ELSTER Plus Partner PKS

0.

Dass mit Beginn dieses Jahres die Kommunikation mit dem Finanzamt nur noch über den Computer, nur noch unter Einsatz eines JAVA-Plugins und nur noch unter aufwändigen Sicherheitsvoraussetzungen möglich ist, sollte sich inzwischen herumgesprochen haben. [1]

Diese Sicherheitsleistungen können entweder durch ein Software-Zertifikat oder einen Sicherheitsstick oder eine Signaturkarte erbracht werden.

1.

Am 8. November 2004 wurde erstmals am Vertriebspunkt der Deutschen Telekom in Berlin-Tegel ein T-TeleSec Signet Sicherheitspaket mit Lesegerät und einer für 3 Jahre gültigen Chipkarte erworben - und auch genutzt.

Nach Ablauf der Gültigkeit gab es keine Möglichkeit einer Verlängerung. Vielmehr hätte die gesamte Prozedur der Beantragung und Anmeldungen und Zertifizierung wiederholt werden müssen.

Dies unterblieb und es wurden andere Wege gesucht und Möglichkeiten gefunden, die sicherheitsrelevanten Dienste auch ohne ein Trust-Center-Zertifikat nutzen zu können.

2.

Im Dezember letzten Jahres wurde ein erneuter Versuch unternommen, das ganze Verfahren nochmals aufzurollen. Es stellte sich aber im Verlauf des mit der Hotline moderierten Anmeldungsprozesses heraus, dass das Angebot einer Gültigkeit auf 5 Jahre zwar angekündigt wurde, aber online nicht umsetzbar war.

Freundlicherweise wurde angeboten, per Mail darüber informiert zu werden, wann zu Beginn dieses Jahres dieses Angebot erneut zur Verfügung stünde.

3.

Nach dem Eintreffen derselben (siehe unten) wurde am Samstag, den 19. Januar 2013, ein erneuter Versuch unternommen - mit dem Ergebnis, dass nach wie vor die Karte nur mit einer Laufzeit von maximal 2 Jahren beantragt werden kann:

all rights reserved

Das 2-Jahre-Kästchen ist als Default-Wert aktiviert, die Felder für 3 und 5 Jahre sind grau hinterlegt und können nicht aktiviert werden.

4.

Erster Kommentar:

Was bedeutet das: Dass irgendwo immer mal "der Wurm drin sein" kann, ist in jeder Softwarebranche bekannt und kann bei jeder Software-Anwendung auch schon mal passieren.

Aber hier geht es um das Thema Sicherheit: Und wenn es nicht einmal gelingt, eine ausdrücklich und per Mail individuell angekündigte Leistung dann auch abrufen und zum Einsatz bringen zu können, dann macht das die Anwendung insgesamt unglaubwürdig - ebenso wie den Hersteller, den Vertrieb und den Support.

5.

Was tun?

Wir werden uns also dem Angebot der ElsterOnline-Verantwortlichen anschliessen und zunächst ELSTER-Basis Softwarezertifikat beantragen.

Dieser Prozess konnte zumindest bis zur folgenden Mail-Rück-Sendung und nachfolgenden Sendebestätigung der Registrierungsdaten [2] abgeschlossen werden.

 [3]

6.

Und wir werden das Angebot auf der T-Systems-Seite https://www.telesec.de/pks/auftrag.html nochmals prüfen.

Und das ist gut so: Es stellt sich nämlich heraus, dass die sogenannte PKS-CLASSIC-Signaturkarte tatsächlich nur mit einer Gültigkeit von 2 Jahren ausgestellt werden kann - und dass es für die Ausstellung einer Karte mit einer Laufzeit von bis zu 5 Jahren eines anderen Auftrags bedarf: den für eine PKS-ECC-Signaturkarte.

Das Ganze ist mit dem Pop-up-Fenster-Text versehen, der u.a. so lautet:
"Bitte beachten Sie, dass es sich hierbei um ein völlig neu entwickeltes Produkt handelt. [...] Falls Sie ihre Signaturkarte im Bereich der Abfallwirtschaft oder für die elektronische Steuererklärung mittels ELSTER nutzen so bestellen Sie bitte die PKS-CLASSIC-Signaturkarte. In diesem Bereich wird die PKS-ECC-Signaturkarte noch nicht unterstützt."

Also wieder nichts?

ZumThema Publik Key Service gibt es eine Seite mit 33 Antworten zu den Häufig gestellten Fragen, den sogenannten "FAQ"s.

Auf der letzten dieser Antworten ist dann u.a. zu lesen:

Bei der PKS-ECC-Signaturkarte handelt es sich um ein neu entwickeltes Produkt um den sogenannten "Stand der Technik" einzuhalten. Der "Stand der Technik" für Signaturkarten wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesnetzagentur im Algorithmenkatalog festgelegt. Dort wurde festgelegt, daß der Kartentyp den wir bisher für die qualifizierte Signatur genutzt haben (PKS-CLASSIC-Signaturkarte) nur noch bis zum 31.12.2015 dafür zugelassen ist. Die neue PKS-ECC-Signaturkarte nutzt eine neuere Technologie zur Signaturerstellung (ähnlich der, die auch der Personalausweis verwendet). Neben dieser Anpassung enthält die neue Signaturkarte aber auch geänderte Funktionen. Beispielsweise können sie die neue PKS-ECC-Signaturkarte auch zur kontaktlosen Erstellung einer qualifizierten Signatur verwenden. Wenn Sie viele Signaturen erstellen müssen so wird Sie besonders interessieren das die neue PKS-ECC-Multisignaturkarte, nach Durchführung der PIN-Prüfung, bis zu 10 mal so viele Signaturen in der gleichen Zeit erstellt wie die PKS-CLASSIC-Signaturkarte. Bedingt durch die neue Technologie der Signaturerstellung ist bei Ihnen auf jeden Fall ein Update der Signatursoftware erforderlich. Die Hersteller von Signatursoftware wurden bereits Mitte 2012 über den neuen Kartentyp informiert und haben ihre Signatursoftware inzwischen angepasst. Trotzdem kann es noch zu Inkompatibilitäten mit der PKS-ECC-Signaturkarte kommen. So wissen wir beispielsweise, daß die neue Signaturkarte noch nicht für die Erstellung von Abfallbegleitscheinen oder die elektronische Steuererklärung mit ELSTER genutzt werden kann. Wenn Sie in diesem Bereich arbeiten bestellen Sie bitte noch die PKS-CLASSIC-Signaturkarte.

7.

Zweiter Kommentar:

Dieser letzte Satz ist das Letzte.

Dabei ist - formal gesehen - niemandem ein Vorwurf zu machen. Der Anbieter hat zeitnah am 16.01.2013, 13:24 zutreffend formuliert:

Sehr geehrter Herr Siegert,
Sie können nun PKS-Signaturkarten (ECC) mit einer Gültigkeit von 3 oder 5 Jahren neu beauftragen.

und dieser Information die Zeile hinzugefügt:

"Beachten Sie die aktuellen Hinweise."

Damit ist der Mitarbeiter aus dem Schneider, der Mohr hat seine Schuldigkeit getan.
Und das im Rahmen seiner bezahlten Dienstzeit.

Angeschwärzt sind - einmal mehr - WIR: die Kunden.
Und zwar am Wochenende, einem Zeitraum, den man lieber mit dem Begriff der Freizeit in Verbindung gebracht hätte...

WS.

[1Diese Nachricht wird auch nicht durch den Umstand wertlos, dass in diesem Jahr 2013 noch eine Übergangszeit bis zum 31. August 2013 für eine nicht authentizifierte Abgabe eingeräumt worden ist.

[2Vielen Dank für Ihre Registrierung bei ElsterOnline! Ihre Angaben wurden erfolgreich an ElsterOnline übermittelt.
Sie erhalten umgehend eine E-Mail mit Ihrer persönlichen Aktivierungs-ID und aus Sicherheitsgründen getrennt auf dem Postweg den Aktivierungs-Code. Nach Erhalt Ihrer Aktivierungsdaten können Sie den nächsten Schritt des Registrierungsprozesses durchführen.

[3Dazu sind die folgenden Schritte - und zwar von jeder Steuerbürgerin und von jedem Steuerbürger auszuführen:

Schritt 1: Persönliche Daten

Ihre Registrierung für ELSTER-Basis erfolgt sicherheitstechnisch in zwei Schritten. Bitte führen Sie die Schritte nacheinander aus. Nach erfolgreicher Abarbeitung aller Schritte stehen Ihnen der Zugang (Login) zum ElsterOnline-Portal und die Nutzung der personalisierten Dienste zur Verfügung.

Im ersten Schritt geben Sie zunächst Ihre Registrierungsdaten ein. Dazu gehören z. B. Name, Steuernummer und E-Mail Adresse. Da Ihre persönliche Postanschrift oder die Postanschrift der Organisation (z. B. Firma, Gesellschaft, Verein, Institution), in deren Auftrag Sie sich anmelden, bei der Finanzverwaltung unter der angegebenen Steuernummer vorliegt, besteht sicherheitstechnisch für die Finanzverwaltung die Möglichkeit einer zweifelsfreien Feststellung, dass die Daten wirklich von Ihnen oder von einem Bevollmächtigten der Organisation, in deren Auftrag Sie sich anmelden, elektronisch eingegeben wurden und zu Ihnen oder der von Ihnen vertretenen Organisation gehören. Zum Nachweis Ihrer Identität gegenüber dem Finanzamt erhalten Sie nach der Eingabe getrennt per E-Mail und auf dem Postweg individuelle Aktivierungsdaten für Ihren zukünftigen Zugang zum ElsterOnline-Portal zugestellt. Würde ein Unberechtigter Ihre Registrierungsdaten eingeben, so würde er nicht die vollständigen Aktivierungsdaten erhalten. Damit wird ausgeschlossen, dass eine unberechtigte Person einen Zugang in Ihrem Namen oder im Namen der von Ihnen vertretenen Organisation erzeugen kann.

- Registrierungsdaten und Sicherheitsabfrage: Plausibilitätscheck:
Tragen Sie in die vorgegebenen Felder Ihre Registrierungsdaten ein. Nach erfolgreicher Registrierung können Sie sich über das auf der Homepage enthaltene Login mit Ihrem im folgenden Schritt ("Schritt 2: Aktivierung und Zertifikat erzeugen") zu erwerbenden Software-Zertifikat anmelden. Wenn Sie Ihre Registrierungsdaten vollständig eingegeben haben, werden Ihre Eingaben anschließend formal auf Plausibilität geprüft. Nicht korrekte Formate in Ihren Eingaben müssen korrigiert werden. Zum Beispiel wird geprüft, ob Ihre Steuernummer im korrekten Format vorliegt. Erst wenn alle Eingaben plausibel sind, können Sie diese zur weiteren Verarbeitung durch das ElsterOnline-Portal absenden.
Bei der Eingabe Ihrer persönlichen Daten müssen Sie am Ende auch eine Sicherheitsabfrage aus vorgegebenen Fragestellungen auswählen und beantworten. Die Sicherheitsabfrage dient Ihnen später dazu, Ihren Zugang zum ElsterOnline-Portal zu sperren und Ihr ELSTER-Zertifikat zu widerrufen. Nur Sie und das ElsterOnline-Portal wissen, welche Frage und welche Antwort die Sperrung Ihres Zugangs ermöglicht.

- Anzeige Registrierungsdaten: Empfangsbestätigung:
_ Da Ihnen ein Teil der Aktivierungsdaten per E-Mail zugestellt wird, muss sichergestellt sein, dass Ihre E-Mail-Adresse korrekt ist. Wenn Sie Ihre Registrierungsdaten an das ElsterOnline-Portal abgesendet haben, erhalten Sie daher an die von Ihnen eingegebene E-Mail-Adresse in Kürze eine E-Mail, deren Erhalt Sie elektronisch bestätigen müssen. Führen Sie dafür bitte die Anweisungen in der E-Mail aus. Sie erhalten dann umgehend eine weitere E-Mail mit Ihrer persönlichen Aktivierungs-ID und aus Sicherheitsgründen getrennt auf dem Postweg einen zugehörigen Aktivierungs-Code. Anschließend können Sie mit Schritt 2 ("Schritt 2: Aktivierung und Zertifikat erzeugen") des Registrierungsprozesses fortfahren.

Schritt 2: Aktivierung und erstmaliges Login

Sie haben Schritt 1 ("Registrierungsdaten") bereits durchgeführt und einen Brief und eine E-Mail mit den Aktivierungsdaten Ihres Zugangs der Finanzverwaltung erhalten. In diesem Schritt aktivieren Sie mit diesen Daten Ihren Zugang. Die Aktivierungsdaten bestehen aus einer Aktivierungs-ID (in der E-Mail enthalten) und einem Aktivierungs-Code (in dem Brief enthalten). Nur über beide Informationen kann Ihr Zugang sicherheitstechnisch aktiviert werden. Sie erhalten hier nach der Aktivierung einen durch ein eigenes persönliches Kennwort (PIN) geschütztes Software-Zertifikat, mit dem Sie zukünftig Ihr Login durchführen können.

- Aktivierung I - Aktivierungsdaten:
Bitte geben Sie Ihre Aktivierungs-ID, die Sie per E-Mail erhalten haben und Ihren 12-stelligen Aktivierungs-Code, den Sie auf dem Postweg erhalten haben, zur Aktivierung Ihrer Zugangsmöglichkeit ein. Im nächsten Schritt wird Ihnen angezeigt, dass Ihr Zugang automatisch aktiviert wird. Ihre Registrierungsdaten konnten Ihnen oder der von Ihnen vertretenen Organisation zweifelsfrei von der Finanzverwaltung zugeordnet werden und sind nun im ElsterOnline-Portal aufgenommen. Die Aktivierungsdaten müssen Sie nur einmal für die Aktivierung Ihres Zugangs am ElsterOnline-Portal eingeben.

- Aktivierung II - Persönlichen Schlüssel speichern:
— Persönliche Sicherheitsumgebung
Sie sind durch die Eingabe Ihrer Registrierungsdaten im ElsterOnline-Portal aufgenommen und zweifelsfrei von der Finanzverwaltung identifiziert. In diesem Schritt wird nun ein Software-Zertifikat automatisch auf Ihrem Computer erzeugt und von Ihnen gespeichert. Sollte dafür eine Datei gleichen Namens bereits existieren, wird diese überschrieben. Sie können Pfad und Dateinamen ändern. Die Dateiendung ".pfx" müssen Sie beibehalten. Der Zugriff auf den in der Datei enthaltenen privaten Schlüssel wird durch eine PIN geschützt, die Sie selbst festlegen müssen. Aus Sicherheitsgründen ist die Eingabe des 12-stelligen Aktivierungs-Codes aus dem von der Finanzverwaltung erhaltenen Brief noch einmal erforderlich.
— Zertifizierung
Nachdem im ersten Schritt der Registrierung Ihre Identität oder die der Organisation, die Sie vertreten, geprüft wurde, benötigen Sie nun noch einen Ausweis, um Ihre Identität oder die der Organisation, die Sie vertreten, zukünftig ohne großen Aufwand zweifelsfrei nachweisen zu können. Dieser Ausweis wird in diesem Schritt der Registrierung in Form eines Software-Zertifikats erzeugt und anschließend in einem separaten Vorgang beglaubigt. Bei der Registrierung für ELSTER-Basis wird das Software-Zertifikat auf der Festplatte Ihres Computers abgelegt. Das Software-Zertifikat enthält zwei Schlüsselpaare, die jeweils aus einem privaten und einem öffentlichen Schlüssel bestehen. Die privaten Schlüssel werden nach ihrer Erstellung nicht mehr verändert und verbleiben auf der Festplatte Ihres Computers. Die in diesem Schritt erzeugten öffentlichen Schlüssel hingegen sind nur vorläufig und müssen noch beglaubigt werden. Die Beglaubigung erfolgt, indem das ElsterOnline-Trustcenter die öffentlichen Schlüssel zertifiziert. Bei der Zertifizierung handelt es sich um einen Hochsicherheitsprozess, der einige Minuten in Anspruch nehmen kann. Nach Abschluss der Zertifizierung steht Ihnen Ihr Zugang zu ElsterOnline zur Verfügung.

Login mit Software-Zertifikat

Sie möchten Ihren persönlichen Zugang zum ElsterOnline-Portal nutzen. Damit nur Sie die personalisierten Dienste benutzen können, müssen Sie Ihren Zugang zum Portal mit Ihrem Software-Zertifikat authentifizieren, den Sie im Rahmen Ihrer Registrierung im Anwenderpaket ELSTER-Basis erworben haben. Geben Sie zur Authentifizierung den korrekten Pfad und Dateinamen der pfx-Datei mit Ihrem Software-Zertifikat sowie die zugehörige PIN ein. Sobald Sie auf den Button "Login" klicken, wird die Anmeldung automatisch durchgeführt.
Falls Sie mehrere persönliche Zugänge zum ElsterOnline-Portal erworben haben, achten Sie darauf, die korrekte pfx-Datei auszuwählen.