ID-Austria ohne App
Letztes Update: 22.11.2023, 23:00 Uhr
In Österreich wird die alte Handy-Signatur abgelöst und eine weitreichendere E-ID, die ID-Austria eingeführt. Die braucht man z.B. für den Zugang zur Sozialversicherung, für Finanz-Online wenn man die Steuererklärung einreichen will oder zur Rechnungsstellung bei verschiedenen staatlichen Stellen, wenn man als Freiberufler:in dort „Zulieferer“ ist.
Nachdem die Frage momentan häufiger kommt, habe ich hier einmal zusammengetragen, wie man es schafft, die staatlich anerkannte Digitalunterschrift auch ohne Smartphone-App zu verwenden. Der hier gezeigte Weg ist das Upgrade von einer bestehenden Handy-Signatur. Falls Ihr die nicht habt, müsst Ihr ohnehin zu einer Registrierungsstelle gehen. Da braucht Ihr aber auch keine vorinstallierte App, sondern nur ein Gerät, das SMS empfangen kann.
Und weil sich schon Menschen beschwert haben, dass man ja immer ein zweites Gerät braucht: Ja, das ist ja der Sinn der Sache, dass man Handlungen wie zB eine Vertragsunterzeichnung oder das Einloggen im Steuerkonto nochmal extra bekräftigt.
Warum ohne Smartphone-App?
Mobiltelefone sind mobil. Sie können gestohlen werden, verloren- oder kaputtgehen und sind daher nicht die beste Idee, um darauf die Möglichkeit zu hinterlegen, rechtsgültige Geschäfte zu tätigen.
Beispiel: Wenn das Gerät gestohlen wird und man kann sowohl das Rechtsgeschäft auf dem Mobilgerät als auch die Freigabe auf demselben Gerät in der App „nebenan“ durchführen, dann kann auch jemand anderer mit unserem Gerät Geschäfte tätigen und es sieht so aus, als wären wir es gewesen. Das zu widerlegen wird kaum möglich sein.
Auch die geforderte biometrische Absicherung der Mobilgeräte sichert das Gerät nicht ernsthaft ab. Iris-Erkennung ist beispielsweise (aber nicht nur!) bei Samsung schnell umgangen und unsere Fingerabdrücke liefern wir auf dem Gerät hinreichend mit. Biometrie ist ein okayer Benutzername, aber ein sch* Passwort.
Dann gibt es noch eine Handvoll Mobilgeräte, auf denen die Digitales-Amt-App nicht läuft, zB wenn man ein freies Betriebssystem verwendet, aber auch noch ein paar andere Modelle.
Last not least für alle Menschen, die kein Smartphone verwenden (können). Ja, die gibt es.
Welche Alternativen gibt’s?
Zum Glück haben ein paar Leute mitgedacht, dass nicht alle ein (passendes) Smartphone verwenden oder einfach keinen amtlichen Ausweis auf einem Mobilgerät haben wollen. Daher haben wir auch die Möglichkeit, die ID-Austria auch mit einem sogenannten FIDO2-Key (Level 2) zu verwenden.
Was ist ein FIDO-Key?
Kurz: Ein spezieller, einmaliger USB-Stick, der als zweiter Faktor zur Freigabe einer Handlung verwendet wird (2-Faktor-Authenntifizierung). Es ist ein physischer Gegenstand, den Ihr zur Hand haben müsst, um Euch einzuloggen oder Transaktionen freizugeben.
Lang: Die FIDO Alliance kümmert sich schon seit vielen Jahren um bessere und sicherere Online-Authentifizierung. FIDO steht für „Fast IDentity Online“. Die FIDO-Alliance gibt Standards raus, nach denen Softwarehersteller Logins gestalten können, aber auch Geräte-Fertiger solche Login-Keys als zweiten Faktor für 2-Faktor-Authenntifizierung bauen.
Diese Keys sind einerseits Hardware, man muss sie also physisch an ein Gerät anstecken (oder die neuen mit NFC an das Gerät dranhalten). Andererseits haben sie aber auch eine leitfähige Touch-Fläche, die man berühren muss, und damit bestäigen, dass gerade ein Mensch diese Aktion durchführt. Man kann nicht einfach einen Key an einen Rechner in einem Rechenzentrum stecken, der dann wild alles bestätigt, was man ihm schickt. Je nach Größe des Keys können diese Touch-Flächen größer oder kleiner oder auch geteilt an beiden Seiten des Keys sein. Und nein, es wird nicht der Fingerabdruck abgenommen, sondern durch unsere Haut und deren Leitfähigkeit wird ein kleiner Stromkreis geschlossen – zumindest bei den Keys, die ich kenne.
Seit 2018 verwenden große Unternehmen wie Google schon FIDO-Keys und haben daher keine Phishing-Probleme, weil alle Angestellten ihren persönlichen Hardware-Key für Logins etc. brauchen. Da ist es zwar unangenehm, wenn das Login abgegriffen wird, aber ohne den physischen Key kann sich trotzdem niemand einloggen.
Eine Weiterentwicklung davon sind die Passkeys der FIDO Alliance, von denen Ihr vielleicht schon gehört habt, die ab 2024 vielleicht unsere Passwörter ersetzen sollen.
Die 2 ist wichtig – FIDO2 Level 2
Achtung, mit älteren zB Yubikeys funktioniert es nicht. Der Key muss den FIDO2-Standard Level 2 mit WebAuthn können. Bei Yubikeys ist das erst ab der FIPS-Serie der Fall, die „normale“ 5er-Serie geht nicht. Ja, hab ich getestet, einen 5er hab ich nämlich schon im Haus. 😉 Von NitroKey gibt es zwar auch schon FIDO2-Keys, die sind aber nicht in der Übersicht der unterstützten Keys gelistet.
Jakob schreibt auf Mastodon:
Es ist „FIDO2 Level 2“. Level 2 besagt nämlich grob umrissen, dass der Key kein Firmware-Update erfahren kann. Mit einem Firmwareupdate wäre es nämlich theoretisch möglich, dass man den Private-Key durch eine modifizierte Firmware doch auslesen und kopieren kann. Bei Level2 Sticks wird nach dem Aufspielen der Firmware sogar physisch der Chip so manipuliert, dass die beiden Beinchen die man fürs Aufspielen der Firmware braucht, zerstört werden (so hab ich es nachgelesen).
https://soc.schuerz.at/display/4edd2508-2065-5de9-275d-ad4681238622
Ich habe mir einen GoTrust Idem Key FIDO2 bei Alza gekauft, wie es auch auf Mastodon einige getan haben. Die mit USB-C (der neue ovale Stecker) sind aktuell lagernd, die mit USB-A (der alte eckige USB-Stecker) kommen wohl erst Anfang Dezember wieder. Vorbestellen lohnt aber.
PRO-Tipp: Gleich zwei Keys kaufen und beide in der Handy-Signatur / ID-Austria einrichten. Einer bleibt bei Euch, der andere wandert ins Bankschließfach, falls dem ersten was passiert.
Wichtig: PIN für den Key einrichten!
In einem sehr hilfreichen Thread auf Mastodon hat ein Nutzer seinen Workflow aufgeschrieben, wie er es geschafft hat, den FIDO2-Key Level 2 mit der Handy-Signatur (und dann auch mit der ID-Austria) zum Laufen zu kriegen. (Danke Jürgen, dank des Threads habe ich es überhaupt unfallfrei geschafft, das einzurichten!)
Was nirgends steht: Man muss dem Key eine PIN zuweisen!
Das konnte ich auch so nachstellen. Ohne zugewiesener PIN wirft die Handy-Signatur-Seite beim Versuch, den Key hinzuzufügen, einen Fehler.
Für Yubikeys gibt es den Yubikey Manager, den man von der Herstellerseite herunterladen kann. Darin kann man sehr übersichtlich dargestellt auch eine PIN vergeben.
Allen anderen Keys kann man mit einem Umweg über Googles Chrome-Browser eine PIN zuweisen. Dazu gebt Ihr
chrome://settings/securityKeys
in die Adresszeile im Chrome-Browser ein. Wenn Ihr Euren FIDO2-Key angesteckt habt, könnt Ihr ihm dort eine PIN geben. Die solltet Ihr Euch gut merken, die braucht Ihr nämlich für Eure elektronische Signatur jedes Mal. Es ist also eine gute Idee, sie in Eurem Passwortmanager zu notieren.
Wenn Ihr den Chrome-Browser sonst nicht verwendet, könnt Ihr ihn auch gleich hinterher wieder von Eurem Computer löschen und zum Firefox (oder jedem anderen Browser, der FIDO2 unterstützt) zurückwechseln.
Ich musste in meinem Firefox Browser dafür nichts umstellen. Ich habe Adblocker wie uBlock origin installiert und in den Einstellungen den Datenschutz auf „streng“ gestellt. Hat alles nicht gestört. Die aktuelle Version sollte man aber wohl haben (hat ohnehin ab Version 120 ein paar sehr coole Funktionen wie dass es die Cookiebanner jetzt automatisiert – wo möglich – verneint und wegklickt).
Sollte es bei Euch im Firefox haken, hat Jakob via Mastodon noch eine hilfreiche Ergänzung: Im Firefox muss in
about:config
security.webauthn.ctap2 = „true“
sein. Sonst klappt es nicht mit der ID-Austria. Also about:config in die Adresszeile eingeben und Ihr könnt überprüfen, ob die Einstellung für webauthn stimmt.
Handy-Signatur Upgrade auf ID-Austria
Wenn Euer FIDO2-Key seine PIN hat, könnt Ihr ihn in Eurer bestehenden Handy-Signatur hinzufügen. Dort loggt Ihr Euch nochmal wie gewohnt ein und findet den Punkt zum Hinzufügen des FIDO2-Keys im Menü.
Ihr werdet aufgefordert, Euren Key anzustecken, den PIN einzugeben und dann durch Berühren der Touch-Fläche den Umstieg freizugeben.
Jetzt könnt Ihr den Umstieg von der Handy-Signatur auf die ID-Austria durchführen. Die Möglichkeit habt Ihr quasi von überall aus, wo Ihr Euch mit der Handy-Signatur einloggen könnt. Alle Login-Links führen letztlich zur Seite https://eid.oesterreich.gv.at/ und Ihr bekommt die folgende Login-Maske zu sehen:
Etwas unscheinbar unter dem Handy-Signatur-Button findet Ihr den Link „Umsteigen von Handy-Signatur auf ID-Austria“. Damit kommt Ihr zu einer Klickstrecke, wo Ihr wieder nach Eurem Key gefragt werdet.
Key anstecken, PIN eingeben, Touch-Fläche berühren – Ihr kennt das Spiel schon.
So wird das jetzt immer sein, wenn Ihr Euch irgendwo einloggen wollt, wo vorher die Handy-Signatur Euer Freund war.
Upgrade auf volle ID-Austria
Nach dem Umstieg von der Handy-Signatur habt Ihr jetzt die „Light“ Version der ID-Austria, die dieselbe Funktionalität abdeckt wie Eure alte Handy-Signatur. Wenn Ihr auf die volle ID-Austria upgraden wollt, müsst Ihr noch Eure Pass-Daten hinterlegen. Wenn Ihr einen österreichischen Pass habt, geht das flink im nächsten Schritt, dazu werdet Ihr direkt aufgefordert.
Wenn Ihr keinen österreichischen Pass habt, dann klappt das direkte Upgrade nicht. Die Passnummer wird nicht erkannt. Auch dann nicht, wenn man damals die Handy-Signatur mit Passvorlage im Amt beantragt hat. Vermutlich erkennt das Online-Formular nur österreichische Passnummern. Auch für Euch getestet.
Ihr müsst dann mit Pass/Perso, aktuellem Passfoto und Meldezettel zur Landespolizeidirektion gehen. Der Meldezettel steht nicht auf der Webseite, aber wenn Ihr schon eine Weile in AT wohnt, dann habt Ihr vermutlich schon geahnt, dass Ihr den brauchen werdet. Die vorinstallierte App, die auf der Webseite steht, braucht Ihr nicht. Nur ein Gerät, mit dem Ihr SMS empfangen könnt. Die Telefonnummer ist mit Eurer ID-Austria verknüpft und solltet Ihr doch die App auf ein Smartphone laden wollen und es steckt die SIM-Karte mit dieser Nummer darin, sollte das direkt funktionieren – wurde mir vor Ort gesagt.
Hallo Klaudia,
danke für die tolle Beschreibung, ich wünschte, ich hätte sie schon gehabt, als ich mich im Sommer mit den selben Problemen herumgeschlagen habe! 🙂
> Die 2 am FIDO2 ist wichtig
Das stimmt, allerdings ist das nicht der Grund, warum die ID Austria mit dem „normalen“ YubiKey 5 nicht funktioniert, der „kann“ nämlich auch FIDO2/Webauthn. Allerdings ist er nicht zertifiziert und deswegen wird er von der ID Austria abgelehnt. Der YubiKey 5 FIPS ist FIPS- und FIDO Level 2-zertifiziert (https://fidoalliance.org/certification/authenticator-certification-levels/authenticator-level-2/). Ich bin mir gar nicht sicher, ob sich die beiden Varianten technisch überhaupt unterscheiden.
Wie so oft in der IT gilt: FIDO2 und FIDO Level 2 klingt zwar ähnlich, hat aber nichts miteinander zu tun. (facepalm)
Das ist auch der Grund warum der NitroKey vermutlich nicht funktioniert (nicht getestet): der ist nicht zertifiziert, laut Nitro erfüllt er zwar die technischen Voraussetzungen, die Zertifizierungsgebühr rechnet sich für Nitro aber aktuell nicht.
Ich kann jedenfalls bestätigen, dass der YubiKey 5 NFC FIPS funktioniert! 🙂
> Wichtig: PIN für den Key einrichten!
Der nächste facepalm: ich verstehe nicht, warum das nirgends steht und vor allem warum die ID Austria nicht wenigstens eine aussagekräftige Fehlermeldung geben kann. Ein „Ihr Key wurde nicht akzeptiert, bitte aktivieren Sie PIN oder Fingerabdruck“ hätte mir viel Frustration erspart. Laut A-Trust Support ist die PIN „normalerweise immer aktiviert“, umso interessanter, dass das bei dem von A-Trust beworbenen GoTrust Idem auch nicht der Fall ist. 😉
Ich finde das echt schade, denn die ID Austria wäre eine gute Gelegenheit, FIDO Keys und ihre Vorteile in der Öffentlichkeit bekannt zu machen. Aber ganz ehrlich, hätte ich meinen alten YubiKey 5 nicht schon monatelang in Verwendung gehabt und extra auf das FIPS Modell aktualisiert, hätte ich vermutlich zähneknirschend die App installiert und YubiKey und Co geistig unter „unbrauchbar“ abgelegt.
Danke Klaudia!
Vieln herzlichen Dankeschön – wie immer schreibst Du ausgezeichnet und gut nachvollziehbar, das hilft!
Allerfeinste Grüße 🙂
Bitte gerne!
Hi.
Habe versucht, PIN auf der Idem Key von GoTrust zu ändern. Diese wird unter „Sicherheit“ (bei chrome) nicht angezeigt. Habe aktuellste Version, ebenso Windows 11 (23H2)-
Nun ich sehe hier 2 Probleme.
Das eine ist, dass auf der ID Austria Site mehrere FIDO als kompatibel ausgewiesen sind, / waren, die aber eben nicht funktionieren (z.b, Yubikey 5 NFZ schwarz) . Das deutet auf Inkompetenz hin. Dass die FIPS variante die einzige ist, die funktioniert, und dass das auch die einzige ist, die A-Trust im Webshop hat, ist vermutlich Zufall.
Das zweite ist, dass die Identifizierung mit FIDO nicht funktioniert.
Ich bin „stolzer“ Besitzer eine FIDO Registrierung, wenn ich mich aber nach der Anmeldung auch identifizieren will erhalte ich:
«Since your app connected to the ID Austria is no longer available, a new app linking is necessary. Install the „Digitales Amt“ app or A-Trust Signatur app on your phone and follow the instructions in the app. »
Da stimmt was mit der Professionalität von A-Trust nicht.
Also Tip!
Wer auch immer meint, er hätte eine ID Austria (mit Fido) immer wieder mal checken, oder ihr verpasst so wie ich den Wahlkartenantrag.
tolle erklärung! Ich habe leider heute auch probleme gehabt, als ich versuchte, mit einem FIDO 2 die ID-Austria zu verknüpfen. Es steht nirgends daß man vorher eine PIN beim FIDO2-Key setzen muß. Ich wartete so lange (die webseite sagte sowas wie „bitte Key einstecken“ etc. für lange zeit) dann gab es eine fehlermeldung von der ID-Austria seite. Kein moment hat die ID-Austria system gemeldet, warum es nicht klappt. (Wäre einfach gewesen, mit zu melden, daß ich kein PIN gesetzt habe…!). Erst im nachhinein, bei der fehlersuche, stieß ich auf diesem blog.
Yubikeys lassen sich seit Anfang 09/2024 leider nicht mehr für die ID Austria verwenden: https://a-trust.at/de/%C3%BCber_uns/newsbereich/20240905_de_post.html
Servus!
Hier gibt es seit einiger Zeit wieder eine Änderung, Yubikeys funktionieren wieder mit Firmware 5.7+ :
https://www.a-trust.at/de/%C3%BCber_uns/newsbereich/20241119_de_post.html
Ciao,
Steve