Die geplante Einführung eines digitalen Ausweises für die Europäische Union als umstritten zu bezeichnen wäre untertrieben. Ähnlich zum österreichischen Vorstoß, den Führerschein auf das Smartphone zu bringen, soll sich die EU-Bevölkerung dank eines digitalen Ausweises künftig länderübergreifend und ohne Griff zur Brieftasche identifizieren können. Zur Anwendung wird die E-ID aber nicht nur bei Behördengängen kommen. Auch für die Buchung von Mietwägen oder für den Kauf von Alkohol und Zigaretten soll sie genutzt werden können.

Einerseits ein attraktives Angebot für Konsumentinnen und Konsumenten, das andererseits eine Reihe potenzieller Gefahren für die Privatsphäre von Millionen Menschen birgt, wie Grundrechtsorganisationen warnen. Unter anderem steht die Einführung einer eindeutigen digitalen Kennung im Raum, mit der Userinnen und User lebenslang identifiziert und getrackt werden könnten. Offene Fragen bleiben außerdem bezüglich des Schutzes sensibler Informationen. Privatunternehmen dürften ein großes Interesse an staatlich verifizierten Daten haben. DER STANDARD berichtete.

Unsichere Zertifikate

So weit, so bekannt. Die Novelle der E-IDAS-Verordnung widmet sich allerdings nicht nur der E-ID und der damit zusammenhängenden digitalen Brieftasche. Mindestens genauso wichtig ist der geplante Eingriff in die Web-Authentifizierung. Um Betrug oder Identitätsdiebstahl im Internet zu verhindern, erhalten vertrauenswürdige Webseiten nämlich ein Sicherheitszertifikat. Ausgestellt wird dieses von sogenannten Certificate Authorities, die wiederum von Browserbetreibern auf ihre Zuverlässigkeit überprüft werden.

Firefox-Hersteller Mozilla verbildlicht diesen Vorgang folgendermaßen: "Nehmen wir an, Sie möchten auf eine bestimmte Website zugreifen. Ihr Browser muss überprüfen, ob die Website tatsächlich das ist, was sie vorgibt zu sein, und nicht ein Angreifer, der den Datenverkehr im Netz abfängt." Große Browser würden deshalb "unabhängige Richtlinien und Prüfverfahren" verwenden, "um nur sichere Websites zu zertifizieren und verdächtige Aktivitäten zu blockieren". Zumindest bisher.

QWACs

Der aktuelle Entwurf zur E-IDAS-Novelle sieht vor, dass Browser künftig sogenannte Qualified Web Authentication Certificates (QWACs) unterstützen müssen. Dabei handelt es sich um EU-eigene Webzertifikate, die schon 2014 entwickelt, wegen technischer Mängel aber nie implementiert wurden, schreiben Sicherheitsexperten in einem offenen Brief an das EU-Parlament. Das Problem: Browser sollen im Falle einer Umsetzung keine Möglichkeit mehr erhalten, QWACs abzulehnen. Selbst dann nicht, wenn diese ein Sicherheitsrisiko darstellen.

Das ist laut den Sicherheitsexperten auch deshalb befremdlich, weil sich Browserbetreiber von selbst um die Einhaltung höchster Sicherheitsstandards bemühen würden. Statt diese zu verbessern, würde die E-IDAS-Novelle bestimmten Zertifikaten explizit ermöglichen, bestehende Sicherheitsmaßnahmen zu umgehen. Das erhöhe das Risiko der Ausstellung von unsicheren Zertifikaten an Cyberkriminelle.

Mozilla warnt, dass Webseiten dadurch vertrauenswürdig wirken könnten, obwohl sie eigentlich "von böswilligen Akteuren kompromittiert wurden" – was das gesamte Internet unsicherer mache.

Nichts Neues

Wie bereits erwähnt, ist die zugrunde liegende Idee nicht neu. Eigentlich hätten QWACs schon 2014 eingeführt werden sollen. Mit der E-IDAS-Verordnung schaffte die EU damals einen Rechtsrahmen für elektronische Transaktionen innerhalb der Union. Aber nicht nur das. Laut der Grundrechtsorganisation Electronic Frontier Foundation (EFF) würden QWACs ähnliche Richtlinien verwenden wie die mittlerweile abgeschafften Extended-Valiadation-(EV)-Zertifikate.

Diese hatten einst das Ziel, das Internet durch eine genauere Überprüfung von Domainbesitzern noch sicherer zu gestalten. Anhand grüner Markierungen in der Adresszeile von Internetbrowsern war damals klar zu erkennen, welche Webseiten über eine entsprechende Authentifizierung verfügten. "Letztlich gelang es jedoch Betrügern, EV-Zertifikate zu erlangen und Phishing-Seiten zu erstellen", schreibt der EFF. Safari, Chrome und Firefox würden diese deshalb schon seit Jahren nicht mehr visuell hervorheben. Sie würden laut der EFF ein falsches Gefühl von Sicherheit suggerieren. Ein Problem, das die EU mit der Einführung von QWACs kurzerhand wiederbeleben würde. Auch sie müssten erkennbar gemacht werden.

Was bevorsteht

Welche Maßnahmen es tatsächlich in die novellierte Fassung der E-IDAS-Verordnung schaffen werden, ist noch lange nicht unter Dach und Fach. Nachdem sich der zuständige Ausschuss für Industrie, Forschung und Energie (ITRE) im EU-Parlament vergangene Woche auf eine gemeinsame Position geeinigt hat, wird er am kommenden Donnerstag über den Gesetzesvorschlag abstimmen.

In vielerlei Hinsicht macht sich das EU-Parlament laut der österreichischen Grundrechts-NGO Epicenter Works für Anpassungen des Gesetzestextes stark, die eine positive Auswirkung auf die Privatsphäre hätten. Zum Beispiel hält es fest, dass private Anbieter nur ein Mindestmaß an Informationen über Nutzerinnen und Nutzer erhalten sollen – und dass die eindeutige Kennziffer zur Identifikation von Menschen nicht dauerhaft bestehen müssen sollte.

Allerdings, so Epicenter Works, hat sich auch der ITRE-Ausschuss nicht von der Idee der QWACs abbringen lassen. Wie stark sich der Gesetzestext im Laufe der bevorstehenden Verhandlungen zwischen EU-Kommission, -Rat und -Parlament tatsächlich noch verändern wird, bleibt also abzuwarten. Dass die QWACs Realität werden, ist nicht unwahrscheinlich. (Mickey Manakas, 7.2.2023)