Sicherheitsmängel in Steuererklärungsapps
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat neun Steuererklärungsapps auf IT-Sicherheitsmängel untersucht. Zu den 97 identifizierten Mängeln zählen fehlende 2FA-Optionen, unzureichende Passwortrichtlinien und fehlende regelmäßige Updates.
Bei den untersuchten Steuererklärungsapps für Mobilgeräte hat das BSI nach eigenen Angaben 97 IT-Sicherheitsmängel identifiziert – darunter 75 mit einem CVSS-Score bewertete Schwachstellen. Die Mängel seien aber „im Wesentlichen behoben“ worden, teilte die Behörde mit. Zu den erkannten Problemen gehörten Datenübermittlungen an Drittanbieter, die Verwendung veralteter Software und mangelhafter Cookie-Konfigurationen sowie das Fehlen regelmäßiger Updates. Sechs Prozent aller identifizierten Sicherheitsmängel seien auf das Fehlen einer Option zur Nutzung der Zwei-Faktor-Authentifizierung (2FA) zurückzuführen.
Fünf Prozent aller Mängel beträfen außerdem unzureichende Passwortrichtlinien sowie das Fehlen einer Blacklist für häufig verwendete oder kompromittierte Passwörter. In Kombination mit der fehlenden 2FA-Option stelle dies ein erhebliches Risiko für die IT-Sicherheit der Steuerdaten von Verbrauchern dar, warnte die Sicherheitsbehörde.
Immer mehr Steuererklärungen werden per App eingereicht
Dem ausführlichen Untersuchungsbericht (PDF) zufolge stach eine der neun Steuererklärungsapps positiv heraus – sie kam auf lediglich zwei Schwachstellen der Schweregrade mittel und niedrig sowie eine rein informative Feststellung. Der Name dieser App wurde allerdings nicht genannt, ebenso wenig wie die Namen der übrigen acht.
Die Verbreitung solcher Anwendungen nehme zu, erklärte das BSI mit Verweis auf eine vom Digitalverband Bitkom durchgeführte Umfrage: Der Anteil der per App abgegebenen Steuererklärungen stieg demnach von vier Prozent im Jahr 2022 auf acht Prozent im Jahr 2023 an – eine Verdoppelung innerhalb eines Jahres.
BSI fordert Umsetzung von Sicherheitsmaßnahmen
Von den Herstellern forderte die Behörde, verwendete Verschlüsselungsverfahren periodisch zu überprüfen und Anmeldeprozesse durch geeignete Maßnahmen abzusichern, etwa durch 2FA und strenge Passwortregeln. Ferner drängt das BSI auf die Durchführung regelmäßiger Sicherheitsprüfungen seitens der Appanbieter.
Quelle: BSI
Weitere News aus dieser Kategorie
Kostenloser HPI-Onlinekurs zu nachhaltiger Digitalisierung
Warum verbraucht Künstliche Intelligenz so viel Energie? Am 4. März startet auf…
CYBERsicher: Notfallhilfe für mittelständische Unternehmen
Kleinen und mittleren Unternehmen oder Startups steht im Fall eines…
KI-Schulungen sind jetzt Pflicht: Fragen und Antworten
Die KI-Verordnung der EU, kurz KI-VO, soll für einen verantwortungsvollen…