nichts. mehr

  • Wie prüft man den Steuerbescheid?

    [] Es gibt spannendere Texte als den Steuerbescheid, so viel ist sicher. Trotzdem sollten Sie ihn ganz genau lesen und prüfen – auch wenn es schwerfällt und nach viel Arbeit aussieht. Unsere kostenlose Checkliste hilft Ihnen dabei. mehr

  • Steuerbegünstigung von Vereinen wird geprüft

    [] Viele Vereine erhalten demnächst die Aufforderung, bis zum 31.7.2020 ihre Steuererklärungen einzureichen. Darauf weist das Landesamt für Steuern Rheinland-Pfalz hin. Von Corona betroffene Vereine können eine Fristverlängerung beantragen. mehr

Weitere News zum Thema

schließen

Link empfehlen

Mit der Inanspruchnahme des Services willigen Sie in folgende Vorgehensweise ein:

Ihre eigene E-Mail-Adresse und die des Empfängers werden nur zu Übertragungszwecken verwendet - um den Adressaten über den Absender zu informieren, bzw. bei einem Übertragungsfehler eine Benachrichtigung zu übermitteln. Um einen Missbrauch dieses Services zu vermeiden, wird Steuertipps.de die Identifikationsdaten (IP-Adresse) jedes Nutzers der versandten E-Mail in Form eines E-Mail-Header-Record (X-Sent-by-IP) beifügen und für einen Zeitraum von zwei Monaten speichern. Sofern Dritte glaubhaft machen, dass sie durch die Versendung eines Artikels im Rahmen dieses Services in ihren Rechten verletzt wurden, wird Steuertipps.de die Identifikationsdaten zur Rechtsverfolgung herausgeben.