[Metalab] e-Bürgerkarte - Überlegungen

Wolfgang Trexler wt-lists at trexler.at
Thu Nov 28 12:30:06 CET 2013 

Am 2013-11-28 09:12, schrieb red667:
> Hi,
>
> ich wuerd mal vorschlagen, dass du dir dein mobiltelefon freischlaten
> laesst. dann hast du tel nr + passwort und sms code als 2-faktor auth
> statt der buergerkare und kannst dir die schwindelige java-software und
> den kartenleser sparen.
>
> freischalten koennen das z.b. die diversen it-abteilungen der
> bundeslaender. oder wenn du schon ne buergerkarte hast kannst du das
> selber machen.

Hi,

auf den ersten Blick klingt die "Handy-Signatur" verlockend, ich würde 
die aber, aus folgenden Gründen, niemals nehmen:

.) Du legst Deine Unterschrift die der "Eigenhändigen" gesetzlich gleich 
gestellt ist (mit Ausnahme Erbschaft & Grundstückskauf) in die Hände 
eines "Dritten"!
.) Du übergibst die Kontrolle über Sicherheitsmaßnahmen, etc. an diesen 
"Dritten". Auch wenn die dort in einem HSM liegt und Du dem Betreiber zu 
100% vertraust, gibt es gewisse Risken wie ein kompromittiertes Handy.
.) Deine Unterschrift ist _nur_ über ein SMS abgesichert, mit allen 
Angriffsmöglichkeit gegen SMS/Mobiltelefon.
.) die Haftung ist im Signaturgesetz geregelt und recht strikt, viel 
Spaß beim Beweis, dass Dein Handy gehakt wurde, etc.
.) die Signatur steht 24x7 "in der Cloud", Du hast keine einfache 
Möglichkeit das Ding vorübergehend außer Betrieb zu nehmen um z.B. das 
Risiko zu minimieren.
.) MTM Attacken sind auf einem kompromittieren PC gegen die Digitale 
Signatur möglich, speziell wenn "nur" ein Web-Viewer zum Einsatz kommt, 
da es kein unabhängiges Lesegerät gibt auf dem Du prüfen kannst was Du 
eigentlich tatsächlich unterschreibst. Das ist ein generelles Problem 
und tritt auch mit Karte/Lesegerät auf, der (angeblich) "sichere 
Viewer", macht es aber zumindest ein kleinwenig schwieriger.

Mein Konklusio: Die Signatur auf der Karte mit Kartenleser ist super 
mühsam, aber man behält wenigstens die Kontrolle darüber wann/wo die 
Karte zum Einsatz kommt. Und wenn man die Karte aus dem Leser zieht ist 
wenigstens sicher, dass sie nicht zum Einsatz kommen kann.

Ich hatte eine Zeitlang eine Signaturkarte mit Leser (beruflich 
begründet), für mich hat sich aber Aufwand/Nutzen/Risiko nicht gerechnet 
und ich habe es daher ganz bleiben lassen. Wenn Du mehrere/viele 
Behördenwege hast die Dig.sig. unterstützen mag es aber den Aufwand wert 
sein. Ich empfehle Dir Dich zu erkundigen ob die Services die Du im Auge 
hast auch tatsächlich mit Dig.Sig. funktionieren, zumindest bis vor ein 
paar Jahren gab es außer Finanz-Online nicht viel.

LG
Wolfgang

More information about the Metalab mailing list