Es sind die letzten Tage des Steuerjahres 2017, zumindest in der Schweiz, wo die Erklärung bis Ende September bei den Behörden eintrudeln sollte. Und während die Schweizer noch die letzten Formulare zusammentragen, sorgt eine kleine App für einen echten Skandal: Steuer 59, ein Programm, das verspricht, die Erklärung für 59 Franken (umgerechnet etwa 52 Euro) zu erledigen. Doch wer sich auf dieses Schnäppchen eingelassen hat, steht jetzt ziemlich dumm da. Denn die Steuerberatungsfirma Zürich Financial Solutions (Zufiso), die hinter dem Billigangebot steht, speicherte die Daten ihrer Kunden einfach in der Cloud. Genauer gesagt: In einem öffentlich zugänglichen, kostenlosen Konto von Amazon.
Für die etwa 80 Menschen, die mit der Steuer-App ihre Unterlagen erledigt haben, ist das ein erheblicher Eingriff in ihre Privatsphäre: Schließlich haben die Kunden in der App alle möglichen sensiblen Daten hochgeladen: Heiratsurkunden, Lohnabrechnungen, Versicherungsnachweise.
Die App ist inzwischen offline
Dass die Sicherheitslücke nun öffentlich wurde, haben die Kunden einem Sicherheitsforscher zu verdanken, der unter dem Pseudonym SecuNinja im Netz unterwegs ist. Er hielt das Amazon-Konto von Steuer 59 zuerst für einen Scherz - so offensichtlich war der Fehler, der den Schweizern unterlaufen war. Er kontaktierte die Firma Zufiso - und erhielt keine Antwort. Dann wandte er sich an das Technikportal Heise, das den Skandal bald darauf veröffentlichte. Jetzt reagierte auch das Zürcher Finanzunternehmen. Die App ist inzwischen offline, die Nutzer wurden über das Sicherheitsleck informiert.
Obgleich Steuer59 bereits erleichtert erklärt, es gebe keine Hinweise, dass das Leck von Kriminellen genutzt worden sei, dürfte der Schaden für das Finanzunternehmen erheblich sein. Denn unterdessen haben sich Sicherheitsexperten die App genauer angeschaut - was sie dort fanden, ist alles andere als beruhigend. Die in Indien entworfene App hat nicht nur die privaten Finanzdokumente ihrer User öffentlich gespeichert, sondern auch deren Passwörter und Chatverläufe so gespeichert, dass Außenstehende sie mit Leichtigkeit einsehen konnten. Ein Skandal, von dem sich der Billiganbieter wohl kaum erholen dürfte.
Für alle anderen heißt es derweil: Die Steuer zu Hause am Schreibtisch ausfüllen, ist zwar mühselig, aber am Schluss meist eine gute Idee. Und sobald die Erklärung im Briefkasten liegt, kann man die Unterlagen guten Gewissens für ein paar Monate links liegen lassen. Oder: Den guten Vorsatz befolgen und in diesem Jahr alles frühzeitig abheften.
