ID Austria ersetzt Handysignatur

Die Handysignatur war bereits der zweite Anlauf eines elektronischen Ausweises in Österreich. Der erste Anlauf war die Bürgerkarte, die zwar sicherer war, jedoch aufgrund der Komplexität der Anforderungen kaum Verbreitung fand. Für die Bürgerkarte ist ein eigenes spezielles Kartenlesegerät erforderlich, bei dem der PIN Code direkt am Kartenlesegerät eingegeben werden muss. Aufgrund der komplexen Anforderungen konnte sich die Bürgerkarte kaum durchsetzen. Es wurde also die Handy Signatur eingeführt, mit der man sich elektronisch ausweisen und auch Dokumente unterschreiben konnte. Erforderlich dazu ist eine auf dem Handy installierte App sowie eine Telefonnummer auf der einen SMS empfangen werden kann. Mittels der SMS wird sichergestellt, dass sich die unterschreibende Person im Besitz des Handys mit dieser Telefonnummer befindet. Es handelt sich dabei um eine sogenannte Zwei-Faktor Authentifizierung, weil man zwei Faktoren zur Authentifizierung benötigt. Das Handy (und die App) sowie die Telefonnummer an die eine SMS gesendet werden kann. Solche Mehrfaktor Authentifizierungen machen die App sicherer. Die Handy Signatur war zwar weniger sicher, als die Bürgerkarte, dafür hat sie sich aufgrund der einfachen Verwendbarkeit durchgesetzt.

Elektronischer Ausweis / Unterschrift

Die Bürgerkarte und Handy Signatur lösen zwei Probleme die man in der “digitalen Welt” hat. Zum einen die Möglichkeit nachzuweisen, dass man tatsächlich die Person ist, die man behauptet zu wein (elektronischer Ausweis). Dadurch ist sichergestellt, dass man nur selbst Amtswege für sich selbst durchführen kann, und nicht irgend eine beliebige andere Person. Die zweite Funktion die geboten wird, ist die elektronische Unterschrift. Die elektronische Unterschrift (Singatur) mit der Bürgerkarte / Handysignatur ist der Unterschrift  Die elektronische Signatur ist dabei einer eigenhändigen Unterschrift auf einem Blatt Papier gleichgestellt. Mit der elektronischen Unterschrift kann man also rechtsverbindliche Verträge eingehen.

Problem SMS

Das Problem ist nun, dass findige Betrüger schon seit längerem Wege herausgefunden haben um SMS Authentifizierung auszuhebeln. Einer dieser Verfahren ist SIM Swapping. Für den Verlust (z.B Diebstahl) eines Handys kann man die Daten einer SIM Karte auf eine andere Karte vom Mobilfunkbetreiber übertragen lassen. Man holt sich dazu aus dem Supermarkt eine neue SIM Karte, ruft den Support des Mobilfunkbetreibers an und authentifiziert sich dort durch eine Reihe von Informationen, die nur der Inhaber kennen sollte als Inhaber der Nummer – und lässt die Daten der alten SIM Karte (Rufnummer) auf die neue Karte übertragen. Die Betrüger kommen zuvor durch Hacks und Social Engineering an ausreichend Daten um sich gegenüber dem Mobilfunkbetreiber als legitimer Inhaber der Rufnummer auszuweisen. Sobald die SIM Karte übertragen wurde, kann nun der Angreifer mittels der Telefonnummer die Bestätigungscodes auf das neue Handy bekommen. Der alte Inhaber bekommt keine SMS und auch keine Anrufe mehr. Er kann auch von seiner alten SIM Karte nicht mehr wegrufen. Bis er das bemerkt, haben die Angreifer vermutlich das Unheil bereits angerichtet. Die Computerwelt berichtet hier ausführlich über die Probleme von SIM Karten als Zwei-Faktor Authentifizierung. Das US Amerikanische NIST (National Institute of Standards and Technology) rät bereits seit 2017 davon ab SIM basierte Zwei Faktor Authentifizierungen zu verwenden.

ID Austria – der Nachfolger der Handy Signatur

Aus diesem Grund wird die neue ID Austria nach einer Pilotphase die beliebte Handy Signatur ablösen. Alle, die derzeit eine Handysignatur haben, werden automatisch die sogenannte “Basis ID-Austria” erhalten. Diese ID Austria ist noch für die Restlaufzeit der Handy Singnatur gültig (die maximale Gültigkeit des Zertifikats beträgt 5 Jahre. Bei dieser ID Austria werden auch die gleichen Daten an die Applikation bei der Unterschrift übermittelt wie derzeit: bereichsspezifische Personenkennzeichen (bPK), Name (Vor- und Nachname, Titel) und Geburtsdatum. Die Weiterverwendung als elektronische Unterschrift/Anmeldung in Systemen ist mit gültigem Zertifikat nach Zustimmungserklärung möglich.

Als Multifaktor-Authentifikation (MFA) wird nun nicht mehr die Telefonnummer verwendet. Zusätzlich um Kennwort werden nun, wie auch derzeit schon von einigen E-Banking Anwendungen Fingerabdruck oder Gesichtserkennungsfunkionen der Mobiltelefone genutzt. Damit wird der neue elektronische Ausweis sicherer.

Voraussichtlich Ende 2021 bekommt man bei den „Passbehörden“ die vollwertige ID Austria. Diese braucht man spätestens wenn die Handysignatur bzw. die Basis-ID-Austria abläuft oder man neue Funktionen/Attribute nutzen will, die durch die Basisversion nicht abgedeckt sind. Die Registrierung für die “vollwertige” ID Austria erfolgt über die „Passbehörden“ (Bezirkshauptmannschaften bzw. die Magistrate, in Wien die Magistratischen Bezirksämter), Gemeindeämter, die zur Entgegennahme des Passantrages ermächtigt sind (aber nur für Einwohner*innen der jeweiligen  Gemeinde), die Landespolizeidirektionen (hier können auch Personen ohne österreichische Staatsbürgerschaft ID Austria beantragen) und für Auslandsösterreicher*innen die Vertretungsbehörden im Ausland (Botschaften, Konsulate). Bei der Beantragung eines Reisepasses bekommt man automatisch eine ID Austria ausgestellt – es gibt aber die Möglichkeit eines “Opt-Out”. Durch diese Maßnahme wird sich die Verbreitung der ID Austria sicherlich stark erhöhen.

In folgendem Werbefilm stellt die Regierung die ID Austria vor:

Hier findet sich eine technische Beschreibung der IA Austria

Datenschutz

Zur Wahrung des Datenschutzes darf die Stammzahl natürlicher Personen von Behörden nicht gespeichert werden. Natürliche Personen dürfen von Behörden im Rahmen des Bürgerkartenkonzepts nur über bereichsspezifische Personenkennzeichen (bPK) identifiziert werden. Diese werden aus der Stammzahl der betroffenen Person abgeleitet. Die Ableitung darf nicht rückführbar und nicht umkehrbar sein. Das heißt Daten sind nicht Behördenübergreifend über diese Zahlen verknüpfbar. Nähere Ausführungen dazu finden Sie hier.

Daten sollen bei der ID Austria auch Dritten zur Verfügung gestellt werden und zwar nur mit expliziter Zustimmung der betroffenen Person. Grundsätzlich ist das auch sinnvoll, denn es gibt ja auch heute schon die Notwendigkeit bei manchen Verträgen sich dazu auszuweisen (z.B. Abschluss eines Mobilfunkvertrages, bei manchen Kaufverträgen.

Mögliche Problemfelder

Der Schutz der Privatsphäre ist sicherzustellen. Für viele Vorgänge im Internet ist es nicht notwendig seine Identität nachzuweisen. Das muss auch in Zukunft so bleiben. Auch für viele Kaufverträge muss man heute seine Identität heute nicht nachweisen. Dass es einen neuen elektronischen Ausweis gibt, heißt nicht, dass dieser auch für alle Vorgänge im Internet vorgezeigt werden muss. Es braucht hier klare gesetzliche Regelungen wofür eine elektronische Authentifizierung verwendet werden darf. (Richtlinie: dort wo es schon heute eine Ausweispflicht gibt)

Eine zentrale Protokollierung der Nutzung der ID Austria beim BMI darf es nicht geben. Es ist heute auch so, dass die Nutzung eines Ausweises nicht zentral protokolliert wird. Ein derartiges Protokoll würde viele Rückschlüsse der Behörde auf die eigene Person zulassen.

In der Konkret Sendung vom 17.8.2021 Befürworter und Kritiker der ID Austria zu Wort:

Fazit

Ohne sichere digitale Identitäten sind digitale Behördenwege nicht möglich. Digitale Identitäten sind daher die Basis für ein funktionierendes e-Government, mehr Bequemlichkeit für Bürger*innen und Verwaltungsvereinfachung. Da die Infrastruktur dafür auch sicher sein muss, ist die ID Austria als Ablöse der mittlerweile nicht mehr dem Stand der Technik entsprechenden Handy Signatur zu begrüßen. Es ist jedoch sicherzustellen, dass die neue digitale Infrastruktur nicht zur Einführung einer “Klarnamenspflicht” im Internet missbraucht wird, oder es Unternehmen zu einfach gemacht wird, Daten von der elektronischen ID abzugreifen. Dass eine Zustimmung alleine hier nicht ausreichend ist, sieht man bei den Cookie Bannern, von denen alle nur noch genervt sind, und einfach draufklicken.