Elektronische Identität: EU-Gremien einigen sich auf staatliche Root-Zertifikate

Verhandlungsführer des EU-Parlaments, des Ministerrats und der Kommission haben sich am Mittwochabend auf weitere grundlegende Details für die geplante Verordnung für eine europäische digitale Identität (EUid) auf Basis von digitalen Brieftaschen (E-Wallets) geeinigt. Vor allem umstritten war zuletzt der Vorschlag der Kommission, wonach Browser wie Chrome, Edge, Firefox, Opera und Safari mit der entsprechenden Novelle der eIDAS-Verordnung künftig qualifizierte Zertifikate für die Webseiten-Authentifizierung anerkennen müssen.

Die EU-Gremien halten damit an der Einführung solcher Qualified Website Authentication Certificates (QWACs) fest, obwohl Wissenschaftler und Bürgerrechtler mehrfach dagegen Sturm liefen. Die Abgeordneten und die Regierungsvertreter wollen mithilfe von QWACs sicherstellen, dass Nutzer überprüfen können, wer hinter einer Website steht.

Hunderte Experten hatten vor Kurzem gewarnt, dass staatliche Root-Zertifikate den Behörden das Abhören verschlüsselter Kommunikation durch sogenannte Man-in-the-Middle Attacken erleichtern. Die Regierung Kasachstans etwa hatte ihren Bürgern 2020 ein solches Zertifikat aufgedrängt, um den Datenverkehr mitlesen zu können. Damals konnten die Browser-Hersteller noch rasch reagieren, was nun deutlich schwieriger werden dürfte.

Digitale Brieftasche

Des Weiteren sieht die EU vor, dass alle Mitgliedsstaaten ihren Bürgern eine kostenlose E-Wallet zur Verfügung stellen müssen. In dieser digitalen Brieftasche sollen Nutzer ihre nationale eID insbesondere auf Mobilgeräten speichern und mit Nachweisen anderer persönlicher Attribute wie Führerschein, Abschlusszeugnissen, Geburts- oder Heiratsurkunde, Zahlungsdaten und ärztlichen Rezepten verknüpfen können. Die Wallets müssen laut dem Kompromiss innerhalb eines elektronischen Identifikationssystems ausgestellt werden, das der Sicherheitsstufe "hoch" beziehungsweise qualifizierten elektronischen Signaturen entspricht.

Die Nutzung des EU-Wallets wird auf freiwilliger Basis erfolgen. Während der Verhandlungen haben die Volksvertreter nach eigenen Angaben Bestimmungen zum Schutz der Bürgerrechte und zur Förderung eines inklusiven digitalen Systems durchgesetzt. So soll eine Diskriminierung von Bürgern, die sich gegen die Nutzung des digitalen Portemonnaies entscheiden, vermieden werden. Vom Tisch ist die von der Kommission geforderte Pflicht, die eID als lebenslange Personenkennziffer auszugestalten.

Der App-Client der E-Wallet muss quelloffen sein. Die Regierungsvertreter haben sich aber ausbedungen, dass aus berechtigten Gründen bestimmte Komponenten wie der serverseitige Code nicht als Open Source veröffentlicht werden müssen. Öffentlich lassen sich solche Teile so nicht überprüfen.

"Blankoscheck zur Online-Überwachung"

"Diese Verordnung ist ein Blankoscheck zur Online-Überwachung der Bürger und gefährdet unsere Privatsphäre und Sicherheit im Internet", moniert Patrick Breyer (Piratenpartei). Die Browsersicherheit werde untergraben, mittelfristig eine "Überidentifizierung" das Recht auf anonyme Nutzung digitaler Dienste aushöhlen. Die Verlockung, sich mit einer einzigen offiziellen eID-App bequem bei Facebook oder Google anmelden zu können, sei eine Falle.

Die Bundesdruckerei begrüßte die Ergebnisse, die noch vom Parlament und Rat in Plenarsitzungen bestätigt werden müssen, dagegen ausdrücklich. Die neue Pflicht für Webbrowser, Verbrauchern die Identitätsdaten eines qualifizierten Zertifikats einer Website anzuzeigen, stärke die digitale Souveränität der EU und führe zu mehr Transparenz und Vertrauen bei digitalen Transaktionen. Bei GMX und Web.de hieß es: Aufgabe der EU sei es jetzt, die Anforderungen an Zertifizierung und Überwachung der nationalen Kontrollstellen so zu gestalten, dass nicht auch das EUid-Ökosystem "durch die Hintertür wieder den amerikanischen Tech-Konzernen überlassen wird".

(vbr)