steueramt

Abmelden nicht möglich, schuld ist man trotzdem

Alle Jahre wieder kommt sie ins Haus geflattert, die Aufforderung zum Ausfüllen und Einreichen der Steuererklärung. Erfreulicherweise hat in den letzten Jahren die Digitalisierung Einzug gehalten: Was früher™ eine aufwändige Angelegenheit mit von Hand auszufüllenden und mit dem Rechenschieber auszurechnenden Einträgen war, ist heute eine aufwändige Angelegenheit mit am Browser auszufüllenden und im Rechenzentrum des Kantons ausgerechneten Einträgen. Das alles ist natürlich mit der Hoffnung verbunden, dass der digitale Weg einfacher, schneller und vor allem auch sicherer ist. Sollte man wenigstens meinen…

Grundsätzlich enthalten Steuererklärungen besonders schützenswerte Personendaten, da sich aus derem Inhalt persönliche Daten bezüglich Gesundheitszustand, Religion, politischer Orientierung entnehmen lassen. Dr. Dominika Blonski, die Zürcher Datenschutzbeauftragte, hält dazu fest:

Bei einem Online-Zugang zu diesen Informationen [der Steuererklärung], muss eine angemessene Authentifizierungslösung vorgesehen sein. Können besondere Personendaten abgerufen werden, wie dies bei der Online-Steuererklärung möglich ist, ist eine Zwei-Faktor-Authentisierung zwingend nötig. Damit wird verhindert, dass unberechtigte Personen Einsicht in diese besonderen Personendaten erhalten.

Im Kanton Zürich hat man beim Erstellen der Online-Steuererklärungen zwei Login-Möglichkeiten

Beim ZHservices-Zugang wird die Steuererklärung mit dem ZHservices-Login verknüpft, mit dem man beim Kanton zum Beispiel auch seinen Militärdienst verschieben und sonstige Online-Dienstleistungen in Anspruch nehmen kann. Dieser Zugang erlaubt verschiedene Sicherheitsstufen, beim Zugriff auf eine damit verknüpfte Steuererklärung wird automatisch eine Zwei-Faktor-Authentisierung via SMS ausgelöst. Soweit sogut, der notwendige Schutz ist somit gewährleistet.

Anders sieht es beim vereinfachten Zugang nutzen. Hier erfolgt der Zugang mittels der AHV-Nummber und dem auf dem per Post zugestellten Steuererklärungsformular aufgedruckten Zugangscode, von der laut Datenschutzbeauftragten zwingend notwendigen Zwei-Faktor-Authentisierung ist weit und breit nichts zu sehen. Es kommt aber noch dicker.

Der vereinfachte Zugang

Wie unser Leser und Web-Agentur-Inhaber Lukas Rüegg entdeckt hat, funktioniert der vereinfachte Zugang unter Umständen einfacher als erwartet. Wie erwähnt loggt man mit AHV-Nummer und Zugangscode ein und erhält so Zugang zu seinen Steuerformularen.

Da wohl die wenigsten Menschen ihre Steuererklärung in einem Durchgang ausfüllen, kann man sich jederzeit auch wieder abmelden

und landet dann (wie man das ja auch erwarten würde) erneut auf der Startseite.

Doch was passiert wenn man auf dieser Seite nun nicht erneut einloggt, sondern auf den „Abbrechen“-Button klickt? Hinter diesem Button verbirgt sich ein dann doch sehr vereinfachter Zugang zum vereinfachten Zugang, man landet direkt wieder in der Steuererklärung aus der man sich wenige Klicks zuvor gerade erst abgemeldet hat.

Wie ist das möglich wenn man sich doch gerade erst abgemeldet hat?

Local Storage — Cookies on steroids

Die Antwort heisst „Local Storage„: Moderne Webapplikationen können im Browser nicht nur Cookies sondern auch grössere Datensätze ablegen. Das ist grundsätzlich nichts Schlechtes und an sich auch nicht direkt gefährlich, stellt doch der Browser sicher, dass nur Webapplikationen desselben Servers auf diese Daten zugreifen können. Was passiert nun genau im Falle der Zürcher Steuerapplikation? Beim ersten Einloggen wird in die Local Storage-Datenbank ein Eintrag namens zhpTaxDeclarations abgelegt.

Dieser enthält in den caseId– und accessCode-Feldern die Login-Details für die jeweilige Steuererkärung, mit der die Steuerapplikation dann beim nächsten Aufruf den jeweiligen Steuerzahler wiedererkennen kann. Wie wir verifizieren konnten, wird dieser Eintrag beim Abmelden nicht gelöscht, das Login bleibt im Hintergrund quasi aktiv. Und so genügen dann wenige Klicks und man kann ohne erneute Eingabe des Zugangscodes die Steuererklärung wieder öffen.

Es wird noch spannender: Der Local Storage-Eintrag wirkt dabei nicht nur im Browser in welchem das Erst-Login erfolgt. Wir konnten den Eintrag problemlos auf einen anderen Browser auf demselben Rechner wie auch auf einen Browser auf einem anderen Rechner übertragen, und beidemal jeweils direkt wieder die Steuererklärung öffnen. Oder, vereinfacht gesagt: Der zhpTaxDeclarations-Eintrag ist der Generalschlüssel für den Zugang zu einer Steuererklärung. Wer ihn kennt, hat freien Zugriff auf dieselbe.

Eine kleine Entwarnung vorneweg: Es besteht nicht apriori die Gefahr, dass Dritte unbemerkt eine fremde Steuererklärung übernehmen, manipulieren oder kopieren können. Die „Local Storage“-Daten sind nur lokal auf dem eigenen Rechner vorhanden und ohne zusätzliche Tricks nicht von aussen abgreifbar. Und man kann wohl davon ausgehen, dass sich grossflächige Attacken nicht lohnen, da gerade die „interessanten“ Ziele wie Prominente, gutverdienende Managerinnen etc. auch am ehesten einen Steuerberater oder eine Treuhänderin engagiert haben.

Und klar: Benutzerfreundlichkeit ist wichtig und die Möglichkeit, jederzeit ohne erneuten Login an einer Steuererklärung weiterarbeiten zu können, ist für viele sicher sehr attraktiv. Auch erspart sich das Steueramt wohl den einen oder anderen Supportfall weil das Formular mit dem aufgedruckten Zugangscode zu früh weggeschmissen wurde (Notiz am Rande: Wieviele dieser Formulare wohl im Altpapier landen?). Nichtsdestotrotz irritiert es, wie hier mit den Login-Daten geschlampt wird:

  • Nicht jeder Computer hat nur einen Benutzer, nicht auf jedem von mehreren benutzten Computer bestehen auch separate Benutzeraccounts. Und selbst wenn Lisa Fischer in ihrer WG datenschutz-bewusst genug ist und ihre privaten Dokumente auf einem USB-Stick hält, will sie wirklich, dass ihr WG-Mitbewohner Lars Berger ihre Steuererklärung einsehen kann, welche sie auf dem gemeinsamen Computer erfasst hat?
  • Computer und Festplatten können kaputt gehen und zur Reparatur gegeben werden. Natürlich sind dann sämtliche gespeicherten Daten „at risk“, aber muss es da dann wirklich auch noch der Zugang zur Steuererklärung sein? Zumindest im Kanton Zürich kann die Steuererklärung dieses Jahr vollelektronisch eingereicht werden, und wer kontrolliert vor dem Einreichen schon nochmals im Detail ob alle schon früher erfassten und kontrollierten Daten immer noch korrekt sind.
  • Und ganz einfach gedacht: Darf ich als Benutzerin nicht erwarten, dass eine Webapplikation eine „Abmelden“-Funktion hat, und dass diese mich vor allem auch wirklich abmeldet?

Was nun, liebes Steueramt?

Wir haben das kantonale Steueramt um eine Stellungnahme gebeten. Grundsätzlich bestätigt Roger Keller vom Zürcher Steueramt die Vermutung, dass es vor allem um die Benutzerfreundlichkeit ging: „Der vereinfachte Zugang benutzt die Cookie-Technologie, um den erneuten Zugang zu einer noch nicht fertig erstellten Steuererklärung vereinfacht zu ermöglichen.“. Interessanterweise sieht das Steueramt aber kein Problem mit dieser Funktion und den möglichen Missbrauch-Szenarien:

Über das von Ihnen geschilderte rein technische Funktionieren hinaus kommt aber ein anderer wichtiger Aspekt hinzu, der [in WGs oder anderen Konstellationen mit gemeinsamer Computernutzung (Anmerkung der Redaktion)] für die Online-Steuererklärung genauso gilt wie für die herkömmliche Steuererklärung in Papierform: die Selbstverantwortung

So sehr Selbstverantwortung beim Datenschutz wie auch generell im Leben wichtig ist: Wie soll sich der Steuerpflichtige hier selbstverantwortlich verhalten, wenn die „Abmelden“-Funktion gar keine Abmeldung vornimmt? Eine Papier-Steuererklärung kann ich einschliessen, zerreissen, shreddern, verbrennen etc. und so sicherstellen, dass sie nicht in falsche Hände kommt. Aus der Online-Steuererklärung kann ich mich nicht mal abmelden…

Man könnte die Haltung schon fast als Victim Blaming bezeichnen, führt Roger Keller vom kantonalen Steueramt doch weiter aus

Mit anderen Worten: In der von Ihnen geschilderten Konstellation ist es nicht eine Eigenheit der Online-Steuererklärung mit vereinfachtem Zugang, wenn jemand anders Einblick bekommt, sondern viel eher der eigene, in einem solchen Fall nachlässige Umgang mit Daten. Dafür kann das Steueramt keine Verantwortung übernehmen.

Das ist schlicht falsch. Die Tatsache, dass der Webstorage-Eintrag beim Abmelden nicht gelöscht wird, ist eine zentrale, bewusst implementierte Eigenschaft des vereinfachten Zugangs und soll, wie oben zitiert, „den erneuten Zugang zu einer noch nicht fertig erstellten Steuererklärung vereinfacht […] ermöglichen“. Da kann der Benutzer noch so sorgfältig mit seinen Daten umgehen wollen, den Webstorage-Eintrag bringt er nicht ohne weiteres weg (so er ihn überhaupt findet). Das Applikationsverhalten ist gewollt, die Verantwortung dafür liegt vollumfänglich beim Steueramt.

Nach Aussage der kantonalen Datenschutzbeauftragten ist das kantonale Steueramt

ein öffentliches Organ und dadurch gesetzlich verpflichtet, Informationen mit organisatorischen und technischen Massnahmen angemessen zu schützen. Unter anderem sollen diese Massnahmen die Vertraulichkeit von Informationen schützen. Der Zugang Unberechtigter zu den Informationen soll verhindert werden. 

Diesen Informationsschutz kann das Steueramt nicht einfach an den Steuerpflichtigen delegieren und im Zweifelsfall dessen „nachlässige Datenschutzpraktiken“ als Grund für einen Datenmissbrauch vorschieben. Steuerdaten sind besonders schützenswerte Personendaten, diese müssten wie eingangs erwähnt mit einer Zwei-Faktor-Authentisierung geschützt werden. Nicht mit einem simplem AHV-Nummer + Zugangscode-Login, und schon gar nicht mit einer Webstorage-Eintrag welchen die meisten Benutzer nicht mal wahrnehmen und der bestehen bleibt wenn sie sich von der Steuerapplikation abmelden.

Immerhin hat auch das Steueramt erkannt, dass die Sache mit der Webstorage nicht so gelungen ist und kündigt Anpassungen an:

Um auch Leute mit einem nachlässigen Datenumgang vor sich selber zu schützen, werden wir noch in dieser Woche ein Release mit einer Änderung einspielen. Danach wird den Steuerpflichtigen beim Abmelden die Frage gestellt, ob gleichzeitig das ZHprivateTax-Cookie gelöscht werden soll. Damit bauen wir für die einen eine kleine Sicherung ein und ermöglichen es den anderen, die allein an ihrem Computer arbeiten, trotzdem wieder rasch auf ihre Steuererklärung zu gelangen, wenn sie diese nicht in einem Zuge ausfüllen.

Bleibt zu hoffen, dass die Frage dann ohne weiteres Victim Blaming auskommt und die Steuerzahlerin sachlich informiert. Noch besser wäre natürlich, der Empfehlung der Datenschutzbeauftragten zu folgen und für die kommenden Steuerjahre ganz auf den vereinfachten Zugang zu verzichten. Das würde dann auch gleich noch das Problem lösen, dass man mit einem aus dem Altpapier gefischten Steuerformular Zugriff auf eine bereits eingereichte Steuererklärung erhält. Eine den zu schützenden Daten entsprechende Lösung steht mit ZHservices bereit, sie muss nur zwingend genutzt werden.

Bis es soweit ist, kann man der um ihre Daten besorgten Steuerzahlerin nur empfehlen, für ihre Steuererklärung den Zugang über ein ZHservices-Account zu wählen. Oder halt, wenn die Steuererklärung schon über den vereinfachten Zugang angelegt wurde, nach dem Abmelden jeweils sämtliche Cookies, Web-Storage-Einträge etc. zu zhp.services.zh.ch zu löschen oder den Local Storage-Eintrag über die Browser-Entwicklertools direkt zu entfernen.


Teile Diesen Beitrag

Share on twitter
Share on linkedin
Share on facebook
Share on email

6 Kommentare

  1. „Spricht“ da der Hacker, der gerne nach fremden Daten sucht…….??….. Ich wohne in einer WG und wir haben nur einen Briefkasten. Darin legt der Pöstler auch die detaillierten Steuerbescheide von uns allen ab. Ich frag mich, wo das Risiko nun grösser ist: beim (irrtümlichen) Öffnen eines fremden Briefes oder beim (absichtlichen) Herumspielen in einem fremden Account. Ich bin jedenfalls froh, dass ich auf einfache Weise meine Steuererklärung ausfüllen kann.

    1. Was sich viele wohl nicht bewusst sind ist, dass eine ausgefüllte Steuererklärung deutlich mehr individuelle Details preisgibt als rein die Steuerveranlagung/rechnung. Vielleicht will ja nicht jeder mit seinen WG-Gspännli intime Details über seinen Gesundheitsstand teilen. Aber klar, der potentiellen Risiken sind viele, auch bei papierbasierten Prozessen. Dort kann man sich immerhin physisch ein Bild des ganzen machen, bei digitalen Prozessen ist das (vor allem wenn sie dann nicht so funktionieren wie man auf den ersten Blick meint) oft schwieriger.

      Artikel hin, Abmeldeproblem her: ich füll meine Steuererkärung auch digital aus (alles andere wäre furchtbar unbequem), mit der nötigen Vorsicht ist das ja kein Problem

    2. Es geht nicht um absichtliche Böswilligkeit, sondern dass das Tool aktuell eine falsche Sicherheit vorgaukelt.

      Wenn ein entsprechender prominenter Hinweis da wäre, dass man nach dem Einloggen ab sofort permanenten Zugang zu seiner Steuererklärung habe, wäre ja gegen die Mechanik auch nichts einzuwenden…. Aber aktuell täuscht es einfach etwas anderes vor indem ich mich ‚abmelden‘ kann.

      Es könnte ja sein, dass ich meine Steuererklärung an einem ‚öffentlichen‘ Computer ausfülle, mich ‚abmelde‘ und weg gehe in der Annahme, dass ich mich korrekt verhalten habe, indem ich mich abgemeldet habe.

  2. Also, ich empfehle doch allen, die einen Computer ungeschützt mit anderen gemeinsam nutzen und nicht auf die Idee kämen, mit einem eigenen Gast-Account zu arbeiten, wenn es um Dinge wie die Steuererklärung geht – all diesen Leuten empfehle ich, sich jetzt einmal von der Zürcher Steuererklärung mit vereinfachtem Zugang abzumelden. Inzwischen bleibt von der ganzen Geschichte und dem vermeintlichen Aufreger nämlich nichts mehr übrig: Selbst jene Steuerpflichtigen, die sich so fahrlässig verhalten und ihre Steuererklärung auf einem öffentlichen Computer ausfüllen – echt, gibt es das wirklich? –, werden nun nämlich beim Abmelden dazu aufgefordert, selber zu entscheiden, ob ihnen ihre Steuerdaten doch noch etwas mehr wert sind.

    1. Guten Nachmittag Herr Keller. Vielen Dank für Ihren Kommentar.

      Zum Thema „inzwischen“ und „nicht mehr übrig“: Sie haben ja glücklicherweise auf unsere Hinweise schnell reagiert. Sprich: eine Geschichte kommt raus, die betroffenen Institutionen/Firmen etc reagieren im Vorfeld auf die von JournalistInnen gemeldeten Missstände und Befunde. Deshalb sind solche Artikel eine Dokumentation dessen was bis dato der Stand gewesen ist (Abbild der Vergangenheit).

      Eine Frage stellt sich mir doch: wenn „Abmelden“-Button bei einem Dienst/Service/Website steht, kann man da als normalsterbliche Person nicht erwarten, dass man beim Drücken des Buttons definitiv danach total abgemeldet ist?

      Und dann noch eine andere Frage: wie steht es eigentlich um die 2 Faktor-Authentifizierung, die von der Zürcher Datenschützerin Dr. Blonski verlangt wird?

      “ Können besondere Personendaten abgerufen werden, wie dies bei der Online-Steuererklärung möglich ist, ist eine Zwei-Faktor-Authentisierung zwingend nötig. Damit wird verhindert, dass unberechtigte Personen Einsicht in diese besonderen Personendaten erhalten.“

      Ist hierbei etwas geplant?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.