Am 5. Dezember 2023 startet der reguläre Betrieb der ID Austria. Ab diesem Tag wird die Handy-Signatur nicht mehr für die Anmeldung bei Web- und App Services der Republik Österreich akzeptiert (z.B. FinanzOnline) und stattdessen die ID Austria benötigt. Wer bisher die Handy-Signatur nutzt und auch in Zukunft auf die damit verbundenen Services zugreifen will, sollte umstellen.

Für die Ausweisfunktion (Führerschein oder Altersnachweis am Handy) braucht man eine vollwertige ID Austria und hier kann es auch notwendig sein zu einer Passbehörde zu gehen. Wer schon eine behördlich registrierte Handy-Signatur hat, spart sich den Weg auf die Behörde. Nutzer:innen, die mit dem bisherigen Funktionsumfang der Handy-Signatur zufrieden sind, können jederzeit online auf die ID Austria mit Basisfunktionen umstellen – auch mit einer nicht-behördlichen Handy-Signatur.

Ab dem 5. Dezember bekommt jede:r Staatsbürger:in bei der Ausstellung eines Reisepasses oder Personalausweises eine ID Austria, außer man widerspricht dem explizit. Wer heute eine Handy-Signatur hat, auch wenn diese nicht auf behördlicher Registrierung beruht, kann ohne Zeitdruck auch später noch umstellen. Bisher werden beide Login-Optionen angeboten und ab 5. Dezember wird man automatisch beim Login – z.B. in FinanzOnline – auf die Anmeldung zur ID Austria umgeleitet.

Digitale ID für alle?

Was bisher in Österreich fehlt, ist ein Schutz vor Benachteiligungen für die Menschen, die keine eID verwenden. So kosten manche staatlichen Leistungen etwa 30% mehr, wenn man keine digitale Identität verwendet. Damit auch bei digitalen Identitäten niemand auf der Strecke bleibt, arbeiten wir weiter daran, dass ein solcher Schutz auf EU-Ebene beschlossen wird.

Im Sinne gesellschaftlicher Teilhabe ist dieser Blogpost eine Anleitung für all jene, die kein Google- oder Apple-Smartphone mit Biometrie besitzen oder verwenden wollen, aber trotzdem Zugang zu eGovernment brauchen. Ein Google- oder Apple-Smartphone sollte keine Voraussetzung für den Zugang zu staatlichen Leistungen sein. Digitale Souveränität geht anders. In sozialen Netzwerken gibt es viel Kritik an der fehlenden Verständlichkeit der staatlichen Anleitungen und hiermit wollen wir einen Beitrag für die Aufklärungsarbeit leisten.

Um eGovernment (ID Austria) verwenden zu können gibt es derzeit vier Möglichkeiten:

  1. Die App „Digitales Amt“ von der Republik Österreich,
  2. die App „A-Trust Signatur“ oder
  3. ein kompatibler Hardware-Sicherheitsschlüssel.
  4. Signaturkarten (sind in der Praxis kaum relevant)

Ohne Zwang?

Ein „Google-freies“ Smartphone bedeutet natürlich auch: kein Playstore, über den man seine Apps herunterlädt. Damit stehen User:innen von Google-freien Smartphones vor der Frage, woher sie die App am besten beziehen, ohne bei so einer sensiblen Anwendung auf halbseriöse Quellen zurückgreifen zu müssen, die womöglich gar nicht überprüfbar sind. Denn prinzipiell funktionieren die beiden Apps „Digitales Amt“ und „A-Trust Signatur“ (zumindest teilweise) auch auf Google-freien Smartphones.

Eine Möglichkeit, trotzdem an die Apps zu kommen, ist z.B. der „Aurora Store“. Diesen kann man über die Herstellerwebsite oder über den freien F-Droid-Store herunterladen. Er bietet die Möglichkeit, Apps aus dem Google Playstore auch ohne Google-Account herunterzuladen und automatisch upzudaten.

Mit einem Download direkt vom Hersteller oder von oesterreich.gv.at hätten man User:innen ebenfalls eine seriöse Quelle für die App anbieten können. Updates würden sich damit aber schwierig gestalten.

Die ID Austria wäre eine Chance gewesen, die App „Digitales Amt“ im Sinne von „Public Money, Public Code“ gleich als freie Software (z.B. im F-Droid-Store) zu veröffentlichen. Damit hätte man obendrein eine seriöse Quelle für die App auch auf privatsphärefreundlichen Smartphones anbieten können. Außerdem wäre das der lange nötige, erste Schritt gewesen weg von den großen IT-Konzernen aus den USA. Das hätte nicht nur zu einer sicheren, sondern auch unabhängigen digitalen Infrastruktur beigetragen. Hier hoffen wir bei künftigen staatlichen Anwendungen auf Verbesserungen.

Auch enthalten die beiden Apps „Digitales Amt“ und „A-Trust Signatur“ Tracker. Hier wurde uns zumindest vom Entwicklerteam beim „Digitalen Amt“ aber zugesichert, dass die zugrundeliegende Technik nur für Push-Benachrichtigungen am Smartphone verwendet wird und das Tracking dabei deaktiviert wurde.

1) Die App „Digitales Amt“

Die App „Digitales Amt“ gibt es für mobile Android oder iOS Endgeräte, die über die Funktion Fingerabdruck (z.B. Touch ID) oder Gesichtserkennung (z.B. Face ID) verfügen und diese auch zwingend aktiviert haben. Diese notwendigen Anforderungen erfüllen aber nicht alle Geräte (z.B. Samsung Galaxy S8 und S8+, Nokia 9 PureView, Fairphone 3/3+). Details zu den Systemanforderungen können auf der offiziellen Homepage eingesehen werden.

Für fortgeschrittene User:innen: Die App erkennt gerootete Geräte bzw. Geräte mit entsperrtem Bootloader. Bisher verweigerte sie dabei den Betrieb. Diese Einschränkung war problematisch, weil damit Google-freie Betriebssysteme ausgeschlossen wurden. In der neuesten Version werden nach der Bestätigung, dass das eigene Gerät nicht gehackt wurde, aber scheinbar auch Google-freie Androidgeräte unterstützt – etwas, das wir schon seit Jahren gefordert haben. Wie gut das in der Praxis auf verschiedenen Geräten funktioniert, ist noch unklar. Wir konnten die App erfolgreich mit Lineage OS testen.

2) Die App A-Trust Signatur

Die Alternative zur regulären App „Digitales Amt“ kommt vom staatsnahen Vertrauensdiensteanbieter A-Trust“, die auch die Handy-Signatur angeboten hat. Eine Anleitung, wie man die App einrichten kann, findet sich weiter unten. Die „A-Trust Signatur App“ funktioniert auch auf gerooteten Smartphones bzw. solchen, die einen entsperrten Bootloader haben. Damit ist sie theoretisch auch für Google- und Apple-freie Handybetriebssysteme geeignet.

Die App kommt auch ohne Biometriefunktionen wie Fingerabdruck oder Gesichtserkennung aus und funktioniert mit einem system PIN. Obwohl A-Trust ein Vertrauensdienstanbieter in Österreich ist, hat man es damit natürlich mit einem Unternehmen und nicht mit einer staatlichen Stelle zu tun. Die App hat in beiden App-Stores, in denen sie angeboten wird, von ihren Nutzer:innen recht negatives Feedback bekommen, funktionierte in unseren Tests jedoch problemlos.

Wieso A-Trust in der Lage ist, dasselbe Sicherheitsniveau ohne einen Zwang zur Biometrie zu erreichen, die staatliche App „Digitales Amt“ dieses Feature aber immer noch vermissen lässt, konnten wir nicht herausfinden. Angeblich wird der Zwang zur Biometrie bei der App „Digitales Amt“ in einer künftigen Version fallen.

3) Hardware-Sicherheitsschlüssel

UPDATE: Seit September 2024 werden Yubikeys aufgrund einer Sicherheitslücke nicht mehr von ID Austria unterstütz.

Unabhängig von App- und Smartphone können Nutzer:innen auch einen sogenannten „FIDO-Sicherheitsschlüssel“ für die Anmeldung bei der Web-Applikation der ID Austria verwenden. Bei diesen Sicherheitsschlüsseln handelt es sich meist um USB-Sticks. Diese funktionieren im Prinzip ähnlich wie ein Schlüssel für ein physisches Schloss. Wie man einen Hardware-Schlüssel einrichtet, haben wir nun in einer Anleitung zusammengestellt:

Was genau ist ein Hardware-Schlüssel?

Bei einem Hardware-Schlüssel handelt es sich um einen „FIDO“-Schlüssel steht für Fast IDentity Online Token und ist ein offener Standard für Authentifizierung im Web. Er wird von der FIDO-Alliance (Wikipedia), einem Zusammenschluss mehrerer großer Player, entwickelt.

Die aktuelle Version FIDO2 (Wikipedia) hat das Ziel, die klassische Authentifizierung mittels Passwörtern zu ersetzen. Umgesetzt wird das mithilfe von asymmetrischer Kryptographie. Dabei ist natürlich wichtig, dass die dafür verwendeten geheimen Schlüssel vor unberechtigtem Zugriff geschützt werden. Hierzu werden sogenannte Hardware-Sicherheitsschlüssel („Security Tokens“) verwendet.

Im Zuge des Registrierungsprozesses auf einer Webseite erzeugen die Sicherheitsschlüssel ein asymmetrischen Schlüsselpaar (bestehend aus öffentlichem und privaten Schlüssel). Der öffentliche Teil des Schlüssels wird dabei an die Website übermittelt, der private Teil des Schlüssels bleibt im jeweiligen Hardware-Schlüssel. Wollen sich User:innen nun bei der betreffenden Web-Anwendung anmelden, bekommen sie eine sogenannte „Challenge“ von der Web-Anwendung. Durch Anstecken und Drücken des Hardware-Sicherheitsschlüssels signiert das Geärt die Challenge – mit einer digitalen Signatur unter Verwendung seines privaten Schlüssels. Das beweist der Web-Anwendung, dass sie es mit dem gleichen Sicherheitsschlüssel zu tun hat, der sich zuvor schon mit dem dazugehörigen öffentlichen Schlüssel registriert hat.

Wie mit einem physischen Schlüssel hängt die Sicherheit bei Hardware-Schlüsseln also am Besitz des Gegenstands (hier: des USB-Sticks) selbst. Wenn man noch keinen Passwortmanager verwendet, kann ein solcher Sicherheitsschlüssel einen großen Sicherheitsgewinn bringen.

Auch bei der ID Austria Web-Applikation können sich Nutzer:innen mit einem Hardware-Sicherheitsschlüssel authentifizieren lassen. Der verwendete Hardware-Schlüssel muss dabei das Sicherheitsniveau „WebAuth Level 2“ unterstützen (z.B. ein Yubikey mit FIPS Zertifizierung). Außerdem muss der Security Token so konfiguriert sein, dass zusätzlich zum Drücken des Security Tokens auch zwingend ein PIN eingegeben werden muss. Hier findet ihr eine offizielle Liste an unterstützten Tokens. Die Kosten für das Gerät belaufen sich auf etwa 30 bis 125 Euro. Ein günstiges Modell ist z.B. der GoTrust Idem Key, den wir für gut 30€ gefunden haben.

A) ANLEITUNG: Registrierung der ID Austria mit der A-Trust Signatur App

Wer die ID-Austria ohne Biometrie verwenden möchte, hat bei der „A-Trust Signatur“ App die niederschwelligsten Anforderungen. Verfügbar ist die App aktuell aber trotzdem nur über Google- oder Apple-App-Stores.

Für eine digitale Umstellung auf ID Austria mit Vollfunktion (die über die Funktionen der Handy-Signatur hinausgeht und z.B. auch eAusweise unterstützt) müssen Nutzer:innen aber bereits eine behördliche Handy-Signatur haben. Ob das der Fall ist, kann man nach der Anmeldung mittels Handy-Signatur auf der Seite der A-Trust erkennen.

Anforderungen:

  • Ein (einiger Maßen modernes) Smartphone. Das Smartphone kann auch gerootet sein bzw. einen entsperrten Bootloader haben. In unseren Tests hat auch ein Fairphone 3+ mit LineageOS (das von der App „Digitales Amt“ nicht unterstützt wird) funktioniert.
  • Eine (behördliche) Handy-Signatur

Registrierung:

Um die A-Trust Signatur App zu registrieren (zu verknüpfen), müssen wir zuerst die App über den Google Playstore, oder den Apple App Store herunterladen und installieren. Nach erfolgreicher Installation bietet die App zwei Möglichkeiten um Fortzufahren.

Wir entscheiden uns hier für die Option, die App mit Hilfe eines QR-Codes zu verknüpfen. Um diesen QR -Code zu bekommen, müssen wir den Link App Verknüpfung starten“ auf der A-Trust Homepage klicken.

Danach müssen wir uns mit unserer bestehenden Handy-Signatur bestehend aus Benutzername oder Telefonnummer plus Handy-Signatur-Passwort anmelden und danach die dazugehörige Login-TAN eingeben.

Nach erfolgreicher Anmeldung sollten wir einen QR-Code angezeigt bekommen. Diesen können wir nun mit der A-Trust Signatur App scannen und so die App Verknüpfen.

Fertig. Die App ist bereit für den Login auf https://www.a-trust.at/konto oder auf https://www.oesterreich.gv.at/.

B) ANLEITUNG: Registrierung der ID Austria mit einem Hardware-Sicherheitsschlüssel

Wer die ID Austria ganz ohne App oder gar ohne Smartphone nutzen will, kann einen Hardware-Schlüssel verwenden. Wir führen euch nun Schritt für Schritt durch die Registrierung zur ID Austria.

Wir nehmen dabei an, dass ihr bereits über eine behördliche Handy-Signatur oder ID Austria verfügt. Ob das der Fall ist, kann man nach der Anmeldung mittels Handy-Signatur auf der Seite der A-Trust erkennen. Dieses Szenario entspricht „Fall 4: Umstieg von behördlich registrierten Handy-Signatur auf ID Austria mittels FIDO-Sicherheitsschlüssel“.

Nutzer:innen, die keine Handy-Signatur haben, müssen vorher z.B. zu einer Passbehörde zur persönlichen Identitätsfeststellung. Dort bekommt man einen Freischaltcode, den ihr später bei der Registrierung des Hardware-Schlüssels benötigt. Das würde dem Fall „ID Austria Registrierung mit SMS-TAN und FIDO-Sicherheitsschlüssel“ entsprechen.

Die folgenden technischen Schritte zur Registrierung des Hardware-Schlüssels sind jedoch in beiden Fällen dieselben.

Anforderungen:

  • Ein FIDO-Sicherheitsschlüssel mit „WebAuth Level 2 Unterstützung wie z.B. die YubiKey FIPS Series. Für das Beispiel verwenden wir einen YubiKey 5C FIPS.
  • Eine Handy-Signatur oder Freischaltcode
  • Ausweisnummer des gültigen österreichischen Reisepasses oder Personalausweises

PIN setzen

Bevor wir den Hardware-Sicherheitsschlüssel erfolgreich bei der ID Austria registrieren können, müssen wir noch einen PIN setzen. Wie das genau funktioniert, hängt vom konkreten Gerät ab.

Für YubiKeys gibt es den YubiKey Manager, mit dem alle YubiKey-Modelle auf allen gängigen Betriebssystemen konfiguriert werden können. Für Linuxnutzer:innen gibt es auch das Kommandozeilen Tool „ykman“.Mehr Infos zu YubiKeys und PINs gibt es hier.

Hinweis: Wird der PIN mehr als 8 Mal falsch eingegeben, muss ein Reset des YubiKey durchgeführt werden. Dabei gehen alle durchgeführten Registrierungen verloren (die gespeicherten Schlüssel werden gelöscht).

Hardware-Sicherheitsschlüssel mit A-Trust verknüpfen

Die offizielle Anleitung für die Registrierung geht davon aus, dass der Hardware-Sicherheitsschlüssel bereits mit der Handy-Signatur verknüpft ist. In unserem Fall gehen wir davon aus, dass wir zum ersten Mal einen Hardware-Sicherheitsschlüssel verwenden, der noch nicht mit einer Handy-Signatur verknüpft ist. (Wer den FIDO-Schlüssel schon mit der Handy-Signatur verknüpft hat, kann zum nächsten Schritt springen.) Deshalb müssen wir uns zuerst mit der bestehenden Handy-Signatur bei A-Trust anmelden. (Achtung, ab hier gab es Änderungen, siehe „UPDATE“ weiter unten!) Dazu geben wir unsere Telefonnummer und das dazugehörige Handy-Signatur-Passwort ein und anschließend die TAN, die wir beispielsweise per SMS bekommen.

Nach dem Login gehen wir unter „Self-Service Funktionen“ auf „Neuen Fido-Token verknüpfen“. Daraufhin müssen wir uns erneut mit der Handy-Signatur anmelden. Wurde der Hardware-Token erfolgreich verknüpft, scheint er unter „Verknüpfte Fido-Sicherheitsschlüssel“ auf.

UPDATE: Die Anmeldunge bei A-Trust ist inzwischen nicht mehr mit Handy-Signatur möglich, sondern nur noch mit ID-Austria. Man kommt aber trotzdem noch mit dem Hardwareschlüssel allein und ganz ohne App aus. Die Registrierung des Hardware-Schlüssels geht nun allerdings nicht mehr über den normalen Login in das A-Trust-Konto, sondern auf einer extra Seite zur Registrierung für einen Hardware-Schlüssel. Nach der Registriereung auf dieser Seite erhält man ein SMS zur Authorisierung.

Hardware-Sicherheitsschlüssel mit ID Austria verknüpfen

Jetzt können wir mit Punk 1. der offiziellen Anleitung Anfangen.

  • Wir gehen auf https://www.oesterreich.gv.at/ und klicken auf das Personensymbol neben der Spracheinstellung rechts oben und dann auf „Anmelden“.
  • Achtung: Nicht gleich auf „Anmelden mit Handy-Signatur“ klicken, sondern auf den kleinen Link darunter: „Umsteigen von Handy-Signatur auf ID Austria“.
  • Dann wie gewohnt mit der Handy-Signatur anmelden (mit Telefonnummer und Handy-Signatur-Passwort). Dabei wird der Hardware-Sicherheitsschlüssel mit dem ID-Austria-Account verknüpft – ähnlich wie zuvor bei der A-Trust.

Fertig. Die ID Austria kann nun mit dem Hardware-Sicherheitsschlüssel verwendet werden.

Gerät verloren?

Wer seine App „Digitales Amt“, also sein Smartphone, verloren hat und auch nicht z.B. auf einem anderen Gerät in der App eingeloggt ist oder noch Zugriff auf die ggf. hinterlegte Telefonnummer hat, muss die ID Austria neuerlich registrieren. Ein einfacher Smartphonewechsel, wenn das alte Gerät noch vorhanden ist, ist hingegen leichter möglich.

Zusammenfassung

  ‍‍Smartphone benötigt Hardware-Sicherheitsschlüssel benötigt Biometrische Authentifizierung zwingend erforderlich Unterstützt Google-freie Smartphones (offener Bootloader)
App „Digitales Amt“ ja nein ja ja (erst seit Kurzem)
App „A-Trust Signatur“ ja nein nein ja
Hardware-Sicherheitsschlüssel nein ja nein ja

Von den hier aufgelisteten Möglichkeiten kommt nur die Variante mit Hardware-Sicherheitsschlüssel ohne Smartphone aus. Was Sicherheit betrifft, ist ein eigener Hardware-Sicherheitsschlüssel wahrscheinlich die sicherste Variante, solange man den Schlüssel nicht verliert. Ein kompatibler Hardware-Sicherheitsschlüssel ist jedoch nicht billig und kostet zwischen 30 und 125 Euro.

Wer eine kostengünstige Alternative benötigt und ein Google-freies Smartphone besitzt, kann die A-Trust Signatur App und seit Kurzem auch „Digitales Amt“ verwenden. Diese hat den Vorteil, dass sie auch mittels PIN und somit ohne zwingende biometrische Authentifikation, wie beispielsweise Fingerabdruck, funktioniert. Der Vorteil von starken PIN-Codes gegenüber biometrischen Merkmalen ist außerdem, dass sie z.B. bei Diebstahl geändert werden können. Fingerabdrücke sind hingegen in der Regel ein Leben lang unveränderlich und werden außerdem immer auf der Hülle des jeweiligen Smartphones mitgeliefert. Einmal in den falschen Händen, können biometrische Merkmale leicht missbraucht werden.

Was alle Methoden gemeinsam haben, ist dass der kryptographische Schlüssel der von der ID Austria für das digitale signieren von Dokumenten verwendet wird, nicht der kryptographische Schlüssel auf dem Smartphone oder auf dem Security Token ist. Dieser wird lediglich für die Anmeldung (Authentifizierung) benutzt.

Wer seine kryptographischen Schlüssel wirklich selbst kontrollieren will, der muss auf zukünftige technische Lösungen warten. Beim künftigen EU-System zur Digitalen Identität (eIDAS) ist dies auch noch nicht gesichert.

Um digitale Inklusion und die viel zitierte digitale Souveränität voranzutreiben, sollten v.a. öffentliche Stellen Nutzer:innen nicht wieder in die Abhängigkeit der großen Tech-Konzerne (und ihrer App Stores und Betriebssysteme) drängen. Dass die ID Austria also auch schon (teilweise) auf Google-freien Smartphones funktioniert, ist dafür ein begrüßenswerter erster Schritt. Diese Unabhängigkeit, v.a. bei öffentlichen Diensten, fordern wir schon über Jahre. Zur echten Unabhängigkeit ist es aber noch ein längerer Weg.

Wir danken Aljosha Judmayer für die ehrenamtliche Mithilfe bei diesem Artikel.

Da du hier bist!

… haben wir eine Bitte an dich. Wenn Regierungen laufend neue Überwachungsmaßnahmen fordern, immer mehr Daten über uns sammeln, oder Konzerne auf unsere Kosten ihre Profite steigern, dann starten wir Kampagnen, schreiben Analysen oder fordern unsere Rechte vor Gerichten ein. Dafür brauchen wir deine Unterstützung. Hilf uns, eine starke Stimme für die Zivilgesellschaft zu sein!

Spenden

Ähnliche Artikel: