Interview: D-Trust verteidigt staatliche Root-Zertifikate

Seit Anfang November ist die Reform der eIDAS-Verordnung in trockenen Tüchern. Prinzipiell geht es darin um die Etablierung einer europäischen digitalen Identität (EUid) auf Basis von digitalen Brieftaschen (E-Wallets). Doch als besonders heißes Eisen entpuppte sich eine Passage des neuen Entwurfs, nach dem Browser wie Chrome, Edge, Firefox oder Safari gemäß der Novelle der eIDAS-Verordnung bei der Webseiten-Authentifizierung künftig qualifizierte Zertifikate akzeptieren müssen. Das EU-Parlament und der Ministerrat halten mit ihrer Einigung an der Einführung solcher Qualified Website Authentication Certificates (QWACs) grundsätzlich fest, trotz massiver und mehrfach erneuerter Kritik an Hintertüren für staatliche Überwachung.

Zuletzt verständigten sich die Verhandlungsführer darauf, Browser-Herstellern die Option zu geben, die Domänenauthentifizierung und die Verschlüsselung des Webverkehrs so zu schützen, wie sie es für richtig halten. Die Bürgerrechtsorganisation Epicenter.works ist daher der Auffassung, dass Browser solche QWACs ablehnen können, welche die Verschlüsselung untergraben, indem sie sie vom Verschlüsselungsstandard TLS trennen. Nutzer könnten so einerseits mit QWACs überprüfen, wer genau hinter einer Website stehte. Gleichzeitig sollen aber "die aktuellen, gut etablierten Sicherheitsregeln und -standards der Branche eingehalten werden".

Im Beitrag "eIDAS-Verordnung: Streit um europäische Super-Zertifikate" haben wir den aktuellen Stand und viele kritische Stimmen zu den QWACs-verpflichtenden Artikeln der EU zusammengetragen. In diesem Interview sprechen wir mit Kim Nguyen, Geschäftsführer des Berliner Unternehmens D-Trust. D-Trust ist ein Befürworter der Novelle, Tochter der Bundesdruckerei und gemäß EU-Richtlinien einer der "qualifizierten Vertrauensdienstleister", der QWAC-Zertifikate ausstellen darf.

c't: Das Unternehmen der Bundesdruckerei-Gruppe verteidigt QWACs gegen anhaltende Kritik. Diese kommt vor allem von Browser-Herstellern wie Mozilla (Firefox) und Google (Chrome). Ist das eine "EU gegen USA"-Geschichte?

Kim Nguyen: Es geht eher um globale Plattformen versus lokales europäisches Recht. TLS-Zertifikate gibt es schon lange, angefangen vom grünen Balken im Browser bis zum aktuellen Schlösschen. Mittlerweile setzen Browser die Verschlüsselung als verpflichtende Anforderung um. Dabei kommt man aber rasch an den Punkt: "Handelt es sich hierbei überhaupt um ein vertrauenswürdiges Zertifikat?" Die Browserhersteller stellen dafür eigene Regeln auf. Der Herausgeber solcher TLS-Zertifikate muss einen Vertrag unterschreiben und erklären, alles genauso zu machen, wie der Browseranbieter es will. Das steht unter dem Vorbehalt der Änderung der Spielregeln und dem Ausschluss vom Feld. Die Vorschriften macht hier aber keine Nation, sondern eine private Firma. Das Kartellamt hat sich tatsächlich schon einmal mit dem Thema befasst und ist zu dem Schluss gekommen, dass die Einführung von QWACs einen ganz wesentlichen Beitrag zur Entschärfung der jetzigen Marktsituation leistet.

Wie kommen die QWACs konkret ins Spiel?

Nguyen: QWACs sind nichts Neues. Sie beruhen bereits auf der bisherigen eIDAS- Verordnung. Die D-Trust hat 2017 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die Zulassung bekommen, solche qualifizierten Zertifikate ausgeben zu dürfen. Damit waren wir europaweit die erste Instanz. Mit QWACs verknüpft sind besonders aufwändige Prozesse der Identifikation der Personen oder Institution hinter einem Zertifikat. Diese Höherwertigkeit soll man dann auch anzeigen können. QWACs sollen als wichtiger Vertrauensdienst den europäischen digitalen Binnenmarkt stärken, indem sie Auskunft über den Inhaber des Zertifikats geben und gleichzeitig die Verbindung verschlüsseln.

Wie gehen Apple, Google, Microsoft und Mozilla damit um?

Nguyen: Mit den großen Browserherstellern gibt es von europäischer Seite aus schon jahrelang Diskussionen und Verhandlungen, aber bislang akzeptieren sie QWACs nicht. Dabei kann damit die Verbindung verschlüsselt und die Vertrauenswürdigkeit des Zertifikatsinhabers anzeigt werden. Die EU-Seite argumentiert immer wieder: Da es unterschiedliche Vertrauensräume für TLS-Zertifikate gibt, akzeptiert doch auch die europäische Vertrauensliste und zeigt TLS-Zertifikate differenziert nach den EU-Vorgaben an. Apple, Google & Co. haben sich dem aber bisher entzogen und auf ihre eigenen Root-Store-Programme verwiesen. Es gab auch schon sehr ausführliche technische Diskussionen etwa über das Europäische Institut für Telekommunikationsnormen (ETSI), das definiert, wie ein QWAC technisch zu prüfen ist, doch auch dies hat die unterschiedlichen Regulierungssysteme nicht zusammengebracht. Nach jedem Vorstoß der EU-Kommission zur Anerkennung der QWACs lautete die Erwiderung: "Wir lassen uns nichts vorschreiben." Daraufhin hat die EU-Kommission beschlossen, einen anderen Weg über die gesetzliche Anerkennungspflicht zu gehen.

Der schwerste Vorwurf lautet nun, QWACs könnten missbraucht werden für staatliche Angriffe, die die Vertrauenswürdigkeit der Kommunikation übers Web aushöhlen.

Nguyen: Damit das gelingt, müssten staatliche Stellen mit einem solchen Zertifikat die digitale Identität einer anderen Organisation übernehmen. Das ist aber durch die zertifizierten Prozesse und Nachweismechanismen ausgeschlossen und ohne diese Prozesse ist eine Aufnahme in die Vertrauensliste nicht möglich. Diese wird durch die nationale Aufsichtsbehörde und die EU-Kommission gepflegt. Zudem gibt es den Mechanismus der "Certificate Transparency": Er stellt sicher, dass alle von einem Vertrauensdiensteanbieter ausgestellten Zertifikate in einer öffentlich einsehbaren und nicht mehr veränderlichen Datenstruktur veröffentlicht werden, und zwar sobald das Zertifikat ausgegeben wird. Damit ist eine missbräuchliche Ausstellung sofort öffentlich nachvollziehbar. Zusammengefasst: Wäre es zutreffend, dass europäische Staaten auf schriftlichen Antrag ohne weiteren Nachweis solche Zertifikate in die Vertrauensliste bringen, dann wären die Bedenken nachvollziehbar. Dem ist aber nicht so, da es eine Kette von "Checks and Balances" gibt, die einen solchen Missbrauch verhindern.

Wie kommt man auf die Liste, reicht ein schriftlicher Antrag?

Nguyen: Das geht nur über einen mehrstufigen Prozess. Die EU-Kommission verwaltet die öffentliche Liste für die ganze Gemeinschaft, aber jeder Mitgliedsstaat hat eine eigene Aufsichtsstelle wie hierzulande die Bundesnetzagentur oder das BSI. Dabei gelten Meldepflichten für Verdachtsmomente. Die Erfüllung der einschlägigen ETSI-Standards wird durch unabhängige Konformitätsbewertungsstellen geprüft, die wiederum eigenständig einem unabhängigen Überprüfungsverfahren unterworfen sind. Danach prüft die Aufsichtsbehörde nochmals auf Einhaltung der Normen und Vorschriften, bevor es den Qualifikationsstatus verleiht und das Unternehmen auf die nationale "Trusted List" setzen kann. Sämtliche Zertifizierungsvorgaben in diesem Prozess sind öffentlich einsehbar. Letztlich muss der nationale Vertrauensstatus gegenüber der Kommission über die nationale Liste nachgewiesen werden. Dabei gibt es aber keinen Automatismus. Ein einzelnes Land kann also nicht einfach ein Zertifikat vertrauenswürdig machen.

Die Regierung Kasachstans drückte ihren Bürgern 2020 ein staatliches Root-Zertifikat auf, um den Datenverkehr mitlesen zu können.

Nguyen: Kasachstan hat das versucht, das stimmt. Sie haben dort aber kein unabhängiges Vertrauenssystem geschaffen, wie es in der eIDAS Verordnung angelegt ist. In Kasachstan wurde vielmehr ein Root-Zertifikat gebaut und an Mozilla zur Aufnahme in deren Root-Store geschickt. Die Zuständigen bei Mozilla haben das aber abgelehnt. Das würde bei QWACs durch die zuständigen "Supervisory Bodies" in der EU genauso laufen. Wie der jeweilige Browser die Anforderung der Anerkennung des QWACs technisch löst, ist auf Basis der eIDAS-Vorgaben vollkommen ihm überlassen. Darüber hinaus gilt: Wenn die Experten dort etwas Verdächtiges beobachten, können sie eine Eskalationsmeldung an die Aufsichtsbehörde und die Kommission auslösen. Falls berechtigt, dann muss das Zertifikat auch umgehend gesperrt werden. Dieses Vorgehen ist in dem Kompromiss angelegt, den die EU im Trilog erarabeitet hat.

Wiederholt haben auch namhafte Kryptologen und IT-Sicherheitsforscher wie Daniel Bernstein, Tanja Lange, Ian Goldberg und Alex Halderman Bedenken geäußert.

Nguyen: Ich finde diese Diskussion verkürzt. Ich glaube, dass viele Unterzeichner die Möglichkeiten und Marktmacht der Browser auf der einen Seite und das strenge, aufwändige und mehrgliedrige Aufsichtssystem der qualifizierten Vertrauensdiensteanbieter auf der anderen Seite, nicht ausreichend in die Einschätzung einfließen lassen haben. Die jüngste "Petition" hat zudem mehrere Inhalte. Darin geht es neben den QWACs auch um den Datenschutz bei der Wallet für die vorgesehene europäische eID. Hier gab es große Diskussionen um Themen wie eine eindeutige Personenkennziffer, die natürlich große Relevanz für die datenschutzrechtliche Bewertung haben. Das sind allerdings Themen, die geklärt wurden. Der Datenschutz wurde erheblich gestärkt. Ich denke, dass viele Kollegen sich auch an der "Petition" beteiligt haben, weil diese Themen sehr geschickt miteinander verbunden wurden.

Warum braucht es überhaupt QWACs?

Nguyen: Der Fokus großer Browser liegt bei TLS-Zertifikaten ausschließlich auf Verschlüsselung der Kommunikation zwischen dem Webserver und dem Browser auf dem Client. Lange Zeit wurden teilweise TANs und andere Sicherheitskennungen unverschlüsselt übers Web übertragen. Offen bleibt dabei aber: Wem sende ich die Daten überhaupt? Inzwischen sind auch Phishing-Seiten verschlüsselt. Über Let's encrypt ist es sehr einfach, das dafür benötigte TLS-Zertifikat zu bekommen. Ich habe es mal überprüft: Letztlich haben sehr viele Phishing-Seiten ein TLS-Zertifikat von dort oder einem anderen kostenfreien Dienst, der TLS-Zertifikate bereitstellt. Prinzipiell ist Let's encrypt eine große Errungenschaft. Dort fehlt aber jemand, der auch die Identität des Webseitenbetreibers prüft. Das interessiert"Let’s encrypt schlichtweg nicht. Man muss lediglich nachweisen, dass man Kontrolle über eine Webseite besitzt.

Bei QWACs ist das anders?

Nguyen: Genau, da kriegt man nicht so einfach ein solches Zertifikat. Es ist etwa ein Nachweis erforderlich, dass die bestellende Organisation tatsächlich existiert und derjenige, der das Zertifikat bestellt auch vertretungsberechtigt ist. Das Wichtige ist nämlich: "Wem übertrage ich die Daten?". Es bringt schlicht nichts, dass Daten verschlüsselt übertragen werden, wenn der Empfänger der Falsche ist. Das Thema Identität wurde in der aktuellen Diskussion stark nach hinten gedrängt – es geht nur noch um Verschlüsselung und das ist aus unserer Sicht nicht zielführend, wenn der Bürger beziehungsweise der Nutzer davon ausgeht, dass die Webseite, die gut aussieht, auch die richtige ist. Wenn sie dann noch ein Zertifikat hat, dann geht er erst recht davon aus, dass alles sicher ist. Die Kosten für QWACs sind natürlich höher als bei Gratis-Angeboten, deren Ausgabe komplett automatisierbar ist. Diese Kosten werden geringer, je stärker die Digitalisierung – Stichwort umfassende Registerlandschaft – voranschreitet und damit der Organisationsaufwand durch mögliche Automatisierungen bei der Identifikation juristischer Personen sinken wird.

Wo sind QWACs oder ähnliche Verfahren schon im Einsatz?

Nguyen: Die Liste der EU umfasst derzeit eine mittlere zweistellige Zahl an Anbietern. Das ist keine Fiktion mehr: Seit dem Inkrafttreten der Zahlungsdienste-Richtlinie PSD2 können Payment-Service-Provider auf Zahlungskonten zugreifen. Die Kommission verpflichtet diese Kommunikationsteilnehmer – also die juristischen Personen – sich über qualifizierte Webseitenzertifikate gegenüber den Bankenschnittstellen auszuweisen, um eine sichere Verbindung und Kommunikation zu garantieren. Das funktioniert seit einigen Jahren ohne irgendwelche Sicherheitsbedenken oder Störungen.

c't verfolgt die Entwicklung der eIDAS-Verordnung weiter. In einer der kommenden c't-Ausgaben beleuchten wir Hintergründe und Wege zum Umgang mit verdächtigen Zertifikaten.

(dz)