Das offizielle Forum für Anwender des Elster-Onlineportals ("Mein Elster") zum Übermitteln von Steuererklärungen und -anmeldungen wies bis vor kurzem eine Sicherheitslücke auf, die sich Angreifer zunutze machten. Die Lücke konnte kurzfristig geschlossen werden; Nutzern des Elsterforums wird eine Passwortänderung empfohlen.

In einem Hinweis auf der Startseite des Forums (forum.elster.de) informiert das Bayerische Landesamt für Steuern über den Vorfall; Forennutzer wurden zudem mindestens in einigen Fällen per E-Mail benachrichtigt. Vom Angriff betroffen waren demnach die personenbezogenen Daten, die im Nutzerprofil hinterlegt wurden – "z.B. selbstvergebener Benutzername, E-Mailadresse und ggf. Geburtsdatum, falls Sie dieses angegeben haben". Passwörter seien "verschlüsselt" hinterlegt gewesen; das Amt rät dennoch zur vorsorglichen Änderung.

Auf welche Weise die Passwörter verschlüsselt (beziehungsweise gehasht) wurden, geht aus dem Hinweis nicht hervor. heise Security hat diesbezüglich bei der Medienstelle des Landesamts für Steuern nachgefragt, jedoch noch keine Antwort erhalten.

Lesen Sie auch Gute Passwörter erzeugen und sicher verwenden

Elster-Onlinefinanzamt ausdrücklich nicht betroffen

"Dieses Forum wird unabhängig von 'ELSTER – Ihr Onlinefinanzamt' auf einem eigenen System betrieben", heißt es im Hinweis weiter. Die Sicherheitslücke habe in der verwendeten Forensoftware – nämlich vBulletin – gesteckt. "Der Angriff hat keinerlei Auswirkungen auf Ihr ELSTER-Zertifikat, Ihre Daten bei 'Mein ELSTER' und daher auch nicht auf Ihre Steuerdaten."

Die vBulletin-Versionsangabe auf forum.elster.de lautet 5.6.2. Für diese Version haben die Forensoftwareentwickler am 10. August einen Sicherheitspatch veröffentlicht, der Angriffe aus der Ferne über eine Sicherheitslücke mit der CVE-Nummer CVE-2019-16759 verhindern soll. Für die Lücke ist Proof-of-Concept-Code verfügbar, der bekanntermaßen bereits von Angreifern genutzt wurde; somit ist recht wahrscheinlich, dass auch das Elsterforum über diese Sicherheitslücke angegriffen wurde.

Über CVE-2019-16759 haben wir an anderer Stelle ausführlich berichtet:

Lesen Sie auch Forensoftware vBulletin: Neue Angriffstechnik hebelt alten Security-Patch aus

(ovw)