eIDAS-Reform: Sicherheitsexperten warnen vor staatlicher Webauthentifizierung
38 Forscher kritisieren die EU-Initiative, bestimmte Browserzertifikate für die Webseiten-Authentifizierung mit der geplanten EUid in den Markt zu drücken.
(Bild: Ivan Marc/Shutterstock.com)
Geht es nach der EU-Kommission, sollen Browser wie Chrome, Edge, Firefox, Opera und Safari bald Zertifikate nach dem EU-eigenen Qualified Website Authentication Certificates-Standard für die Webseiten-Authentifizierung anerkennen müssen. Dies sieht der Entwurf für eine Novelle der eIDAS-Verordnung vor, mit dem auch eine neue europäische digitale Identität (EUid) eingeführt werden soll. 38 renommierte IT-Sicherheitsforscher warnen nun aber, dass das Vorhaben nach hinten losgehen könnte.
"Wir verstehen zwar, dass der Zweck dieser Bestimmungen darin besteht, die Authentifizierung im Internet zu verbessern", schreiben die Experten in einem am Donnerstag veröffentlichten Brief an das EU-Parlament. In der Praxis hätten sie aber "den gegenteiligen Effekt" und würden die Sicherheit im Web "drastisch schwächen". Dies führe in einer Zeit, in der viele Europäer sich vor Identitätsdiebstählen und Cyberkriminalität fürchteten, zu großen Risiken.
Zertifikate wichtiger Sicherheitsbaustein
Eine Authentifizierung im Web stellt generell sicher, dass Daten an die richtigen Empfänger gehen und nicht an Cyberkriminelle, die sich einen Domainnamen zugelegt haben und darüber gefälschte Webseiten betreiben. "Sie ist ein wichtiger Baustein der digitalen Gesellschaft und die Grundlage für den Handel und den öffentlichen Dienst", führen die Wissenschaftler und Techniker aus, zu denen Daniel Bernstein, Ian Goldberg, Alex Halderman, Tibor Jager, Tanja Lange, Wendy Seltzer vom World Wide Web Consortium (W3C) sowie Alexis Hancock und Jon Callas von der Electronic Frontier Foundation (EFF) gehören.
In der Praxis wird die Sicherheitsfunktion durch Website-Zertifikate gewährleistet, die die Identität einer Webseite bestätigen. Angesichts der Bedeutung dieses Verfahrens müssten Aussteller einschlägiger Nachweise vorab strikt überprüft werden, betonen die Unterzeichner. Diesen Prozess führten derzeit in der Regel Browserhersteller wie Apple, Google, Microsoft und Mozilla "im Namen ihrer Nutzer" durch. Wer in deren entsprechende Programme aufgenommen werden wolle, müsse hohe Sicherheitsstandards erfüllen.
QWACs mit Mängeln
Mit Artikel 45 Absatz 2 des Entwurfs wolle die Kommission nun die Einführung von Qualified Website Authentication Certificates (QWACs) vorantreiben, heißt es in dem Schreiben. Dabei handle es sich um eine spezifische Form von Zertifikaten, die schon in der ursprünglichen eIDAS-Verordnung von 2014 angelegt gewesen seien, "sich aber aufgrund von Mängeln bei der technischen Umsetzung im Ökosystem nicht durchgesetzt" hätten.
Mit der geplanten Reform würden die Browser-Hersteller nun verpflichtet, QWACs unabhängig von ihren eigenen Prüfrichtlinien zu akzeptieren, monieren die Forscher. Diese würde das gesamte, von vielen Interessensvertretern getragene Ökosystem "für die Absicherung des Surfens im Internet" unterwandern und "die Cyber-Sicherheitsrisiken für die Internetnutzer erheblich erhöhen".
Da mit dem Vorschlag einige Website-Zertifikate die bestehenden Sicherheitsstandards umgehen dürften, erhöht der vorgesehene Artikel 45 laut den Experten die Gefahr, dass unsichere, aber ordnungsgemäß ausgestellte Nachweise an Cyber-Kriminelle gehen. Die IT-Sicherheitscommunity könnte dann nicht mehr hinreichend schnell reagieren, wenn ein solcher Missbrauch festgestellt werde.
"Gefährliche Tendenz in der Cybersicherheitspolitik"
Allgemein signalisiere der ins Spiel gebrachte Ansatz "eine gefährliche Tendenz in der Cybersicherheitspolitik", warnen die Sachverständigen: "Er zwingt privaten Akteure dazu, die Verantwortung für ihre Produkte und Dienstleistungen abzugeben." Demgegenüber stehe die Annahme, dass staatlich benannten Zertifizierungsstellen den Sicherheitsstandards der Regierung unterlägen und so kein Risiko darstellen könnten. Diese Herangehensweise stehe aber im Widerspruch zu den etablierten Normen im Bereich der Cybersicherheit und des bereichsübergreifenden Risikomanagements.
Bürgerrechtler halten die geplanten EU-weiten Online-Ausweise auch aus Datenschutzsicht für hochproblematisch. Mit der EUid wolle die Kommission jedem Bürger eine lebenslange Identifikationsnummer zuweisen, beklagte jüngst etwa Thomas Lohninger von der Organisation epicenter.works. Damit könnten Informationen aus zahlreichen Lebensbereichen zusammengeführt und die Bürger gläsern werden.
(axk)
