Der heimliche Fiskus

Achtung Spy Ware in Elster – Ein „Trojaner“ im elektronischen Programm für die Online-Abgabe der Steuererklärung und was ein Finanzamt dazu äußert

Die Elster ist bekanntlich ein Vogel und dieser einschlägig bekannt als diebisch. Elster heißt aber auch ein elektronisches Programm zur Online-Abgabe der Steuererklärung. Die Online-Abgabe soll es den Finanzämtern vereinfachen, unsere Einkommen zu besteuern. Natürlich fragt man sich, warum das Programm „Elster“ heißt? Ist es ein Selbstbekenntnis, etwa gar ein selbstironisch gemeintes, weshalb die Finanzbehörde dieses Programm, als sie es uns Steuerzahlern aufzwang, ausgerechnet mit dem Namen „Elster“ bedacht hat? Man muss es vermuten, denn wirklich sehr diebisch ist es durchaus, wie uns der Staat als Fiskus immer mehr Geld aus der Tasche zieht, sich immer mehr an unserem finanziellem Eigentum vergreift. Doch sein diebischer Zugriff geht darüber noch hinaus. Denn natürlich muss der Steuerzahler die Elster-Software auf seinem privaten Computer installieren. Aber mit dieser Software soll die Finanzbehörde einen „Trojaner“ eingeschleust haben, also ein Schadprogramm, das den Computer ausspäht und damit Datendiebstahl begeht, auch Spy Ware genannt. Stimmt das?

„Bitte, sichern Sie mir zu, dass …“

Ich beschloss, einfach mein Finanzamt zu fragen und zu testen, wie es darauf reagiert. Also schrieb ich diesen Brief: „Sehr geehrter Herr …., wie Sie sich erinnern werden, haben Sie mir freundlicherweise bei der Einrichtung der Elster-Software und beim Versenden der Steuererklärungen per Elster erfolgreich geholfen. Aber mit einem Problem muss ich Sie doch noch konfrontieren. Es geht um einen Bericht, den Sie in der Anlage (zwei Blätter) finden. Darin wird davor gewarnt, die Elster-Software zu verwenden. Hier der wesentliche Ausschnitt aus dem Bericht:

Seit 2012 haben die Finanzbehörden zudem die Möglichkeit, per automatischen Abruf auf den Computern der Bürger und Firmen zu spionieren. Möglich macht das nach übereinstimmenden Angaben britischer und französischer Geheimdienste die deutsche Software Elster. Sie stammt vom Bundesfinanzministerium und dient auf den ersten Blick nur der elektronischen Steuererklärung. Wer seine Einkommensteuererklärung elektronisch an das Finanzamt schicken will, der benötigt dafür eine eigene Software mit einer Elster-Schnittstelle. Das ist etwa für Windows-Nutzer die kostenlose Software Elster-Formular. Briten und Franzosen warnen ihre in Deutschland arbeitenden Bürger seit geraumer Zeit davor, dieses Formular herunterzuladen. Es ist offenbar mit einem Trojaner infiziert, der ähnlich dem Bundestrojaner des Bundeskriminalamts deutschen Behörden heimlich den direkten Zugang auf den eigenen Rechner öffnet.

Bitte sichern Sie bzw. Ihr Amt mir zu,
– dass die Finanzbehörden meinen Computer nicht ausspionieren können
– dass die bei mir installierte Elster-Software einen Trojaner wie beschrieben nicht enthält
– dass beim Herunterladen und Verwenden der Elster-Formulare solche Trojaner bei mir nicht eingeschleust werden
Ich müsste sonst den offiziellen Datenschützer bemühen und von Elster wieder Abschied nehmen, also zu Steuererklärungen per Papier zurückkehren. Mit freundlichen Grüßen …“

Ferner heißt es in dem Bericht: Besonders perfide: Das für die Sicherheit von Computern zuständige deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte schon mehrfach vor Trojanern in einer Elster-Software, die unaufgefordert von Unbekannten über E-Mails verbreitet wurde. In den Warnschreiben britischer Geheimdienste heißt es, dass diese Warnungen offenbar bewusst lanciert wurden, um die Bürger glauben zu lassen, dass die Elster-Software des Finanzministeriums jetzt sicher sei. Das aber sei ein Trugschluss. Da verwundert es dann auch kaum, dass Finanztest, eine Zeitschrift der Stiftung Warentest, schon länger vor dem Gebrauch der Software Elster bei der Steuerklärung warnt.*)

Das Finanzamt antwortet, aber auf eine Frage, die ihm gar nicht gestellt war

Geschrieben habe ich den Brief am 5. November 2013. Das Finanzamt (13. November) schrieb ausweichend zurück: „ … Mit Ihrem o.g. Schreiben greifen Sie Fragen zur Sicherheit der Datenübermittlung bei Benutzung der Programme Elster-Formular oder Elster-Online-Portal auf. Bei der Übertragung Ihrer Steuererklärungsdaten mit Elster werden diese mit einer besonderen Verschlüsselung (Secure-Socket-Layer-Protokoll, SSL) gesichert. Der Grad einer Verschlüsselung hängt stark von der Länge des verwendeten Schlüssels ab. Die Standardschlüssellänge bei SSL ist 40 Bit. Schlüssel dieser Länge gelten jedoch inzwischen nicht mehr als ausreichend sicher. Um Ihnen und der Finanzverwaltung die größtmögliche Sicherheit zu garantieren, werden wir bei www.elsterformular.de alle Nachrichten zwischen Ihnen und dem Elster-Formular-Webserver mit 128 Bit verschlüsseln. Weitere technische Details können Sie auf der Internetseite zu Elster (www.elster.de/elfo_tech.php) unter der Rubrik ‚Technisches’ abrufen… Zu Ihren vorgebrachten Sicherheitsbedenken verweise ich darüber hinaus auf das Urteil des Bundesfinanzhofs (BHF) vom 14.032012, AZ XI R 33/09. Der BFH hat im genannten Urteil (ergangen zur Frage der elektronischen Übermittlung von Umsatzsteuervoranmeldungen) ausgeführt, dass Gründe für einen Antrag nach § 150 Abs. 8 AO nicht aus allgemeinen Bedenken gegen die Sicherheit der vorgeschriebenen Übermittlung durch Datenübertragung hergeleitet werden können… Mit freundlichen Grüßen …“

Was ich wissen wollte und was nicht

Wenn Sie diese Antwort des Finanzamtes gelesen haben, werden Sie gemerkt haben: Das Amt hat auf eine Frage geantwortet, die ich gar nicht gestellt hatte: Ich wollte nicht wissen, ob die Datenübermittlung sicher sei, sondern zugesichert haben, dass mit „Elster“ kein Trojaner eingeschleust wird, der meinen Computer ausspioniert. Also schrieb ich am 5. Dezember zurück:

„… möchte ich Sie bitten, das nachzuholen“
„Sehr geehrter Herr …., vielen Dank für Ihre Antwort vom 13. November. Aber so hilfreich sie ist, der Kern meiner Bedenken ist nicht ausgeräumt, denn ich hatte Sie gebeten mir folgendes zuzusichern:
dass die Finanzbehörden meinen Computer nicht ausspionieren können
– dass die Finanzbehörden meinen Computer nicht ausspionieren können
– dass die bei mir installierte Elster-Software einen Trojaner wie beschrieben nicht enthält
– dass beim Herunterladen und Verwenden der Elster-Formulare solche Trojaner bei mir nicht eingeschleust werden
Daher möchte ich Sie bitten das nachzuholen. Mit freundlichen Grüßen …“

Abermals nicht die erbetene Zusicherung

Die Antwort vom Finanzamt postwendend am 6. Dezember: „Sehr geehrter Herr Dr. Krause, Ihr Schreiben vom 05.12.2013 liegt mir vor. Ich verweise nochmals auf das im Schreiben v. 13.11.2013 angeführte BFH-Urteil v. 14.032012, AZ XI R 33/09, nach dem mit vorgetragenen allgemeinen Sicherheitsbedenken ein Antrag auf Befreiung von der Verpflichtung zur elektronischen Übermittlung von Steuererklärungen nicht wirksam begründet werden kann. Ich betrachte daher Ihr neuerliches Schreiben vom 05.12.2013 als erledigt. Mit freundlichen Grüßen …“

„Daher muss ich darauf bestehen, dass …“

Das Amt hat also schon wieder nicht auf das geantwortet, was ich zu wissen wünschte. So schrieb ich also zurück und wiederholte, welche Auskunft ich haben wollte: „Sehr geehrter Herr …, ich behellige Sie ungern, aber mein Schreiben an Sie vom 5. Dezember betrachte ich keineswegs als erledigt, denn abermals haben Sie nur beantwortet, was erledigt ist (Stichwort: Antrag auf Befreiung von der Verpflichtung zur elektronischen Übermittlung von Streuererklärungen), aber nicht, was Sie mir bitte in diesem Zusammenhang zusichern sollen und zwar:
– dass die Finanzbehörden meinen Computer nicht ausspionieren können
– dass die bei mir installierte Elster-Software einen Trojaner wie beschrieben nicht enthält
– dass beim Herunterladen und Verwenden der Elster-Formulare solche Trojaner bei mir nicht eingeschleust werden
Daher muss ich darauf bestehen, dass Sie mir beantworten, was ich wissen will und nicht das, was Sie schon beantwortet haben und ich daher nicht noch einmal wissen will. Das kann doch nicht so schwer sein. Mit freundlichen Grüßen …“

Zwei Monate warten, dann doch noch eine Antwort

Die Antwort darauf ließ diesmal zwei Monate auf sich warten. Mit Datum vom 6. Februar 2014 schrieb das Finanzamt wieder dasselbe Zeug: „Sehr geehrter Herr Dr. Krause, ich bedaure, dass meine bisherigen Ausführungen in den Schreiben v. 13.11.2013 und 6.12.2013 Ihre Sicherheitsbedenken im Zusammenhang mit der Verpflichtung, Steuererklärungen nach § 25 Abs. 4 EStG, § 18 Abs. 1 bzw. Abs. 3 UStG sowie § 14a GewStG nach amtlich vorgeschriebenen Datensatz elektronisch zu übermitteln, nicht ausräumen konnten. Auf das BFH-Urteil vom 14.03.2012, AZ XI R 33/09, habe ich mehrfach hingewiesen. Der BFH hat sich mit der Frage allgemeiner Sicherheitsbedenken gegen die Verpflichtung zur elektronischen Übermittlung auseinandergesetzt und führt aus, dass ein etwaiges trotz Anwendung der zur Verfügung stehenden technischen Sicherungsmöglichkeiten verbleibendes Risiko eines ‚Hacker-Angriffs’ auf die gespeicherten oder übermittelten Daten im überwiegenden Interesse des Gemeinwohls hinzunehmen ist (RZ 70 des genannten Urteils). Auf die Darstellung der technischen Details der Datensicherung bei der Übertragung auf der Internetseite zu Elster (www.elster.de/elfo_tech.php) hatte ich ebenfalls hingewiesen. Eine weitergehende Stellungnahme zu den erneut aufgeworfenen Fragen erfolgt daher meinerseits nicht. Ich bitte dafür um Verständnis. In Erwartung Ihrer Steuererklärung für 2013 in der gesetzlich vorgeschriebenen Form verbleibe ich mit freundlichen Grüßen …“

Wiederum ausgewichen und daher nochmals gedrängt

Nach wie vor schleicht das Amt um den heißen Brei herum. Nicht dem Risiko eines allgemeinen Hacker-Angriffs von irgendwo und irgendwem gilt in dem Briefwechsel meine Sorge, sondern dem Ausspionieren durch einen ganz konkreten Trojaner einer staatlichen Institution, hier der Steuerbehörde. So blöd, das nicht zu kapieren, konnte das Amt nicht sein. Also konnte das Ausweichen nur Absicht sein. So nervte ich denn noch einmal und schrieb am 17. Februar 2014: „Sehr geehrter Herr …, für Ihre abermalige Antwort danke ich Ihnen, bitte aber zugleich um Vergebung, wenn ich mich trotzdem noch einmal melde, denn Sie beantworten nicht, was ich von Ihrem Amt wirklich wissen will. Daher wiederhole ich noch einmal:
– Können die Finanzbehörden meinen Computer ausspionieren? Ja oder Nein?
– Enthält die bei mir installierte Elster-Software einen Trojaner wie beschrieben? Ja oder Nein?
– Werden bzw. wurden beim Herunterladen und Verwenden der Elster-Formulare solche Trojaner bei mir eingeschleust? Ja oder Nein?
Es genügt mir folglich, wenn Sie dreimal mit ja oder nein antworten. Es geht mir also nicht um allgemeine Sicherheitsbedenken bei der elektronischen Übermittlung; die sind mir sehr wohl bewusst. Mir nützt daher auch nicht das von Ihnen erwähnte BFH-Urteil, denn dass ein Sicherheitsrisiko immer bestehen bleibt, weiß ich ebenso gut. Und Ihre „Darstellung der technischen Details der Datensicherung bei der Übertragung auf der Internetseite zu Elster“ beantwortet meine drei Fragen ebenfalls nicht. Da Sie nun schreiben, zu einer weiteren Stellungnahme seien Sie nicht bereit, muss ich vermuten, dass Sie meine Fragen nicht beantworten wollen, vielleicht nicht dürfen. Dann aber muss ich daraus schließen, dass wie schon zuvor auch Ihre Antwort vom 6. Februar ein implizites Ja bedeutet. Sollte diese Schlussfolgerung nicht zutreffen, geben Sie Bescheid. Wenn nicht, betrachte ich meine Schlussfolgerung als von Ihnen bestätigt, und ich werde entsprechend verfahren. Mit freundlichen Grüßen …“

Ergebnis: Mit „Elster“ wird bei uns mehr abgefischt als nur die Steuer

Das war am 17. Februar. Bis heute ist eine nochmalige Antwort vom Finanzamt nicht eingegangen. Womit zu rechnen war. Trotzdem habe ich dem Amt noch einmal viel Antwortzeit gegeben. Die ist nun endgültig verstrichen. Daher fühle ich mich jetzt berechtigt, wie dem Amt angekündigt „entsprechend zu verfahren“, also diesen Briefwechsel öffentlich zu machen. Nachdem Sie ihn sich zugemutet haben, werden auch Sie wohl der Meinung sein: Mit Elster treibt unser „freiheitlicher Rechtsstaat“ nicht nur Steuern ein, sondern fischt noch mehr bei uns ab. Vielleicht fragen auch Sie mal bei Ihrem Finanzamt nach. Oder – zur Abwechslung – beim Bundesfinanzministerium in Berlin.

Mit Bundestrojaner auf Online-Fahndung

Einen Anlass zur Wehr gegen staatliche Trojaner gab es schon einmal. Ende August 2007 schrieb ich: „Vorbei die schlichten Zeiten, als Trojaner nichts weiter waren als Bürger der antiken Stadt Troja. In der heutigen Computer- und Internet-Welt sind Trojaner solche EDV-Programme, die heimlich in Computer eingeschleust werden und im Hintergrund dessen Inhalt und das Arbeiten mit ihm ausspionieren, ohne dass es das Opfer merkt. Damit angefangen haben private Kriminelle. Inzwischen will auch der deutsche Staat solche Trojaner nutzen – zur Online-Fahndung gegen Terroristen und andere Schwerverbrecher. Illegal ist das sogar schon geschehen. Damit müssen die Bürger nicht nur private Trojaner fürchten, sondern auch Bundestrojaner. Falls der Staat private Computer, zumal heimlich, online kontrollieren dürfte, würde er massiv auch in den privatesten Lebensbereich seiner Bürger eindringen.“

Anfangs scheinbar harmlos, am Ende totale Überwachung

Und weiter: „Der Zweck mag so gut sein, wie er will, dieses Mittel heiligt er nicht. Ist der Verdächtigte verdächtig genug, gibt es die Hausdurchsuchung und die Regeln dafür. Dabei können die Fahnder wie die Akten dann auch Festplatten und andere Speicher beschlagnahmen, ebenso die von den Netzbetreibern gespeicherten Verbindungsdaten anfordern. Das hat zu genügen. Die jüngsten Abwiegelungssprüche (wie: Nur fünf bis zehn Eingriffe im Jahr, Angstmacher-Diskussion) taugen nicht viel und täuschen über die wahre Bedrohung hinweg, selbst wenn sie vorgeblich zum Schutz der Bürger dienen sollen und heute ernst gemeint sind. Gewiss hat der Staat seine Bürger zu schützen, aber nicht durch Foltern, Internieren und totalem Überwachen, sondern mit den Mitteln des freiheitlichen Rechtsstaats.***) Was scheinbar harmlos beginnt, endet in totaler Überwachung. Wer alle kontrollieren kann, kann alle auch unterdrücken. Am Ende steht erst der totale, dann der totalitäre Staat, der seine Bürger und ihre Freiheit unterdrückt. Das trojanische Pferd war harmlos dagegen.“

Wenn Staaten wollen, verstoßen sie gegen Verfassung und Gesetze

Inzwischen kann ich mir vom Staat uns gegenüber alles vorstellen. Die Vertrags- und Rechtsbrüche, um den Euro, überschuldete EU-Staaten und Banken zu retten, sind dafür nur ein Beispiel. Vom Wirtschaftswissenschaftler Walter Wittmann (Universität Freiburg von 1965 bis 1998) stammt der Ausspruch aus dem Jahr 2001: „Es ist historisch erwiesen, dass Staaten sich weder an die Verfassung noch an Gesetze oder Verordnungen gebunden fühlen, wenn sie das für opportun halten. Sie setzen sie außer Kraft, oder ignorieren sie einfach. Hat sich der Staat bis an seine Grenze verschuldet, so geht er mit seinen freiwilligen und seinen gezwungenen Geldgebern nicht mehr zimperlich um.“

________________________________________________________________________
*) Gelesen habe ich davon im vergangenen Jahr, also 2013. Erschienen ist der Bericht am 16. Juli 2013 auf der Web-Seite des Kopp-Verlags (hier). Der Titel lautet „So spioniert das Finanzamt“. Der Autor ist Udo Ulfkotte, ehemals auch FAZ-Redakteur wie ich selbst.

**) Leicht gekürzt veröffentlicht in der Wochenzeitung Junge Freiheit vom 7. September 2007 (hier). Siehe ferner zu einem ähnlichen Thema meinen Beitrag vom 9. Juli 2010 „Finger weg vom gläsernen Bürger“ (hier).

***) So hat das Bundesverfassungsgericht (1 BvR 370/07, 595/07 vom 27. Februar 2008) die Vorschriften zur Online-Durchsuchung im nordrhein-westfälischen Verfassungsschutzgesetz für nichtig erklärt. Ein Eingriff mit präventivem Ziel sei allenfalls zulässig, wenn es tatsächliche Anhaltspunkte einer konkreten Gefahr für ein „überragend wichtiges Rechtsgut“ gibt (hier). Im Mai 2010 hat das Gericht auch das niedersächsische Sicherheitsgesetz kassiert und damit ähnliche Regelungen in anderen Bundesländern. Präventive Überwachung verstoße gegen das Grundgesetz. Die Süddeutsche Zeitung schrieb: „Telefon abhören, Handys überwachen, E-Mails und SMS mitlesen, schon wenn ein Polizist bloß einen diffusen Verdacht hat – damit ist nun erst einmal Schluss“ (hier). Wichtige Entscheidungen des Bundesverfassungsgerichts zur präventiven Überwachung durch den Staat hier.

 

© Copyright www.kpkrause.de: Klaus Peter Krause

Für alle meine Beiträge in diesem Blog liegt das Copyright bei mir. Sie zu vervielfältigen oder sie kommerziell zu nutzen, ist nur nach Absprache mit mir erlaubt. Ein Quellenhinweis sollte dann selbstverständlich sein. Wenn dieser Hinweis nicht unter jedem Beitrag steht, so gilt er doch auch für diese. anderen.  Haftungsausschluss / Disclaimer  siehe  hier