Code-Lebensdauer
120Sekunden
Nummer
BP-AT-003
Maßstab
1 : 1
Datum
2026-05-25
Rev.
A
Werkstatt 4notify · eGovernmentFreigegeben
Bauplan BP-AT-003 von BP-AT-008 · eGovernment
SMSE-MailWebhook
ID Austria & Handysignatur als zweiter Faktor
Migration der Handysignatur auf ID Austria, FinanzOnline-Integration und Cross-Channel-2FA-Flow
§ ADas Problem
Viele Anwendungen haben den Übergang von Handysignatur zu ID Austria nur halbherzig vollzogen — die UI nennt noch ’Handysignatur', die SMS-Texte verweisen auf Apps, die nicht mehr existieren, und Audit-Trails nutzen veraltete Feldnamen. Für regulierte Branchen (Banken nach EBA-Vorgaben, Versicherungen nach FMA-Aufsicht, Steuerberatung nach WT-Verordnung) ist das ein Compliance-Risiko: bei einer Prüfung durch FMA oder DSB werden inkonsistente 2FA-Logs als Schwachstelle markiert.
§ BHauptansicht
ID Austria ist seit Dezember 2023 der einheitliche elektronische Identitätsnachweis in Österreich. Es hat die seit 2009 etablierte Handysignatur abgelöst — bestehende Handysignaturen wurden bis 5. Dezember 2023 auf ID Austria migriert oder deaktiviert. Für Anwendungen, die Benachrichtigungen rund um sensible Identitätsereignisse verschicken (FinanzOnline-Login, USP-Authentifizierung, oesterreich.gv.at-Anmeldung, ELGA-Zugriff), ist ein konsistenter 2FA-Flow erforderlich: Web-Login startet die Anmeldung, eine signierte Push- oder SMS-Benachrichtigung trifft auf dem Smartphone des Nutzers ein, der Nutzer bestätigt mit ID-Austria-PIN oder Biometrie, und die Sitzung wird freigegeben. 4notify deckt die Benachrichtigungsseite dieses Flows ab — Verifizierungscode-SMS, Push-Token, und das anschließende Audit-Logging.
§ CMaterialliste
| Kanal | Primärer Anbieter | Fallback |
|---|---|---|
| Verification SMS | A1 / Magenta / Drei (BP-AT-002) | TOTP über Authenticator-App |
| Push Notification | FCM (Android) + APNs (iOS) | SMS-Fallback nach 30 s |
| Magic Link E-Mail | 4notify Mail (DKIM/DMARC) | Resend nach 60 s |
| Audit Webhook | Signed HMAC-Webhook | Postgres event_log |
§ DToleranzen
Push-Wartezeit vor SMS-Fallback
30Sekunden
Max Anmeldeversuche
5/ Stunde
Audit Retention
5Jahre (FMA-Vorgabe)
Code-Länge
6Ziffern (numerisch)
§ ENormverweise
E-Government-Gesetz (E-GovG) § 4
Verantwortliche müssen einen elektronischen Identitätsnachweis anerkennen, der mit der ID Austria oder anderen qualifizierten elektronischen Identifizierungsmitteln eIDAS-Verordnung erfolgt.
eIDAS-Verordnung (EU 910/2014)
ID Austria entspricht dem Sicherheitsniveau ’hoch’ nach eIDAS und ist EU-weit notifiziert. Push-Bestätigung gilt als ’etwas, das der Nutzer besitzt'; PIN als ’etwas, das der Nutzer weiß'; Biometrie als ’etwas, das der Nutzer ist’.
BWG § 39 (Bankwesengesetz)
Banken sind verpflichtet, starke Kundenauthentifizierung (SCA) gemäß PSD2 umzusetzen. ID Austria erfüllt die SCA-Anforderungen, wird aber von vielen österreichischen Banken parallel zu eigenen App-Lösungen angeboten — Benachrichtigungen müssen den gewählten Pfad korrekt benennen.
§ FBauschritte
Push-Token registrieren bei App-Installation
Beim ersten App-Start wird das FCM-/APNs-Token an den Backend gesendet, dort verschlüsselt gespeichert (KMS-gebunden) und der user_id zugeordnet. Beim Logout wird das Token revoziert.
Login startet Push + Vorbereitung SMS-Fallback
Web-Login löst sofort einen Push aus. Parallel wird ein 6-stelliger Verifizierungscode generiert und für 120 Sekunden im Cache hinterlegt. Nach 30 Sekunden ohne Push-Bestätigung wird automatisch eine SMS mit dem Code versendet.
Push-Bestätigung mit ID-Austria-PIN
Der Push öffnet einen Bestätigungsdialog, der ID-Austria-PIN oder Biometrie verlangt. Erfolgreiche Bestätigung sendet ein signiertes Callback an das Backend zurück; das Backend gleicht den Token mit dem laufenden Sitzungs-Hash ab und gibt die Sitzung frei.
Audit-Eintrag mit Methode + Outcome
Jeder 2FA-Versuch (push_sent, sms_fallback, code_entered, code_correct, code_wrong, expired, withdrawn) wird in der event_log als separate Zeile gespeichert. Das ist relevant bei FMA-Audits, die rückwirkend prüfen, ob die SCA-Logik konsistent angewandt wurde.
§ GPrüfprotokoll
Testprotokoll: (1) Test-Nutzer im Web anmelden — Push-Empfang in der App innerhalb von 3 Sekunden prüfen. (2) Push nicht bestätigen, 30 Sekunden warten — SMS mit 6-stelligem Code muss eintreffen. (3) Code im Web-Frontend eingeben — Sitzung freigegeben, audit_log enthält Zeilen `push_sent` + `sms_fallback` + `code_entered` + `code_correct`. (4) Test mit falschem Code — Zeile `code_wrong`, nach 5 Fehlversuchen muss der Login gesperrt sein für eine Stunde. (5) Test mit abgelaufenem Code (> 120 s) — Zeile `expired`, Code wird abgelehnt.
§ HCode
bash
curl -X POST https://api.4notify.net/v1/auth/2fa/dispatch \
-H "Authorization: Bearer $API_KEY' \
-H "Content-Type: application/json' \
-d '{
"user_id': 'u_at_4711",
"session_hash': 'sha256:b1946ac92492d2347c…",
"channels': ['push", "sms"],
"push_token': 'fcm:eYj1z...",
"sms_recipient': '+436641234567",
"code_length": 6,
"code_ttl_seconds": 120,
"fallback_after_seconds": 30,
"audit_purpose': 'id_austria_login"
}'§ IBeispielnachricht
SMS
ID Austria: Ihr Anmeldecode für FinanzOnline ist 482593. Gültig 2 Min. Nicht weitergeben. Bei Verdacht: ID Austria App > Sperren.
§ JInbetriebnahme-Checkliste
- Bestehende Handysignatur-Verweise im UI durch ’ID Austria’ ersetzen
- FCM- und APNs-Tokens beim Logout revoziert
- Push-zu-SMS-Fallback nach 30 Sekunden eingerichtet
- Rate-Limit: max 5 Anmeldeversuche pro Stunde aktiviert
- Audit-Log behält Einträge mindestens 5 Jahre (FMA-Vorgabe für Bank-/Versicherungssektoren)
- SMS-Text enthält keinen klickbaren Link (FMA-Best-Practice gegen Phishing)
Was 4notify anders macht
4notify nennt Methoden explizit beim Namen — `method: id_austria` vs `method: handysignatur` vs `method: bank_app` — und erhält die historischen Einträge nach der Migration, sodass FMA-Auditoren rückwirkend einen konsistenten Verlauf prüfen können.
§ KHäufige Fragen
Was passiert mit alten Handysignatur-Logs?
Migrieren, nicht löschen. Bestehende Audit-Einträge mit `method: handysignatur` bleiben im event_log erhalten — Auditoren erwarten den lückenlosen historischen Verlauf. Neue Einträge nutzen `method: id_austria`. So bleibt der Audit-Trail vor und nach dem Migrationsstichtag konsistent.
Sind SMS-OTP-Codes nach PSD2 noch akzeptiert?
Ja, als ’etwas, das der Nutzer besitzt’ (in Kombination mit Passwort oder Biometrie). Die EBA empfiehlt aber Push-Konfirmation als sichereren Standard; SMS-OTP wird zunehmend als reine Fallback-Option positioniert. 4notify implementiert beides parallel.
Wie integriere ich ID Austria mit FinanzOnline?
FinanzOnline akzeptiert ID Austria direkt als Login-Methode — die Integration läuft serverseitig über das BRZ-Portal Bürgerkarten-Umgebung (BKU). 4notify wird in diesem Flow nicht für die Anmeldung selbst genutzt, sondern für nachgelagerte Statusbenachrichtigungen (Einreichung erhalten, Bescheid bereit).
Konto kostenlos eröffnen
14 Tage, keine Kreditkarte. Deutschsprachiger Support.
§ LAndere Baupläne
BP-AT-001 · Datenschutz
DSGVO-konforme Einwilligungsverwaltung mit Audit-Trail
BP-AT-002 · Mobilfunknetze
SMS-Routing über A1, Magenta und Drei mit Fallback-Kette
BP-AT-004 · E-Rechnung Bund
E-Rechnung an Bund: Statusbenachrichtigungen via PEPPOL & ebInterface
BP-AT-005 · Gesundheit
ELGA-Patientenkommunikation mit Opt-out und ärztlicher Schweigepflicht
BP-AT-006 · Logistik
Österreichische Post, DPD AT und GLS — Sendungsverfolgung-Webhooks
BP-AT-007 · Termine
Arzt-Terminmanagement mit Stornofenster und ÖGK-Bezug
BP-AT-008 · Einzelhandel