Page tree
DE | FRIT
Skip to end of metadata
Go to start of metadata

Sicherheit im Umgang mit Signaturen

Grundsätzlich sollten auch beim Umgang mit elektronischen Signaturen und dem LocalSigner die allgemeinen Verhaltensregeln beachtet werden:

Allgemeine Verhaltensregeln

  • Es sollten jederzeit sämtliche vom Hersteller empfohlenen Sicherheitsupdates für das Betriebssystem eingespielt werden.
  • Ein aktuelles Virenschutzprogramm sollte installiert sein und die Virendatenbanken sollten mindestens tagesaktuell sein.
  • Die Firewall des Betriebssystems sollte aktiviert sein.
  • Von allen verwendeten Anwendungen (Adobe Reader, LocalSigner) sollten die neuesten Versionen installiert sein.
  • Die SuisseID Karte / der SuisseID Stick sollte vom Rechner entfernt werden, wenn längere Zeit keine Signaturen angebracht werden. In jedem Fall sollte der Stick/die Karte bei längerer Abwesenheit (Mittagspause, Nacht) entfernt und weggeschlossen werden.
  • Mit dem Arbeitsrechner sollte nicht auf dubiosen Seiten (Gratisdownloads, Lockvogelangebote) gesurft werden, es sollten keine Tauschprogramme benutzt werden.
  • Es sollten keine Mails unbekannter Herkunft geöffnet werden oder Links in solchen Mails angeklickt werden.
  • Es sollte für jedes System ein eigenes, unterschiedliches Passwort verwendet werden.
  • Passwörter sollten sicher sein. 
  • Passwörter sollten in einem sicheren (passwortgeschützten und verschlüsseltem) Passwortsafe aufbewahrt werden.
  • Der Administrator (Root) Account des Betriebsystems sollte nicht für die normale Arbeit verwendet werden.
  • Die Warnungen von LocalSigner betreffend aktiver Elemente in PDFs sollte beachtet werden.

Mögliche Gefahren

  • Durch Einschleusen von Schadsoftware (Keylogger) kann es einem Angreifer gelingen, das SuisseID Passwort zu erspähen.
     

    Gegenmassnahmen

    • Die Einhaltung der obigen Verhaltensregeln minimiert diese Gefahr.
    • Die Verwendung eine Klasse-2-Lesers verhindert, dass ein Angreifer das Passwort auf diesem Weg (mittels Schadsoftware) ausspähen kann. Ob die Anbieter der SuisseID Klasse-2-Leser unterstützen werden, ist nicht bekannt.
  • Durch Einschleusen von Schadsoftware (z.B. Remote USB Treiber) kann die SuisseID von einem Angreifer zum Signieren von Dokumenten missbraucht werden, sofern er im Besitz des PIN (über Keylogger, Social Engineering oder andere Techniken) ist.
     

    Gegenmassnahmen

    • Die Einhaltung der obigen Verhaltensregeln minimiert diese Gefahr.