Themenbereiche

Montag, 26. August 2013

ElsterOnlinePortal - mit JavaScript (ohne Java)

Allgemeines zur Verwendung von JAVA  und JavaScript im ElsterOnline-Portal:

Beim ElsterOnline-Portal handelt es sich um eine geprüfte Webanwendung, sie ist daher sicher. Das ElsterOnline-Portal wird ständig dezidierten eigenen Tests und regelmäßigen Sicherheitsüberprüfungen durch externe Auditoren unterzogen und trägt das ISO-27001-Zertifikat.

Trotz der Sicherheitslücken in JAVA hauptsächlich zu Beginn des Jahres bestand für Nutzer der sicheren ElsterOnline-Seiten keine Gefahr, gefährdet waren nur Besucher sogenannter unsicherer Webseiten.

Trotz der Sicherheit musste aufgrund der Probleme der Nutzer im Umgang mit JAVA bzw dem JavaPlugin eine Alternative gefunden werden. Diese besteht im JavaScript. JavaScript hat trotz des ähnlichen Namens nichts mit JAVA zu tun.

Es handelt sich um eine Scriptsprache, die in den jeweilige Browser integriert ist. Es brauchen also keine Plugins installiert werden. Hinter JavaScript steht auch nicht nur ein Hersteller, wie das bei JAVA der Fall ist, sondern ein Standardisierungsgremium, JavaScript entspricht dem ISO-Standard ISO/IEC 16262.

JavaScript galt bis Ende 2012 als potentiell unsicherer als JAVA. Durch eine „Content Security Policy[1]“ konnte ein höheres Sicherheitsniveau als bisher erreicht werden. Content Security Policy (CSP) ist ein Sicherheitskonzept, um Cross-Site-Scripting und andere Angriffe durch Einschleusen von Daten in Webseiten zu verhindern (Quelle: Wikipedia).


Die Sicherheit der Nutzung von JavaScript im ElsterOnline-Portal wird erreicht mit JavaScript-Bibliotheken für im ElsterOnline-Portal benötigte Sicherheitsfunktionen, Nutzung der Content Security Policy und Sicherheitsalgorythmen auf Basis der Stanford JavaScript Crypto Library vom Stanford Computer Security Lab. Ausschlaggebend ist auch die Begleitung und Prüfung durch das Fraunhofer Institut. 

Aufgrund der erfolgreichen Prüfung der JavaScript-Sicherheit im ElsterOnline-Portal wird das Logo vom Fraunhofer AISEC in die Fußzeile von ElsterOnline- und BZStOnline-Portal aufgenommen.


Aus der Umstellung auf JavaScript ergeben sich mehrere Vorteile:

-      Keine Änderungen für den Anwender

-      Einfachere Bedienung

-      Keine Installation von Plugins (JAVA!)

-      Keine Ladezeiten für Applets


Registrierung mit JavaScript:

Bisher wurde nur die Registrierung mit Google Chrome ab Version 27 unterstützt, ab 23.07.2013 werden auch die Browser Firefox ab Version 22 und Internet Explorer ab Version 10 offiziell unterstützt.


Login und Nutzung des ElsterOnline-Portals mit JavaScript:

Bisher müssen Anwender auf dem PC das JAVA-PlugIn von Oracle installiert haben um das ElsterOnline-Portal zu benutzen. Eine Benutzung ist zukünftig auch ohne JAVA möglich, lediglich JavaScript wird vorausgesetzt.


Analog zur bisherigen Applet-Lösung werden zunächst folgende Funktionen angeboten:


-      Login

-      Aufgabenmanagement

-      Postfachnachrichten öffnen

-      PIN ändern

-      Zertifikat verlängern

-      Formulare authentifiziert abgeben


Bisher werden ohne JAVA unter anderem noch nicht unterstützt:

-      Datenübernahme aus vorhergehender Abgabe

-      Formulardaten hochladen soweit angeboten (z. B. UStVA)"


Es bestehen nun berechtigten Hoffnungen, dass durch JavaScript weniger Probleme bei der Nutzung des ElsterOnline-Portals auftreten.





[1] Content Security Policy (CSP) ist ein Sicherheitskonzept, um Cross-Site-Scripting und andere Angriffe durch Einschleusen von Daten in Webseiten zu verhindern. Quelle: Wikipedia

Dienstag, 6. August 2013

ElsterOnlinePortal - JETZT AUCH OHNE JAVA! Vereinfachung bei der Elektronischen Steuererklärung

Ab sofort gibt es eine deutliche Vereinfachung bei der Elektronischen Steuererklärung ELSTER. Die Zusatzsoftware Java muss nicht mehr verwendet werden, um das ElsterOnline-Portal nutzen zu können. „Damit entfällt ein zusätzlicher Schritt bei der Nutzung des Dienstleistungsportals der Steuerverwaltung, erklärte der IT-Beauftragte der Bayerischen Staatsregierung, Finanzstaatssekretär Franz Josef Pschierer am Dienstag, (6.8.).

In der Vergangenheit ist die auf vielen PCs installierte Zusatzsoftware Java immer wieder aufgrund von Sicherheitsmängeln in die Kritik geraten. Zudem häuften sich technische Probleme bei der Verwendung von Java bei den Anwendern. Die Steuerverwaltung hat darauf reagiert - durch eine Neuprogrammierung kann nun auf Java verzichtet werden, betonte Pschierer. Bislang war die Software technische Voraussetzung, um sich im ElsterOnline-Portal, dem Dienstleistungsportal der Steuerverwaltung, einloggen zu können.

„Dies erleichtert unter anderem die authentifizierte elektronische Abgabe der Lohnsteuer-Anmeldungen und Umsatzsteuer-Voranmeldungen, zu der viele Arbeitgeber und Unternehmer gesetzlich verpflichtet sind. Nur noch bis 31.08.2013 werden Steueranmeldungen ohne Authentifizierung akzeptiert“, betonte Pschierer.

Quelle: https://www.facebook.com/ELSTER.die.elektronische.Steuererklaerung
Quelle: http://www.stmf.bayern.de/internet/stmf/aktuelles/pressemitteilungen/21868/index.htm