Vielen Dank für Ihre Registrierung. Sie haben jetzt den Aktivierungslink für Ihr Benutzerkonto per E-Mail erhalten.

Vielen Dank für Ihre Anmeldung.

Ihr Konto ist aktiviert. Wir wünschen Ihnen viel Lesevergnügen.

Vielen Dank für Ihre Bestellung. Wir wünschen Ihnen viel Lesevergnügen.

FINANZEN: Datenleck: Die Luzerner Steuerverwaltung gibt online sensible Daten preis

Wer die Steuererklärung noch nicht ausgefüllt hat, kann online eine Fristverlängerung beantragen. Das geht seit kurzem ganz einfach – doch das kundenfreundliche System hat ein gravierendes Sicherheitsleck.
Chiara Stäheli
Wer eine Fristerstreckung übers Internet beantragt, kann leicht an Daten von anderen Luzernern gelangen. (Bild: Matthias Jurt (Luzern, 28. März 2018))

Wer eine Fristerstreckung übers Internet beantragt, kann leicht an Daten von anderen Luzernern gelangen. (Bild: Matthias Jurt (Luzern, 28. März 2018))

Chiara Stäheli

chiara.staeheli@luzernerzeitung.ch

Es bleiben nur noch wenige Tage, bis die Mehrheit der Luzerner ihre Steuererklärung ausgefüllt und eingereicht haben muss. Wer die Frist zur Einreichung der Steuererklärung 2018 verlängern möchte, kann dies auf der Webseite des Kantons Luzern machen. Gibt man dort seine Steuererklärungsnummer zusammen mit der gewünschten Fristverlängerung ein, wird das Gesuch bestätigt. Dabei taucht der Name gemeinsam mit der Steuernummer auf.

Genau hier liegt aber ein massives Datenschutzproblem: Die persönliche Steuernummer ist lediglich siebenstellig. Man kann also eine beliebige Zahlenfolge eingeben und für andere Luzerner eine Fristerstreckung auslösen. Doch damit nicht genug: Hat man mit einer beliebigen Nummer eine Erstreckung bewirkt, wird einem in der Bestätigung der vollständige Name der Person, zu der die Steuernummer gehört, angezeigt.

Würde sich nun also jemand den Aufwand machen, alle möglichen Zahlenfolgen einzugeben, so hätte er ein Register der steuerpflichtigen Luzerner beisammen, in dem ersichtlich wäre, wer die Steuererklärung bereits eingereicht, wer eine verlängerte Frist beantragt hat – und welche Steuernummer zu welcher Person gehört.

Dass dies beim Datenschutzbeauftragten des Kanton Luzern keineswegs positiv ankommt, ist klar. «Das ist gar nicht gut», sagt Reto Fanger auf Anfrage. «Es liegt hier tatsächlich eine Situation vor, welche die Datensicherheit verletzt. Zudem besteht die Gefahr, dass durch die abgerufenen Informationen weitere Angriffe – beispielsweise telefonische Informationsbeschaffung – und dadurch noch gravierendere Datenschutzverletzungen erfolgen.» Deshalb müsse das Steueramt das Verfahren zur Fristerstreckung unverzüglich ändern, um die Datensicherheit gewährleisten zu können.

Fristerstreckung zum Jahresbeginn vereinfacht

Die kantonale Dienststelle Steuern hat das Angebot der Fristerstreckung via Internet auf Beginn dieses Jahres angepasst, wie Paul Furrer, Mediensprecher der Dienststelle Steuern, sagt: «In den letzten Jahren musste man für die Fristerstreckung zusätzliche Informationen wie beispielsweise das Geburtsdatum oder die Sozialversicherungsnummer angeben. Auf Beanstandungen der Nutzer, welche das System zu kompliziert fanden, haben wir es auf Jahresbeginn vereinfacht.» So müsse man nur noch die persönliche Nummer, die auf der Steuererklärung steht, eingeben.

«Wir wollen den Kunden mit dem Tool entgegenkommen und ihnen einen einfachen Service anbieten. Bis anhin haben wir auch keine missbräuchlichen Nutzungen festgestellt», so Furrer. Durch die Aufdeckung dieser Sicherheitslücke sei die Dienststelle jedoch nun gezwungen, das Angebot anzupassen. Dieses wird gemäss Furrer sehr rege genutzt: «Zehntausende Luzerner verlängern ihre Einreichfrist auf diesem Weg. Sie sind froh, müssen sie nicht mehr extra einen Brief schreiben oder anrufen.»

Um die Datensicherheit wieder zu gewährleisten, wird das Angebot nun also aufgrund dieser Recherche bereits wieder Änderungen unterzogen. Möglich sei dabei laut Furrer auch, dass wieder zusätzliche Informationen eingegeben werden müssen, um ein Fristerstreckungsgesuch absenden zu können.

Nummer wird nur für Steuerzwecke genutzt

Die siebenstellige Steuererklärungsnummer erhält jede volljährige Person mit der Steuererklärung. Da sie jedoch nur in Zusammenhang mit steuerlichen Vorkommnissen verwendet wird, lässt sich damit lediglich herausfinden, zu wem die Nummer gehört und ob besagte Person ihre Steuererklärung bereits eingereicht oder allenfalls verlängert hat. Weitere Informationen zur Person lassen sich damit auf der Webseite nicht direkt abrufen.

Für Mediensprecher Paul Furrer ist die erneute Anpassung kein einfacher Schritt: «Unser Anspruch ist es, die Abläufe für die breite Bevölkerung zu vereinfachen. Massnahmen, die das Ganze wieder komplizierter machen, nehmen wir nur ungern vor.»

Übrigens: Ein gewisser Herr Müller, wohnhaft irgendwo im Kanton Luzern, kann sich mit der Steuererklärung noch ein bisschen Zeit lassen. Im Rahmen unserer Recherchen haben wir zufällig für ihn eine Fristerstreckung bis Ende April ausgelöst.

Merkliste

Hier speichern Sie interessante Artikel, um sie später zu lesen.

  • Legen Sie Ihr persönliches Archiv an.
  • Finden Sie gespeicherte Artikel schnell und einfach.
  • Lesen Sie Ihre Artikel auf allen Geräten.