Experten warnen: EU-Pläne gefährden Privatsphäre durch Website-Zertifikate

Experten in Dorm haben den Fokus auf die verbindliche Implementierung von Website-Zertifikaten gelegt, die staatlich kontrolliert und qualifiziert sind. Diese Zertifikate erlauben es staatlichen Diensten, verschlüsselte Kommunikation durch sogenannte Man-in-The-Middle Attacken abzuhören.

Eine erneute Aufforderung von über 400 angesehenen Wissenschaftlern, Forschern und Organisationen wie dem Chaos Computer Club und European Digital Rights (EDRi) richtet sich an die Europäische Union. Sie fordern, dass kritische Aspekte der eIDAS-Verordnung (electronic IDentification, Authentication and trust Services, elektronische Identifizierungs- und Vertrauensdienste) überdacht werden. Die Artikel 45 und 45a der geplanten Verordnung stehen besonders im Fokus der Kritik.

Diese Artikel bestimmen, dass Browser in Zukunft verpflichtet sind, sogenannte QWACs (qualifizierte Website-Authentifizierungs-Zertifikate) als vertrauenswürdig anzuerkennen. Die EU plant die Etablierung eines zusätzlichen Zertifikatsystems, das auch gesetzlich in der EU vorgeschrieben wird. Die neuen QWACs würden von den einzelnen Mitgliedsstaaten der EU kontrolliert werden. Es ist vorgesehen, dass jeder Bürger diesen Zertifikaten vertrauen muss, da eine Abmeldung nicht vorgesehen ist.

Außerdem sieht der Vorschlag vor, dass Zertifikate nur mit Zustimmung der entsprechenden Regierung entfernt werden dürfen, um beispielsweise Sicherheitsvorfälle bei einer Zertifizierungsstelle einzudämmen. Die Unterzeichner leisten heftigen Widerstand gegen dieses Vorhaben. Sie sind der Meinung, dass es bedenklich ist, den Regierungen aller EU-Länder die Kontrolle über die kryptografischen Schlüssel für TLS (Transport Layer Security) zu übertragen. Indem man die Kontrolle über diese Schlüssel hat, besteht die Möglichkeit, verschlüsselte Kommunikation abzuhören und somit das Vertrauen in TLS zu gefährden.

Bereits im Jahr 2022 haben 38 IT-Sicherheitsforscher vor dem Vorhaben gewarnt, und mittlerweile haben sich dieser Initiative weitere 400 Unterzeichner angeschlossen. Im vergangenen Jahr äußerte Vinton G. Cerf, einer der Pioniere des Internets und derzeit bei Google beschäftigt, Kritik an dem Gesetzentwurf. Er bemängelte, dass der Fokus des Entwurfs auf der Verwendung von TLS in Browsern liegt, obwohl TLS in viel breiterem Umfang als nur im Internet eingesetzt wird. Es ist technisch nicht möglich, die EU-TLS-Variante auf das Unionsgebiet räumlich zu beschränken.

Aufgrund dieser Regelung wären die staatlichen Zertifizierungsstellen befugt, Zertifikate für beliebige Personen und an beliebigen Orten auszustellen. Laut Cerf geraten Browserhersteller in unüberwindbare Konflikte zwischen EU- und Nicht-EU-Gesetzgebung. Es gibt nicht immer eine berechtigte Grundlage für das obligatorische Vertrauen in staatliche Stellen. Im Jahr 2020 erzwang die Regierung von Kasachstan bei ihren Bürgern die Verwendung eines eigenen Wurzelzertifikats, um den verschlüsselten Datenverkehr mitlesen zu können. Die Hersteller von Webbrowsern handelten prompt und sperrten die unsicheren staatlichen Root-Zertifikate.

Die Aktivistin Alexis Hancock von der EFF weist darauf hin, dass diese schnelle Reaktion durch das bestehende System von Certificate Authorities (CAs) und Browsern begünstigt wurde. Sie betont, dass Browser-Anbieter schnell handeln konnten, während Gesetze nicht so schnell angepasst werden können. Die Autoren äußern ebenfalls kritische Bedenken bezüglich der geplanten European Digital Identity Wallet (EUid-Brieftasche), die dazu dienen soll, wichtige Nachweise für die grenzüberschreitende Nutzung auf dem Smartphone zu bündeln.

Die Verordnung betont mehrfach die Notwendigkeit der europäischen ID-Wallet, um die Privatsphäre zu schützen, die Datenmenge zu minimieren und Profiling vorzubeugen. Gemäß der Gesetzgebung ist es möglich, dass Regierungen Zugang zu Informationen aus der ID-Wallet erhalten, die sich auf verschiedene Lebensbereiche erstrecken, wie Gesundheit, Finanzen, Online-Aktivitäten und öffentliche Verkehrsmittel. Aus diesem Grund sind die Unterzeichner der Meinung, dass die Privatsphäre der EU-Bürger in erheblichem Maße bedroht ist.

Die Unterzeichner des offenen Briefs drängen auf eine Überprüfung der Gesetzgebung, da die Daten weder miteinander verknüpft noch nachverfolgbar sein dürfen. Der gegenwärtige Entwurf ist zweideutig formuliert und schwächt das Vertrauen in Browser als weltweit genutztes Element des Internets. Die Telekom-Tochter T-Systems wird zukünftig eine ID-Wallet für das Cloud-Projekt Gaia X bereitstellen. Dieses Projekt hat das Ziel, eine sichere europäische Dateninfrastruktur gemäß den Vorgaben des Bundeswirtschaftsministeriums zu gewährleisten. Darüber hinaus erhielt T-Systems den Auftrag von dem IT-Dienstleister Datev, eine ID-Lösung bereitzustellen.

Schlagwörter: Staatlich kontrollierte WebsiteZertifikate + Artikel 45 und 45a der eIDASVerordnung + European Digital Identity Wallet

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 7. November 2023