In Brüssel steht die Reform der eIDAS-Verordnung kurz vor der Abstimmung durch das EU-Parlament. Im Kern geht es dabei um digitale Identitäten und ein technisches System, mit dem sich Bürger in Europa digital ausweisen können. Ganz nebenbei haben es auch Absätze in die Reform geschafft, die tief in die Sicherheit von Internetbrowsern eingreifen, schlimmstenfalls staatliche Überwachung ermöglichen und die Handschrift von wenigen kommerziellen Anbietern tragen. Das zeigen Recherchen des Computermagazins c’t.
Wer Computer, Software und das Internet nutzt, muss ständig anderen vertrauen. Den Herstellern von Hardware, den Herstellern des Betriebssystems und von Software wie dem Internetbrowser. Schließlich könnten all diese Hintertüren eingebaut haben, um ihre Nutzer zu überwachen. Im Internet kommt eine weitere Ebene des Vertrauens hinzu: Sobald man eine Internetseite öffnet, sendet der Server des Anbieters ein digitales Zertifikat, mit dem er sich ausweist. Der Browser kann das prüfen und sicherstellen, dass niemand die Verbindung abhört und niemand den Verkehr manipuliert hat.
Das ist keine hypothetische Gefahr, totalitäre Regimes und Geheimdienste weltweit haben großes Interesse, den Verkehr ihrer eigenen oder von ausländischen Bürgern abzuhören. Die Prüfung des Zertifikats hat aber eine Grenze: Jedes Zertifikat, das ein Serverbetreiber hinterlegt, ist von einer Zertifizierungsstelle signiert, deren Zertifikat wiederum von einer Zertifizierungsstelle signiert wurde. Die Kette endet bei einer Stammzertifizierungsstelle, der man schlicht vertrauen muss. Aktuell kümmern sich die großen Browserhersteller wie Google, Mozilla, Microsoft und Apple gemeinsam darum, Standards aufzustellen, wie seriöse Zertifizierungsstellen ausgewählt werden. Dazu holen sie vor allem das Wissen von Sicherheitsforschern weltweit ein und arbeiten möglichst transparent.
Dieses Verfahren wollen die Verhandler in Brüssel, die den aktuellen Entwurf für die eIDAS-Verordnung erarbeitet haben, aufbrechen. Künftig sollen Browserhersteller in Europa per Gesetz verpflichtet werden, Stammzertifikaten von europäischen Zertifizierungsstellen zu vertrauen, die von staatlichen Stellen der Mitgliedsstaaten überwacht werden. Die neuen EU-Zertifikate heißen QWACs und sollen optisch im Browser zusätzlich hervorgehoben werden. Für die europäischen Zertifizierungsstellen steht dahinter ein neues Geschäftsmodell – denn Zertifizierungsstellen lassen sich das Prüfen der Identität einer Person oder eines Unternehmens bezahlen – ein QWAC könnte mehrere Hundert Euro im Jahr kosten. Aktuell nutzen sehr viele Serverbetreiber eine kostenlose Zertifizierungsstelle, die von einer Nichtregierungsorganisation betrieben wird.
Verhandelt wurde diese Gesetzesänderung hinter verschlossenen Türen im sogenannten Trilogverfahren. Nachdem die Einigung im November durchgesickert war, regte sich heftiger Widerstand. Die Redaktion der c’t hat diese Entwicklungen intensiv verfolgt und die Interessenlinien nachvollzogen. „Aktuell gibt es in Brüssel einen Kampf um die Deutungshoheit zwischen Nichtregierungsorganisationen und Sicherheitsforschern auf der einen und den kommerziellen Zertifizierungsstellen auf der anderen Seite“, fasst Jan Mahn vom Computermagazin c’t die Lage zusammen.
Kern der Kritik aus Reihen der Sicherheitsforscher: Die Politiker beleben mit den QWACs Sicherheitskonzepte wieder, die sich in zahlreichen Studien und den Lehren aus den vergangenen Jahrzehnten als nicht wirksam erwiesen hätten. Vor einigen Jahren gab es bereits spezielle Zertifikate, die im Browser mit einem grünen Schloss dargestellt wurden und nicht mehr Sicherheit schafften. Ganz nebenbei, so die Kritik, schaffe man eine Gelegenheit für staatliche Hintertüren, weil die Pflicht-Zertifizierungsstellen nur von ihrem jeweiligen Staat zur Rechenschaft gezogen werden können. Das Schreckensszenario, das technisch nicht ausgeschlossen wäre: Die staatliche Zertifizierungsstelle von Ländern wie Ungarn könnte falsche Zertifikate für alle Websites ausstellen und der Geheimdienst des Landes könnte den Verkehr mitlesen. Technisch gibt es keinen Mechanismus, dass ungarische Zertifikate nur dort gelten – das Szenario träfe damit alle Europäer.
In Brüssel stehen aktuell die Europawahlen 2024 vor der Tür, daher sollen gerade neben eIDAS unter Zeitdruck auch viele weitere Gesetzgebungsverfahren zu Digitalthemen abgeschlossen werden.