Elektronische Signaturen können das Leben spürbar einfacher machen. Allerdings gilt es in puncto Sicherheit besondere Sorgfalt walten zu lassen.
Allgemein gilt: Elektronische Signaturen tragen viel zur Sicherheit bei, sind aber nicht sicherer als die Systemumgebung, in der sie erstellt werden. Deshalb sollte man auf jedem Rechner, der zur Signaturerstellung verwendet wird, folgende Sicherheitsmaßnahmen ergreifen:
Regelmäßige Aktualisierung des Betriebssystems und der eingesetzten Software;
Einrichtung und regelmäßige Aktualisierung eines
Antivirenprogramms;
Einrichtung einer Firewall (z. B. im Router oder Windows-Firewall).
Vorsicht: Für die Signaturerstellung mittels Chipkarte empfiehlt sich die Verwendung eines Lesegeräts mit eigener PIN-Tastatur. Dadurch wird die Gefahr eines Missbrauchs durch Schadprogramme erheblich reduziert.
Bürgerkarte: Jede e-card kann online als Bürgerkarte aktiviert werden. Wer auch immer dies durchführt, kann im Namen des rechtmäßigen Karteninhabers qualifizierte elektronische Signaturen erstellen. Deshalb sollte man die e-card stets unter Kontrolle halten – auch und gerade dann, wenn die Aktivierung noch nicht erfolgt ist oder wenn man gar keine Aktivierung beabsichtigt. Bei Verlust sollte man die e-card zur Vermeidung von Missbrauch umgehend sperren lassen (Serviceline Tel. +43 50 124 3311).
Die Aktivierung kann auch ohne Wissen des Karteninhabers erfolgen, und zwar durch Personen, die im Haushalt des Karteninhabers leben, über eine Postvollmacht des Karteninhabers verfügen oder die Zugangsdaten des Karteninhabers zu FinanzOnline kennen.
Tipp: Ausführliche Sicherheitshinweise sind hier abrufbar.
Handy-Signatur: Besondere Sorgfalt empfiehlt sich bei Einsatz der Handy-Signatur. Die Sicherheit der Handy-Signatur beruht vor allem auf der Zwei-Faktor-Authentifizierung mit einem unveränderlichen Signaturpasswort und einer per SMS übermittelten, nur einmal verwendbaren TAN.
Verwendet man für SMS-Empfang und Passworteingabe ein und dasselbe Smartphone oder Tablet, so könnte ein Schadprogramm das Signaturpasswort mitlesen und die zur Bekanntgabe der TAN übermittelten SMS abfangen. Auf diese Weise könnte es beliebige Daten mit einer qualifizierten elektronischen Signatur versehen. Deshalb sollte man für SMS-Empfang und Passworteingabe stets zwei unterschiedliche Geräte verwenden.
Bei der Erstellung einer Handy-Signatur sollte man das Formular zur Eingabe von Telefonnummer und Signaturpasswort als „eigenes Fenster“ darstellen lassen, um dessen Authentizität zu prüfen. Nur dann, wenn in der Adressleiste dieses Fensters ein URL aus der Domain des Zertifizierungsdiensteanbieters (z. B. https://www.handy-signatur.at/... oder https://www.a-trust.at/...) aufscheint, ist das Formular vertrauenswürdig.
Weiters wird mit TAN auch ein Vergleichswert per SMS übermittelt. Diesen sollte man anhand des im TAN-Eingabeformular dargestellten Vergleichswerts prüfen. Stimmen die beiden Werte nicht überein, so sollte man den Vorgang abbrechen.
