EU-Parlament beschließt Online-Ausweis, beschränkt staatliche Root-Zertifikate

Mit 335 zu 190 Stimmen bei 31 Enthaltungen hat das EU-Parlament am Donnerstag die lange umstrittene Verordnung für eine europäische elektronische Identität (EUid) auf Basis von digitalen Brieftaschen (E-Wallets) beschlossen. Besonders umkämpft war bis zum Schluss der Ansatz der EU-Kommission, wonach Browser wie Chrome, Edge, Firefox, Opera und Safari mit der Novelle der eIDAS-Verordnung künftig qualifizierte Zertifikate für die Webseiten-Authentifizierung anerkennen müssen. Die EU-Gesetzgebungsgremien hielten mit ihrer im November erzielten Einigung prinzipiell an der Einführung solcher Qualified Website Authentication Certificates (QWACs) fest. Nach massiver Kritik von Wissenschaftlern und Bürgerrechtlern haben sie aber Passagen eingefügt, wie die "etablierten Sicherheitsregeln und -standards der Branche eingehalten werden" können sollen.

Mit QWACs sollen Nutzer überprüfen können, wer hinter einer Website steht. Anbieter wie D-Trust sehen dies als wichtigen Beitrag im Kampf gegen Phishing. Experten warnten aber wiederholt, solche staatlichen Root-Zertifikate erleichterten Behörden das Abhören verschlüsselter Kommunikation durch sogenannte Man-in-the-Middle Attacken. Die Regierung Kasachstans etwa hatte ihren Bürgern 2020 ein solches Zertifikat aufgedrängt, um den Datenverkehr mitlesen zu können. Damals konnten die Browser-Hersteller noch rasch reagieren. Dass dies weiter möglich ist, regelt ein neu in die Verordnung eingefügter Artikel 45a: In Fällen "begründeter Bedenken hinsichtlich Sicherheitsverletzungen oder eines Integritätsverlusts eines bestimmten Zertifikats" können Anbieter von Webbrowsern demnach in Absprache mit den Behörden und dem Aussteller "Vorsorgemaßnahmen" ergreifen.

Grundstein für E-Government oder Überwachung?

Im Erwägungsgrund 65 heißt es zudem: "Die Pflicht zur Anerkennung, Interoperabilität und Unterstützung qualifizierter Zertifikate für die Website-Authentifizierung berührt nicht die Freiheit der Anbieter von Webbrowsern, die Websicherheit, die Domänenauthentifizierung und die Verschlüsselung des Webverkehrs in der Weise und mit der Technologie sicherzustellen, die sie für am besten geeignet halten." Die Kommission begrüßt diese Klarstellung in einer gesonderten Erklärung. Browser können damit ihr zufolge weiter "verschlüsselte Verbindungen mit Webseiten herstellen" oder die dafür im Aufbaustadium verwendeten kryptografischen Schlüssel authentifizieren. Firefox-Hersteller Mozilla feiert die Zusätze als "Sieg für die Web-Sicherheit". Man werde nun bei der Umsetzungsphase darauf achten, "dass eIDAS keine Überwachung und Abhörung des Webverkehrs ermöglicht".

Mit der Reform müssen die EU-Staaten künftig allen Bürgern und Unternehmen eine E-Wallet zur Verfügung stellen. In der digitalen Brieftasche sollen Nutzer freiwillig ihre nationale eID insbesondere auf Mobilgeräten speichern und mit Nachweisen anderer persönlicher Attribute wie Führerschein, Abschlusszeugnissen, Geburts- oder Heiratsurkunde, Zahlungsdaten und ärztlichen Rezepten verknüpfen können. Nicht enthalten ist die von der Kommission zunächst geforderte Pflicht, die eID als lebenslange Personenkennziffer auszugestalten. Der App-Client muss quelloffen sein. Der Branchenverband Bitkom sieht damit den Grundstein gelegt für eine echte digitale Kommunikation zwischen Bürgern, Verwaltung und Wirtschaft. Der EU-Abgeordnete Patrick Breyer (Piratenpartei) bleibt skeptisch: "Wir bekommen Datensammlung, Nutzerüberwachung und einen Angriff auf Verschlüsselung." Die Bürgerrechtler von Epicenter.works warnen ebenfalls: "Mit der breiten Verfügbarkeit von eID-Systemen entsteht auch ein neues Potential für Missbrauch und Überwachung."

(dmk)