© OeSD / OeSD

Digital Life
02/18/2019

Wie die Österreichische Staatsdruckerei für Sicherheit sorgt

In der Österreichischen Staatsdruckerei werden jährlich zwei Millionen persönliche Datensätze verarbeitet, was auch Hacker anlockt.

Eine Druckerei und die Digitalisierung – zwei Dinge, die auf den ersten Blick nicht wirklich zusammenpassen. Doch die mittlerweile mehr als 200 Jahre alte Österreichische Staatsdruckerei tritt bereits seit einer Weile den Gegenbeweis an. „Obwohl der Name ein verstaubtes Druckereiunternehmen vermuten lässt, ist Digitalisierung kein Fremdwort für uns“, erklärt CEO Lukas Praml gegenüber der futurezone. Bereits 2006 habe man das „Analoge um das Digitale erweitert“ und den „eReisepass“ eingeführt.

„2015 haben wir dann mit der Identitäts-App MIA den zweiten großen Schritt in Richtung Digitalisierung gesetzt“, sagt Praml. MIA – kurz für My Identity App – ist eine Software-Lösung für digitale Ausweise. Dokumente wie Führerschein oder Personalausweis können in einer Smartphone-App angezeigt werden. Um die Sicherheit zu gewährleisten, werden die Daten selbst nicht auf dem Gerät gespeichert. Das System stieß kurzzeitig auch in den USA auf Interesse, zuletzt wurde es neben mehreren Testbetrieben auch bei der Central Bank of Liberia integriert.

Zwei Millionen persönliche Datensätze pro Jahr

Zuletzt folgten mit der Video-Ident-Lösung MICK (My Identity Check) und Chainlock, einer Scheckkarte für die sichere Aufbewahrung von Kryptowährungen, weitere Lösungen im Digitalbereich. „Unser Ziel ist es immer möglichst viele Menschen mit unseren Produkten zu versorgen. Wenn nur fünf Personen einen digitalen Ausweis verwenden, hat das auch keinen großen Nutzen. Deshalb bieten wir das Digitale vorerst zusätzlich zum Analogen an“, sagt Praml zur Produktstrategie. Dass analoge Lösungen in naher Zukunft aussterben werden, glaubt der Staatsdruckerei-CEO nicht.

Aufgrund ihrer zentralen Rolle setzt die Staatsdruckerei auch stark auf das Thema Sicherheit. Dabei geht es sowohl um heikle Daten - jährlich verarbeite man zwei Millionen persönliche Datensätze – als auch das Know-How rund um die Identitätslösungen, um mögliche Fälschungen zu vermeiden. „Das Kernsystem, in dem Dokumente wie Reisepässe und Führerscheine hergestellt werden, befindet sich in der höchsten Sicherheitsstufe und ist physisch von allen anderen Netzwerken abgekoppelt“, sagt Praml. Mitarbeiter dürfen dorthin keinerlei Smartphones oder andere elektronischen Geräte mitnehmen, zudem seien die Taschen an der Kleidung zugenäht, „damit beispielsweise niemand heimlich einen Bogen Sicherheitspapier mitnehmen kann.“

Hoffen auf Biometrie

Auf das Unternehmen zugeschnittene Hacker-Angriffe verzeichne man derzeit nicht, gerüstet sei die Staatsdruckerei aber dennoch. „Wir versuchen unsere Mitarbeiter vor allem auf Social-Engineering-Angriffe vorzubereiten und haben auch einen eigenen Sicherheitsdienst, der verhindern soll, dass unerlaubte Personen Zugriff bekommen“, so Praml. „Umgekehrt versuchen wir aber natürlich auch zu verhindern, dass etwas von Innen nach Außen getragen wird.“

Wie schwierig das Thema Sicherheit sei, erlebt das Unternehmen an zwei Fronten gleichzeitig: einerseits bei den Kunden, aber auch intern bei den Mitarbeitern. „Sicherheit ist mühsam und es ist natürlich anstrengender, sich daran zu halten als es nicht zu beachten.“ Einem Mitarbeiter, der beispielsweise bereits drei Mal seine Schlüsselkarte vorweisen muss, um an den Arbeitsplatz zu gelangen, sei aber der Stellenwert des Themas durchaus bewusst.

Eine größere Herausforderung besteht im Privatbereich, wo das Thema Sicherheit für viele Anwender noch zweitrangig behandelt wird. „Die Herausforderung ist nicht die Technologie, sondern die Leute, die noch 12345 als Passwort verwenden, davon zu überzeugen, etwas Sicheres einzusetzen.“ Technologisch gibt es aber dennoch auch Spielraum, wie der Experte anmerkt. „Bei der Überprüfung von Identitäten geht der Trend in Richtung multimodale Biometrie, die künftig wohl auch mit der Hilfe von Künstlicher Intelligenz und Verhaltensdaten ergänzt wird. Da werden dann auch Informationen wie Tippgeschwindigkeit und die Neigung des Geräts berücksichtigt, um sicher zu gehen, dass es sich um die richtige Person handelt.“

Bereits seit 2014 gehört die Staatsdruckerei der FIDO-Allianz an, die unter anderem die U2F- und UAF-Standards entwickelt hat. Insbesondere U2F, bei dem ein Hardware-Token als zusätzliches Sicherheits-Element dient, findet zunehmend auch bei US-Konzernen wie Google, Microsoft und Facebook Anwendung. Aber auch national sucht man den Austausch. „Wir sind auch in Fachgremien, wie dem Austrian Trust Circle und den KSÖ-Foren vertreten. In einigen Gremien beschäftigen wir uns auch mit der Umsetzung der NIS-Richtlinie und den Vorwarnpflichten für Unternehmen.“ Das Netz- und Informationssystemsicherheitsgesetz (NIS) basiert auf einer EU-Richtlinie und regelt die Grundlagen der europäischen Netzwerksicherheit.

Dabei ist unter anderem eine Meldepflicht für Hacker-Angriffe auf die „kritische Infrastruktur“ eines Landes vorgesehen. Praml merkt an: „Ich halte Identitäts-Systeme für einen wichtigen Teil der Infrastruktur, der gerne vergessen wird. Wenn es zu einem Krisenfall kommen würde, käme es ohne Identitätsnachweisen zu schweren Problemen.“

Dieser Artikel ist im Rahmen einer bezahlten Kooperation zwischen futurezone und dem Kuratorium Sicheres Österreich (KSÖ) entstanden.