Eine neue EU-Verordnung könnte es staatlichen Behörden ermöglichen, die Kommunikation aller Bürger:innen auszuspähen, so die Kritik von hunderten Wissenschaftler:innen und dutzenden NGOs. Abgeordnete des Europaparlaments reagieren darauf – und offenbaren ihr technisches Unverständnis über die Praxis der Selbstregulierung bei Zertifikaten.
Bis zum Jahr 2030 will die EU allen Bürger:innen eine „European Digital Identity Wallet“ (ID-Wallet) zur Verfügung stellen. Sie soll on- wie offline bei Verwaltungsgängen und Bankgeschäften, aber auch bei Arztbesuchen, Alterskontrollen oder beim Internetshopping zum Einsatz kommen.
Mehr als 550 IT-Sicherheitsexpert:innen und Forschende sowie dutzende Organisationen der Zivilgesellschaft kritisieren die geplante eIDAS-Reform. Sie äußerten vor wenigen Wochen in einem offenen Brief die Befürchtung, dass die neue Verordnung es staatlichen Behörden ermöglichen könnte, die Kommunikation im Netz umfassend zu überwachen.
Konkret geht es um Artikel 45 des Verordnungsentwurfs. Er sieht vor, Browseranbieter dazu zu verpflichten, bestimmte qualifizierte Zertifikate (QWACs) zu akzeptieren. Zertifikate sollen im Internet die Authentizität, Integrität und Vertraulichkeit der Kommunikation sicherstellen.
„Irreführende Informationen“
Der offene Brief hat einen regelrechten Schlagabtausch ausgelöst. Auf der einen Seite stehen die Abgeordneten des EU-Parlaments, auf der anderen Vertreter:innen der Wissenschaft und der Zivilgesellschaft.
Die Abgeordneten bezeichneten die Kritik an der eIDAS-Reform vor wenigen Tagen in einem Informationsschreiben als „aggressive Desinformationskampagne“. Darauf haben die Verfasser:innen des offenen Briefes nun reagiert (PDF). Aus ihrer Sicht enthält das Schreiben der Abgeordneten „sehr verwirrende und manchmal irreführende Informationen“, die sie richtigstellen wollten. Sie sehen das Recht auf Privatsphäre und sichere Online-Kommunikation durch den Verordnungsentwurf weiterhin als nicht angemessen umgesetzt und schätzen das Risiko als erheblich ein.
Tatsächlich zeigt die Argumentation der Abgeordneten, dass diese zum einen offenkundig nicht verstehen, wie die Selbstregulierung bei den Zertifikaten bislang funktioniert. Zum anderen will die EU eine parallele Infrastruktur einrichten, was die jetzige Form der Selbstregulierung aushebeln und damit die Sicherheit im Internet gefährden würde. Deutlich wird dies an drei zentralen Behauptungen der Abgeordneten.
Zocken gegen den Bullshit
Behauptung Nr. 1: Es gibt bisher keinen Missbrauch von QWACs
So deute aus Sicht der Abgeordneten erstens nichts darauf hin, „dass der Einsatz von QWACS seit 2014 zu einer Massenüberwachung der Bürger durch die Regierungen geführt hat“ (Frage 2). Die Abgeordneten beziehen sich darauf, dass Artikel 22 der bestehenden eIDAS-Verordnung schon jetzt Mitgliedstaaten dazu verpflichtet, vertrauenswürdige Listen von qualifizierten Vertrauensdiensteanbietern zu erstellen, zu führen und zu veröffentlichen.
Die Forschenden entgegnen, dass die bestehende eIDAS-Verordnung Browseranbieter aber noch nicht dazu verpflichte, bestimmte qualifizierte Zertifikate der EU-Mitgliedstaaten in ihre Zertifikatelisten (certificate stores) aufzunehmen. Dies soll sich mit der geplanten Reform ändern – was einen Missbrauch einfacher ermögliche, so die Forschenden.
Außerdem hätten in der Vergangenheit nicht nur Kasachstan, China und Russland, sondern auch das EU-Mitglied Frankreich Zertifikate dazu genutzt, um die Internetkommunikation auszuspähen.
Behauptung Nr. 2: QWACs dienen nur der Identifikation
Zweitens verkennen die Abgeordneten des EU-Parlaments offenbar, dass diese Ausspähung technisch relativ einfach möglich ist. So behaupten sie, dass QWACs „keine andere Funktion haben, als die Identität hinter einer Website zu bescheinigen“ (Frage 8).
Das aber sei technisch falsch, so die Forschenden. Vielmehr würden QWACs sowohl für die Identifikation der kommunizierenden Stellen als auch für die Absicherung der Verschlüsselung der Kommunikation eingesetzt. Es gebe derzeit keinen Standard, der das eine von dem anderen trenne – ein QWACs-Zertifikat also, das nur die Identität beglaubige, und ein weiteres, das nur den öffentlichen Schlüssel für die vertrauliche Kommunikation angibt. Werden QWACs daher mit einem falschen Schlüssel ausgestellt, ließen sich damit also auch verschlüsselte Nachrichten abfangen und mitlesen.
Browseranbieter hätten zudem – anders als die Abgeordneten behaupten – nicht die Möglichkeit, die QWACs-Zertifikate eingeständig zu prüfen. Sie gewähren den Zertifikaten „nicht auf Grundlage ihrer eigenen Verfahren Zugang, sondern auf Basis von Verfahren, die von anderen festgelegt wurden“. Und die finale Entscheidung könnte laut Artikel 45 künftig „einer nationalen Aufsichtsbehörde“ obliegen, so die Forschenden. (Frage 9)
362.146 EUR
fehlen uns noch fuer unsere Arbeit.
Behauptung Nr. 3: Browseranbieter missbrauchen ihre Marktmacht
Die Abgeordneten behaupten drittens, dass die eIDAS-Reform „ein Kräftegleichgewicht zwischen der EU und den Browsern“ (Frage 11) schaffe. Aus ihrer Sicht sind die Browseranbieter zweierlei: Zum einen konkurrierten sie mit Qualified Trust Service Providern (QTSPs), da auch sie Website-Zertifikate etwa für Cloud-Hosting-Kunden ausstellen. Zum anderen seien sie „Regulatoren“ von QTSPs, weil sie eigene Regeln aufstellten. Sie verfügten demnach über zu viel Macht.
Dass sie ihre „monopolistischen Regulierungsbefugnisse“ auch missbrauchen würden, zeige sich laut den Abgeordneten daran, dass sie „alle Website-Besitzer und QTSPs zur Umstellung auf automatische 90-Tage-Website-Zertifikate (anstelle der derzeitigen 13-monatigen Zertifikatsgrenze) [zwingen], obwohl es im Internet-Ökosystem weit verbreiteten Widerstand gibt“.
Die Forschenden halten dagegen, dass sie sich nicht gegen eine Regulierung von Browseranbietern ausgesprochen hätten. Sie würden vor allem kritisieren, dass die eIDAS-Reform eigentlich darauf abziele, eine europäische ID-Wallet zu schaffen. Sie sei aber kein Sicherheitsgesetz und solle den Behörden daher auch nicht mehr Befugnisse bei Sicherheitsentscheidungen geben, so die Forschenden.
Darüber hinaus sprächen sich die meisten IT-Expert:innen für eine kürzere Gültigkeitsdauer von Zertifikaten aus. Auf diese Weise ließen sich unsichere Zertifikate schneller aus dem Verkehr ziehen. Dass die Abgeordneten ausgerechnet eine 13-monatige Laufzeit von Zertifikaten fordern, die damit eine jährliche Abrechnung erlaubt, sei aus Sicht der Forschenden kaum anders als mit kommerziellen Interessen zu begründen.
Fehlendes Verständnis auch beim deutschen Digitalministerium
Nicht nur in Brüssel, sondern auch im Digitalauschuss des Deutschen Bundestages war der offene Brief der Sicherheitsexpert:innen und NGOs zuletzt ein Thema. Dort stand am vergangenen Mittwoch unter anderem Marlene Letixerant den Abgeordneten Rede und Antwort. Im Bundesministerium für Digitales und Verkehr (BMDV) ist sie Referentin im Referat Datenschutz und Cybersicherheit in der digitalen Welt / Vertrauensdienste digitale Identitäten
Letixerant stellte im Ausschuss – auch wenn sie „es technisch nicht wirklich erklären“ könne – ebenfalls die Behauptung auf, dass die Browseranbieter den offenen Brief initiiert hätten (Videoaufzeichnung, ab Minute 46:20). Hintergrund sei, dass die Anbieter „natürlich“ kein Interesse daran hätten, QWACs in ihre Root-Stores aufzunehmen – obwohl diese sicherer seien als andere Zertifikate, so die Ministeriumsreferentin. Den rund 550 IT-Expert:innen, die den Brief bislang unterzeichnet haben, unterstellte Letixerant damit, nicht aufgrund ihrer technischen Sachkenntnis, sondern interessengeleitet zu argumentieren.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires