Digital Life
27.11.2018

Skurrile „Sicherheitslücke“ bei Handysignatur

„Schreiben Sie ihr Passwort auf dieses Formular“: Wie man sich verhält, wenn eine Registrierungsstelle nicht den Regeln entsprechend handelt.

Es gibt viele gute Gründe, sich für die Handysignatur anzumelden: Man kann dadurch an Volksbegehren teilnehmen, seine Steuererklärung einreichen, Rechnungen signieren und seine Dokumente in einem digitalen Tresor speichern, sodass sie zum Beispiel verfügbar sind, wenn man im Urlaub bestohlen wird. Zur Aktivierung der Handysignatur gibt es viele Möglichkeiten, welche die futurezone bereits in einem anderen Artikel beschrieben hat. Einer der beschriebenen Wege führt zu einer entsprechenden Registrierungsstelle, bei der man sich für die Handysignatur persönlich in einem Amt registriert – und genau hier gibt es einen Medienbruch, wie die futurezone in einem Selbstversuch feststellte.

Denn beim Vorsprechen in der entsprechenden Registrierungsstelle – in unserem Fall eine Zweigstelle der Wiener Gebietskrankenkasse (WGKK) – wird dem Bürger ein Zettel gereicht, auf dem er in vier Feldern seine Telefonnummer, seine E-Mail-Adresse, seine Postleitzahl und sein Passwort per Handy eintragen soll. Die Identifikation des Namens erfolgt über einen amtlichen Lichtbildausweis. Das Passwort muss laut Formular-Vorgabe zwischen sechs und zehn Zeichen lang sein, Vorgaben für die Verwendung von Zahlen und Sonderzeichen gibt es nicht.

Anschließend wird das Formular mit dem offen einsehbaren Passwort an das WGKK-Schalterpersonal zurückgegeben, die Mitarbeiterin tippt das Passwort händisch in den PC ein. Zur Bestätigung der Handynummer und der Verknüpfung der Nummer mit dem Account erhält der Bürger einen Aktivierugscode per SMS, der von der Mitarbeiterin eingetippt wird. Anschließend erhält der Bürger das besagte Formular ebenso wie eine ausgedruckte Bestätigung, auf der das Passwort ebenfalls schwarz auf weiß zu sehen ist. Die Gesamtsituation gibt Anlass für Sicherheitsbedenken.

Warnung von A-Trust

Dementsprechend bestätigt man auch bei A-Trust, dem Unternehmen hinter der Handy-Signatur, dass ein derartiges Vorgehen nicht den Regeln entspricht: „In den verpflichtenden Schulungen weisen wir darauf hin, dass dem Mitarbeiter das Signaturpasswort im Rahmen der Aktivierung nicht zur Kenntnis gelangen soll, dementsprechend ist die Eingabe nur durch den Kunden zulässig“, sagt Matthias Dick, Sprecher von A-Trust. Die Registrierungsstellen sind Partner von A-Trust, die im Namen des Unternehmens die Identifizierungen vornehmen.

„Wir können hier nur leicht steuernd eingreifen, da wir keinen direkten Zugriff auf diese Stellen haben“, sagt Dick. Man informiere das Personal regelmäßig und greife ein, wenn es zu Problemen kommt: Meist gibt es zuerst eine Warnung, wenn ein Partner sich nicht an die Regeln hält – nehme der Partner selbst keine Verbesserungen vor, so kündige A-Trust die Partnerschaft.

Regelmäßige Deaktivierungen

Laut Dick werden regelmäßig Stellen deaktiviert, etwa einmal pro Monat erfährt A-Trust von derartigen Missständen. Unter anderem wurde auch ein Finanzamt in Wien auf Probleme hingewiesen, die jedoch vom Amt selbst behoben wurden.

Unter anderem müssen die Mitarbeiter auch Strafregisterauszüge vorweisen, die nicht älter als zwei Jahre sind. In den verpflichtenden Schulungen heißt es unter anderem, dass die Mitarbeiter nicht mal zuschauen dürfen, wenn der Bürger sein Passwort auf dem PC des Mitarbeiters eintippt. Auch von der WGKK heißt es auf Anfrage der futurezone, dass die Mitarbeiter in Schulungen darauf hingewiesen werden, dass sie Kunden unter keinen Umständen ihre Passwörter aufschreiben sollen. „Um die Handysignatur datenschutzkonform freischalten zu können, haben wir in den Kundencentern eigene Bereiche eingerichtet, wo der Kunde unter Wahrung der datenschutzrechlichen Bestimmungen sein Passwort ungestört eintragen kann. In der Regel werden die Freischaltungen an diesen Orten erledigt“, heißt es aus der Pressestelle der WGKK.

Regeln für Passwörter

Auch die bei der WGKK-Zweigstelle kommunizierte Vorgabe, dass das Passwort zwischen sechs und zehn Zeichen haben soll, wird von A-Trust relativiert: Das Passwort hat eine minimale Länge von sechs Zeichen, jedoch keine Längenbeschränkung, heißt es vom Unternehmen.

Einen Zwang zu Zahlen, Sonderzeichen und einer Mischung aus Groß- und Kleinschreibung gibt es aber tatsächlich nicht. Denn basierend auf der aktuellen NIST-Guideline zu Digital Identity soll der Benutzer nicht mehr zu unterschiedlichen Zeichen und Ziffern gezwungen werden, heißt es von A-Trust.

Wie man richtig reagiert

Was also tun, wenn man bei der Registrierungsstelle aufgefordert wird, sein Passwort aufzuschreiben? Laut A-Trust sollte man dies verweigern, beziehungsweise eine andere Registrierungsstelle aufsuchen. Außerdem ist es möglich, das Passwort nach dem ersten Log-in zu ändern, wodurch das alte Passwort automatisch seine Gültigkeit verliert.

Zugleich verweist man darauf, dass das Passwort nur ein Faktor ist – ohne Zugriff auf das Handy kann der Mitarbeiter nichts machen: „Vom Konzept her ist das also definitiv nicht in Ordnung, aber eine unmittelbare Gefahr gibt es nicht“, sagt Dick.

Bei den insgesamt 1,4 Millionen aktiven Handysignaturen wurde bisher kein Missbrauchsfall gemeldet; einzig bei der digitalen Bürgerkarte gab es einen Fall, bei dem Kriminelle mit dem „Neffentrick“ einen Pensionisten zur Überweisung eines Geldbetrags überreden wollten.