Internet-Führer besorgt über Vorschlag zur Web-Authentifizierung

"Leider ist diese technische Anforderung problematisch, da die Sicherheitsteams mit der Geschwindigkeit der Bedrohungen und Vorfälle im Bereich der Cybersicherheit reagieren müssen und nicht durch eine gesetzliche Bestimmung behindert werden dürfen. Diese würde eine zeitnahe Reaktion behindern", heißt es in dem am Mittwoch (6. April) versandten Brief. [Shutterstock/tete_escape]

12 führende Vertreter der Web-Community haben sich in einem Brief an EU-Parlament und Rat gewandt, um ihre Sicherheitsbedenken gegenüber der Überarbeitung des Artikel 45 des e-ID-Gesetzesvorschlags zum Ausdruck zu bringen.  

Der Legislativvorschlag der Europäischen Kommission zur Änderung der Verordnung über elektronische Identifizierungs-, Authentifizierungs- und Vertrauensdienste (eIDAS) aus dem Jahr 2014, mit der grenzüberschreitende Transaktionen abgesichert werden sollen, stößt bei der Web-Community auf Widerstand – insbesondere in Bezug auf Artikel 45.

Die gesetzliche Aufnahme ausgewählter europäischer Unternehmen, sogenannter „Zertifizierungsstellen“, in die Root-Programme von Webbrowsern stelle eine ernsthafte Bedrohung und Schwachstelle für die Web-Sicherheit dar, argumentieren die Unterzeichner.

Nach dem neu überarbeiteten Artikel 45 wären die Browser gezwungen, ein System von qualifizierten Web-Authentifizierungszertifikaten (QWACs) der Zertifizierungsstellen (CAs) zu akzeptieren, unabhängig davon, ob sie den Sicherheitsstandards des Browsers entsprechen.

„Leider ist diese technische Anforderung problematisch, da die Sicherheitsteams mit der Geschwindigkeit der Bedrohungen und Vorfälle im Bereich der Cybersicherheit reagieren müssen und nicht durch eine gesetzliche Bestimmung behindert werden dürfen. Diese würde eine zeitnahe Reaktion behindern“, heißt es in dem am Mittwoch (6. April) versandten Brief.

Das Schreiben wurde von hochrangigen Internet-Akteuren wie Vint Cerf, Internet-Pionier und ehemaliger Vorsitzender der ICANN, und Andrew Sullivan, Präsident und CEO der Internet Society, unterzeichnet.

Web-Authentifizierung 

Die Web-Authentifizierung ist der technische Mechanismus, der sicherstellt, dass Nutzer:innen eine gewünschte Website besuchen und nicht zu Einrichtungen geleitet werden, die sich als diese Website ausgeben.

Zu diesem Zweck erhalten die User ein Zertifikat, das bestätigt, dass sie die Website besuchen, die sie besuchen wollten. Die Zertifizierungsstellen sind von den EU-Regierungen beauftragte Dritte, die solche Zertifikate für die Websites ausstellen.

„Es handelt sich also um ein sehr mächtiges Werkzeug. Wenn das Zertifikat nicht korrekt ausgestellt wird, können sich böswillige Akteure als die Website ausgeben, die Sie zu besuchen versuchen“, erklärte Marshall Erwin, Head of Trust Intelligence Specialist bei Mozilla gegenüber EURACTIV.

CAs müssen also vertrauenswürdig sein und gut funktionieren.

Das Problem mit QWACs

Der kritische Punkt des Gesetzesentwurfs ist die Frage, wie und nach welchen Sicherheitsstandards solche Zertifikate vergeben werden sollen. Der Vorschlag würde es CAs, die bestimmte Arten von Zertifikaten, nämlich QWACs, ausstellen, ermöglichen, von den Browsern anerkannt zu werden, unabhängig davon, welche Sicherheitsstandards sie anwenden.

Die Idee der QWACs wurde 2014 gesetzlich verankert. Sie sorgen dafür, dass die Zertifikate weitere Informationen enthalten, nicht nur über die besuchte Domain, sondern auch über die dahinter stehende juristische Person.

Laut verschiedenen Quellen, einschließlich der Electronic Frontier Foundation, ist die Forderung nach QWACs problematisch. Die Sicherheit von Nutzer:innen wurde durch QWACs nicht verbessert.

Bisher stellen die Browser sicher, dass die CAs ihren Standards entsprechen, erklärte Erwin. Die Idee hinter dem aktuellen Vorschlag ist jedoch, „einen parallelen Prozess zu schaffen, in dem einzelne Staaten auf der Grundlage einer nicht spezifizierten Reihe von Standards entscheiden würden“, sagte er. Mozilla, beispielsweise, müsste diese CA dann akzeptieren.

Ein gefährlicher Präzedenzfall

„Im Wesentlichen handelt es sich um staatlich vorgeschriebene Zertifizierungsstellen, die wir anerkennen müssten“, so Erwin.

Diese EU-Gesetzgebung könnte anderswo einen gefährlichen Präzedenzfall schaffen. „Ich denke, unsere größte Sorge ist, dass andere repressive Regimes diesem Beispiel folgen und im Wesentlichen den gleichen Ansatz verfolgen könnten“, so Erwin.

Beispielsweise haben Regierungen wie die Vereinigten Arabischen Emirate oder Kasachstan in der Vergangenheit aktiv versucht, die Web-Authentifizierung zu untergraben. Sie haben Gesetze auf den Weg gebracht, die den Browsern vorschreiben würden, einen Mittelmann einzuführen, indem sie CAs akzeptieren, die nicht unseren Standards entsprechen“, erklärte Erwin.

„Wir haben uns weltweit erfolgreich dagegen gewehrt. Aber unsere Bemühungen werden an dem Punkt untergraben, an dem der Präzedenzfall geschaffen wurde.“

Kate Charlet, Direktorin für Data Governance bei Google, erklärte gegenüber EURACTIV, dass dies nicht nur einen beunruhigenden Präzedenzfall schaffen würde, sondern „es würde die Bürger:innen aktiv einem erhöhten digitalen Risiko aussetzen, und das zu einer Zeit, in der der Schutz schwieriger – und wichtiger – denn je ist.“

Ähnlich wie die Unterzeichner des Briefes ist Charlet der Meinung, dass regulatorische Rahmenbedingungen nicht dazu führen sollten, dass Organisationen daran gehindert werden, ihre Nutzer vor der sich entwickelnden Cyberkriminalität und Bedrohungen zu schützen.

Im Parlament wurde das Dossier dem Ausschuss für Industrie, Forschung und Energie (ITRE) zugewiesen. Berichterstatterin Romana Jerković sagte, dass die Abstimmung des Ausschusses über den Vorschlagsentwurf im Juli erwartet wird.

[Bearbeitet von Nathalie Weatherald]

Subscribe to our newsletters

Subscribe