Liebe Leserinnen und Leser,
In Zeiten, in denen das Internet einen immer größeren Einfluss auf unser Leben ausübt, wird die Online-Sicherheit und Privatsphäre zu einem entscheidenden Anliegen. Gerade in der Europäischen Union sollten wir uns darauf verlassen können, dass unsere Grundrechte, einschließlich unserer digitalen Privatsphäre, respektiert und geschützt werden. Doch was passiert, wenn Gesetze und Verordnungen, die im Namen der Sicherheit erlassen werden, diese Prinzipien gefährden?
Die eIDAS-Regulierung: Hinter diesem sperrigen Namen verbirgt sich eine Gesetzgebung, die demnächst in der EU verabschiedet werden soll. Doch es gibt Alarmglocken, die wir nicht ignorieren dürfen. Über 300 Experten für Cyber-Sicherheit, Forscher und Nichtregierungsorganisationen haben einen offenen Brief verfasst, um auf die möglichen Gefahren der eIDAS-Regulierung hinzuweisen.
Eine geheime Gefahr für die Internet-Sicherheit: Die eIDAS-Regulierung, die in naher Zukunft finalisiert werden soll, enthält Bestimmungen, die nicht nur sperrig klingen, sondern auch eine ernsthafte Bedrohung für unsere Online-Sicherheit darstellen. Die neuen legislativen Artikel sehen vor, dass alle in Europa vertriebenen Webbrowser den von EU-Regierungen ausgewählten Zertifizierungsstellen und kryptografischen Schlüsseln vertrauen müssen.
Warum ist das so besorgniserregend? Weil dies die Befugnisse der EU-Regierungen drastisch erweitert, den verschlüsselten Web-Traffic innerhalb der EU zu überwachen. Jedes EU-Mitgliedsland kann kryptografische Schlüssel für die Verwendung in Webbrowsern bestimmen, und diese Browser dürfen das Vertrauen in diese Schlüssel ohne Erlaubnis der Regierung nicht widerrufen.
Die Bedrohung der Privatsphäre: Dies bedeutet, dass die Regierung eines jeden EU-Mitgliedstaates Website-Zertifikate für die Überwachung und Spionage ausstellen kann, die gegen jeden EU-Bürger verwendet werden können, unabhängig davon, ob sie in oder mit dem ausstellenden Mitgliedstaat verbunden sind. Es gibt keine unabhängige Kontrolle oder Prüfung der Entscheidungen, die von Mitgliedsstaaten in Bezug auf die von ihnen autorisierten Schlüssel und deren Verwendung getroffen werden. Dies ist umso besorgniserregender, da die Einhaltung des Rechtsstaats nicht in allen Mitgliedstaaten einheitlich ist.
Die Rolle der EU-Standards und -Gremien: Die eIDAS-Regulierung schreibt vor, dass Browser Sicherheitsprüfungen für diese EU-Schlüssel und -Zertifikate nur gemäß den Vorgaben des EU-IT-Standards Gremiums, ETSI, durchführen dürfen. Diese strikte Regelung birgt Risiken, insbesondere wenn es um von Regierungen kontrollierte Standardisierungsgremien geht. ETSI hat eine besorgniserregende Historie bei der Entwicklung kompromittierter kryptografischer Standards und sogar eine Arbeitsgruppe, die ausschließlich der Entwicklung von Überwachungstechnologien gewidmet ist.
Die Geheimniskrämerei und demokratische Transparenz: Die Tatsache, dass diese Änderungen so spät im Gesetzgebungsprozess und hinter verschlossenen Türen eingeführt wurden, ist zutiefst besorgniserregend für demokratische Normen in Europa. Die Öffentlichkeit wurde nicht angemessen darüber informiert, und es war schwierig, die Gesetze, die in privaten Sitzungen verabschiedet wurden, zu überprüfen oder überhaupt davon zu erfahren.
Ein Weckruf für die Zivilgesellschaft: Über 300 Experten für Cybersicherheit, Forscher und Nichtregierungsorganisationen haben einen offenen Brief verfasst und die EU aufgefordert, von diesen Plänen abzusehen und das Internet zu schützen. Diejenigen, die diese Bedenken unterstützen, umfassen auch zivilgesellschaftliche Gruppen wie die Internet Society, European Digital Rights (EDRi), die Electronic Frontier Foundation (EFF), der Linux Foundation, Epicenter.works und viele andere.
Was können wir tun?: Die eIDAS-Regulierung steht kurz vor der finalen Abstimmung hinter verschlossenen Türen, die für den 8. November in Brüssel angesetzt ist. Anschließend wird sie zur förmlichen Ratifizierung im Europäischen Parlament vorgelegt. Obwohl diese Abstimmung für gewöhnlich als Formalität betrachtet wird, werden die Texte der Trialog-Verhandlungen in der Regel ohne Änderungen in Gesetze übernommen.
Wenn Sie ein europäischer Bürger sind, können Sie an das Mitglied des Europäischen Parlaments schreiben, das für die eIDAS-Regulierung zuständig ist, in diesem Fall Romana Jerkovic (romana.jerkovic@europarl.europa.eu), und Ihre Bedenken äußern.
Wenn Sie ein Experte für Cybersicherheit, Forscher oder Vertreter einer Nichtregierungsorganisation sind, erwägen Sie, den offenen Brief auf https://eidas-open-letter.org zu unterzeichnen.
Die Sicherheit und Privatsphäre im Internet sind von zentraler Bedeutung, und wir dürfen nicht zulassen, dass Gesetze und Verordnungen unsere Grundrechte untergraben. Die eIDAS-Regulierung ist eine ernsthafte Angelegenheit, die unsere Aufmerksamkeit und unseren Widerstand erfordert. Es liegt an uns, sicherzustellen, dass das Internet ein Ort der Freiheit und Sicherheit bleibt.
Anbei finden Sie meine Nachricht an die Berichterstatterin:
Dear Ms. Jerkovic,
I hope this message finds your desk. I am writing to express my deep concerns and those of a significant number of cybersecurity experts, researchers, NGOs, and civil society regarding the current state of the eIDAS regulation. As the near-final text of this regulation is nearing completion and will soon be presented to the public and the parliament for approval, I believe it is of utmost importance to address the critical issues that have been identified. The recent developments, particularly the introduction of new legislative articles behind closed doors, are causing alarm among cybersecurity experts and advocates (https://last-chance-for-eidas.org/). These articles propose that all web browsers distributed in Europe will be required to trust the certificate authorities and cryptographic keys selected by EU governments. This extension of power has far-reaching implications, as it allows EU governments to have increased capabilities to surveil their citizens by utilizing cryptographic keys under government control to intercept encrypted web traffic across the EU. Furthermore, the ability of any EU member state to designate cryptographic keys for distribution in web browsers, without the possibility of browsers revoking trust in these keys without government permission, raises serious concerns.
This new provision essentially grants governments within the EU the authority to issue website certificates for interception and surveillance, affecting all EU citizens, including those not residing in or connected to the issuing member state. What's particularly worrisome is the lack of independent oversight or checks on the decisions made by member states regarding the keys they authorize and their intended use. In light of documented instances of coercion by secret police for political purposes in certain member states, these provisions pose a significant threat to individual freedoms.
The text also restricts browsers from applying security checks to these EU keys and certificates unless they are pre-approved by the EU's IT standards body, ETSI. This structure, particularly when it involves government-controlled standard bodies, can lead to misaligned incentives in cryptography. ETSI's history of producing compromised cryptographic standards and its dedicated working group for interception technology raise serious doubts about the integrity of this approach.
Furthermore, the introduction of these changes so late in the legislative process, without adequate public awareness or scrutiny, is concerning for democratic norms in Europe. The lack of transparency and opportunity for civil society, academics, and the general public to examine and understand these new laws is deeply troubling.
I urge you to reconsider the current text and ensure that Article 45 will not interfere with trust decisions concerning cryptographic keys and certificates used to secure web traffic. My concern is shared by over 300 cybersecurity experts, researchers, and numerous civil society groups and industry organizations. Please protect the rights and privacy of European citizens.
As the eIDAS regulation approaches its final stages, I kindly request your support in addressing these issues during the upcoming trialogue meeting in Brussels on November 8th and in the subsequent formal ratification in the European Parliament. European citizens and the global community are closely watching the outcome, and I believe it is crucial to prioritize the security and privacy of the internet.
Thank you for your attention to this matter. I am looking forward to your response and hope for a resolution that ensures the continued protection of online security and individual rights.
Sincerely,
Marcus Seyfarth, LL.M.