Handy-Signatur: IT-Ziviltechniker(innen) warnen vor Sicherheitslücken bei E-Government-Services; 30. Mai 2016

Handy-Signatur: IT-Ziviltechniker(innen) warnen vor Sicherheitslücken bei E-Government-Services; Bericht im ORF/ZIB 2 am Montag, 30. Mai 2016

Link zum Beitrag in der ORF Mediathek.

Die E-Government-Aktivitäten des Bundes, der Länder, Städte und Gemeinden sowie der Sozialversicherungen und Wirtschaftskammer sind grundsätzlich sehr zu begrüßen. Der neu geschaffene, vereinfachte Zugang via Handy-Signatur ist mit über 640.000 Benutzer(inne)n und über 200 E-Services ein Erfolg. "Dennoch dürfen Qualität und Sicherheit dieses Verfahrens nicht vernachlässigt werden", warnt DI Peter Bauer, Präsident der Kammer der Architekten und Ingenieurkonsulenten für Wien, Niederösterreich und Burgenland.

"Derzeit bestehen alarmierende Sicherheitslücken, die etwa den Identitätsdiebstahl durch Hacker möglich machen. Ein Missbrauch der rechtsgültigen Unterschrift, der Handy-Signatur, ist nicht auszuschließen", berichtet DI Thomas Hrdinka, Vorsitzender der zuständigen Fachgruppe IT.

Die Fachgruppe Informationstechnologie hat die bestehenden Sicherheitslücken verifiziert und benannt, mit der dringlichen Bitte um Behebung. "Es ist wichtig, mehr Bewusstsein für diese Art der realen Bedrohung und Missbrauchsmöglichkeiten zu schaffen. In Kombination mit einem "Man-in-the-middle"(MITM)-Angriff muss man die Sicherheit der derzeitigen Implementierung der Handy-Signatur hinterfragen", appelliert Hrdinka und fordert höhere Sicherheitsstandards.

Folgende Gefährdungen sind akut:

  • Identitätsdiebstahl, besonders im Zuge des Registrierungsprozesses, z.B. mit gefälschten Dokumenten
  • Identitätsübernahme mit Signaturmöglichkeit, der rechtsgültigen Unterschrift
  • SMS-TAN-Phishing

Sicherheit vor Risiken: Verbesserungen gefordert

Die Warnung der Fachgruppe IT liegt den verantwortlichen Stellen im Bundeskanzleramt, der der Aufsichtsbehörde RTR, A-Trust und der Bestätigungsstelle A-SIT vor. "Wir appellieren an die verantwortlichen Stellen zu agieren, die Sicherheit dem Stand der Technik gemäß herzustellen und im Sinne der Bürger(innen) zu gewährleisten", fordert Hrdinka.

Voraussetzungen sind:

  • Erstellung eines Sicherheitskonzeptes, das den Webbrowser mitumfasst. Dieser ist derzeit von der Bescheinigung, die die Sicherheit des Verfahrens attestiert, ausgenommen.
  • Umgehendes Trennen von Services, Erstellung von Spielregeln für die Benennung von E-Service-Domains, damit es nicht hunderte Phishing-Ziele gibt.

Die Kammer der Architekten und Ingenieurkonsulenten für Wien, Niederösterreich und Burgenland empfiehlt, unabhängige Fachexpert(inn)en in kritische E-Government-Verfahren einzubinden. IT-Ziviltechniker(innen) sind als staatlich beeidete Vertrauenspersonen prädestiniert für diese Aufgaben. Selbstverständlich werden die Expert(inn)en der Fachgruppe IT nach einem angemessenen Zeitraum zur Behebung dieses Mangels abermals die Sicherheit der Handy-Signatur bei E-Government-Services kontrollieren und an dieser Stelle informieren.