Das elektronische Steuersystem (Elster) erhitzt mal wieder die Gemüter. Nachdem die FDP-Fraktion eine parlamentarische Anfrage zur tatsächlichen Effizienz der Online-Abwicklung der Umsatzsteuer-Voranmeldung an die Bundesregierung richtete, verwahrte diese sich gegen jegliche Kritik.
In ihrer Antwort verweist die Bundesregierung auf Einspareffekte, durch die Wegfall der Datenerfassung und die erhöhte Datenqualität entstünden. Konkrete Angaben über die tatsächliche Höhe der bisherigen Einsparungen legte die Bundesregierung jedoch nicht vor. Stattdessen unterstreicht sie die Plattformunabhängigkeit von Elster. „Es handelt sich um eine externe Schnittstelle, mit der aus verschiedenen Computeranwendungen steuerliche Daten auf elektronischem Weg an die Finanzverwaltung übermittelt werden können.“, heißt es in diesbezüglich im Dokument.
Die Bundesregierung geht derzeit von rund 1.300 Software-Herstellern aus, die die „Elster“-Programmschnittstelle in ihre Steuerprogramme eingebunden hätten. Zudem wird die besonders benutzerfreundliche Gestaltung des ElsterFormular hervorgehoben, die nur geringe Kenntnisse im Umgang mit der Steuererklärung vorausetzt und um ein kostengünstige Hilfe-Hotline ergänzt wird. Das von Linux-Nutzern Elster nicht ohne Weiteres nutzen können und sich in der Regel von der (eigentlich zwingenden) elektronischen Übermittlung freistellen lassen, bleibt unerwähnt.
Das diese „Schön-Wetter“-Darstellung von Elster bei Weitem zu kurz greift, macht ein Artikel in der aktuellen Ausgabe (#86) der Datenschleuder deutlich. Die Autorin, selbst mit jahrelanger Erfahrung in der Softwareentwicklung (insb. Datenbanken), bezeichnet Elster nach hinreichender Auseinandersetzung als „sicherheitstechnisch mittleren Alptraum“.
Stichwort „Unzureichende Verschlüsselung“:
Zwar haben Außenstehende keine Einsicht auf Daten und deren Übertragung, allerdings besteht kein Sichtschutz vor „Internen“, d.h. anderen Elster-Netzteilnehmern. Diese können sofern erstmal angemeldet, prinzipiell die Umsatzsteuervoranmeldung für jede verfügbare Steuernummer einreichen. Eine Authentisierung des einreichenden Teilnehmers ist nicht vorgesehen. Brisant wird dies, wenn man bedankt, dass die Angabe der Steuernummer (nur die braucht man für die UStVA) verpflichtend ins Impressum jeder Firmen-Website gehört.
Stichwort „Transparenz“:
Zwar vergibt die Finanzverwaltung auf Anfrage so genannten EntwicklerID und EntwicklerKIT an Softwareentwickler, allerdings handelt es sich dabei nicht um den Quellcode des Programms, so dass niemand überprüfen wie dieses tatsächlich funktioniert bzw. was mit den Daten passiert. Defizite in der Dokumentation sind also unübersehbar.
Stichwort „Weiterentwicklung“:
Das Entwicklungsmodell Freier Software hat sich in der Vergangenheit bewährt und zahlreiche sicherheitstechnische Entwicklungen, die heute als Standard gelten, erst vorangebracht. Um so erstaunlicher ist es, dass die Konzept der HerstellerID, nicht für Entwickler Freier Software bzw. Open Source Projekte verwendendbar ist, da die ID an Produkt und Hersteller gebunden ist. D.h. Modifizierung, Verbesserung und Weiterentwicklung von Elster-kompatibler Programme sind von vornherein ausgeschlossen. Eine GruppenID ist nicht vorgesehen.
Die normale Steuernummer ist NICHT verpflichtend im Impressum, das ist die USt-ID.