Es gibt keine "offiziellen ELSTER-Kooperationen"! Sonst hätte ich auch eine

Bist du sicher, dass das Zertifikat und das Passwort "hochgeladen" werden? In dem von mir verwendeten Steuerprogramm muss ich das zwar auch konfigurieren, aber das wird nirgendwohin hochgeladen, sondern einfach lokal auf meinem eigenen PC für den Elster-Versand (Signatur und Verschlüsselung) verwendet.

Wenn das aber wirklich zu so einem Anbieter hochgeladen werden soll: Tu's nicht! Dein Misstrauen ist durchaus begründet. Wer dein Zertifikat und dein Passwort hat, kann in deinem Namen beliebige Steuererklärungen abgeben, und am Ende haftest du auch noch dafür. Gaaaaaanz schlechte Idee.

Und das bei einem ganz namhaften Anbieter, der immer und überall wirbt und empfohlen wird, früher nur klassische Windows-Software, inzwischen auch online und mit "Steuer-GPT". Von derartigem Support kommen dann wohl auch die unbelegbaren Falschaussagen.

Danke für die Warnung und den Hinweis!

Das Hochladen ist optional und es werden auch andere Übermittlungswege unterstützt, heißt es nun vom Support.

Fazit: ELSTER-Zertifikat niemals, und schon gar nicht zusammen mit Passwort, irgendwo hochladen!

(Kann das mal ein Moderator nach "Kommerzielle Steuersoftware" verschieben? Danke.)

Werbung ist hier zwar verpönt, aber bei sowas muss man doch mal Namen nennen (und es ist ja auch keine Werbung, sondern Tech-Info): Falls es sich um "Wiso Steuer" handelt, bieten die zwar diverse Online-Funktionen an (was genau, weiß ich nicht mal - hab ich nie angeschaut), aber die muss man ja nicht nutzen. Wenn man seine Steuerfälle auf dem eigenen PC speichert (statt in deren "Online-Speicher" oder wie sie ihre Cloud diese Woche nennen), bleibt erst mal alles auf dem eigenen PC. Und natürlich muss man in der Software sein Elster-Zertifikat auswählen (sonst könnte die Software deine Steuererklärung ja nicht signieren und verschlüsseln für die Übermittlung) und - bei der Übermittlung - das Passwort eingeben (oder vielleicht kann man's - in der Software, nicht auf deren Server! - auch dauerhaft speichern, weiß ich jetzt nicht auswendig). Aber das ist alles legitim und bleibt auch in deinen eigenen vier Wänden.

So arbeite ich inzwischen seit rund zwanzig Jahren. Den ganzen Online-Mist tu' ich mir auch nicht an

Und bei Elster? Wo werden die Steuerfaelle etc. gespeichert? Online auf einem Server in Bayern. Ok, die Zertifikatsdatei wird i.d.R. lokal gespeichert, aber das Passwort nicht - jedenfalls nicht offiziell. Aber ich stimme zu, dass Steuerfaelle, Zertifikat und Passwort nach meinem persoenlichen Sicherheitsempfinden niemals zusammen online auf einem Server gespeichert werden sollten, denn bei einer Sicherheitsluecke beim Anbieter koennten sehr persoenliche Daten preisgegeben werden bzw. missbraucht werden. Deshalb bleibe ich bei Elster, eine KI fuer meine eigene Steuererklaerung brauche ich nicht.

Naja, wenn mein Steuerfall mal beim Finanzamt gelandet ist, gehe ich mal davon aus, dass er dort in sicheren Händen ist

Aber im Ernst: Unabhängig davon hat ja nicht mal das Finanzamt mein Zertifikat (bzw. dessen Private Key) - und mein Passwort schon gar nicht. Nachdem ich selber Elster-Software programmiere, weiß ich ja, wie das funktioniert: Die Steuersoftware übergibt dem Elster-Modul ("ERiC") den Dateinamen des Zertifikats (z.B. "C:\Users\mh\Documents\elster2022.pfx") und das Passwort, das man zum Zeitpunkt der Übermittlung "live" eintippt (das wird also nicht mal auf dem lokalen PC gespeichert). Dann verschlüsselt und signiert der ERiC intern die Steuerdaten und schickt sie ans Finanzamt. Dort können sie entschlüsselt werden, weil da der Public Key meines Zertifikats vorliegt.

Also das ist die "übliche" asymmetrische Verschlüsselung, die im Prinzip überall angewandt wird und sehr sicher ist.

Man darf halt bloß nicht seinen Private Key (=die Elster-Zertifikatsdatei) und schon gar nicht das Passwort dazu irgendwo anders hin übermitteln.