Europäische elektronische Identität (EUid): EU-Parlament beschließt umstrittene Verordnung

Das EU-Parlament hat in einer kontroversen Abstimmung eine lang umstrittene Verordnung für eine europäische elektronische Identität (EUid) beschlossen. Die Verordnung basiert auf digitalen Brieftaschen, auch E-Wallets genannt. Mit 335 zu 190 Stimmen bei 31 Enthaltungen wurde der Beschluss gefasst. Bis zuletzt wurde darüber gestritten, ob Browser wie Chrome, Edge, Firefox, Opera und Safari gemäß der Novelle der eIDAS-Verordnung qualifizierte Zertifikate für die Authentifizierung von Webseiten akzeptieren müssen. Diese Position wurde von der EU-Kommission vertreten.

Der Beschluss zur Einführung von Qualified Website Authentication Certificates (QWACs) im November führte zu Kritik von Wissenschaftlern und Bürgerrechtlern. Als Reaktion darauf wurden Passagen eingefügt, die sicherstellen sollen, dass die etablierten Sicherheitsregeln und -standards der Branche eingehalten werden. Durch den Einsatz von QWACs sollen Nutzer die Möglichkeit haben, die Identität der Betreiber einer Website zu überprüfen. Für Anbieter wie D-Trust stellt dies einen wichtigen Beitrag im Kampf gegen Phishing dar.

Experten haben bereits mehrfach darauf hingewiesen, dass staatliche Root-Zertifikate die Möglichkeit von Behörden erhöhen könnten, verschlüsselte Kommunikation durch sogenannte Man-in-the-Middle-Angriffe abzuhören. Ein Beispiel dafür ist die Regierung von Kasachstan, die im Jahr 2020 ihre Bürger zwang, ein solches Zertifikat zu akzeptieren, um den Datenverkehr überwachen zu können. Damals waren die Browserhersteller jedoch in der Lage, schnell zu handeln.

Um auf Sicherheitsbedenken oder Verluste der Integrität eines bestimmten Zertifikats reagieren zu können, wurde ein neuer Artikel 45a in die Verordnung aufgenommen. Dieser regelt, dass Webbrowser-Anbieter in Absprache mit Behörden und Ausstellern Vorsorgemaßnahmen treffen können.

Im Erwägungsgrund 65 wird zudem festgehalten, dass die Verpflichtung zur Anerkennung, Interoperabilität und Unterstützung qualifizierter Zertifikate für die Authentifizierung von Webseiten die Freiheit der Anbieter von Webbrowsern nicht einschränkt. Sie können weiterhin die Websicherheit, Domänenauthentifizierung und Verschlüsselung des Webverkehrs auf die von ihnen als am besten geeignete Weise und mit entsprechender Technologie sicherstellen. Die EU-Kommission unterstützt diese Klarstellung.

Mozilla, der Hersteller von Firefox, betrachtet die Ergänzungen als einen Triumph für die Sicherheit im Web. Bei der Umsetzung von eIDAS wird darauf geachtet, dass keine Überwachung und Abhörung des Webverkehrs ermöglicht wird.

Gemäß der Reform sind die EU-Staaten nun verpflichtet, allen Bürgern und Unternehmen zukünftig eine E-Wallet zur Verfügung zu stellen. Die digitale Brieftasche ermöglicht es den Nutzern, ihre nationale eID freiwillig in erster Linie auf Mobilgeräten zu speichern und mit anderen persönlichen Attributen wie Führerschein, Abschlusszeugnissen, Geburts- oder Heiratsurkunden, Zahlungsdaten und ärztlichen Rezepten zu verknüpfen. Die ursprünglich von der Kommission geforderte Verpflichtung, die eID als lebenslange Personenkennziffer zu gestalten, wurde nicht aufgenommen. Der App-Client muss eine Open-Source-Software sein. Der Branchenverband Bitkom betrachtet dies als Grundlage für eine effektive digitale Kommunikation zwischen Bürgern, Verwaltung und Wirtschaft.

Der EU-Abgeordnete Patrick Breyer von der Piratenpartei bleibt skeptisch und warnt vor Datensammlung, Überwachung der Nutzer und einem Angriff auf die Verschlüsselung. Auch die Bürgerrechtler von Epicenter.works äußern Bedenken: Die weitreichende Verfügbarkeit von eID-Systemen birgt ein neues Potenzial für Missbrauch und Überwachung.

Schlagwörter: Chrome + Edge + Firefox

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 1. März 2024