eIDAS-ReformSchlagabtausch zwischen Forschenden und EU-Parlament

Eine neue EU-Verordnung könnte es staatlichen Behörden ermöglichen, die Kommunikation aller Bürger:innen auszuspähen, so die Kritik von hunderten Wissenschaftler:innen und dutzenden NGOs. Abgeordnete des Europaparlaments reagieren darauf – und offenbaren ihr technisches Unverständnis über die Praxis der Selbstregulierung bei Zertifikaten.

- - in Technologie - 9 Ergänzungen
A boxing ring in a training hall, an EU flag hanging in the background
– Midjourney (A boxing ring in a training hall, an EU flag hanging in the background)

Bis zum Jahr 2030 will die EU allen Bürger:innen eine „European Digital Identity Wallet“ (ID-Wallet) zur Verfügung stellen. Sie soll on- wie offline bei Verwaltungsgängen und Bankgeschäften, aber auch bei Arztbesuchen, Alterskontrollen oder beim Internetshopping zum Einsatz kommen.

Mehr als 550 IT-Sicherheitsexpert:innen und Forschende sowie dutzende Organisationen der Zivilgesellschaft kritisieren die geplante eIDAS-Reform. Sie äußerten vor wenigen Wochen in einem offenen Brief die Befürchtung, dass die neue Verordnung es staatlichen Behörden ermöglichen könnte, die Kommunikation im Netz umfassend zu überwachen.

Konkret geht es um Artikel 45 des Verordnungsentwurfs. Er sieht vor, Browseranbieter dazu zu verpflichten, bestimmte qualifizierte Zertifikate (QWACs) zu akzeptieren. Zertifikate sollen im Internet die Authentizität, Integrität und Vertraulichkeit der Kommunikation sicherstellen.

„Irreführende Informationen“

Der offene Brief hat einen regelrechten Schlagabtausch ausgelöst. Auf der einen Seite stehen die Abgeordneten des EU-Parlaments, auf der anderen Vertreter:innen der Wissenschaft und der Zivilgesellschaft.

Die Abgeordneten bezeichneten die Kritik an der eIDAS-Reform vor wenigen Tagen in einem Informationsschreiben als „aggressive Desinformationskampagne“. Darauf haben die Verfasser:innen des offenen Briefes nun reagiert (PDF). Aus ihrer Sicht enthält das Schreiben der Abgeordneten „sehr verwirrende und manchmal irreführende Informationen“, die sie richtigstellen wollten. Sie sehen das Recht auf Privatsphäre und sichere Online-Kommunikation durch den Verordnungsentwurf weiterhin als nicht angemessen umgesetzt und schätzen das Risiko als erheblich ein.

Tatsächlich zeigt die Argumentation der Abgeordneten, dass diese zum einen offenkundig nicht verstehen, wie die Selbstregulierung bei den Zertifikaten bislang funktioniert. Zum anderen will die EU eine parallele Infrastruktur einrichten, was die jetzige Form der Selbstregulierung aushebeln und damit die Sicherheit im Internet gefährden würde. Deutlich wird dies an drei zentralen Behauptungen der Abgeordneten.

Behauptung Nr. 1: Es gibt bisher keinen Missbrauch von QWACs

So deute aus Sicht der Abgeordneten erstens nichts darauf hin, „dass der Einsatz von QWACS seit 2014 zu einer Massenüberwachung der Bürger durch die Regierungen geführt hat“ (Frage 2). Die Abgeordneten beziehen sich darauf, dass Artikel 22 der bestehenden eIDAS-Verordnung schon jetzt Mitgliedstaaten dazu verpflichtet, vertrauenswürdige Listen von qualifizierten Vertrauensdiensteanbietern zu erstellen, zu führen und zu veröffentlichen.

Die Forschenden entgegnen, dass die bestehende eIDAS-Verordnung Browseranbieter aber noch nicht dazu verpflichte, bestimmte qualifizierte Zertifikate der EU-Mitgliedstaaten in ihre Zertifikatelisten (certificate stores) aufzunehmen. Dies soll sich mit der geplanten Reform ändern – was einen Missbrauch einfacher ermögliche, so die Forschenden.

Außerdem hätten in der Vergangenheit nicht nur Kasachstan, China und Russland, sondern auch das EU-Mitglied Frankreich Zertifikate dazu genutzt, um die Internetkommunikation auszuspähen.

Behauptung Nr. 2: QWACs dienen nur der Identifikation

Zweitens verkennen die Abgeordneten des EU-Parlaments offenbar, dass diese Ausspähung technisch relativ einfach möglich ist. So behaupten sie, dass QWACs „keine andere Funktion haben, als die Identität hinter einer Website zu bescheinigen“ (Frage 8).

Das aber sei technisch falsch, so die Forschenden. Vielmehr würden QWACs sowohl für die Identifikation der kommunizierenden Stellen als auch für die Absicherung der Verschlüsselung der Kommunikation eingesetzt. Es gebe derzeit keinen Standard, der das eine von dem anderen trenne – ein QWACs-Zertifikat also, das nur die Identität beglaubige, und ein weiteres, das nur den öffentlichen Schlüssel für die vertrauliche Kommunikation angibt. Werden QWACs daher mit einem falschen Schlüssel ausgestellt, ließen sich damit also auch verschlüsselte Nachrichten abfangen und mitlesen.

Browseranbieter hätten zudem – anders als die Abgeordneten behaupten – nicht die Möglichkeit, die QWACs-Zertifikate eigenständig zu prüfen. Sie gewähren den Zertifikaten „nicht auf Grundlage ihrer eigenen Verfahren Zugang, sondern auf Basis von Verfahren, die von anderen festgelegt wurden“. Und die finale Entscheidung könnte laut Artikel 45 künftig „einer nationalen Aufsichtsbehörde“ obliegen, so die Forschenden. (Frage 9)

Behauptung Nr. 3: Browseranbieter missbrauchen ihre Marktmacht

Die Abgeordneten behaupten drittens, dass die eIDAS-Reform „ein Kräftegleichgewicht zwischen der EU und den Browsern“ (Frage 11) schaffe. Aus ihrer Sicht sind die Browseranbieter zweierlei: Zum einen konkurrierten sie mit Qualified Trust Service Providern (QTSPs), da auch sie Website-Zertifikate etwa für Cloud-Hosting-Kunden ausstellen. Zum anderen seien sie „Regulatoren“ von QTSPs, weil sie eigene Regeln aufstellten. Sie verfügten demnach über zu viel Macht.

Dass sie ihre „monopolistischen Regulierungsbefugnisse“ auch missbrauchen würden, zeige sich laut den Abgeordneten daran, dass sie „alle Website-Besitzer und QTSPs zur Umstellung auf automatische 90-Tage-Website-Zertifikate (anstelle der derzeitigen 13-monatigen Zertifikatsgrenze) [zwingen], obwohl es im Internet-Ökosystem weit verbreiteten Widerstand gibt“.

Die Forschenden halten dagegen, dass sie sich nicht gegen eine Regulierung von Browseranbietern ausgesprochen hätten. Sie würden vor allem kritisieren, dass die eIDAS-Reform eigentlich darauf abziele, eine europäische ID-Wallet zu schaffen. Sie sei aber kein Sicherheitsgesetz und solle den Behörden daher auch nicht mehr Befugnisse bei Sicherheitsentscheidungen geben, so die Forschenden.

Darüber hinaus sprächen sich die meisten IT-Expert:innen für eine kürzere Gültigkeitsdauer von Zertifikaten aus. Auf diese Weise ließen sich unsichere Zertifikate schneller aus dem Verkehr ziehen. Dass die Abgeordneten ausgerechnet eine 13-monatige Laufzeit von Zertifikaten fordern, die damit eine jährliche Abrechnung erlaubt, sei aus Sicht der Forschenden kaum anders als mit kommerziellen Interessen zu begründen.

Fehlendes Verständnis auch beim deutschen Digitalministerium

Nicht nur in Brüssel, sondern auch im Digitalauschuss des Deutschen Bundestages war der offene Brief der Sicherheitsexpert:innen und NGOs zuletzt ein Thema. Dort stand am vergangenen Mittwoch unter anderem Marlene Letixerant den Abgeordneten Rede und Antwort. Im Bundesministerium für Digitales und Verkehr (BMDV) ist sie Referentin im Referat Datenschutz und Cybersicherheit in der digitalen Welt / Vertrauensdienste digitale Identitäten

Letixerant stellte im Ausschuss – auch wenn sie „es technisch nicht wirklich erklären“ könne – ebenfalls die Behauptung auf, dass die Browseranbieter den offenen Brief initiiert hätten (Videoaufzeichnung, ab Minute 46:20). Hintergrund sei, dass die Anbieter „natürlich“ kein Interesse daran hätten, QWACs in ihre Root-Stores aufzunehmen – obwohl diese sicherer seien als andere Zertifikate, so die Ministeriumsreferentin. Den rund 550 IT-Expert:innen, die den Brief bislang unterzeichnet haben, unterstellte Letixerant damit, nicht aufgrund ihrer technischen Sachkenntnis, sondern interessengeleitet zu argumentieren.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Über die Autor:in

Daniel ist Politikwissenschaftler und Co-Chefredakteur bei netzpolitik.org. Zuvor war er Redakteur bei den »Blättern für deutsche und internationale Politik«. 2014 erschien von ihm das Buch »Amazon – Das Buch als Beute«; 2016 erhielt er für seinen Beitrag »Facebook rettet die Welt« den Alternativen Medienpreis in der Rubrik »Medienkritik«. Daniel gehört dem Board of Trustees von Eurozine an.

Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, Threema ENU3SC7K, Telefon: +49-‭030-577148228‬ (Montag bis Freitag, jeweils 8 bis 18 Uhr).

Veröffentlicht 07.12.2023 um 09:47
Kategorie
Schlagworte
Weitere Artikel
EU-Kommissar Thierry Breton und die spanische Vize-Premierministerin Nadia Calviño nach der Trilog-Einigung
Technologie

eIDAS-ReformDigitale Brieftasche mit Ausspähgarantie

Jetzt steht es fest: Die europäische digitale Brieftasche kommt. Aus Sicht von Beobachtern bringt der im Trilog erzielte Kompromiss etliche Verbesserungen im Vergleich zum ursprünglichen Kommissionsentwurf. Bürgerrechtsgruppen und Datenschützer:innen warnen jedoch davor, dass Staaten durch die Wallet eine „panoptische Vogelperspektive“ erhielten.

Lesen Sie diesen Artikel: Digitale Brieftasche mit Ausspähgarantie
a rusty metal lock that has been broken, lying on a European flag on the ground
Überwachung

eIDAS-TrilogHunderte Wissenschaftler:innen und dutzende NGOs warnen vor Massenüberwachung

Die EU will eine digitale Brieftasche für alle Bürger:innen einführen. Rund 400 Forschende und 30 NGOs kritisieren in einem offenen Brief, dass die aktuellen Pläne es staatlichen Behörden ermöglichen würden, die Kommunikation aller EU-Bürger:innen auszuspähen. Sie rufen zu grundlegenden Korrekturen auf.

Lesen Sie diesen Artikel: Hunderte Wissenschaftler:innen und dutzende NGOs warnen vor Massenüberwachung
Eine Illustration zeigt einen Kunden, dessen Barcode beim Einkaufen gescannt wird
Datenschutz

eIDAS-ReformDigitale Brieftasche birgt „beispielloses Risiko“ für die Privatsphäre

Bürgerrechtsorganisationen, Wissenschaftler:innen und Forschungseinrichtungen kritisieren die geplante ID-Wallet, die derzeit auf EU-Ebene diskutiert wird. Sie fordern den Rat der Europäischen Union, das EU-Parlament und die Kommission zu grundlegenden Korrekturen bei Datenschutz und Privatsphäre auf.

Lesen Sie diesen Artikel: Digitale Brieftasche birgt „beispielloses Risiko“ für die Privatsphäre

9 Ergänzungen

  1. Zitat: Browseranbieter hätten zudem – anders als die Abgeordneten behaupten – nicht die Möglichkeit, die QWACs-Zertifikate eigenständig zu prüfen. Sie gewähren den Zertifikaten „nicht auf Grundlage ihrer eigenen Verfahren Zugang, sondern auf Basis von Verfahren, die von anderen festgelegt wurden“.

    Jeder Browser benutzt eine große Anzahl von QWACs-Zertifikaten. Wenn Browseranbieter nicht die Möglichkeit haben die Vertrauenswürdigkeit dieser Zertifikate zu überprüfen, wer kann das und wer tut das?

    Gab es in der Vergangenheit Fälle, bei denen Missbrauch von QWACs-Zertifikaten für Browser öffentlich wurde? Welche Konsequenzen haben Browser-Anbieter gezogen?

    Gibt es eine Liste, welche Browser-Zertifikate zumindest einen dubiosen Ruf haben? Quelle(n)?

    Gibt es Zertifikate aus bestimmten Ländern, die man besser nicht haben sollte?

    Wäre es nicht ratsam, nur jene Browser-Zertifikate zu erlauben, die man tatsächlich braucht, und man genau weiß für welche sites man diese benötigt?

    Antworten

  2. Vielleicht ist es zuviel verlangt, von Parlamentariern ein zumindest minimale fachkenntnis zu erwarten. bezeichnend ist allerdings, daß Marlene Letixerant ihreszeichens Referentin im Referat Datenschutz und Cybersicherheit in der digitalen Welt / Vertrauensdienste digitale Identitäten intelektuell unbewaffnet in diesem Bereich ist, den sie vertritt. Leider hört die Kommission und die Regierung nur auf komerzielle Interessenvertreter und Vertreter der sog. Sicherheitsbehörden. Beide Interessengruppen haben keinerlei Interesse am Schutz der Privatsphäre. Sicherlich gibt im Fall der Fälle Browser-Vversionen für die EU und für den Rest der Welt. Wer auf Sicherheit Wert legt, nimmt dann den nicht-EU Browser. Ob ich einem bestimmten Zertifikat vertraue, entscheide ich am Ende ganz allein. Und Regierungen sind per se nicht besonders vertrauenswürdig, da sie die Bürger ständig anlügen. Ich gehe mal davon aus, daß die Akteptanz von QWACS zumindest im Firefox über die Konfiguration deaktiviert werden kann.

    Antworten

  3. Wann sind wir eigentlich in Absurdistan aufgewacht?
    Mir ist ja durchaus klar das die Zivielgesellschaft eher ungern gehört wird. Aber hat Ylva mit ihrer Realitätsverweigerung bei der Chatkontrolle jetzt die Vorbildfunktion für alle anderen Politiker übernommen?

    Antworten

  4. Zitat:
    „Aber hat Ylva mit ihrer Realitätsverweigerung bei der Chatkontrolle jetzt die Vorbildfunktion für alle anderen Politiker übernommen?“

    Den Eindruck bekomme ich immer mehr, je mehr Meldungen ich in letzter Zeit lese.
    Chatkontrolle, EIDAS/Quack, Going dark…
    Ein Thema absurder als das andere.
    Und alle letzten Endes mit dem Ziel, die digitale Sicherheit zu zerstören

    Was mich allerdings schockiert, ist, dass das jetzt ausgerechnet vom EU-Parlement kommt… Die sind doch von dem Trio (Kommission, Rat, Parlament) eigentlich noch am technikaffinsten…

    Zumindest dachte ich das…

    Antworten

    1. „Quack“
      Danke, Danke, Danke! Endlich spricht es mal jemand so aus. Salbei für den Entenhintern!
      Wie sagt der postalisch orientierte Audio-Engineer ~ „Bloody ducking blood duck, quack.“

      Antworten

  5. Die Verordnung der EU habe ich leider bisher nicht durchgelesen, da bin ich dankbar das es motivierte Personen gibt die da ein Auge drauf haben.
    Aber ganz grundsätzlich ist das was die aktuelle PKI leistet die Authentifizierung von Domänennamen (etwas was in einem alternativen Universum durch ein abgesichertes und transparentes DNS erledigt werden könnte, siehe DKIM, DNSSEC und DNS über TLS), bei Organisationen/Personen haben wir mit Extended Validation ja gesehen wie gut ein globaler Namensraum hierfür funktioniert.
    Das Problem mit der Authentifizierung von Webinhalten auf Personenbasis ist in Anbetracht des doch so erfolgreichen Phishings weiterhin offen. Ein interessantes Beispiel ist hier das einige Onion Services https über TOR nutzen, obwohl Onionaddressen sich ja bereits dadurch selbst authentifizieren das sie den öffentlichen Schlüssel kodieren statt diesen über ein Zertifikat an den Namen zu binden.
    Vielleicht sind wir einfach auch schon ein wenig festgefahren in der Überzeugung die Integrität der erhaltenen Daten dadurch sicherzustellen das mit einem ‚heißen‘ Schlüssel ein sicherer Kanal aufgebaut wird und was darüber läuft wird schon stimmen. Wir gehen immer mehr zu CDNs, sowie großen Netzwerken denen wir freiwillig unsere geheimen Schlüssel überlassen damit diese uns vor DDoS Angriffen schützen und natürlich der Tatsache das Browser immer mehr zu Plattformen für alle möglichen Anwendungen mutieren. An diesem Punkt wird die vorhanden ‚Authentifizierung‘ dann doch langsam fragwürdig wenn ich wissen will „Von wem ist dieses Skript eigentlich? Ist es unverändert?“.

    Fortsetzung in Teil 2…

    Antworten

  6. … Fortsetzung

    Womöglich wäre allen geholfen wenn wir unser HTML um digitale Signaturen erweitern, welche vom Autor des Inhalts erstellt werden, ein Browser könnte das dann z.B. als „Artikel von Autor | netzpolitik.org e. V. | Deutschland“ anzeigen. Damit wäre das TLS nicht mehr in der Schusslinie und PWAs (Webanwendungen) könnten vergleichbar gut vor Sabotage geschützt werden wie native Anwendungen, diese könnten Lauscher dann durch Protokolle wie SRP (Secure Remote Password) etc. abwehren.
    Ein solcher Standard könnte natürlich beliebig komplex werden und vermutlich bräuchte es zumindest einen zusätzlichen http header der die aktuelle Zeit und eine Prüfsumme der vorhanden Signaturen bzw. des gesamten Inhalts bestätigt.

    Ein Organisationszertifikat (eigene Überlegung) klingt eigentlich wie eine praktische Sache wenn damit neben der Authentifizierung von Webseiten noch Dinge getan werden könnten wie GPG-Schlüssel/S MIME Zertifikate der Belegschaft zu beglaubigen.
    Außer die EU will tatsächlich bloß https untergraben, dann kann der Teil der Verordnung natürlich weg ;)

    Antworten

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.