PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Schreibrechte für JAVA-Applet bei ELSTER-Anmeldung?



maxx
19.05.2007, 13:56
Ich wollte nun auch ELSTER nutzen und habe mich für die Zertifizierung angemeldet. Nach Erhalt der Anmeldedaten (E-MAil und Brief) wollte ich die Anmeldung abschließen. Die Erstellung des Sicherheitszertifikats erfolgt durch ein JAVA-Applet. So weit, so gut.

Dieses Applet verlangt nun aber die Freigabe von Schreibrechten u.a. auf meine gesamten persönlichen Daten (java.util.PropertyPermission * read,write - zu den System-Permissions gehört auch das User-Verzeichnis).
Wozu ist das gut? :confused: Um den Key abzuspeichern kann man auch den Benutzer auffordern, dies zu tun. Der hat die Rechte dazu.

Auch die nachfolgende erste Anmeldung läuft über ein JAVA-Applet (wozu eigentlich?). Dieses verlangt explizit Leserechte auf das User-Verzeichnis (java.io.FilePermission /home/matthias read).

Außerdem finde ich es schon befremdlich, wenn die Zertifizierungsstelle für das Online-Zertifikat des Bayerischen Staatsamtes für Steuern, dem Autor dieser JAVA-Applets, seinen Sitz in Südafrika hat:
---------------------
C=ZA
ST=Western Cape
L=Cape Town
O=Thawte Consulting cc
OU=Certification Services Division
CN=Thawte Premium Server CA
---------------------
Hatte man Angst, ein deutscher Zertifizierer bekäme dabei Bauchschmerzen?

Für mich sind das jedenfalls sehr fragwürdige Praktiken, derlei Zugriffe auf meinen Rechner zu verlangen, für die es keinerlei Notwendigkeit gibt - nur damit ich meine Steuererklärungen zertifiziert über das Internet schicken kann.

Da bleibe ich doch lieber beim Papier, auch wenn ich sonst so ziemlich alles online abwickle.

Mögen diese Praktiken des Bundes Vielen die Augen öffnen :eek: , damit solche "Sicherheitslücken" nicht zur Normalität werden. Oder steckt da Absicht hinter?

Balu
21.05.2007, 07:51
Warum richten Sie Ihre Fragen nicht an die Institution, die diese Fragen beantworten kann? Wenn Ihnen die Antworten vorliegen, dann können Sie entscheiden, ob sie schlüssig sind und gegebenenfalls unter Verwendung der Antworten hier neu posten. So "riecht" Ihr Beitrag nach (entschuldigen Sie bitte die Ausdrucksweise) 'selbsternanntem Bedenkenträger'.

Wenn Sie z.B. mal >> HIER << (http://www.pki-page.org/#CA) nachschauen, dann stellen Sie fest, dass der Löwenanteil von Zertifizierungsstellen nicht in Deutschland zu finden ist. Ob man da wirklich gleich Verrat wittern muss???

maxx
21.05.2007, 14:29
1. Bedenkenträger - in diesem Fall gerne.
Es ist nun einmal recht eigenartig, jemandem, der mir nur etwas in den Briefkasten legen will, gleich das ganze Haus zur freien Besichtigung zur Verfügung stellen zu müssen. Und so ähnlich ist es hier auch, nur eben auf einem anderen "Kanal".
Leider sind viele Leute in dieser Beziehung mehr als naiv und leichtgläubig (meine Meinung aus persönlichen Erfahrungen heraus). Jedenfalls würde wohl kaum jemand einem unbekannten Kurierfahrer den Haustürschlüssel übergeben, damit er einen Brief hinterlegen kann. Dann braucht er nicht erst zu klingeln. Am Computer ist das leider für viele nicht so leicht nachvollziehbar, was da eigentlich passiert - und dann handeln halt viele nach dem Motto: Ach, die werden sich schon was bei gedacht haben. - Ich für meinen Teil hoffe nur, dass sich niemand dabei auch noch was gedacht hat, sondern dass es so nur einfach bequemer war.

Ich glaube auch, dass dies erklärt, warum ich meine Meinung hier öffentlich äußere - als Gedankenanstoß. Wovon man nichts weiß, darüber kann man auch schlecht nachdenken. Und ich gehe davon aus, dass auch von den zuständigen Stellen hier jemand mitliest. Vielleicht gibt er sich ja sogar zu erkennen und klärt mich über meinen Irrtum auf ;)

2. Auch die meisten Ministerien der Welt befinden sich nicht in Deutschland und die meisten Firmen, erst recht sind auch die meisten Menschen keine Deutschen (wir stellen gerade einmal gut 1 % der Weltbevölkerung). Da ist es eigentlich nur logisch, dass auch die meisten Zertifizierer außerhalb Deutschlands zu finden sind (für mich jedenfalls).
Außerdem ist das ja nicht der Kern meiner Kritik, sondern nur eine evtl. wissenswerte Nebeninformation.

maxx
21.05.2007, 14:40
Nachtrag:
Hier (http://www.pki-page.org/#SIGG) finden sich allein 28 nach dem deutschen Signaturgesetz (SigG --> 3. Abschnitt) (http://bundesrecht.juris.de/sigg_2001/BJNR087610001.html) akkreditierte CAs (natürlich alle in Deutschland).

Balu
21.05.2007, 22:44
....wobei es bei letzteren aber ausschließlich um CAs für die elektronische Signatur in Deutschland geht.
Aber wo liegt nun der prinzipielle Unterschied zwischen einer CA in Deutschland oder außerhalb? Der "unbekannte Kurierfahrer" ist mir doch nicht deshalb weniger unbekannt, nur weil er aus Deutschland anreist.
Na jut, wenn mich gesteigerte Bedenken plagen, schmeiße ich auch meine Scheckkarte weg und mache nur noch Bargeschäfte. Wer weiß denn schon, wer sich mit meinen Zahlungs- und Geldabhebedaten ein Bewegungsbild meiner Wenigkeit zusammenbastelt.....?

Was Internet&Co. angeht: Ich habe einen PC, mit dem ich meine Internetaktivitäten mache. Alles, was irgendwie mit persönlichen Daten und ähnlichem zu tun hat, liegt nicht auf diesem PC. Bevor ich zwei PCs hatte, habe ich im Prinzip das gleiche dadurch erreicht, dass ich zwei Festplatten im Wechsel benutzt habe. Das kann eigentlich jeder.
Wem das zu viel Aufwand ist, hat eben ein höheres Risiko. Wer raucht hat übrigens auch ein höheres Risiko als ein Nichtraucher. Nur eben ein anderes. Weiß jeder - trotzdem werden täglich Millionen für Kippen ausgegeben.

Nur sehe ich selber kein signifikant höheres Risiko darin, das "Thawte Consulting cc" nicht in Deutschland "zu Hause" ist. Innerhalb des Internet gibt es so viele Übergänge, dass die (elektronisch gesehen) paar Kilometer mehr nach Süd Afrika den Kohl doch nicht fett machen.

So bleibt es wohl bei zwei Ansichten zum gleichen Ding: Ihre und meine Ansicht.

maxx
22.05.2007, 18:58
Oups, wieder mal ein klassisches Beispiel für "aneinander vorbei reden".

Wie ich schon schrieb: Der Zertifizierer in ZA war für mich nur eine Begleiterscheinung. Darüber alleine hätte ich mich sicher nicht geäußert. Der Schwerpunkt meiner Sicherheitskritik liegt einzig und allein bei den unnötiger Weise geforderten Zugriffsrechten.

> ....wobei es bei letzteren aber ausschließlich
> um CAs für die elektronische Signatur in
> Deutschland geht.

Ja, um was geht es denn bei Elster sonst? Um die elektronische Signatur eines deutschen Amtes - oder irre ich da?

Zum Risiko: Ja, der Raucher kennt mit sehr großer Wahrscheinlichkeit das (gesundheitliche) Risiko. Und er kann sich bewusst entscheiden, dieses in Kauf zu nehmen oder es zu lassen.

Bei den digitalen Rechten während dieser Elster-Anmeldung kann aber kaum jemand bewusst dafür oder dagegen eine Entscheidung treffen, weil:
a) kaum jemand um dieses Risiko weiß (Schreibrechte auf meinem PC bedeuten immer, dass mir jemand etwas unterjubeln kann (z.B. als veränderte Version eines allgemein häufig genutzten Programms), was dann ohne mein Wissen und wahrscheinlich auch gegen meinen Willen auf meinem Computer agiert und
b) dieses Risiko für die meisten ähnlich abstrakt ist wie z.B. radioaktive Strahlung oder Umweltgifte. Man merkt die Wirkung erst, wenn es längst passiert ist.

Natürlich kann jemand bei meiner Bank durch Analyse meiner Einkäufe (Betrag und Ort) ein gewisses Bild von mir erhalten. Und wenn er jemanden findet, der ihm für dieses Wissen Geld gibt - auch nicht mein Problem. Und wenn ich dann zielgerichtet mit Werbung bombardiert werde - schade um das Papier. Und wenn ich das verhindern will, muss ich entsprechend mein Verhalten ändern. OK, meine Entscheidung (bzw. die jedes einzelnen).

Hier geht es aber darum, dass sich ggf. ein Amt (also die Staatsmacht) einen Zugriff auf private Dinge erschleicht (wenn man es mal bösartig deutet - aber ich will hier nichts unterstellen, sondern nur auf die Möglichkeit und das damit verbundene Risiko hinweisen). Das wäre dann sogar strafrechtlich relevant, das StGB gilt auch für den Staat und Ausnahmen bedürfen einer gerichtlichen Verfügung.
Natürlich kann und muss jeder für sich entscheiden, ob dieses Risiko für ihn tragbar ist oder nicht und welche Methoden er zur Minimierung einsetzt. Ich werde mir dafür jedenfalls keinen Zweitrechner anschaffen, genau so wie ich keine Warenschleuse an mein Haus anbaue, für die der Kurierfahrer dann einen Schlüssel haben kann.

Aber um entscheiden zu können muss jeder Betroffene das Risiko erst einmal kennen. Und da ich glaube, dass nicht jeder diesen unnötigen Zugriff überhaupt erkennen kann, habe ich mein Wissen hier an alle anderen interessierten weiter gegeben.

Und vielleicht erkennen auch die entsprechenden Stellen, dass diese Methode (gerade auch vor der Diskussion um den "Bundestrojaner") nicht gerade Vertrauensbildend ist.

Balu
22.05.2007, 20:21
OK. Sie sind der Klügere.
Aber ich gebe nach und beende die Diskussion für meinen Teil.
:D

musterk
02.07.2009, 14:59
Ich finde die bedenken von Maxx durchaus nachvollziehbar und erschreckend, dass sich seit zwei Jahren scheinbar nichts geändert hat. Ein Kontakt-Formular oder gar eine E-Mail-Adresse für Fragen konnte ich auf elster-online.de auch nicht finden, nur dieses Forum. Da wird man ja wohl hoffen dürfen, dass qualifizierte ELSTER Mitarbeiter hier mitlesen und sich zu den nachvollziehbaren Vorwürfen äußern.

Schöne Grüße
/Musterk

neysee
02.07.2009, 17:26
Da wird man ja wohl hoffen dürfen, dass qualifizierte ELSTER Mitarbeiter hier mitlesen und sich zu den nachvollziehbaren Vorwürfen äußern.


Zwar stirbt die Hoffnung bekanntlich zuletzt, ich würde aber in diesem Fall während des Wartens auf die Elster-Mitarbeiter nicht das Atmen einstellen.

musterk
02.07.2009, 18:01
Wo würdest du dich denn beschweren?

egal!
12.02.2011, 14:13
jetzt haben wir 2011 und immer noch soll ich meinen Rechner komplett freischalten nur um meine Steuern abzudrücken!
Ab jetzt machen wir unsere Voranmeldungen etc. wieder auf Papier!

Niemals
16.02.2011, 17:58
Ich finde es zudem bedenklich, dass sich hier niemand von offizieller Seite zu dem Problem äußert.

Niemand bekommt Schreibrechte in meinen persönlichen Daten am PC. Der Staat versucht es eben auf allen Wegen. Schäuble is watching you...

Also ich bleibe beim Papier in einem braunen Umschlag, den ich persönlich einwerfe - old school. Da muss ich wenigstens nicht die Familienfotos und die persönlichen Emails beilegen, die ELSTER gerne lesen und klauen würde und ich muss mir keine Sorgen machen, dass das Finanzamt Daten auf meinen PC schreibt. So ein Irrsinn!

Vielleicht aktiviert ELSTER ja auch die Webcam im Notebook und analysiert, ob man bei der Einkommensteuererklärung körpersprachliche Merkmale ausstrahlt, die eine Lüge andeuten.. Huuuuuaaaaa! Und ein Computer wertet das dann aus und verschickt Abermillionen unverschämte Briefe, die nur mit "Ihr Finanzamt" unterschrieben sind, weil kein Mitarbeiter mehr dahinter steht. Ach so, das ist ja jetzt schon so...

Und sie werden uns alle über kurz oder lang zwingen, die bescheuerte ELSTER aufs System zu lassen. Ihr wisst ja, die haben Kenny getötet, die ...

Bleibt standhaft und sauber,
Niemals

stiller
16.02.2011, 18:08
Zitat: Ich finde es zudem bedenklich, dass sich hier niemand von offizieller Seite zu dem Problem äußert.

Antwort:
Wie auch, in einem "unbedarften" USER-Forum!

Stiller

V. Liersee
17.02.2011, 09:43
Ab jetzt machen wir unsere Voranmeldungen etc. wieder auf Papier!

Viel Spaß bei den Diskussionen mit dem zuständigen Bearbeiter. Elektronische Voranmeldungen sind gesetzlich vorgeschrieben. Die Ablehnung von Zugriffsrechten dürfte kaum als Härtefall durchgehen (vor allem, da es bei den Voranmeldungen Alternativen zu ElsterOnline gibt).

Die Pflicht zur elektronischen Abgabe wird in manchen Ämtern auch mittels Zwangsgeld durchgesetzt...

PS: Wer sich so gut mit Java auskennt wie die hier diskutierenden Nutzer, dürfte mit Leichtigkeit feststellen können, wie weit Elster die gegebenen Rechte tatsächlich ausnutzt: nämlich einzig und allein zum Schreiben in die pfx-Datei. Der Bundestrojaner ist und bleibt ein Scherz des CCC zum 01.04.