eTaxes – der Kanton St. Gallen hat die Nase vorne

Steuererklärung per Mausklick

Die Möglichkeit, die Steuererklä-rung via Internet einzureichen, stösst im Kanton St. Gallen auf reges Interesse. Die tausenden von Downloads der vom Kantonalen Steueramt (KStA) auf seiner Homepage www.steuern.sg.ch angebotenen Software verdeutlichen dies. Bereits am 10. Januar 2002, also nur zwei Tage nach Freigabe der Software im Internet, wurde die erste Steuererklärung per Internet eingereicht – zumindest für das KStA ein historisches Datum.

Umfassende Prozessunterstützung

25Für das KStA handelt es sich dabei um einen Meilenstein in der Entwicklung einer umfassenden elektronischen Prozessunterstützung, der nur nach intensiven Vorarbeiten erreicht werden konnte. Damit nimmt St. Gallen gesamtschweizerisch eine Vorreiterrolle im Bereich eTaxes ein; dies zusammen mit dem Kanton Bern, der ein ähnliches Projekt aufgegleist hat.

Nur Original-Software

Die Steuererklärung 2001 b kann nur mit der vom KStA zur Verfügung gestellten Original-Software eingereicht werden. Noch nicht möglich ist dies für Steuererklärungen, die mit Programmen Dritter erstellt werden. Sie sind unter Beachtung spezieller Hinweise in der (der Steuererklärung beigelegten) Wegleitung einzureichen. Das KStA erwägt eine Standard-Schnittstellen-Definition, damit auch mit der Software von Fremdanbietern, welche die notwendigen hohen Sicherheitsanforderungen erfüllen, eine elektronische Einreichung möglich ist. Mit dem elektronischen Datenaustausch per Internet wird der so genannte Medienbruch überwunden. Die elektronisch ausgefüllte Steuererklärung wird elektronisch eingereicht und von der Steuerbehörde elektronisch verarbeitet. Die Überwindung des Medienbruchs beim Steuererklärungsprozess erforderte die Verbindung der bisher nicht zusammenhängenden Teilsysteme «Steuererklärungsprogramm» einerseits und «Steuerveranlagungsprogramm» anderseits.

Die Funktionsweise von eTaxes

26Mit Hilfe eines Passwortes, das mit der Steuererklärung zugestellt wird, identifiziert und authentifiziert sich der Steuerpflichtige gegenüber dem System. Die Steuererklärung wird offline ausgefüllt, das heisst nach Installation der Steuererklärungsapplikation auf dem Client des Steuerpflichtigen. Nur für die Abfrage so genannter Default-Werte (z. B. Personalien) und für die Übermittlung der ausgefüllten Steuererklärung bedarf es einer Online-Verbindung. Nach der elektronischen Übermittlung der ausgefüllten Steuererklärung 2001 b druckt das System eine Quittung aus. Diese ist vom Steuerpflichtigen zu unterzeichnen und dem Gemeindesteueramt einzureichen. Erst nach Eingang dieser Quittung beim Gemeindesteueramt gilt die Steuererklärung als eingereicht. Und erst nach diesem Zeitpunkt werden die Daten von den Steuerbehörden elektronisch weiter bearbeitet. Die Lösung mit Passwort und Quittung wurde gewählt, weil auf dem Markt noch keine ausgereifte, Zertifikat-gestützte Lösung für die digitale Signatur verfügbar ist. Zudem erschien es zweifelhaft, ob der Steuerpflichtige einzig für das Einreichen der Steuererklärung die nötige Infrastruktur (SmartCard und Kartenleser) anschaffen würde. Der Einsatz der Zertifikat-gestützten digitalen Signatur ist indessen als mittelfristige Option vorgesehen.

Stellvertretungen

27In die dargestellte Lösung mit Passwort und Quittung können ohne weiteres auch die Steuerberaterinnen und -berater einbezogen werden. Mit den leeren Steuerformularen seines Mandanten erhält der bevollmächtigte Steuervertreter auch das Passwort, um die Default-Werte herunterzuladen und die Steuererklärung elektronisch einzureichen. Weil der Steuerpflichtige auch im Falle eines Vertretungsverhältnisses zur persönlichen Unterzeichnung der Steuererklärung verpflichtet bleibt, wird die elektronische Steuererklärung erst nach Eingang der vom Steuerpflichtigen unterzeichneten Quittung akzeptiert. Die Ausgangslage für eTaxes ist somit nicht grundsätzlich anders als bei der Einreichung der Steuererklärung in Papierform: der Steuervertreter hat nach Ausfüllen der Steuererklärung die Unterschrift seines Mandanten einzuholen.

Download in Randzeiten

28Das Steuererklärungsprogramm 2001 b weist einen gegenüber der Version 2001 a erweiterten Funktionsumfang auf. Die Systemvoraussetzungen bleiben unverändert. Doch die Applikation für die Voll-Steuererklärung 2001 b hat einen grösseren Umfang als diejenige für die Light-Version 2001 a. Es ist deshalb empfehlenswert, den Download in Randzeiten vorzunehmen.Die Grösse der Applikation hängt mit der komfortablen Möglichkeit zusammen, die Steuererklärung Formular-basiert oder Dialog-geführt auszufüllen. Beide Vorgehensweisen stehen zur Verfügung, das heisst, der Benutzer kann jederzeit zwischen diesen beiden Arten wechseln. Die Grösse der Applikation mitbestimmt haben ferner die Anforderungen von eTaxes, optimierte Hilfefunktionen und eine verbesserte Installationsroutine. Anzufügen ist, dass aufgrund der ausgefüllten Steuererklärung auch gleich die Steuerbelastung ermittelt werden kann. Dies erfolgt über einen Online-Zugriff auf den Steuerkalkulator.

Sicherheit hat hohen Stellenwert

29Beim ganzen Projekt eTaxes wurde ein wesentliches Augenmerk auf die Sicherheit gerichtet. Bereits in der Offertausschreibung wurde verlangt, dass das neue Verfahren mindestens so sicher sein soll wie das herkömmliche. Die durchgeführte Risikoanalyse führte zu einem Sicherheitskonzept und zu adäquaten Sicherheitsmassnahmen. In der Testphase wurden die einzelnen Komponenten und das Gesamtsystem sicherheitstechnisch durch eine Drittfirma systematisch überprüft. Das eTaxes-System weist einen Sicherheitsstandard auf, der dem heutigen Stand der Technik entspricht. Dazu zählen insbesondere die Identifizierung und Authentifizierung des Benutzers und die Verschlüsselung der ausgetauschten Daten. Die vertraulichen Logins und Passwörter authentisieren den Benutzer eindeutig. Darüber hinaus bildet die vom Steuerpflichtigen persönlich zu unterzeichnende Quittung eine wirkungsvolle Massnahme zur Vermeidung bzw. Verringerung von Missbräuchen.
Die Autoren: Primus Schlegel, Hauptabteilungsleiter Organisationsentwicklung und Projekte, leitete das Projekt eTaxes des KStA. Agostino Cozzio, Leiter Information und Kommunikation KStA.

Wichtig fur die Sicherheit ist die Verwendung der Original-Steuererklarungs-Software ab der KStA-Homepage…

Verschlüsselung entspricht Standard der Banken

23Wichtig für die Sicherheit ist die Verwendung der Original-Steuererklärungs-Software ab der KStA-Homepage www.steuern.sg.ch. Sobald der Benutzer über das Internet seine Default-Daten abrufen oder die Steuererklärung einreichen will, wird im Hintergrund über die Telefonleitung eine verschlüsselte Verbindung aufgebaut. Dann wird der Benutzer authentisiert.

24Anschliessend werden die notwendigen Daten übertragen und danach die Verbindung sogleich wieder abgebaut. Der Aufbau der sicheren Kommunikation mit dem Steueramt erfolgt mit dem Public-Key-Verfahren unter Verwendung von X509V3-Zertifikaten. Die Verschlüsselung entspricht dem heutigen Standard für eCommerce-Bankapplikationen.Der Kommunikationspartner (Steueramt-Server) wird von der Anwendung überprüft. Verbindungsversuche zu anderen Servern sind nicht möglich. Die vertraulichen Logins und Passwörter sind so aufgebaut, dass sie nicht erraten werden können. Dieses Verfahren authentisiert den Benutzer eindeutig. Beim zentralen Helpdesk kann jeder Steuerpflichtige sein Passwort sperren oder entsperren lassen oder ein neues Passwort verlangen, welches ihm dann per Post zugestellt wird. Jeder Benutzer kann maximal fünf eigene Steuererklärungen einreichen. Nach fünf Versuchen wird der Zugang gesperrt. Dasselbe gilt, wenn das Steueramt die zu einer Steuererklärung gehörende Quittung akzeptiert hat.

Only for you – Die Kunst der Verschlusselung. Diesen Titel hat eine Sonderausstellung im Verkehrshaus der Schweiz in…

Nur für deine Augen

Only for you – Die Kunst der Verschlüsselung. Diesen Titel hat eine Sonderausstellung im Verkehrshaus der Schweiz in Luzern. Der Kurator der Hallen «Kommunikation», Christian Scheidegger, zur Wissenschaft der Kryptologie.

Was ist Kryptologie?

20Christian Scheidegger: Kryptologie umfasst zwei Begriffe. Die Kryptographie beschäftigt sich mit der Frage, wie Informationen verschlüsselt werden können, zum Schutz vor unbeteiligten Dritten. Die Kryptoanalyse hingegen versucht, solche Verschlüsselungen zu brechen. Vor allem auch militärische Stellen betreiben hier Forschung.

Wie lauten die berühmtesten Geschichten rund um die Kryptologie?

Scheidegger: Davon gibt es viele. Oft unterliegen solche Geschehnisse aber noch heute einer gewissen Verschwiegenheit, so dass es schwierig ist, sie nachzuvollziehen. Die wohl berühmteste Geschichte dreht sich um die deutsche Codiermaschine «Enigma». Im Zweiten Weltkrieg verschlüsselten die Nazis damit ihren Funkverkehr. Die Alliierten konnten aber dank einer Art Computer praktisch während des ganzen Krieges trotzdem mithören. Manche Historiker vertreten die Ansicht, dies habe den Krieg verkürzt.

Welche Techniken zur Verschlüsselung gab und gibt es?

21Scheidegger: Die einfachsten Mittel benutzen schon K inder: Geheimschriften oder unsichtbare Tinte. Anfangs des 20. Jahrhunderts kamen mechanische Codiermaschinen auf. Heute werden Chips benutzt. Man hat immer die neusten technologischen Möglichkeiten der jeweiligen Zeit genutzt. Die Entwicklung der Computer wird durch die Kryptographie sogar vorangetrieben.

Wie sicher ist denn nun E-Banking oder Online-Zahlungsverkehr?

Scheidegger: Sicherheit ist immer relativ, wobei das Problem nicht bei den einzelnen Transaktionen liegt, sondern bei den Datenbanken. Kreditkartenfirmen speichern die Nummern und Codes von Kreditkarten. Solche Datenbanken müssen vor unerlaubtem Zugriff geschützt werden.

Wie zeigt man in einer Ausstellung das Thema «Kryptologie»?

Scheidegger: Wir zeigen den Werdegang auf. Von 5000 Jahre alten Tontafeln aus dem Irak, auf denen bereits verschlüsselte Passagen existieren, über Chiffriergeräte, welche bis vor kurzem noch als streng geheim klassifiziert waren, bis hin zu möglichen Problemen der Zukunft. Besucher können an Stationen eins zu eins selber kryptographische Verfahren testen.

Das Handy soll sicherer werden

HONG KONG-ASIA-TECHNOLOGY-TELECOM-APPLE-IPHONEEin Frauenfelder Unternehmen hat nach eigenen Angaben den Durchbruch für die sichere Mobiltelefonie geschafft. Die Firma eEnterprises Technology hat eine Verschlüsselungstechnik entwickelt, die Lauschangriffe abwehrt.
Zürich/Frauenfeld – Die neue Entwicklung heisst «Phantophone», wie das Unternehmen mitteilt. Gleichzeitig sei ein Lizenz-Kontroll-System zur Marktreife gebracht worden, mit dem die weltweite Softwarepiraterie eingedämmt werden könne. Wer mit dem Handy telefoniert, ist sich gemäss den Angaben von eEnterprises Technology meist nicht bewusst, dass fast jedermann mithören kann. So würden die USA mit Hilfe ihres Echelon-Systems weltweit fremde Telekommunikation belauschen. Telefonwanzen seien für wenige Hundert Euro legal im Elektronikhandel zu erwerben und liessen sich auch von Laien einfach installieren. Für Profis sei auch das Abhören von Mobiltelefongesprächen kein Problem. Aber auch die meisten europäischen Geheimdienste überwachten den Kommunikationsverkehr. Selbst verbündete Länder scheuten nicht davor zurück, gegenseitig Informationen aus Unternehmen illegal abzugreifen. Gleiches gelte selbstverständlich für Informationen staatlicher Stellen.

Hoher Schaden

18Durch die Lauschangriffe entstünden nicht nur den Privaten, sondern vor allem der Wirtschaft enorme Schäden. Telefonate verschlüsseln könnten zwar viele Anbieter. Bis heute sei es aber nicht gelungen, eine softwarebasierende und geräteunabhängige Verschlüsselung zu realisieren. Nach eigenen Angaben haben die Forscher der eEnterprises Technology eine Softwarelösung entwickelt, die ein Meilenstein in der abhörfreien Mobiltelefonie darstellt. Wie eEnterprises-CEO Joachim Mark dazu erklärte, wird die Software zurzeit in Zusammenarbeit mit namhaften internationalen Partnern in der Praxis getestet. «Die Resultate übertreffen alle unsere Erwartungen», sagt Mark.

19Im Rahmen der Forschungs- und Entwicklungsarbeit sei der eEnterprises Technology weiter der Durchbruch im Kampf gegen die weltweit überhand nehmende Softwarepiraterie gelungen. Mit dem «License Control System» (LCS) sei ein System entwickelt worden, das nicht nur dem Volkssport «Softwareklauen» Einhalt gebiete, es werde auch professionellen Softwarekopierern das Geschäft vermasseln. Gemäss einer Studie seien allein im Jahr 2000 in Westeuropa 34 Prozent aller installierter Softwareprodukte ohne Lizenz gelaufen und hätten damit einen Schaden für die Software-Hersteller in Höhe von rund 3 Milliarden Dollar verursacht. Ein wirksamer Schutz werde vom Markt gefordert.

Eine 15-Prozent-Stelle ist für den ganzen Kanton St. Gallen zuständig

Wenig Kapazitäten für den Datenschutz

Hand pushing virtual cloud security buttonIm Kanton Zürich ist der Datenschutz mit mehreren Vollzeit-Stellen dotiert. Im Kanton St. Gallen hat dafür eine Mitarbeiterin der Staatskanzlei ein 15-Prozent-Pensum zur Verfügung.

Während wie kürzlich der Eidgenössische Datenschutzbeauftragte, aber beispielsweise auch sein Zürcher Kollege regelmässig die Öffentlichkeit über Datenschutzprobleme informieren und konkrete Empfehlungen bekannt geben, hört man von der Datenschutzstelle des Kantons St. Gallen kaum etwas.

Der Grund: Der Kanton hat für diese Aufgabe lediglich eine 15-Prozent-Stelle eingerichtet. Corinne Suter, juristische Mitarbeiterin in der Staatskanzlei, erstattete bisher auch nur der Regierung Bericht über ihre Tätigkeit.

Angemeldete Besuche

Barack Obama, Nicole WaymanWie viel Gewicht hat ihre Stelle? «Ich habe keine Weisungsbefugnis», stellt sie klar. Die kantonale Datenschützerin kann lediglich Empfehlungen abgeben. In der Regel würden diese auch befolgt. «Es wäre für eine Amtsstelle sonst imageschädigend», ist sie überzeugt. In einem der wenigen bekannt gewordenen Fälle im letzten Jahr spielte dies aber offensichtlich keine Rolle. Wirkung zeigte dies nicht. Der G Bei einer Stellungnahme zum umstrittenen Fragebogen für Einbürgerungen in Eschenbach verneinte Corinne Suter die Rechtmässigkeit einiger Fragen.emeindepräsident von Eschenbach erklärte öffentlich, das interessiere ihn nicht. Und die St. Galler Regierung hiess das Einbürgerungsverfahren gut.Pro Jahr führt die St. Galler Datenschutzbeauftragte drei Visitationen in Amtsstellen durch. Die Besuche sind angemeldet und dauern jeweils einen Tag. Zuletzt wurden die Kantonsschule Wattwil – nach dem Leck im Schulserver -, das Amt für Bürgerrecht und Zivilstand und das RAV Sargans unter die Lupe genommen. Überprüft werden etwa die internen Abläufe bei der Datenverwaltung, aber es wurden auch Büros besichtigt. «Wir befragen beispielsweise die Sekretärin, wie sie mit Daten umgeht.»

Passwörter nicht weitergeben

15Generell gehe es vor allem darum, auf Mängel bei der Informatiksicherheit hinzuweisen. Thema sei etwa die Verschlüsselung von Personendaten auf lokalen Servern. Corinne Suter bemängelt, dass oft noch Unsicherheiten bei der Verwendung von Passwörtern bestünden. Konkret: «Die Passwörter werden unter den Mitarbeitenden ausgetauscht oder einem Stellvertreter weitergegeben.» Es sei jeweils das konkrete Handling, das zu Problemen führen könne. Dazu gehöre, dass Briefe mit heiklen Daten so adressiert sein müssen, dass sie nicht von Unberechtigten geöffnet werden. Via Fax oder E-Mail sollten zudem keine heiklen Personendaten versandt werden, stellt sie klar.

Anlaufstelle für Fragen

Fragen zum Datenschutz tauchen vor allem auch im Gesundheitswesen auf. So musste sie abklären, unter welchen Bedingungen ein Arzt den Partner eines HIV-positiven Patienten über die Krankheit informieren darf. Der Arzt könne sich auf die so genannte «Notstandshilfe» berufen, aber nur, wenn es keine andere Möglichkeit gebe, stellte sie fest. Corinne Suter beantwortet auch konkrete Fragen von Bürgerinnen und Bürgern. Ein häufiges Thema sei die Frage nach Akteneinsicht. Es meldeten sich auch Maturanden, die für eine Arbeit Einsicht in Gemeindearchive verlangten. Eine Lehrerin wollte wissen, ob16 auf einer Klassenliste ersichtlich sein darf, dass Eltern von Schülern geschieden sind. «Das habe ich verneint, weil nicht erforderliche Personendaten nicht bekannt gegeben werden dürfen.»

Homepage einrichten?

In Kantonen wie Baselland, Zug oder Freiburg werden Informationen über die alltäglichen Probleme mit dem Datenschutz im Internet veröffentlicht. Auf der Homepage des Kantons St. Gallen ist die Datenschutzbeauftragte dagegen nicht zu finden. Es wäre eine Möglichkeit, dort Antworten auf Fragen, die immer wieder auftauchten, zu veröffentlichen, räumt Corinne Suter ein. «Geplant ist bisher aber nichts.»

« Older Entries Next Entries »