Die österreichische Handy-Signatur gilt weltweit als Erfolgsgeschichte und Vorzeigeprojekt im Bereich des e-Government und der elektronischen Partizipationsmöglichkeiten für BürgerInnen. In den letzten Wochen wurde plötzlich Kritik laut rund um vermeintliche Sicherheitslücken. Wir hatten dazu im Blog ein Interview mit Wolfgang Prentner, der in einem ZIB2 Bericht Schwächen in der Sicherheitsarchitektur der Handy-Signatur anprangerte. Aufgrund der Unsicherheit, die der Medienlärm verursacht hat und dem hohen Interesse unserer Leser haben wir uns um eine Stellungnahme der Verantwortlichen bemüht. Lesen Sie nun was Prof. Reinhard Posch meint, der CIO der österreichischen Bundesregierung. Was macht den bisherigen Erfolg der Handy-Signatur aus? Welchem Risiko sind die Anwender der Handy-Signatur tatsächlich ausgesetzt? Inwieweit besteht Handlungsbedarf?
Bereits 2015 wurden mehr mobile Geräte als PCs und Workstations auf den Markt gebracht. Dieser Trend wird nicht nur anhalten, sondern verstärkt zu beobachten sein. Die Verwaltung kann sich solchen Trends nicht verschließen, sondern muss diese Anforderung an die Agilität der Services annehmen. Sicherheit darf dabei nicht auf der Strecke bleiben und bei proaktiven Strategien, für die Österreich seit 15 Jahren international bekannt ist und im E-Government als Vorreiter gilt, kann dies auch im Sinne eines Sicherheitsfortschritts genutzt werden.
Österreich ist nicht nur bekannt und anerkannt mit der Handy-Signatur, sondern es hat diese innovative Form von Sicherheitstechnologie auch explizit in der neuen EU-Verordnung eIDaS Niederschlag gefunden. Erreichbar wurde dies durch den Konzept und Produktzyklus, den Österreich im E-Government eingeführt hat und der in den Basiselementen (Portalverbund, Handy-Signatur, ….) nun auch flächendeckende Wirkung zu zeigen beginnt. Der Zyklus reicht in einer abgestimmten Strategie von der offenen Innovation über die Verwaltungsebenen übergreifenden Koordination und Abstimmung hin zur Umsetzung.
· Verlust und Widerruf: Der Verlust, das Entwenden des Mobiltelefons wird aller Regel nach innerhalb von ein paar Stunden evident und damit ist dieser zeitliche Risikofaktor gegenüber einer Karte – auch einer Multifunktionskarte –, die oft über Tage hinweg ungenutzt und damit ein Verlust unerkannt bleibt, um einen Faktor verbessert.
· Der Widerruf selbst hat totale Wirkung, da nicht nur der Widerruf im Verzeichnis als Information erfolgt, sondern zusätzlich der Signaturschlüssel nicht mehr verwendet werden kann bzw. vernichtet wird.
· Mit dem Smartphone besitzt jeder eine „intelligente Tastatur“. Dies wurde im Kartenumfeld immer wieder versucht; intelligente Tastaturen haben sich aber aus Usability und Preisgründen nicht durchsetzen können. Mit der QR-APP als kryptographisch gesicherten, technisch an das initialisierte Gerät gebundenen SMS-Ersatz kommt dieser Effekt nicht nur zum Nulltarif, sondern bringt zusätzlichen Komfort, den die BenutzerIn an Bedürfnisse anpassen kann.
Qualifizierte Signatur als EU-weit anerkanntes Sicherheitstool ist zur Zeit Kernbestandteil des österreichischen E-Government und hat uns bereits seit 2010 in die Lage versetzt, den grenzüberschreitenden Bedarf genauso wie den nationalen Bedarf einzusammeln. Ohne dieses Sicherheits- und Datenschutzkonzept wäre uns der Vorsprung im Bereichen wie z.B. ELGA nicht gelungen – und dies wird nicht nur in Österreich so gesehen. Stetig steigende Nutzerzahlen und vor allem Nutzungen sowie Applikationen, die darauf abstellen, sind ein lebender Beweis dafür. Qualifizierte Heranführung der BürgerInnen und der Unternehmen an die Verwaltung sind Grundvoraussetzung für hohe Qualität der Daten und der Verfahren in der Verwaltung. Die Handy-Signatur ist dabei ein Grundpfeiler.
Auch wenn diese Situation medial sehr prominent aufgegriffen wurde, sind sich alle anerkannten Fachleute einig, dass darin keine neuen Erkenntnisse stecken. Die Grundproblematik „Phishing“ ist in IT-Zeiträumen gerechnet uralt und wurde in wesentlich ausgefeilterer Form als hier schon vor Jahren am BSI-Kongress diskutiert. Würde dieser Hinweis nicht allzu sehr einer Anleitung oder gar einem Anstiften nahekommen, könnten wir diese sogar als Beitrag zur User-Awareness begrüßen. Dieser Effekt scheint aber weder intendiert noch unintendiert hinüberzukommen. Die Sicherheitsarchitektur wurde in meinen Augen, da der aufgezeigte „Angriff“ nicht spezifisch auf die Handy-Signatur wirkt und auch kein Architekturelement ausnutzt, nicht wirklich angesprochen. Der so genannte Angriff wäre vergleichbar mit einem Pappkartonbankomaten, wo Sie ihre Karte stecken, PIN eingeben und dann eine falsche Karte mit dem Hinweis „funktioniert leider nicht“ zurückbekommen. Auch hier – und solche Fälle gab es vor Jahren im Ausland auf Autobahnstationen – ist Ihre Bank oder Ihr Kartenbetreiber nicht beteiligt und wird kaum Maßnahmen – mit Ausnahme der immer notwendigen Awareness – treffen können. Ein Unterschied ist allerdings hervorzuheben: Der „Betreiber des gefälschten Bankomaten“ wird nicht seinen gültigen Lichtbildausweis vorne auf den Bankomaten kleben, da Verbrecher sich eben nicht gerne ausweisen. Aber genau das müsste beim aufgezeigten Angriff geschehen, da die Handy-Signatur nur über https-Verbindungen – über Ausweise von Servern, die von anerkannten Zertifizierungsdiensteanbietern ausgegeben werden – funktioniert und daher diese Phishing-Attacke – wie das übrigens auch in der in den Medien vorgezeigten der Fall war – eine https-Verbindung aufbauen muss, um nicht sofort aufzufallen.
Wie gesagt, ist die Attacke nicht auf die Handy-Signatur abgestimmt und nutzt auch „keine Schwachstelle derselben“ aus. Natürlich muss man – und das machen auch die Banken regelmäßig – dem Benutzer sagen: Klicken eines Link in einer Mail ist ein großes Sicherheitsrisiko, weil man sich damit in den Bereich des oft gar nicht erkennbaren Absenders der Mail begibt und sich diesem ausliefert. Man muss sich schon die Mühe machen, solche Links abzutippen – zumindest einmal, dann kann man sie in die Lesezeichen geben, sofern man bei den Lesezeichen tatsächlich nur vertrauenswürdige Links verwaltet.
Wie geht es weiter dem österreichischen e-Government?
Auf der Confare Veranstaltung #Digitalize 2016 treffen Sie u.a. Christian Rupp, Sprecher der Plattform Digitales Österreich aus dem Bundeskanzleramt. Anmeldung und Details auf www.confare.at