PRIMENEWS
Stellungnahme: Handy-Signatur ist sicher panthermedia.net / Martin Fally
panthermedia.net / Martin Fally

Redaktion 31.05.2016

Stellungnahme: Handy-Signatur ist sicher

In der ORF-Nachrichtensendung ZiB 2 wurde am 30. Mai darüber berichtet, dass die Handy-Signatur „unsicher“ sei. Die A-Trust GmbH, die für die technische Infrastruktur der Handy-Signatur verantwortlich zeichnet, nimmt dazu jetzt Stellung.

WIEN. Die Handy-Signatur ist ein persönlicher, elektronischer Ausweis, der eine eindeutige Authentifizierung im Internet ermöglicht (Login). Mit der Signaturfunktion können zudem Verträge oder Rechnungen rechtsgültig elektronisch unterzeichnet werden. Die Handy-Signatur ist der handschriftlichen Unterschrift gleichgestellt. Insgesamt nutzen mehr als 650.000 Menschen in Österreich die Handy-Signatur für private und berufliche Zwecke – vom rechtsgültigen Unterschreiben über das Login in FinanzOnline bis hin zur Anmeldung eines Gewerbes oder der Beantragung von Kinderbetreuungsgeld.

"Noch nie kompromittiert"
A-Trust weist die Vorwürfe, die Handy-Signatur sei unsicher, "auf das Entschiedenste zurück", wie es in der Stellungnahme heißt, und hält fest, dass im ORF-Beitrag die Gefahr von Phishing mit der sicheren Technologie der Handy-Signatur thematisch vermischt wurde: "A-Trust versichert den Nutzerinnen und Nutzern der Handy-Signatur, dass diese von den angesprochenen Sicherheitslücken unberührt ist. Die Technologie der Handy-Signatur wurde bisher noch nie kompromittiert." Bei mehr als 11 Mio. Transaktionen sei A-Trust kein einziger Vorfall bekannt.
Die Handy-Signatur basiert auf der Zwei-Faktor-Authentifizierung (Besitz=Handy und Wissen=Passwort). Die Systeme und Programme zur Nutzung der Handy-Signatur werden laufend sowohl intern als auch extern auf ihre Sicherheit hin überprüft. Als akkreditierter Zertifizierungsdienste-Anbieter steht A-Trust zudem unter staatlicher Aufsicht; strengste Kontrollen durch die RTR (Rundfunk und Telekom Regulierungsbehörde) garantieren dabei größtmögliche Sicherheit.  

Was ist Phishing?
Bei Phishing-Attacken wird dem User eine nachgebaute Seite einer bestimmten Online-Anwendung vorgeführt. Ziel der Online-Betrüger ist es, Usern sensible Informationen wie Passwörter, Verfügernummern oder Kreditkartendaten zu entlocken. Dabei seien jene Masken mittlerweile so detailgetreu nachgebaut, dass es selbst erfahrenen Usern bei Unachtsamkeit passieren kann, in die Irre geführt zu werden. Vor allem im Bankensektor treten diese betrügerischen Attacken häufig auf, die die Eingabe von vertraulichen Daten verlangen (Online-Banking).
Ganz allgemein gelte: Nutzer der Handy-Signatur werden niemals per E-Mail aufgefordert, ihre sensiblen Daten einzugeben; die Verwendung der Handy-Signatur ist immer ein proaktiver Vorgang des Nutzers und niemals reaktiv. Als zusätzlichen Schutz vor Missbrauch wird bei jeder SMS bzw. jeder TAN ein Vergleichswert übermittelt, der auch tatsächlich verglichen werden sollte.

Wie kann man sich am besten schützen?
Schutz vor Phishing-Attacken, schreibt A-Trust, gewährt ein aufmerksamer Kontrollblick in die Adresszeile. Im Falle der Handy-Signatur sind ausschließlich die SSL-verschlüsselten Adresszeilen (URL) https://www.a-trust.at bzw. https://www.handy-signatur.at sicher; ist eine andere Adresse sichtbar, dürfen die Benutzerdaten keinesfalls eingegeben werden. Auch die Funktion „In eigenem Fenster anzeigen“ unterstützt den User dabei, einen möglichen Angriff zu erkennen, da die „neue Adresse“ gut sichtbar wird (Ausbrechen aus dem iFrame). Der User sollte immer überprüfen, auf welcher Webseite er sich gerade befindet – egal, ob es sich um Online-Banking, einen Einkauf via Kreditkarte oder die Nutzung einer Handy-Signatur-Anwendung handelt. (red)

BEWERTEN SIE DIESEN ARTIKEL

TEILEN SIE DIESEN ARTIKEL