Qualifizierte Website-Zertifikate: EU-Plan stärkt die Websicherheit
Veröffentlicht am 12.05.2022
Die EU-Kommission plant eine verpflichtende, verbraucherfreundliche Anzeige qualifizierter Webseitenzertifikate, sogenannter QWACs, im Browser. Die Browser-Hersteller warnen, dass dieser Schritt die Internetsicherheit schwächen würde – zu Unrecht. Vielmehr stärken QWACs den Verbraucherschutz und die europäische digitale Souveränität.
Intensive Debatte über QWACs
Mit der Verordnung über die elektronische Identifizierung und elektronische Vertrauensdienste (eIDAS) hat die EU-Kommission 2014 den rechtlichen Rahmen für eine sichere und vertrauenswürdige elektronische Kommunikation gelegt. Im Juni 2021 hat die EU-Kommission eine Novellierung der eIDAS-Verordnung vorgeschlagen. Darin enthalten ist auch eine Stärkung der qualifizierten Webseitenzertifikate.
Bisher haben sich die Webbrowser geweigert, QWACs anzuerkennen und im Browser anzuzeigen. Deshalb will die EU-Kommission jetzt mit der vorgelegten Novelle die Webbrowser verpflichten, qualifizierte Webseitenzertifikate zu akzeptieren und für den Verbraucher zu visualisieren – zum Beispiel mit einem eIDAS-Vertrauenssiegel.
An dieser Pflicht wird Kritik geäußert, beispielsweise von den Webbrowsern und der Electronic Frontier Foundation (EFF). Die Argumentation der Kritiker: Durch den Einsatz von QWACs würde die Privatsphäre der Nutzer untergraben und eine stärkere Überwachung des verschlüsselten Internetverkehrs ermöglicht.
„Setzt sich diese Sichtweise durch, können große Browser-Unternehmen wie Google oder Mozilla ihre Marktmacht weiter ausweiten. Die Verlierer: die europäische digitale Souveränität und der Aufbau eines digitalen europäischen Vertrauensraums“, kommentiert Dr. Kim Nguyen, Geschäftsführer von D-Trust, dem Vertrauensdiensteanbieter der Bundesdruckerei-Gruppe.
Warum die Kritik nicht überzeugt
Der European Signature Dialog, eine Allianz europäischer Vertrauensdiensteanbieter, hat sich mit den Argumenten auseinandergesetzt. „Die Kritiker verweisen auf scheinbare technische Schwächen der QWACs und leiten daraus Verbraucherschutzbedenken ab. Diese Argumente überzeugen jedoch nicht und beruhen auf Missverständnissen und Vereinfachungen“, erklärt Kim Nguyen.
Erster Kritikpunkt:
Die identitätsgeprüften Zertifikate würden nicht für mehr Sicherheit im Internet sorgen. Dabei verweisen die Kritiker auf angebliche Praxiserfahrungen mit EV-Zertifikaten, die technisch den QWACs entsprechen. Das Gegenteil ist der Fall: Laut einer Untersuchung der RWTH Aachen verliefen 2018 über 99 Prozent der Phishing-Angriffe über Webseiten, die nicht mit EV-Zertifikaten abgesichert waren.
QWACs enthalten Identitäts- und Kommunikationsinformationen, die von einer unabhängigen Drittinstanz, den qualifizierten Vertrauensdiensteanbietern, vorab geprüft wurden. Internetnutzer können also sicher sein, dass hinter der besuchten Webseite eine echte und vertrauenswürdige Person oder Organisation steht.
Zweiter Kritikpunkt:
Browser sollen ohne individuelle, separate Überprüfung die Vertrauensdiensteanbieter inklusive der ausgestellten Zertifikate als vertrauenswürdig kennzeichnen. Durch die Umgehung des Überprüfungssystems der Browser sei die Sicherheit im öffentlichen Web-TLS-System gefährdet. Hier besteht ein großes Missverständnis: Vorgesehen ist, dass die Browser die Liste der qualifizierten Vertrauensdiensteanbieter (EU Trusted List) unterstützen und damit verbundene QWACs anerkennen. Qualifizierte Vertrauensdiensteanbieter unterliegen in Europa einem einheitlichen mehrstufigen staatlich gesteuerten Auditierungs- und Aufsichtssystem. Erst dadurch ist es möglich, dass ein qualifizierter Vertrauensdiensteanbieter tätig werden kann und in die EU-Vertrauensliste aufgenommen wird.
Dritter Kritikpunkt:
Die Kritiker befürchten, dass die verpflichtende Anzeige von Zertifikaten einen Präzedenzfall mit unabsehbaren Folgen schafft. Autoritäre Regime könnten so ermutigt werden, ihre Bürger zur Annahme von speziellen Zertifikaten zu zwingen, um deren Internetaktivitäten zu überwachen. Solche Maßnahmen stehen im Widerspruch zum Konzept eines europäischen digitalen Vertrauensraums. Die Europäische Union hat mit der eIDAS-VO vielmehr ein Zertifikateaufsichtssystem mit strengen Regeln und Governance-Richtlinien etabliert. Beispielsweise unterliegen die qualifizierten Vertrauensdiensteanbieter umfangreichen Sicherheitsvorgaben und Haftungsregeln – beides wird regelmäßig von den nationalen Aufsichtsbehörden kontrolliert. Deshalb gibt es keine Gründe für das Misstrauen vonseiten der Browser-Anbieter.
Warum QWACs wichtig für die digitale Souveränität Europas sind
Die Kritik an den QWACs überzeugt nicht. Dagegen sprechen gewichtige Argumente für die verpflichtende Anzeige qualifizierter Webseitenzertifikate:
QWACs helfen beim Aufbau des europäischen digitalen Vertrauensraums
Qualifizierte Webseitenzertifikate sind ein wichtiger EU-Standard für die Infrastruktur des europäischen digitalen Binnenmarkts. Ihre Akzeptanz inklusive der zugrunde liegenden EU-Vertrauenslisten überführt Webbrowser in den europäischen Vertrauensraum mit einheitlichen Standards, Zertifizierungsprozessen und Aufsichtsbehörden. Ohne solche EU-Standards können große IT-Anbieter außerhalb der EU ihre marktbeherrschende Stellung missbrauchen und dann einseitig die Regeln für die Internetsicherheit bestimmen und durchsetzen. Das Bundeskartellamt teilt diese Befürchtung und empfiehlt eine europäische Regulierung im Rahmen der eIDAS-Verordnung.
QWACs unterstützen den Daten- und Verbraucherschutz
Laut der Europäischen Datenschutz-Grundverordnung (DSGVO) müssen die Verantwortlichen von Webseiten eindeutig identifizierbar sein, wenn auf der Webseite persönliche Daten erhoben werden. Zudem verbessern identitätsgeprüfte Webseiten den Verbraucherschutz. Letzteres illustrieren die Betrugsfälle bei den Corona-Soforthilfe-Anträgen im Frühjahr 2020. Betrüger hatten Fake-Webseiten gebaut und dort die notwendigen Antragsdaten abgegriffen. Mit diesen Daten stellten die Cyberkriminellen dann auf den Originalseiten Anträge und kassierten Gelder ab.
QWACs stärken Europas digitale Souveränität
QWACs sind als europäischer Standard ein wichtiger Förderer des europäischen Vertrauensraums. Sie sind sehr gut in die bewährte europäische Auditierungsstruktur und das behördliche Aufsichtssystem integriert. Es besteht ein funktionierender Markt für Vertrauensdienste und QWACs sind bereits gut etabliert, zum Beispiel im Finanzsektor bei der Umsetzung der Zahlungsrichtlinie PSD2. All dies verringert die Abhängigkeit von den großen IT-Konzernen und stärkt damit die digitale Souveränität Europas. Der Digitalverband Bitkom unterstützt diese Sichtweise in seinem Positionspapier „Websitezertifikate zur Stärkung der europäischen Souveränität“.
„Die QWACs integrieren die Browser in den europäischen Vertrauensraum. Sie stärken die Internetsicherheit und erweitern den Verbraucherschutz, indem sie vor Datendiebstahl schützen“, betont Kim Nguyen.
In der Pressemitteilung „So sichern Zertifikate Webseiten“ finden Sie weitere Informationen zu den unterschiedlichen TLS-Zertifikatstypen und eine Infografik.