30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 1
Elektronische Signatur:Sicherheit im InternetDr. Georg SerentschyGeschäftsführer, Fachbereich Telekommunikation
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 2
InhaltLive-DemonstrationSicherheitsaspekteErweitertes Informationsangebot im WebAnwendungenEinrichtungen und ihre Aufgaben
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 3
Live-Demonstration
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 4
Was benötigt man für die sichere elektronische Signatur?Bankomatkarte
Karten, die ab Februar 2005 ausgegeben wurden, sind signaturtauglichÄltere Karten werden von vielen Banken kostenlos ausgetauscht
Qualifiziertes ZertifikatErhältlich in Registrierungsstellen (z.B. Bankfilialen)
Vollständige Liste: http://www.a-trust.at/registrierung/Amtlicher Lichtbildausweis und Bankomatkarte erforderlich
Kosten EUR 12,– für Freischaltung, EUR 13,– jährlichChipkarten-Lesegerät
Information unter http://www.a-trust.at/default.asp?lang=GE&ch=1&node=556Kosten ca. EUR 25,–Förderung durch BMF und Europay Austria EUR 10,–
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 5
Was benötigt man noch?RechnerWindows 2000 oder Windows XPInternet Explorer, Version 6Treiber für Chipkarten-Lesegeräta.sign Client, kostenlos abrufbar unterhttp://www.a-trust.at/default.asp?lang=GE&ch=1&node=543(Schnittstelle für signaturfähige Applikationen)trustDesk basic, kostenlos abrufbar unterhttp://www.cio.gv.at/identity/bku/(sichere elektronische Signatur und Bürgerkartenumgebung)
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 6
Sicherheitsaspekte
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 7
Phishing
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 8
Was bringt die sichere elektronische Signatur?Schutz vor Phishing
Signaturschlüssel können nicht irrtümlich verraten werden, weil sie nicht einmal ihrem Inhaber bekannt sind
Schutz vor Fälschung elektronischer DatenSchadprogramme können nicht unbemerkt sichere Signaturen erstellenSchadprogramme können sicher signierte Daten nicht unbemerkt manipulierenBeispiel: Überweisungsaufträge
Nachweis der Identität Rechtssicherheit bei Online-Geschäften
Rechtswirkungen mit jenen der eigenhändigen Unterschrift gleichgestelltEchtheit des Inhalts sicher signierter Daten steht außer Zweifel
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 9
Warum Chipkarte?Signatur wird nicht im Computer, sondern im Kartenchip berechnet
Auslesen des Signaturschlüssels unnötigSignaturschlüssel kann gar nicht ausgelesen werden
Schadprogramme kommen nicht an den Signaturschlüssel heranSignaturfunktion wird erst nach PIN-Eingabe über Tastatur des Chipkarten-Lesegeräts ausgelöst
Schadprogramme können die PIN nicht ausspähenSchadprogramme können nicht unbemerkt eine Signatur erstellen
Zwei-Faktor-AuthentifizierungBesitzkomponente (Chipkarte)Wissenskomponente (PIN)
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 10
Warum Secure Viewer?Ein Secure Viewer ist eine Software-Komponente und gewährleistet, dass
genau die auf dem Bildschirm präsentierten Daten signiert werdendie Präsentation der Daten bei der Signaturerstellung und bei der Signaturprüfung gleich ist
Schadprogramme setzen sich typischerweise im Browser und nicht im Secure Viewer festSecure Viewer sind gegen Einflüsse durch Schadprogramme geschütztDie meisten Secure Viewer werden einer strengen Prüfung nach anerkannten Sicherheitsvorgaben unterzogen
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 11
Erweitertes Informationsangebot im Web
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 12
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 13
Informationen für AnwenderVerständliche Erklärungen ohne Verzicht auf GenauigkeitErläuterung der Unterschiede zwischen verschiedenen SignaturartenÜberblick über Anwendungen der elektronischen SignaturDetaillierte Informationen über wichtige AnwendungenFAQ (wird laufend aktualisiert und erweitert)
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 14
Anwendungen
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 15
Online-BankingBetrug beim Online-Banking geschieht durch Schadprogramme, die sich im Browser des Opfers festsetzenWirksamen Schutz bietet die sichere elektronische Signatur in allen Aufträgen an die BankVerschiedene Systeme
Secure Viewer „SecSigner“ des deutschen Herstellers SecCommerceInformationssysteme GmbH (BAWAG P.S.K. Gruppe)Bürgerkartenumgebung (andere Banken)
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 16
Online-Banking
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 17
E-GovernmentVerschiedene Umsetzungen des Konzepts „Bürgerkarte“
a.sign Premium (z. B. Bankomatkarte)e-Card VerwaltungssignaturA1 SIGNATUR
BürgerkartenumgebungentrustDesk (IT Solution GmbH)hotSign (BDC EDV-Consulting GmbH)
AnwendungenZahlreiche Anwendungen unter help.gv.atFinanzOnlineSozialversicherungeRTR
Entfall der Eingabegebühr von EUR 13,– bis Ende 2006
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 18
Elektronische Übermittlung von RechnungenFortgeschrittene elektronische Signatur gewährleistet
Echtheit der HerkunftUnversehrtheit des Inhalts
Liste der Zertifizierungsdienste auf der Website der RTR-GmbHKennzeichnung geeigneter Zertifizierungsdienste mit F
UmsetzungElektronische Signatur in PDF-DateienebInterface (österreichischer XML-Rechnungsstandard)
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 19
Öffentliche AuftragsvergabeSichere elektronische Signatur bei elektronischer Übermittlung von
Ausschreibungsunterlagen,Angeboten undDokumenten im Zusammenhang mit der Angebotsbewertung
Zeitstempel zur Dokumentation des Einlangens eines AngebotsSoftware trustDesk procure (IT Solution GmbH)Das Fehlen einer sicheren elektronischen Signatur im Angebot ist ein nicht behebbarer Mangel (Rechtssatz des Bundesvergabeamts)
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 20
E ... Einfache elektronische SignaturF ... Fortgeschrittene elektronische SignaturS ... Sichere elektronische SignaturV ... Verwaltungssignatur
Übersicht: Signaturarten und Anwendungen
Vertrag in einfacher Schriftform (§ 886 ABGB)
E-Invoicing
E-Procurement
E-Government
Online-BankingVSFE
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 21
FazitQualifizierte Zertifikate für sichere elektronische Signaturen sind verfügbarApplikationen existieren und bringen dem Anwender konkrete Vorteile
Sicherheit (Schutz vor Online-Betrug, Phishing usw.)Zeit- und Kostenersparnis
Die sichere elektronische Signatur ist kostengünstigAb EUR 13,– pro JahrFörderungen
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 22
Danke für Ihre Aufmerksamkeit!
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 23
Signaturarten
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 24
Sichere elektronische SignaturBeruht auf einem qualifizierten Zertifikat
Identitätsprüfung anhand eines amtlichen LichtbildausweisesBesondere Anforderungen an den Aussteller des Zertifikats
Qualifikation und Zuverlässigkeit des PersonalsVertrauenswürdigkeit der eingesetzten technischen SystemeFinanzielle Ausstattung (Haftung)
Wird mit einer sicheren Signaturerstellungseinheit (Chipkarte) erstelltBankomatkarte (seit 31.01.2005)e-Card (qualifiziertes Zertifikat noch nicht verfügbar)
Anforderungen an die SystemumgebungChipkarten-LesegerätSecure Viewer
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 25
Einfache und fortgeschrittene elektronische SignaturenSichere elektronische Signatur ungeeignet für
Automatisierte Signaturerstellung z.B. in Rechnungen (wegen PIN-Eingabe)E-Mail (mangels eines Secure Viewers)
Alternativen zur sicheren elektronischen SignaturEinfache elektronische Signatur
Authentifizierung (= Feststellung der Identität des Signators)Fortgeschrittene elektronische Signatur
Anforderungen mit jenen an sichere elektronische Signaturen teilweise identischQualifiziertes Zertifikat und sichere Signaturerstellungseinheit nicht erforderlich
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 26
Signaturarten
Einfache elektronische Signaturen
Fortgeschrittene elektronische Signaturen
Signaturen auf Basis qualifizierter Zertifikate
Mit geprüfter Chipkarte erstellte Signaturen
Sichere elektronische Signaturen
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 27
Spezielle Arten elektronischer SignaturenZusätzliche Signaturarten außerhalb des SigG
E-Government-GesetzBerufsrechts-Änderungsgesetz für Notare, Rechtsanwälte und Ziviltechniker 2006
Signaturarten im EinzelnenVerwaltungssignatur
Bis Ende 2007 statt sicherer elektronischer Signatur im E-Government zulässigQualifiziertes Zertifikat und sichere Signaturerstellungseinheit nicht erforderlich
Amtssignatur und elektronische Signatur der JustizElektronische Beurkundungssignatur und elektronische „Berufssignaturen“
ZuständigkeitKein Einfluss von TKK und RTR-GmbH auf die Entstehung dieser SignaturartenTKK und RTR-GmbH nur für Einhaltung der Bestimmungen von SigG und SigVzuständig
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 28
FazitGrundtypen: einfache, fortgeschrittene und sichere elektronische SignaturAndere Signaturarten sind spezielle Varianten einfacher, fortgeschrittener oder sicherer elektronischer SignaturenNur die sichere elektronische Signatur ist der eigenhändigen Unterschrift weitgehend gleichgestellt
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 29
Einrichtungen und ihre Aufgaben
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 30
Aufgaben der TKK und der RTR-GmbHAufsicht über die Einhaltung der Bestimmungen des SigG und der SigV
Überprüfung von ZertifizierungsdiensteanbieternUmsetzung der Angaben in Sicherheits- und ZertifizierungskonzeptenVerwendung geeigneter technischer Komponenten und Verfahren bei Bereitstellung sicherer SignaturverfahrenZuverlässigkeit, Qualifikation, finanzielle Ausstattung usw. bei Bereitstellung qualifizierter Zertifikate
Akkreditierung von ZertifizierungsdiensteanbieternOrganisatorische Aufsicht über Bestätigungsstellen
Führung von Verzeichnissen der Zertifizierungsdiensteanbieter und ihrer qualifizierten ZertifikateSchlichtung von Streit- oder Beschwerdefällen
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 31
Andere EinrichtungenZentrum für sichere Informationstechnologie – Austria (A-SIT)
BestätigungsstelleBescheinigungen für sichere SignaturerstellungseinheitenTechnische Gutachten über vertrauenswürdige Systeme bei Zertifizierungsdiensteanbietern
ÜberwachungsstelleIT-Sicherheit von elektronischen ZahlungssystemenSicherheit von IT-Produkten und IT-Systemen
BundeskanzleramtVollziehung diverser Bestimmungen des SigGIKT-Strategie des BundesStammzahlenregisterbehörde (Personenbindung, Verwaltungssignatur)
Europäische KommissionAusschuss für elektronische Signaturen (allgemein anerkannte Normen usw.)Diverse Kompetenzen gemäß Signaturrichtlinie
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 32
Der Markt für Signaturprodukte
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 33
Zahlen – Daten – Fakten
Am 01.01.2006 gab es in Österreich ...
1 akkreditierten Zertifizierungsdiensteanbieter10 Zertifizierungsdiensteanbieter29 aktive Zertifizierungsdienste65.000 qualifizierte Zertifikate190.000 Zertifikate für elektronische Signaturen
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 34
Marktentwicklung: jährliche Verdreifachung
1
10
100
1.000
10.000
100.000
1.000.000
2000 2001 2002 2003 2004 2005 2006
qualifizierte Zertifikate einfache Zertifikate
Live-Demonstration Sicherheitsaspekte Erweitertes Informationsangebot
Anwendungen Einrichtungen und ihre Aufgaben
30.05.2006 Elektronische Signatur: Sicherheit im Internet Seite 35
Der Markt im europäischen Vergleich
1
10
100
1.000
10.000
100.000
1.000.000
BE IT NO AT CZ SK NL HU LT DK
qualifizierte Zertifikate pro Mio. Ew. einfache Zertifikate pro Mio. Ew.
Top Related