Podcast
Podcaster
Beschreibung
vor 5 Monaten
Geht es nach dem Willen der EU, wird bald jeder Bürger der 27
Mitgliedsstaaten eine europäische digitale Identität (EUid) auf
Basis von digitalen Brieftaschen (E-Wallets) erhalten. Bereits 2030
sollen sich 80 Prozent aller EU-Bürger online im Web damit
ausweisen können. Die gesetzliche Grundlage dazu nennt sich
eIDAS-Verordnung 2.0 (electronic IDentification, Authentication and
trust Services). Diese Novellierung der ersten eIDAS-Verordnung aus
dem Jahr 2014 hat fast alle gesetzgeberischen Hürden genommen: Am
9. November wurde ein Kompromiss zwischen EU-Rat, Parlament und
Kommission erzielt, und am 7. Dezember hat Industrieausschuss des
Parlaments diese Vorlage abgesegnet. Stimmt das gesamte Parlament
voraussichtlich im Februar 2024 zu, könnte das Gesetz bereits im
Frühjahr 2024 in Kraft treten. Doch der Entwurf enthält einen
Artikel, der von zivilgesellschaftlichen Organisationen, aber auch
IT-Experten aus dem universitären Umfeld scharf kritisiert wird.
Warum das so ist, diksutieren die c't-Redakteure Holger Bleich und
Sylvester Tremmel sowie der stellvertretende Chefredakteur Jan Mahn
ausführlich in Episode 99 des Datenschutz-Podcasts Auslegungssache.
c't hat sich in der aktuellen Ausgabe 29/2023, die am heutigen 15.
Dezember erscheint, in einem Artikelschwerpunkt mit vielen Facetten
dieser Problematik beschäftigt. In erster Linie geht es um Artikel
45 des Entwurfs. Dieser sieht vor, dass Browser wie Chrome, Edge,
Firefox, und Safari künftig sogenannte qualifizierte Zertifikate
(Qualified Website Authentication Certificates, QWACs) für die
Webseiten-Authentifizierung anerkennen müssen. Die Anbieter der
Browser sollen Aussteller dieser QWACs, die sogenannten
Vertrauensdienste, per Gesetz als sichere Zertifikatsanbieter
akzeptieren und in ihre Root-CA-Stores aufnehmen. Die Gefahr dabei:
Diese staatlich kontrollierten Anbieter könnten Hintertüren
einbauen, um die Verschlüsselung zu kompromittieren und Nutzer zu
überwachen. Das ist keine hypothetische Gefahr, totalitäre Regimes
und Geheimdienste weltweit haben großes Interesse, den Verkehr
ihrer eigenen oder von ausländischen Bürgern abzuhören. Ein
Schreckensszenario, das technisch nicht ausgeschlossen wäre: Die
staatliche Zertifizierungsstelle von Ländern wie Ungarn könnte
falsche Zertifikate für alle Websites ausstellen und der
Geheimdienst des Landes könnte den Verkehr mitlesen. Technisch gibt
es keinen Mechanismus, dass ungarische Zertifikate nur dort gelten
– das Szenario träfe damit alle Europäer. Immer wieder warnen
Browser-Hersteller und Wissenschaftler davor, ein Szenario per
Gesetz zu ermöglichen, das die Vertraulichkeit von Kommunikation
und damit auch den Datenschutz der Bürger derart aushöhlt.
Mitgliedsstaaten eine europäische digitale Identität (EUid) auf
Basis von digitalen Brieftaschen (E-Wallets) erhalten. Bereits 2030
sollen sich 80 Prozent aller EU-Bürger online im Web damit
ausweisen können. Die gesetzliche Grundlage dazu nennt sich
eIDAS-Verordnung 2.0 (electronic IDentification, Authentication and
trust Services). Diese Novellierung der ersten eIDAS-Verordnung aus
dem Jahr 2014 hat fast alle gesetzgeberischen Hürden genommen: Am
9. November wurde ein Kompromiss zwischen EU-Rat, Parlament und
Kommission erzielt, und am 7. Dezember hat Industrieausschuss des
Parlaments diese Vorlage abgesegnet. Stimmt das gesamte Parlament
voraussichtlich im Februar 2024 zu, könnte das Gesetz bereits im
Frühjahr 2024 in Kraft treten. Doch der Entwurf enthält einen
Artikel, der von zivilgesellschaftlichen Organisationen, aber auch
IT-Experten aus dem universitären Umfeld scharf kritisiert wird.
Warum das so ist, diksutieren die c't-Redakteure Holger Bleich und
Sylvester Tremmel sowie der stellvertretende Chefredakteur Jan Mahn
ausführlich in Episode 99 des Datenschutz-Podcasts Auslegungssache.
c't hat sich in der aktuellen Ausgabe 29/2023, die am heutigen 15.
Dezember erscheint, in einem Artikelschwerpunkt mit vielen Facetten
dieser Problematik beschäftigt. In erster Linie geht es um Artikel
45 des Entwurfs. Dieser sieht vor, dass Browser wie Chrome, Edge,
Firefox, und Safari künftig sogenannte qualifizierte Zertifikate
(Qualified Website Authentication Certificates, QWACs) für die
Webseiten-Authentifizierung anerkennen müssen. Die Anbieter der
Browser sollen Aussteller dieser QWACs, die sogenannten
Vertrauensdienste, per Gesetz als sichere Zertifikatsanbieter
akzeptieren und in ihre Root-CA-Stores aufnehmen. Die Gefahr dabei:
Diese staatlich kontrollierten Anbieter könnten Hintertüren
einbauen, um die Verschlüsselung zu kompromittieren und Nutzer zu
überwachen. Das ist keine hypothetische Gefahr, totalitäre Regimes
und Geheimdienste weltweit haben großes Interesse, den Verkehr
ihrer eigenen oder von ausländischen Bürgern abzuhören. Ein
Schreckensszenario, das technisch nicht ausgeschlossen wäre: Die
staatliche Zertifizierungsstelle von Ländern wie Ungarn könnte
falsche Zertifikate für alle Websites ausstellen und der
Geheimdienst des Landes könnte den Verkehr mitlesen. Technisch gibt
es keinen Mechanismus, dass ungarische Zertifikate nur dort gelten
– das Szenario träfe damit alle Europäer. Immer wieder warnen
Browser-Hersteller und Wissenschaftler davor, ein Szenario per
Gesetz zu ermöglichen, das die Vertraulichkeit von Kommunikation
und damit auch den Datenschutz der Bürger derart aushöhlt.
Weitere Episoden
1 Stunde 14 Minuten
vor 2 Tagen
1 Stunde 5 Minuten
vor 2 Wochen
1 Stunde 12 Minuten
vor 4 Wochen
1 Stunde 5 Minuten
vor 1 Monat
1 Stunde 1 Minute
vor 1 Monat
Abonnenten
Bielefeld
Kommentare (0)