Sicherheit

Die Bürgerkarte auf der e-card ist bei ihrer Verwendung mehrfach abgesichert:

  • Als erstes müssen Sie die e-card ins Kartenlesegerät stecken, Sie müssen also im Besitz der e-card sein.
  • Anschließend müssen Sie die Signatur-PIN eingeben, Sie müssen diese also wissen.

Auch die Handy-Signatur ist bei ihrer Verwendung mehrfach abgesichert:

  • Jede Anwendung verlangt als erstes Ihre Telefonnummer und Ihr geheimes Signatur Passwort. Sie müssen dieses Passwort also wissen.
  • Als nächstes erhalten Sie eine SMS auf Ihr Mobiltelefon mit der angegebenen Nummer. Sie müssen also im Besitz des aktivierten Handys sein.
  • Diese SMS beinhaltet einen TAN-Code, der nur fünf Minuten lang gültig ist und nur für den aktuellen Vorgang verwendet werden kann.

Handy-Signatur und Bürgerkarte sind damit besonders sichere Methoden, sich im Internet auszuweisen. Sie bieten hohe Sicherheit vor

  • Diebstahl der Zugangscodes (z.B. Phishing)
  • Angriffen über das Netz (Man in the Middle)
  • Angriffen am Computer (z.B. Viren)

Sicherheit durch Mehrfaktorauthentifizierung

Ausschließlich die korrekte Kombination der zwei Faktoren Wissen (PIN) und Besitz (Mobiltelefon bzw. e-card) ermöglicht eine erfolgreiche Anmeldung (Login) an einem Service oder eine elektronische Unterschrift. Für eine missbräuchliche Verwendung müsste also das Mobiltelefon oder die e-card entwendet UND zusätzlich die entsprechende PIN ermittelt werden – und das ist bei sorgsamem Umgang praktisch unmöglich.

Andere gängige Identifikationsverfahren - wie Benutzername und Passwort, PIN und nummerierter TAN (iTAN) oder Token-Systeme nutzen nur einen Faktor – meist Wissen, seltener Besitz. Hier reicht es allerdings bereits aus, diese Information auszuspionieren oder eine Zutrittskarte zu entwenden, und schon können diese Zugangsdaten missbraucht werden.

Sicherheit durch Anwendung kryptographischer Methoden

Die Handy-Signatur bzw. Bürgerkarte verhindert, dass zentral auf sensible Daten zugegriffen werden kann – dies passiert durch mehrere Schritte und dafür werden ausgereifte kryptographische Methoden verwendet.

  • Jeder in Österreich gemeldete Bürger ist durch eine Zahl aus dem Zentralen Melderegister (ZMR-Zahl) eindeutig identifizierbar.
  • Diese Zahl wird ausschließlich verschlüsselt für die Handy-Signatur bzw. Bürgerkarte verwendet (Triple-DES-Verfahren) – als Stammzahl. Die ursprüngliche ZMR-Zahl kann aus der Stammzahl aufgrund des verwendeten Verschlüsselungsverfahrens nicht wiederhergestellt werden.
  • Auch die Stammzahl wird bei der Nutzung der Bürgerkartenfunktion nicht direkt verwendet. Durch Anwendung einer kryptographischen Einwegfunktion (SHA-1-Verfahren) wird aus der Stammzahl für jeden Verwaltungsbereich – wie Bauen und Wohnen, Gesundheit, Landwirtschaft, Steuern, etc. – eine eigene Kennzahl abgeleitet. Diese Kennzahl wird bereichsspezifische Personenkennzeichen (bPK) gennant. Aus dem bPK kann nicht auf die Stammzahl geschlossen werden. Des Weiteren kann aus dem bPK eines bestimmten Verwaltungsbereichs nicht auf das bPK eines anderen Verwaltungsbereichs geschlossen werden. Dies verhindert, dass z.B. das Finanzamt in Verfahren des Gesundheitsbereichs Einblick nehmen kann.