Österreich gehört europaweit zu den Vorreitern bei der elektronischen Verwaltung. Der erste Versuch der Bürokratie, die Amtsstube ins Internet zu bringen, war die sogenannte Bürgerkarte. Seit 2003 kann man sich die E-Card als Bürgerkarte freischalten lassen und -in Verbindung mit einem Kartenlesegerät -für die Erledigung verschiedener Amtswege verwenden. Bei den Bürgern kam die Karte jedoch nicht besonders gut an: Zu kompliziert gestaltet sich die Verwendung. Die Handysignatur, die es seit einiger Zeit gibt, ist da schon viel beliebter. 650.000 Handysignaturen sind in Österreich bereits in Verwendung. Die Regierung setzt deshalb ganz auf den Ausbau dieser Dienstleistung.
Was ist die Handysignatur?
Dabei handelt es sich um einen elektronischen Ausweis, der eine eindeutige Identifizierung im Internet ermöglicht. Die Handysignatur dient als Möglichkeit, behördliche Dokumente rechtsgültig zu unterschreiben. Einmal freigeschaltet, können mit ihr viele Amtswege bequem, zeit-und kostensparend per Handy absolviert werden. Mit der Handynummer und einem Passwort kann man sich einloggen. Als Unterschrift dient ein sogenannter Tan-Code, den man - ähnlich wie beim E-Banking - aufs Handy bekommt und der dann einmalig als eigene Unterschrift dient.
Welche Vorteile hat die Handysignatur?
Das ist eine Möglichkeit, sich elektronisch auszuweisen und behördliche Dokumente rechtsverbindlich zu unterschreiben. Mehr als 200 Services bieten die Behörden inzwischen an. Die Dienstleistungen reichen von Finanzonline, wo sich der Steuerausgleich machen lässt, bis zum Einblick in das eigene Pensionskonto. Man kann sie digital erledigen und spart sich den Amtsweg, und die Handysignatur ist gratis. Die Möglichkeiten, wie man die Signatur freischaltet, finden sich unter www.handysignatur.at. Die so getätigten Amtswege sind aber nicht nur schneller erledigt, sondern auch günstiger, als wenn man sich selbst aufs Amt bemüht. 40 Prozent weniger an Bundesgebühr müssen so bezahlt werden. Wer beispielsweise ein Gewerbe anmeldet, bezahlt statt 47,30 Euro nur 28,40 Euro Gebühr.
Was ist Phishing?
Phishing ist ein Neologismus, gebildet aus "fishing", also fischen. Darunter versteht man das kriminell motivierte Abfischen von Daten. Beim Phishing wird von Kriminellen eine Homepage nachgebaut, die aussieht wie ein Service, das man selbst verwendet. Bekannt ist das Phishing vor allem vom E-Banking, wo Betrüger die Homepages der Bankinstitute täuschend echt nachbauen, in der Hoffnung, dass Kunden dort dann ihre Zugangsdaten eingeben. Die Kriminellen protokollieren die Eingaben mit, erhalten so Zugang zum echten Bankkonto und bedienen sich dort. Phishing ist, wenn es perfekt gemacht ist, nicht so leicht zu vermeiden.
Laut IT-Sicherheitsexperte Wolfgang Prentner besteht das Risiko auch bei der Handysignatur. Es sei sogar um ein Vielfaches höher, weil es so viele Angebote gibt, die Kriminelle nachbauen könnten. Außerdem würde staatlichen Dienstleistungen ein hohes Vertrauen entgegengebracht. Dass auch hier Phishing stattfinden könnte, sei kaum bekannt. Für die Republik stellt die Firma A-Trust die technische Infrastruktur für die Handysignatur zur Verfügung. Laut A-Trust ist es bei elf Millionen Transaktionen, die es bisher mit der Handysignatur gab, jedoch noch nie zu einem kriminellen Vorfall gekommen.
Besteht Gefahr bei der Handysignatur?
Ein Problem der Handysignatur ist laut Wolfgang Prentner, dass sie einerseits als digitale Unterschrift dient, andererseits aber auch als Login, um Zugriff zu behördlichen Dokumenten zu erhalten. Wenn Kriminelle eine Phishing-Seite erstellen, beispielsweise von Finanzonline, und man dort die Daten seiner Handysignatur eingibt, würde das Problem beginnen. Die Kriminellen könnten sich in den echten Dokumentenbereich einloggen und die Signaturdaten anfordern. Der Kunde erhält einen Tan-Code per SMS aufs Handy. Dass Kriminelle gerade in seinem Dokumentenbereich sind, weiß er nicht. Er gibt den Tan-Code auf der Phishing-Seite ein, und schon haben sie das angeforderte Dokument in ihrem Besitz. Je wichtiger das Dokument, desto größer der Schaden. Je mehr Menschen die Handysignatur nutzen, desto attraktiver wird es für Kriminelle, hier Phishing zu betreiben. Besonders heikel findet Experte Prentner die Möglichkeit, mittels Handysignatur auf Gesundheitsdaten, etwa auf die elektronische Gesundheitsakte Elga, zuzugreifen.
Wie kann man sich schützen?
Niemand, der ein sensibles Service, zum Beispiel E-Banking oder Handysignatur, nützt, wird jemals vom Betreiber auf unsicherem Weg, beispielsweise per E-Mail, aufgefordert werden, seine Daten irgendwo einzugeben. Man sollte in diesem Fall von krimineller Absicht ausgehen. Jeder Tan-Code der Handysignatur enthält einen Vergleichswert -eine Nummer, die man mit dem Wert auf der Homepage vergleichen sollte. Passt er nicht, sollte man sich nicht einloggen.
Weitere Hinweise findet man auf www.a-trust.at. IT-Sicherheitsexperte Prentner fordert aber auch technische Änderungen: "Unterschrift und Login müssen unbedingt getrennt werden, das würde die Sicherheit erhöhen." Mitte Juli wird eine Konferenz mit allen wesentlichen Akteuren das Thema angehen. Als Faustregel kann aber sicher dienen, dass man nur die Webservices nutzen sollte, für die man sich auch kompetent genug fühlt.
Kommentare
Ergänzung zu den langen Wartezeiten: Oftmals präpotent auftretende Beamte. Trotzdem werde ich keine Handysignatur beantragen, da quäle ich mich lieber selber aufs Amt.
Im Vorjahr habe ich in mehrmonatigem Abstand zwei mails erhalten, wo ich ersucht wurde, meine Bankdaten abzugleichen. Das habe ich natürlich nicht getan, denn keine Bank wird von seinen Kunden Daten per e-mail anfordern, ........
... So was wird nur persönlich gemacht!
Es ist auch ein kleiner(!) Fehler bei der nachgebauten Homepage passiert, und da ich Sinn für Details habe, ist mir das sofort aufgefallen. :-)