Wer hilft mir
Wie teste ich
Demo
Forum
Häufigste Fehler
FAQ

Hilfe bei Problemen

FAQ

Allgemein

Was ist die Bürgerkarte?

Was bringt die Bürgerkarte den Bürgerinnen und Bürgern?

Was bringt die Bürgerkarte der Wirtschaft?

Was bringt die Bürgerkarte der öffentlichen Verwaltung?

Was kostet die Aktivierung der e-card als Bürgerkarte?

Was mache ich, wenn ich die Karte verliere?

Was kann der Finder mit einer verlorenen Karte machen?

Welche Funktionen hat die Bürgerkarte?

Wer haftet für die Bürgerkarte bei Mißbrauch oder Fehlern?

Datenschutz

Wer kann was auf meiner Karte speichern?

Wer kann welche Daten auf der Bürgerkarte lesen?

Kann ich auslesen, was auf meiner Karte gespeichert ist?

Kann ich einmal gespeicherte Daten wieder löschen?

Kann man Bürgerkarten fälschen?

Wozu wird das Zentrale Melderegister (ZMR) abgefragt? Was ist eine Stammzahl?

Wird auf jeder Bürgerkarte die Stammzahl abgespeichert sein?

Muss die Behörde den Verwendungszweck bei einer ZMR-Abfrage angeben?

Was ist die Personenbindung?

Wozu brauche ich überhaupt die Personenbindung zur Identifikation?

Sind Gesundheitsdaten auf meiner Bürgerkarte?

Elektronische Signatur, Zertifikate

Was ist eine elektronische Signatur?

Was ist eine qualifizierte Signatur?

Worauf beruht die Sicherheit einer elektronischen Signatur?

Welche rechtlichen Funktionen erfüllt eine qualifizierte Signatur, die mit der Bürgerkarte erzeugt werden kann?

Was ist ein Zertifikat?

Was ist ein qualifiziertes Zertifikat?

Wie prüfe ich ein Zertifikat auf Gültigkeit?

Wie viele Zertifikate sollen / können auf der Karte gespeichert werden?

Warum wird keine Softwaresignatur wie z.B. Verisign verwendet?

Was ist ein Zertifizierungsdiensteanbieter?

Warum sind die Zertifizierungsdiensteanbieter privatwirtschaftlich organisiert?

Wird es für Zertifizierungsdiensteanbieter Geschäftsbedingungen geben?

Was sind Infoboxen?

Was ist ein Attribut?

Was ist ein Attributzertifikat?

Wieso brauche ich mehrere Schlüsselpaare auf meiner Bürgerkarte?

Wird für die Verwendung der elektronischen Signatur ein Lesegerät benötigt?

Bekomme ich, wenn ich für die Firma "unterschreibe" eine eigene Karte?

Wie ist das mit Vollmachten?

Können Kinder auch schon eine Karte haben?

Kann ich auch für meine Kinder die Bürgerkarte nutzen?

Wie erfolgt die Registrierung von Kapital- und Personengesellschaften?

Muss der Bürger/die Bürgerin die elektronische Signatur auf der Bürgerkarte verwenden?

Wo erfolgt die Registrierung?

Technik

Welche Mindestkriterien muss eine Karte erfüllen, um bürgerkartenfähig zu sein?

Gibt es ein Qualitätssiegel für Bürgerkarten-Produkte?

Welche Programme und Systeme werden zur Nutzung der Bürgerkarte notwendig sein?

Welche technischen Voraussetzungen brauche ich, um am E-Government teilzunehmen?

Brauche ich für die Bürgerkarte eine eigene Software?

Gibt es freie Bürgerkarten-Software für Entwickler?

Wie bekommt man das Problem der verschiedenen Betriebssysteme und Treiber der Chips in den Griff?

Welchen Kartenleser kann ich für die Bürgerkarte verwenden? Unterschiede der Klasse 1-4 Leser.

Was ist der Security-Layer?

Was ist die Bürgerkartenumgebung?

Wie zukunftssicher ist der Security-Layer?

Wie wird verhindert, dass ich etwas Anderes signiere, als das, was ich sehe? Was ist ein Trusted Viewer?

Gibt es sicher signierte E-Mails?

Wie kann ich mich über Spezifikationen zur Bürgerkarte informieren?

Wie werden bestehende Webformulare und Anwendungen auf elektronische Signaturen umgestellt?

Wie wird die E-Governmentstrategie in bestehende Server eingebunden?

Warum wird XML verwendet?

Was sind die Unterschiede zwischen Kryptosystemen auf Basis elliptischer Kurven und RSA-Verfahren?

Wie betreibe ich die Bürgerkarte hinter einer Firewall bzw. mit einer Personal Firewall?

Allgemein

Was ist die Bürgerkarte?

Der Begriff „österreichische Bürgerkarte“ steht nicht für eine spezielle Karte, sondern vielmehr für ein Konzept, das eine Sammlung von Funktionen definiert. Diese können auf den verschiedensten Chipkarten (oder anderen geeigneten Trägern) vorhanden sein. Damit haben die Bürgerinnen und Bürger die Wahl, welche Karte sie als Bürgerkarte verwenden.

Was bringt die Bürgerkarte den Bürgerinnen und Bürgern?

Sie ermöglicht die Teilnahme an modernen Verwaltungsverfahren, aus denen sich in erster Linie Vorteile für die Bürgerinnen und Bürger durch ein erweitertes und schnelleres Serviceangebot ergeben, auch unter Verwendung von elektronischen Medien (z.B. dem Internet):

  • Unabhängigkeit von Ort und Zeit: Durch den Einsatz der Bürgerkarte wird es möglich, rund um die Uhr, 7 Tage die Woche von jedem gewünschten Ort mit Internetzugang mit den Behörden in Kontakt zu treten. Amtsstunden und -wege und vor allem der damit verbundene Zeitverlust sollten dann weitgehend der Vergangenheit angehören.
  • Zeitersparnis/kürzere Verfahrensdauer: Schließlich dürfen die Bürgerinnen und Bürger auch die schnellere Bearbeitung von Verfahren erwarten – die notwendigen Daten liegen bereits elektronisch vor und müssen nicht erst aus Papier-Formularen übertragen werden.
  • One-Stop-Government: Durch den Einsatz neuer Medien wird die Möglichkeit geschaffen, dass von einer einzigen virtuellen Anlaufstelle („One-Stop-Shop“, z.B. http://help.gv.at) Bürgerinnen und Bürger zu den Dienstleistungen der öffentlichen Verwaltung herangeführt werden. Unterteilt nach jeweiligen Lebenssituationen werden „intelligente“ Formulare zur Verfügung gestellt, die im weiteren Verlauf dann automationsunterstützt an die zuständigen Stellen der öffentlichen Verwaltung verteilt werden. Bürgerinnen und Bürger müssen nicht mehr über die Zuständigkeitsverteilung innerhalb der betroffenen Behörde Bescheid wissen.
  • Sicherheit: Die Bürgerkarte bietet: * Rechtssicherheit durch den Einsatz der qualifizierten Signatur (die gemäß österreichischem Signaturgesetz in den meisten Verfahren der handschriftlichen Signatur gleichgestellt ist) * Identifikation hoher Qualität * Verschlüsselungsfunktion für die vertrauliche Kommunikation, die zusammen mit der qualifizierten Signatur auch in anderen Anwendungen, wie zum Beispiel beim elektronischen Abschließen von Verträgen (Einkauf im Internet, Geschäftspost) ein Mehr an Sicherheit bieten.
Was bringt die Bürgerkarte der Wirtschaft?

Die Vorteile der Bürgerkarte für die Wirtschaft sind denen für die Bürgerinnen und Bürger ähnlich: Behördenverfahren können elektronisch abgewickelt werden, womit Zeit und Kosten für Papierausdrucke, Briefabfertigung oder persönliches Vorsprechen zu bestimmten Amtsstunden wegfallen. Seitens der Behörden wird die Erledigung von Verfahren effizienter und schneller erfolgen. Zusätzlich können Firmen Online-Dienste für ihre Kunden sicher gestalten, indem sie auf die Infrastruktur des Konzepts Bürgerkarte zurückgreifen. Mit der elektronischen Signatur wird die Unverfälschtheit von elektronisch übermittelten Inhalten gewährleistet. Zusätzlich ermöglicht das Konzept die Verschlüsselung von sensiblen Texten. Die Bürgerkarte hilft also eines der wesentlichen Hemmnisse des elektronischen Geschäftsverkehrs auszuräumen: mangelndes Vertrauen in die Sicherheit der Transaktionen.

Was bringt die Bürgerkarte der öffentlichen Verwaltung?

Die Bürgerkarte schafft die Voraussetzung für direkte elektronische Amtsgeschäfte mit den Bürgern. Der eigentliche Nutzen liegt in der durchgängig elektronischen Abwicklung der Verfahren. Damit werden die Probleme der papiergebundenen Organisation eliminiert und erhebliche Kosten eingespart (oftmaliges Eingeben von Daten, die an sich schon elektronisch verfügbar wären, sowie Formulardruck, Kopierkosten, Archivierung, Transport, Porto, etc.)

Dadurch wird der Verfahrensaufwand reduziert und die Behörde kann ein Mehr an Qualität in der Dienstleistung bei geringeren Kosten anbieten.

Was kostet die Aktivierung der e-card als Bürgerkarte?

Für die e-card wird ein Service-Entgelt eingehoben, die Verwendung als Bürgerkarte ist darin bereits eingeschlossen.

Was mache ich, wenn ich die Karte verliere?

Der Karteninhaber hat jedenfalls den Widerruf des Signaturzertifikates beim zuständigen Zertifizierungsdiensteanbieter zu verlangen. Dies zählt nach dem Signaturgesetz zu den Pflichten des Signators. Informationen über den Widerruf von Zertifikaten bietet der Zertifizierungsdiensteanbieter. Je nachdem um welche Karte es sich handelt, können über die Bürgerkartenfunktion hinaus bei Verlust entsprechende Vereinbarungen, Vertrags- oder Geschäftsbedingungen mit der kartenausgebenden Stelle zum Tragen kommen. In den meisten Fällen sollte der Verlust bei der kartenausgebenden Stelle umgehend gemeldet werden. Wenn es sich zum Beispiel um eine Bankomat- oder Kreditkarte handelt, so kann dies bei den dafür eingerichteten Hotlines rund um die Uhr geschehen. Diese Stelle wird die Karte sperren und Sie über mögliche weitere Schritte informieren.

Was kann der Finder mit einer verlorenen Karte machen?

Ein unehrlicher Finder kann mit Ihrer Karte nichts anfangen, da einerseits die Funktionen der Bürgerkarte durch eine PIN geschützt sind und ein widerrufenes Zertifikat nicht mehr für die rechtsgültige Erstellung von Signaturen verwendet werden kann. Selbstverständlich sollen die Karte und PIN nie an der gleichen Stelle aufbewahrt werden und die PIN muss geheim gehalten werden.

Welche Funktionen hat die Bürgerkarte?

Die zwei wesentlichen Funktionen der Bürgerkarte sind:

  1. Die eindeutige Identifikation der Bürgerinnen und Bürger, die über eine auf der Bürgerkarte gespeicherte Personenbindung erfolgt. Diese ist in datenschutzkonformer Form das elektronische Analogon zu den im konventionellen Verfahren sonst gebräuchlichen Identifikationsnummern (SV-, Steuer-, Matrikelnummer, etc.)
  2. Die hochwertige Authentifikation durch die qualifizierte Signatur. Diese erfüllt die Schriftform und ersetzt die eigenhändige Unterschrift. Damit können etwa Anbringen (das sind z.B. Anträge) elektronisch unterschrieben werden. Die rechtliche Wirksamkeit elektronischer Signaturen ist im Signaturgesetz geregelt.

Zusätzlich können auf eine Bürgerkarte Vertretungen und Vollmachten aufgebracht werden, etwa eine GeschäftsführerIn für ihre Firma oder eine Vollmacht einer natürlichen Person an eine andere.

Die Funktionen einer Bürgerkarte und die Anforderungen an die verwendeten Karten sind im „Konzept Bürgerkarte“ detailliert festgelegt.

Darüber hinaus kann die jeweilige Ausprägung der Karte noch weitere Funktionen besitzen (z.B. die Bankomatkarte mit Bürgerkartenfunktion), die jedoch nicht Bestandteil des Konzepts der Bürgerkarte sind.

Wer haftet für die Bürgerkarte bei Mißbrauch oder Fehlern?

Nach § 23 Signaturgesetz haftet der Zertifizierungsdiensteanbieter, wobei die Beweislast bei diesem liegt. Selbstverständlich muss der Karteninhaber die Karte ordnungsgemäß verwendet haben. Im Übrigen gelten die Bestimmungen des Allgemeinen Bürgerlichen Gesetzbuchs.

Datenschutz

Wer kann was auf meiner Karte speichern?

Das Konzept der Bürgerkarte sieht freie Speicherbereiche vor, die von Applikationen zur Speicherung von Schlüsseln und Verweisen auf der Bürgerkarte genützt werden können. Die Zugriffsberechtigungen für diese Speicherbereiche besitzt dabei der Bürger / die Bürgerin selbst.

Wer kann welche Daten auf der Bürgerkarte lesen?

Im Konzept Bürgerkarte wird empfohlen, dass jede Ausprägung der Bürgerkarte die technischen Möglichkeiten besitzen soll, sämtliche bürgerkartenspezifische Daten wie Zertifikate, Personenbindung oder Vollmachten geschützt ablegen zu können. Das bedeutet, der Bürger / die Bürgerin kann selbst festlegen, welche Daten wie (z.B. durch PIN-Eingabe) vor Lese- oder Schreibzugriffen geschützt werden sollen.

Kann ich auslesen, was auf meiner Karte gespeichert ist?

Die Zugriffsberechtigungen für die freien Speicherbereiche auf ihrer Karte vergeben die Bürgerinnen und Bürger selbst. Sie können daher auch die in den Speicherbereichen abgelegten Daten auslesen. Das gilt allerdings nur für die freien Speicherbereiche der Bürgerkartenfunktion, aber nicht notwendigerweise für andere Funktionen (z.B. die Bankomatfunktion).

Kann ich einmal gespeicherte Daten wieder löschen?

Die Entscheidung, ob eine Applikation auf einen freien Speicherbereich lesend oder schreibend zugreifen darf, liegt bei den Bürgerinnen und Bürgern. Sie können somit einmal geschriebene Daten auch wieder von ihrer Bürgerkarte löschen.

Kann man Bürgerkarten fälschen?

Die konkreten Ausprägungen der Bürgerkarte verwenden signierte Daten auf der Karte. Die Sicherheit der technischen Komponenten und Verfahren für die Erzeugung qualifizierter Signaturen muss nach dem Stand der Technik laufend geprüft und von einer Bestätigungsstelle bescheinigt sein. Dadurch sind Fälschungen praktisch auszuschließen.

Wozu wird das Zentrale Melderegister (ZMR) abgefragt? Was ist eine Stammzahl?

Die ZMR-Zahl dient zur eindeutigen Identifikation einer Person. Über die ZMR-Abfrage wird sichergestellt, dass die Person eindeutig identifiziert ist, z.B. um etwa Verwechslungen mit Personen mit gleichem Namen und Geburtsdatum auszuschließen. Die ZMR-Zahl selbst wird nicht auf der Bürgerkarte gespeichert, sondern eine stark verschlüsselte Ableitung – die Stammzahl. Mit ihrer Hilfe kann eine Karte eindeutig an eine Person gebunden werden. Siehe auch die FAQ zur Personenbindung.

Wird auf jeder Bürgerkarte die Stammzahl abgespeichert sein?

Sie wird als Teil der Personenbindung auf der Karte abgespeichert, kann aber nur mit ausdrücklicher Zustimmung des Bürgers/der Bürgerin ausgelesen werden (Abfrage Karten-PIN oder Infobox-PIN). Die Verwendung ist im E-Government Gesetz (E-GovG) und den zugehörigen Verordnungen geregelt. Für ein elektronisches Verwaltungsverfahren und in den zugehörigen elektronischen Akten wird nur eine Ableitung aus der Stammzahl gespeichert - ein sogenanntes bereichsspezifisches Personenkennzeichen (bPK). Aus dieser bPK kann die ursprüngliche Stammzahl oder die ZMR-Nummer nicht rekonstruiert werden.

Muss die Behörde den Verwendungszweck bei einer ZMR-Abfrage angeben?

Behördliche Abfragen aus dem ZMR sind keine Besonderheit der Bürgerkarte, sondern es sind dafür die Bestimmungen des Meldegesetzes generell maßgebend, insbesondere § 16 Abs. 4 und § 20 Abs. 3 erlauben unter bestimmten Umständen, dass den anfragenden Organen die vollständigen Meldedaten übermittelt werden:

Gemäß §16 Abs.4 Meldegesetz ist der Bundesminister für Inneres ermächtigt, Organen von Gebietskörperschaften, Gemeindeverbänden und den Sozialversicherungsträgern auf deren Verlangen eine Abfrage im Zentralen Melderegister in der Weise zu eröffnen, dass sie, soweit dies zur Besorgung einer gesetzlich übertragenen Aufgabe erforderlich ist, den Gesamtdatensatz bestimmter Menschen im Datenfernverkehr ermitteln können. Nach § 20 Abs. 3 Meldegesetz sind Organen der Gebietskörperschaften auf Verlangen die im Melderegister oder im Zentralen Melderegister enthaltenen Meldedaten zu übermitteln, wobei das Verlangen im konkreten Fall nur gestellt werden darf, wenn es für den Empfänger zur Wahrnehmung der ihm übertragenen Aufgaben eine wesentliche Voraussetzung bildet.

Was ist die Personenbindung?

Die Personenbindung ist ein Mechanismus, um eine eindeutige Beziehung zwischen Person und Karte herstellen zu können. Dazu wird ein Datenpaar, bestehend aus der Stammzahl und den öffentlichen Signaturschlüsseln der Karte, gebildet. Dieses wird von der zuständigen Behörde signiert und der Person ausgehändigt bzw.auf der Karte abgelegt.

Wozu brauche ich überhaupt die Personenbindung zur Identifikation?

Das Zertifikat ist die von einer vertrauenswürdigen Stelle elektronisch signierte Bindung eines öffentlichen Schlüssels an eine bestimmte Person. Sie erfolgt über den Namen und ist daher nicht immer eindeutig. Zur eindeutigen Identifizierung im Verfahren mit der Behörde wird darüber hinaus die Personenbindung (mit Hilfe der eindeutigen Stammzahl) benötigt. Im Akt selbst wird nur eine Ableitung aus Personenbindung und Verfahrensbindung, nicht aber die Stammzahl selbst, gespeichert.

Sind Gesundheitsdaten auf meiner Bürgerkarte?

Auf einer Bürgerkarte stehen nur die absolut notwendigen Daten, die für eine eindeutige Identifikation notwendig sind. Dazu gehören neben Vornamen und Nachnamen auch das Geburtsdatum und die Stammzahl. Für die Signatur befinden sich auch noch Ihre Zertifikate auf der Karte, die aber keine weiteren persönlichen Daten beinhalten.

Gesundheitsdaten oder andere Daten sind nicht Bestandteil des Konzepts Bürgerkarte. Allerdings können bürgerkartenfähige Karten noch zusätzliche Daten beinhalten. So enthält die Sozialversicherungskarte (e-card) notwendige Daten der Sozialversicherung, eine Bankomatkarte Angaben über das Konto und ein Studentenausweis beispielsweise die Matrikelnummer. Es ist aber technisch sichergestellt, dass diese Daten nicht von Bürgerkarten-Anwendungen ausgelesen werden können.

Elektronische Signatur, Zertifikate

Was ist eine elektronische Signatur?

Eine elektronische Signatur gibt einer Person die Möglichkeit, ihre Identität mit einer bestimmten Information (z.B. einer Nachricht oder einer Willenserklärung) zu verbinden. Durch diese Bindung kann man folgende Ziele erreichen:

  • Authentisierung: Der Empfänger / die Empfängerin einer Information kann mit Sicherheit deren Ursprung einer bestimmten Person zuordnen.
  • Datenintegrität: Der Empfänger / die Empfängerin einer Information kann sicher sein, dass die übermittelte Information auf dem Weg von der sendenden Person zu ihm/ihr nicht durch unbefugte Dritte verändert worden ist.
  • Unleugbarkeit: Die signierende Person kann zu einem späteren Zeitpunkt nicht abstreiten, dass die betreffende Information von ihr stammt.
Was ist eine qualifizierte Signatur?

Die qualifizierte Signatur ist ein Begriff aus dem Signaturgesetz, der eine elektronische Signatur besonderer Qualität definiert. Eine qualifizierte Signatur ist rechtlich der eigenhändigen Unterschrift gleichgesetzt und muss daher besondere Bedingungen hinsichtlich Erstellung und Überprüfbarkeit erfüllen. Sie

  • ist ausschließlich dem Signator zugeordnet, (Anm.: Signator ist der Begriff, den das Signaturgesetz für die signierende Person verwendet) * ermöglicht die Identifizierung des Signators,
  • wird mit Mitteln erstellt, die der Signator unter seiner alleinigen Kontrolle halten kann,
  • ist mit den Daten, auf die sie sich bezieht, so verknüpft, dass jede nachträgliche Veränderung der Daten festgestellt werden kann,
  • beruht auf einem qualifizierten Zertifikat, das unter Verwendung von technischen Komponenten und Verfahren, die den Sicherheitsanforderungen des Signaturgesetzes und der auf seiner Grundlage ergangenen Verordnungen entsprechen, erstellt wird.
Worauf beruht die Sicherheit einer elektronischen Signatur?

Die Sicherheit einer elektronischen Signatur beruht auf

  • dem kryptographischen Verfahren, das für ihre Berechnung verwendet wird und das abgestimmt auf den heutigen Stand der Technik mit bestimmten Parametern ausreichend sicher ist,
  • der Einzigartigkeit des zum Signieren verwendeten kryptographischen Schlüssels, der durch ein Zertifikat einer bestimmten Person zuverlässig zugeordnet ist,
  • der Verwendung sicherer Signaturerstellungseinheiten (z.B. Chipkarten), die nur von den zur Signatur berechtigten Personen benützt werden können (z.B. PIN-geschützt) und die zur Erstellung elektronischer Signaturen verwendet werden.

Welche rechtlichen Funktionen erfüllt eine qualifizierte Signatur, die mit der Bürgerkarte erzeugt werden kann?

Die eigenhändige Unterschrift erfüllt gewisse Grundfunktionen, welche die Sicherheit des Geschäftsverkehrs unterstützen. Soll das Internet auch zur Abgabe rechtlich verbindlicher Erklärungen verwendet werden, müssen die eingesetzten technischen Verfahren und Komponenten diese Grundfunktionen der Funktionalität des Rechtsverkehrs erfüllen:

  • Identitätsfunktion (sie sichert die Identität des Ausstellers / der Ausstellerin im Sinne der Gewährleistung der Echtheit der Unterschrift)
  • Echtheitsfunktion (garantiert, dass der unterschriebene Text auch vom Signator = Karteninhaber stammt)
  • Beweisfunktion (liefert den nötigen Beweiswert im Verfahren, dass Echtheit und Identität des Dokumentes auch zu einem späteren Zeitpunkt dargelegt werden können)
  • Nichtabstreitbarkeit (sorgt dafür, dass der Autor / die Autorin eines Dokumentes die Urheberschaft zu einem späteren Zeitpunkt nicht abstreiten kann)
  • Abschlussfunktion (hebt den signierten Text vom Status des Entwurfes mit dem Zeitpunkt der Unterschrift auf den Status der letztlich verbindlichen endgültigen Version)
  • Übereilungsschutz (dient als Schutz des Unterzeichners vor Übereilung)

All diese von der Rechtsordnung geforderten Funktionen werden durch den Einsatz qualifizierter Signaturen im Rahmen einer Public-Key-Infrastruktur gemäß den Vorgaben des Signaturgesetzes gewährleistet, sodass die qualifizierte Signatur mit der eigenhändigen Unterschrift rechtlich gleichgestellt wird.

Was ist ein Zertifikat?

Ein Zertifikat ist die von einer vertrauenswürdigen Stelle elektronisch signierte Bindung eines öffentlichen Schlüssels an eine bestimmte Person. Im Zusammenhang mit einer elektronischen Signatur wird ein Zertifikat verwendet, um ein elektronisch signiertes Datum einer bestimmten Person zuordnen zu können. Im Fall der Bürgerkarte ist die vertrauenswürdige Stelle der Zertifizierungsdiensteanbieter, der ein Bürgerkartenzertifikat ausstellt.

Was ist ein qualifiziertes Zertifikat?

Das qualifizierte Zertifikat ist ebenfalls ein Begriff aus dem Signaturgesetz. Die Verwendung eines qualifizierten Zertifikats im Zusammenhang mit einer elektronischen Signatur ist eine der besonderen Bedingungen, die eingehalten werden müssen, damit eine elektronische Signatur als sicher gilt. Das Signaturgesetz gibt für ein qualifiziertes Zertifikat eine Reihe von Anforderungen betreffend den Inhalt des Zertifikats und insbesondere Anforderungen an den ausstellenden Zertifizierungsdiensteanbieter vor.

Wie prüfe ich ein Zertifikat auf Gültigkeit?

Ein qualifiziertes Zertifikat muss vom ausstellenden Zertifizierungsdiensteanbieter in einem öffentlich zugänglichen Verzeichnis gespeichert werden. Der Zertifizierungsdiensteanbieter veröffentlicht auch Listen über den Status des Zertifikates, etwa Widerruflisten. Mit Hilfe solcher Verzeichnisdienste kann die Gültigkeit jederzeit überprüft werden. In der Praxis müssen dafür die privaten Schlüssel sicher gespeichert werden (Chipkarte oder ähnlich sichere Einrichtung). Die relevanten technischen Komponenten müssen besonders geprüft sein und man muss sich einmalig zur Erlangung des zugehörigen Zertifikats persönlich ausweisen.

Wie viele Zertifikate sollen / können auf der Karte gespeichert werden?

Auf jeder Karte bedarf es eines Schlüsselpaares mit dazugehörigem qualifizierten Zertifikat, das ausschließlich für die qualifizierte Signatur eingesetzt wird. Es gibt keine primäre Notwendigkeit, Zertifikate auf der Karte zu speichern, da die qualifizierten Signaturen einen raschen und sicheren Verzeichnisdienst erfordern, der diese Zertifikate enthalten muss. In der Praxis sind aber Zertifikate auf der Karte gespeichert bzw.werden typisch signierten Daten auch beigelegt. Soll auch Inhaltsverschlüsselung und / oder Authentifizierung durch die Karte ermöglicht werden, sind weitere Schlüsselpaare und dazu gehörende Zertifikate auf die Karte aufzubringen.

Warum wird keine Softwaresignatur wie z.B. Verisign verwendet?

Im Sinne des Bürgers / der Bürgerin wird bei allen Aspekten des E-Governments und besonders beim Konzept Bürgerkarte auf größtmögliche Sicherheit geachtet. Nach heutigem Stand der Technik sind Karten mit einem entsprechenden Token (= Chip) im Einsatz, um eine qualifizierte Signatur gemäß Signaturgesetz zu ermöglichen. Es sind aber beispielsweise auch Varianten denkbar, wo Signaturschlüssel unter entsprechend gleichwertigen technischen Mitteln (wie Hardware-Security Module) und organisatorischen Sicherheitsanforderungen hinterlegt sind.

Was ist ein Zertifizierungsdiensteanbieter?

Zertifizierungsdiensteanbieter stellen die Infrastruktur für elektronische Signaturen zur Verfügung, überprüfen die Identität der Karteninhaber / Karteninhaberinnen, statten sie mit dem zur Erzeugung der Signatur notwendigen Zertifikat aus und verwalten auch die zur Prüfung der Signatur erforderlichen Zertifikate in von ihnen geführten einsehbaren Verzeichnissen. Weiters hat der Zertifizierungsdiensteanbieter die KarteninhaberInnen zu unterrichten, welche technischen Komponenten und Verfahren für das verwendete Signaturverfahren geeignet sind. Schließlich ist der Anbieter mit der Belehrung der KarteninhaberInnen betraut und für die Durchführung des Widerrufs bei Kartenverlust oder ähnlichen Situationen zuständig.

Warum sind die Zertifizierungsdiensteanbieter privatwirtschaftlich organisiert?

Die Signaturrichtlinie verwirklicht hier, wie auch schon im Telekombereich, eine Liberalisierung des Marktes. Wesentliches Element ist der freie, europaweite Marktzugang der Diensteanbieter. Die rechtlichen Rahmenbedingungen verbieten es zwar öffentlichen Stellen nicht, als Zertifizierungsdiensteanbieter tätig zu werden, doch wird in Österreich an dem im Telekommunikationsbereich bewährten Trend festgehalten, Zertifizierungsdienste vorerst nicht durch den öffentlichen Sektor anzubieten, sondern hier auf die Privatwirtschaft zurückzugreifen. Wie schon im Telekombereich soll auch hier der Wettbewerb für bürgerfreundliche Preise sorgen.

Wird es für Zertifizierungsdiensteanbieter Geschäftsbedingungen geben?

Zertifizierungsdiensteanbieter sind gemäß § 6 Abs. 2 Signaturgesetz verpflichtet, spätestens mit Aufnahme der Tätigkeit ein Sicherheits- und ein Zertifizierungskonzept vorzulegen. Dieses beinhaltet einige Elemente, die auch üblicherweise in allgemeinen Geschäftsbedingungen enthalten sind. Ebenso können die Diensteanbieter, wie jede(r) andere Geschäftsfrau / Geschäftsmann für ihren Bereich allgemeine Geschäftsbedingungen festlegen. Die in Österreich niedergelassenen Zertifizierungsdiensteanbieter haben von dieser Möglichkeit auch Gebrauch gemacht und ihre Geschäftsbedingungen auf ihren Websites veröffentlicht. Die Inhalte dieser AGBs werden aber nicht durch das Konzept Bürgerkarte determiniert, sondern unterliegen im Rahmen der Privatautonomie der alleinigen Gestaltung durch die Zertifizierungsdiensteanbieter.

Was sind Infoboxen?

Infoboxen dienen dem Komfort des Kartenhalters. Man kann sie sich als sichere Datenbereiche auf der Chipkarte vorstellen. Der Kartenhalter kann hier häufig benötigte Informationen ablegen. Infoboxen sind ein Konzept des Security-Layers. Dahinter verbirgt sich die Möglichkeit, auf innerhalb der Security-Kapsel gespeicherte Daten über den Security-Layer lesend oder schreibend zuzugreifen. Für eine den Security-Layer verwendende Applikation ist der Ort der Speicherung der Daten dabei transparent. Die Daten können direkt auf der Bürgerkarte gespeichert sein, aber auch an einem beliebigen anderen Ort unter Kontrolle der Bürgerkartenumgebung, beispielsweise in einer Datei auf dem lokalen Rechner, auf dem die Bürgerkartenumgebung läuft.

Was ist ein Attribut?

Ein Attribut ist eine Eigenschaft einer bestimmten Person, z.B. ProkuristIn, Rechtsanwalt, Rechtsanwältin, gesetzlicher Vormund, DienststellenleiterIn etc. Es bestimmt die Rolle, in der sie elektronisch handeln kann.

Was ist ein Attributzertifikat?

Ein Attributzertifikat ist die von einer vertrauenswürdigen Stelle elektronisch signierte Bindung einer oder mehrerer Eigenschaften an ein Zertifikat der signierenden Person. So können der signierenden Person Eigenschaften zugeordnet werden, ohne sie im Zertifikat selbst zu kodieren. Es können der signierenden Person Eigenschaften zugeordnet oder wieder aberkannt werden, ohne dass dafür ein bestehendes Zertifikat verändert werden muss.

Wieso brauche ich mehrere Schlüsselpaare auf meiner Bürgerkarte?

Auf einer Signaturkarte selbst wird nur ein Schlüsselpaar benötigt, und zwar jenes zur Anfertigung qualifizierter Signaturen. Diese Anforderung ergibt sich aus dem Signaturgesetz, da der Signaturschlüssel eben nur für die Signatur verwendet werden darf. Im Konzept Bürgerkarte sind zwei Schlüsselpaare vorgesehen. Das erste Schlüsselpaar deckt sich mit dem oben erwähnten Paar zur Anfertigung qualifizierter Signaturen. Ein zweites Schlüsselpaar für Authentifizierung und Verschlüsselung ist notwendig, da dazu nicht dasselbe Schlüsselpaar wie für die Anfertigung qualifizierter Signaturen verwendet werden darf. Das zweite Schlüsselpaar kann ebenfalls auf der Bürgerkarte vorhanden sein, es ist aber auch eine Software-Implementierung innerhalb der Bürgerkartenumgebung denkbar.

Wird für die Verwendung der elektronischen Signatur ein Lesegerät benötigt?

Beim Erstellen einer elektronischen Signatur wird ein Lesegerät dann benötigt, wenn die Signaturerstellungsdaten auf einer Chipkarte abgelegt sind. Für die Erstellung einer qualifizierten Signatur etwa ist durch die Vorgaben des Signaturgesetzes eine Chipkarte das Mittel der Wahl. Beim Überprüfen einer elektronischen Signatur ist kein Lesegerät erforderlich, da die Signaturprüfdaten kein schützenswertes Geheimnis darstellen und daher nicht auf einer Chipkarte abgelegt werden müssen.

Bekomme ich, wenn ich für die Firma "unterschreibe" eine eigene Karte?

Das Signaturgesetz bindet die qualifizierte Signatur an die natürliche Person. Als signierende Person kann im qualifizierten Zertifikat nur der Name einer natürlichen Person eingetragen werden. Wird diese etwa als Prokurist für eine juristische Person tätig, so sieht das Bürgerkartenkonzept vor, diese elektronische Vertretung in einem Vollmachten-Datensatz zu speichern. Das Konzept Bürgerkarte schreibt auch keinen expliziten Speicherort für diese Vollmachten vor, so dass es im Ermessen der Firma steht, ob ihre Mitarbeiter und Mitarbeiterinnen mittels einer eigenen Karte, die bürgerkartenfähig ist, signieren, oder eine Karte wie zum Beispiel ihre eigene e-card dafür verwenden.

Wie ist das mit Vollmachten?

Vollmachten sind ein bekanntes und oft verwendetes Instrument im rechtlichen Handeln. Diese Funktionalität ist auch im elektronischen Verfahren abgebildet, sodass man mit der Bürgerkarte und der Zustimmung der Person, für die gehandelt werden soll, auch im fremden Namen E-Government betreiben kann. Genauer beleuchtet wird dies durch folgendes Konzept realisiert: Der Vollmachtnehmer (z.B. Steuerberater) handelt im Namen des Vollmachtgebers, unterschreibt aber unter Berufung auf die Vollmacht mit seiner eigenen eigenhändigen Unterschrift. Dieser Vorgang kann auch mit der Bürgerkarte abgebildet werden. Der Vollmachtgeber signiert ein Formular, das einerseits die Art der Vollmacht in standardisierter Form enthält (welche Art von Geschäften, bis in welche Höhe, für wie lange), andererseits die Identifikation des Vollmachtgebers. Dieses signierte Dokument, die eigentliche Vollmacht, wird dem Vollmachtnehmer übermittelt, der nun mit seiner eigenen elektronischen Signatur unter Berufung auf die Vollmacht im Namen des Vollmachtgebers handeln kann. Vollmachten können in der Infobox auf der Karte des Vollmachtnehmers gespeichert werden. Verfügt jemand über sehr viele Vollmachten, wird die Karte nicht genug Platz bieten, um alle Vollmachten selbst dort zu speichern. Auf der Karte wird dann nur ein Zeiger auf den Ort, etwa auf den Datensafe des Wirtschaftstreuhänders, liegen, wo die Vollmachten gelesen werden können. Vollmachten können ohne weiteres auch von Dritten gelesen und gespeichert werden, da sie nur in Verbindung mit dem privaten Schlüssel des Vollmachtnehmers verwendet werden können und dieser nur von ihm verwendet werden kann.
Vollmachten werden über ein Service der Stammzahlenregisterbehörde auf die Bürgerkarte aufgebracht.

Können Kinder auch schon eine Karte haben?

Die Verwendung der elektronischen Signatur ist generell nach den gleichen gesetzlichen Rahmenbedingungen zu betrachten, wie das Anbringen einer Unterschrift mit konventionellen Mitteln.

Kann ich auch für meine Kinder die Bürgerkarte nutzen?

Auch in diesem Bereich ist die Verwendung der elektronischen Signatur nicht unterschiedlich von der Verwendung der konventionellen Signatur. Eine elektronische Umsetzung von Vollmachten auf elektronischen Weg ist wegen der gesetzlichen Vollmachtsregelung nicht notwendig.

Wie erfolgt die Registrierung von Kapital- und Personengesellschaften?

Die Technologie "Vollmacht" kann auch in diesem Bereich eingesetzt werden, um die sog. Einschreitevollmacht für eine Firma oder einen Verein technisch umzusetzen.

Muss der Bürger/die Bürgerin die elektronische Signatur auf der Bürgerkarte verwenden?

Die elektronische Signatur erfordert die explizite und wissentliche Zustimmung der Person bei jeder Verwendung. Die tatsächliche Nutzung ist daher die private Entscheidung jedes Einzelnen.

Wo erfolgt die Registrierung?

Die Registrierung erfolgt von speziell geschultem Personal in sogenannten Registrierungsstellen der Zertifizierungsdiensteanbieter. Eine aktuelle Liste aller Zertifizierungsdiensteanbieter finden Sie auf der Homepage der Rundfunk & Telekom Regulierungs-GmbH.

Technik

Welche Mindestkriterien muss eine Karte erfüllen, um bürgerkartenfähig zu sein?

Jede Karte, welche die technischen Grundanforderungen erfüllt, ist zur sicheren elektronischen Kommunikation mit der Verwaltung geeignet. Der Chip einer Karte muss das Aufbringen einer qualifizierten elektronischen Signatur gestatten, die Personenbindung unterstützen sowie mit dem Security-Layer kommunizieren können. An die Kartenoberfläche gibt es keinerlei Anforderungen.

Gibt es ein Qualitätssiegel für Bürgerkarten-Produkte?

Ja, das E-Government Gütesiegel.

Welche Programme und Systeme werden zur Nutzung der Bürgerkarte notwendig sein?

So ein PC oder ein anderes geeignetes Gerät (wie z.B. ein Handheld-PC) und eine Internetverbindung beim Bürger zur Verfügung stehen, braucht er nur noch die Karte und den dazu passenden Kartenleser. Die weitere Software, wie etwa die Bürgerkartenumgebung wird von der Registrierungsstelle oder vom Zertifizierungsdiensteanbieter im Rahmen der Registrierung bereitgestellt bzw.ist kostenlos über das Internet beziehbar (eine Generallizenz des Bundes der Software „trustDesk basic“ unter http://www.buergerkarte.at/BKU; ein weiteres Produkt ist "HotSign", das Sie direkt bei BDC beziehen können).

Welche technischen Voraussetzungen brauche ich, um am E-Government teilzunehmen?

So der Kontakt mit Dienststellen der Verwaltung über öffentlich zugängliche Terminals realisiert wird, wird nur die Karte im Besitz der Bürgerin oder des Bürgers benötigt. Soll auch von zu Hause, bzw.vom Büro aus E-Government betrieben werden, ist ein handelsüblicher PC mit Kartenleser notwendig. Die Zertifikate werden von am Markt tätigen privatwirtschaftlich organisierten Zertifizierungsdiensteanbietern ausgegeben, die auch in der Preisgestaltung des Produkts autonom sind. Auf Grund der großen Menge an Zertifikaten ist aber ein günstiger Preis zu erwarten. Die Aktivierung der e-card als Bürgerkarte ist kostenlos. Weiters wird seitens der Verwaltung überlegt, für die Verwendung von Bürgerkarten im Rahmen elektronischer Anbringen gewisse Anreize für die anwendenden BürgerInnen weiterzugeben.

Brauche ich für die Bürgerkarte eine eigene Software?

Ja. Sie benötigen die sogenannte Bürgerkartenumgebung, die kostenlos zur Verfügung gestellt wird. Eine Generallizenz des Bundes der Software „trustDesk basic“ erhalten Sie unter http://www.buergerkarte.at/BKU. Ein weiteres Produkt ist "HotSign", das Sie direkt bei BDC beziehen können.

Gibt es freie Bürgerkarten-Software für Entwickler?

Für Entwickler steht unter "Security-Layer" ein Prototyp frei zur Verfügung. Über diesen können Funktionen der Bürgerkarte auch emuliert werden. Es sind damit jedoch nur Tests möglich, da Signatur und Personenbindung nicht der Bürgerkarte entsprechen.

Wie bekommt man das Problem der verschiedenen Betriebssysteme und Treiber der Chips in den Griff?

Die Offenheit gegenüber verschiedenen Anwendungen des E-Governments einerseits und die Unterstützung verschiedenster Chipkarten durch das Konzept Bürgerkarte andererseits bedarf der Einführung einer genormten, einheitlichen Schnittstelle, die den Datenaustausch zwischen den verschiedenen Komponenten ermöglicht. Diese Rolle übernimmt der Security-Layer. Durch die durchgängige Verwendung dieser offengelegten Schnittstelle im Rahmen einer mehrschichtigen Softwarestruktur ist gewährleistet, dass die unterschiedlichen Hardwaretypen, Treiber und Betriebssysteme zusammenarbeiten können. Die Bürgerkartenumgebung steht derzeit für die Betriebssysteme Linux, MacOS und Windows zur Verfügung.

Welchen Kartenleser kann ich für die Bürgerkarte verwenden? Unterschiede der Klasse 1-4 Leser.

Die gängigen Bürgerkarten wurden mit einer Vielzahl marktüblicher Kartenleser getestet. (siehe Voraussetzungen)

Unterschiede der Klasse 1-4 Leser:

Klasse 1 Reader: Kontaktiereinheit ohne Tastatur und eine Schnittstelle, wie z.B. USB
Klasse 2 Reader: Klasse 1 Reader und Tastatur (Pinpad),
Klasse 3 Reader: Klasse 2 Reader und Anzeige (Display) sowie sichere Nachladbarkeit für Zusatzanwendungen im Leser (z.B. für ZKA-IKT),
Klasse 4 Reader: Klasse 3 und Sicherheitsmodul mit RSA Funktionalität sowie eine VM (direkte Ausführbarkeit von Programmen im Leser).

Von A-Trust empfohlene Kartenlesegeräte finden sich unter http://www.a-trust.at/kartenleser

Was ist der Security-Layer?

Der Security-Layer ist eine Schnittstelle zwischen Anwendung und der eigentlichen Chipkarte. Konkret handelt es sich um eine funktionale Spezifikation, die von Herstellern für ihre Produkte implementiert wird. Über diese Schnittstelle kann eine Applikation beispielsweise eine qualifizierte Signatur erstellen oder Infoboxen lesen und schreiben. Zweck ist es, dass die Applikation nicht über technische Details (wie zu verwendende Signaturalgorithmen, Unterschiede zwischen verschiedenen Ausprägungen der Bürgerkarte oder Speicherort der Infoboxen) Bescheid wissen muss.

Was ist die Bürgerkartenumgebung?

Mit dem Begriff Bürgerkartenumgebung werden jene sicherheitsrelevanten Komponenten zusammengefasst, die eine konkrete Implementierung des Konzepts Bürgerkarte umfassen, also etwa die Chipkarte, das Lesegerät, die PIN-Eingabe, etc. Die E-Government-Anwendung kommuniziert mit der Bürgerkartenumgebung über die Schnittstelle Security-Layer.

Wie zukunftssicher ist der Security-Layer?

Durch die Transparenz von verwendeten Algorithmen (Signatur, Hashberechnung etc.) auf dem Niveau des Security-Layers können zukünftige technische Neuerungen in der Bürgerkartenumgebung nachgezogen werden, ohne dass dadurch Applikationen verändert werden müssen, die auf den Security-Layer zugreifen.

Wie wird verhindert, dass ich etwas Anderes signiere, als das, was ich sehe? Was ist ein Trusted Viewer?

Der Trusted Viewer (dessen sicherheitstechnische Eigenschaften auch über Gutachten belegt sein können) ist eine sicherheitsrelevante Komponente, die sich innerhalb der Bürgerkartenumgebung befindet. Sie ermöglicht es dem Signator, genau jene Daten einzusehen, die er elektronisch signieren möchte, bzw. dem Empfänger, genau jene Daten einzusehen, die von der zu prüfenden elektronischen Signatur umfasst werden. Dadurch wird sichergestellt, dass Sie nur das unterschreiben, was Sie tatsächlich am Bildschirm sehen.

Gibt es sicher signierte E-Mails?

E-Mails sind elektronische Daten im Sinne der Signaturrichtlinie bzw.des Signaturgesetzes. Sofern die Formate, die in der E-Mail verwendet werden, signaturfähig sind, kann auch eine ganze E-Mail sicher signiert werden. Dabei ist aber darauf zu achten, dass bei der Anzeige im Rahmen der Signatur auch die Randbedingungen des Gesetzes beachtet werden und dem Signator oder auch dem, der die Signatur prüft, nicht etwa der Augenschein nahegebracht wird, dass die Betreffszeile oder andere Headerinformationen Teil der Signatur wären. Weiters ist zu bedenken, dass die E-Mailadresse in aller Regel kein gesichertes Attribut sein wird und daher Konflikte mit bestehenden Mailsystemen entstehen können.

Wie kann ich mich über Spezifikationen zur Bürgerkarte informieren?

Informationen zu Spezifikationen für die Bürgerkarte und das E-Government finden sich unter Digitales Österreich , Bürgerkarte bzw.E-Government-Referenz. Dort sind auch Informationen zur Erarbeitung der Spezifikation zu finden.

Wie werden bestehende Webformulare und Anwendungen auf elektronische Signaturen umgestellt?

Die Umstellung von bestehenden Webformularen kann schrittweise erfolgen. Durch die Basismodule (Module für Online Applikationen - MOA) kann in Webanwendungen relativ unkompliziert und ohne großen Aufwand die elektronische Signatur eingebunden werden. Für die weitere Ausbaustufe sind Konzepte ("intelligenter Formulare") möglich, die neben der elektronischen Signatur auch Ablaufsteuerung und Hilfestellung bieten.

Wie wird die E-Governmentstrategie in bestehende Server eingebunden?

Zur Vereinfachung der Integration stehen sogenannte Module für Online Applikationen (MOA) kostenlos und als Open Source zur Verfügung. Module zur Bürgerkarte sind MOA-IS (Identifikation) und MOA-SS/SP (Serverseitige Signaturerstellung und Signaturprüfung). MOA-ID erlaubt es, bestehende Username-Passwort basierende Webanwendungen auf Bürgerkarte zu migrieren. Dabei übernimmt MOA-ID die Kommunikation mit der Bürgerkartenumgebung und übergibt, nach erfolgreicher Authentifizierung, die gesicherten Identifikationsparameter an die Anwendung. Die MOA-Module stehen im Rahmen der Open Source Plattform des Digitalen Österreichs zur Verfügung.

Warum wird XML verwendet?

XML ist eine Metasprache für das Definieren von Dokumenttypen. Anders gesagt: XML liefert die Regeln, die beim Definieren von Dokumenttypen angewendet werden. XML ist eine auf internationaler Ebene spezifizierte system- und plattformunabhängige Sprache, die weltweit verwendet wird. Sie erlaubt die mehrsprachige Ausgabe von Textseiten und ist signaturfähig. Sie erfüllt daher alle an E-Government gestellten Anforderungen in geradezu idealer Weise.

Was sind die Unterschiede zwischen Kryptosystemen auf Basis elliptischer Kurven und RSA-Verfahren?

Die aktuellen Bürgerkarten, Bankomatkarte und e-card, verwenden elliptische Kurven. Hauptsächlicher Vorteil der Signaturen auf Basis elliptischer Kurven ist, dass die elektronische Signatur kürzer ist, was ein Ausdrucken und späteres Erfassen, etwa zur Rekonstruktion eines ausgedruckten Bescheides, einfacher macht. Deutlicher Vorteil der RSA-Verfahren ist deren langjährige Verbreitung, was auch zur Einbindung in viele Produkte geführt hat. So sind etwa S/MIME-Umsetzungen zur Zeit nahezu nur in RSA verfügbar. Ein nicht unbeachtlicher Nachteil der heute üblichen RSA-Verfahren mit 1024 oder 1536 Bit Schlüssellänge ist der Umstand, dass diese Schlüssellänge bei vielen Chipkarten die technische Umsetzungsgrenze ist.

Wie betreibe ich die Bürgerkarte hinter einer Firewall bzw.mit einer Personal Firewall?

Die Bürgerkartenumgebung verwendet einige Internetverbindungen, die Sie allenfalls in Ihrer (Personal) Firewall freischalten müssen. Es wird etwa der Zertifikatsstatus über LDAP oder OCSP abgerufen. Weiters werden Web-Verbindungen für die Anmeldung an E-Government Anwendungen, die Weitergabe signierter Dokumente, den Download von Stylesheets oder das Update der BKU-Software benötigt. Typisch müssen Sie deshalb die Protokolle LDAP (port 389, TCP) und HTTP und HTTPS (ports 80 und 443, TCP) zulassen. Je nach Anwendung, können in seltenen Fällen alternative Ports verwendet werden.