PRIMENEWS
Stellungnahme: Handy-Signatur ist sicher panthermedia.net / Martin Fally
panthermedia.net / Martin Fally

Redaktion 31.05.2016

Stellungnahme: Handy-Signatur ist sicher

In der ORF-Nachrichtensendung ZiB 2 wurde am 30. Mai darüber berichtet, dass die Handy-Signatur „unsicher“ sei. Die A-Trust GmbH, die für die technische Infrastruktur der Handy-Signatur verantwortlich zeichnet, nimmt dazu jetzt Stellung.

WIEN. Die Handy-Signatur ist ein persönlicher, elektronischer Ausweis, der eine eindeutige Authentifizierung im Internet ermöglicht (Login). Mit der Signaturfunktion können zudem Verträge oder Rechnungen rechtsgültig elektronisch unterzeichnet werden. Die Handy-Signatur ist der handschriftlichen Unterschrift gleichgestellt. Insgesamt nutzen mehr als 650.000 Menschen in Österreich die Handy-Signatur für private und berufliche Zwecke – vom rechtsgültigen Unterschreiben über das Login in FinanzOnline bis hin zur Anmeldung eines Gewerbes oder der Beantragung von Kinderbetreuungsgeld.

"Noch nie kompromittiert"
A-Trust weist die Vorwürfe, die Handy-Signatur sei unsicher, "auf das Entschiedenste zurück", wie es in der Stellungnahme heißt, und hält fest, dass im ORF-Beitrag die Gefahr von Phishing mit der sicheren Technologie der Handy-Signatur thematisch vermischt wurde: "A-Trust versichert den Nutzerinnen und Nutzern der Handy-Signatur, dass diese von den angesprochenen Sicherheitslücken unberührt ist. Die Technologie der Handy-Signatur wurde bisher noch nie kompromittiert." Bei mehr als 11 Mio. Transaktionen sei A-Trust kein einziger Vorfall bekannt.
Die Handy-Signatur basiert auf der Zwei-Faktor-Authentifizierung (Besitz=Handy und Wissen=Passwort). Die Systeme und Programme zur Nutzung der Handy-Signatur werden laufend sowohl intern als auch extern auf ihre Sicherheit hin überprüft. Als akkreditierter Zertifizierungsdienste-Anbieter steht A-Trust zudem unter staatlicher Aufsicht; strengste Kontrollen durch die RTR (Rundfunk und Telekom Regulierungsbehörde) garantieren dabei größtmögliche Sicherheit.  

Was ist Phishing?
Bei Phishing-Attacken wird dem User eine nachgebaute Seite einer bestimmten Online-Anwendung vorgeführt. Ziel der Online-Betrüger ist es, Usern sensible Informationen wie Passwörter, Verfügernummern oder Kreditkartendaten zu entlocken. Dabei seien jene Masken mittlerweile so detailgetreu nachgebaut, dass es selbst erfahrenen Usern bei Unachtsamkeit passieren kann, in die Irre geführt zu werden. Vor allem im Bankensektor treten diese betrügerischen Attacken häufig auf, die die Eingabe von vertraulichen Daten verlangen (Online-Banking).
Ganz allgemein gelte: Nutzer der Handy-Signatur werden niemals per E-Mail aufgefordert, ihre sensiblen Daten einzugeben; die Verwendung der Handy-Signatur ist immer ein proaktiver Vorgang des Nutzers und niemals reaktiv. Als zusätzlichen Schutz vor Missbrauch wird bei jeder SMS bzw. jeder TAN ein Vergleichswert übermittelt, der auch tatsächlich verglichen werden sollte.

Wie kann man sich am besten schützen?
Schutz vor Phishing-Attacken, schreibt A-Trust, gewährt ein aufmerksamer Kontrollblick in die Adresszeile. Im Falle der Handy-Signatur sind ausschließlich die SSL-verschlüsselten Adresszeilen (URL) https://www.a-trust.at bzw. https://www.handy-signatur.at sicher; ist eine andere Adresse sichtbar, dürfen die Benutzerdaten keinesfalls eingegeben werden. Auch die Funktion „In eigenem Fenster anzeigen“ unterstützt den User dabei, einen möglichen Angriff zu erkennen, da die „neue Adresse“ gut sichtbar wird (Ausbrechen aus dem iFrame). Der User sollte immer überprüfen, auf welcher Webseite er sich gerade befindet – egal, ob es sich um Online-Banking, einen Einkauf via Kreditkarte oder die Nutzung einer Handy-Signatur-Anwendung handelt. (red)

BEWERTEN SIE DIESEN ARTIKEL

TEILEN SIE DIESEN ARTIKEL

Ihr Kommentar zum Thema (1)

  • Gustav Ganz – Dienstag, 31. Mai 2016, 18:21
    Mit "wurde bisher noch nicht kompromittiert" widerlegt man ja nicht, dass ein System unsicher ist. Die europäische Zentralbank empfiehlt jedenfalls den Bank die Abkehr vom mTAG-Verfahren, dass der Handysignatur entspricht, und verbietet die Verwendung im Online-Banking für höhere Beträge. 11 Mio. Transaktionen ist übrigens verglichen mit dem was sonst im Internet passiert fast nix. Auf der schmalen Datenbasis kann man auch nur wenig Erfahrung sammeln. Die Handsignatur kann bei umsichtiger Nutzung eine 2-Faktor Authentifizierung sein, aber nichts hindert den unbedarften Benutzer direkt am Handy seine Handysignatur anzuwenden, und damit es zur 1-Faktorauthentifizeirung zu reduzieren. Ein akkreditierter Zertifizierungsdienste-Anbieter zu sein und RTR garantieren nicht viel, da geht es vor allem um die Sicherheit des Root-Zertifikats, der Schutz gegen den großen Rest von Angriffsmöglichkeiten wird keinesfalls "garantiert" im Sinne von gehaftet, da bleibt der Benutzer im Schadensfall übrig. SMS/TAN als hochsicheren Schutz gegen Phishing zu erklären wurde widerlegt durch die Verbreitung von Banking-Trojanern. Diese könnte man mit wenig Aufwand auf die Handysignatur adaptieren, wenn sich der MArkt genug entwickelt damit sich Angriffe lohnen. Der Kontrollblick in die Adresszeile der Browsers bietet leider schon lange keinen effektiven Schutz gegen Phishing, weil das System der Browser-PKI (mit denen die Zertifikate der Server bestätigt werden) x-fach gehackt wurde und es für Kriminelle und Überwachungsorganisationen leicht ist sich gefälschte Zertifikate zu besorgen, die dem Benutzer auch bei genauem Blick in die Adressezeile als sicher erscheinen. Der beste Schutz wäre eine Regelung analog zum NFC-Paymenbt mit der Bankomatkarte, wo das Betragslimit größere Schäden verhindert. Es gibt auch alternative technische Lösungen zur 2-Faktor-Authentifizierung, die besser funktionieren als die Bürgerkarte mit Chip und die ziemlich gut geschützt werden können.