Internet-Verwalter monieren EU-Pläne für elektronische Identifikationen

Das RIPE NCC (Das Network Comminication Centre der Réseaux IP Européens) warnte beim 67. RIPE-Treffen in Athen vor negativen Auswirkungen der geplanten eID-Verordnung der EU.

Athina Fragkouli, Juristin beim RIPE NCC, nannte die Einbeziehung der Authentifizierung von Webseiten, die Listung der Zertifikatsanbieter und die Regulierung von Standards durch die Kommission besonders kritisch (PDF-Datei). Bereits im Sommer hatte sich die Adressverwaltung mit ihren Bedenken an Kommission und Rat gewandt. Nach den Vorschlägen der Kommission erstreckt sich die geplante Verordnung nicht nur auf elektronische Identitäten und die dafür notwendige Authentifizierung, sondern im Entwurf wird auch die Authentifizierung von Webseiten explizit aufgeführt. Die Regulierung kollidiert dabei nach dem Verständnis des RIPE NCC unter anderem mit dem Authentitifizierungsmodell von Domains, die mittels DNSSEC kryptographisch gesichert werden. DNSSEC nutzt eine hierarchische und letztlich auf Zertifikaten von DNS-Anbietern in aller Welt aufbauende Vertrauenskette.

Auch die vorgeschlagene Listung der jeweiligen Sicherheits- oder Zertifikatsanbieter und die Möglichkeit für die Kommission, selbst Standards für diese festzulegen, könnte dazu führen, dass die von den Selbstverwaltungsorganisationen entwickelten technischen Lösungen künftig mit EU-Recht kollidieren. Das RIPE NCC hat sich im Sommer bereits per Brief an Rat und Parlament (PDF-Datei) gewandt und die Streichung einer beachtlichen Liste von Klauseln in der eID-Verordnung gefordert. Dem folgte der Industrieausschuss mit seiner vergangenen Montag abgesegneten Fassung aber nur teilweise. Die komplette Streichung der Authentifizierung von Webseiten und der Listung vertrauenswürdiger Anbieter, beides hatte Amelia Andersdotter (Piraten/Grüne) vorgeschlagen, wurde abgelehnt.

Elena Plexida vom griechischen Ministerium für Transport und Kommunikation versicherte, viele Mitgliedsstaaten hätten ihrerseits Bedenken in Bezug auf die eID-Regulierung. Die litauische Ratspräsidentschaft habe Ende September auf dieser Basis einen neuen Entwurf vorgelegt. Der werde nun von den Ratsmitgliedern Artikel für Artikel durchgearbeitet, bevor die Verhandlungen mit dem Parlament beginnen. Kritik von Seiten der RIPE-Mitglieder solle jetzt rasch eingebracht werden. Die Verabschiedung fällt möglicherweise in die am 1. Januar beginnende griechische Ratspräsidentschaft.

Dass man in deren Verlauf auch das von Neelie Kroes vorgelegte Paket zur digitalen Agenda verabschieden kann, bezeichnete die Ratsvertreterin als "ambitioniert". Auch die in dieses Paket mit aufgenommene Richtlinie zu gemeinsamen Standards für die Netzwerksicherheit bereitet dem RIPE NCC Sorgen. Insbesondere fürchtet man auch dort, dass die Kommission selbst Standards für Sicherheitsdiensteanbieter vorgeben will. Eine Art Mandatierung von Standards widerspreche dem Modell der Selbstverwaltungen und auch früheren Positionen der EU in Bezug auf das Internet, so Fragkouli. Die Regulierung, die unter anderem auch die Frage nach dem EU-weiten gesicherten Austausch von Gesundheitsdaten umfasst, soll eine ältere Richtlinie ablösen, die den Mitgliedsstaaten mehr Freiheit gelassen hatte, allerdings kaum praktisch umgesetzt worden war. Mit dem neuen Instrument sollen Anforderungen für die eID und e-Authentifizierung demgegenüber festgezurrt werden. (hps)