{"id":32204,"date":"2021-08-21T09:32:39","date_gmt":"2021-08-21T07:32:39","guid":{"rendered":"https:\/\/digisociety.ngo\/?p=32204"},"modified":"2021-08-21T10:04:27","modified_gmt":"2021-08-21T08:04:27","slug":"id-austria-ersetzt-handysignatur","status":"publish","type":"post","link":"https:\/\/digisociety.ngo\/2021\/08\/21\/id-austria-ersetzt-handysignatur\/","title":{"rendered":"ID Austria ersetzt Handysignatur"},"content":{"rendered":"

[et_pb_section fb_built=”1″ _builder_version=”3.22″ global_colors_info=”{}”][et_pb_row _builder_version=”3.25″ background_size=”initial” background_position=”top_left” background_repeat=”repeat” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”3.25″ custom_padding=”|||” global_colors_info=”{}” custom_padding__hover=”|||”][et_pb_text _builder_version=”3.27.4″ background_size=”initial” background_position=”top_left” background_repeat=”repeat” global_colors_info=”{}”]<\/p>\n

Die Handysignatur war bereits der zweite Anlauf eines elektronischen Ausweises in \u00d6sterreich. Der erste Anlauf war die B\u00fcrgerkarte, die zwar sicherer war, jedoch aufgrund der Komplexit\u00e4t der Anforderungen kaum Verbreitung fand. F\u00fcr die B\u00fcrgerkarte ist ein eigenes spezielles Kartenleseger\u00e4t erforderlich, bei dem der PIN Code direkt am Kartenleseger\u00e4t eingegeben werden muss. Aufgrund der komplexen Anforderungen konnte sich die B\u00fcrgerkarte kaum durchsetzen. Es wurde also die Handy Signatur eingef\u00fchrt, mit der man sich elektronisch ausweisen und auch Dokumente unterschreiben konnte. Erforderlich dazu ist eine auf dem Handy installierte App sowie eine Telefonnummer auf der einen SMS empfangen werden kann. Mittels der SMS wird sichergestellt, dass sich die unterschreibende Person im Besitz des Handys mit dieser Telefonnummer befindet. Es handelt sich dabei um eine sogenannte Zwei-Faktor Authentifizierung, weil man zwei Faktoren zur Authentifizierung ben\u00f6tigt. Das Handy (und die App) sowie die Telefonnummer an die eine SMS gesendet werden kann. Solche Mehrfaktor Authentifizierungen machen die App sicherer. Die Handy Signatur war zwar weniger sicher, als die B\u00fcrgerkarte, daf\u00fcr hat sie sich aufgrund der einfachen Verwendbarkeit durchgesetzt.<\/p>\n

Elektronischer Ausweis \/ Unterschrift<\/h2>\n

Die B\u00fcrgerkarte und Handy Signatur l\u00f6sen zwei Probleme die man in der “digitalen Welt” hat. Zum einen die M\u00f6glichkeit nachzuweisen, dass man tats\u00e4chlich die Person ist, die man behauptet zu wein (elektronischer Ausweis). Dadurch ist sichergestellt, dass man nur selbst Amtswege<\/a> f\u00fcr sich selbst durchf\u00fchren kann, und nicht irgend eine beliebige andere Person. Die zweite Funktion die geboten wird, ist die elektronische Unterschrift. Die elektronische Unterschrift (Singatur) mit der B\u00fcrgerkarte \/ Handysignatur ist der Unterschrift\u00a0 Die elektronische Signatur ist dabei einer eigenh\u00e4ndigen Unterschrift auf einem Blatt Papier gleichgestellt. Mit der elektronischen Unterschrift kann man also rechtsverbindliche Vertr\u00e4ge eingehen.<\/p>\n

Problem SMS<\/h2>\n

Das Problem ist nun, dass findige Betr\u00fcger schon seit l\u00e4ngerem Wege herausgefunden haben um SMS Authentifizierung auszuhebeln. Einer dieser Verfahren ist SIM Swapping. F\u00fcr den Verlust (z.B Diebstahl) eines Handys kann man die Daten einer SIM Karte auf eine andere Karte vom Mobilfunkbetreiber \u00fcbertragen lassen. Man holt sich dazu aus dem Supermarkt eine neue SIM Karte, ruft den Support des Mobilfunkbetreibers an und authentifiziert sich dort durch eine Reihe von Informationen, die nur der Inhaber kennen sollte als Inhaber der Nummer – und l\u00e4sst die Daten der alten SIM Karte (Rufnummer) auf die neue Karte \u00fcbertragen. Die Betr\u00fcger kommen zuvor durch Hacks und Social Engineering an ausreichend Daten um sich gegen\u00fcber dem Mobilfunkbetreiber als legitimer Inhaber der Rufnummer auszuweisen. Sobald die SIM Karte \u00fcbertragen wurde, kann nun der Angreifer mittels der Telefonnummer die Best\u00e4tigungscodes auf das neue Handy bekommen. Der alte Inhaber bekommt keine SMS und auch keine Anrufe mehr. Er kann auch von seiner alten SIM Karte nicht mehr wegrufen. Bis er das bemerkt, haben die Angreifer vermutlich das Unheil bereits angerichtet. Die Computerwelt berichtet hier ausf\u00fchrlich \u00fcber die Probleme von SIM Karten als Zwei-Faktor Authentifizierung<\/a>. Das US Amerikanische NIST (National Institute of Standards and Technology) r\u00e4t bereits seit 2017<\/a> davon ab SIM basierte Zwei Faktor Authentifizierungen zu verwenden.<\/p>\n

ID Austria – der Nachfolger der Handy Signatur<\/h2>\n

\"IDAus diesem Grund wird die neue ID Austria nach einer Pilotphase die beliebte Handy Signatur abl\u00f6sen. Alle, die derzeit eine Handysignatur haben, werden automatisch die sogenannte “Basis ID-Austria” erhalten. Diese ID Austria ist noch f\u00fcr die Restlaufzeit der Handy Singnatur g\u00fcltig (die maximale G\u00fcltigkeit des Zertifikats betr\u00e4gt 5 Jahre. Bei dieser ID Austria werden auch die gleichen Daten an die Applikation bei der Unterschrift \u00fcbermittelt wie derzeit: bereichsspezifische Personenkennzeichen (bPK), Name (Vor- und Nachname, Titel) und Geburtsdatum. Die Weiterverwendung als elektronische Unterschrift\/Anmeldung in Systemen ist mit g\u00fcltigem Zertifikat nach Zustimmungserkl\u00e4rung m\u00f6glich.<\/p>\n

Als Multifaktor-Authentifikation (MFA) wird nun nicht mehr die Telefonnummer verwendet. Zus\u00e4tzlich um Kennwort werden nun, wie auch derzeit schon von einigen E-Banking Anwendungen Fingerabdruck oder Gesichtserkennungsfunkionen der Mobiltelefone genutzt. Damit wird der neue elektronische Ausweis sicherer.<\/p>\n

Voraussichtlich Ende 2021 bekommt man bei den \u201ePassbeh\u00f6rden\u201c die vollwertige ID Austria<\/em>. Diese braucht man sp\u00e4testens wenn die Handysignatur bzw. die\u00a0Basis-ID-Austria<\/em> abl\u00e4uft oder man neue Funktionen\/Attribute nutzen will, die durch die Basisversion nicht abgedeckt sind. Die Registrierung f\u00fcr die “vollwertige” ID Austria erfolgt \u00fcber die \u201ePassbeh\u00f6rden\u201c (Bezirkshauptmannschaften bzw. die Magistrate, in Wien die Magistratischen Bezirks\u00e4mter), Gemeinde\u00e4mter, die zur Entgegennahme des Passantrages erm\u00e4chtigt sind (aber nur f\u00fcr Einwohner*innen der jeweiligen\u00a0 Gemeinde), die Landespolizeidirektionen (hier k\u00f6nnen auch Personen ohne \u00f6sterreichische Staatsb\u00fcrgerschaft ID Austria<\/em> beantragen) und f\u00fcr Auslands\u00f6sterreicher*innen die Vertretungsbeh\u00f6rden im Ausland (Botschaften, Konsulate). Bei der Beantragung eines Reisepasses bekommt man automatisch eine ID Austria ausgestellt – es gibt aber die M\u00f6glichkeit eines “Opt-Out”. Durch diese Ma\u00dfnahme wird sich die Verbreitung der ID Austria sicherlich stark erh\u00f6hen.<\/p>\n

In folgendem Werbefilm stellt die Regierung die ID Austria vor:<\/p>\n