Knapp 500 Wissenschaftler und Akademiker aus 36 Ländern haben einen offenen Brief unterzeichnet, der sich gegen die Implementierung neuer Sicherheitsvorkehrungen ausspricht, die im Rahmen der digitalen europäischen Identität eIDAS in allen Mitgliedstaaten der Europäischen Union ausgerollt werden sollen.
Kritik entzündet sich hier an einer technischen Vorkehrung, die vergleichbar mit der HTTPS-Verschlüsselung von Internetseiten ist und dem durchschnittlichen Internetnutzer vor allem durch das kleine Vorhängeschloss in der Adressleiste seines Browsers ein Begriff sein dürfte. Ein ähnliches Sicherheitssystem, das auf Zertifikaten und autorisierten Stellen basiert, die diese ausstellen und überprüfen dürfen, ist auch für die europäische Identität eIDAS geplant.
Wallet-ID: So sieht die deutsche Lösung aus
eIDAS steht kurz für „electronic Identification, Authentication and trust Services“ und bezeichnet eine Verordnung, die das Grundgerüst für eine europaweite digitale ID schafft. Langfristig könnte diese beim Unterschreiben von Verträgen, bei der Beantragung staatlicher Hilfen oder etwa bei der Anerkennung von Berufsabschlüssen in anderen EU-Mitgliedsstaaten zum Einsatz kommen.
Offener Brief: eidas-open-letter.org
Root-Zertifikate für alle EU-Staaten
Eine derzeit innerhalb der europäischen Bürokratie diskutierte Überarbeitung der eIDAS-Verordnung hat nun nicht nur zahlreiche namhafte Wissenschaftler, sondern auch Nichtregierungsorganisationen wie den Chaos Computer Club auf den Plan gerufen. Diese machen darauf aufmerksam, dass die europäischen Gesetzgeber neue Root-Zertifikate für eIDAS bereitstellen wollen, die Browserhersteller wie Mozilla und Smartphone-Anbieter wie Apple ab Werk in ihre Software integrieren müssten.
Die Sicherheitszertifikate würden anschließend das Mitlesen verschlüsselter Inhalte durch staatliche Stellen ermöglichen.
Hier kritisieren die Wissenschaftler, dass die Zertifikate jedes einzelnen EU-Mitgliedstaates zwangsläufig für alle europäischen Bürger gelten würden. Würde ein Zertifikatsinhaber diese missbräuchlich einsetzen, wäre dies bereits ausreichend um nicht nur den Webverkehr der eigenen Bürger, sondern aller Personen in der EU abzufangen und vertrauliche Daten wie Finanzinformationen, medizinische Unterlagen und Ähnliches zu sammeln.
„Erheblich erhöhtes Schadenspotenzial“
Ein Mechanismus, wie auf so einen Fall zu reagieren sei, skizziert die aktualisierte eIDAS-Verordnung allerdings nicht. Hier fordern die unterzeichnenden Wissenschaftler die Rücknahme des neuen Artikels 45, der die Sicherheit innerhalb der EU eigentlich erhöhen sollte, bei genauem Hinsehen jedoch vor allem für mehr Verwundbarkeit sorgt.
In dem Schrieben heißt es:
Zusammenfassend warnen wir nachdrücklich vor dem derzeit vorgeschlagenen Trilog-Abkommen, da es das Recht auf Privatsphäre der Bürger und die Sicherheit der Online-Kommunikation nicht angemessen respektiert; ohne die Einführung angemessener Schutzmaßnahmen wie oben beschrieben, erhöht es stattdessen das Schadenspotenzial erheblich.