eIDAS 2.0-Kontroversen: wahre Bedrohung für die Internetfreiheit?

DAS WICHTIGSTE IM ÜBERBLICK

Zwischen den wichtigsten gesetzgebenden Organen der EU und mehreren Gruppen der Zivilgesellschaft, darunter Mozilla, ist eine Kontroverse über eIDAS 2.0 entbrannt. Worum geht es dabei?

Nach jahrelangen Verhandlungen der größten europäischen Regulierungsbehörden erlässt die EU ein neues Regelwerk für die digitale Identität: eIDAS 2.0.

Damit soll ein gemeinsamer Rahmen geschaffen werden, um die Sicherheit und Kontrolle digitaler ID-Daten auf kontinentaler Ebene zu gewährleisten, anstatt sich nur auf nationale Lösungen zu verlassen.

Es kam jedoch zu einem Streit zwischen den zuständigen EU-Gesetzgebungsorganen und mehreren Gruppen der Zivilgesellschaft, darunter auch die Community für kostenlose Software Mozilla.

Laut Mozilla gibt es ernsthafte Bedenken hinsichtlich des Gleichgewichts zwischen den Kontrollbefugnissen, die den staatlich zugelassenen Zertifizierungsstellen (engl. Certificate Authorities, CAs) eingeräumt werden.

Den Browsern bleibt nur sehr wenig Spielraum für Gegenmaßnahmen, wenn die CAs potenziell mit der Überwachung von Personen beginnen können.

Was sind die Grundlagen von eIDAS und die Motive für die Überarbeitung des Systems? Warum sind diese Änderungen so umstritten?

Wie wird sich die Zukunft der digitalen IDs in Europa entwickeln? Im Folgenden wird versucht, eine Antwort auf all diese Fragen zu finden, um ein klareres Bild von den Vorgängen zu erhalten.

Was ist eIDAS und was bringt 2.0 mit sich?

eIDAS ist eine Verordnung, mit der ein gemeinsamer Rahmen für alle 27 Länder der Europäischen Union für sichere und effiziente elektronische Interaktionen zwischen Unternehmen geschaffen wurde.

Die Abkürzung steht für Electronic Identification, Authentication, and Trust Services (elektronische Identifizierung, Authentifizierung und Vertrauensdienste).

eIDAS wurde 2014 verabschiedet und regelt alle Formen der elektronischen Identifizierung (eID), wie elektronische Signaturen, digitale Zertifikate und elektronische Siegel, sowie Vertrauensdienste für elektronische Transaktionen innerhalb des EU-Marktes.

Damit soll Privatpersonen und Unternehmen eine sichere Möglichkeit geboten werden, auf elektronischem Wege Geld zu überweisen oder Transaktionen durchzuführen, ohne dass sie dafür Papierdokumente benötigen.

Die Europäische Kommission hat eIDAS als Teil der umfassenderen Digital Agenda für Europa eingeführt.

Ihre Umsetzung zielte darauf ab, Innovation und Informationssicherheit zu fördern, indem der Schwerpunkt auf Interoperabilität und Transparenz bei grenzüberschreitenden Geschäften gelegt wurde.

eIDAS bildete den Rechtsrahmen, unter den schließlich mehrere Komponenten der Digital Agenda fielen.

Einige der wichtigsten davon waren:

  • Digitale Identität;
  • Elektronische Signatur (eSignatur);
  • Fortgeschrittene elektronische Signatur (engl. Advanced electronic signature, AdES);
  • Vertrauensdienste;
  • Qualifizierte Website-Authentifizierungszertifikate (engl. Qualified website authentication certificates, QWACs).

Ein Jahrzehnt später ist es soweit.

Am 9. Februar 2023 nahm der Ausschuss für Industrie, Forschung und Energie (engl. Industry, Research and Energy Committee, ITRE) eine Überarbeitung des eIDAS an, mit der mehrere Aspekte zur Anpassung an den technologischen Wandel in den folgenden Jahren geändert werden sollen.

Die in eIDAS 2.0 empfohlenen Neuerungen umfassen mehrere Punkte der ursprünglichen Verordnung von Datenschutz und Sicherheit bis hin zu grenzüberschreitender Identifizierung, digitalen Identitäts-Wallets und QWACs.

Während die meisten dieser Überarbeitungen oder Aktualisierungen nominell akzeptiert wurden, wurde die Änderung der QWACs und die Einrichtung von staatlich anerkannten Zertifizierungsstellen (CAs) von Gruppen von Cybersicherheitsexperten, Nichtregierungsorganisationen und Forschern weitgehend verurteilt.

Der Hauptgegenstand der Debatte ist vor allem Artikel 45.

Welcher Teil von eIDAS ist so umstritten?

Hunderte weltweit anerkannte Cybersicherheitsexperten, Nichtregierungsorganisationen und mehrere Branchenverbände wie Cloudflare, die Linux Foundation und Mozilla forderten die EU-Gesetzgeber lautstark auf, bei eIDAS 2.0 einen Schritt zurückzutreten.

Ihrer Ansicht nach stellt der aktualisierte Vorschlag eine ernsthafte Bedrohung für die Privatsphäre und die Menschenrechte dar, da er möglicherweise die Online-Sicherheit untergräbt und es den Regierungen ermöglicht, unerwünschte Überwachungsmaßnahmen bei verschlüsselter Internetkommunikation durchzuführen.

Versuchen wir, dies alles zu verstehen. Zunächst einmal zur Erklärung, was ein Qualitätszertifikat ist.

Bei jedem Besuch einer Website, die ein gesichertes Hypertext-Übertragungsprotokoll (engl. Hypertext Transfer Protocol, HTTPS) verwendet, sehen wir links neben der URL ein kleines Vorhängeschloss.

Dieses zeigt an, dass die gesamte Kommunikation zwischen dem Webbrowser und dem Server sicher ist, da die Identität des Servers authentifiziert wurde.

Dies ist besonders wichtig, um Man-in-the-Middle-Angriffe zu verhindern, bei denen böswillige Organisationen den Netzwerkverkehr abfangen und das tatsächliche Ziel des Users fälschen.

Aber wer entscheidet, wann diese Verbindungen sicher sind und somit als vertrauenswürdig gelten? Hier kommen die Zertifizierungsstellen ins Spiel Vermittler, die die Zertifikate freigeben.

Sie werden von Hosts und Browsern überprüft, um sicherzustellen, dass ein von ihnen freigegebenes Zertifikat vertrauenswürdig ist.

Diese Zertifizierungsstellen sind der Punkt, an dem die Europäische Kommission eingreifen will. Nach Ansicht der Befürworter der Änderungen der EU-Verordnung sind die Browser sowohl Kontrolleure als auch Kontrollierte, die zu viel Macht in ihren Händen zentralisieren.

Sie sind diejenigen, die die Zertifikate überprüfen und sie an Cloud-Hosting-Dienste ausstellen, und besitzen damit viel mehr Macht als beabsichtigt.

Darüber hinaus argumentiert der Europäische Signaturdialog (European Signature Dialog, ESD), dass die von den Browsern aufgestellten Regeln zur Bestimmung der Gültigkeit eines Zertifikats subjektiv sind und möglicherweise nur zur Förderung ihrer kommerziellen Interessen dienen.

Die Antwort, die diese übermäßige Macht aus ihren Händen in die Hände der Regierungsbehörden verlagern würde, sind in der Tat die QWACs.

Diese Zertifikate werden die von CAs ausgestellten ersetzen und eine weitere Ebene der Transparenz hinzufügen. Dadurch wird deutlich, wer der Betreiber und der rechtliche Eigentümer der Website ist.

Nach Ansicht der Gegner von Artikel 45 von eIDAS 2.0 ist diese Änderung jedoch nicht nur schlecht, sondern schrecklich.

Warum könnte Artikel 45 eine Gefahr für die Internetfreiheit darstellen?

QWACs werden von Zertifizierungsstellen erteilt, die von Regierungen und nicht von privaten Unternehmen anerkannt werden.

Dies wäre eine sehr gute Sache, wenn es um die Ausstellung von Zertifikaten für staatliche Identitäten geht, z. B. für staatliche Websites und Dienste. Wenn es jedoch um die Weite des Internets geht, können die Dinge ein wenig unklarer werden.

Die von CAs kontrollierten Root-Zertifikate (unabhängig davon, ob es sich um staatlich anerkannte oder rein private Einrichtungen handelt) stellen die Authentifizierungsmechanismen bereit, um sicherzustellen, dass die von der Website verwendeten kryptografischen Schlüssel ausschließlich Eigentum dieser Website sind.

Das bedeutet, dass derjenige, dem das Root-Zertifikat gehört, den Datenverkehr dieser Website abfangen kann, indem er die kryptografischen Schlüssel durch andere aus seinem Besitz ersetzt.

Dies ist äußerst gefährlich, da es mehrere Fälle gibt, in denen nationale, von Regierungen unterstützte Zertifizierungsstellen diese Taktik angewandt haben sollen, um Bürgerinnen und Bürger sowohl innerhalb Europas wie in Frankreich als auch außerhalb Europas, wie in Kasachstan oder der Türkei, auszuspionieren.

Selbst wenn es nicht die Regierung ist, die die Bürger ausspioniert, können staatliche Zertifizierungsstellen das Ziel von Angriffen böswilliger Organisationen sein.

So wurde eine niederländische CA gehackt, um die Internetaktivitäten iranischer Nutzer abzuhören.

Eine weitere Befürchtung ist das Risiko, dass die Regierungen aller EU-Mitgliedstaaten ihre zuständigen Behörden in eine zentralisierte, unveränderliche Liste aufnehmen könnten.

Das bedeutet, dass die Böswilligkeit (oder im Sinne von Hanlons Rasiermesser: Ungeschicklichkeit) eines einzelnen Staates oder einer Behörde möglicherweise das Leben aller in Europa lebenden Bürger beeinträchtigen könnte.

Der letzte Aspekt, gegen den die Gegner von Artikel 45 argumentieren, betrifft die Tatsache, dass Browser keine Möglichkeit zur Ergreifung von Gegenmaßnahmen haben.

Selbst wenn sie verdächtige Aktivitäten einer Zertifizierungsstelle feststellen, wie z. B. das Abfangen von verschlüsseltem Datenverkehr, haben sie keine rechtliche Handhabe, dies zu unterbinden oder den von dieser CA ausgestellten Zertifikaten zu misstrauen.

In ihren Worten sind ihnen die Hände gebunden: Jeder Bürger müsste diesen Zertifikaten vertrauen.

Fazit

Es gibt zwei Seiten des Arguments: Auf der einen Seite ist die Zentralisierung der Macht in den Händen einiger weniger großer Technologieunternehmen selten eine gute Sache für irgendjemanden, außer für die Unternehmen selbst.

Auf der anderen Seite sieht die von den EU-Behörden vorgeschlagene Lösung meist so aus, dass das Machtgleichgewicht von einem Akteur zum anderen verschoben wird, ohne dass ein Mittelweg in Sicht wäre.

Wie üblich liegt das Schicksal vieler Menschen in den Händen einiger weniger in diesem Fall ein paar Großkonzerne gegen eine Gruppe von EU-Kommissaren.

Was am Ende zählt, ist, dass, welche Lösung auch immer sie finden, wir nur hoffen können, dass sie zum Wohle aller im Hinblick auf die Sicherheit und Transparenz des Internets sein wird.

Nach Ansicht von mehr als 50 Organisationen und über 550 Wissenschaftlern und Forschern aus 42 Ländern ist die auf dem Tisch liegende Lösung nicht der richtige Weg, um das Problem anzugehen.

Verwandte Begriffe

Claudio Buttice

Dr. Claudio Butticè, Pharm.D., ist ein ehemaliger Klinik- und Krankenhausapotheker, der für mehrere öffentliche Krankenhäuser in Italien sowie für die humanitäre Nichtregierungsorganisation Emergency arbeitete. Heute ist er ein erfolgreicher Buchautor, der über Themen wie Medizin, Technologie, Armut in der Welt, Menschenrechte und Wissenschaft für Verlage wie SAGE Publishing, Bloomsbury Publishing/ABC-Clio und Mission Bell Media geschrieben hat. Seine neuesten Bücher sind "Universal Health Care" (2019) und "What You Need to Know about Headaches" (2022). Als Datenanalyst und freiberuflicher Journalist wurden viele seiner Artikel in Zeitschriften wie Cracked, The Elephant, Digital Journal, The Ring of Fire und Business Insider veröffentlicht. Dr. Butticè…