ID Austria
Die „ID Austria“ ist eine Methode zur digitalen Authentifizierung in Österreich. Sie ermöglicht es, die eigene Identität gegenüber Behörden und privaten Dienstanbietern auf digitalem Weg online nachzuweisen, primär bei der Anmeldung bei Webdiensten. Die ID Austria ist mit 5. Dezember 2023 in Vollbetrieb gegangen und löst die zuvor bestehenden Lösungen „Handy-Signatur“ und „Bürgerkarte“ ab.[1]
Mit der ID Austria können neben der Authentifizierung gegenüber Behörden und Dienstanbietern auch qualifizierte elektronische Signaturen, beispielsweise auf PDF-Dokumenten, erstellt werden. Diese elektronischen Unterschriften sind rechtlich im Rahmen des österreichischen E-Governments der eigenhändigen Unterschrift im Sinne des § 886 ABGB gleichgestellt. Weiters dient die ID Austria bei der Verwendung von kompatiblen Smartphones auch als digitale Ausweisplattform, z. B. für den digitalen Führerschein oder den digitalen Altersnachweis. Mit der technischen Betreuung und dem Betrieb der ID Austria wurde A-Trust beauftragt, eine privatrechtliche Firma, die als Kooperation österreichischer Kammern und Banken tätig ist.
Allgemeines
BearbeitenDie Authentifizierung und darauf aufbauende Dienste wie die elektronische Unterschrift sind an digitale Zertifikate mit einem zeitlichen Ablauf von fünf Jahren gebunden. Nach dieser Zeit verliert das Zertifikat seine Gültigkeit und muss bei Bedarf und vor Ablauf der Gültigkeit erneuert werden.[2][3] Im Gegensatz zur Bürgerkarte, welche auf Prozessorchipkarten basiert und das Signaturzertifikat direkt auf der Chipkarte speichert, verbleiben bei der ID Austria die Zertifikate auf den Rechnersystemen der A-Trust.
Die ID Austria kann, mit Stand Ende 2023, in zwei Funktionsstufen genutzt werden:[4][5] Sie ist auch für Personen ohne österreichische Staatsbürgerschaft erhältlich, sofern ein ausreichender Bezug zu Österreich gegeben ist und das 14. Lebensjahr vollendet ist.[6]
- Die ID Austria mit Basisfunktion (auch: ID Austria Basic) entspricht im Funktionsumfang der zuvor bestehenden Handy-Signatur. Es wird ein Zwei-Faktor-Authentisierungsverfahren via SMS-TAN eingesetzt, was die Nutzung von herkömmlichen Mobiltelefonen erlaubt. Alternativ können auch die Zwei-Faktor-Authentisierung mittels Mobile App auf einem Smartphone oder ein oder mehrere FIDO2-Token aus der Vollversion verwendet werden. Die Zertifikate der ID Austria mit Basisfunktion können grundsätzlich nicht verlängert werden, was dazu führt, dass spätestens mit 6. Dezember 2028 keine ID Austria mit Basisfunktion besteht.[7] Zu einer Verlängerung des Zertifikates muss auf die ID Austria mit Vollfunktion umgestellt werden.
- Die ID Austria mit Vollfunktion bietet die gleichen Funktionen wie die ID Austria mit Basisfunktion und zudem erweiterte Fähigkeiten wie die Option, auf tauglichen Smartphones und auf Österreich eingeschränkt, digitale Ausweisfunktionen nutzen zu können. Weiters ist für das Zwei-Faktor-Authentisierungsverfahren die SMS-TAN nicht mehr verfügbar, was die Nutzung von einfachen Mobiltelefonen ausschließt. Stattdessen müssen als Zwei-Faktor-Authentisierungsverfahren spezielle Mobile Apps auf einem Smartphone oder ein oder mehrere Security-Token nach dem Standard FIDO2 mit einer Level-2-Zertifizierung genutzt werden. Das SMS-TAN-Verfahren wird allerdings entgegen Sicherheitsbedenken weiterhin auch bei der ID Austria mit Vollfunktion genutzt, um bei Verlust des Smartphones oder Security-Tokens und bei hinterlegter Mobilfunknummer ohne eine Neuregistrierung bei der Behörde ein neues Smartphone bzw. neuen Security-Token aktivieren zu können.[8]
Für die praktische Nutzung der ID Austria mit Vollfunktion bestehen mit Stand Ende 2023 folgende vier Möglichkeiten:[9]
- Auf entsprechend kompatiblen Smartphones die Mobile App „Digitales Amt“ der Republik Österreich
- Auf entsprechend kompatiblen Smartphones die Mobile App „A-Trust Signatur“ der Firma A-Trust
- Die Nutzung eines FIDO2-Security-Token mit einer Level-2-FIDO-Zertifizierung und einen Webbrowser. Diese Methode erlaubt die Nutzung der ID Austria ohne Smartphone, es wird aber ein herkömmliches Mobiltelefon mit SMS-Empfang bei der Anmeldung vorausgesetzt.
- Eine bestehende Bürgerkarte, wobei diese in Praxis nur eine geringe Verbreitung aufweist
Für die Nutzung von einer der beiden Mobile Apps sind speziell ausgestattete Smartphones zu verwenden. So muss bei der Mobile App „Digitales Amt“ der Republik Österreich das Smartphone mit Fingerabdrucksensor oder Gesichtserkennung ausgestattet und diese Funktion aktiviert sein und bestimmte Betriebssystemversionen müssen erfüllt sein.[10] Die Nutzung von freien Betriebssysteme wie LineageOS am Smartphone bzw. Einstellungen, die dem Benutzer am eigenen Gerät einen Root-Zugang ermöglichen, ist untersagt.[11] Die Mobile App „A-Trust Signatur“ von der Firma A-Trust setzt weniger Einschränkungen voraus, es wird aber in beiden Fällen eine Registrierung bzw. ein Benutzerkonto bei den kommerziellen App Stores – entweder bei Google für die Nutzung von Google Play oder bei Apple für den App Store – vorausgesetzt, da die Mobile Apps nur über diese beiden Plattformen verfügbar sind.[12][13] Eine Nutzung von freien App Stores wie F-Droid wird nicht angeboten. Außerdem setzen beide Mobile Apps sogenannte Tracker ein. Vom Entwicklerteam der Mobile App „Digitales Amt“ besteht zum Einsatz von Trackern die Aussage gegenüber epicenter.works, dass die zugrundeliegende Technik nur für Push-Benachrichtigungen am Smartphone verwendet wird und das eigentliche Tracking deaktiviert wurde.[9]
Bei Verzicht auf die Mobile App bzw. als Ergänzung dazu besteht die Möglichkeit der Nutzung eines FIDO2-Tokens mit der Zertifizierungsstufe 2 an einem PC mit einem Webbrowser, der FIDO2 bzw. WebAuthn unterstützt. Der FIDO2-Token muss dabei vor seiner Registrierung für die ID Austria mit einer PIN konfiguriert werden, und es werden im Rahmen von FIDO2 sogenannte discoverable credentials eingesetzt, gleichwohl muss man sich mit seiner Benutzerkennung und dem Signaturpasswort anmelden.[14][15] Herkömmliche FIDO2-Token wie der YubiKey 5 NFC sind mit Stufe 1 zertifiziert und lassen sich daher nicht mit der ID Austria nutzen.[16]
Bei Nutzung der ID Austria mit Vollfunktion und der Verwendung der Mobile App „Digitales Amt“ können auch Ausweise wie der Führerschein digital im Smartphone abgelegt und gegenüber Behörden bei Verkehrskontrollen in Österreich als Nachweis verwendet werden. Dabei kommt ein zeitlich nur kurzfristig gültiger QR-Code am Smartphone zum Einsatz, welcher vom amtlichen Lesegerät optisch eingelesen wird und über eine Datenverknüpfung überprüft werden kann. Wesentlich für den Bürger ist, dass aufgrund der nationalen Beschränkung der ID Austria digitale Ausweise wie der elektronische Führerschein mit Stand Ende 2023 nur in Österreich gelten und bei Fahrten ins Ausland, auch in benachbarte EU-Staaten, die ausschließliche Mitführung des elektronischen Führerscheins am Smartphone eine Ordnungswidrigkeit Fahren ohne Führerschein darstellt.[17]
Geschichte
BearbeitenUrsprünglich hatte 2003 die mobilkom Austria die Technologie A1-Signatur eingeführt, diese wurde per 16. Oktober 2007 eingestellt. Ende 2009 wurde mit der Handysignatur der A-Trust wieder eine Bürgerkarte am Mobiltelefon gestartet.[18] Diese wurde im Rahmen des EU-Programms STORK (Secure idenTity acrOss boRders linKed) entwickelt.[19]
Im Jahr 2012 waren etwa 60.000 Handysignaturen aktiviert, das sind unter 1 % der Bürger, und etwa ein Drittel aller Bürgerkarten in verschiedenen Formen.[20] Wie auch die Bürgerkarte insgesamt wurde die Anmeldung als aufwändig beurteilt,[20] und sie galt als in der Bevölkerung weitgehend unbekannt,[21] oder es gibt Vorbehalte wegen der Sicherheit.[22] Versuche, sie über die Mobilfunkbetreiber zu propagieren, waren relativ erfolglos.[21][23]
Anfang 2014 gab es bei der Handy-Signatur 300.000 registrierte Personen, mit monatlich um die 20.000 Neuanmeldungen. Damit war die Handy-Signatur die zu dieser Zeit verbreitetste Form der Bürgerkarte: von den für die Funktion aktivierten SmartCards gab es um die 150.000 Stück.[24] Nach einer Studie Mitte 2014 besaßen inzwischen 18 % der Online-Bevölkerung eine kartenlesertaugliche Bürgerkarte und 21 % die Handy-Signatur.[25] Nach dieser Studie wurde auch die Zukunft der Bürgerkarte in der Handysignatur gesehen (69 % der Befragten), da das Mobiltelefon inzwischen in einer breiten Bevölkerungsschicht zum Alltag gehört, und gerade von sozial schwächeren Schichten, für die die Einrichtung eines Kartenlesers für zuhause eine zusätzliche Hemmschwelle ist, intensiv genutzt wird.[25]
Der Vorzug der Signierungsmethode mittels Handy-Signatur gegenüber einer Chipkarte, welche früher auf der e-card der Krankenversicherung als Bürgerkarte untergebracht war, dass das Vorhandensein eines Chipkartenlesers respektive Installation einer speziellen Software am Computer entfällt. Mit Stand März 2014 hatte das Außenministerium als Pilotprojekt Registrierungsstellen an den Österreichischen Botschaften in London, Madrid und in Deutschland (Berlin und München) betrieben, um auch Auslandsösterreichern den Zugang zu bieten. Zulässig waren österreichische, deutsche wie auch englische beziehungsweise spanische Telefonnummern.[26]
Ein Vorteil der österreichischen Lösung Handy-Signatur war, dass die anderen Technologien von der Hardware wie auch der Plattform (Betriebssystem) des Smartphones abhängig sind, und an diese hohe Anforderungen stellt, weil das Kryptographiemodul am Endgerät läuft, während die österreichische Lösung mit der Handy-Signatur, wo die Rechenlast der Zertifikatbetreiber trägt, auch für einfache Handys älterer Generationen tauglich ist.[27] Außerdem lässt sie sich einfach zwischen Mobilfunkanbietern portieren und roamen, weil die Evaluierung über den zentralen Datenserver einzig die Telefonnummer des Unterzeichnenden erfordert, und nicht mit der SIM-Karte oder einem providergebundenen Handy verknüpft ist.[27][28]
Seit 1. Jänner 2018 können auch Volksbegehren mittels Handy-Signatur oder Bürgerkarte unterschrieben werden. Dies gilt sowohl für die Abgabe einer Unterstützungserklärung als auch für die Unterzeichnung eines Volksbegehrens.[29] Im Oktober 2018 nutzen mehr als 1,05 Millionen Benutzer die Handy-Signatur.[30]
Einen großen Ansturm erlebte die Aktivierung der Handy-Signatur mit Einführung des Grünen Passes während der Covid-19-Pandemie. So stiegen die Neuaktivierungen im Mai 2021 noch knapp vor der Einführung des Covid-Nachweises auf 170.000 von üblicherweise 30.000 bis 40.000. Aber auch die Verwendung verdoppelte sich in dieser Zeit auf rund 200.000.[31]
Die ID Austria, der Nachfolger von Handy-Signatur und Bürgerkarte, wird seit 2021 in einer Pilotphase getestet. Seit Sommer 2022 ist der Umstieg auf die ID Austria möglich. Der Parallelbetrieb von Handy-Signatur und ID Austria endete am 5. Dezember 2023, seither ersetzt die ID Austria die bisherige Handy-Signatur.
Sicherheitsbedenken
BearbeitenVon den drei mit Stand 2012 etablierten Technologien der mobilen Signatur, der Lösung mit einem Kryptographiemodul auf der SIM-Karte oder auf einer microSD-Karte, wie auch einer fest implementierten On Board Key Generation (die alle dem Standard ETSI Mobile Signature Services, MSS basieren),[32][28] und der österreichischen SMS-basierten PIN-TAN-Lösung bei der Handy-Signatur wird die letztere als die sicherste beurteilt.[27] Sie beruht auf einer Trennung der lokalen und der webserverseitigen Verifizierung, sodass ein Angreifer beide Nachrichten abfangen müsste. Prinzipiell sind alle Verfahren auf Phishing gefährdet, bei der Handysignatur dort, wo man die Telefonnummer angibt, dabei müsste der Angreifer aber noch das zurückgesendete SMS auslesen, und auch dafür sorgen, dass er die TAN schneller eingibt, indem er die SMS vor dem Empfänger versteckt.[33]
Eine qualifizierte Signatur entsteht jedoch nur dann, wenn man vorschriftsgemäß zwei verschiedene Endgeräte verwendet,[27] also indem man etwa auf einem normalen Computer die TAN-SMS anfordert, sie auf das Handy gesendet bekommt und diese manuell auf den Computer wieder eingibt. Wenn man das Handy als Sende- und Empfangsgerät benutzt, also sich direkt mit dem Browser des Smartphones einloggt – was bei internetfähigen Smartphones im Prinzip die komfortablere Lösung darstellt – ergeben sich wie bei den MSS-Verfahren gewisse zusätzliche Angriffspunkte.[32]
Zwar entsteht durch die zentrale Datenbank und Verschlüsselung eine weitere Angriffsstelle, aber auch dann müsste der Angreifer zumindest das Webinterface oder das Handy ebenfalls unter Kontrolle gebracht haben. Dass die Stammzahl der Person, der österreichweite eindeutige Identifikator einer Person zum Nachweis der Personenbindung, der etwa bei den SmartCart-Lösungen der Bürgerkarte (verschlüsselt zusammen mit Name, Geburtsdatum und öffentlichem Schlüssel der asymmetrischen Verschlüsselung) auf die Chipkarte geschrieben wird, bei der Handy-Signatur eben nicht auf die SIM-Karte eingetragen wird, sondern beim Authentifizierer hinterlegt ist, kann sicherheitstechnisch als Vorteil gesehen werden, was den Verlust und die Datensicherheit des Handys betrifft, aber auch als Nachteil, weil die Registrierungsstelle (Registration Authority) mit dem Zertifizierungsdienstanbieter (Certification Authority) im Sinne der MMS identisch ist.[34]
Literatur
Bearbeiten- Thomas Zefferer, Peter Teufl: Evaluierung mobiler Signaturlösungen auf Smartphones. Version 1.4, 24. April 2012 (PDF, egiz.gv.at).
Weblinks
Bearbeiten- Meine ID Austria verwalten auf oesterreich.gv.at
- ID Austria als qualifiziertes Signaturservice von A-Trust
- eid.egiz.gv.at, technische Informationen zur ID Austria
Einzelnachweise
Bearbeiten- ↑ ID Austria auf oesterreich.gv.at abgerufen am 5. Dezember 2023
- ↑ A-Trust – Willkommen beim Handy-Signatur Verlängerungsservice der A-Trust. In: A-Trust. Abgerufen am 14. Oktober 2023.
- ↑ FAQ: Registrierung. In: oesterreich.gv.at. 28. Juni 2023, abgerufen am 14. Oktober 2023.
- ↑ A-Trust | News. Alle Fakten zum Umstieg von der Handy-Signatur auf die ID Austria im Überblick. In: A-Trust. 10. Oktober 2023, abgerufen am 12. Oktober 2023.
- ↑ ID Austria | A-Trust. Qualifizierte Signaturservices, ID Austria. In: A-Trust. Abgerufen am 12. Oktober 2023.
- ↑ FAQ: Registrierung. In: oesterreich.gv.at. 4. Dezember 2023, abgerufen am 21. März 2024.
- ↑ FAQ: Kontoverwaltung, Passwort, Verlust. In: oesterreich.gv.at. 26. Juni 2023, abgerufen am 14. Oktober 2023.
- ↑ Mobiltelefonnummer hinterlegen/ändern. Abgerufen am 19. Dezember 2023.
- ↑ a b How To: ID Austria ohne Zwang - epicenter.works. 3. November 2023, abgerufen am 19. Dezember 2023.
- ↑ Systemanforderungen App Digitales Amt. Abgerufen am 16. November 2023.
- ↑ Systemanforderungen App Digitales Amt - Offener Root-Zugang. Abgerufen am 16. November 2023.
- ↑ Digitales Amt. In: App Store (iOS). Abgerufen am 12. Oktober 2023.
- ↑ Digitales Amt – Apps bei Google Play. In: Google Play. Abgerufen am 12. Oktober 2023.
- ↑ FAQ: Allgemeines zu ID Austria. Wie funktioniert die Nutzung der ID Austria mit FIDO-Sicherheitsschlüssel? In: oesterreich.gv.at. 10. Oktober 2023, abgerufen am 12. Oktober 2023.
- ↑ FAQ: Allgemeines zu ID Austria. Welche FIDO-Sicherheitsschlüssel sind mit ID Austria kompatibel und wo sind sie erhältlich? In: oesterreich.gv.at. 8. November 2023, abgerufen am 19. November 2023.
- ↑ Austrian government adds YubiKeys to its electronic ID system. Yubico, abgerufen am 16. November 2023.
- ↑ Digitaler Führerschein, FAQ. Abgerufen am 19. Dezember 2023.
- ↑ A-Trust Handy Signatur. Abgerufen am 8. Februar 2021.
- ↑ Josef Ostermayer: Österreich im E-Government Ranking 2010 wieder auf Platz 1 ( vom 16. Dezember 2014 im Internet Archive), Pressemitteilung, Bundeskanzleramt, 15. Dezember 2010, auf bka.gv.at;
Vergl. eid-stork.eu - ↑ a b Handy-Signatur im Test: Mühsam zum Ziel, futurezone.at, 3. November 2012, abgerufen am 7. Dezember 2014.
- ↑ a b Die Bürgerkarte hat ein Henne-Ei-Problem, Gregor Gruber in futurezone.at, 3. November 2010, abgerufen am 7. Dezember 2014.
- ↑ Österreicher vertrauen Bürgerkarte nicht: Studie zeigt Skepsis gegenüber E-Government und digitaler Identität, futurezone.at, 3. August 2012, abgerufen am 7. Dezember 2014.
- ↑ A1 will Handysignatur pushen. derStandard online, 27. Jänner 2014, abgerufen am 7. Dezember 2014.
- ↑ [1], 27. März 2014; zitiert in BRZ-Presseservice: Pressespiegel März 2014 ( vom 15. Dezember 2014 im Internet Archive), S. 54 (PDF, brz.gv.at)
- ↑ a b eGovernment MONITOR 2014, Studie der Initiative D21 und ipima, durchgeführt von TNS Infratest;
E-Government MONITOR 2014 präsentiert, Presseaussendung APA OTS0108, 29. September 2014;
Download der Studie via egovernment-monitor.de (PDF ( vom 11. Dezember 2014 im Internet Archive), auf initiatived21.de; abgerufen am 9. Dezember 2014);
Auszüge und Interpretation der Ergebnisse für Österreich: Österreich bei E-Government weiter top ( vom 11. Dezember 2014 im Internet Archive), gemeindebund.at, 7. Oktober 2014;
Der Ausdruck „Online-Bevölkerung“ bezieht sich auf die Auswahl der Befragten aus dem Online-Panel, das im Allgemeinen eine Internet-affinen Bevölkerungsteil repräsentiert; Angabe nach eGovernment MONITOR 2014, Abschnitt Studiensteckbrief: Auswahl, S. 5. - ↑ Handy-Signatur ( des vom 13. Dezember 2014 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis. , bmeia.gv.at → Leben im Ausland.
- ↑ a b c d Lit. Zefferer, Teufl 2012, 5.4 Schlussfolgerungen, S. 43.
- ↑ a b In Estland, Finnland und der Türkei sind Angebote von Mobilfunkbetreibern und/oder der finnischen Firma Valimo Wireless erfolgreich etabliert; vergl. Lit. Zefferer, Teufl 2012, Kapitel 4 Mobile Signaturlösungen in Europa, S, 23 ff; und → en:Mobile signature.
- ↑ HELP.gv.at: Volksbegehren. Abgerufen am 12. Februar 2018.
- ↑ A-Trust: Handy-Signatur Statistik. A-Trust, 13. Oktober 2018, abgerufen am 13. Oktober 2018.
- ↑ Grüner Pass: Ansturm auf Handysignatur auf ORF vom 11. Juni 2021, abgerufen am 11. Juni 2021.
- ↑ a b Lit. Zefferer, Teufl: Evaluierung mobiler Signaturlösungen auf Smartphones. 2012, insb. 5.1 Vergleich vorhandener Lösungen, S. 33 ff, und 5.3.2 Evaluierung, S. 39 ff.
- ↑ Lit. Zefferer, Teufl 2012, 5.41/42.
- ↑ Vergl. hierzu Lit. Zefferer, Teufl: Evaluierung mobiler Signaturlösungen auf Smartphones. 2012, 3.6.2 Mobile Signature Service (MSS): Architektur und Funktionalität