Zwei-Faktor-Authentifizierung und ID Austria im Vergabeportal: Technische Einblicke aus „Zwei-Faktor-Authentifizierung und ID Austria“ (Dominik Zimmel, Auftragnehmerkataster Österreich)

Warum dieses Thema im Vergabewesen zählt

Sichere Anmeldung, verlässliche Identitäten und beweisfeste elektronische Abgaben: Im öffentlichen Beschaffungswesen sind diese Eigenschaften kein Luxus, sondern Grundbedingungen eines funktionierenden, rechtskonformen Prozesses. In der Session „Zwei-Faktor-Authentifizierung und ID Austria“ von Dominik Zimmel (Auftragnehmerkataster Österreich) wurde genau diese Schnittstelle aus Nutzungsfluss und Sicherheit greifbar gemacht: vom Produktkontext über einen konkreten Demo-Flow bis hin zu einer Einführung von Zwei-Faktor-Identifizierung (2FA) und der Möglichkeit zur Anmeldung mit ID Austria.

Was wir aus der Session mitgenommen haben: Das Team hat seine Plattform entlang des gesamten Vergabe-Lebenszyklus aufgebaut, zeigt die digitale Angebotsabgabe im laufenden Betrieb – einschließlich E-Signatur via Handysignatur oder ID Austria – und hat anschließend die Anmeldestrecke gezielt gehärtet. Der Fokus lag auf zwei Maßnahmen: 2FA (per E-Mail-Code oder mit einer App wie Google Authenticator) sowie der Login über ID Austria als Alternative zu Benutzername und Passwort. Organisatorisch wurde die Umsetzung durch sauberes Zeitmanagement, abgestimmtes Testing und eine „Open-ID-Abstimmung“ für den Produktivbetrieb begleitet – inklusive der notwendigen Koordination zwischen IT, Softwareentwicklung und Design.

Drei Produkte, ein Prozess: E‑Vergabe, Vergabeportal, LGU

Zum Einstieg umriss Dominik Zimmel die Produktlandschaft, mit der Auftraggeber und Auftragnehmer im öffentlichen Vergabewesen arbeiten:

• E‑Vergabe: die Möglichkeit für öffentliche Auftraggeber, Aufträge auszuschreiben.
• Vergabeportal: der Zugang für Auftragnehmer, um Aufträge zu finden und Angebote abzugeben.
• LGU (Liste geeigneter Unternehmen): die Prüfung der Eignung der Unternehmen, die Aufträge annehmen.

Diese drei Bausteine bilden zusammen den Kernprozess ab: von der Ausschreibung über die Suche und Angebotsabgabe bis zur Eignungsprüfung der anbietenden Unternehmen. Für die spätere Sicherheitsdiskussion ist dieser Kontext wichtig: Jede Stufe im Prozess stützt sich auf digitale Identität, Nachvollziehbarkeit und vollständige, unveränderte Dokumente.

Der Demo-Flow im Vergabeportal: Suche, Abgabe, E‑Signatur

Im Mittelpunkt der Demo stand das Vergabeportal – konkret die Angebotsabgabe durch einen Auftragnehmer. Die Session führte Schritt für Schritt durch einen realitätsnahen Ablauf:

1. Anmeldung im Vergabeportal: Der Nutzer meldet sich an, um auf Such- und Angebotsfunktionen zugreifen zu können.
2. Suche nach Aufträgen: Im Beispiel wurde „Baumeisterarbeiten“ als Suchbegriff verwendet.
3. Angebotsabgabe: Die Eingabemaske war bereits teilweise vorausgefüllt (um die Demonstration zu beschleunigen). Der Nutzer:

• ergänzt die Angebotsdaten,
• gibt die Auftragssumme an (für welchen Betrag das Angebot abgegeben wird),
• hängt eine Angebotsdatei an.

1. Überprüfung: Vor dem finalen Schritt wird das Abgabepaket überprüft – stimmen die Angaben, passt der Preis, ist die hochgeladene Angebotsdatei korrekt?
2. E‑Signatur: Die Unterzeichnung erfolgt elektronisch, „über Handysignatur oder ID-Austria“. Nach der Unterzeichnung folgt die Bestätigung.
3. Bestätigung und Dokumente: Nach erfolgreicher Abgabe sind die relevanten Dateien, etwa das Angebotsprotokoll, sichtbar.

Dieser Ablauf macht deutlich, dass die Anmeldesicherheit nicht isoliert betrachtet werden kann. Die Plattform trägt Verantwortung in zwei Dimensionen: Erstens beim Identitätsnachweis für den Portalzugang; zweitens bei der rechtssicheren Abgabe, wo E‑Signaturen den Bogen zur Verbindlichkeit und Nachweisbarkeit schlagen.

Das Projekt: Höhere Anmeldesicherheit durch 2FA und ID Austria

Nach der Demo wechselte die Session in den Projektteil: die Erhöhung der Anmeldesicherheit durch zwei ergänzende Bausteine.

• Zwei-Faktor-Identifizierung (2FA): „… über E‑Mail, dass man einen Code bekommt, … oder … eine App wie Google Authenticator … diesen Code … eingeben … nach der Passwort- und Username-Anmeldung.“
• ID Austria als Login-Option: „… eine Möglichkeit, dass man … sich mit ID‑Austria anmelden kann, statt dem Passwort und dem Username.“

Die Bedeutung dieser doppelt abgesicherten Architektur ist klar: Nutzer können weiterhin mit Benutzername und Passwort arbeiten, sichern die Anmeldung dann aber mit einem zweiten Faktor ab – entweder einem zugesandten E‑Mail-Code oder einem zeitbasierten Code aus einer Authenticator-App. Gleichzeitig entfällt die Notwendigkeit von Passwort/Benutzername, wenn die Anmeldung direkt über ID Austria erfolgt.

Anmeldemasken: ID Austria links, 2FA rechts

Zur Veranschaulichung wurden Anmeldemasken gezeigt:

• Links: die Anmeldung mit ID Austria.
• Rechts: die 2FA-Variante nach Username/Passwort, wahlweise via E‑Mail oder App-Code.

Der Dual-Ansatz erlaubt es, unterschiedliche Nutzerpräferenzen und organisatorische Gegebenheiten abzudecken: Wer bereits ID Austria nutzt, kann diese Identität direkt verwenden. Wer weiterhin klassische Anmeldedaten nutzt, stärkt die Sicherheit über den zweiten Faktor.

E‑Signatur vorher, starker Login nachgelagert – kein Widerspruch

Die E‑Signatur ist im Angebotsprozess der Schritt für Verbindlichkeit und Nachweisbarkeit. Die Session machte deutlich, dass die Signatur mit Handysignatur oder ID Austria erfolgt. Die nun eingeführte 2FA und die ID‑Austria‑Anmeldung adressieren vor allem die vorgelagerte Authentifizierung zur Portalnutzung. So werden Identitätsnachweis im Log-in und rechtssichere Signatur im Abgabeschritt getrennt und jeweils passend umgesetzt.

Projektorganisation: Zeitmanagement, Open‑ID‑Abstimmung, Testing, Design

Neben der Technik betonte die Session die operative Umsetzung. Vier Punkte stachen heraus:

• Zeitmanagement und rechtzeitiges Testing: „… dass wir dieses Zeitmanagement einhalten … hinsichtlich des Testings, dass dieses rechtzeitig erfolgt …“
• Open‑ID‑Abstimmung für den Produktivbetrieb: „… wenn das Ganze produktiv kommt, hinsichtlich Open‑ID‑Abstimmung, Produktivdaten …“
• Abstimmung zwischen IT, Softwareentwicklung und internen Stakeholdern: „… hier musste ein Management zwischen IT, Softwareentwicklung und natürlich intern alles abgestimmt sein.“
• Passendes Design und gutes Nutzungserlebnis: „Das Design musste stimmen, um … den Usern … ein wunderbares Benutzungserlebnis zu liefern … und … diese Anmeldesicherheit … bereitstellen zu können.“

Diese Punkte markieren die typischen Schnittstellen in Sicherheitsprojekten: technische Integration, Orchestrierung der produktiven Schnittstellen, koordiniertes Testen sowie ein UI/UX‑Design, das die zusätzlichen Schritte (Zweitfaktor oder ID‑Austria‑Weiterleitung) klar und verlässlich führt.

Was die Technikentscheidung für den Login bedeutet

Aus den gezeigten Maßnahmen lassen sich für technische Teams im Umfeld des Vergabewesens klare Lehren ziehen.

1) 2FA als Schutzschicht auf Username/Passwort

Die Einführung der Zwei-Faktor-Identifizierung adressiert die bekannte Schwachstelle von Ein‑Faktor‑Logins. Die Session zeigte zwei Wege:

• E‑Mail‑Code: Ein Einmalcode, der an die hinterlegte E‑Mail-Adresse gesendet wird.
• App‑Code: Ein Code aus einer App wie Google Authenticator, der lokal am Gerät des Nutzers generiert wird.

Diese Optionen erhöhen die Eintrittshürde für Angreifer, ohne den Nutzern den Zugang zu versperren. Wichtig ist dabei, dass die UI die Auswahl klar führt und Fehlersituationen (falscher Code, abgelaufener Code) verständlich kommuniziert.

2) ID Austria als Alternative zum Passwort

Die Möglichkeit, sich mit ID Austria anzumelden, war ein Kernpunkt der Session. Der Nutzen: Der Schritt „Benutzername und Passwort“ entfällt vollständig – der Identitätsnachweis läuft über ID Austria. In der Praxis bedeutet das ein verändertes Onboarding und Routing im Login-Flow (Anmeldemaske zur Auswahl, Weiterleitung zum ID‑Austria‑Login, Rückkehr in die Plattform). Die Session zeigte die Optionen explizit nebeneinander (ID Austria links, 2FA rechts).

3) E‑Signatur fest im Abgabeprozess verankert

Die E‑Signatur via Handysignatur oder ID Austria ist in der Angebotsabgabe der finale, verlässliche Abschluss. Für die Plattform ist klar: Der Nutzer kann Angebote nicht nur erfassen, sondern sie rechtssicher unterzeichnen und erhält anschließend die Bestätigung und Sicht auf Dokumente wie das Angebotsprotokoll. Dieser Abschluss ist essenziell für Nachvollziehbarkeit und Vollständigkeit des Prozesses.

Der Nutzerfluss im Detail – und wo Sicherheit greift

Die Session hat den End‑to‑End‑Prozess greifbar gemacht. Aus Entwicklersicht lohnt sich der Blick auf die konkreten Punkte, an denen Sicherheit und Nutzerführung zusammenspielen.

Anmeldung

• Variante A: Username/Passwort, danach 2FA per E‑Mail oder App-Code.
• Variante B: Direkter Login mit ID Austria (ohne Username/Passwort in der Plattform).

In beiden Fällen muss die Plattform den Zustand der Session sauber verwalten und den Nutzer verlässlich in den richtigen Kontext zurückführen (z. B. zur Suche oder zur laufenden Angebotsabgabe).

Suche und Datenerfassung

• Die Suche nach „Baumeisterarbeiten“ zeigte: Der Recherche‑Teil ist integraler Bestandteil. Ab hier zählt Nutzerführung ebenso wie Performance.
• In der Angebotserfassung wurden Datenfelder gefüllt, die Auftragssumme gesetzt und eine Angebotsdatei hochgeladen. Wichtig bleiben Validierung, konsistente Zustände und ein klar sichtbarer Prüfschritt.

Prüfschritt und E‑Signatur

• Der Prüfschritt bündelt die Verifikation: Stimmen Daten und Preis? Ist die „hochbelagerte“ (hochgeladene) Datei die richtige? Erst danach erfolgt die E‑Signatur.
• Die Signatur läuft „über Handysignatur oder ID‑Austria“ – der Abschluss des Vorgangs.

Bestätigung und Protokoll

• Nach der Abgabe folgen Bestätigung und Einsicht in relevante Dokumente, etwa das Angebotsprotokoll. Diese Rückkopplung ist für Nutzer essenziell und stärkt die Beweisführung im Prozess.

Organisatorische Learnings für Teams

Die Session hielt sich nicht mit Buzzwords auf, sondern nannte die Dinge, die in der Umsetzung zählen.

• Rechtzeitiges Testing: Der Verweis auf Zeitmanagement und rechtzeitiges Testen macht deutlich, dass Sicherheit nur dann beim Nutzer ankommt, wenn sie in der Praxis robust funktioniert.
• Open‑ID‑Abstimmung und Produktivdaten: Die Erwähnung dieser Punkte zeigt, dass produktive Einbindungen eine präzise Abstimmung benötigen – Schnittstellen, Datenflüsse, Erreichbarkeit, Zertifikate und Konfigurationen müssen sitzen.
• Koordination zwischen IT, Softwareentwicklung und intern: Unterschiedliche Teams, gemeinsame Verantwortung. Ohne Abstimmung entstehen Brüche im Flow.
• Design als Erfolgsfaktor: „Das Design musste stimmen …“ – Security ist nur so gut, wie sie in der Oberfläche verständlich abgebildet ist.

Praktische Takeaways für Ingenieurinnen und Ingenieure

Auf Basis der Session lassen sich konkrete Handlungsfelder für ähnliche Plattformen formulieren:

• Login-Strategie klar strukturieren:
• Bietet beide Wege an: ID‑Austria‑Login und Username/Passwort mit 2FA.
• Führt die Auswahl sichtbar in der Anmeldemaske.
• 2FA‑Optionen verständlich umsetzen:
• E‑Mail‑Code als niedrigschwellige Option.
• App‑Code (z. B. via Google Authenticator) als robuste Alternative.
• Prozessabschluss absichern:
• E‑Signatur als fester Bestandteil des Abgabeschritts.
• Nach der Signatur sofortige Bestätigung und Zugang zu Dokumenten (z. B. Angebotsprotokoll).
• Testing und Produktivabstimmung planen:
• Zeitmanagement für Tests berücksichtigen.
• „Open‑ID‑Abstimmung“ und „Produktivdaten“ frühzeitig klären.
• Teams orchestrieren:
• IT, Softwareentwicklung und interne Stakeholder synchronisieren.
• UI/UX so gestalten, dass Sicherheitsschritte klar und reibungslos sind.

Diese Takeaways spiegeln die in der Session explizit genannten Bausteine. Sie bilden zusammen einen Weg, Sicherheit und Benutzerfreundlichkeit in einem kritischen Fachprozess zu vereinen.

Zentrale Zitate und Aussagen aus der Session

Einige Passagen bleiben als Kernbotschaft im Gedächtnis:

Diese Aussagen verdichten die technische und organisatorische Linie der Umsetzung: sichere Anmeldung, klare Signaturstrecke, koordinierte Einführung – und am Ende ein funktionierender, benutzbarer Prozess.

Fazit: Ein solider Sicherheits‑Upgrade mit Blick auf den End‑to‑End‑Prozess

„Zwei-Faktor-Authentifizierung und ID Austria“ von Dominik Zimmel (Auftragnehmerkataster Österreich) zeigt, wie eine Plattform im Vergabeumfeld Sicherheit schrittweise stärken kann, ohne den Prozessfluss zu verlieren. Der Demo‑Pfad – von der Anmeldung über die Suche und Angebotserfassung bis zur E‑Signatur und Bestätigung – ist kohärent. Das Sicherheits‑Upgrade – 2FA per E‑Mail‑ oder App‑Code sowie der Login über ID Austria – adressiert den Zugang zur Plattform und lässt gleichzeitig den Angebotsabschluss mit E‑Signatur unberührt, aber konsistent.

Mit der expliziten „Open‑ID‑Abstimmung“ für den Produktivbetrieb, rechtzeitigem Testing, der Abstimmung über Team‑Grenzen hinweg und einem tragfähigen Design wurde der organisatorische Rahmen geschaffen, damit die Maßnahmen beim Nutzer ankommen. Der Tenor am Schluss – Herausforderung gemeistert, Ergebnis zufriedenstellend – passt dazu.

Für technische Teams im Vergabekontext liefert die Session damit eine klare Blaupause: Sicherheit dort stärken, wo sie den größten Effekt hat (Login und Abschluss), Prozesse sichtbar prüfen lassen (Review‑Schritt vor der Signatur) und die Umsetzung so orchestrieren, dass Inbetriebnahme und Nutzererlebnis Hand in Hand gehen.

• 

  

  Patrick Osika, IT-Leiter bei ANKÖ

  Patrick Osika von ANKÖ spricht im Interview über den Aufbau des IT Teams im Unternehmen, den Ablauf des Bewerbungsprozesses und gibt Einblicke in die technologischen Challenges.

  Jetzt ansehen

• 

  

  Marek Dusecina, Senior Full Stack Engineer bei ANKÖ

  Marek Dusecina von ANKÖ erzählt im Interview über seinen Background im Programmieren, gibt Einblicke in seine aktuelle Arbeit im Full Stack Engineering und gibt Tipps für Neueinsteiger.

  Jetzt ansehen
• 

  

  Dominik Zimmel, Product Owner bei ANKÖ

  Dominik Zimmel von ANKÖ spricht im Interview über seine Reise bis hin zur Arbeit als Product Owner, wie sein Arbeitsalltag aussieht und gibt nützliche Tipps für Anfänger.

  Jetzt ansehen