Die ID Austria ersetzt ab 5. Dezember die Handysignatur.
Zellinger

Seit 5. Dezember 2023 ist Schluss mit der Handysignatur. Die bisher für viele Anmeldungen – zum Beispiel bei Finanz Online – genutzte App wurde durch die ID Austria abgelöst, die nach knapp drei Jahren die Pilotphase verlassen hat. Ganz ohne Probleme ging die Umstellung nicht, denn für viele Anwenderinnen und Anwender hieß es am Tag der Umstellung: "Es ist ein Fehler aufgetreten." Doch wozu das alles? Warum ist das so kompliziert? Was, wenn man keine digitale Identität will? Und was soll ich tun, wenn die Umstellung mit einer Fehlermeldung abbricht?

Frage: "Es ist ein Fehler aufgetreten", sagt die App digitales Amt. Was jetzt?

Antwort: Aktuell untersucht das Bundesrechenzentrum, warum der Fehler auftritt, denn an der Überlastung der Server liegt es angeblich nicht, und die Systeme laufen normal, wie man auf STANDARD-Nachfrage im Digitalisierungsstaatssekretariat erklärt. Der Erfahrung mit dem digitalen Führerschein nach zu urteilen, ist der die wohl einfachste Antwort: Abwarten und später noch einmal probieren, ob das Problem bis dahin gelöst wurde.

Frage: Ich brauche einen QR-Code. Was soll ich jetzt machen?

Antwort: Damit Ihr Smartphone korrekt angemeldet wird, kann es sein, dass Sie erneut einen QR-Code scannen müssen. Diesen können Sie hier erstellen lassen. Dafür brauchen Sie aber ein Zweitgerät. Im Selbstversuch hat sich ein Laptop oder Desktop-PC als am besten geeignet herausgestellt, denn auf Zweit-Smartphones kam es vereinzelt zu Darstellungsproblemen.

Frage: Muss ich heute umsteigen?

Antwort: Nein. Wenn Sie sich ab Dienstag, 5. Dezember 2023 bei der Handysignatur anmelden, werden Sie automatisch durch den Umstiegsprozess geleitet. Dieser nimmt in der Regel weniger als eine Minute in Anspruch – wenn er funktioniert. Man muss jedoch als zusätzlichen Verifizierungsschritt die Nummer des Reisepasses oder des Personalausweises eingeben, den sollte man bereitlegen.

Frage: Was muss mein Smartphone oder Tablet können, damit ich die ID Austria damit nutzen kann?

Antwort: Am Smartphone müssen entweder Android 8.0 oder iOS 14 oder höher laufen. Das Gerät muss darüber hinaus über einen Fingerabdruckscanner oder Gesichtserkennung verfügen. Diese müssen auch in den Systemeinstellungen aktiviert sein.

Frage: Warum ist der Login mit SMS nicht mehr möglich?

Antwort: Die Zwei-Faktor-Authentifizierung mittels SMS gilt schon seit längerer Zeit als unsicher. Es ist zum Beispiel möglich, dass ein Angreifer SIM-Karten klont, um die SMS abzufangen und auf ihre eigenen Geräte umzuleiten. Das ist auch der Grund, warum sich die meisten Banken bereits vom SMS-TAN-Verfahren verabschiedet haben. Die biometrische Verifizierung ist ungleich schwerer zu manipulieren. Außerdem bietet das SMS-Verfahren anders als die Biometrie keinerlei Schutz, wenn jemand physischen Zugriff auf das Gerät hat. Deshalb ist ein Login per SMS-TAN mit der Vollversion der ID Austria nicht mehr möglich.

Frage: Gibt es andere Möglichkeiten, sich in der ID Austria anzumelden?

Antwort: Ja, wer einen zweiten Authentifizierungsfaktor zur Anmeldung mit der ID Austria im Webbrowser verwenden will, kann auf einen FIDO2 Token (USB-Sicherheitsstick) zurückgreifen. Wenn man Zugriff auf die ID Austria hat, dann kann man im Menüpunkt "Meine ID Austria verwalten" einen FIDO-Sicherheitsschlüssel hinzufügen. Ansonsten ist ein Zugriff auf die ID Austria im Webbrowser aus Sicherheitsgründen nicht möglich.

Frage: Muss ich jetzt wieder zum Amt?

Antwort: Wenn Sie die Vollversion der Handysignatur nutzen: Nein. Wenn Sie die abgespeckte Basisversion haben, dann stehen Ihnen bei der ID Austria nur Grundfunktionen zur Verfügung. Die Basisversion wurde damals von der Post ausgegeben. In diesem Fall ist ein Gang zur Behörde nötig. Die Stadt Wien hat eine eigene Anlaufstelle für die Umstellung eingerichtet. Ansonsten sind die Bezirkshauptmannschaften oder das Magistrat zuständig. Auch Finanzämter und Landespolizeidirektionen bieten die Neuausstellung oder Aufwertung der ID Austria an.

Frage: Ich habe kein Smartphone. Wie kann ich die ID Austria dennoch nutzen?

Antwort: Wer ein altes Smartphone hat oder die biometrische ID nicht verwenden möchte, kann die ID Austria auch mit einem FIDO2-Token nutzen. Diese müssen FIDO2-Level-2-zertifiziert sein und Web Authn unterstützen. Das sind beispielsweise die Modelle Yubico Yubikey 5 NFC Fips, GoTrust IDEM Key (USB-A und USB-C), Trustkey G310H sowie Yubico Security Key NFC (2023). Diese sind im Handel erhältlich. Wie man einen FIDO-Schlüssel registriert, wenn man noch keine ID-Austria hat, wird hier erklärt.

Frage: Ich habe auf meinem Handy die Handysignatur und die App Digitales Amt installiert. Wenn ich ein Dokument unterschreiben möchte, öffnet sich die Handysignatur. Was kann ich tun?

Antwort: Sind beide Apps installiert und die ID Austria korrekt angemeldet, können Sie die Handysignatur deinstallieren. Danach öffnet sich das Digitale Amt.

Frage: Aber wozu das alles? Die Handysignatur hat doch jahrelang gut funktioniert.

Antwort: Österreich setzt mit der ID Austria die sogenannte eIDAS-Verordnung der Europäischen Union um. Die Handysignatur war eine nationale Lösung. Mit der ID Austria wird es in Zukunft möglich sein, Behördenwege in der gesamten EU zu absolvieren. Bis das tatsächlich funktioniert, könnte aber noch ein wenig Zeit vergehen, denn gerade Deutschland gilt als Sorgenkind, was die Umsetzung der Richtlinie betrifft. Schon jetzt können in Österreich aber zahlreiche Services über die App Digitales Amt genutzt werden, vom Strafregisterauszug bis zur Ummeldung des Hauptwohnsitzes.

Frage: Ersetzt die ID Austria ein Reisedokument?

Antwort: Nein. Diese Funktion wird erst später folgen, wenn alle EU-Mitgliedsländer die eIDAS-Verordnung umgesetzt haben. Die ID Austria ist die österreichische Variante der E-ID. Die ID Austria wird wohl frühestens im Jahr 2025 EU-weit akzeptiert, das ist aber die optimistische Schätzung. Wahrscheinlich ist, dass erst ab Herbst 2026 die europaweite ID funktioniert.

Frage: In Zukunft wird mit jedem Reisepass die ID Austria ausgestellt. Muss ich eine digitale ID haben, wenn ich sie nicht will?

Antwort: Nein, man kann auch auf die digitale ID verzichten. Innerhalb der EU gilt ein Diskriminierungsverbot: Wer die digitalen Services nicht nutzt, darf deshalb auch nicht benachteiligt werden.

Frage: Ich habe den digitalen Führerschein in der App eAusweise. Ändert sich daran etwas?

Antwort: Nein, die App eAusweise ist von der Umstellung der Handysignatur auf die ID Austria nicht betroffen.

Frage: Wann kommen endlich die anderen digitalen Ausweise?

Antwort: Der digitale Personalausweis und der digitale Zulassungsschein sollen im kommenden Jahr kommen. Die E-Card soll im zweiten Halbjahr 2024 auf dem Smartphone landen. Vor allem beim Zulassungsschein ist die Umsetzung schwierig, weil man diesen ja auch theoretisch an eine andere Person weitergeben kann, wenn man etwa sein Auto verborgt. Hier wird noch an einer Art Übergabesystem gearbeitet.

Frage: Hat die Behörde Zugriff auf meine Daten? Kann der Staat meinen Fingerabdruck mitlesen oder meine Gesichtsscans "abfangen"?

Antwort: Nein, sämtliche Daten der ID Austria und in der App eAusweise stammen aus ohnehin schon bestehenden Registern. Die ID Austria ist lediglich die Infrastruktur zur Übermittlung dieser Daten. Ihre persönlichen Daten werden bei jeder Verwendung von einem Server des Bundesrechenzentrums abgerufen und nicht in der App gespeichert. Gleiches gilt auch für die digitalen Ausweise: Wenn Sie Ihren Führerschein vorzeigen, wird der Datensatz aus den vorhandenen Daten generiert. Für die Behörde ist nicht nachvollziehbar, welche Inhalte die Nutzerin oder der Nutzer an welche Anwendungen übermittelt. Außerdem sind die Daten verschlüsselt, sodass sie von Dritten nicht gelesen oder verändert werden können. Fingerabdrücke und Gesichtsscans werden ausschließlich am Smartphone selbst in einem eigenen Sicherheitsbereich gespeichert. Das bedeutet, dass die offiziellen Stellen keinerlei Zugriff darauf haben.

Frage: Wenn das alles so sicher ist, warum ist im Zusammenhang mit eIDAS 2.0 immer wieder von Überwachung und Sicherheitsbedenken die Rede?

Antwort: EU-Parlament und -Rat haben sich in letzten Trilog-Verhandlungen auf die eIDAS-Verordnung geeinigt. Darin enthalten sind die umstrittenen Qualified Website Authentication Certificates (QWACs). Darüber werden sämtliche Webbrowser – also von Chrome über Edge und Firefox bis zu Safari – dazu gezwungen, staatliche Root-Zertifikate zu akzeptieren. Das bedeutet: Der Innenminister eines der 27 Mitgliedsstaaten könnte Google dazu zwingen, ein Zertifikat zu akzeptieren, das nicht den Sicherheitsvorgaben von Chrome entspricht. Theoretisch ist es so möglich, den gesamten Datenverkehr mitzulesen. Dieser Punkt ist aktuell höchst umstritten. Die Mitgliedsstaaten haben bis Herbst 2026 Zeit, diese Verordnung umzusetzen. (pez, 5.12.2023)