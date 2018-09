Steuer-App Steuer59.ch hatte Daten öffentlich in der Cloud von AWS

Zufiso nimmt Stellung

Das kleine Treuhandbüro Zürich Financial Services (Zufiso) aus Alstetten ermöglicht per App auf dem Smartphone die Steuererklärung auszufüllen. Für diese innovative Anwendung hat die vierköpfige Zufiso auf AWS als Speicherort gesetzt. Allerdings hat man dabei offensichtlich noch bis vor kurzem die Datensicherheit sträflich vernachlässigt. Denn wie 'Heise' berichtet, lagen alle in der App erhobenen Daten sowie abfotografierte Dokumente beim Cloud-Anbieter Amazon Web Services (AWS) und waren in einem sogenannten AWS Bucket für jeden, der ein kostenloses AWS-Konto besitzt, frei einsehbar. Darunter unter anderem die Steuererklärungen und Steuerbescheide, sowie alle abfotografierten Belege wie Lohnabrechnungen, Versicherungsnachweise.Gefunden habe diesen AWS Bucket – sie geben bekanntlich immer wieder zu reden – ein Sicherheitsforscher, der unter dem Pseudonym SecuNinja Nachforschungen anstellt und dann bei den Firmen die gefundenen Schwachstellen meldet.Das Problem, Zufiso reagierte nicht auf seine Kontaktaufnahme. Bewegung sei erst in die Sache gekommen als 'Heise' seine Berichterstattung ankündigte. Wobei SecuNinja nicht nur diese Daten vorgefunden hat, sondern auch per bcrypt gesicherte Passwörter der Admins, wie es weiter heisst. Eine Datenbank mit den Zugangsdaten der App-Nutzer enthielt deren Passwörter sogar im Klartext, zudem enthielt der AWS Bucket die Chat-Verläufe der Kunden, in denen diese zum Teil ihre Steuererklärung mit dem Dienstleister besprechen. Auch diese Protokolle seien im Klartext gespeichert gespeichert gewesen. Abgesehen von solchen Betriebsdaten der App fand SecuNinja auch noch haufenweise abfotografierte App-Entwürfe, Zeichnungen und Fotos der Entwickler in ihrem Studio im Norden Indiens.'Heise' nennt zwar auch andere Beispiele von öffentlich zugänglichen AWS Buckets, doch handle es sich dabei oft um Anfängerfehler. "In Zusammenhang mit einem fertigen Produkt wie bei Steuern59.ch kann man allerdings mit Fug und Recht von Schlamperei sprechen". Zumal die Daten mit einem frei im Netz erhältlichen Tool, welches automatisch die Amazon Cloud nach eben solchen verwundbaren Buckets durchsucht, auffindbar waren.Auf Anfrage von inside-it.ch versicherte uns der Zufiso-Geschäftsführer Haci Bozca, das inzwischen alle Lücken gestopft seien: Die Probleme seien behoben. Betroffen waren Daten von rund 80 Nutzern, fügt er an. Dass er die Berichterstattung in der Presse provoziert habe, weil er nicht auf die Anfrage von SecuNinja reagiert habe, bestreitet er. Vielmehr habe man erst die Seriosität des Sicherheitsexperten abzuklären gehabt, was einige Zeit in Anspruch genommen habe.Auch dass er inzwischen mit der Aussage zitiert werde, es habe sich um einen "Prototypen" gehandelt, sei nur ein Streit um Begrifflichkeiten. Er habe das Wort im Sinne von "erste Version" benutzt, die aufgrund der gemachten Erfahrungen natürlich weiterentwickelt und verbessert werde.Gleichwohl gesteht Bozca eine gewisse Blauäugigkeit bei der Entwicklung der App ein. Als Buchhalter habe er wohl zu wenig technisches Verständnis mitgebracht und sich zu sehr auf die konzeptionelle Arbeit fokussiert. Das sei auch der Grund, warum man sich einfach auf die Kompetenz des Entwicklerpartners in der Ukraine verlassen habe. Wie Konzeptdaten nach Indien gelangen konnten, weiss er nicht. Möglicherweise hätte der ukrainische Partner mit indischen Entwicklern zusammengearbeitet.Bozca ist die Enttäuschung über die derart in die öffentliche Kritik geratene App anzuhören. Ob und wie es nun weitergehen wird mit der App, vermag Bozca noch nicht zu sagen. Wenn an Steuern59.ch festgehalten werde, werde die App jedenfalls mit Partnern in der Schweiz neu aufgegleist, so der Zufiso-Chef. (vri)