<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=2038511469714819&amp;ev=PageView&amp;noscript=1">

Schweizer Steuerdaten öffentlich einsehbar

25. September 2018

Stellen Sie sich vor, ihr Nachbar kann Ihre Lohnbescheide und Steuererklärungen ungehindert einsehen und völlig Fremde haben plötzlich Zugriff auf Ihre Zugangsdaten für die Steuererklärung. Für viele Menschen ist das sicherlich keine angenehme Vorstellung. Sensible Finanzdaten will man schließlich nicht mit jedermann teilen. Für die Kunden der Schweizer Steuer-App Steuern59.ch war es deshalb wohl auch eine böse Überraschung, als bekannt wurde, dass die Daten der App-Nutzer öffentlich zugänglich in der Amazon-Cloud gespeichert wurden.

 

1_Couple at home working on laptop computerAlle in der App erhobenen Daten speicherte die App bei Amazon Web Services (AWS) in einem AWS Bucket. Jeder, der ein kostenloses AWS-Konto besitzt, konnte die Daten einsehen. Darunter waren Steuererklärungen, Steuerbescheide, Lohnabrechnungen, Versicherungsnachweise sowie Geburts- und Heiratsurkunden. Auch Passwörter der Admins und die Zugangsdaten der Nutzer waren im Klartext einsehbar. Auch sind öffentlich zugängliche AWS-Buckets keine Seltenheit, lassen allerdings oftmals auf unerfahrene Entwickler schließen. Anscheinend hatte der App-Anbieter die Anwendung in Indien entwickeln lassen, denn im AWS-Bucket fanden sich auch App-Entwürfe, Zeichnungen und Fotos einer Firma in Nordindien. Aufgedeckt wurde der Fall von einem unabhängigen Sicherheitsforscher, der unter dem Pseudonym SecuNinja Nachforschungen anstellt und den betroffenen Firmen dann die Schwachstellen meldet.

 

Mittlerweile hat der App-Anbieter Zufiso die Sicherheitslücke durch ein Update geschlossen. Laut einer Stellungnahme des Zufiso-Geschäftsführers werden zudem alle App-Daten von AWS zum Schweizer Anbieter n’cloud.swiss übertragen. Darüber hinaus will das Unternehmen zukünftig mit einem Schweizer Sicherheitsexperten zusammenarbeiten. Unklar ist aber weiterhin, ob und wie die Daten in der Cloud abgesichert werden. Eine Verschlüsselungslösung wie das eperi Gateway kann hier helfen. Die Daten werden schon verschlüsselt, bevor sie in die Cloud – egal ob AWS oder eine Schweizer Cloud – gespeichert werden. So haben Hacker oder Sicherheitsforscher keine Angriffsfläche, denn die in der Cloud gespeicherten, verschlüsselten Daten sind für Angreifer wertlos, weil verschlüsselt.

 


Auch interessant:

Kostenloses E-Book: Wie Sie durch eine zusätzliche Datenschutzebene die Sicherheit von Microsoft Office 365 erhöhen

 

Share Button: Facebook Share Button: Twitter Share Button: LinkedIn Share Button: XING Share Button: Google Plus Share Button: Mail