Hunderte Experten warnen vor staatlichen Root-Zertifikaten

Inhaltsverzeichnis

Die verpflichtende Einführung staatlich kontrollierter qualifizierter Website-Zertifikate ist Experten ein Dorn im Auge. Denn sie ermöglichen staatlichen Diensten das Abhören verschlüsselter Kommunikation durch sogenannte Man-in-The-Middle Attacken. Mehr als 400 namhafte Wissenschaftler, Forscher sowie Organisationen wie der Chaos Computer Club und European Digital Rights (EDRi) fordern die Europäische Union erneut auf, kritische Punkte aus der eIDAS-Verordnung (electronic IDentification, Authentication and trust Services, elektronische Identifizierungs- und Vertrauensdienste) zu überdenken.

Besonders in der Kritik stehen die Artikel 45 und 45a der geplanten Verordnung. Sie legen fest, dass Browser zukünftig sogenannte QWACs, qualifizierte Website-Authentifizierungs-Zertifikate, als vertrauenswürdig akzeptieren müssen. Damit plant die EU, ein zusätzliches System für Zertifikate zu etablieren, das in der EU zudem gesetzlich vorgeschrieben wird. Kontrolliert würden die neuen QWACs von den einzelnen EU-Mitgliedsstaaten. Diesen Zertifikaten müsste jeder Bürger vertrauen, eine Abmeldung ist nicht vorgesehen. Darüber hinaus sieht der Vorschlag vor, dass Zertifikate nicht ohne Zustimmung der jeweiligen Regierung entfernt werden dürfen, um etwa einen Sicherheitsvorfall bei einer CA einzudämmen.

Dieses Vorhaben stößt auf heftigen Widerstand der Unterzeichner. Ihrer Ansicht nach sei es gefährlich, den Regierungen aller EU-Länder die Kontrolle über die kryptografischen Schlüssel für TLS (Transport Layer Security) zu geben. Wer diese Schlüssel kontrolliert, kann verschlüsselte Kommunikation abhören und somit das Vertrauen in TLS untergraben.

Umfassender Einsatz von TLS

Schon 2022 hatten 38 IT-Sicherheitsforscher vor dem Vorhaben gewarnt, mittlerweile haben sich dieser Initiative rund 400 weitere Unterzeichner angeschlossen. "Der Gesetzentwurf konzentriert sich auf die Browser-Nutzung von TLS, aber TLS wird weitaus umfassender als nur im Internet eingesetzt", kritisierte im vorigen Jahr Vinton G. Cerf, einer der "Väter des Internet" und derzeit Google-Mitarbeiter.

Eine räumliche Beschränkung der EU-TLS-Variante auf das Unionsgebiet sei zudem technisch nicht umsetzbar. Die staatlichen Zertifizierungsstellen könnten somit Zertifikate für jeden und überall ausstellen. Browserhersteller begäben sich in unlösbare Konflikte zwischen EU- und Nicht-EU-Gesetzgebung, so Cerf weiter.

"Staatlich vorgeschriebene Root-Zertifikate"

Das Pflicht-Vertrauen in staatliche Stellen ist nicht immer gerechtfertigt. So hat die Regierung Kasachstans ihren Bürgern im Jahr 2020 ein eigenes Wurzelzertifikat aufgedrängt, um deren verschlüsselten Datenverkehr mitlesen zu können. Die Browser-Hersteller reagierten schnell und blockierten die unsicheren staatlichen Root-Zertifikate. Alexis Hancock von der EFF gibt zu bedenken, dass diese schnelle Reaktion durch das bestehende Ökosystem aus CAs und Browsern begünstigt worden sei: "Die Browser-Anbieter konnten schnell reagieren, Gesetze sind nicht so schnell", so die Aktivistin.

ID-Wallets zum Schutz der Privatsphäre?

Ebenfalls kritisch äußern sich die Autoren zur geplanten European Digital Identity Wallet (EUid-Brieftasche), die wichtige Nachweise für die grenzüberschreitende Nutzung auf dem Smartphone bündeln soll. Die Verordnung betone an mehreren Stellen die "Notwendigkeit der europäischen ID-Wallet zum Schutz der Privatsphäre" samt Datenminimierung und der Prävention von Profiling. Demnach erlaube die Gesetzgebung, dass beispielsweise Regierungen Kenntnis über die Verwendung von Anmeldeinformationen aus der ID-Wallet erlangen, die sich über alle Lebensbereiche erstreckt – von Gesundheit, Finanzen, Online-Aktivitäten bis hin zu öffentlichen Verkehrsmitteln.

Daher sehen die Unterzeichner "die Privatsphäre der EU-Bürger erheblich gefährdet". Die Daten dürften nicht miteinander verknüpfbar und nicht nachverfolgbar sein. Daher drängen die Unterzeichner des offenen Briefs "auf eine Neubewertung der Gesetzgebung". Der aktuelle Entwurf sei mehrdeutig und untergrabe "das Vertrauen in Browser als weltweit eingesetztes Element des Internets".

Für das Cloud-Projekt Gaia X, das laut Bundeswirtschaftsministerium eine sichere europäische Dateninfrastruktur gewährleisten soll, wird die Telekom-Tochter T-Systems künftig eine ID-Wallet zur Verfügung stellen. Zudem wurde T-Systems vom IT-Dienstleister Datev mit einer ID-Lösung beauftragt.

Indisches Aadhaar-System geleakt

In anderen Ländern ist man schon weiter: 2009 wurde beispielsweise in Indien das Aadhaar-System eingeführt, das biometrische und biografische Daten zentral bei der Unique Identification authority of India (UIDAI) speichert. Das System wurde vom ehemaligen Chefökonom der Weltbank, Paul Romer, als "ausgeklügeltestes System" für Finanztransaktionen bezeichnet, geriet aber aufgrund von Überwachungstendenzen in die Kritik. 2017 kam es zudem zu einem Datenschutzvorfall, bei dem die Aadhaar-Nummern der gesamten indischen Bevölkerung geleakt wurden. Erst kürzlich tauchten Daten Hunderttausender Inder im Datenhehlerform BreachForums auf. Stand Februar 2023 haben 569 Millionen Menschen indische Wahlberechtigte (60 Prozent der Gesamtbevölkerung) ihre Wähler-ID mit dem Aadhaar-System verknüpft.

(mack)