Die Lösung für die digitale Signatur
IT Solution GmbH - Neubaugasse 12-14 - A-1070 Wien - +43 (1) 524 3 524
office@itsolution.at

9 Sicherheitsverwaltung

trustDesk basic bietet Ihnen eine umfangreiche Sicherheitsverwaltung an, die es Ihnen erlaubt, zweifelhafte Server und SSL Zertifikate zu blockieren.

9.1 Überprüfung anhand von URLs

Sind in der Sicherheitsverwaltung entsprechende Regeln gesetzt, werden Sie gegebenenfalls vor einem Datenaustausch mit einem Server informiert, wohin die Daten geschickt werden und müssen bestätigen, dass Sie dies zulassen möchten.

Handelt es sich dabei um eine sichere https Verbindung, so können Sie das Serverzertifikat dieses Servers durch einen Klick auf "Serverzertifikat anzeigen" anzeigen.

Wenn Sie in der Auswahlbox "zulassen" auswählen, werden die Daten übertragen, wählen Sie jedoch "ablehnen", wird der Vorgang ohne Daten zu übertragen abgebrochen.

Aktivieren Sie die Checkbox "Für diesen Server immer die oben gewählte Einstellung verwenden" bevor Sie auf "OK" klicken dann wird für diesen Server in Zukunft immer automatisch die gleiche Einstellung angewendet. Dieser Server wird dabei entsprechend in die Liste der blockierten/erlaubten Server aufgenommen.



Hier sehen Sie die Sicherheitsabfrage bei aktivierter Überprüfung von URLs bei http Protokoll



Diese Maske zeigt die Sicherheitsabfrage bei aktivierter Überprüfung von URLs bei https Protokoll

9.2 Erlaubte Server

Diese Liste zeigt jene Server, die Sie mit dem oben beschriebenen Vorgang als „vertrauenswürdig“ definiert haben.



Möchten Sie einen der Server entfernen, markieren Sie ihn mit einem Linksklick und Klicken auf "löschen".

  • Dieser Server wird aus der Liste der erlaubten Server gelöscht
  • Bei der nächsten Kommunikation mit diesem Server findet eine Sicherheitsabfrage statt.

    9.3 Blockierte Server

    Diese Liste zeigt jene Server, die Sie mit dem oben beschriebenen Vorgang als „unsicher“ definiert haben.



  • Möchten Sie einen der Server entfernen, markieren Sie Ihn mit einem Linksklick und Klicken auf "löschen".

  • Dieser Server wird aus der Liste der blockierten Server gelöscht
  • Bei der nächsten Kommunikation mit diesem Server findet eine Sicherheitsabfrage statt.

  • 9.4 SSL Client Authentifizierung

    Wurde im Konfigurationsprogramm von trustDesk basic die Option "SSL Client Authentifizierung erzwingen" aktiviert, werden Sie bei jedem Versuche einer SSL Kommunikation einer Applikation mit dem Security-Layer, informiert und müssen bestätigen, dass Sie dies zulassen möchten.

    Wenn Sie in der Auswahlbox "zulassen" auswählen, findet die Kommunikation statt, wählen Sie jedoch "ablehnen", wird der Vorgang abgebrochen.

    Aktivieren Sie die Checkbox "Für dieses Zertifikat immer die oben gewählte Einstellung verwenden" bevor Sie auf "OK" klicken dann wird für diesen Server in Zukunft immer automatisch die gleiche Einstellung angewendet. Dieses Zertifikat wird dabei entsprechend in die Liste der blockierten/erlaubten SSL Zertifikate aufgenommen.




    9.4.1 Erlaubte SSL Zertifikate


    Diese Liste zeigt jene Zertifikate, die Sie mit dem oben beschriebenen Vorgang als „vertrauenswürdig“ definiert haben.



    Möchten Sie eine Zertifikat entfernen, markieren Sie es mit einem Linksklick und Klick auf löschen.

  • Dieses Zertifikat wird aus der Liste der erlaubten Zertifikat gelöscht
  • Bei der nächsten Kommunikation mit diesem Zertifikat findet eine Sicherheitsabfrage statt.


  • 9.5 Blockierte SSL Zertifikate

    Diese Liste zeigt jene Zertifikate, die Sie mit dem oben beschriebenen Vorgang als „unsicher“ definiert haben.



    Möchten Sie ein Zertifikat entfernen, markieren Sie es mit einem Linksklick und Klick auf löschen.

  • Dieses Zertifikat wird aus der Liste der blockierten Zertifikate gelöscht
  • Bei der nächsten Kommunikation mit diesem Zertifikat findet eine Sicherheitsabfrage statt.


  • 9.6 Falscher Domänenname im SSL Serverzertifikat

    Stimmt der Domänenname im SSL Serverzertifikat nicht mit dem Domänennamen in der Ziel-Url für die Befehlsantwort überein, werden Sie informiert.



    Sie können sich das Serverzertifikat durch Klick auf "Serverzertifikat anzeigen" anzeigen lassen.

    Wenn Sie "Trotzdem senden" betätigen werden die Daten übertragen, wählen Sie jedoch "Ablehnen", wird der Vorgang ohne Datenübertragung abgebrochen.

    Hinweis: Die Verfahrensweise für falsche Domainnamen im SSL Serverzeirtifikat kann im Konfigurationsprogramm voreingestellt werden.


    9.7 Identifikationskette

    Die Identifikationskette enthält Regeln welche zum tragen kommen wenn versucht wird auf die Funktionen der Bürgerkartenumgebung zuzugreifen und zwar abhängig vom Ursprung des versuchten Zugriffes.

    Diese Regeln stellen eine Verknüpfung eingehender Daten mit einer daraus resultierenden Aktion dar. Regeln sind in Ketten organisiert damit sie ihrer Reihenfolge nach bearbeitet werden können. Die erste zutreffende Regel welche gefunden werden konnte wird ausgeführt.



    9.7.1 Authentisierungsklassen

    Der Zugriff auf die Funktionen der Bürgerkartenumgebung wird in folgende Authentisierungsklassen unterteilt:

  • Anonym – Zugriff über TCP/HTTP/TLS/HTTPS mit einsehbarer IP Adresse.

  • Pseudo-anonym – Zugriff über HTTP/HTTPS mit einsehbarer IP Adresse und Authentifizierung mittels Client-Zertifikat oder Übergabe der für die Bürgerkartenfunktion relevanten Parameter der HTTP-Bindung.

  • Certified – Zugriff über TLS-Bindung oder HTTP/HTTPS mit Übergabe der für die Bürgerkartenfunktion relevanten Parameter der HTTP-Bindung welche eine verschlüsselte und authentisierte Verbindung beschreiben.

  • CertifiedGovAgency – Identisch mit der Klasse „Certified“ allerdings mit dem Unterschied das zusätzlich eine der folgenden Bedingungen erfüllt sein muß: der Domain der relevanten URL matched “*.gv.at“ oder das Zertifikat enthält die Kodierung der Behördeneigenschaft mittels OID.

    9.7.2 Regeln der Identifikationskette

    Eine Regel in der Identifikationskette besteht aus folgenden Einträgen:

  • Authentisierungsklasse – Hier wird eine der oben erläuterten Authentisierungsklassen eingetragen. Diese gilt dann als mindestens erforderliche Klasse damit die Regel zutrifft.

  • Identifikation – Hier wird der Typ der Ursprungsquelle des abzuarbeitenden Requests eingetragen. Gültige Werte sind die Namen der Transport-Bindungen TCP, TLS, HTTP, HTTPS, sowie die Data-URL, welche im Rahmen der Befehlskaskadierung Ursprung eines Requests sein kann. Ein einfacher Wildcard '*' der alle Ursprungsquellen matched ist zulässig.

  • Aktion – Gültige Aktionen für Regeln sind Allow, Deny, und Jump:Command. Bei Allow wird der Funktionsaufruf zugelassen und durchgeführt. Deny bedeutet, dass der Funktionsaufruf nicht zugelassen und nicht ausgeführt wird. Jump:Command bedeutet dass die Regelabarbeitung mit der ersten Regel der Befehlskette fortgesetzt wird.

  • Interaktion - Gültige Interaktionen für Regeln sind None, Info, Confirm und ConfirmWithSecret. Bei None muss die auszuführende Aktion vom Bürger nicht bestätigt werden. Info bedeutet, dass der Bürger über die auszuführende Aktion Informiert werden muss. Confim bedeutet dass der Bürger die Erlaubnis für die Ausführung der Aktion bestätigen muss. ConfirmWithSecret bedeutet dass der Bürger die Erlaubnis für die Ausführung der Aktion durch Eingabe eines Passwortes erteilen muss.


  • 9.7.3 Bedienung der Kettenbearbeitungs-Oberfläche

    Die Oberfläche bietet folgende Möglichkeiten:

  • Liste nach oben/unten blättern – mit Hilfe der am rechten Fensterrand befindlichen Pfeiltasten können Sie in der Liste der Regeln nach oben oder unten blättern.
  • Regel entfernen - Um eine Regel zu entfernen markieren Sie bitte die gewünschte Regel und klicken dann auf den Button „Entfernen“.
  • Regel bearbeiten - Um eine Regel zu bearbeiten markieren Sie bitte die gewünschte Regel und klicken dann auf den Button "Bearbeiten".
  • Neue Regel erstellen - Um eine neue Regel zu erstellen klicken Sie bitte auf den Button „Neu …“


  • 9.7.4 Erstellen einer neuen Regel

    Zum erstellen einer neuen Regel wird ein neues Fenster geöffnet.



    Hier können Sie in drei verschiedenen Auswahlboxen die gewünschte Authentisierungsklasse, Aktion und Interaktion festlegen.

    Ein Textfeld erlaubt es Ihnen die gewünschte Identifikation einzugeben.

    Haben Sie die nötigen Einstellungen für die neue Regel getätigt so können Sie diese in die Liste übernehmen indem Sie auf den Button „Übernehmen“ klicken. Möchten Sie die Regel statt dessen wieder verwerfen klicken Sie einfach auf den Button „Abbrechen“.

    9.8 Befehlskette

    Die Befehlskette enthält Regeln welche zum tragen kommen wenn versucht wird auf die Funktionen der Bürgerkartenumgebung zuzugreifen und zwar abhängig von dem im Request enthaltenen Befehl.

    Diese Regeln stellen eine Verknüpfung eingehender Daten mit einer daraus resultierenden Aktion dar. Regeln sind in Ketten organisiert damit sie ihrer Reihenfolge nach bearbeitet werden können. Die erste zutreffende Regel welche gefunden werden konnte wird ausgeführt.



    9.8.1 Authentisierungsklassen

    Der Zugriff auf die Funktionen der Bürgerkartenumgebung wird in folgende Authentisierungsklassen unterteilt:

  • Anonym – Zugriff über TCP/HTTP/TLS/HTTPS mit einsehbarer IP Adresse.

  • Pseudo-anonym – Zugriff über HTTP/HTTPS mit einsehbarer IP Adresse und Authentifizierung mittels Client-Zertifikat oder Übergabe der für die Bürgerkartenfunktion relevanten Parameter der HTTP-Bindung.

  • Certified – Zugriff über TLS-Bindung oder HTTP/HTTPS mit Übergabe der für die Bürgerkartenfunktion relevanten Parameter der HTTP-Bindung welche eine verschlüsselte und authentisierte Verbindung beschreiben.

  • CertifiedGovAgency – Identisch mit der Klasse „Certified“ allerdings mit dem Unterschied das zusätzlich eine der folgenden Bedingungen erfüllt sein muß: der Domain der relevanten URL matched “*.gv.at“ oder das Zertifikat enthält die Kodierung der Behördeneigenschaft mittels OID.


  • 9.8.2 Regeln der Befehlskette

    Eine Regel in der Befehlskette besteht aus folgenden Einträgen:

  • Authentisierungsklasse – Hier wird eine der oben erläuterten Authentisierungsklassen eingetragen. Diese gilt dann als mindestens erforderliche Klasse damit die Regel zutrifft.

  • Befehl – Hier wird der Name des Security-Layer Requests (z.B. InfoboxReadRequest), ein Teil des Namens mit anschließender Wildcard '*' (z.B. "Infobox*" für alle Infobox-Requests), oder Wildcard '*' für keine nähere Differenzierung ("*" = alle Requests) angegeben.

  • Identifikation – Hier wird der Typ der Ursprungsquelle des abzuarbeitenden Requests eingetragen. Gültige Werte sind die Namen der Transport-Bindungen TCP, TLS, HTTP, HTTPS, sowie die Data-URL, welche im Rahmen der Befehlskaskadierung Ursprung eines Requests sein kann. Ein einfacher Wildcard '*' der alle Ursprungsquellen matched ist zulässig.

  • Aktion – Gültige Aktionen für Regeln sind Allow und Deny. Bei Allow wird der Funktionsaufruf zugelassen und durchgeführt. Deny bedeutet, dass der Funktionsaufruf nicht zugelassen und nicht ausgeführt wird.

  • Interaktion - Gültige Interaktionen für Regeln sind None, Info, Confirm und ConfirmWithSecret. Bei None muss die auszuführende Aktion vom Bürger nicht bestätigt werden. Info bedeutet, dass der Bürger über die auszuführende Aktion Informiert werden muss. Confim bedeutet dass der Bürger die Erlaubnis für die Ausführung der Aktion bestätigen muss. ConfirmWithSecret bedeutet dass der Bürger die Erlaubnis für die Ausführung der Aktion durch Eingabe eines Passwortes erteilen muss.

  • ParamName – Hier wird der Name eines Parameters angegeben.

  • ParamValue – Die Parameter sind abhängig vom jeweiligen Security-Layer Request. Bei Infobox-Befehlen ist der Parameter der Name der Infobox, bei Befehlen die auf Schlüssel zugreifen, der Name der Keybox. Beim Auslesen der Infoboxen IdenitityLink und Mandates ist ein zusätzlicher Parameter erforderlich welcher angibt, ob die enthaltenen Stammzahlen natürlicher Personen im Klartext (plain-text SZ) übermittelt werden würden. Die Verwendung einer einfachen Wildcard '*' die alle Infoboxen und Keyboxen matched ist zulässig.


  • 9.8.3 Bedienung der Kettenbearbeitungs-Oberfläche

    Die Oberfläche bietet folgende Möglichkeiten:

  • Liste nach oben/unten blättern – mit Hilfe der am rechten Fensterrand befindlichen Pfeiltasten können Sie in der Liste der Regeln nach oben oder unten blättern.
  • Regel entfernen – Um eine Regel zu entfernen markieren Sie bitte die gewünschte Regel mit einem Linksklick und klicken dann auf den Button „Entfernen“.
  • Regel bearbeiten - Um eine Regel zu bearbeiten markieren Sie bitte die gewünschte Regel mit einem Linksklick und klicken dann auf den Button "Bearbeiten".
  • Neue Regel erstellen – Um eine neue Regel zu erstellen klicken Sie bitte auf den Button „Neu …“


  • 9.8.4 Erstellen einer neuen Regel

    Zum erstellen einer neuen Regel wird ein neues Fenster geöffnet.



    Hier können Sie in drei verschiedenen Auswahlboxen die gewünschte Authentisierungsklasse, Aktion und Interaktion festlegen.

    Zwei verschiedene Textfelder erlaubt es Ihnen die gewünschte Identifikation und den gewünschten Befehl einzugeben.

    In der Mitte des Fensters sehen Sie die Liste der Befehls Parameter.

    Um einen Parameter zu entfernen markieren Sie bitte den gewünschten Parameter mit einem Linksklick und klicken dann auf den Button „Entfernen“.

    Um einen neuen Parameter hinzuzufügen klicken Sie bitte auf den Button „Hinzufügen“. Daraufhin erscheint ein kleines Fenster mit zwei Textfeldern in denen Sie den Namen und den Wert des jeweiligen Parameters eintragen können.



    Haben Sie die nötigen Einstellungen für die neue Regel getätigt so können Sie diese in die Liste übernehmen indem Sie auf den Button „Übernehmen“ klicken. Möchten Sie die Regel statt dessen wieder verwerfen klicken Sie einfach auf den Button „Abbrechen“.

    Zurück zu e-Government Funktionen

    Zurück zum Index