authega-Logo
Weitere Optionen
Ihr Browser wird nicht unterstützt

Ihr Browser oder Browser-Version wird von authega nicht (mehr) unterstützt. Es kann zu Darstellungs- oder Funktionsproblemen kommen. Um authega weiterhin nutzen zu können, empfehlen wir Ihnen daher dringend einen aktuellen und unterstützten Browser zu verwenden.

Weitere Informationen finden Sie in der Hilfe unter Systemanforderungen.

Warnung

Hilfe

Zurück zur Übersicht

3

Der symmetrische, kryptographische Verschlüsselungsalgorithmus 3-DES (Triple-DES) ist eine Weiterentwicklung des Data Encryption Standard DES und verwendet symmetrische Schlüssel der Länge 112 Bit. Der DES ist ein weit verbreiteter Verschlüsselungsalgorithmus mit einer verwendeten Schlüssellänge von 56 Bit. Diese Schlüssellänge wird jedoch heute als unsicher angesehen. Beim 3-DES wird die DES Verschlüsselung dreimal hintereinander mit zwei unabhängigen kryptographischen Schlüsseln durchgeführt, die aus dem 112 Bit Schlüssel generiert werden. DES ist als Federal Information Processing Standard FIPS 46-3 standardisiert und wird durch ANSI X9.52-1998 zum 3-DES.

A

Der Advanced Encryption Standard AES ist ein symmetrischer Verschlüsselungsalgorithmus, der mit symmetrischen Schlüsseln der Länge 128, 192 und 256 Bit operieren kann. Er wurde von den Kryptographen Dr. Joan Daemen und Dr. Vincent Rijmen unter dem Namen Rijndael-Chiffre entwickelt. Der Algorithmus wird für das 21. Jahrhundert als ausreichend sicher angesehen. Er wurde im Jahr 2001 als Federal Information Processing Standard FIPS 197 standardisiert.

Der Aktivierungs-Code ist ein von der Finanzverwaltung generierter, 12-stelliger alphanumerischer Wert, der dem Anwender einmalig zur Aktivierung einer persönlichen Zugangsmöglichkeit zum authega-Portal dient. Er kann effektiv nur in Kombination mit einer dazugehörigen Aktivierungs-ID verwendet werden. Der individuelle Aktivierungs-Code wird dem ElsterOnline-Anwender auf dem Postweg mitgeteilt.

Aktivierungsdaten dienen einem Anwender von authega dazu, seine persönliche Zugangsmöglichkeit zu aktivieren. Die Aktivierung bedeutet nicht, dass der Anwender umgehenden Zugriff auf einen Dienst erhält. Dazu benötigt er noch ein initialisiertes Authentifizierungsmittel  (Zertifikatsdatei oder Signaturkarte für Authentifizierung), um sich authentifizieren zu können. Die Aktivierungsdaten bestehen aus dem Aktivierungscode und der Aktivierungs-ID , die dem Anwender per E-Mail und auf dem Postweg übermittelt werden und die er im Rahmen der Registrierung erfassen muss.

Die Aktivierungs-ID ist eine von authega generierte Zahl mit bis zu 20 Stellen, welche dem Anwender zur Aktivierung einer persönlichen Zugangsmöglichkeit zu authega dient. Sie kann effektiv nur im Rahmen der Registrierung mit einem zugehörigen Aktivierungs-Code verwendet werden. Die individuelle Aktivierungs-ID wird dem Anwender per E-Mail übermittelt.

Der Anzeigename ist vom Nutzer beim Hinzufügen eines neuen FIDO-Tokens/Passkeys frei wählbar. Er wird vom System vorgeschlagen und kann übernommen oder beliebig geändert werden, auch später noch. Der systemseitige Vorschlag wird nach dem Schema „authega LFF ID“ erstellt. Hierbei steht „LFF“ (Landesamt für Finanzen) für die PersonalID Bayern und „ID“ für Ihre authega-ID. Es ist ratsam, diesen Vorschlag um den Namen des verwendeten Authenticators zu ergänzen, z.B. mit "YubiKey 5 NFC" oder "iPhone SE". So lassen sich mehrere FIDO-Token/Passkeys besser unterscheiden.

Auf Ihrem Authenticator wird immer nur der Anzeigename angezeigt, der initial eingegeben wurde: Spätere Änderungen dessen im authega-Konto sind nur dort wirksam und nicht auf dem Authenticator.

Der Anzeigename entspricht im FIDO/Passkey-Standard dem sog. Displayname. Im Gegensatz zum Benutzernamen wird er z.B. bei Login-Versuchen nicht immer angezeigt, sondern nur unter bestimmten Bedingungen.

Ein asymmetrisches Schlüsselpaar ist individuell einem Anwender oder System zugeordnet. Es besteht aus einem öffentlichen Schlüssel und einem privaten (=geheimen) Schlüssel. Der private Schlüssel darf nur dem Inhaber bekannt sein und dient zur individuellen Authentifizierung oder Entschlüsselung elektronischer Informationen mittels asymmetrischer, kryptographischer Verfahren. Der öffentliche Schlüssel dient der Allgemeinheit zur Verifizierung einer mit dem privaten Schlüssel durchgeführten elektronischen Signatur oder zur individuellen Verschlüsselung . Das kryptographische Verfahren stellt sicher, dass Verschlüsselung  und Entschlüsselung sowie Signatur und Signaturprüfung beziehungsweise Authentifizierung nur mit dem entsprechenden Schlüsselpaar funktionieren.

Bei asymmetrischen kryptographischen Verfahren bekommt eine Person oder ein System immer zwei Schlüssel, das heißt ein asymmetrisches Schlüsselpaar für zum Beispiel Signatur-, Authentifizierungs- oder Verschlüsselungsfunktionen zugewiesen, und zwar einen öffentlichen und einen privaten Schlüssel. Der öffentliche Schlüssel ist jedem zugänglich, der private Schlüssel nur der jeweiligen Person beziehungsweise dem jeweiligen System. Mit dem privaten Schlüssel können Daten zum Beispiel signiert oder authentifiziert und von jedem mit dem zugehörigen, öffentlichen Schlüssel geprüft werden. Außerdem können mit dem öffentlichen Schlüssel Daten für den entsprechenden Kommunikationspartner verschlüsselt und nur mit dessen privaten Schlüssel entschlüsselt werden. Bekannte asymmetrische, kryptographische Verfahren sind zum Beispiel RSA, DSS und ECC.

Bezeichnet eine Software beziehungsweise eine Datei, welche vordefinierte Funktionen für den technischen Zugang eines Computers auf authega zur Einbindung in andere Computer-Software bereithält.

Signaturerzeugungskomponenten (zum Beispiel Signaturkarten) und Zertifizierungsdiensteanbieter (zum Beispiel Trustcenter ), die im Zusammenhang mit authega und weiteren zugehörigen Diensten eingesetzt werden sollen, müssen sicherheitstechnisch einen gewissen Mindeststandard besitzen und einigen technischen Anforderungen genügen. Der sicherheitstechnische Mindeststandard und die technischen Anforderungen werden in der authega-Policy beschrieben.

Das authega-Webserver-Zertifikat wird von dem international anerkannten Trustcenter D-Trust ausgestellt und dient der Beglaubigung der Identität des authega-Webservers gegenüber einem Computer beziehungsweise einem Anwender. Das Zertifikat besitzt ein eindeutiges Merkmal. Sein elektronischer SHA256-Fingerabdruck lautet: 856b031920112910880860748c61dc957aba585ccda495ebe1383d7eeaf5e2bf. Sollte das Zertifikat andere Fingerabdrücke haben, so ist es nicht das authega-Webserver-Zertifikat.

Die authega Zertifikatsdatei ist ein elektronischer "Ausweis" für eine Person, der von einem Trustcenter ausgestellt wurde und durch dessen elektronische Signatur beglaubigt ist und insbesondere die Zuordnung eines öffentlichen Schlüssels zu einer Person garantiert. Die authega Zertifikatsdatei wird im Rahmen der Registrierung generiert und für den Login an einem Fachverfahren benötigt.

Als Authenticator wird im Rahmen der Login-Art FIDO/Passkey ein FIDO2-fähiges Gerät bezeichnet, das in der Lage ist, einen entsprechenden FIDO-Token bzw. einen Passkey zu erzeugen. Mit Authenticator sind also in diesem Zusammenhang gemäß der Erläuterung unter FIDO/Passkey aktuell drei unterschiedliche Arten von Geräten gemeint:

  • Für die Nutzungsart FIDO: Ein sog. Security-Token, also ein Hardware-basierter Stick, auf dem das für den Login nötige geheime Schlüsselmaterial sicher und vor Unbefugten geschützt erzeugt und gespeichert wird, z.B. ein YubiKey, Nitrokey oder ein SoloKey. Dieser Security-Token wird z.B. per USB, Bluetooth oder NFC mit dem System verbunden, auf dem man sich anmelden will.
  • Für die Nutzungsart Passkey mit Cloud-Synchronisation: Ein Mobilgerät, typischerweise ein Smartphone, das in der Lage ist, einen Passkey zu erzeugen und das beim Hinzufügen bzw. beim Login am PC/Laptop per Bluetooth (mittels Scannen eines QR-Codes) gekoppelt wird. Das funktioniert nur, wenn die Cloud-Synchronisation auf dem Mobilgerät aktiviert ist: Auf Apple Geräten der iCloud-Schlüsselbund, auf Android Geräten entweder der Google Passwortmanager oder der Passwortmanager eines anderen Herstellers. Bei Dienstgeräten ist die Cloud-Synchronisation aus Sicherheitsgründen oft deaktiviert, weshalb solche Geräte hierfür nicht genutzt werden können.  
  • Für die Nutzungsart Passkey ohne Cloud-Synchronisation: Ein Windows 11 PC mit aktiviertem Windows Hello. Hierbei wird der Passkey im sicheren Speicherchip des PCs (Trusted Platform Module = TPM) erzeugt und gespeichert. Hierfür wird kein weiteres Gerät benötigt.

Für die Nutzung eines FIDO/Passkey Logins bei authega muss ein Authenticator verwendet werden, der über einen zweiten Faktor, also z.B. eine PIN oder ein biometrisches Merkmal (Finger-/Gesichtserkennung) abgesichert ist. Hierbei ist es unerheblich, für welche der o.g. Arten der Nutzung (FIDO oder Passkey mit/ohne Cloud-Synchronisation) man sich entscheidet: Ohne eine Absicherung des Authenticators mit einem zweiten Faktor, darf der FIDO/Passkey Login bei authega nicht genutzt werden.

Weitere Informationen zu den Vor- & Nachteilen der unterschiedlichen Nutzungs- & Gerätearten finden Sie unter FIDO/Passkey .

Authentifizierung ist der Vorgang, eine behauptete Identität, beispielsweise eine Person in Bezug zu einer elektronischen Kennung nachzuweisen. Meistens erfolgt der Nachweis bei IT-Systemen mittels Prüfung einer Benutzerkennung und eines Passwortes. Stärkere Sicherheit bietet die Authentifizierung mit asymmetrischen kryptographischen Verfahren oder biometrischen Merkmalen (zum Beispiel Fingerabdruck).

Die Sicherheit von authega beruht unter anderem auf der Verwendung von kryptographischen Schlüsselpaaren und ggf. den dazugehörigen digitalen Zertifikaten. Insbesondere die privaten Schlüssel werden zugriffsgeschützt in einer Datei gespeichert aufbewahrt. Das Medium, auf dem sich diese Schlüssel befinden, wird Authentifizierungsmittel genannt. Es kann folgendes Authentifizierungsmittel bei authega verwendet werden:

  • Zertifikatsdatei

Unter Authentizität wird allgemein die Echtheit (Unverfälschtheit) und Glaubwürdigkeit von Daten oder einer Partnerinstanz verstanden. Die Authentizität kann durch kryptographische Verfahren, z. B. über asymmetrische kryptographische Verfahren gesichert und überprüft werden.

B

Ein Benutzerkonto ist eine Zugangsberechtigung zu einem zugangsbeschränkten Dienst oder Fachverfahren. Ein Benutzer muss sich beim Einloggen authentifizieren.

Der Benutzername wird beim Hinzufügen eines neuen FIDO-Tokens/Passkeys vom System automatisch festgelegt und kann vom Nutzer nicht geändert werden. Er ist nach dem Schema „authega-lff-id“ aufgebaut. Auch hier steht „lff“ (Landesamt für Finanzen) für die PersonalID Bayern und „id“ für Ihre authega-ID.

Der Benutzername entspricht im FIDO/Passkey-Standard dem sog. Username. Im Gegensatz zum Anzeigenamen wird er z.B. bei Login-Versuchen immer angezeigt.

C

Captchas dienen dem Zweck eine missbräuchliche, automatisierte Nutzung von Funktionen bei authega zu erschweren, indem sie sicherstellen, dass eine Eingabe von einem Menschen stammt.

In der Fachsprache ist ein Computervirus eine nichtselbständige Programmroutine, die sich selbst reproduziert, indem sie sich an andere Software oder Bereiche des Betriebssystems zum Beispiel eines Computers anhängt und, einmal gestartet, vom Anwender nicht kontrollierbare Manipulationen an selbigen vornimmt. Die Idee zu Computerviren leitete sich von dem biologischen Vorbild der Viren ab und gab ihnen ihren Namen. Durch Computerviren kommt es auf einem Computer häufig zur Veränderung oder Verlust von Daten und Programmen sowie zu Störungen des regulären Betriebs.

"Cookies" sind kleine Datensätze, die auf Ihrem Gerät gespeichert und über Ihren Browser verwaltet werden, wenn Sie eine Webseite besuchen. Surfen Sie später noch einmal auf derselben Internetseite, kann die Seite Sie wiedererkennen.

Es gibt verschiedene Arten von Cookies:

E

Die elektronische Identität ist ein für ein System nachvollziehbarer Name, dem es eine Person oder ein anderes System zuordnen kann. Oftmals wird dieser Name als Benutzerkennung oder Account bezeichnet. Einer elektronischen Identität sind auf einem System Rechte zugewiesen, welche die Nutzung des Systems eingrenzen. Dies soll sicherstellen, dass der Anwender wirklich der legitime Nutzer der entsprechenden Identität ist. Dies geschieht durch einen sicheren Authentifizierungsprozess.

Eine elektronische Signatur ist ein technisches Verfahren. Mit der elektronischen Signatur kann der Urheber von Daten ermittelt werden. Sie kann auf dem elektronischen Weg für eine Willenserklärung oder zur Authentifizierung verwendet werden. Zur Erzeugung und Überprüfung von elektronischen Signaturen können asymmetrischen kryptographischen Verfahren verwendet werden.
Bei authega wird die elektronische Signatur bisher fast nur zur Authentifizierung verwendet (Authentifizierungs-Signatur).

Unter elektronischem Missbrauch versteht man den unberechtigten Zugriff auf Systeme inklusive der unberechtigten Nutzung der Systeme für eigene Zwecke. Es ist zu beachten, dass in Deutschland bereits der unberechtigte Zugriff auf einen fremden Computer strafbar ist. Gesetze über den Computermissbrauch sind in der EU nicht einheitlich geregelt.

F

Zwei unterschiedliche Nutzungsarten

FIDO steht für Fast IDentity Online und ist ein international anerkannter Standard, mit dem es möglich ist, sich bei Online-Diensten ohne Passwort, aber dennoch sehr sicher anzumelden. Passkey baut auf FIDO auf und ermöglicht durch Nutzung einer Cloud-Synchronisation eine geräte- und systemübergreifende passwortlose Anmeldung. Eine Passkey-Nutzung ist aber auch ohne Cloud-Synchronisation möglich. Dementsprechend kann man grundsätzlich zwischen zwei Arten der Nutzung eines FIDO/Passkey Logins unterscheiden:

  • Entweder auf die "klassische" Art (FIDO), so wie der FIDO-Login ursprünglich konzipiert wurde: Hierfür benötigt man einen sogenannten Security-Token als Authenticator, also z.B. einen Hardware-Stick, in dem geheime Schlüssel sicher und vor Unbefugten geschützt gespeichert werden, z.B. einen YubiKey, Nitrokey oder SoloKey. Damit ein Security-Token bei authega genutzt werden kann, muss er FIDO2-fähig sein. Dieser Security-Token beherbergt das für einen Login nötige geheime Schlüsselmaterial und wird z.B. per USB, Bluetooth oder NFC mit dem System verbunden, auf dem man sich anmelden will. Bei dieser Art der Nutzung bleiben die geheimen Schlüssel immer auf dem Authenticator des Nutzers und somit in seiner eigenen und alleinigen Hoheit. Daher muss der Nutzer hier auch selbst für den Fall vorsorgen, dass der Authenticator nicht mehr genutzt werden kann (z.B. Verlust/Zerstörung), indem z.B. bei wichtigen Online-Diensten als alternative Login-Möglichkeit ein zweiter Authenticator hinzugefügt oder rechtzeitig sichergestellt wird, dass auch eine andere Login-Art genutzt werden kann (bei authega z.B. der Login mit Zertifikatsdatei oder Mobilgerät).
  • Oder mit einem Passkey. Hier kann man zwischen zwei Arten von Passkeys unterscheiden:
    • Passkeys mit Cloud-Synchronisation: Hierbei wird als Authenticator typischerweise ein Mobilgerät (z.B. ein Smartphone) verwendet, das beim Hinzufügen bzw. beim Login am PC per Bluetooth (mittels Scannen eines QR-Codes) gekoppelt wird. In diesem Fall wird das geheime Schlüsselmaterial auf dem Mobilgerät erzeugt, über eine verschlüsselte Synchronisation in die Cloud des jeweiligen Herstellers übertragen und dort verschlüsselt gespeichert, i.d.R. abgesichert mit der vom Nutzer am Mobilgerät gesetzten Bildschirmsperre (z.B. PIN oder Finger-/Gesichtserkennung). Bei dieser Nutzungsart werden die geheimen Schlüssel also in die Hersteller-Cloud übertragen und befinden sich nicht mehr in der (alleinigen) Hoheit des Nutzers. Diese Art der Nutzung beinhaltet somit einerseits eine gewisse Abhängigkeit vom jeweils genutzten Anbieter, bietet typischerweise aber auch den Vorteil, dass bei Verlust/Zerstörung des verwendeten Geräts ein Wiederherstellungs-Mechanismus genutzt werden kann, um wichtige Online-Dienste auch in solchen Fällen weiter nutzen zu können. Typische Beispiele hierfür sind: Die Verwendung der Passwörter App i.V.m. mit dem iCloud-Schlüsselbund auf Apple-Geräten oder die Verwendung des in Google Chrome integrierten Passwortmanagers i.V.m. aktivierter Synchronisation über das Google Konto, z.B. auf Android oder Windows Geräten.
    • Passkeys ohne Cloud-Synchronisation: Bei dieser Art des Logins wird auch ein Passkey erzeugt, allerdings das geheime Schlüsselmaterial nicht in eine Cloud übertragen. Ansonsten funktioniert diese Login-Art ganz ähnlich wie die bisher beschriebenen Varianten. Eine Möglichkeit, wie man derzeit einen Passkey-Login ohne Cloud-Synchronisation nutzen kann, ist Windows Hello: Hierbei legt man auf einem aktuellen Windows PC z.B. eine PIN für den Windows-Login fest (alternativ ist auch Finger-/Gesichtserkennung möglich). Nachdem Windows Hello dementsprechend aktiviert wurde, kann es auch für die Passkey-Erzeugung und anschließend für Passkey-Logins bei Webdiensten genutzt werden, wobei der zweite Faktor die Windows Hello PIN (bzw. Finger-/Gesichtserkennung) ist. Hierbei bleibt das geheime Schlüsselmaterial derzeit in einem besonders gesicherten Speicherchip des PCs, dem sogenannten Trusted Platform Module (TPM). Auch bei dieser Art der Nutzung bleiben die geheimen Schlüssel also aktuell in der eigenen Hoheit des Nutzers und werden nicht in eine Cloud übertragen. Die Möglichkeit einer Cloud-Synchronisation ist jedoch für einen späteren Zeitpunkt vom Hersteller angekündigt.

Das bayerische Landesamt für Sicherheit in der Informationstechnik (LSI) empfiehlt ausdrücklich die Verwendung von Hardware-basierten Security-Token (FIDO), kommt in einer Risikoeinschätzung aber auch zu dem Schluss, dass die Nutzung von Cloud-synchronisierten Passkeys grundsätzlich vertretbar ist. In dieser Einschätzung weist das LSI auf folgende Punkte hin, die bei einer Entscheidung für/gegen eine Cloud-synchronisierte Passkey-Nutzung zu berücksichtigen sind:

  • Die Passkeys können bei unzureichenden Sicherheitsmaßnahmen des Cloud-Anbieters aus der Cloud abfließen.
  • Die Passkeys können vom Cloud-Anbieter (un)absichtlich gelöscht werden. Dabei ist wichtig zu erwägen, dass viele Cloud-Anbieter einem anderen Rechtsraum unterliegen.
  • Ein Angreifer kann bei Übernahme des Kontos, mit dem der Nutzer auf die Anbieter-Cloud zugreift, auf sämtliche synchronisierte Passkeys zugreifen, sofern keine weiteren Sicherheitsmaßnahmen zum Schutz der Passkeys ergriffen wurden.

Vorteile und weitere wichtige Hinweise

Ein ganz wesentlicher Vorteil eines Logins mit FIDO/Passkey ist, dass dieser als Phishing-resistent gilt, da ein versehentliches Anmelden mit einem FIDO-Token/Passkey an einer gefälschten Webseite technisch ausgeschlossen ist (Bindung des Tokens/Passkeys bei dessen Erzeugung an die korrekte Domain des genutzten Online-Dienstes).

Für die Nutzung eines FIDO/Passkey Logins bei authega muss ein FIDO2-fähiger Authenticator verwendet werden, der über einen zweiten Faktor, also z.B. eine PIN oder ein biometrisches Merkmal (Finger-/Gesichtserkennung) abgesichert ist. Hierbei ist es unerheblich, für welche der o.g. Arten der Nutzung (FIDO oder Passkey mit/ohne Cloud-Synchronisation) man sich entscheidet: Ohne eine Absicherung des Authenticators mit einem zweiten Faktor darf der FIDO/Passkey Login bei authega nicht genutzt werden.

Insb. im Falle eines Verlusts des verwendeten Authenticators ist es daher sehr wichtig, dass dieser zweite Faktor nur vom legitimen Nutzer selbst eingegeben werden kann, weshalb z.B. eine vom Nutzer selbst gesetzte PIN so gesetzt sein muss, dass sie von Anderen nicht einfach erraten werden kann.

Ist ein bei authega hinzugefügter Authenticator abhanden gekommen, sollte dieser umgehend aus dem zugehörigen authega-Konto gelöscht werden. Das kann der Nutzer nach dem Login in authega selbst tun: unter Mein Benutzerkonto > FIDO/Passkeys verwalten kann jeder hinzugefügte FIDO-Token/Passkey auch wieder gelöscht werden. Nach erfolgter Löschung ist es nicht mehr möglich, sich mit diesem Token/Passkey bei authega einzuloggen (s. dazu auch die FAQ Wie lösche ich FIDO-Token/Passkeys aus meinem authega Konto? ). Steht zu befürchten, dass durch das Abhandenkommen des Authenticators das komplette authega-Konto sowie ggf. auch die angeschlossenen Fachverfahren und darin enthaltenen Daten kompromittiert sind, so sollte das authega-Konto komplett gelöscht werden: s. hierzu die FAQ Kann ich ein Benutzerkonto auch wieder löschen?

Siehe Anzeigename (FIDO/Passkey)

Siehe Authenticator (FIDO/Passkey)

Siehe Benutzername (FIDO/Passkey)

H

Als Hacker werden Personen bezeichnet, die in fremde Netzwerke, Datenbanken oder Festplatten eindringen, um dort enthaltene Daten zu stehlen oder um an persönliche Informationen zu kommen. Sie dringen zumeist ohne Wissen des Opfers ein, um Schlüsselmittel, Kontonummern oder Kreditkartennummern in Erfahrung zu bringen.

Als Hijacking wird die unerlaubte Übernahme einer Kommunikationsverbindung zwischen einem Computer und einem Server bezeichnet. Damit ein Angreifer eine Kommunikationsverbindung übernehmen kann, hört er sämtliche Daten einer fremden Onlinesitzung ab. Mithilfe der gesammelten Daten erhält der Angreifer gegebenenfalls genug Informationen, um eine Synchronisation seines Computers mit dem in Frage kommenden Server zu erreichen. Der Server merkt dabei nicht, dass er mit einem anderen, als dem bekannten Computer, der die Kommunikationsverbindung aufgebaut hat, verbunden ist. Durch Hijacking kann es möglich sein, authentifizierte Kommunikationsverbindungen zu übernehmen, wenn die Kommunikationsverbindung nicht ausreichend abgesichert ist.

Der Begriff Hardware-Sicherheitsmodul (HSM) oder im englischen Hardware Security Module bezeichnet ein (internes oder externes) Peripheriegerät für die effiziente und sichere Ausführung kryptographischer Operationen. Mit diesem wird ermöglicht, die Vertrauenswürdigkeit und die Integrität von Daten und den damit verbundenen Informationen in geschäftskritischen IT-Systemen sicherzustellen. Um die Vertrauenswürdigkeit zu gewährleisten, müssen die zum Einsatz kommenden kryptographischen Schlüssel sowohl softwaretechnisch als auch gegen physikalische Angriffe oder Seitenkanalangriffe geschützt werden.

Eine HTML-Seite ist eine Internet-Seite, die mit der Hyper-Text-Markup-Language entwickelt beziehungsweise geschrieben wurde. Traditionell wird zur Herstellung von Internet-Seiten HTML benutzt.

HTTPS ist die Sicherheitsvariante des Internet-Protokolls HTTP (Hyper-Text-Transfer-Protokoll) zur Übertragung von Informationen über das Internet. Es bindet das Sicherheitsprotokoll SSL ein, welches Verschlüsselungs- und Authentifizierungsmechanismen für eine Kommunikationsverbindung über Internet bietet.

Stellt ein kryptographisches Verfahren dar, welches symmetrische und asymmetrische Verfahren kombiniert. Zumeist werden dabei symmetrische Verfahren als Verschlüsselungsmechanismen eingesetzt und die asymmetrischen Verfahren als Schlüsselaustauschmethoden verwendet (Verschlüsselung der symmetrischen Schlüssel mit dem öffentlichen Schlüssel des Empfängers).

I

Integrität ist auf dem Gebiet der Informationssicherheit ein Schutzziel, das besagt, dass Daten über einen bestimmten Zeitraum vollständig und unverändert sein sollen. Eine Veränderung könnte absichtlich, unabsichtlich oder durch einen technischen Fehler auftreten. Integrität umfasst also Datensicherheit (Schutz vor Verlust) und Fälschungssicherheit (Schutz vor vorsätzlicher Veränderung).

Die Integrität von Daten ist gewährleistet, wenn die Daten vom angegebenen Absender stammen und vollständig sowie unverändert an den Empfänger übertragen worden sind. 

steht für Information Technology Security Evaluation Criteria. Die Evaluierung nach ITSec beinhaltet die Prüfung und Bewertung der Sicherheitseigenschaften eines informationstechnischen Produkts nach festgelegten Sicherheitskriterien, angeleitet durch ein Evaluationshandbuch. Sie geht jedoch über eine einfache Konformitätsprüfung zwischen einem Benutzerhandbuch und tatsächlichem Verhalten des Produkts weit hinaus.

K

Kryptoboxen dienen in der Regel einer generellen Verschlüsselung von Kommunikationsverbindungen beziehungsweise einer Leitungsverschlüsselung. Alle elektronischen Informationen, die über eine Kommunikationsverbindung gesendet werden, werden auf der einen Seite in einem Knotenpunkt durch eine Kryptobox verschlüsselt und auf der anderen Seite wieder in einem Knotenpunkt durch eine andere Kryptobox entschlüsselt. Im Allgemeinen basiert die Sicherheit der Leitungsverschlüsslung auf starken symmetrischen kryptographischen Verfahren. Alle elektronischen Informationen werden dabei mit dem gleichen symmetrischen Schlüssel verschlüsselt, der nur den relevanten Kryptoboxen bekannt ist.

Ein Kryptochip ist ein hochleistungsfähiger Prozessor, der kryptographische Operationen beschleunigt und sicher durchführen kann. Er ermöglicht die sichere Speicherung von persönlichen Schlüsselmitteln, um diese vor unberechtigtem Zugriff zu schützen. Zum Beispiel ermöglicht er im Rahmen der asymmetrischen kryptographischen Verfahren die individuelle sichere Speicherung von privaten Schlüsseln. Als Ausprägung kann ein Kryptochip in Chipkarten oder in Computersystemen verwendet werden.

Originäres Ziel der Kryptografie ist das Unkenntlichmachen von Daten für unberechtigte Dritte durch Anwenden von Verschlüsselungsmethoden , beziehungsweise die Lehre von der Geheimhaltung von Informationen. Die Verschlüsselung gilt als umso stärker, je mehr theoretischer beziehungsweise mathematischer Aufwand betrieben werden müsste, um die Rekonstruktion der Daten durch einen Unbefugten durchzuführen. Zur Kryptographie zählen auch Methoden der Authentifizierung , der elektronischen Signatur und des Authentizitätsnachweis.

Kryptomittel bezeichnen kryptographische Informationen, die als Eingabe den kryptographischen Verfahren zur Verschlüsselung , Authentifizierung und elektronischen Signatur dienen. Zumeist sind dies individuell von einer Person oder einem System geheim gehaltene Informationen, wie zum Beispiel ein Passwort, eine PIN oder auch der private Schlüssel eines asymmetrischen Schlüsselpaares. Es können auch einzigartige, biometrische Merkmale einer Person sein, wie zum Beispiel ein Fingerabdruck, Eigenschaften der Stimme oder der Augen. Es gibt auch öffentlich bekannte Schlüsselmittel von Personen oder Systemen, die zum Beispiel der Prüfung elektronischer Signaturen beziehungsweise Authentifizierung dienen, wie zum Beispiel der öffentliche Schlüssel eines asymmetrischen Schlüsselpaares.

M

Mit Malware bezeichnet man jegliche Art bösartiger Software wie Computerviren, Trojaner, Würmer, etc. Sie enthält für den Anwender nicht erkennbare Funktionen, mit denen z.B. Daten gelöscht, verändert oder kopiert werden können. Außerdem können Daten wie Passwörter ausgespäht werden.

Masquerading bezeichnet den Sachverhalt, wenn eine Person oder ein System im elektronischen Verkehr eine falsche Identität vortäuscht beziehungsweise es nicht die Identität ist, für die es sich auf elektronischem Weg ausgibt. Unter anderem durch die Ausnutzung von Namensähnlichkeiten oder durch verdeckte elektronische Umleitungen könnte sich zum Beispiel ohne angemessene Sicherheitsvorkehrungen ein fremder Server mit der Internet-Seite eines vertrauten Servers auf einem Computer melden, welche der Anwender aufgerufen hat. Damit könnte der fremde Server zum Beispiel bei einem Loginversuch des Anwenders ein Passwort ausspionieren oder Dateien entgegen nehmen, die nicht für ihn bestimmt sind, beziehungsweise Daten präsentieren, die nicht vom Original-Server kommen.

Eine Beurteilungsmöglichkeit für die Stärke kryptographischer Verschlüsselungs- und Signaturverfahren ist die Länge der innerhalb der Verfahren einsetzbaren, kryptographischen Schlüssel in Bits gemessen. Je höher die Anzahl der Bits der eingesetzten Schlüssel, umso stärker wird das kryptographische Verfahren beurteilt. Die Mindestschlüssellänge bezeichnet die minimal einzusetzende Anzahl an Bits eines kryptographischen Schlüssels, damit das entsprechende Verfahren noch als stark anzusehen ist.

O

Das ist der bei asymmetrischen Verfahren verwendete kryptographische Schlüssel, der vom Eigentümer oder dem ausstellenden Trustcenter öffentlich zugänglich gemacht wird, zum Beispiel über einen Verzeichnisdienst aber auch per Diskette, Internetdownload oder per E-Mail. Mit Hilfe eines von einem Trustcenter ausgestellten und entsprechend elektronisch signierten Zertifikats wird der öffentliche Schlüssel offiziell beglaubigt beziehungsweise zu einer identifizierten Person beziehungsweise einem identifizierten System als zweifelsfrei zugehörig ausgewiesen. Der öffentliche Schlüssel dient der Prüfung elektronischer Signaturen des Eigentümers oder der Verschlüsselung elektronischer Informationen, die nur der Eigentümer mit seinem zugehörigen, privaten Schlüssel entschlüsseln kann.

P

Siehe  FIDO/Passkey

Das Passwort ist Ihre persönliche Identifikationskomponente, die zu der erzeugten Zertifikatsdatei gehört und ohne die eine Nutzung Ihres authega-Zugangs nicht möglich ist. Es wird während des Registrierungsvorgangs von Ihnen selbst gemäß folgender Anforderungen festgelegt:

Das Passwort kann 15 bis 128 Zeichen lang sein und muss aus einer Kombination von mindestens 3 der folgenden 4 Zeichengruppen bestehen: Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen.

Die folgende Tabelle zeigt alle Zeichen, die für ein Passwort bei authega verwendet werden können:

abcdefghijklmnopqrstuvwxyz
ABCDEFGHIJKLMNOPQRSTUVWXYZ
0123456789äöüßÄÖÜ!"#$%&'()
*+-./:;<=>?@[]\^_`{}|~

Bitte beachten Sie, dass das Passwort eine ausreichende Komplexität aufweist, so dass es von anderen nicht einfach erraten werden kann. So ist z. B. der Name des Haustiers kein sicheres Passwort.

Die Auswahl des Passworts beeinflusst die Sicherheit Ihrer authega-Zertifikatsdatei und damit Ihres Zugangs zum jeweiligen Fachportal ganz entscheidend. Dies gilt insbesondere, da die Zertifikatsdatei unbemerkt kopiert werden könnte (z. B. bei Phishing) und dann das vergebene Passwort alleine den Sicherheitsanker darstellt.

Achten Sie bitte darauf, dass das Passwort weder verloren geht noch anderen bekannt ist, da es nicht zurückgesetzt oder neu vergeben werden kann. Die Authentifizierung bei authega und der Zugriff auf die Fachverfahren ist ausschließlich mit der gültigen Zertifikatsdatei und der Kenntnis des zugehörigen Passworts möglich.

Sollte der Verdacht bestehen, dass Ihre Zertifikatsdatei unbefugt kopiert wurde, sollten Sie sicherheitshalber die Funktion Mein Benutzerkonto > Passwort ändern oder Mein Benutzerkonto > Benutzerkonto verlängern nutzen. Dadurch erhalten Sie automatisch eine neue Zertifikatsdatei mit einem neuen Passwort. Ihre bisherige Zertifikatsdatei wird mit der Verlängerung des Benutzerkontos (ebenso wie bei einer Passwortänderung) ungültig. Weitere Informationen zu diesem Thema finden Sie unter Passwörter des Bundesamts für Sicherheit in der Informationstechnik.

Eine Personal Firewall ist eine Sicherheitssoftware für den persönlichen Computer, um den Zugriffsschutz für Unberechtigte aus dem Internet verstärkt abzusichern. Sie soll den Computer vor Angriffen von außen schützen und auch verhindern, dass bestimmte Programme, zum Beispiel Computerviren , Kontakt vom Computer zum Internet herstellen. Dazu kontrolliert sie alle Verbindungen in andere Netzwerke und überprüft sowohl die Anfragen ins Internet als auch die Daten, die zum Computer kommen.

Phishing ist ein vorsätzlicher Angriff eines Hackers mit dem Ziel, persönliche Informationen wie Kreditkartennummern, Passwörter oder PIN-Nummern des Opfers zu erfahren. Das Opfer erhält zum Beispiel eine seriös erscheinende E-Mail oder Internet-Seite von einem scheinbar bekannten Absender wie einer Behörde, Bank oder einem Kreditinstitut. Darin wird das Opfer aufgefordert, eine Internet-Seite zu besuchen und dort aufgrund eines nötigen Abgleichs oder einer Überprüfung oder dergleichen, die geheimen, persönlichen Informationen einzugeben. Da diese Internet-Seite gefälscht ist, erhält der Hacker Zugriff auf die persönlichen Informationen und kann diese für eigene Interessen nutzen.
Phishing ist eine Wortschöpfung aus "Password" und "fishing".

Defacto Standard der Firma RSA Security, welcher das Format für die Speicherung und den Transport asymmetrischer Schlüsselpaare, entsprechender Zertifikate und weiterer elektronischer Schlüsselmittel definiert.

PKI bedeutet Public-Key-Infrastruktur. Es handelt sich hier um eine Sicherheitsinfrastruktur, die es ermöglicht, in nicht gesicherten Netzen (zum Beispiel Internet) auf der Basis eines von einer vertrauenswürdigen Stelle ausgegebenen Schlüsselpaares (asymmetrische Verschlüsselung) verschlüsselt Daten auszutauschen beziehungsweise Signaturen zu erzeugen und zu prüfen. Weitere Informationen zu asymmetrischer Verschlüsselung beziehungsweise Signaturen finden Sie auf den Seiten des Bundesamt für Sicherheit in der Informationstechnik (BSI).

Plausibilität bezeichnet die syntaktische und semantische beziehungsweise die formale und inhaltliche Korrektheit elektronischer Informationen. Im Rahmen von authega werden zum Beispiel nur plausible Informationen vom Portal an die Fachverfahren weiter geleitet.

Dies ist der bei asymmetrischen Verfahren verwendete kryptographische Schlüssel, auf den nur der Inhaber Zugriff haben darf. Der private Schlüssel dient zur Erzeugung von elektronischen Signaturen (Authentifizierungs-Signaturen) und zur Entschlüsselung von Daten.

PSE steht für Personal Security Environment. Das ist ein persönlicher, elektronischer Sicherheitsbereich, in dem sicherheitsrelevante Daten, wie beispielsweise ein privater Schlüssel , enthalten sind. Zu finden ist ein PSE in der Regel auf einer Chipkarte, kann aber auch als verschlüsselte Datei vorliegen. Der PSE ist durch ein Passwort, eine PIN oder durch biometrische Verfahren (zum Beispiel Fingerabdruck) gesichert.

Q

Qualifizierte Signaturkarten ermöglichen dem Inhaber unter Anderem eine gemäß dem deutschen Signaturgesetz rechtskonforme elektronische Signatur , welche die Verbindlichkeit einer manuellen Unterschrift besitzt. Ein Paar der auf der qualifizierten Signaturkarte enthaltenen Schlüsselpaare sind durch ein von der Regulierungsbehörde für Post und Telekommunikation akkreditiertes lst Trustcenter eindeutig einem Inhaber zugeordnet und werden durch Produkte für qualifizierte Signaturen verarbeitet.

R

Nach seinem Entwickler Ronald L. Rivest benanntes, international anerkanntes Verfahren zur symmetrischen Verschlüsselung , bei dem Schlüssel unterschiedlicher Länge benutzt werden können. RC4 ist im Prinzip ein Pseudozufallsgenerator. Das Verfahren wurde 1987 von Rivest für das Unternehmen RSA Security entwickelt.

Der RSA-Algorithmus ist ein asymmetrisches, kryptographisches Verfahren und eignet sich zur elektronischen Signatur, Authentifizierung, sowie zum Schlüsselaustausch symmetrischer Schlüssel durch asymmetrische Verschlüsselung . Er wurde von Rivest, Shamir und Adleman 1977 entwickelt. Die Sicherheit dieses Algorithmus beruht vom Prinzip her auf der Schwierigkeit der Faktorisierung großer Zahlen.

S

Temporäre Cookies, die nach jeder beendeten Internet-Sitzung automatisch gelöscht werden, werden als Session-Cookies bezeichnet. In der Regel werden diese gelöscht, wenn Sie Ihren Browsers schließen.

Der Sicherheitscheck eines Systems kann formal oder technisch stattfinden. Es wird immer die Konfiguration des Systems hinsichtlich Unwägbarkeiten in Sachen Sicherheit überprüft, aus denen Empfehlungen zur Konfiguration des Computers resultieren. Weitere Informationen zur Sicherheit im Internet finden Sie auf der Seite von "Deutschland sicher im Netz e. V." unter www.sicher-im-netz.de. Es gibt Softwareprodukte bzw. Scanner, welche die Sicherheitskonfiguration eines Computers prüfen. Es gibt hier Produkte, die auf dem Computer direkt ausgeführt werden müssen und Produkte, die über eine sichere Internet-Verbindung die Konfiguration des Computers prüfen.

Bei der Eingabe Ihrer persönlichen Daten müssen Sie auch eine Sicherheitsabfrage aus den vorgegebenen Fragestellungen auswählen und beantworten. Die Sicherheitsabfrage gibt Ihnen später die Möglichkeit, Ihren persönlichen Zugang zu authega zu löschen oder Zertifikate Ihres erworbenen Software-Schlüssels zu widerrufen. Nur Sie und authega wissen, welche Frage und welche Antwort die Löschung Ihres persönlichen Zugangs ermöglicht.

Das Signaturgesetz hat den Zweck, die Rahmenbedingungen für elektronische Signaturen zu schaffen, um dadurch die Rechtssicherheit zum Beispiel über das Internet getätigter Geschäfte zu erhöhen. Dieses Gesetz definiert die folgenden drei Arten von elektronischen Signaturen: Einfache elektronische Signaturen , fortgeschrittene elektronische Signaturen und qualifizierte elektronische Signaturen . Über die Einhaltung und Prüfung der Vorschriften in Bezug auf das Signaturgesetz wacht die Regulierungsbehörde für Telekommunikation und Post (www.bundesnetzagentur.de).

Der Sperrcode wird dem Anwender von authega im Rahmen der Registrierung auf dem Postweg übermittelt. Dieser wird benötigt um den Zugang zu sperren oder zu löschen.

Eine Sperrliste dient einem Trustcenter zur Veröffentlichung von Zertifikaten , die vor Ablauf ihrer Gültigkeit gesperrt wurden. Alle in einer Sperrliste aufgeführten Zertifikate sind ab dem Zeitpunkt der Publikation ungültig.

Secure Socket Layer (SSL) ist ein Protokoll für sicheren Datenaustausch zwischen Computer und Server über das Internet. Computer und Server können sich mit Hilfe asymmetrischer kryptographischer Verfahren gegenseitig authentifizieren und die Daten beim Datenaustausch verschlüsseln. Entwickelt wurde dieses Protokoll von der Firma Netscape.

Bei symmetrischen Verfahren wird derselbe geheime Schlüssel zur Verschlüsselung und Entschlüsselung von Daten verwendet. Soll die verschlüsselte Datei weitergeben werden, muss dem Empfänger der geheime Schlüssel auf einem sicheren Übertragungsweg mitgeteilt werden. Da es neben dem Gespräch unter vier Augen keine wirklich sichere Methode gibt, wird dies zum Problem. Asymmetrische Verfahren lösen das Problem des Schlüsselaustauschs.

T

Bei TESTA (Trans-European Services for Telematics between Administrations) handelt es sich um ein Overlay-Netz der europäischen Verwaltungen. Das primäre Ziel von TESTA besteht darin, den europäischen Einrichtungen, Agenturen und Verwaltungen ein umfassendes, gut strukturiertes Dienstangebot auf der Basis anerkannter Marktstandards bereitzustellen, das einen einfachen und zuverlässigen Austausch von Daten ermöglicht und optimale Interoperabilität gewährleistet. Ein Teil dieses großen Projektes ist TESTA Deutschland, die Zusammenarbeit des Bundes und der Länder im Sinne eines Zusammenschlusses der einzelnen Landesnetze sowie dem direkten Anschluss einzelner Bundesbehörden und des Informationsverbundes Berlin-Bonn (IVBB). Das TESTA-Netz bildet damit das Rückgrat eines "Corporate Network Verwaltung" für die länderübergreifende Kommunikation.

Ein Token ist ein elektronischer Schlüssel. Dieser wird benötigt, um sich bei authega einloggen zu können. 

Neben Cookies, die nach jeder beendeten Sitzung gelöscht werden, gibt es auch solche, die über mehrere Sitzungen hinweg gespeichert werden. Dazu gehören die sogenannten Verfolgungs-Cookies (englisch: Tracking-Cookies).

Eine scheinbar nützliche Datei beziehungsweise Software, die nicht den vermuteten Inhalt hat. Dadurch besteht die Möglichkeit für die Datei beziehungsweise Software, unbemerkt auf einem Computer nicht vorgesehene Funktionen zu installieren. Durch einen solchen Vorgang können beispielsweise Passwörter und andere vertrauliche Daten ausgespäht, verändert, gelöscht oder bei der nächsten Datenübertragung an einen Unberechtigten verschickt werden. Dieser "Datendiebstahl" bleibt ohne dedizierte Sicherheitsmechanismen in der Regel unbemerkt.

Ein Trustcenter ist eine unabhängige, vertrauenswürdige Instanz, die für die Vergabe und die Verwaltung von elektronischen Zertifikaten zuständig ist. Das Trustcenter signiert die von ihm ausgestellten Zertifikate digital und garantiert somit für die Echtheit der Daten auf dem Zertifikat. Da bei asymmetrischen Verfahren alle Teilnehmer dem Trustcenter vertrauen, können sie auf diese Weise auch auf die Gültigkeit der ausgestellten Zertifikate  und damit den öffentlichen Schlüsseln anderer Teilnehmer vertrauen.

V

Unter Verschlüsselung versteht man die Transformation von Daten zu deren sicherer Aufbewahrung oder Übermittlung. Dazu wird mit Hilfe eines kryptographischen Schlüssels der Inhalt um Beispiel eines Dokuments, einer Datei oder E-Mail für unbefugte Dritte unleserlich gemacht. Nur der richtige Empfänger kann die Daten mit Hilfe eines passenden (Entschlüsselungs-) Schlüssels wieder lesen. Es gibt unterschiedliche Verschlüsselungsverfahren wie symmetrische, asymmetrische und hybride Verschlüsselung.

Verzeichnisdienst bezeichnet in diesem Dokument eine nach dem ITU-Standard X.500 hierarchisch (baumförmig) aufgebaute Datenbank, in der von einem geeigneten System aus Informationen abgerufen werden können. Anwendung findet dies zum Beispiel in Adress-, E-Mail- und Zertifikatsverzeichnissen, in denen nach unterschiedlichen Kriterien die gewünschte Information gesucht werden kann. Die Datenbank kann auch über mehrere Server verteilt vorliegen.

Als Virenscanner wird eine Software bezeichnet, die durch das regelmäßige oder permanente Überprüfen von Dateien einen Computer (Computer, Server, ...) in gewissem Maße vor Computerviren schützt. Um optimalen Schutz zu gewährleisten, muss ein Virenscanner durch häufige und regelmäßige Updates der enthaltenen Virendefinitions-Dateien auf einem aktuellen Stand gehalten werden.

Z

Ein elektronischer Ausweis für eine Person, Organisation beziehungsweise System, der von einem Trustcenter ausgestellt und durch dessen elektronische Signatur beglaubigt ist und insbesondere die Zuordnung eines öffentlichen Schlüssels zu einer Person, Organisation beziehungsweise einem System garantiert. In der Regel werden Zertifikate in einem Verzeichnisdienst veröffentlicht. Das authega-Portal stellt persönliche Zertifikate für Personen und nicht-persönliche Zertifikate für Organisationen (auch Organisationszertifikate) aus.

Eine Zertifikatsdatei ist eine Datei mit einem speziellen Format (Endung .pfx). Die Daten sind verschlüsselt und können nur mit einem Passwort zur Benutzung aktiviert werden. Eine Zertifikatsdatei kann auf unterschiedlichen Speichermedien abgelegt und beliebig oft kopiert werden. Sicherungskopien können so einfach z. B. auf Festplatte oder USB-Stick erstellt werden.