In wenigen Tagen läuft die letzte Frist ab. Dann müssen auch diejenigen ihre Steuererklärung abgeben, die um Fristerstreckung gebeten haben. Viele Schweizer wenden sich dann an einen Dienstleister, der die lästige Arbeit für sie erledigt. Denn auch wenn eine einfache Steuererklärung vielerorts leicht online ausgefüllt werden kann, werden die Vermögensverhältnisse rasch so kompliziert, dass man Hilfe braucht. Diese gibt es bei klassischen Treuhändern oder auch bei Internetanbietern.

Einer davon ist die Smartphone-App Steuern59.ch des Zürcher Unternehmens Zürich Financial Solutions (Zufiso). Die App verspricht, die Steuerklärung für 59 Franken auszufüllen. Die Kunden gingen aber ein hohes Risiko ein, denn die App sei unsauber mit den Nutzerdaten umgegangen, berichtet das deutsche Informatikportal Heise.de.

80 Kunden betroffen

Die Firma habe Steuererklärungen, Steuerbescheide, Belege und andere personenbezogene Daten in einem öffentlich lesbaren Cloud-Speicher des Anbieters Amazon abgelegt, schreibt das Portal. Weiter seien auch Chat-Verläufe einsehbar gewesen, welche Kunden mit dem Dienstleister über ihre Steuererklärung führten. Entdeckt wurde die Sicherheitslücke vom Sicherheitsforscher und Blogger mit dem Pseudonym Secu Ninja.

Laut Zufiso ist das Problem unterdessen behoben. Es habe zwar 200 Registrationen gegeben, doch hätten nur rund 80 User die App auch tatsächlich benützt, so Geschäftsleiter Haci Bozca. Alle Nutzer der App seien benachrichtigt worden. Dafür, dass jemand tatsächlich das Leck missbraucht habe, gebe es keine Hinweise. Der Hinweis für das Leck kam vom Sicherheitsbeauftragten. Doch auch wenn die Lücke unterdessen geschlossen ist, kritisiert Heise.de das Verhalten von Zufiso. Das Unternehmen habe nur widerwillig reagiert.

«Wir haben uns so sehr um die Sicherheit der App selbst konzentriert, dass wir die Serverseite unterschätzt haben», so Bozca. Die Registration sowie der Anmeldeprozess seien sehr sicher. So sei bei der App selbst eine Zwei-Faktor-Authentifizierung programmiert. Das bedeutet: Nebst dem Passwort erhält der Nutzer bei jedem Login ein SMS mit einem einmaligen Code.

Swiss tax app stores all data publicly in the cloudhttps://t.co/Hmc8DXCfVF pic.twitter.com/WYdCOZa1xG — SecuNinja (@secuninja) 19. September 2018

«Anfängerfehler» der Entwickler

Die Smartphone-Apps von Steuer59.ch für Android und Apple haben alle von den Nutzern abfotografierten Dokumente beim Cloud-Dienstleister Amazon Web Services (AWS) gespeichert. Jeder, der ein kostenloses AWS-Konto eröffnet und nach den Informationen gesucht habe, habe diese Informationen einsehen können, so Heise.de.

Der Sicherheitsforscher Secu Ninja habe Zufiso nach dem Finden der Schwachstelle kontaktiert. Das Unternehmen habe aber nicht auf den Hinweis reagiert. Dies, da die Firma einen Streich vermutet habe, heisst es bei Heise.de. Das Portal erklärt sich die Lücke dadurch, dass die Apps von einem Dienstleister in Indien entwickelt worden seien, der nur über wenig Erfahrung verfüge. Das sei so weit nicht ungewöhnlich. Dass die Dateien öffentlich einsehbar seien, sei aber ein Anfängerfehler. (Bernerzeitung.ch/Newsnet)