Handysignatur: Was sie kann

Mit der Handysignatur kann man wichtige Dokumente wie Verträge, Vertragskündigungen oder behördliche Anträge am Computer signieren. Sie ist der handschriftlichen Unterschrift rechtlich gleichgestellt. Ist sie aber tatsächlich sicher?

Sendungshinweis

„Help“, das Ö1-Konsumentenmagazin, jeden Samstag um 11.40 Uhr in Radio Ö1

Die Handysignatur ist eine Art digitaler Stempel. Sie ersetzt eine händische Unterzeichnung, ähnlich wie der Firmenstempel auf einer Rechnung, und ist rechtlich genauso gültig wie eine von Hand geleistete Unterschrift. Jeden Kaufvertrag und jedes Kündigungsschreiben könne man in gleicher Weise verhandeln und mittels Handysignatur signieren, sagt der Informatiker Reinhard Posch, er ist Professor an der Technischen Universität (TU) Graz und Berater der Bundesregierung in digitalen Sicherheitsfragen. Zudem könnten digital signierte Dokumente wesentlich rascher übermittelt werden als das etwa auf dem herkömmlichen Postweg möglich wäre.

Auch private Dokumente digital signieren

Wer sich online mit einer elektronischen Signatur ausweist, kann zum Beispiel sein Pensionskonto einsehen, kann Stipendien und Kindergeld beantragen oder den Steuerausgleich erledigen. Darüber hinaus lassen sich auch private Dokumente unterzeichnen. Dazu kann man eine beliebige PDF-Datei bei einem Signaturanbieter hochladen und anschließend signieren.

Handy mit Signatur Oberfläche

A-Trust

Mittels QR-Code wird die Signatur freigegeben

Digitale Signaturen werden mit Dokument verknüpft

Ähnlich wie bei einer Online-Banküberweisung, die nur durch die Eingabe einer TAN-Nummer autorisiert werden kann, ist auch die elektronische Unterschrift mehrfach abgesichert. Man startet den Vorgang am Computer mit der Eingabe der Handynummer und eines persönlichen Passworts. Danach bekommt man eine SMS mit dem TAN-Code auf das Handy gesendet. Der TAN ist fünf Minuten gültig und kann nur einmal verwendet werden. Hat man den TAN bestätigt, kann die digitale Signatur per Drag and Drop auf dem Dokument platziert werden.

Genauso wie jede TAN-Nummer, die beim Online-Banking eingesetzt wird, nur für eine bestimmte Überweisung gültig ist, werde auch die Handysignatur mit dem unterzeichneten Dokument verknüpft und ist daher nur für dieses eine Dokument gültig, so IT-Experte Posch. Sollte es in irgendeiner Form verändert werden, sei es, dass auch nur ein Komma hinzugefügt werde, wird das gesamte Dokument nicht mehr als signiert anerkannt. Jeder, der die Signatur ab so einem Zeitpunkt prüft, könne sofort erkennen, dass hier etwas nachträglich manipuliert worden ist, so Posch.

Handysignatur-App als Zugang für Datendiebe?

Mittlerweile ist die Handysignatur auch als App erhältlich. Die Freigabe erfolgt hier durch das Abfotografieren eines QR-Codes. Mit Apps ist das aber bekanntlich so eine Sache. Manche genehmigen sich so umfassende Zugriffsrechte, dass eine einfache Taschenlampen-Applikation zum reinen Datenschutz-Horror ausarten kann. Ohne ersichtlichen Grund können solche Anwendungen auf Kalendereinträge, persönliche Kontakte oder Fotos zugreifen. Die auf diese Art erbeuteten Daten können dann kopiert und an Fremde übermittelt werden.

Signatur

help.ORF.at

Die Handysignatur kann per Drag and Drop plaziert werden

Der Handel mit Nutzerdaten ist ein einträgliches Geschäft. In regelmäßigen Abständen fordern auch Spitzenpolitiker Zugang zu personenbezogenen Informationen. Etwa zu den umfangreichen Datensammlungen von WhatsApp und Skype. Diese Maßnahmen sollen zur Kriminalitätsbekämpfung und Terrorabwehr dienen. Könnte also auch eine Signatur-App eventuell als Eingangstor für einen Bundestrojaner genutzt werden? Nein, meint der Informatiker Reinhard Posch. Für Anbieter digitaler Dienstleistungen wie der Handysignatur gelten strenge behördliche Auflagen.

Für Signaturanbieter gilt europäisches Recht

Anbieter elektronischer Signaturen sind so genannte Vertrauensdienstleister. Ihre Produkte werden beispielsweise von der Rundfunk und Telekom Regulierungs-GmbH (RTR) geprüft. Die App eines Vertrauensdienstleisters dürfe nur die Funktionen beherrschen, die für das Funktionieren der Anwendung unbedingt notwendig seien, so Posch. Sollte ein Programm, das ausschließlich für das Unterzeichnen von Dokumenten zuständig ist, auf Nutzerdaten wie Kontaktadressen oder auch Verbindungsdaten zugreifen können, würde es vom Markt genommen und müsste neu programmiert werden.

Der Anbieter der Handysignatur ist die A-Trust GmbH. Als Vertrauensdiensteanbieter unterliegt das Unternehmen sowohl nationalen als auch internationalen Kontrollen. In einem Schreiben an help.ORF.at heißt es: „Als Mitglied der EU gilt für Österreich ab kommendem Mai die EU- Datenschutzgrundverordnung als supranationales Recht. Die Einhaltung des EU-Primärrechts wird von der EU- Kommission überwacht. Verletzungen würden mit Klage gegen Österreich geahndet.“

Nach der Aktivierung fünf Jahre gültig

Das bedeutet: Selbst wenn eine nationale Regierung per nationalem Gesetz einen Zugang zu vertraulichen Informationen der Bürger einfordern würde, hätte so ein Ansinnen aus Sicht von A-Trust kaum Aussicht auf Erfolg: „A-Trust müsste einem neuen Gesetz zwar Folge leisten, dieses würde aber von der EU ausgehebelt werden.“

Momentan nutzen etwa 870.000 Österreicher die Handysignatur. Sie ist damit wesentlich verbreiteter als die Bürgerkarte, die nur etwa 130.000 Menschen überzeugen konnte. Der Anmeldeprozess ist zwar ein wenig komplex, nach der Freischaltung ist die Signatur dann aber fünf Jahre gültig und kann während diesem Zeitraum relativ einfach verlängert werden. Die Zugangsdaten dürfen natürlich keinesfalls in falsche Hände geraten, so Posch. Wer sein Passwort oder das Handy verliert, sollte den Zugang, ähnlich wie beim Verlust der Bankomatkarte, sofort sperren lassen.

Paul Urban Blaha, help.ORF.at

Links:

Mehr zum Thema: