Zwölf führende Persönlichkeiten der Web-Community schickten einen Brief an MEPs und Vertreter des EU-Rates, um ihre Sicherheitsbedenken bezüglich des überarbeiteten Artikels 45 des e-ID-Gesetzesvorschlagsentwurfs zum Ausdruck zu bringen.
Der Legislativvorschlag der Europäischen Kommission zur Änderung des Elektronische Identifizierung, Authentifizierung und Vertrauensdienste (Die eIDAS-Verordnung, die aus dem Jahr 2014 stammt und darauf abzielt, grenzüberschreitende Transaktionen zu sichern, sieht sich von der Web-Community – insbesondere in Bezug auf Artikel 45 – mit Widerständen konfrontiert.
Die rechtliche Einbeziehung ausgewählter europäischer Unternehmen, sogenannter „Certificate Authorities“, in die Root-Programme von Webbrowsern stelle ernsthafte Bedrohungen und Schwachstellen für die Websicherheit dar, argumentieren die Unterzeichner.
Unter dem überarbeiteten Artikel 45 wären Browser gezwungen, ein System qualifizierter Web-Authentifizierungszertifikate (QWACs) von Zertifizierungsstellen (CAs) zu akzeptieren, unabhängig davon, ob sie die Sicherheitsstandards des Browsers erfüllen.
„Leider ist diese technische Anforderung problematisch, da Sicherheitsteams mit der Geschwindigkeit der sich entwickelnden Cybersicherheitsbedrohungen und -vorfälle reagieren müssen und nicht durch eine gesetzliche Bestimmung erstickt werden dürfen, die eine so rechtzeitige Reaktion behindern würde“, heißt es in dem am Mittwoch (6. April) versandten Schreiben. , liest.
Der Brief wurde von hochrangigen Internet-Playern wie unterzeichnet Vint Cerf, Internetpionier und ehemaliger Vorsitzender von ICANN, und Andrew Sullivan, Präsident und CEO der Internet Society.
Web-Authentifizierung
Die Web-Authentifizierung ist der technische Mechanismus, der sicherstellt, dass Benutzer die Website besuchen, die sie besuchen möchten, und nicht an Entitäten weitergeleitet werden, die sich als diese Website ausgeben.
Dazu erhält der Benutzer ein Zertifikat, das bestätigt, dass er die Website besucht, die er besuchen wollte. CAs sind von EU-Regierungen ernannte Dritte, die solche Zertifikate für die Websites ausstellen.
„Es ist also ein sehr leistungsfähiges Tool, denn wenn es dieses Zertifikat falsch ausstellt, bedeutet dies, dass sich eine böswillige Partei als die Website ausgeben kann, die Sie besuchen möchten.“ Marshall Erwin, Head of Trust Intelligence Specialist bei Mozilla, gegenüber EURACTIV.
CAs müssen daher vertrauenswürdig sein und gut laufen.
Das Problem mit QWACs
Die kritische Frage des Gesetzentwurfs betrifft, wie und unter welchen Sicherheitsstandards solche Zertifikate ausgestellt werden sollten. Der Vorschlag würde CAs ermöglichen, bestimmte Arten von Zertifikaten auszustellen, nämlich QWACs, um von den Browsern erkannt zu werden, unabhängig von den Sicherheitsstandards, die sie anwenden.
Die Idee der QWACs wurde 2014 gesetzlich verankert. Sie sorgen dafür, dass Zertifikate weitere Informationen enthalten, nicht nur über die besuchte Domain, sondern auch über die juristische Person dahinter.
Laut verschiedenen Quellen, einschließlich der Electronic Frontier Foundation, ist das Erfordernis von QWACs problematisch, weil sie „als wirksames Mittel entlarvt wurden den Benutzern Sicherheit vermitteln“.
Bislang achten Browser zunächst darauf, dass CAs ihre Standards erfüllen, erklärt Erwin. Die Idee hinter dem aktuellen Vorschlag sei jedoch, dass „dies einen parallelen Prozess schaffen würde, in dem einzelne Staaten auf der Grundlage eines nicht spezifizierten Satzes von Standards entscheiden würden“, sagte er. Und Mozilla beispielsweise müsste diese CA akzeptieren.
Ein gefährlicher Präzedenzfall
„Im Wesentlichen sind dies staatlich vorgeschriebene Zertifizierungsstellen, die wir anerkennen müssten“, sagte er Erwin.
Diese EU-Gesetzgebung könnte andernorts einen gefährlichen Präzedenzfall schaffen. „Ich denke, unsere größte Sorge ist, dass andere repressive Regime oder andere Großmächte folgen und im Wesentlichen den gleichen Ansatz verfolgen.“ sagte Erwin.
Beispielsweise haben Regierungen wie die Vereinigten Arabischen Emirate oder Kasachstan zuvor aktiv versucht, die Web-Authentifizierung zu untergraben, „indem sie Gesetze verfolgten, die vorschreiben würden, dass Browser eine Man-in-the-Middle-Funktion bereitstellen, indem sie Zertifizierungsstellen akzeptieren, die nicht unseren Standards entsprechen“, erklärte Erwin .
“Wir haben weltweit erfolgreich zurückgedrängt. Aber unsere Fähigkeit dazu wird an dem Punkt, an dem der Präzedenzfall geschaffen wurde, wirklich untergraben.“
Kate Charlet, Director of Data Governance bei Google, sagte gegenüber EURACTIV, dass dies nicht nur einen beunruhigenden Präzedenzfall schaffen würde, sondern „die Bürger aktiv einem erhöhten digitalen Risiko aussetzen würde in einer Zeit, in der der Schutz anspruchsvoller – und wichtiger – denn je ist.“
In Übereinstimmung mit den Unterzeichnern des Briefes, Charlet ist nicht der Ansicht, dass regulatorische Rahmenbedingungen Organisationen daran hindern sollten, ihre Benutzer vor sich entwickelnder Cyberkriminalität und Bedrohungen zu schützen.
Beim Parlament wurde die Akte dem Industrie-, Forschungs- und Energieausschuss (ITRE) zugewiesen. Berichterstatterin Romana Jerković sagte, dass die Ausschussabstimmung über den Vorschlagsentwurf im Juli erwartet wird.
[Edited by Nathalie Weatherald]