Internet-Datenleck bei Handysignatur.at
IT. Durch einen Systemfehler waren diese Woche für mehrere Stunden die Dateinamen jener Dokumente sichtbar, die per Handysignatur unterschrieben wurden. Die Dokumente selbst konnte man nicht öffnen.
Wien. Oberarzt Mark S. hat seine Unterschriftenmappe gelöscht, der praktische Arzt Bernhard D. ebenfalls, Alex hat seinen Darlehensantrag signiert, Herr A. seine Reiseabrechnung, und Rudolf G. hat den Antrag auf Kostenrückerstattung fertiggestellt.
Wer sich diese Woche auf der Webseite Handysignatur.at der Firma A-Trust einloggte, um ein Dokument rechtsgültig via Internet zu signieren, der erlebte eine ziemliche Überraschung: Unter den Benachrichtigungen sah man die Namen aller Dokumente, die in einem bestimmten Zeitraum auf Handysignatur.at unterschrieben wurden.
Das Datenleck ist bedenklich, weil für die Handysignatur im Internet spezielle und besonders strenge Sicherheitsrichtlinien gelten. Aus gutem Grund: Denn mit diesem Service lässt sich die Identität eines Nutzers auch in der elektronischen Welt klar feststellen und zuordnen. Die Handysignatur ist eine Art elektronischer Ausweis. Dank dieses Service kann man mit Behörden über das Internet rechtsverbindlich kommunizieren, Einsprüche machen, Steuererklärungen abgeben oder Förderanträge stellen.
Feature machte Probleme
Die üblicherweise strengen Vorkehrungen bedingen etwa, dass man die Handysignatur neu aktivieren muss, wenn man sein Passwort vergessen hat. Um virtuell zu unterschreiben, wird für jedes Dokument ein eigener Code via SMS an das Handy übermittelt.
Wie konnte es zu diesem Datenleck kommen, das alle Dateinamen sichtbar machte? „Wir sind weder gehackt worden, noch gab es einen gezielten Angriff“, erklärt Michael Butz, Geschäftsführer von A-Trust, im Gespräch mit der „Presse“. Das Unternehmen verwaltet nicht nur die Handysignatur, sondern auch die Bürgerkarte. Die Firma beschreibt sich auf ihrer Webseite als „Spezialist für Sicherheitssysteme im elektronischen Datenverkehr“.
Man habe in der Nacht auf Mittwoch ein neues Feature auf den Servern eingespielt, das künftig Sicherheitsmeldungen anzeigt, wenn sich der User bei seinem Konto anmeldet. Durch einen Systemfehler wurden auch die Namen der Dokumente angezeigt, die ganz andere Personen online signierten.
Etwas technischer erklärt: Wenn jemand ein Dokument online unterschreibt, aber nicht in der virtuellen Dokumentenmappe seines Kontos ablegt, erhält er die Account-Nummer 0 (Null). Durch ein „sicherheitstechnisches Problem“(Butz) wurden nun die Namen der signierten Dokumente so angezeigt, als handle es sich um Sicherheitsmeldungen. Jeder, der sich bei Handysignatur.at angemeldet hat, konnte die Dokumentennamen sehen. Die Dokumente selbst konnte man nicht öffnen und damit auch nicht einsehen.
Laut Geschäftsführer Butz habe es „keine sicherheitsrelevanten Probleme“gegeben. Auch sei das Datenleck nur in einem eingeschränkten Zeitraum aufgetreten. Laut Butz von Dienstag, 31. Jänner, 19.30 Uhr, bis Mittwoch, 1. Februar, 9.45 Uhr. „Nur Personen, die sich in diesem Zeitraum auf Handysignatur.at angemeldet haben, konnten die Dateinamen sehen“, versichert Butz.
750.000 User in Österreich
Das waren laut A-Trust exakt 260 Kunden. Drei davon hätten die Support-Hotline angerufen und auf den Fehler aufmerksam gemacht. Am 1. Februar um 9.45 Uhr war das System wieder „dicht“.
Etwa 750.000 Menschen nützen in Österreich die Handysignatur. Sie wurde 2009 eingeführt, mit ihr kann man nicht nur online Verträge unterzeichnen, sondern auch diverse Behördengänge erledigen – etwa Versicherungsdaten oder die Daten des Pensionskontos abfragen.