Österreichische Handy-Signatur anfällig für Phishing

Mit einer sogenannten Handy-Signatur können Österreicher auch Dokumente für Kommunikation mit Behörden rechtsverbindlich unterschreiben. Doch die digitale Unterschrift lässt sich mit einem einfachen Phishing-Angriff fälschen.

In Pocket speichern vorlesen Druckansicht 34 Kommentare lesen
Östereichische Handy-Signatur anfällig für Phishing
Lesezeit: 3 Min.

Österreich ist deutlich weiter als Deutschland mit seinem ePerso, der praktisch nicht genutzt wird. Mit der einfachen Handy-Signatur können Österreichische Staatsbürger über 200 E-Services nutzen; außerdem können sie mit dem gleichen Verfahren auch Dokumente mit einer rechtsverbindlichen, digitalen Unterschrift versehen. Diese ist der eigenhändigen Unterschrift gleich gestellt. Über 640 000 Anwender nutzen das bereits. Doch angesichts neuer Erkenntnisse muss man das Verfahren in Bezug auf Sicherheit eventuell nochmal nachbessern.

"Das Grundproblem ist die Tatsache, dass man die rechtsverbindliche Handy-Signatur nicht nur zum Unterschreiben von elektronischen, rechtsverbindlichen Dokumenten verwendet, sondern auch für einen Login" erklärt Entdecker Wolfgang Prentner gegenüber dem ORF. Dabei kommen dieselben Credentials zum Einsatz. Somit ist es ein leichtes, etwa über eine Phishing-Seite die notwendigen Geheimnisse abzugreifen, mit denen sich der Signaturgeber auf der Web-Seite ausweisen muss.

Eine gültige Signatur erfordert neben Mobiltelefonnummer und Signatur-Passwort auch noch eine TAN.

Die TAN kommt aufs Handy; wer sie auf einer Phishing-Seite eingibt, ermöglicht dem Phisher eine digitale Unterschrift.

(Bild: ORF / ZIB2)

Konkret könnte der Angriff, den Prentner dem ORF sogar demonstrierte, wie folgt aussehen: Ein Anwender wird auf eine Phishing-Seite gelockt, die einen der über 200 E-Services imitiert. Er meldet sich dort wie gewohnt mit seiner Handy-Nummer und dem Passwort an. Mit diesen Daten meldet sich der Angreifer auf der Service-Seite für das Erstellen einer digitalen Unterschrift an und lädt etwa einen Vertrag hoch. Beim Anfordern der Unterschrift, sendet der Dienstleister A-Trust eine SMS mit einer TAN an die angegebene Mobilfunknummer. Der Empfänger denkt natürlich, dass dies die TAN für den E-Service ist und tippt diese brav auf der Phishing-Seite ein. Von der im Hintergrund stattfindenen Signatur-Transaktion bekommt er nichts mit. Mit der TAN weist sich der Angreifer schließlich als Nutzer gegenüber dem Signatur-Service aus und erhält einen Vertrag mit einer rechtsverbindlichen Unterschrift seines Opfers.

Der Angriff ist trivial umzusetzen und gut gemachtes Phishing funktioniert bekanntermaßen. Wie auch Prentner kritisiert, ist unverständlich, warum Login und Unterschrift nicht nur über den gleichen Mechanismus sondern auch mit den selben Geheimnissen autorisiert werden. Angesichts der nicht von der Hand zu weisenden Phishing-Gefahr für Login-Daten gefährdet dies die Sicherheit der ungleich wichtigeren, weil rechtsverbindlichen, digitalen Signatur. Reinhard Posch, CIO der österreichischen Bundesregierung empfiehlt zum Schutz, keinen Links in E-Mails zu folgen, die angeblich auf Signatur-Seiten führen. Zu den von Prentner geforderten separaten Passwörtern für Login und Signatur äußert er sich hingegen nicht.

Update 31.5.2016, 18:00: Die Firma A-Trust, Betreiberin der technischen Infrastruktur, erklärt in einer Stellungnahme zur ORF-Sendung: "Handy-Signatur ist sicher". Die Vorwürfe im ORF-Beitrag vermischten "die Gefahr von Phishing mit der sicheren Technologie der Handy-Signatur thematisch". Und: "Nutzer der Handy-Signatur werden niemals per E-Mail aufgefordert, ihre sensiblen Daten einzugeben". Darüber hinaus sollten die Nutzer den Vergleichswert "tatsächlich vergleichen", der mit jeder TAN übermittelt wird. (ju)