Dienstag, 31. Mai 2016

Wie sicher ist Österreichs Handy-Signatur wirklich? Experteninterview zu Sicherheitslücken und was Sie beachten müssen.

Am 30. Mai berichtete die ZIB2 umfassend über die gelungene Hacking-Attacke österreichischer Sicherheitsexperten gegen die Handy-Signatur, die bei zahlreichen E-Services von Unternehmen und Ämtern zum Einsatz kommt. In einem Webinar zeigen wir mit den Experten von ZTP wie die Attacke im Detail funktioniert, was die gefundenen Sicherheitslücken konkret für Sie bedeuten und wo Handlungsbedarf besteht. Im Blog-Interview bezieht Experte Wolfgang Prentner Stellung.

Wie sieht die Anwendung der Handy-Signatur derzeit aus?
Die Handy-Signatur ist puncto Akzeptanz mit über 640.000 Benutzern und über 200 E-Services mittlerweile eine Erfolgsgeschichte in Österreich – während die Benutzeranzahl bei den chipkartenbasierenden qualifizierten elektronischen Signaturen stagnieren, steigt die Benutzerzahl der Handy-Signaturen stark an.

Wie sicher ist die Handy-Signatur tatsächlich?
Die Handy-Signatur ist grundsätzlich eine erprobte Technologie, wenn sie richtig eingesetzt wird. Bei der österreichischen Handy-Signatur hat sich aber zumindest ein gravierender Fehler in der Sicherheitsarchitektur eingeschlichen, der das Phishing nach Handy-Signaturen, also die Fälschung von rechtsverbindlichen elektronischen Signaturen, ermöglicht.
Was bedeutet das für Service-Betreiber und Anwender?
Im März dieses Jahres wurden über 124.000 neue Phishing Websites gezählt. Die Phishing Problematik im E-Government mit derzeit über 200 E-Services wird 100-mal höher als wie z.B. beim Internet-Banking eingeschätzt. Warum? Ein Bürger hat 1 bzw. 2 Internet-Banking Anwendungen in Verwendung. Ein Bürger kann aber über 200 E-Government Services in ganz Österreich nutzen, daher der Faktor 1:100 was die Gefährdung durch Phishing Angriffe auf die österreichische Handy-Signatur betrifft und massiv erhöht. Für Service-Provider und dessen Kunden heißt dies konkret - erhöhte Achtung vor vermeintlichen E-Mails, damit nicht Signatur-Daten gephished werden  um sie dann missbräuchlich zur z.B. Unterfertigung von rechtsverbindlichen Verträgen durch Kriminelle zu verwenden.

Welche Maßnahmen müssen daher getroffen werden?
Von Seitens der (1) Anbieter von Handy-Signaturen müssen dringend einige Sicherheitsmaßnahmen korrigiert und verbessert werden. Die (2) Anbieter in Österreich von Handy-Signatur Login Lösungen, derzeit über 200 E-Services, müssen darauf achten, dass ihre Webseiten nicht gefälscht und zum Phishing nach Signaturen missbräuchlich verwendet werden und (3) die Bürger und Mitarbeiter von Betrieben und Behörden müssen darauf achten, dass Sie nicht Phishern auf den Leim gehen, sprich Ihre Signaturen missbräuchlich verwendet werden.

Wie Hacking gegen die Handy-Signatur aussehen kann und wie Sie sich schützen erfahren Sie in unserem Webinar mit Sicherheits-Profi Wolfgang Prentner. Sichern Sie rechtzeitig Ihre Teilnahme:
Webinar Termine:
Do. 2. Juni 2016, 14.15h  Do. 9. Juni 2016, 9.15h
Handy-Signatur Phishing - Ursachen, Folgen und mögliche Maßnahmen
Anmeldung: https://www.ztp.at/acsa


Keine Kommentare: