80 Personen betroffen: Schweizer Steuer-App speichert Daten öffentlich
Aktualisiert

80 Personen betroffenSchweizer Steuer-App speichert Daten öffentlich

Die Steuer-App Steuer59.ch hat persönliche Daten wie Steuererklärungen und andere Belege leicht einsehbar im Web gespeichert.

von
rkn
1 / 5
Die Daten wurden öffentlich im Internet gespeichert.

Die Daten wurden öffentlich im Internet gespeichert.

Keystone/Gaetan Bally
Die App verspricht, die Steuerklärung für 59 Franken auszufüllen.

Die App verspricht, die Steuerklärung für 59 Franken auszufüllen.

Screenshot
Die Kunden gingen aber ein hohes Risiko ein, denn die App sei unsauber mit den Nutzerdaten umgegangen

Die Kunden gingen aber ein hohes Risiko ein, denn die App sei unsauber mit den Nutzerdaten umgegangen

Keystone/Christian Beutler

In wenigen Tagen läuft die letzte Frist ab. Dann müssen auch diejenigen ihre Steuererklärung abgeben, die um Fristerstreckung gebeten haben. Viele Schweizer wenden sich dann an einen Dienstleister, der die lästige Arbeit für sie erledigt. Denn auch wenn eine einfache Steuererklärung vielerorts leicht online ausgefüllt werden kann, werden die Vermögensverhältnisse rasch so kompliziert, dass man Hilfe braucht. Diese gibt es bei klassischen Treuhändern oder auch bei Internetanbietern.

Einer davon ist die Smartphone-App Steuern59.ch des Zürcher Unternehmens Zürich Financial Solutions (Zufiso). Die App verspricht, die Steuerklärung für 59 Franken auszufüllen. Die Kunden gingen aber ein hohes Risiko ein, denn die App sei unsauber mit den Nutzerdaten umgegangen, berichtet das deutsche Informatikportal Heise.de.

80 Kunden betroffen

Die Firma habe Steuererklärungen, Steuerbescheide, Belege und andere personenbezogene Daten in einem öffentlich lesbaren Cloud-Speicher des Anbieters Amazon abgelegt, schreibt das Portal. Weiter seien auch Chat-Verläufe einsehbar gewesen, welche Kunden mit dem Dienstleister über ihre Steuererklärung führten. Entdeckt wurde die Sicherheitslücke vom Sicherheitsforscher und Blogger mit dem Pseudonym Secu Ninja.

Laut Zufiso ist das Problem unterdessen behoben. Es habe zwar 200 Registrationen gegeben, doch hätten nur rund 80 User die App auch tatsächlich benützt, so Geschäftsleiter Haci Bozca. Alle Nutzer der App seien benachrichtigt worden. Dafür, dass jemand tatsächlich das Leck missbraucht habe, gebe es keine Hinweise. Der Hinweis für das Leck kam vom Sicherheitsbeauftragten. Doch auch wenn die Lücke unterdessen geschlossen ist, kritisiert Heise.de das Verhalten von Zufiso. Das Unternehmen habe nur widerwillig reagiert.

«Wir haben uns so sehr um die Sicherheit der App selbst konzentriert, dass wir die Serverseite unterschätzt haben», so Bozca. Die Registration sowie der Anmeldeprozess seien sehr sicher. So sei bei der App selbst eine Zwei-Faktor-Authentifizierung programmiert. Das bedeutet: Nebst dem Passwort erhält der Nutzer bei jedem Login ein SMS mit einem einmaligen Code.

Jeder konnte Infos suchen und ansehen

Die Smartphone-Apps von Steuer59.ch für Android und Apple haben alle von den Nutzern abfotografierten Dokumente beim Cloud-Dienstleister Amazon Web Services (AWS) gespeichert. Jeder, der ein kostenloses AWS-Konto eröffnet und nach den Informationen gesucht habe, habe diese Informationen einsehen können, so Heise.de.

Der Sicherheitsforscher Secu Ninja habe Zufiso nach dem Finden der Schwachstelle kontaktiert. Das Unternehmen habe aber nicht auf den Hinweis reagiert. Das komme leider häufig vor, sagt Secu Ninja zu 20 Minuten. «Es ist schwer, mit Betroffenen in Kontakt zu treten, da es meist keinen Kontakt für derartige Anliegen gibt oder die Hinweise schlicht als Spam einstuft werden», so der Security-Experte.

Auch die Eidgenössische Melde- und Analysestelle Informationssicherung (MELANI), die ebenfalls von Secu Ninja informiert wurde, hatte Probleme mit der Kontaktaufnahme: Es sei mehrmaliges Nachfragen nötig gewesen, sagt ein MELANI-Sprecher zu 20 Minuten.

Artikel übernommen von Tagesanzeiger.ch/Newsnet

(rkn/20 Minuten)

Bleiben Sie über Wirtschaftsthemen informiert

Wenn Sie die Benachrichtigungen des Wirtschaftskanals abonnieren, bleiben Sie stets top informiert über die Entwicklungen der Business-Welt. Erfahren Sie dank des Dienstes zuerst, welcher Boss mit dem Rücken zur Wand steht oder ob Ihr Job bald durch einen Roboter erledigt wird. Abonnieren Sie hier den Wirtschafts-Push (funktioniert nur in der App)!

Social Media

Sie finden uns übrigens auch auf Facebook, Instagram und Twitter!

Deine Meinung