Mir ist vor Kurzem aufgefallen, dass Smartsteuer keine Zwei-Faktor-Authentisierung hat. Warum ist das ein Problem? Sämtliche Steuererklärungen werden im Account gespeichert. Hier geht es natürlich um etliche personenbezogene Daten (Name, Adresse, Religionszugehörigkeit, Familie, Arbeitgeber, massiv viele finanzielle Details und viel mehr).
Folgende Mail habe ich deshalb an [email protected] gesendet (Hier ohne Anrede und Grußformel):
Ich habe gesehen dass Smartsteuer scheinbar keine Zwei-Faktor-Authentisierung anbietet. Das wäre aber sehr wichtig. Ich meine, es werden doch massiv viele persönliche Daten gespeichert.
Ist schon ziemlich komisch dass es die Seite https://www.smartsteuer.de/online/smartsteuer-sicherheit/ gibt, aber keine Zwei-Faktor-Authentisierung.
Und bei den auf dieser Seite gelisteten Passwortregeln fehlt sogar eine der wichtigsten: Passwörter nicht mehrfach verwenden. Und genau diese Regel wird Smartsteuer-Kunden zum Verhängnis. Wenn sie ihr Passwort mehrfach verwenden, können sich Unbefugte nach einem Datenleak einer anderen Seite leicht Zugang zu deren Account verschaffen. Und sämtliche Daten aus vorherigen Steuererklärungen auslesen.
Man hat mein Anliegen an das entsprechende Team weitergegeben.