Sicherheit
- Stephan AMANN (Unlicensed)
- Igor Metz
Owned by Stephan AMANN (Unlicensed)
Sicherheit im Umgang mit Signaturen
Grundsätzlich sollten auch beim Umgang mit elektronischen Signaturen und dem LocalSigner die allgemeinen Verhaltensregeln beachtet werden:
Allgemeine Verhaltensregeln
- Es sollten jederzeit sämtliche vom Hersteller empfohlenen Sicherheitsupdates für das Betriebssystem eingespielt werden.
- Ein aktuelles Virenschutzprogramm sollte installiert sein und die Virendatenbanken sollten mindestens tagesaktuell sein.
- Die Firewall des Betriebssystems sollte aktiviert sein.
- Von allen verwendeten Anwendungen (Adobe Reader, LocalSigner) sollten die neuesten Versionen installiert sein.
- Die SuisseID Karte / der SuisseID Stick sollte vom Rechner entfernt werden, wenn längere Zeit keine Signaturen angebracht werden. In jedem Fall sollte der Stick/die Karte bei längerer Abwesenheit (Mittagspause, Nacht) entfernt und weggeschlossen werden.
- Mit dem Arbeitsrechner sollte nicht auf dubiosen Seiten (Gratisdownloads, Lockvogelangebote) gesurft werden, es sollten keine Tauschprogramme benutzt werden.
- Es sollten keine Mails unbekannter Herkunft geöffnet werden oder Links in solchen Mails angeklickt werden.
- Es sollte für jedes System ein eigenes, unterschiedliches Passwort verwendet werden.
- Passwörter sollten sicher sein.
- Passwörter sollten in einem sicheren (passwortgeschützten und verschlüsseltem) Passwortsafe aufbewahrt werden.
- Der Administrator (Root) Account des Betriebsystems sollte nicht für die normale Arbeit verwendet werden.
- Die Warnungen von LocalSigner betreffend aktiver Elemente in PDFs sollte beachtet werden.
Mögliche Gefahren
Durch Einschleusen von Schadsoftware (Keylogger) kann es einem Angreifer gelingen, das SuisseID Passwort zu erspähen.
Gegenmassnahmen
- Die Einhaltung der obigen Verhaltensregeln minimiert diese Gefahr.
- Die Verwendung eine Klasse-2-Lesers verhindert, dass ein Angreifer das Passwort auf diesem Weg (mittels Schadsoftware) ausspähen kann. Ob die Anbieter der SuisseID Klasse-2-Leser unterstützen werden, ist nicht bekannt.
Durch Einschleusen von Schadsoftware (z.B. Remote USB Treiber) kann die SuisseID von einem Angreifer zum Signieren von Dokumenten missbraucht werden, sofern er im Besitz des PIN (über Keylogger, Social Engineering oder andere Techniken) ist.
Gegenmassnahmen
- Die Einhaltung der obigen Verhaltensregeln minimiert diese Gefahr.
Weiterführende Links
- Auf der SuisseID Seite befinden sich Angaben zur Sicherheit der SuisseID sowie Empfehlungen im Umgang mit der SuisseID.
- Beachten Sie die Hinweise der Melde- und Analysestelle Informationssicherheit des Bundes (MELANI)
- Testen der Passwortqualität