Schweizer App Steuern59.ch speicherte Kundendaten öffentlich in Cloud

Steuern und die dazugehörige Steuererklärung sind für die meisten eher eine Qual. Klar, man kann sich einen Steuerberater zu nutzen machen, aber der ist dann oftmals etwas teurer. Deswegen erscheinen Anwendungen, die einem die Arbeit abnehmen, wie eine tolle Alternative – und das sind sie sicher auch. Problematisch wird es allerdings, wenn so ein Programm Kundendaten in in der Cloud speichert und so ziemlich jeder Zugriff darauf hat.

Daten warteten nur darauf gestohlen zu werden

Wie würden Sie es finden, wenn Ihre persönlichen Daten, inklusive Steuererklärungen und abfotografierten Lohnabrechnungen, Heiratsurkunden und Geburtsurkunden, irgendwo gespeichert würden, wo jeder – inklusive Cybergauner – auf sie zugreifen kann? Das ist genau das, was eine Schweizer Steuerberatungsfirma getan hat.

Zurich Financial Solutions (Zufiso.ch) ist eine Firma, die ihren Kunden mit ihrer App Steuern59.ch persönlich abgestimmte Steuererklärungen verspricht. Wenn man bedenkt wie viel Zeit so eine Erklärung frisst, erscheinen 59 Schweizer Franken für so ein Angebot wie ein echtes Schäppchen. Um den Ball ins Rollen zu bringen, müssen die Nutzer lediglich Bilder verschiedener persönlicher Dokumente via App hochladen.

Eigentlich ist das nichts Außergewöhnliches. Es gibt jede Menge Anwendungen, mit denen man genau das gleiche macht. Die Sache hat nur einen Haken: Ein Sicherheitsforscher, der sich selbst SecuNinja nennt, hat herausgefunden, dass all diese Daten – egal wie vertraulich sie auch sein mochten – in einem öffentlich zugänglichen Amazon Cloud Bucket gespeichert wurden.

Was alles dabei war? Neben den genannten Kundendaten, gab es auch Chat-Verläufe bezüglich der Steuererklärungen (natürlich im Klartext), Zugangsdaten der App-Nutzer samt Passwörtern (richtig geraten: auch im Klartext), Adminpasswörter und Entwürfe rund um die App. Dabei fand SecuNinja auch heraus, dass diese wohl von einem Studio im Norden Indiens stammt.

App-Entwickler eher uneinsichtig

SecuNinja kontaktierte Steuern59.ch umgehend – und erhielt erst einmal gar keine Antwort. Auch GovCERT.ch, die er auch involvierte, wurden von der schweizer Firma ignoriert. Erst als Heise.de eingeschaltet wurde reagierte Steuern59.ch. Man habe das ganze wohl zuerst für einen Scherz des Sicherheitsforschers gehalten.

Während die Lücke mittlerweile geschlossen ist, wollte der Steuerdienstleister laut Heise.de nicht einsehen, warum man die Kunden überhaupt davon in Kenntnis setzen sollte. Dies ist mittlerweile allerdings geschehen. Es befindet zudem eine Stellungsname auf der Seite der Firma.

Dieser Artikel ist auch verfügbar in: Englisch

PR & Social Media Manager @ Avira |Gamer. Geek. Tech addict.