Dienstag, 14. Juni 2016

Die österreichische Handy-Signatur – Vorzeigeprojekt mit Sicherheitslücken? Interview mit Reinhard Posch, CIO der öst. Bundesregierung?

Die österreichische Handy-Signatur gilt weltweit als Erfolgsgeschichte und Vorzeigeprojekt im Bereich des e-Government und der elektronischen Partizipationsmöglichkeiten für BürgerInnen. In den letzten Wochen wurde plötzlich Kritik laut rund um vermeintliche Sicherheitslücken. Wir hatten dazu im Blog ein Interview mit Wolfgang Prentner, der in einem ZIB2 Bericht Schwächen in der Sicherheitsarchitektur der Handy-Signatur anprangerte. Aufgrund der Unsicherheit, die der Medienlärm verursacht hat und dem hohen Interesse unserer Leser haben wir uns um eine Stellungnahme der Verantwortlichen bemüht. Lesen Sie nun was Prof. Reinhard Posch meint, der CIO der österreichischen Bundesregierung. Was macht den bisherigen Erfolg der Handy-Signatur aus? Welchem Risiko sind die Anwender der Handy-Signatur tatsächlich ausgesetzt? Inwieweit besteht Handlungsbedarf?

Welche Anforderungen bringt der Digitale Wandel an die Öffentliche Verwaltung und insbesondere an die IT?
Bereits 2015 wurden mehr mobile Geräte als PCs und Workstations auf den Markt gebracht. Dieser Trend wird nicht nur anhalten, sondern verstärkt zu beobachten sein. Die Verwaltung kann sich solchen Trends nicht verschließen, sondern muss diese Anforderung an die Agilität der Services annehmen. Sicherheit darf dabei nicht auf der Strecke bleiben und bei proaktiven Strategien, für die Österreich seit 15 Jahren international bekannt ist und im E-Government als Vorreiter gilt, kann dies auch im Sinne eines Sicherheitsfortschritts genutzt werden.

Die Handy-Signatur gilt als eine der Erfolgsgeschichten des e-Government und findet international Anerkennung – Was macht den Erfolg der Lösung tatsächlich aus?
Österreich ist nicht nur bekannt und anerkannt mit der Handy-Signatur, sondern es hat diese innovative Form von Sicherheitstechnologie auch explizit in der neuen EU-Verordnung eIDaS Niederschlag gefunden. Erreichbar wurde dies durch den Konzept und Produktzyklus, den Österreich im E-Government eingeführt hat und der in den Basiselementen (Portalverbund, Handy-Signatur, ….) nun auch flächendeckende Wirkung zu zeigen beginnt. Der Zyklus reicht in einer abgestimmten Strategie von der offenen Innovation über die Verwaltungsebenen übergreifenden Koordination und Abstimmung hin zur Umsetzung.

Im Falle der Handy-Signatur ist dies ein koordiniertes Zusammenwirken von Technologie- und Verhaltensaspekten, die nicht nur die Akzeptanz im privaten Bereich auf das Vielfache der Karte als Signaturtoken gesteigert hat, sondern aus dem Design heraus auch bedeutende Sicherheitsfeatures hinzugebracht hat. Dazu nachfolgend nur exemplarisch herausgegriffene Beispiele.
·         Verlust und Widerruf: Der Verlust, das Entwenden des Mobiltelefons wird aller Regel nach innerhalb von ein paar Stunden evident und damit ist dieser zeitliche Risikofaktor gegenüber einer Karte – auch einer Multifunktionskarte –, die oft über Tage hinweg ungenutzt und damit ein Verlust unerkannt bleibt, um einen Faktor verbessert.
·         Der Widerruf selbst hat totale Wirkung, da nicht nur der Widerruf im Verzeichnis als Information erfolgt, sondern zusätzlich der Signaturschlüssel nicht mehr verwendet werden kann bzw. vernichtet wird.
·         Mit dem Smartphone besitzt jeder eine „intelligente Tastatur“. Dies wurde im Kartenumfeld immer wieder versucht; intelligente Tastaturen haben sich aber aus Usability und Preisgründen nicht durchsetzen können. Mit der QR-APP als kryptographisch gesicherten, technisch an das initialisierte Gerät gebundenen SMS-Ersatz kommt dieser Effekt nicht nur zum Nulltarif, sondern bringt zusätzlichen Komfort, den die BenutzerIn an Bedürfnisse anpassen kann.

Welche Rolle spielt die Handy-Signatur beim österreichischen e-Government? Wie sehen die Perspektiven aus?
Qualifizierte Signatur als EU-weit anerkanntes Sicherheitstool ist zur Zeit Kernbestandteil des österreichischen E-Government und hat uns bereits seit 2010 in die Lage versetzt, den grenzüberschreitenden Bedarf genauso wie den nationalen Bedarf einzusammeln. Ohne dieses Sicherheits- und Datenschutzkonzept wäre uns der Vorsprung im Bereichen wie z.B. ELGA nicht gelungen – und dies wird nicht nur in Österreich so gesehen. Stetig steigende Nutzerzahlen und vor allem Nutzungen sowie Applikationen, die darauf abstellen, sind ein lebender Beweis dafür. Qualifizierte Heranführung der BürgerInnen und der Unternehmen an die Verwaltung sind Grundvoraussetzung für hohe Qualität der Daten und der Verfahren in der Verwaltung. Die Handy-Signatur ist dabei ein Grundpfeiler.

In den letzten Wochen wurde die Sicherheitsarchitektur der Handy-Signatur in den Medien stark kritisiert – Wie gefährdet sind Handy-Signatur Nutzer tatsächlich?
Auch wenn diese Situation medial sehr prominent aufgegriffen wurde, sind sich alle anerkannten Fachleute einig, dass darin keine neuen Erkenntnisse stecken. Die Grundproblematik „Phishing“ ist in IT-Zeiträumen gerechnet uralt und wurde in wesentlich ausgefeilterer Form als hier schon vor Jahren am BSI-Kongress diskutiert. Würde dieser Hinweis nicht allzu sehr einer Anleitung oder gar einem Anstiften nahekommen, könnten wir diese sogar als Beitrag zur User-Awareness begrüßen. Dieser Effekt scheint aber weder intendiert noch unintendiert hinüberzukommen. Die Sicherheitsarchitektur wurde in meinen Augen, da der aufgezeigte „Angriff“ nicht spezifisch auf die Handy-Signatur wirkt und auch kein Architekturelement ausnutzt, nicht wirklich angesprochen. Der so genannte Angriff wäre vergleichbar mit einem Pappkartonbankomaten, wo Sie ihre Karte stecken, PIN eingeben und dann eine falsche Karte mit dem Hinweis „funktioniert leider nicht“ zurückbekommen. Auch hier – und solche Fälle gab es vor Jahren im Ausland auf Autobahnstationen - ist Ihre Bank oder Ihr Kartenbetreiber nicht beteiligt und wird kaum Maßnahmen – mit Ausnahme der immer notwendigen Awareness - treffen können. Ein Unterschied ist allerdings hervorzuheben: Der „Betreiber des gefälschten Bankomaten“ wird nicht seinen gültigen Lichtbildausweis vorne auf den Bankomaten kleben, da Verbrecher sich eben nicht gerne ausweisen. Aber genau das müsste beim aufgezeigten Angriff geschehen, da die Handy-Signatur nur über https-Verbindungen - über Ausweise von Servern, die von anerkannten Zertifizierungsdiensteanbietern ausgegeben werden – funktioniert und daher diese Phishing-Attacke – wie das übrigens auch in der in den Medien vorgezeigten der Fall war – eine https-Verbindung aufbauen muss, um nicht sofort aufzufallen.

Welche Maßnahmen sind von Seiten der Verwaltung angedacht? Was müssen Nutzer beachten?
Wie gesagt, ist die Attacke nicht auf die Handy-Signatur abgestimmt und nutzt auch „keine Schwachstelle derselben“ aus. Natürlich muss man – und das machen auch die Banken regelmäßig – dem Benutzer sagen: Klicken eines Link in einer Mail ist ein großes Sicherheitsrisiko, weil man sich damit in den Bereich des oft gar nicht erkennbaren Absenders der Mail begibt und sich diesem ausliefert. Man muss sich schon die Mühe machen, solche Links abzutippen – zumindest einmal, dann kann man sie in die Lesezeichen geben, sofern man bei den Lesezeichen tatsächlich nur vertrauenswürdige Links verwaltet.

Die ohnehin bereits seit einiger Zeit festgelegte Kommunikationsstrategie ist, Benutzer zur weiteren Verbesserung anzuraten, auf die QR-APP, die seit einigen Monaten als zusätzliche Möglichkeit angeboten wird, umzusteigen. Dort kann man auch die ausgelöste Transaktion – z.B. Anmeldedetails bei Finanz-Online mit Bürgerkarte – unmittelbar vor Freigabe und damit ohne Sicherheitsrisiko über den zweiten, unabhängigen Smartphonekanal anzeigen. Generell muss man den BenutzerInnen sagen, dass abgebrochene – also irreguläre – Sitzungen bei jeder Internetanwendung ein gewisses Verdachtsmoment auslösen sollten. Ich mache in einem solchen Fall einen Screenshot von der Abbruchssituation. Im Streitfall – der behauptete Angriff ist ohnehin nur dann nutzbar, wenn der Angreifer mit der Behauptung eines signierten Dokumentes auftritt – könnte man die Logs der Handy-Signatur anfordern. Der Zeitpunkt ist mitsigniert und kann ohnehin nicht verändert werden. Da allerdings dieses Phishing zweimalige Identifikation des Angreifers erfordert – einmal bei der http-Verbindung des Phishing und einmal bei der Nutzung des signierten Dokumentes, können wir die Einschätzung des Risikos nicht teilen und die Tatsache, dass dieses Thema vor einiger Zeit auch öffentlich nachvollziehbar diskutiert wurde und dass es keinen Beschwerdefall, der dazu passt gibt, führt uns zu einer gänzlich anderen Einschätzung der Gefährdungslage.
Wie geht es weiter dem österreichischen e-Government?

eIDaS bringt neben eID und Signatur weitere Elemente. Hier werden wir uns gut überlegen müssen, wie wir daraus Nutzen erzielen können. Dies wird auch von den Synergien mit anderen Mitgliedsstaaten abhängen. Die große Herausforderung ist das Schritthalten mit den Entwicklungen in mobilen Bereich und im Sicherstellen der Attraktivität. Diese Attraktivität muss unter Beibehalten der Grundmauer und damit der Building Blocks der österreichischen E-Government Infrastruktur erreicht werden. Nur so kann das hohe Vertrauen in die Sicherheit und das effiziente Funktionieren und die Motivation aller Beteiligten erhalten bleiben.
Auf der Confare Veranstaltung #Digitalize 2016 treffen Sie u.a. Christian Rupp, Sprecher der Plattform Digitales Österreich aus dem Bundeskanzleramt. Anmeldung und Details auf www.confare.at

1 Kommentar:

Anonym hat gesagt…

Zuerst habe ich geglaubt das es ein Scherz ist mit dem CIO.
Aber so einen Posten gibt es wirklich zu finden unter:
https://www.digitales.oesterreich.gv.at/aufgaben-und-mitglieder
Aber er ist er ist nur CIO des Bundes und nicht der österreichischen Bundesregierung.

Nicht nur Wien, sondern Österreich, ist anders ;-)