Zuerst hatte es der "elektronische Amtsweg" geheißen, später sprach man dann von der "Bürgerkarte" bzw. "Bürgerkartenfunktionen" oder auch "signaturfähigen Ausweisen", beziehungsweise von "sicheren", "fortgeschrittenen" oder "einfachen Signaturen."
Weil sich all dies inhaltlich teils deckt, teils überschneidet bzw. eben nicht, soll im ersten Teil dieser Serie nur von den so genannten "sicheren Signaturen" die Rede sein.
Die "sichere Signatur", die sich nicht eigentlich technisch, sondern nur durch die persönliche Vorlage eines Ausweises bei der Generierung von der "einfachen Signatur" unterscheidet, wird auf verschiedene Chipkarten, die der Norm entsprechen, aufgebracht. Bankomat/Maestro, Mastercard, eigene Karten von a.trust, die Chip-Ausweise der Wirtschaftsuniverität Wien, oder die e-Card der Sozialversicherungen sind Beipiele dafür.
"Qualifizierte Zertifikate"
Wozu das alles nützlich sein soll, erschließt sich dem potentiellen Benützer allerdings nicht sogleich. Mit einer einzigen Karte elektronisch bezahlen, beim Finanzamt und anderen Ämtern nur noch via Karte, PC und Internet vorstellig werden - von all dem ist die Realität Österreichs im Jahr 2006 noch ziemlich weit entfernt.
A-Trust, österreichweit der einzige Anbieter so genannter "qualifizierter Zertifikate" die allein den Bedingungen der "sicheren Signatur" entsprechen, hat nach eigenen Angaben davon seit 2002 gerade einmal 56.000 an die Leute gebracht. Wozu aber sind nun "qualifizierte Zertifikate" gut und wie werden sie hergestellt?
Chipcards wie die Bankomatkarte dienen als Hardware-Basis, um mit Kartenlesegerät und PC eine "sichere Unterschrift" erzeugen. Die ist rechtlich der händischen Unterschrift gleichgestellt.
Die Funktionsweise der digitalen Signatur
Das Upgrade für die Karte
Die Prozedur entbehrt jedoch nicht der Mühsamkeit. Zuvörderst ist die Karte durch persönliches Vorstelligwerden beim jeweiligen Aussteller [Banken usw.] mit einer neu generierten, digitalen Signatur tauglich zu machen. Dann ist ein Kartenlesegerät anzuschaffen und dessen Treiber in einem PC zu installieren, der Internet-Verbindung hat.
Sodann muss der Software-Client von a.trust [Windows, seit neuem auch Linux, Mac OS] auf dem Signatur-Rechner eingerichtet werden. Hernach gilt es, die jeweiligen Applikationen, also Textverarbeitung, Browser, E-Mail-Programm darauf einzustellen, a.trust als Zertifizierungsstelle zu akzeptieren.
Die Website der Regulationsbehörde listet alle Zertifikatsprodukte in Österreich inklusive Angabe ob einfach, fortgeschrittene oder sichere Signaturen angeboten werden.
Betrug beim Online-Banking nimmt zu
Phishing-Attacken
Wo aber sind die Vorteile für den Benutzer, der sich zwar das Login im Browser erspart, dafür aber am Kartenlesegerät einen PIN-Code eingeben muss?
"Die einzig wirkliche Lösung gegen Phishing-Attacken ist eine digitale Signatur von einem externen Kartenleser" sagt Josef Ferstl, Geschäftsführer von a.trust. Angesichts der beträchtlichen Schadens-Summen, die österreichischen Banken allmonatlich durch Betrug dieser Art entstünde.
Auf den Websites der BAWAG und der Raiffeisenbanken kann man bereits über die Karte einloggen, anhand der Signatur kann die Bank überprüfen, ob sich der Kontoinhaber selbst und nicht ein Passwort-Phisher mit gestohlenen Zugangsdaten einloggt.
Vergangene Rückschläge
Gründe dafür, dass sich der Start so schleppend und zeitweilig mühsam vollzieht, sieht Ferstl in Rückschlägen wie jenem, dass die 2004 ausgelieferten Bankomat-Karten technisch nicht tauglich für Signaturen waren.
Doch mit 3,4 Millionen neu ausgegebenen Bankomatkarten sei mit einem Schlag eine große Klientel technisch für "sichere Signaturen" vorbereitet, sagt Ferstl. Man stehe hier erst am Anfang.
Mehr über Zertifikate, die ohne Kartenspiele ausgestellt werden, weils sie rein Software-basierend sind, nämlich "fortgeschrittene Signaturen", lesen Sie im nächsten Teil unserer Serie zur digitalen Signatur.
Autor: Erich Moechel
Quelle: futurezone, 27.01.2006
