English VersionSicherheit
Die Bürgerkarte ist eine der sichersten Methoden überhaupt, sich im Internet auszuweisen (Login). Die Tabelle zeigt, wie sicher bzw. unsicher die verschiedenen Methoden sind (grün = sehr sicher, rot = unsicher).
| Sicherheit vor Diebstahl der Zugangscodes (z.B. Phishing) | Sicherheit vor Angriffen über das Netz (Man in the Middle) | Sicherheit vor Angriffen am Computer (z.B. Viren) | |
|---|---|---|---|
| Bürgerkarte | hoch | hoch | hoch |
| PIN & mTAN | hoch | mittel | niedrig |
| PIN & iTAN | mittel | niedrig | niedrig |
| PIN & TAN | niedrig | niedrig | niedrig |
| Benutzername & Passwort | niedrig | niedrig | niedrig |
Herzstück des Bürgerkarten-Sicherheitskonzepts ist die Kombination der beiden Komponenten Wissen und Besitz. Herkömmliche Verfahren basieren entweder nur auf Wissen (z.B. Benutzname & Passwort) oder nur auf Besitz (z.B. Zutrittskarten). Problem dabei: Für einen Angreifer reicht es, das Passwort auszuspionieren (bzw. die Zutrittskarte zu entwenden).
Demgegenüber ist es praktisch unmöglich, die Bürgerkarte zu knacken: Ein Angreifer müsste nämlich die e-card (bzw. das Handy) entwenden und die entsprechenden PINs ausspionieren.
Datenschutz
Diese Daten stehen auf der Bürgerkarte
Auf der Bürgerkarte sind folgende Informationen gespeichert:
- Zwei Zertifikate(?). Diese enthalten:
- Titel
- Vorname
- Nachname
- E-Mail-Adresse (auf Wunsch)
- Die Personenbindung(?). Diese enthält zusätzlich:
- Geburtsdatum
- Stammzahl(?)
Auf der e-card werden diese Daten auf dem kleinen goldenen Chip gespeichert. Für die Bürgerkarte am Handy stehen diese Daten in einem Hochsicherheits-Server und werden nur bei Bedarf abgerufen.
Doppelt abgesicherter Bürgerschutz
Datenschutz spielt bei der Bürgerkarte eine zentrale Rolle. Durch ein ausgeklügeltes Verschlüsselungsverfahren ist sichergestellt, dass es keinen zentralen Zugriff auf sensible Bürger-Daten geben kann.
Genau erklärt: Jeder in Österreich gemeldete Bürger ist durch eine Zahl aus dem Zentralen Melderegister (ZMR-Zahl(?)) eindeutig identifizierbar. Diese Zahl ist auf der Bürgerkarte allerdings nicht direkt gespeichert, sondern nur in Form der so genannten Stammzahl(?). Diese Stammzahl ist durch das Triple-DES-Verfahren so stark verschlüsselt, dass die ursprüngliche ZMR-Zahl nicht daraus wiederhergestellt werden kann.
Darüber hinaus ist sogar noch eine weitere Sicherheitsvorkehrung eingebaut: Um zu verhindern, dass verschiedene staatliche Stellen unberechtigter Weise in Verfahren Einblick nehmen können, wird bei der Bürgerkarten-Benutzung auch die Stammzahl nicht direkt verwendet. Tatsächlich wird die Stammzahl ein weiteres Mal stark verschlüsselt (mit dem SHA-1-Verfahren), und zwar für verschiedene Verwaltungsbereiche unterschiedlich. Dazu werden so genannte „Bereichskürzel“ verwendet, siehe E-Government-Bereichsabgrenzungsverordnung. Das Resultat dieser Verschlüsselung ist das so genannte bereichsspezifische Personenkennzeichen(?)
(bPK).
Bei Bürgerkarten-Anbietern im privaten Bereich (z.B. Firmen oder Vereine) wird statt des Bereichskürzels die Firmenbuchnummer (bzw. Vereinsregisternummer) verwendet. Das Ergebnis heißt dann bereichsspezifisches Personenkennzeichen für die Verwendung im privaten Bereich
(früher: wirtschaftsbereichsspezifisches Personenkennzeichen, wbPK).
