ID-Austria ohne App

Letztes Update: 22.11.2023, 23:00 Uhr

In Österreich wird die alte Handy-Signatur abgelöst und eine weitreichendere E-ID, die ID-Austria eingeführt. Die braucht man z.B. für den Zugang zur Sozialversicherung, für Finanz-Online wenn man die Steuererklärung einreichen will oder zur Rechnungsstellung bei verschiedenen staatlichen Stellen, wenn man als Freiberufler:in dort „Zulieferer“ ist.

Nachdem die Frage momentan häufiger kommt, habe ich hier einmal zusammengetragen, wie man es schafft, die staatlich anerkannte Digitalunterschrift auch ohne Smartphone-App zu verwenden. Der hier gezeigte Weg ist das Upgrade von einer bestehenden Handy-Signatur. Falls Ihr die nicht habt, müsst Ihr ohnehin zu einer Registrierungsstelle gehen. Da braucht Ihr aber auch keine vorinstallierte App, sondern nur ein Gerät, das SMS empfangen kann.

Und weil sich schon Menschen beschwert haben, dass man ja immer ein zweites Gerät braucht: Ja, das ist ja der Sinn der Sache, dass man Handlungen wie zB eine Vertragsunterzeichnung oder das Einloggen im Steuerkonto nochmal extra bekräftigt.

Warum ohne Smartphone-App?

Mobiltelefone sind mobil. Sie können gestohlen werden, verloren- oder kaputtgehen und sind daher nicht die beste Idee, um darauf die Möglichkeit zu hinterlegen, rechtsgültige Geschäfte zu tätigen.

Beispiel: Wenn das Gerät gestohlen wird und man kann sowohl das Rechtsgeschäft auf dem Mobilgerät als auch die Freigabe auf demselben Gerät in der App „nebenan“ durchführen, dann kann auch jemand anderer mit unserem Gerät Geschäfte tätigen und es sieht so aus, als wären wir es gewesen. Das zu widerlegen wird kaum möglich sein.

Auch die geforderte biometrische Absicherung der Mobilgeräte sichert das Gerät nicht ernsthaft ab. Iris-Erkennung ist beispielsweise (aber nicht nur!) bei Samsung schnell umgangen und unsere Fingerabdrücke liefern wir auf dem Gerät hinreichend mit. Biometrie ist ein okayer Benutzername, aber ein sch* Passwort.

Dann gibt es noch eine Handvoll Mobilgeräte, auf denen die Digitales-Amt-App nicht läuft, zB wenn man ein freies Betriebssystem verwendet, aber auch noch ein paar andere Modelle.

Last not least für alle Menschen, die kein Smartphone verwenden (können). Ja, die gibt es.

Welche Alternativen gibt’s?

Zum Glück haben ein paar Leute mitgedacht, dass nicht alle ein (passendes) Smartphone verwenden oder einfach keinen amtlichen Ausweis auf einem Mobilgerät haben wollen. Daher haben wir auch die Möglichkeit, die ID-Austria auch mit einem sogenannten FIDO2-Key (Level 2) zu verwenden.

Was ist ein FIDO-Key?

Kurz: Ein spezieller, einmaliger USB-Stick, der als zweiter Faktor zur Freigabe einer Handlung verwendet wird (2-Faktor-Authenntifizierung). Es ist ein physischer Gegenstand, den Ihr zur Hand haben müsst, um Euch einzuloggen oder Transaktionen freizugeben.

Lang: Die FIDO Alliance kümmert sich schon seit vielen Jahren um bessere und sicherere Online-Authentifizierung. FIDO steht für „Fast IDentity Online“. Die FIDO-Alliance gibt Standards raus, nach denen Softwarehersteller Logins gestalten können, aber auch Geräte-Fertiger solche Login-Keys als zweiten Faktor für 2-Faktor-Authenntifizierung bauen.

Diese Keys sind einerseits Hardware, man muss sie also physisch an ein Gerät anstecken (oder die neuen mit NFC an das Gerät dranhalten). Andererseits haben sie aber auch eine leitfähige Touch-Fläche, die man berühren muss, und damit bestäigen, dass gerade ein Mensch diese Aktion durchführt. Man kann nicht einfach einen Key an einen Rechner in einem Rechenzentrum stecken, der dann wild alles bestätigt, was man ihm schickt. Je nach Größe des Keys können diese Touch-Flächen größer oder kleiner oder auch geteilt an beiden Seiten des Keys sein. Und nein, es wird nicht der Fingerabdruck abgenommen, sondern durch unsere Haut und deren Leitfähigkeit wird ein kleiner Stromkreis geschlossen – zumindest bei den Keys, die ich kenne.

Seit 2018 verwenden große Unternehmen wie Google schon FIDO-Keys und haben daher keine Phishing-Probleme, weil alle Angestellten ihren persönlichen Hardware-Key für Logins etc. brauchen. Da ist es zwar unangenehm, wenn das Login abgegriffen wird, aber ohne den physischen Key kann sich trotzdem niemand einloggen.

Eine Weiterentwicklung davon sind die Passkeys der FIDO Alliance, von denen Ihr vielleicht schon gehört habt, die ab 2024 vielleicht unsere Passwörter ersetzen sollen.

Die 2 ist wichtig – FIDO2 Level 2

Achtung, mit älteren zB Yubikeys funktioniert es nicht. Der Key muss den FIDO2-Standard Level 2 mit WebAuthn können. Bei Yubikeys ist das erst ab der FIPS-Serie der Fall, die „normale“ 5er-Serie geht nicht. Ja, hab ich getestet, einen 5er hab ich nämlich schon im Haus. 😉 Von NitroKey gibt es zwar auch schon FIDO2-Keys, die sind aber nicht in der Übersicht der unterstützten Keys gelistet.

Jakob schreibt auf Mastodon:

Es ist „FIDO2 Level 2“. Level 2 besagt nämlich grob umrissen, dass der Key kein Firmware-Update erfahren kann. Mit einem Firmwareupdate wäre es nämlich theoretisch möglich, dass man den Private-Key durch eine modifizierte Firmware doch auslesen und kopieren kann. Bei Level2 Sticks wird nach dem Aufspielen der Firmware sogar physisch der Chip so manipuliert, dass die beiden Beinchen die man fürs Aufspielen der Firmware braucht, zerstört werden (so hab ich es nachgelesen).

https://soc.schuerz.at/display/4edd2508-2065-5de9-275d-ad4681238622

Ich habe mir einen GoTrust Idem Key FIDO2 bei Alza gekauft, wie es auch auf Mastodon einige getan haben. Die mit USB-C (der neue ovale Stecker) sind aktuell lagernd, die mit USB-A (der alte eckige USB-Stecker) kommen wohl erst Anfang Dezember wieder. Vorbestellen lohnt aber.

PRO-Tipp: Gleich zwei Keys kaufen und beide in der Handy-Signatur / ID-Austria einrichten. Einer bleibt bei Euch, der andere wandert ins Bankschließfach, falls dem ersten was passiert.

Wichtig: PIN für den Key einrichten!

In einem sehr hilfreichen Thread auf Mastodon hat ein Nutzer seinen Workflow aufgeschrieben, wie er es geschafft hat, den FIDO2-Key Level 2 mit der Handy-Signatur (und dann auch mit der ID-Austria) zum Laufen zu kriegen. (Danke Jürgen, dank des Threads habe ich es überhaupt unfallfrei geschafft, das einzurichten!)

Was nirgends steht: Man muss dem Key eine PIN zuweisen!

Das konnte ich auch so nachstellen. Ohne zugewiesener PIN wirft die Handy-Signatur-Seite beim Versuch, den Key hinzuzufügen, einen Fehler.

Für Yubikeys gibt es den Yubikey Manager, den man von der Herstellerseite herunterladen kann. Darin kann man sehr übersichtlich dargestellt auch eine PIN vergeben.

Allen anderen Keys kann man mit einem Umweg über Googles Chrome-Browser eine PIN zuweisen. Dazu gebt Ihr

chrome://settings/securityKeys

in die Adresszeile im Chrome-Browser ein. Wenn Ihr Euren FIDO2-Key angesteckt habt, könnt Ihr ihm dort eine PIN geben. Die solltet Ihr Euch gut merken, die braucht Ihr nämlich für Eure elektronische Signatur jedes Mal. Es ist also eine gute Idee, sie in Eurem Passwortmanager zu notieren.

Wenn Ihr den Chrome-Browser sonst nicht verwendet, könnt Ihr ihn auch gleich hinterher wieder von Eurem Computer löschen und zum Firefox (oder jedem anderen Browser, der FIDO2 unterstützt) zurückwechseln.

Ich musste in meinem Firefox Browser dafür nichts umstellen. Ich habe Adblocker wie uBlock origin installiert und in den Einstellungen den Datenschutz auf „streng“ gestellt. Hat alles nicht gestört. Die aktuelle Version sollte man aber wohl haben (hat ohnehin ab Version 120 ein paar sehr coole Funktionen wie dass es die Cookiebanner jetzt automatisiert – wo möglich – verneint und wegklickt).

Sollte es bei Euch im Firefox haken, hat Jakob via Mastodon noch eine hilfreiche Ergänzung: Im Firefox muss in

about:config
security.webauthn.ctap2 = „true“

sein. Sonst klappt es nicht mit der ID-Austria. Also about:config in die Adresszeile eingeben und Ihr könnt überprüfen, ob die Einstellung für webauthn stimmt.

Handy-Signatur Upgrade auf ID-Austria

Wenn Euer FIDO2-Key seine PIN hat, könnt Ihr ihn in Eurer bestehenden Handy-Signatur hinzufügen. Dort loggt Ihr Euch nochmal wie gewohnt ein und findet den Punkt zum Hinzufügen des FIDO2-Keys im Menü.

Ihr werdet aufgefordert, Euren Key anzustecken, den PIN einzugeben und dann durch Berühren der Touch-Fläche den Umstieg freizugeben.

Jetzt könnt Ihr den Umstieg von der Handy-Signatur auf die ID-Austria durchführen. Die Möglichkeit habt Ihr quasi von überall aus, wo Ihr Euch mit der Handy-Signatur einloggen könnt. Alle Login-Links führen letztlich zur Seite https://eid.oesterreich.gv.at/ und Ihr bekommt die folgende Login-Maske zu sehen:

Etwas unscheinbar unter dem Handy-Signatur-Button findet Ihr den Link „Umsteigen von Handy-Signatur auf ID-Austria“. Damit kommt Ihr zu einer Klickstrecke, wo Ihr wieder nach Eurem Key gefragt werdet.

Key anstecken, PIN eingeben, Touch-Fläche berühren – Ihr kennt das Spiel schon.

So wird das jetzt immer sein, wenn Ihr Euch irgendwo einloggen wollt, wo vorher die Handy-Signatur Euer Freund war.

Upgrade auf volle ID-Austria

Nach dem Umstieg von der Handy-Signatur habt Ihr jetzt die „Light“ Version der ID-Austria, die dieselbe Funktionalität abdeckt wie Eure alte Handy-Signatur. Wenn Ihr auf die volle ID-Austria upgraden wollt, müsst Ihr noch Eure Pass-Daten hinterlegen. Wenn Ihr einen österreichischen Pass habt, geht das flink im nächsten Schritt, dazu werdet Ihr direkt aufgefordert.

Wenn Ihr keinen österreichischen Pass habt, dann klappt das direkte Upgrade nicht. Die Passnummer wird nicht erkannt. Auch dann nicht, wenn man damals die Handy-Signatur mit Passvorlage im Amt beantragt hat. Vermutlich erkennt das Online-Formular nur österreichische Passnummern. Auch für Euch getestet.

Ihr müsst dann mit Pass/Perso, aktuellem Passfoto und Meldezettel zur Landespolizeidirektion gehen. Der Meldezettel steht nicht auf der Webseite, aber wenn Ihr schon eine Weile in AT wohnt, dann habt Ihr vermutlich schon geahnt, dass Ihr den brauchen werdet. Die vorinstallierte App, die auf der Webseite steht, braucht Ihr nicht. Nur ein Gerät, mit dem Ihr SMS empfangen könnt. Die Telefonnummer ist mit Eurer ID-Austria verknüpft und solltet Ihr doch die App auf ein Smartphone laden wollen und es steckt die SIM-Karte mit dieser Nummer darin, sollte das direkt funktionieren – wurde mir vor Ort gesagt.