Betriebsunfall
Schweizer App speicherte alle sensiblen Steuer-Daten öffentlich in der Cloud

Die App Steuern59.ch hat Steuererklärungen in einem öffentlich einsehbaren Online-Speicher von Amazon gespeichert. Ein Sicherheitsforscher informierte die Verantwortlichen. Dort hielt man die Warnung für einen Scherz.

Oliver Wietlisbach
Drucken
Teilen
Die mit der App Steuern59 eingereichten Belege landeten zusammen mit der Steuererklärung öffentlich einsehbar in Amazons Cloud.

Die mit der App Steuern59 eingereichten Belege landeten zusammen mit der Steuererklärung öffentlich einsehbar in Amazons Cloud.

Screenshot/steuern59.ch

Was die Nutzer nicht wissen: Die Steuer-App hat alle Nutzerdaten wie «Steuererklärungen, Steuerbescheide, Belege und andere personenbezogene Daten» in einer öffentlich einsehbaren Cloud von Amazon gespeichert. Dies berichtet das deutsche Techportal Heise.

Demnach waren die Daten für jeden einsehbar, der ein kostenloses Konto bei Amazons Cloud-Dienst Amazon Web Services (AWS) besitzt. Auch Lohnabrechnungen, Versicherungsnachweise sowie Geburts- und Heiratsurkunden hunderter App-Nutzer seien so frei einsehbar gewesen, schreibt Heise.

Daran ist nicht der Cloud-Anbieter Amazon schuld, sondern der App-Entwickler, der nicht dafür gesorgt hat, dass die Daten in einem gesicherten Bereich gespeichert werden. «Das Problem wurde von unserem Sicherheitsfachmann erkannt. Dass jemand tatsächlich das Leck ‹missbrauchte›, dafür gibt es keine Hinweise», sagt Zufiso auf Anfrage von watson.

«Die App war die erste Version und ein Prototyp», teilt Zufiso mit. Rund 200 Personen hätten sich bei Steuern59 registriert, «jedoch haben nur knapp 80 Menschen die App benutzt». Diese Aussage steht im Widerspruch zur App-Beschreibung: Von Prototyp ist dort keine Rede. Die App wird als «professionell» angepriesen und weiter heisst es: «5 Jahre Erfahrung und über 2000 zufriedene Kunden haben zur Entwicklung von Steuern59 beigetrage (sic!)». Ersichtlich ist zudem, dass es sich aktuell um Version 1.9 der App handelt. Ursprünglich war Steuern59 Ende 2017 in den App-Stores aufgetaucht.

Steuern59.ch hielt Warnmeldung für einen Scherz

Auf die Sicherheitslücke gestossen ist ein Sicherheitsforscher, der unter dem Pseudonym SecuNinja gefundene Schwachstellen den betroffenen Firmen meldet.

SecuNinja informierte Steuern59.ch bzw. die verantwortliche Firma Zufiso über das Sicherheitsproblem, bekam laut Heise aber keine Antwort. Erst als sich das bekannte deutsche Techportal einschaltete, reagierte Steuern59.ch. Laut Bericht habe die Schweizer Finanzfirma die gemeldeten Sicherheitslücken zuerst für einen Streich des Sicherheitsforschers gehalten. Zufiso nahm erst Kontakt auf, als man der drohenden Medienberichterstattung gewahr wurde.

Sicherheitsprobleme bei Steuern59.ch gehen noch viel tiefer

Doch nun kam es knüppeldick. Die Sicherheitsprobleme bei der Steuer-App gehen noch viel tiefer.

Neben den sehr sensiblen Finanzdokumenten der Kunden hat der Forscher ausserdem die per bcrypt gesicherten Passwörter der Admins gefunden. «Eine Datenbank mit den Zugangsdaten der App-Nutzer enthielt deren Passwörter sogar im Klartext», berichtet Heise weiter. Nutzer-Passwörter für derart sensible Daten unverschlüsselt zu speichern, ist hochgradig fahrlässig.

Des Weiteren enthielten die öffentlich einsehbaren Daten «die Chat-Verläufe der Kunden, in denen diese zum Teil ihre Steuererklärung mit dem Dienstleister besprechen – diese Protokolle waren ebenfalls im Klartext gespeichert», heisst es im Artikel.

Die Steuern59.ch-App wurde offenbar von einem externen Dienstleister in Indien entwickelt. Der Sicherheitsforscher SecuNinja fand im Online-Speicher auch «haufenweise abfotografierte App-Entwürfe, Zeichnungen und Fotos der Entwickler in ihrem Studio im Norden Indiens.» Man könnte «mit Fug und Recht von Schlamperei sprechen», kommentiert das deutsche Techportal.

Steuern59.ch zeigte sich lange uneinsichtig

Zumindest eine Sicherheitslücke in der App Steuern59 für Android und iOS ist offenbar Ende letzter Woche mit einem Update geschlossen worden. Die Steuerdaten sind nicht mehr öffentlich einsehbar, ob nun allerdings auch die Passwörter verschlüsselt gespeichert werden, bleibt unklar.

Ebenfalls ungewiss blieb zunächst, ob steuern59.ch seine Nutzer über die Sicherheitslücken informiert hat. «Der Steuerdienstleister wollte nicht einsehen, warum wir es für essenziell erachten, die Nutzer der App über das Datenleck aufzuklären», hält Heise fest.

Auf Anfrage von watson reagierte Zufiso am Mittwochmorgen innert weniger Minuten: «Die User, welche die App benutzten, haben natürlich eine Nachricht erhalten», heisst es nun plötzlich.

Im Fall von Steuern59.ch sind vermutlich nicht viele Nutzer betroffen, der Fall zeigt jedoch exemplarisch, wie fahrlässig Firmen mit heiklen Kundendaten umgehen.

Aktuelle Nachrichten