Eidas 2.0: Webbrowser dürfen staatliches HTTPS-MITM weiter verhindern
Mit einer Ergänzung des bestehenden Gesetzentwurfs zu digitalen Identitäten will die EU mögliche Sicherheitsprobleme oder Überwachungsmaßnahmen durch unsichere Zertifikate verhindern. Das Europaparlament beschloss dazu am 29. Februar 2024 einen zusätzlichen Artikel 45a.
Dieser erlaubt es Anbietern von Webbrowsern künftig, Vorsorgemaßnahmen "in Fällen begründeter Bedenken hinsichtlich Sicherheitsverletzungen oder eines Integritätsverlusts eines bestimmten Zertifikats oder eines Satzes von Zertifikaten" zu ergreifen. Die Mozilla-Stiftung begrüßte in einer Stellungnahme die Ergänzung.
In Erwägungsgrund 65 der Verordnung ist zu sogenannten QWACs (Qualified Web Authentication Certificates) zudem festgehalten: "Die Pflicht zur Anerkennung, Interoperabilität und Unterstützung qualifizierter Zertifikate für die Website-Authentifizierung berührt nicht die Freiheit der Anbieter von Webbrowsern, die Websicherheit, die Domänenauthentifizierung und die Verschlüsselung des Webverkehrs in der Weise und mit der Technologie sicherzustellen, die sie für am besten geeignet halten."
Digitaler Zugang zu Dienstleistungen
Generell regelt die neue Verordnung (PDF)(öffnet im neuen Fenster) die Vorgaben für die geplante europaweite elektronische Identität (eID). Bis zum Jahr 2030 sollen mindestens 80 Prozent der EU-Bürger in der Lage sein , eine digitale Lösung für den Zugang zu wichtigen öffentlichen Diensten zu nutzen. Mithilfe der EU Digital Identity Wallets (EUdi-Brieftaschen) sollen Bürger beispielsweise in der Lage sein, grenzüberschreitend ihre Identität oder Qualifikationen elektronisch nachzuweisen.
Dem Gesetz zufolge soll die elektronische Brieftasche innerhalb eines elektronischen Identifizierungssystems ausgegeben werden, das dem Sicherheitsniveau Hoch entspricht. Die Ausgabe, der Einsatz zur Authentifizierung und der Widerruf der Wallets sollen für natürliche Personen kostenlos sein. Es soll auch möglich sein, elektronische Unterschriften zu leisten.
Warnung vor Man-in-the-Middle-Angriffen
Im Zusammenhang mit der Verordnung warnten Sicherheitsexperten im vergangenen November jedoch davor , dass Browserhersteller durch die ursprüngliche Regelung in Artikel 45 zur Integration staatlich abgesegneter Root-Zertifikate für HTTPS-Verbindungen gezwungen werden könnten. Zudem wurde befürchtet, dass den Herstellern sogar das Durchsetzen moderner Sicherheitsstandards und letztlich gar der Ausschluss der dazugehörigen Certificate Authoritys (CAs) verboten werden könnte. Die Position einer CA ermöglicht es theoretisch, einen Man-in-the-Middle-Angriff (MITM) auf HTTPS durchzuführen und so die sonst verschlüsselten Verbindungen vollständig zu überwachen.
Die Mozilla-Stiftung begrüßte den nun beschlossenen Text. "Die Abstimmung stellt einen Sieg für die Websicherheit dar und schützt Internetnutzer durch die Beibehaltung der grundlegenden Cybersicherheitsprotokolle, die von den Root-Store-Betreibern eingeführt wurden" , hieß es in einer Stellungnahme. Die Europäische Kommission habe zudem eine formelle Erklärung (PDF)(öffnet im neuen Fenster) abgegeben, "die als Anhang zum Gesetz angenommen wurde und in der sie diese Schutzmaßnahmen unterstützt und sich verpflichtet, sie bei der Umsetzung des Gesetzes in technische Standards zu respektieren" .
Wirtschaft hofft auf "Gamechanger"
Die IT-Branche wiederum sieht in der Verordnung einen möglichen "Gamechanger für die Digitalisierung in Deutschland" durch sichere digitale Identitäten. "Mit der eIDAS-Verordnung und der damit verbundenen Einführung einer EU-Wallet wird der Grundstein gelegt für eine echte digitale Kommunikation zwischen Bürgerinnen und Bürgern, der Verwaltung und der Wirtschaft" , sagte Bitkom-Präsident Ralf Wintergerst laut einer Mitteilung(öffnet im neuen Fenster) .
Damit biete sich Deutschland zudem die Chance, frühere Fehler bei der eID des Personalausweises zu korrigieren. "In der Zwischenzeit sollte aber unbedingt wieder die PIN-Rücksetzmöglichkeit ohne Besuch im Bürgeramt ermöglicht werden. Zum Jahreswechsel war diese Möglichkeit aus Budgetgründen gestrichen worden. Wir brauchen hoch sichere und gleichzeitig einfach zu nutzende digitale Identitäten in Deutschland" , forderte Wintergerst.
Bevor die Verordnung in Kraft treten kann, müssen die EU-Mitgliedstaaten dem Gesetzestext noch zustimmen.
Nachtrag vom 29. Februar 2024, 21:36 Uhr
Der Europaabgeordnete Patrick Breyer bekräftigte trotz der nun beschlossenen Ergänzungen seine Kritik an der Verordnung. Es sei ungewiss, "wann und ob jemals bekannt würde, wenn eine Regierung ihr Rootzertifikatprivileg für Überwachungszwecke missbraucht" , sagte der Piratenpolitiker auf Anfrage von Golem.de und fügte hinzu: "Das eigentliche Übel ist, dass Browser überhaupt den Staatszertifikaten vertrauen müssen, ohne die Sicherheitsanforderungen selbst festlegen zu können beziehungsweise ohne dass die allgemein gültigen Sicherheitsvorkehrungen gegeben sein müssen." Auch würden zukünftig erhöhte Sicherheitsanforderungen für Staatszertifikate nicht gelten.