Datum 29.02.2024

Sichere Steuererklärungen auf mobilen Endgeräten bedürfen einer regelmäßigen und unabhängigen Sicherheitsüberprüfung. Das BSI hat mit der technischen Untersuchung von neun Steuererklärungsapps und im Dialog mit den Anbietern die Cybersicherheit in diesem Bereich wirksam erhöht.

Für eine sichere Anwendung konkreter Angebote bleibt es entscheidend, dass die Anbieter Cybersicherheit auf die Agenda heben und gegenüber den Verbraucherinnen und Verbrauchern für deren Produktentscheidung transparent machen. Denn sichere „Ende-zu-Ende-digitalisierte“ Verbraucherprodukte und -dienste für Steuererklärungen bieten entscheidende Vorteile und werden sich langfristig am Markt etablieren.

Im Rahmen der Untersuchung des BSI wurden 97 IT-Sicherheitsmängel in den untersuchten Apps identifiziert und im Wesentlichen behoben. Unter diesen befanden sich 75 Schwachstellen, welche nach CVSS-Score bewertet wurden. Diese reichen von möglichen Datenübermittlungen an Drittanbieter bis hin zur Verwendung veralteter Software. Gerade in älteren Softwareversionen sind Schwachstellen bereits bekannt, die Angreifern leicht ausnutzbare Angriffsmöglichkeiten bieten.

Verstärkt wird dieses Risiko durch das Fehlen regelmäßiger Updates, da dadurch wichtige Sicherheitspatches zur Behebung neuer Schwachstellen nicht installiert werden. Ein weiteres Sicherheitsrisiko, welches sechs Prozent aller IT-Sicherheitsmängel betraf, ist das Fehlen einer Option zur Nutzung der Zwei-Faktor-Authentisierung (2FA). Dies in Kombination mit einer unzureichenden Passwortrichtlinie und dem Fehlen einer Blacklist für häufig verwendete oder kompromittierte Passwörter (fünf Prozent aller IT-Sicherheitsmängel) stellt ein erhebliches Risiko für die IT-Sicherheit der Steuerdaten von Verbraucherinnen und Verbrauchern dar.

Um diese Sicherheitsrisiken zu adressieren und die Schwachstellen beheben zu lassen, hat das BSI die Ergebnisse der Untersuchung an die betroffenen Anbieter weitergeleitet und in einem kooperativen Dialog mit ihnen gemeinsam an der Behebung gearbeitet.

Als zentrale Cybersicherheitsbehörde und unabhängige Stelle für den Digitalen Verbraucherschutz in Deutschland schützt das BSI durch diesen kooperativen Ansatz die Menschen in der digitalen Welt aktiv vor den Gefahren der Digitalisierung und sorgt dafür, dass sich diese sicher online bewegen können.