Manuel Kiesel, ein 26-jähriger IT-Sicherheitsexperte, ist bekannt für seine Fähigkeiten als «ethischer Hacker». In seiner Freizeit durchsucht er Software von Unternehmen und Behörden nach Schwachstellen. Seine Neugier führt ihn oft zu der Frage: «Wie könnte ich diese Software missbrauchen, wenn ich böswillig wäre?» Diese Überlegungen sind nicht nur hypothetisch – sie könnten schwerwiegende Folgen haben.

Kiesel arbeitet für die «cyllective AG», ein Unternehmen, das sich auf die Identifizierung unbekannter Sicherheitslücken spezialisiert hat. Vor Kurzem entdeckte er eine kritische Schwachstelle in der beliebten Steuererklärungssoftware «EasyTax», die von mehreren Kantonen, darunter Aargau und Basel, verwendet wird. Diese Software ist essenziell für viele Steuerzahler und könnte im schlimmsten Fall ein Einfallstor für Cyberangriffe bieten.

Kiesel schildert, wie er über die Schwachstelle stolperte, während er ein anderes Projekt über Steuerprogrammen abschloss. Er analysierte insgesamt 16 Softwarelösungen, von denen er 11 als gefährdet einstufte – darunter herausragende Städte wie Zürich und Genf. Für die betroffenen Kantone kam die Warnung zu spät: Obwohl die Sicherheitsrisiken als gering eingestuft wurden, rieten die Behörden, ältere Versionen der Software zu deinstallieren, um potenziellen Angriffen vorzubeugen.

Die Sicherheitslücke könnte sogenannte «social engineering»-Angriffe ermöglichen, bei denen Hacker Nutzer dazu bringen müssen, schadhafter Software zuzustimmen. Kiesel erklärt: «Auch wenn eine direkte Gefährdung als gering eingestuft wird, könnte ein unvorsichtiger Klick auf einen neugestalteten Link schwerwiegende Folgen haben.

Die Schweizerische Steuerkonferenz (SSK) wurde sofort über die Schwachstelle informiert und hat Maßnahmen ergriffen, um die Software zu sichern. Allerdings bleibt die Frage offen, ob alle Kantone ihre Systeme rechtzeitig aktualisiert haben. Der Kanton Basel-Stadt hat bereits auf ein webbasiertes Steuerprogramm umgestellt. Experten, einschließlich Kiesel, glauben, dass das Risiko für diese neueren Systeme erheblich geringer ist, möchten aber betonen, dass ständige Wachsamkeit in der Cybersecurity unerlässlich bleibt.

Diese Enthüllungen werfen ein Licht auf die Notwendigkeit, Sicherheitsprotokolle sowohl in staatlichen als auch in privaten Anwendungen zu überprüfen. Über 6 Millionen Schweizer Bürger verwenden Steuersoftware, und jeder von Ihnen könnte potenziell betroffen sein. Daher sollten Benutzer ihre Software regelmäßig aktualisieren und wachsam gegenüber verdächtigen E-Mails oder Anfragen bleiben. Cyberkriminalität ist zwar oft ausgeklügelt, aber auch die einfachen Dinge, wie das Klicken auf fragwürdige Links, kann großen Schaden anrichten.