Stellungnahme Prof. Dr. Reinhard Posch
Handy-Signatur – Bequem ist nicht sicher
Kurzfassung:Langfassung:
- Kritik kommt aus einem Privatgutachten.
- Phishing wie in diesem Gutachten beschrieben ist technisch aus unserer Sicht nicht möglich, es wurde uns auch nicht präsentiert.
- Handy-Signatur wird laufend an Stand der Technik angepasst, es gibt eine neue Sicherheits-App
- Handy-Signatur hat 2 Faktoren Sicherheit, d.h. Besitz (Handy) und Wissen (Code), ermöglicht viele Amtswege online
- Technologie der Handy-Signatur ist Ergebnis österreichischer universitärer, durch EU-Programme geförderter, Forschung der TU-Graz
- Die Technologie der Handy-Signatur ist europaweit üblich und entspricht der EU-Verordnung (eIDAS)
- Einzige Quellen der Nominierung sind ein Privatgutachten und ein 7 (!) Jahre alter Profilartikel zu eVoting
Die Kritik an der Handy Signatur, wonach die Handy Signatur durch Phishing gefährdet ist, ist aus unserer Sicht technisch nicht so möglich, wie in dem Privatgutachten, auf das sie sich beziehen.
Ihr Zitat "nachdem aufgezeigt wurde, dass Phishing möglich ist" ist etwas unkritisch einem Privatgutachten entnommen, das die eigene Interessenslage tendenziös darstellt. Auch auf mehrmalige Aufforderung hin, wurde die angebliche Problemlage nicht live vorgeführt. Aus unserer Sicht deshalb, weil einige Annahmen nicht vertretbar sind.
Dennoch wird ständig daran gearbeitet, die Sicherheit der Handy Signatur am Stand der aktuellen Entwicklung zu halten. Aus diesem Grund wurde mittlerweile eine ohnedies geplante weitere Verbesserung umgesetzt und es wird auch auf die bereits in Umsetzung befindliche graduelle Umstellung von SMS auf eine Sicherheits-APP (QR-Code) hingewiesen.
Weiters sei darauf verwiesen, dass Signatur und elektronische Zweitfaktor-Identifikation keine österreichische Besonderheit sind. Die Handy-Signatur als eine auch in Österreich wichtige Ausprägung ist in der einschlägigen EU-Verordnung explizit verankert.
Zuletzt können wir auch – wie einige erst kürzlich veröffentlichte Studien (http://www.egovernment-monitor.de/die-studie/2016.html) beweisen – feststellen, dass in der Bevölkerung die Kritik an der Sicherheit nicht nachempfunden werden. So zeigt etwa der e-government Monitor, für den etwa 1000 Menschen mit Internetzugang in Österreich – aber auch in der Schweiz und in Deutschland - interviewt wurden, dass „die Sorge um Datensicherheit und Datenschutz in allen drei Ländern an Bedeutung verliert und den niedrigsten Stand seit Erhebung der Studie erreicht.“
Die Anmerkung "Auch nachdem aufgezeigt wurde, dass Phishing möglich ist, wird lediglich auf das Gesetz verwiesen ..." in der Nominierung scheint die Annahmen des Gutachtens ungeprüft zu übernehmen und auch die seither weiteren Sicherheitselemente, die bei einer einigermaßen sorgfältigen Nutzung die Bedenken des Gutachtens ausräumen, zu übersehen.
Als TU-Graz sind wir stolz, dieses Element österreichischer universitärer, durch EU-Programme geförderter, Forschung ohne Gegenleistung der öffentlichen Verwaltung zur Nutzung zur Verfügung zu stellen.
Prof. Dr. Reinhard Posch
IAIK TU-Graz