Die Handy-Signatur ist in Österreich eine Technologie zur rechtsgültigen elektronischen Unterschrift mit dem Mobiltelefon (mobile Signatur/Mobile-ID). Die Handy-Signatur ist der qualifizierten elektronischen Signatur gleichgestellt und wird im Rahmen des österreichischen E-Governments bei der Bürgerkarte als Äquivalent zur eigenhändigen Unterschrift behandelt. Mit der technischen Betreuung der Handy-Signatur wurde A-Trust beauftragt, eine Firma, die als Kooperation österreichischer Kammern und Banken tätig ist.

Funktionsweise und Sicherheit

Die Handy-Signatur ist als Umsetzung des Konzepts Bürgerkarte eine qualifizierte elektronische Signatur im Sinne der EU-Richtlinie 1999/93/EG, und damit sowohl ein gültiger amtlicher Ausweis als auch rechtswirksam der Unterschrift im Sinne des § 886 ABGB gleichgestellt.^[1] Die Funktion ermöglicht beispielsweise den passwortgeschützten Zugang zu Einrichtungen der öffentlichen Verwaltung. Auch das Signieren von PDF-Dateien, elektronischen Dokumenten nach dem System der Firma Adobe, die heute allgemeiner Standard sind, ist so möglich.^[2]

Man loggt sich bei einer Webanwendung mit Telefonnummer und einem Passwort ein, bekommt dann eine Transaktionsnummer (TAN) als SMS von A-Trust zugesendet, mit der man seine Identität bestätigt. Die TAN ist ein Einmalcode, der für fünf Minuten gültig ist.^[3] Mit dieser TAN bestätigt man das Einloggen.

Der Vorzug dieser Signierungsmethode gegenüber einer Chipkarte (etwa der e-card der Krankenversicherung) als Bürgerkarte ist, dass das Vorhandensein eines Chipkartenlesers respektive Installation einer speziellen Software am Computer entfällt.^[3]

Zentraler Nachteil mobiler Signierung im Allgemeinen gegenüber einer Chipkarte dürfte aber im Alltagsleben liegen. Während man amtliche Ausweise sonst gewohnheitsmäßig sicher verwahrt, ist das Handy ein Alltagsgegenstand, der in vielfältigsten Lebenssituationen verwendet wird. Präziser ist nicht das Handy als Gerät aktiviert, sondern die Mobiltelefonnummer, die beim SMS-Dienst-Betreiber hinterlegt ist. Diese wird ebenfalls allgemein weitergegeben. Daher gewinnt das Passwort eine besonders hohe Bedeutung. Wer Zugriff auf das registrierte Mobiltelefon (exakter: dessen SIM-Karte mit registrierter Telefonnummer) und gleichzeitig das Signatur-Passwort erlangt, kann im Namen des Besitzers rechtsgültige Verträge schließen. Der Besitz des Handys ist eine der grundlegenden Authentifizierungskriterien im System als Bürgerkarte (Personenbindung der elektronischen Signatur im Sinne des § 4 Abs. 2 E-Government-Gesetz).^[4][5] Daher sollte das Passwort – als zweite Instanz der Personenbindung, Faktor „Wissen“^[4] – keinesfalls auf dem Handy selbst gespeichert sein.^[6]

Bei Abhandenkommen des Handys reicht jedenfalls eine Benachrichtigung, die Nummer zu sperren. Dazu steht eine Hotline bei A-Trust zur Verfügung.^[7] Problematischer zu sehen ist Malware auf dem Handy, daher sind eigene Schutzmaßnahmen auf dem Handy (wie vom Computer bekannt: Sichere Konfiguration, Sicherheitsupdates, Firewalls und Virenscanner, Umsicht bei Downloads und Installationen, und ähnliches) wichtig.^[8]

Von den drei derzeit etablierten Technologien der mobilen Signatur, der Lösung mit einem Kryptographiemodul auf der SIM-Karte oder auf einer microSD-Karte, wie auch einer fest implementierten On Board Key Generation (die alle dem Standard ETSI Mobile Signature Services, MSS basieren),^[9][10] und der österreichischen SMS-basierten PIN-TAN-Lösung wird die letztere als die sicherste beurteilt.^[11] Sie beruht auf einer Trennung der lokalen und der webserverseitigen Verifizierung, sodass ein Angreifer beide Nachrichten abfangen müsste. Prinzipiell sind alle Verfahren auf Phishing gefährdet, bei der Handysignatur dort, wo man die Telefonnummer angibt, dabei müsste der Angreifer aber noch das zurückgesendete SMS auslesen, und auch dafür sorgen, dass er die TAN schneller eingibt, indem er die SMS vor dem Empfänger versteckt.^[12]

Eine qualifizierte Signatur entsteht jedoch nur dann, wenn man vorschriftsgemäß zwei verschiedene Endgeräte verwendet,^[11] also indem man etwa auf einem normalen Computer die TAN-SMS anfordert, sie auf das Handy gesendet bekommt und diese manuell auf den Computer wieder eingibt. Wenn man das Handy als Sende- und Empfangsgerät benutzt, also sich direkt mit dem Browser des Smartphones einloggt – was bei internetfähigen Smartphones im Prinzip die komfortablere Lösung darstellt – ergeben sich wie bei den MSS-Verfahren gewisse zusätzliche Angriffspunkte.^[9]

Zwar entsteht durch die zentrale Datenbank und Verschlüsselung eine weitere Angriffsstelle, aber auch dann müsste der Angreifer zumindest das Webinterface oder das Handy ebenfalls unter Kontrolle gebracht haben. Dass die Stammzahl der Person,^[5] der österreichweite eindeutige Identifikator einer Person zum Nachweis der Personenbindung, der etwa bei den SmartCart-Lösungen der Bürgerkarte (verschlüsselt zusammen mit Name, Geburtsdatum und öffentlichem Schlüssel der asymmetrischen Verschlüsselung) auf die Chipkarte geschrieben wird, bei der Handy-Signatur eben nicht auf die SIM-Karte eingetragen wird, sondern beim Authentifizierer hinterlegt ist, kann sicherheitstechnisch als Vorteil gesehen werden, was den Verlust und die Datensicherheit des Handys betrifft, aber auch als Nachteil, weil die Registrierungsstelle (Registration Authority) mit dem Zertifizierungsdienstanbieter (Certification Authority) im Sinne der MMS identisch ist.^[13] Der SMS-Dienst-Betreiber hat also eine besondere Verantwortung. Daher betreibt die A-Trust ein Hochsicherheitsrechenzentrum.^[14]

Ein weiterer Vorteil der österreichischen Lösung ist, dass die anderen Technologien von der Hardware wie auch der Plattform (Betriebssystem) des Smartphones abhängig sind, und an diese hohe Anforderungen stellt, weil das Kryptographiemodul am Endgerät läuft, während die österreichische Lösung, wo die Rechenlast der Zertifikatbetreiber trägt, auch für einfache Handys älterer Generationen tauglich ist.^[11] Außerdem lässt sie sich einfach zwischen Mobilfunkanbietern portieren und roamen, weil die Evaluierung über den zentralen Datenserver einzig die Telefonnummer des Unterzeichnenden erfordert, und nicht mit der SIM-Karte oder einem providergebundenen Handy verknüpft ist.^[11][10]

Geschichte

Ursprünglich hatte 2003 die mobilkom Austria die Technologie A1-Signatur eingeführt, diese wurde aber per 16. Oktober 2007 wieder eingestellt.

Ende 2009 wurde mit der Handysignatur der A-Trust wieder eine Bürgerkarte am Mobiltelefon gestartet.^[15] Diese wurde im Rahmen des EU-Programms STORK (Secure idenTity acrOss boRders linKed) entwickelt.^[16]

Im Jahr 2012 waren erst etwa 60.000 Handysignaturen aktiviert, das sind unter 1 % der Bürger, und etwa ein Drittel aller Bürgerkarten in verschiedenen Formen.^[17] Wie auch die Bürgerkarte insgesamt wurde die Anmeldung als recht aufwändig beurteilt,^[17] und sie galt als in der Bevölkerung weitgehend unbekannt,^[18] oder es gibt Vorbehalte wegen der Sicherheit.^[19] Versuche, sie über die Mobilfunkbetreiber zu propagieren, waren bisher relativ erfolglos.^[18][20]

Anfang 2014 gab es schon 300.000 registrierte Personen, mit monatlich um die 20.000 Neuanmeldungen. Damit ist die Handysignatur die zur Zeit verbreitetste Form der Bürgerkarte: von den für die Funktion aktivierten SmartCards gibt es um die 150.000 Stück.^[21] Nach einer Studie Mitte 2014 besitzen inzwischen 18 % der Online-Bevölkerung eine kartenlesertaugliche Bürgerkarte und 21 % die Handy-Signatur.^[22] Nach dieser Studie wird auch die Zukunft der Bürgerkarte in der Handysignatur gesehen (69 % der Befragten), da das Mobiltelefon inzwischen in einer breiten Bevölkerungsschicht zum Alltag gehört, und gerade von sozial schwächeren Schichten, für die die Einrichtung eines Kartenlesers für zuhause eine zusätzliche Hemmschwelle ist, intensiv genutzt wird.^[22]

Seit März 2014 betreibt das Außenministerium als Pilotprojekt Registrierungsstellen an den Österreichischen Botschaften in London, in Madrid und in Deutschland (Berlin und München), um auch Auslandsösterreichern den Zugang zu bieten. Zulässig sind österreichische, deutsche wie auch englische beziehungsweise spanische Telefonnummern. Bei guter Akzeptanz ist eine Ausweitung auf alle Vertretungen Österreichs im Ausland geplant.^[23]

Seit 1. Jänner 2018 können auch Volksbegehren mittels Handy-Signatur oder Bürgerkarte unterschrieben werden. Dies gilt sowohl für die Abgabe einer Unterstützungserklärung als auch für die Unterzeichnung eines Volksbegehrens.^[24]

Im Oktober 2018 nutzen mehr als 1,05 Millionen Benutzer die Handy-Signatur.^[25]

Literatur

• Thomas Zefferer, Peter Teufl: Evaluierung mobiler Signaturlösungen auf Smartphones. Version 1.4, 24. April 2012 (PDF, egiz.gv.at).

Weblinks

• Das kann die Handy-Signatur, www.buergerkarte.at – Informationen zur Bürgerkarte auf der Webseite des A-SIT Zentrum für sichere Informationstechnologie – Austria
• Die Bürgerkarte – auf der eGovernement-Plattform des Bundeskanzleramtes digitales.oesterreich.gv.at
• Bürgerkarte, auf hELP.gv.at;

  E-Government-Anwendungen mit Bürgerkarte nach Anwendungen, nach Bundesländern/Gemeinden

• www.a-trust.at – A-Trust
• www.a-sit.at – A-SIT
• Handy-Signatur, tugraz.at – Informationsseite mit Sicherheitshinweisen zur Verwendung
• Experten-Informationen: Was passiert bei der Aktivierung der Bürgerkarte?, buergerkarte.at – Webseite zur Technologie der Verschlüsselung (abgerufen 3. Dezember 2014).

Einzelnachweise

1. ↑ Peter Kustor, Bundeskanzleramt: eID in Österreich (Memento vom 14. Juli 2014 im Internet Archive), Präsentation, 28. Januar 2014, Folie 33 E-Kommunikation birgt Risiken in sich: Lösung in Österreich: Bürgerkarte/Handy-Signatur und 35 Funktionen der Bürgerkarte (§ 4 Abs. 1 E-GovG) (PDF, bka.gv.at, abgerufen 12. Dezember 2014).
2. ↑ PDF-Signatur mit der Handy-Signatur, buergerkarte.at, abgerufen 3. Dezember 2014.
3. 1 2 So funktioniert's mit der Handy-Signatur, buergerkarte.at, abgerufen 3. Dezember 2014.
4. 1 2 Aktivieren der Handy-Signatur: Sicherheit, buergerkarte.at.
5. 1 2 Vergl. Peter Kustor, Bundeskanzleramt: eID in Österreich (Memento vom 14. Juli 2014 im Internet Archive), Präsentation, 28. Januar 2014, Folie 37 Personenbindung und 38 Stammzahl (SZ) Erzeugung (§ 6 Abs. 2 E-GovG) (PDF, bka.gv.at, abgerufen 12. Dezember 2014).
6. ↑ Handy-Signatur, tugraz.at – Informationsseite mit Sicherheitshinweisen zur Verwendung
7. ↑ Häufige Fragen zur Handy-Signatur: Wie kann ich meine Handy-Signatur sperren bzw. widerrufen? bzw. Mein Handy ist gestohlen/verloren, buergerkarte.at
8. ↑ Vergl. Internet und Handy – sicher durch die digitale Welt, help.gv.at – mit zahlreichen weiterführenden Links.
9. 1 2 Lit. Zefferer, Teufl: Evaluierung mobiler Signaturlösungen auf Smartphones. 2012, insb. 5.1 Vergleich vorhandener Lösungen, S. 33 ff, und 5.3.2 Evaluierung, S. 39 ff.
10. 1 2 In Estland, Finnland und der Türkei sind Angebote von Mobilfunkbetreibern und/oder der finnischen Firma Valimo Wireless erfolgreich etabliert; vergl. Lit. Zefferer, Teufl 2012, Kapitel 4 Mobile Signaturlösungen in Europa, S, 23 ff; und → en:Mobile signature.
11. 1 2 3 4 Lit. Zefferer, Teufl 2012, 5.4 Schlussfolgerungen, S. 43.
12. ↑ Lit. Zefferer, Teufl 2012, 5.41/42.
13. ↑ Vergl. hierzu Lit. Zefferer, Teufl: Evaluierung mobiler Signaturlösungen auf Smartphones. 2012, 3.6.2 Mobile Signature Service (MSS): Architektur und Funktionalität
14. ↑ Digitale Signatur wird durch Handy zum Kinderspiel: Dokumente können von überall elektronisch unterschrieben werden, Presseaussendung, 11. September 2010, auf pressetext.com
15. ↑ A-Trust Handy Signatur. a-trust.at. Archiviert vom Original am 25. April 2013.  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.a-trust.at Abgerufen am 14. Juni 2011.
    A-Trust Webseite zur Handy Signatur, abgerufen am 31. März 2011 (Webseite nicht mehr verfügbar).
16. ↑ Josef Ostermayer: Österreich im E-Government Ranking 2010 wieder auf Platz 1 (Memento vom 16. Dezember 2014 im Internet Archive), Pressemitteilung, Bundeskanzleramt, 15. Dezember 2010, auf bka.gv.at;
    Vergl. eid-stork.eu
17. 1 2 Handy-Signatur im Test: Mühsam zum Ziel, futurezone.at, 3. November 2012, abgerufen 7. Dezember 2014.
18. 1 2 Die Bürgerkarte hat ein Henne-Ei-Problem, Gregor Gruber in futurezone.at, 3. November 2010, abgerufen 7. Dezember 2014.
19. ↑ Österreicher vertrauen Bürgerkarte nicht: Studie zeigt Skepsis gegenüber E-Government und digitaler Identität, futurezone.at, 3. August 2012, abgerufen 7. Dezember 2014.
20. ↑ A1 will Handysignatur pushen. derStandard online, 27. Jänner 2014, abgerufen 7. Dezember 2014
21. ↑ , 27. März 2014; zitiert in BRZ-Presseservice: Pressespiegel März 2014 (Memento vom 15. Dezember 2014 im Internet Archive), S. 54 (PDF, brz.gv.at)
22. 1 2 eGovernment MONITOR 2014, Studie der Initiative D21 und ipima, durchgeführt von TNS Infratest;
    E-Government MONITOR 2014 präsentiert, Presseaussendung APA OTS0108, 29. September 2014;
    Download der Studie via egovernment-monitor.de (PDF (Memento vom 11. Dezember 2014 im Internet Archive), auf initiatived21.de; abgerufen 9. Dezember 2014);
    Auszüge und Interpretation der Ergebnisse für Österreich: Österreich bei E-Government weiter top (Memento vom 11. Dezember 2014 im Internet Archive), gemeindebund.at, 7. Oktober 2014;
    Der Ausdruck „Online-Bevölkerung“ bezieht sich auf die Auswahl der Befragten aus dem Online-Panel, das im Allgemeinen eine Internet-affinen Bevölkerungsteil repräsentiert; Angabe nach eGovernment MONITOR 2014, Abschnitt Studiensteckbrief: Auswahl, S. 5.
23. ↑ Handy-Signatur, bmeia.gv.at → Leben im Ausland.
24. ↑ HELP.gv.at: Volksbegehren. Abgerufen am 12. Februar 2018.
25. ↑ A-Trust: Handy-Signatur Statistik. A-Trust, 13. Oktober 2018, abgerufen am 13. Oktober 2018.