Belegabruf mit Zertifikat und PIN

  • Wie kann es ein, dass für den Belegabruf das Elster PKCS12 Zertifikat samt Private Key Wrapper(von Elster PIN genannt) hochgeladen werden muss, also an einem Dritten - in diesem Fall Buhl - abgegeben wird?


    Letztendlich gibt man seine Steueridentität komplett in die Hände von Buhl.


    Der alleinige Sinn der PKI und speziell eines Private Keys ist es, ihn nicht einmal an eine 2. Instanz weitergeben zu müssen. Dieses Vorgehen erfüllt nicht einmal den schwächsten FIPS Standard. Im Gegensatz zu dem Gebaren von Elster, und auch anderen öffentlichen oder ehemals öffentlichen Institutionen, die DB sei hier genannt, wird durch äusserst umständliche Prozesse höchste Sicherheitsstandards vorgetäuscht, während dort, wo es tatsächlich wichtig wäre, komplett versagt wird.

  • Hallo pkcs12,


    du hast dich doch für die Webversion entschieden, keiner hat dich dazu gezwungen. Wenn du die anderen Versionen betrachtest, hast du die von dir verlangte Sicherheit.

  • du hast dich doch für die Webversion entschieden, keiner hat dich dazu gezwungen.

    Richtig.
    Ich verstehe aber seine/ihre Kritik vor allem in der Hinsicht, daß es aus Sicht der Datensicherheit schon bedenklich ist, ein solches Produkt bzw. eine solche Funktion überhaupt anzubieten. Es geht wohl dabei auch gar nicht darum, Buhl irgendetwas zu unterstellen, aber wenn selbst das Department of Homeland Security ganz simpel gehackt werden kann ...

  • Ich verstehe aber seine/ihre Kritik vor allem in der Hinsicht, daß es aus Sicht der Datensicherheit schon bedenklich ist, ein solches Produkt bzw. eine solche Funktion überhaupt anzubieten.

    Aber nicht wenn man sich mal in aller Ruhe die Datenschutzbestimmungen von Buhl anschaut, zu denen auf der Seite verlinkt ist.

    Es geht wohl dabei auch gar nicht darum, Buhl irgendetwas zu unterstellen, aber wenn selbst das Department of Homeland Security ganz simpel gehackt werden kann ...

    Da würde ich aber immer noch behaupten, daß der Rechner des Users einfacher zu hacken ist. Außerdem speichert Buhl diese Daten verschlüsselt.

  • Alles richtig - aber Datenschutzbestimmungen sagen bei keinem Anbieter etwas über die tatsächliche Datensicherheit. Es wurden einfach schon zu viele Server gehackt, die eigentlich als absolut sicher galten.


    Und bei der Diskussion über die Frage der Datensicherheit von wirklich sehr sensiblen Daten bei einem Anbieter mit dem Argument zu kommen,

    Zitat von Billy

    daß der Rechner des Users einfacher zu hacken ist

    ist wirklich nicht zielführend. Denn was willst Du damit sagen? Wieso spielt der Rechner des Users dabei eine Rolle? Die Wahrscheinlichkeit, daß sein Rechner gezielt gehackt wird, ist um Dimensionen geringer also die, daß die Server von Buhl gehackt werden - denn bei letzteren gibt es viele sensible Daten von vielen Menschen, beim Rechner des Users nur die von ganz wenigen.


    Nein, ich unterstelle Buhl nicht, daß sie mit den Daten rumschlampern, die Datensicherheit auf die leichte Schulter nehmen usw. usf. Aber deswegen sind kritische Fragen und Meinungen zu diesem Thema ernst zu nehmen und nicht umzukehren.

  • Aber deswegen sind kritische Fragen und Meinungen zu diesem Thema ernst zu nehmen und nicht umzukehren.

    Das mache ich mitnichten. Hast Du Dir denn mal die Datenschutzhinweise auf https://www.steuer-web.de angeschaut?
    Im übrigen werden Rechner nicht nur von außen gehackt. Daß der Privatanwender das Ziel von unzähligen Angriffen ist, muß man nun doch wirklich nicht diskutieren. Mehr ist dazu nicht zu sagen.

  • Ich würde babuschka ausdrücklich zustimmen. Niemand wird zu einem bestimmten Programm/Weg gezwungen. Ich muss mich eben vorab informieren, die Datenschutzhinweise lesen und dann entscheiden, welchen Weg ich wähle. Auch ich würde meine Daten nicht einem Server anvertrauen. Ich muss auch nicht an jedem Ort und mit jedem Gerät Zugriff auf meine Daten haben. Und dann verzichte ich eben auf derartige angebotene Lösungen. Wenn ich mich nicht informiere, darf ich mich hinterher auch nicht beschweren. Dass die Hersteller entsprechende Wege anbieten, scheint ja der Wunsch einiger User zu sein.

  • Das mache ich mitnichten. Hast Du Dir denn mal die Datenschutzhinweise auf steuer-web.de angeschaut?

    Die kenne ich. Nur sind diese eben "nur" die Theorie. Die Commerzbank bzw. ihr Onlineableger comdirect hat auch gute Datenschutzbestimmungen - und was haben sie im konkreten Fall genutzt? Nichts. Letztlich sind Datenschutzbestimmungen erstmal nur gesetzlich vorgeschrieben und sie sagen nichts über die tatsächliche Datensicherheit aus. Die kann ebenso gut sein wie es die Datenschutzbestimmungen sind, müssen es aber nicht zwangsläufig. Ein gutes Qualitätssicherungshandbuch ist auch nur die Grundlage für eine erforderliche Qualität, nicht aber damit gleichzusetzen.


    Wenn der fragende User möglicherweise seinen eigenen PC nicht ausreichend schützt, ist das seine Sache - was hat das mit einem gewerblichen Angebot zu tun? Billy, Du bringst Argumente, die von der Aussage richtig sind - nur passen sie nicht zur Frage. Und, lieber miwe4, ich denke, der Fragende hat sich informiert, sonst würde er ja die Frage so nicht aufwerfen.
    Mit dem (für mich) Totschlagargument "Du mußt das ja nicht machen." könnte man so vieles erlauben, was glücklicherweise nicht erlaubt ist.

  • Die Commerzbank bzw. ihr Onlineableger comdirect hat auch gute Datenschutzbestimmungen - und was haben sie im konkreten Fall genutzt? Nichts.

    Das ist ein völlig anderer Sachverhalt.

    Wenn der fragende User möglicherweise seinen eigenen PC nicht ausreichend schützt, ist das seine Sache - was hat das mit einem gewerblichen Angebot zu tun?

    Wir reden (wie so oft) aneinander vorbei. Für mich E.O.D.