Bürgerkarte

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Die Bürgerkarte ist eine Kombination aus amtlichem Ausweis-Dokument (meist der e-card[1] oder dem Mobiltelefon als sog. Handysignatur[2]) und einem digitalen Zertifikat im elektronischen Verwaltungsverfahren. Sie findet im österreichischen E-Government[3] als Äquivalent zur eigenhändigen Unterschrift Verwendung. Die Firma A-Trust betreut die Bürgerkarte technisch, betreibt auch ein Wiki[4] und stellt die digitalen Zertifikate zur Verfügung.

Konzept[Bearbeiten]

Durch die Bürgerkarte können zwei zentrale Sicherheitsfragen bei Behördenwegen, die elektronisch angeboten werden, gelöst werden:

  1. Der Bürger kann durch Verwendung seiner Bürgerkarte eindeutig und sicher von der Behörde authentifiziert werden. Dies ist beispielsweise notwendig, bevor Einsicht in die betreffenden Verfahrensdaten gewährt werden kann. Diese sichere Identifikation kann dadurch das persönliche Erscheinen bei der Behörde ersetzen.
  2. Der Bürger kann auf elektronischem Weg gegenüber der Behörde eine Willenserklärung abgeben, deren Authentizität zweifelsfrei nachgeprüft werden kann. Diese Funktion ermöglicht es, Verfahren elektronisch anzubieten, für die auf herkömmlichem Weg eine schriftliche Eingabe notwendig wäre.

Der Begriff „österreichische Bürgerkarte“ steht nicht für eine spezielle Karte, die für alle Bürger gleich ist, wie beispielsweise der Reisepass. Die Bürgerkarte ist vielmehr ein Modell zur Ermöglichung elektronischer Verwaltungsverfahren, das jene Anforderungen definiert, die für sichere elektronische Abwicklung der Verwaltungsverfahren notwendig sind.

Durch diese allgemeine Definition eines Modells haben die Bürger die Wahl, welche Bürgerkarte(n) sie schließlich verwenden. Man kann also die Bürgerkarte mit einem elektronischen Ausweis vergleichen: Ausweis bedeutet ein Konzept, das unterschiedliche Ausprägungen haben kann, wie Reisepass, Führerschein, Schülerausweis oder Mitgliedsausweis. Mit Behördenverfahren sind jedoch allgemein gewisse Sicherheitsanforderungen verbunden, die amtliche Ausweisdokumente erfüllen, wie beispielsweise Reisepass, Personalausweis oder Führerschein.

Auch die Abfragen bei dem ab 2014 installierten www.pensionskonto.at, das von einem privaten Unternehmen betrieben wird, sind mit der Bürgerkarte möglich. Dabei wird bereits im Vorfeld kritisiert, dass auch private Finanzberater die Bürgerkarte aktivieren dürfen und damit erleichterten Zugang zu den künftigen staatlichen Pensionsdaten bekämen.[5]

Aktivierung[Bearbeiten]

Die Aktivierung der e-card als Bürgerkarte ist kostenlos und erfolgt entweder

  • bei Aktivierungsstellen z.B. Servicestellen der Krankenkasse mittels Identitätsnachweis
  • über FinanzOnline, für dessen Zugang ein Identitätsnachweis erbracht werden muss
  • Anforderung eines eingeschrieben RSa-Briefes

Zudem können andere Karten kostenpflichtig bei A-Trust direkt aktiviert bzw. bestellt werden.

Technische Rahmenbedingungen[Bearbeiten]

Aus technischer Sicht sind derzeit Chipkarten bzw. sogenannte Smartcards ein Mittel der Wahl, um den Sicherheitsanforderungen zu genügen. Das Modell ist allerdings nicht darauf beschränkt. So sind auch das Mobiltelefon und andere Geräte des täglichen Gebrauchs, wie USB-Geräte, als Bürgerkarte umgesetzt.

Erste Ausprägungen waren ab 2003 verfügbar (Mitgliedsausweis der österreichischen Computergesellschaft OCG oder die Bürgerkarte der A-Trust). Seit 2005 konnten die neue Generation der Maestro-Karte (also der Bankomatkarte), die e-card des Hauptverbandes der österreichischen Sozialversicherungsträger, oder das Mobiltelefon über die A1-Signatur der mobilkom Austria als Bürgerkarte aktiviert werden. Die A1-Signatur der mobilkom wurde (mit 16. Oktober 2007) eingestellt. Ab Ende 2009 wurde mit der Handysignatur der A-Trust wieder eine Bürgerkarte am Mobiltelefon gestartet.

Kritik[Bearbeiten]

Das E-Government-Gesetz fordert für die Bürgerkarte eine qualifizierte Signatur, was zu einer Reihe von Problemen führt:

  • Das Verfahren der digitalen Signatur und der Personenbindung ist so komplex, dass nur eine sehr kleine Gruppe von Experten beurteilen kann, ob die vielen Komponenten einer Signatur wirklich sicher sind, unter anderem auch, weil es bei den Anwendern keine Plattform für Trusted Computing gibt. Im Gegensatz zur Papierunterschrift ist der Beweis einer Signaturfälschung vom Signator zu führen, es gibt kaum Rechtsprechungen zu dem Thema. Würde die digitale Signatur größere Verbreitung finden und dadurch für Angreifer attraktiv werden, würde das die versprochene hohe Sicherheit unterhöhlen.
  • Die technische Implementierung der Bürgerkarte erfordert eine proprietäre Schnittstelle, die von Anwendungen explizit unterstützt werden muss. Industriestandards wie PKCS11 und CSP werden dagegen von Web-Browsern, E-Mail-Clients und PDF-Anwendungen breit unterstützt.

Theoretische technische Schwachstellen[Bearbeiten]

Wie erst 2009 bekannt wurde[6], gab es bereits 2006 eine Untersuchung[7] des SecLab der Technischen Universität Wien, die drei Schwachstellen in der Softwareimplementierung der Bürgerkartenumgebung „trustDesk basic“ (PC-Version) aufgezeigt hat. Die Schwachstellen, die z. B. in Verbindung mit einem Trojaner ausgenützt werden können, führen dazu, dass der Benutzer andere Dokumente bzw. Inhalte signiert als angezeigt bzw. vorgesehen.

  • Angriff gegen eine HTML-Seite bzw. Anwendung, wie z. B. bei Banking-Anwendungen
  • Angriff gegen FinanzOnline
  • Angriff gegen Mail-Verschlüsselung (Thunderbird Plugin)

Die bekannt gewordenen Schwachstellen dürften bereits vor geraumer Zeit behoben worden sein, es bleibt allerdings der Vorwurf, dass die Software zuvor durch die A-Sit als sicher zertifiziert wurde und laut der Untersuchung der TU-Wien in Verbindung mit einem Trojaner eine Veränderung des Inhalts vor der Signatur niemals, auch nicht bei anderer Bürgerkarten Software, ausgeschlossen werden kann.

Einzelnachweise[Bearbeiten]

  1. www.chipkarte.at SVC, Sozialversicherungs-Chipkarten Betriebs- und Errichtungsgesellschaft m.b.H.---SVC, Website zur Sozialversicherungskarte e-card, Abgerufen am 31. März 2011
  2. handy-signatur.at A-Trust Webseite zur Handy Signatur, Abgerufen am 31. März 2011
  3. Behörden im Netz - Das österreichische E-Government-ABC Version Jänner 2008, Österreichisches Bundeskanzleramt, Abgerufen am 31. März 2011.
  4. Bürgerkarte im A-Trust Wiki A-Trust Wiki zur Bürgerkarte
  5. Finanzdienstleister werben mit Pensionskonto auf Ö1 vom 28. Februar 2013 abgerufen am 1. März 2013
  6. heise.de: Sicherheitslücken bei öesterreichischer Bürgerkarte.
  7. als PDF

Weblinks[Bearbeiten]

  • www.digitales.oesterreich.gv.at – Informationen zur Bürgerkarte des österreichischen Bundeskanzleramtes
  • www.help.gv.at – E-Government-Anwendungen mit Bürgerkarte (nach Anwendungen)
  • www.help.gv.at – E-Government-Anwendungen mit Bürgerkarte (nach Bundesländern/Gemeinden)
  • www.a-trust.at - A-Trust – Bürgerkarte und digitale Signaturen
  • www.a-sit.at – Erste und derzeit einzige österreichische Bestätigungsstelle (Verordnung BGBl II 2000/31)