Eine Statue mit EU-Flagge
Die Pläne der Europäischen Union zum digitalen Ausweis werfen die Frage nach künftiger Netzsicherheit auf.
IMAGO/Future Image/C. Hardt

Die eIDAS-Verordnung legt die Regeln für elektronische Ausweise fest und soll es künftig möglich machen, beispielsweise einen elektronischen Reisepass zu benutzen statt des herkömmlichen gedruckten Exemplars. Jetzt üben Expertinnen und Experten, darunter auch zahlreiche aus Österreich, massive Kritik an den Plänen und warnen in einem offenen Brief vor einer möglichen Überwachung jedes einzelnen EU-Bürgers durch jeden der 27 EU-Staaten. Insgesamt finden 328 Forscherinnen und Forscher aus der gesamten Welt und 19 Datenschutzorganisationen sehr deutliche Worte für die Verordnung zur elektronischen Identität innerhalb der EU.

Eigentlich verfolgt die Verordnung über "electronic identification, authentication and trust services" das Ziel, die elektronische Identifikation einheitlich zu regeln. Sie ist unter anderem der Grund, warum die Handysignatur in Österreich abgeschafft und durch die ID Austria ersetzt wird – nur Letztere entspricht den internationalen Standards. Doch es gibt massive Sicherheitsbedenken. Im besagten siebenseitigen Brief an das EU-Parlament sowie die Mitgliedsstaaten des Rates der Europäischen Union warnen die Forschenden und NGOs vor einer möglichen Massenüberwachung. Besonders Artikel 45 stößt auf massive Ablehnung.

Browser müssen Zertifikate zulassen

Artikel 45 zwingt Webbrowser dazu, Webzertifikate von den Zertifizierungsstellen einzelner Länder zu akzeptieren – selbst wenn diese Zertifikate aus den Mitgliedsstaaten die Sicherheitsstandards des Browsers nicht erfüllen.

Viel schlimmer noch: Werden Browser gezwungen, "Eigenbau"-Zertifikate aus den Behörden der Mitgliedsländer zu akzeptieren, sei es durchaus möglich, dass der Inhaber eines Stammzertifikats den Webverkehr der Nutzer abfängt, indem er die kryptografischen Schlüssel der Website durch von ihm kontrollierte Ersatzschlüssel ersetzt. Das bedeutet: "Eine Behörde wäre in der Lage, den Internetverkehr nicht nur ihrer eigenen Bürger, sondern aller EU-Bürger abzuhören, einschließlich Bankdaten, rechtlich geschützter Informationen, Krankenakten und Familienfotos", heißt es in dem Brief.

Thomas Lohninger von epicenter.works
Thomas Lohninger von epicenter.works.
Cajetan Perwein

Zwar sei die Union vielen Forderungen beim Datenschutz nachgekommen. Zum Beispiel darf niemand diskriminiert werden, der das System nicht nutzt. Darüber hinaus gibt es ein Recht auf Pseudonymität und Firmen müssen konkrete Anwendungsbereiche registrieren, für die sie in die Wallet der Bürgerinnen und Bürger schauen dürfen. Die kritischen Punkte sind aber andere.

Datenschützer schlagen Alarm

"Zum einen könnte der Staat als Anbieter der Wallet das komplette Nutzungsverhalten auf der Wallet einsehen. Wenn die Wallet nach den Plänen der Kommission bald bei jedem Arztbesuch, beim Verwenden öffentlicher Verkehrsmittel oder beim Login auf Social-Media-Seiten eingesetzt wird, dann kann der Staat in all diese Lebensbereiche Einblick erlangen. Das ist eine panoptische Vorratsdatenspeicherung, die absolut vermeidbar gewesen wäre", sagt Thomas Lohninger von der Datenschutzorganisation epicenter.works.

Der zweite große Kritikpunkt sei das Problem der vertrauenswürdigen Zertifikate. "Die Vertrauensdiensteanbieter – wie die A-Trust in Österreich – müssen von Webbrowsern in deren Liste an vertrauenswürdigen Zertifikaten aufgenommen werden. Damit bekommen diese Vertrauensdiensteanbieter die Möglichkeit, Verschlüsselungszertifikate für alle Webseiten dieser Welt auszustellen. Da diese Firmen sehr oft staatsnahe sind, könnte ein Nachrichtendienst diese Zertifikate dann für Überwachung von verschlüsseltem Internetverkehr missbrauchen. Genau solche Versuche kennen wir aus anderen Ländern."

Im Extremfall bedeute dies, dass jedes Innenministerium eines EU-Landes ein Zertifikat ausstellt, das alle Browser dieser Welt übernehmen müssten, ganz egal, ob es den Sicherheitsstandards entspricht oder nicht. "Leider muss man mit der derzeitigen Reform die Sorge haben, dass die Sicherheit und Privatsphäre im World Wide Web geschwächt wird", so Lohninger.

Geschäftsmodell: Konzerne streicheln

Ein weiteres Problem ist laut den Datenschützern, was man im Fachjargon gerne als "Forum-Shopping" bezeichnet. Wenn jedes der 27 EU-Mitgliedsländer selbst für die Auslegung der Spielregeln verantwortlich ist und das eigene Süppchen kocht, dann kommt es zu Qualitätsunterschieden. Manche Behörden in manchen Ländern sind einfach besser oder schlechter aufgestellt als andere, und vor allem sind viele staatliche Organisationen schnell überfordert, wenn es um IT-Fragen geht. Dazu kommt eine vielleicht etwas laxere Auslegung der EU-Vorgaben. Einen Schutz, dass große Konzerne diese Schwäche ausnutzen, gibt es in der eIDAS-Verordnung nicht, kritisiert Lohninger. Länder wie Irland oder Malta hätten ein Geschäftsmodell daraus gemacht, EU-Gesetze einfach nicht auf Großkonzerne anzuwenden.

"Wenn ein maltesischer Glückspielkonzern oder Facebook Irland viel zu viele Daten von einer Person abfragen, wie Gesundheits- oder Finanzdaten, kann man nichts tun, außer sich an die irischen und maltesischen Behörden zu wenden, die seit Jahren schon ihren Job nicht machen. Zumindest sieht man in der Wallet direkt, welches Unternehmen aus welchem Land gerade Daten von einem anfragt, und kann sich hier auf Länder beschränken, in denen die Regulierungsbehörden ihren Job machen", erklärt Lohninger.

Deshalb fordern die Autorinnen und Autoren des Briefes auch deutlich schärfere Kontrolle, wer wirklich als "Trusted Partner" zertifiziert wird – und zwar durch eine Kontrolle auf EU-Ebene und nicht in den einzelnen EU-Staaten. Außerdem sollen Browser das Recht haben, Zertifikate zu überprüfen und notfalls auszusetzen, wenn diese die Privatsphäre und Sicherheit der Endnutzer gefährden.

Hoffen auf Reparatur

Die Autorinnen und Autoren des offenen Briefes hoffen, dass ihre vorgeschlagenen Reparaturen noch eingearbeitet werden. "Das EU digital Identity System kann in einigen Jahren die Infrastruktur für ganz viele Lebensbereiche werden. Sorgfalt sollte in den Verhandlungen wichtiger sein als Geschwindigkeit. Am Ende kann so ein System nur erfolgreich sein, wenn die Menschen ihm auch vertrauen. Es reicht ein Datenskandal oder Fall von Massenüberwachung, und das mühsam erarbeitete Vertrauen ist für immer verloren", erklärt Lohninger. Viel Zeit bleibt nicht mehr: Die letzte geplante Verhandlungsrunde zur eIDAS-Verordnung findet am 8. November 2023 statt. (Peter Zellinger, 2.11.2023)