Aktuell sind möglicherweise einige Leute auf den Webseiten der deutschen Finanzämter und beim Elster-Portal unterwegs. Denn die Frist zur Abgabe der Steuererklärung läuft in wenigen Tagen ab. Wenn der aufmerksame Bürger dann auf den Portalen surft und sich bestimmter Links bedient, kann er gar wundersames erleben. Patrick hat mich per Mail auf die "Besonderheiten" des deutschen Steuerrechts, pardon, der deutschen Steuerseiten der Finanzämter, hingewiesen (danke dafür). Ist zwar nur ein "Fliegenschiss", im Vergleich zu dem, was mancher an Steuer zahlen darf. Aber ein schönes Beispiel, was bei der Digitalisierung schief läuft.
Anzeige
Von Elster per http zum Finanzamt
Patrick hat, wie andere Bürger auch, wohl die Elster-Webseite der Finanzämter im Browser aufgerufen, um dort seine Steuererklärung einzureichen. Patrick gehört aber zu den Leuten, die sich die Datenschutzhinweisen auf der betreffenden Seite genauer ansehen.
Der Link Datenschutz befindet sich am unteren Ende der Elster-Portalseite www.elster.de, so wie in obigem Screenshot abgebildet. Klickt man nun auf den Link Datenschutz öffnet sich ein Popup-Fenster mit reichlich Text zum Thema. Es ist eine Seite, die mit "Hilfe" überschrieben und auf dem Stand April 2023 ist.
Im Text der Seite zum Datenschutz wird auch ausgeführt, dass sich die entsprechenden Kontaktdaten für die Landesfinanzbehörden unter www.finanzamt.de finden. So weit, so gut. Wer sich dann die betreffenden Daten von der angegebenen Seite holen möchte, erlebt ein kleines Wunder. Ich habe den Link im Ungoogled Chromium-Clone angesehen und bekomme beim Zeigen auf den Link in der Fußzeile des Browserfensters angezeigt, dass diese Zielseite per http aufgerufen wird. Der Firefox blendet dagegen nur die Ziel-URL in der Fußzeile ein – die Entwickler haben alle störenden Informationen für den Nutzer weg rationalisiert.
Dachte erst, es sei ein Fehler im HTML-Code der Webseite und jemand habe das https mit http verwechselt (passiert mir auch schon mal). Bei http wird die Verbindung ja zur Webseite unverschlüsselt aufgebaut. Wer nun aber die Website www.finanzamt.de aufruft, erlebt sein spezielles Wunder, denn es erscheint berechtigt eine
Sicherheitswarnung und es heißt:
Nur-HTTPS-Modus-Warnung
Sichere Website nicht verfügbar
Sie haben den Nur-HTTPS-Modus für erhöhte Sicherheit aktiviert und es ist keine HTTPS-Version von www.finanzamt.de verfügbar.
Weitere Informationen…
Was könnte die Ursache sein?
- Höchstwahrscheinlich unterstützt die Website HTTPS einfach nicht.
- Es ist auch möglich, dass ein Angreifer beteiligt ist. Falls Sie sich dafür entscheiden, die Website aufzurufen, sollten Sie nicht sensible Informationen wie Passwörter, E-Mail-Adressen oder Kreditkartendaten in diese eingeben.
Wenn Sie fortfahren, wird der Nur-HTTPS-Modus für diese Website vorübergehend deaktiviert.
Die Ursache ist recht einfach – die Zielseite besitzt kein SSL-Zertifikat und triggert so die betreffende Browser-Warnung. Nur wer die Schaltfläche Weiter zur HTTP-Website anwählt, gelangt zur Zielseite von finanzamt.de und wird dann automatisch zur Seite des Bundeszentralamts für Steuern (BZST) und zum Behördenwegweiser weitergeleitet. Patrick hatte einen englischsprachigen Firefox zum Aufruf benutzt und schrieb, dass er folgende Warnung erhalten habe:
Anzeige
"Warning: Potential Security Risk Ahead
Firefox detected a potential security threat and did not continue to
www.finanzamt.de. If you visit this site, attackers could try to steal
information like your passwords, emails, or credit card details.
What can you do about it?
The issue is most likely with the website, and there is nothing you can
do to resolve it. You can notify the website's administrator about the
problem."(Advanced: "Websites prove their identity via certificates. Firefox does
not trust this site because it uses a certificate that is not valid for
www.finanzamt.de. The certificate is only valid for the following names:
steuerliches-info-center.de, www.steuerliches-info-center.de
Error code: SSL_ERROR_BAD_CERT_DOMAIN")
Er schrieb mir ebenfalls, dass der Link bei www.elster.de unter Datenschutz ohne https angegeben sei und der Browser teilweise auch nur eine Warnung
anzeigt, dass die Seite nicht via https erreichbar ist. Der Hintergrund ist irgendwie klar: Es gibt unter der Ziel-URL www.finanzamt.de keine Website (mehr),
sondern nur eine Weiterleitung zur Site www.bzst.de (Bundeszentralamt für Steuern). Diese Zielseite kann der Anwender aber, wegen der Sicherheitswarnung im Browser, nur erreichen, wenn er die Sicherheitswarnung ignoriert.
Für Nutzer mit Kenntnissen der Hintergründe ist der Sachverhalt klar, aber der normale Steuerpflichtige, der die Zusammenhänge nicht kennt, wird in diesem Fall gezwungen, eine deutliche Warnung des Browsers zu ignorieren. Warum nicht direkt die Webseite des Bundeszentralamt für Steuern per https verlinkt wird, wird nur der Ersteller der Webseite wissen.
Patrick merkte in seiner E-Mail an mich an: Nachdem hier in der Region bereits 2 Landkreise wegen eines direkten Angriffs und eines Malware-Befalls teilweise für über eine Woche ihren gesamten Betrieb einstellen mussten, müssten solch grundsätzliche Konfigurationsfehler gerade beim zentralen Portal der Finanzämter www.elster.de durch das IT-Management ausgeschlossen werden können. Dem ist nichts hinzuzufügen. Er hat daher den Vorgang vor einigen Tagen auch an das BSI gemeldet und hofft auf eine Antwort. Die Mail von Patrick ist schon einige Tage alt, die Verlinkung wurde noch nicht angepasst – vermutlich kreist der Vorgang noch und jemand überlegt, wo er fündig werden könnte.
2015
Noch interessanter wird es, wenn man https://www.finanzamt.de aufruft und sich dann nach der Zertifikatswarnung (SSL_ERROR_BAD_CERT_DOMAIN) das Zertifikat anzeigen lässt:
Inhabername
Organisation Informationstechnikzentrum Bund (ITZBund)
Allgemeiner Name steuerliches-info-center.de
Ausstellername
Organisation Verein zur Foerderung eines Deutschen Forschungsnetzes e. V.
Alternative Inhaberbezeichnungen
DNS-Name steuerliches-info-center.de
DNS-Name http://www.steuerliches-info-center.de
Hallo
kann ich hier nicht nachvollziehen. Chrome zeigt einwandfreie https Seiten an.
Liegt Wohl eher am Firefox Bastelkasten
so long
yumper
Hab es sowohl im Ungoogled als auch im Firefox nachvollzogen – wenn https erzwingen als Default-Option eingestellt ist, kommt die Warnung.
Es liegt keinesfalls am „Bastelkasten", denn auch Chrome und Opera zeigen mir die Warnung an.
Bei der Anzeige von "einwandfreien HTTPS-Seiten" lohnt sich der genaue Blick auf die Adresse im Browser. Die dürfte
"https://www.bzst.de/DE/Service/Behoerdenwegweiser/FinanzverwaltungLaender/finanzverwaltunglaender_node.html"
lauten.
Die Domain "www.finanzamt.de" wird nur als Weiterleitung verwendet, was die unübersichtliche Programmierung weiter kompliziert und Angreifern die Arbeit vereinfacht.
Im Supermium (Chromium für Win7) wird in der Adresszeile links neben dem https die Warnung "Nicht sicher" angezeigt.
Klickt man darauf, dann erscheint die Fehlerursache "Zertifikat ist ungültig".
Klickt man wiederum auf dieses "Zertifikat ist ungültig", dann erscheint:
Allgemeiner Name (CN): "Steuerliches.info-center.de"
Organisation (O): Informationstechnikzentrum Bund (ITZBund)
Organisationseinheit (OU): Gehört nicht zum Zertifikat
—
Die Seite www[.]finanzamt[.]de und das Zertifikat passen nicht zusammen.
Wenn man die Browser-Warnung ignoriert und auf "Weiter zur unsicheren Webseite" klickt, dann wird man zu dieser Seite umgeleitet:
www[.]bzst[.]de/DE/Service/Behoerdenwegweiser/FinanzverwaltungLaender/finanzverwaltunglaender_node.html
(Diese Seite zeigt der Browser als sicher an, https).
Komisch, im Firefox und Edge immer https.
Unterschiedliche Ergebnisse liegen vermutlich an unterschiedlichen Einstellungen in den jeweiligen Browsern bzgl. Upgrade-Insecure-Requests Header in der Anfrage an den Server.
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Upgrade-Insecure-Requests
unter https://www.finanzamt.de liegt einfach ein Zertifikat, welches nicht auf diese Domain ausgestellt ist.
Vor derartigen "Konstrukten" sollte heutzutage jeder Browser warnen – es sei denn, er ist falsch eingestellt oder schon gehijackt.
Jedenfalls liegt es nicht an "Bastelkram", auch Safarie/OSX meckert. Zu Recht.
Ganz toll:
Ich versuche jetzt schon seit 2 Stunden, meine Steuererklärung in MeinElster (bzw. im Elsterportal) abzugeben.
Alle Daten sind bereits eingegeben und geprüft, ich wollte/muss mich nur nochmal nach dem Standard-Timeout (30min.) per Zertifikatsdatei neu einloggen, um alles final abzusenden… aber es liegt anscheinend Deutschlandweit eine Störung vor:
https://www.netzwelt.de/ist-down/361-elster.html#aktuelle-probleme
Das Einloggen geht gar nicht, dauert ewig (vergeblich) oder es erscheint folgende Seite: https://download.elster.de/wartung/wartung.html
Und das nur 1 Tag vor der Abgabefrist !!
(Hat das was mit dem Inhalt des Posts zu tun ?)
hat nichts mit dem Post zu tun. Ist imho eine Session Überlastung, hab heute auch von anderen gehört, dass Session beendet werden
Seit 21 Uhr geht der Zugriff wieder, konnte meine Steuererklärung endlich absenden. Die haben Dutschlandweit viele Leute 6 Stunden lang auf die Folter gespannt, die es wie ich am letzten Wochenende vor der Abgabefrist erledigen wollten…
Sorry fürs Offtopic…
Ich habe dann mal was dazu geschrieben: Elster-Portal zum 1. Oktober 2023 überlastet?.
Manchmal hat man halt kein Glück und dann kommt Pech hinzu – aber ich kann dafür nix. Und sieh es mal positiv: Lotto-Annahmestelle ausgefallen und sechs Richtige auf dem nicht abgegebenen Tippschein – wäre doch viel schlimmer.
https://www.ssllabs.com/ssltest/analyze.html?d=www.finanzamt.de
= "Certificate name mismatch"
Das ist im 21. Jahrhundert tatsächlich peinlich.. bin zwar nicht für die Seite finanzamt.de zuständig, arbeite aber für den Hoster und habe das Ganze via Incident an die zuständige Fachabteilung weitergegeben. Mal sehen, ob sich was tut..