AGOV löst CH-Login ab

Na ja, hoffentlich funktioniert es bis dann... :unsure: Mein erster Versuch, mich dafür zu registrieren, floppte ähnlich grandios wie eine ebenfalls gescheiterte Anmeldung für das ominöse EPD. Irgendwie "typisch Bundessoftware" - möglichst nicht intuitiv, ein Maximum an irgendwelchen verwaltungsinternen Fachbegriffen in den FAQ und ein relativ hilfloser "Bürgersupport" (ja, die nennen sich wirklich so 🙃 ).

Hallo @Holzbock Hat bei mir auf Anhieb einwandfrei funktioniert. Ist auch nicht schwieriger wie jede andere 2FA-App. Vielleicht mal die Anleitung genau lesen und wirklich jeden Punkt beachten und keinen auslassen. Was ich daran kritisiere, ist der Aufwand einer weiteren 2FA App und das nicht eine der vielen vorhandenen genutzt wird. Ein Support ist übrigens auch nur so gut und verständlich wie die Fragen die sie bekommen. :unsure: Eine positive Einstellung schadet dabei auch nicht.

@LGPCT Ich war ursprünglich eigentlich positiv eingestellt und wollte mich sogar mit einem von AGOV empfohlenen Yubikey (FIDO2) anmelden, landete dann aber irgendwo in einer offenbar noch unerforschten Pampa... Und wenn ich als Anleitung bzw. Erklärung, warum es nicht klappt, einen solchen Haufen Kleingedrucktes vorgesetzt kriege, dann verzichte ich lieber: ;-) Die AGOV access App stellt hohe Anforderungen an die Sicherheit des verwendeten Geräts. Wenn sich die App auf einem älteren Smartphone oder einem modifizierten Gerät nicht installieren oder starten lässt, liegt das in der Regel an einem oder mehreren sicherheitsrelevanten Faktoren. Ein häufiger Grund ist, dass das Gerät «gerootet» (bei Android) oder «jailbroken» (bei iOS) wurde. Dabei handelt es sich um Eingriffe in das Betriebssystem, um Zugriff auf Systembereiche zu erhalten, die normalerweise geschützt sind. Zwar ermöglichen solche Änderungen mehr Kontrolle über das Gerät, gleichzeitig heben sie aber grundlegende Sicherheitsmechanismen auf. Das Risiko steigt, dass Schadsoftware ungehindert gestartet wird oder sensible Daten abgegriffen werden können. Auch Geräte mit sogenannten «Custom ROMs» oder entsperrtem Bootloader gelten aus sicherheitstechnischer Sicht als kompromittiert. Die AGOV access App erkennt solche Veränderungen und verweigert aus Sicherheitsgründen die Ausführung. Ein weiterer möglicher Grund ist das Fehlen eines Sicherheitschips. Moderne Smartphones verfügen über spezielle Hardware-Komponenten z. B. ein «Secure Element», ein «Trusted Platform Module (TPM)» oder ein «Trusted Execution Environment (TEE)», die dazu dienen, vertrauliche Informationen wie biometrische Merkmale oder kryptografische Schlüssel sicher zu speichern. Bei Apple-Geräten übernimmt diese Aufgabe die «Secure Enclave», bei Samsung ist es häufig «Knox». Diese Chips sind für viele sicherheitskritische Applikationen unverzichtbar - insbesondere dann, wenn Geräte-Zertifikate oder FIDO2-Authentifizierung verwendet werden. Ist ein solcher Chip nicht vorhanden oder nicht zertifiziert, funktioniert die AGOV access App nicht. Auch veraltete Betriebssystemversionen können ein Problem darstellen. Android- und iOS-Versionen, die keine Sicherheitsupdates mehr erhalten, weisen bekannte Schwachstellen auf, die Angreifer gezielt ausnutzen können. Aus diesem Grund verlangt die AGOV access App ein aktuelles, vom Hersteller noch unterstütztes System. Ist dies nicht gegeben, wird die App den Start verweigern. Ein weiterer Sonderfall betrifft weniger bekannte Android-Varianten oder Spezial-Distributionen, auch wenn sie ausdrücklich auf Sicherheit ausgelegt sind. Betriebssysteme wie diese – beispielsweise gehärtete Android-Versionen für den Unternehmenseinsatz oder Varianten aus Open-Source-Projekten – verfügen zwar teils über eigene Sicherheitskonzepte, sind jedoch nicht Bestandteil der offiziell geprüften und freigegebenen Betriebssysteme (Whitelist). Ohne eine solche Freigabe durch das App-Ökosystem gelten diese Systeme als nicht vertrauenswürdig im Sinne der Sicherheitsarchitektur der AGOV access App – und werden daher nicht unterstützt. Zudem setzt die App voraus, dass bestimmte Gerätesicherheitsfunktionen aktiv sind. Dazu gehört eine eingerichtete Bildschirmsperre, etwa per PIN, Fingerabdruck oder Gesichtserkennung. Auch Systemfunktionen zur Integritätsprüfung müssen aktiviert und funktionstüchtig sein. Fehlen diese Schutzmechanismen, kann die App ihre Sicherheitsanforderungen nicht erfüllen. Insgesamt gilt: Die AGOV access App lässt sich nur auf Geräten verwenden, die unverändert, aktuell und hardwareseitig für hohe Sicherheitsanforderungen ausgelegt sind und die auf der offiziellen Kompatibilitätsliste geführt werden. Dies dient dem Schutz Ihrer persönlichen Daten und der Absicherung der angeschlossenen Systeme. Falls Ihr aktuelles Gerät nicht kompatibel ist, haben Sie alternativ die Möglichkeit, einen FIDO2-Sicherheitsschlüssel zu verwenden, um AGOV access dennoch sicher zu nutzen.

Hallo @Holzbock Deine Argumente kann ich verstehen. Ich hasse es auch wenn sich solche Dinge zu schnell wieder ändern. kaum habe ich das CH-Login zum laufen gebracht, ändert die Behörde schon wieder den Zugang, jetzt auf AGOV. Es kann ja etwas komplizierter sein, wenn es denn mal ein paar Jahre bleibt... Das Thema ist zugegebenermassen auch nicht ganz einfach. Einerseits will die Bevölkerung alles ganz sicher haben, anderseits soll es einfach sein. Sicher und einfach stehen sich gegenüber und dazwischen ist nun mal ein Schieberegler, der kann nicht gleichzeitig auf beiden Seiten Stehen. Aber dafür soll wenigstens die Anleitung klar und deutlich sein, da hapert es oft. Sie wird oft von Fachidioten geschrieben.