8. November 2023
November 202308

EU will uns ausspionieren

Jeder Internet-Nutzer weiß mittlerweile, daß er auf »https« in der Browser-Zeile achten muß, wenn er geschützt surfen will, um zum Beispiel Bestellungen abzusetzen, Online-Banking durchzuführen oder auch zu kommunizieren, ohne, daß es jeder im Netz mitlesen kann.

Dies könnte aber bald in der EU Geschichte sein. Die EU plant zur Zeit eine Revision des Gesetzes für digitale Identitäten (genannt eIDAS 2.0), also darum, daß man zum Beispiel den deutschen elektronischen Personalausweis im Internet europaweit nutzen kann – grob gesagt. Tief in diesem Gesetz versteckt, im Artikel 45, soll es wohl eine Regelung geben, die es in sich hat. Ich muß leider ein bißchen ausholen, um zu erklären, was die vorhaben. Wer mein Blog mit »https://…« ansteuert, bekommt von meinem Server ein Zertifikat mitgeschickt, der den Namen des Blogs beinhaltet, also »www.grantler-blog.de«. Dieses Zertifikat habe ich mir nicht selber zusammengestrickt, sondern habe das bei einer Zertifizierungsstelle beantragt. Die stellt mir das aber nicht ohne weiteres aus. Sie versichert sich, daß ich wirklich die Verfügungsgewalt über die Domain »www.grantler-blog.de« besitze. Früher war das ein manueller Prozeß, heute geht das automatisiert über bestimmte Techniken.

Der Nutzer muß daher nicht mehr mir trauen, daß ich der richtige bin, sondern der Zertifizierungsstelle. Jetzt sollte natürlich gleich der Einwand kommen: Ich habe niemanden mein Vertrauen geschenkt. Das ist auch richtig. Das haben die Browser-Hersteller zu verantworten. Die haben sich die Zertifizierungsstellen angeschaut und die, die sie für vertrauenswürdig hielten, in die Browsersoftware eingetragen. Natürlich beobachten sie danach auch weiterhin das Verhalten dieser Zertifizierungsstellen. Wenn es sich herausstellt, daß die nicht (mehr) sauber arbeiten, dann entfernen sie diese Zertifizierungsstellen auch wieder. Dies ist in der Vergangenheit auch schon mehrfach vorgekommen. Interessanterweise arbeitet hier die Konkurrenz, also Apple, Google, Microsoft, Mozilla und viele andere auch brav zusammen – zu wichtig ist dieses Thema.

Ein besonderes Problem stellen hierbei Zertifizierungsstellen dar, die unter staatlicher Kontrolle sind. Sie könnten von eben diesem Staat gezwungen werden, die erzeugten Zertifikate nicht nur an den rechtmäßigen Antragsteller herauszugeben, sondern auch eine Kopie an staatlichen Stellen.

Was kann der Staat mit so einem Zertifikat anstellen? Er kann eine sogenannte Man-in-the-Middle-Attacke fahren. Er lenkt den Datenstrom des Nutzers um und lenkt ihn auf einen eigenen Webserver. Wenn dann dieser Webserver genau das kopierte Zertifikat ausliefert, bekommt der Nutzer gar nicht mit, daß jemand die Kommunikation mitlauscht – er wähnt sich in Sicherheit! Das gleiche gilt natürlich auch für andere Programme, die auf der Technologie SSL bzw. TLS (neuere Bezeichnung) aufbauen.

Diese Taktik ist in Schurkenstaaten beliebt, und die Browser-Hersteller haben auch genau solche Zertifizierungsstellen schon herausgeschmissen.

Nun kommen wir auf den ominösen Artikel 45 zurück. Der soll den Browser-Herstellern, die in der EU ihre Software anbieten wollen, genau verbieten, solche staatlichen Zertifizierungsstellen aus ihrer Software zu entfernen! Was sagt uns das? Daß sich die EU zu einem Schurkenstaat entwickelt, beziehungsweise schon längst einer ist!

Aufruhr dagegen gibt es wohl nicht erst seit gestern, aber ich habe das erst heute entdeckt. Vielleicht hat Heise auch schon darüber geschrieben, aber dann ist es mir entgangen (ich werde nochmal suchen). Netzpolitik.org hat wohl schon darüber berichtet, aber deren Gender-Gaga mache ich nicht mit. Ich verlinke daher mal auf das britische Online-Magazin The Register für weitere Details. Speziell geht es hier um einen Offenen Brief von 500 Sicherheitsexperten, die die EU auffordern, diese Regelung aus dem Entwurf zu entfernen.

Nachtrag: Ich habe einen Heise-Artikel von gestern abend gefunden.