Handy-Signatur: Innovativ und sicher

Handy-Signatur: Innovativ und sicher

Internet-User können sich mit der Handy-Signatur eindeutig elektronisch identifizieren. In Medienberichten wurde jetzt die Sicherheit dieser bewährten Lösung in Frage gestellt. Die Schwachstelle bei Phishing-Attacken ist jedoch nicht die Technologie, sondern die Sorglosigkeit mancher Anwender/innen.

Österreich hat mit der Handy-Signatur ein innovatives Instrument zur eindeutigen Identifizierung in der digitalen Welt. Damit ist z. B. das Login auf FinanzOnline oder in das Pensionskonto möglich. Mit der Signaturfunktion können außerdem Verträge oder Dokumente für Behörden rechtsgültig elektronisch unterzeichnet werden. Die Handy-Signatur ist der eigenhändigen Unterschrift gleichgestellt. Insgesamt nutzen sie bereits mehr als 650.000 Personen in Österreich.

11 Millionen sichere Transaktionen

Aktuelle Medienberichte stellen die Sicherheit der Handy-Signatur in Frage. Die dabei aufgezeigte Angriffsmethode wird als Man-in-the-Middle-Attacke bezeichnet und hat das Ziel, auf dem Weg zwischen Absender und Empfänger vertrauliche Informationen abzufangen, um diese zu missbrauchen. Es ist daher bei sicherheitskritischen Anwendungen besonders wichtig, einen vertrauenswürdigen Ausgangspunkt zu wählen.

Die Gesellschaft für Sicherheitssysteme im elektronischen Datenverkehr, A-Trust, versichert in einer Stellungnahme: Bei mehr als 11 Millionen Transaktionen ist dem Betreiber des Services kein einziger Sicherheitsvorfall bekannt. Die Handy-Signatur stellt eine sichere Methode zur Verfügung, die auch im E-Government eingesetzt wird und eine breite Akzeptanz findet. 

Die aktuelle Berichterstattung sollte dazu genutzt werden die User verstärkt auf die konsequente Einhaltung der Sicherheitsregeln hinzuweisen. Keinesfalls darf es dazu führen, dass die Nutzung der Internet-Services eingeschränkt wird. Das würde dem Standort Österreich, aber auch dem Ziel der digitalen Transformation erheblichen Schaden zufügen.

BRZ Sicherheits-Tipps

  • Folgen Sie keinesfalls Aufforderungen in E-Mails, die Sie zum Aufruf des in der Mail angebotenen Links verleiten wollen. Tippen Sie den Ihnen bekannten Link im Browser ein (z. B. finanzonline.bmf.gv.at) oder verwenden Sie die von Ihnen abgespeicherten Links aus ihren persönlichen Favoriten.
    Die Angreifer bilden in den meisten Fällen die gefakte Webseite so gut nach, dass eine optische Unterscheidung zwischen Original- und Nachbau-Webseite für einen Benutzer kaum möglich ist.

  • Überprüfen Sie die Sicherheitsmerkmale einer Webseite. Sicherheitsbewusste Anbieter von Webdiensten verschlüsseln ihre Verbindung mit HTTPS. Das dazu verwendete Zertifikat ermöglicht eine verlässliche Identifikation des Anbieters.
    Im Browser finden Sie in diesen Fällen ein Zeichen in Form eines Vorhängeschlosses. Mit einem Mausklick erhalten Sie Informationen über die Identität des Betreibers, die mit dem gewünschten Ziel zusammenpassen müssen, um eine sichere Verbindung zu gewährleisten. Vertrauen Sie nur gültigen Zertifikaten und brechen Sie bei Zertifikats-Warnungen im Browser die Verbindung sicherheitshalber ab.

  • Vergewissern Sie sich, dass mit Ihrer Handy-Signatur auch die von Ihnen vorgesehene Aktion durchgeführt wird. Bei Verwendung der Handy-Signatur kann dies mit dem Aufruf „Signaturdaten anzeigen“ erfolgen.
    Mit einem solchen Aufruf kann auch unmittelbar festgestellt werden, dass ein Angreifer ein Dokument signieren will, obwohl der Benutzer eigentlich ein Login beabsichtigt hatte.

Handy-Signatur