Stichwort ‣ Internet
24 Referenzen

Die Europäische Kommission ist ein gesetzgebendes Organ der EU mit Regulierungsbefugnis für die digitale Technologie. Artikel 45 der von der Europäischen Kommission vorgeschlagenen eIDAS-Verordnung würde bewusst bestimmte Aspekte der Internetsicherheit schwächen, die die Branche seit über 25 Jahren sorgfältig entwickelt und gestärkt hat. Dieser Artikel würde den 27 EU-Regierungen faktisch sehr weitreichende Überwachungsbefugnisse über die Internetnutzung einräumen.

Die Regel würde erfordern, dass alle Internetbrowser einem zusätzlichen Stammzertifikat einer Behörde (oder regulierten Stelle) jeder nationalen Regierung jedes EU-Mitgliedstaats vertrauen. Für nicht fachkundige Leser erkläre ich, was ein Root-Zertifikat ist, wie sich das Vertrauen im Internet entwickelt hat und was Artikel 45 diesbezüglich bringt. Als Nächstes werde ich einige Kommentare aus der Tech-Community zu diesem Thema hervorheben.

Im nächsten Abschnitt dieses Artikels wird erläutert, wie die Vertrauensinfrastruktur des Internets funktioniert. Dieser Kontext ist notwendig, um zu verstehen, wie radikal der vorgeschlagene Artikel ist. Die Erläuterung soll auch einem technisch nicht versierten Leser zugänglich sein.

Die fragliche Verordnung betrifft die Internetsicherheit. Mit „Internet“ meinen wir hier weitgehend Browser, die Websites besuchen. Internetsicherheit hat viele verschiedene Aspekte. Artikel 45 zielt darauf ab, die Public-Key-Infrastruktur (PKI) zu ändern, die seit Mitte der 90er Jahre Teil der Internetsicherheit ist. PKI wurde zunächst eingeführt und dann über einen Zeitraum von 25 Jahren verbessert, um Benutzern und Herausgebern die folgenden Garantien zu bieten:

Datenschutz bei Browser-Website-Konversationen: Browser und Websites kommunizieren über das Internet, ein Netzwerk von Netzwerken, die von Internetdienstanbietern und Tier-1-Anbietern oder Mobilfunkanbietern betrieben werden, wenn das Gerät mobil ist. Das Netzwerk selbst ist nicht von Natur aus sicher oder vertrauenswürdig. Ihr Internetdienstanbieter zu Hause, ein Reisender im Wartezimmer des Flughafens, in dem Sie auf Ihren Flug warten, oder ein Datenanbieter, der Leads an Werbetreibende verkaufen möchte, möchten Sie möglicherweise ausspionieren. Ohne jeglichen Schutz könnte ein böswilliger Akteur vertrauliche Daten wie Passwörter, Kreditkartenguthaben oder Gesundheitsinformationen einsehen.
Stellen Sie sicher, dass Sie die Seite genau so anzeigen, wie die Website sie Ihnen gesendet hat: Wenn Sie eine Webseite anzeigen, kann es sein, dass sie sich zwischen dem Editor und Ihrem Browser geändert hat? Ein Zensor möchte möglicherweise Inhalte entfernen, die Sie nicht sehen sollen. Als „Desinformation“ gekennzeichnete Inhalte wurden während der Covid-Hysterie weitgehend entfernt. Ein Hacker, der Ihre Kreditkarte gestohlen hat, möchte möglicherweise Beweise für seine betrügerischen Ausgaben entfernen.
Stellen Sie sicher, dass die Website, die Sie sehen, mit der in der Adressleiste des Browsers übereinstimmt: Wenn Sie sich bei einer Bank anmelden, woher wissen Sie dann, dass Sie die Website dieser Bank sehen und nicht eine gefälschte Version, die gleich aussieht? Sie überprüfen die Adressleiste Ihres Browsers. Könnte Ihr Browser ausgetrickst werden und Ihnen eine gefälschte Website anzeigen, die mit der echten identisch aussieht? Woher weiß Ihr Browser sicher, dass er mit der richtigen Seite verbunden ist?

In den Anfängen des Internets gab es keine dieser Garantien. Im Jahr 2010 ermöglichte ein im Add-ons-Store verfügbares Browser-Plugin dem Benutzer, dem Facebook-Gruppenchat einer anderen Person in einem Hotspot-Café beizutreten. Heute, mit ICP, können Sie sich dieser Dinge ziemlich sicher sein.

Diese Sicherheitsmerkmale werden durch ein System geschützt, das auf digitalen Zertifikaten basiert. Digitale Zertifikate sind eine Form der Identifizierung – die Internetversion eines Führerscheins. Wenn ein Browser eine Verbindung zu einer Site herstellt, präsentiert die Site ihm ein Zertifikat. Das Zertifikat enthält einen kryptografischen Schlüssel. Der Browser und die Website arbeiten mithilfe einer Reihe kryptografischer Berechnungen zusammen, um eine sichere Kommunikation herzustellen.

Zusammen bieten der Browser und die Website die drei Sicherheitsgarantien:

- Vertraulichkeit: durch Verschlüsselung des Gesprächs.
- kryptografische digitale Signaturen: um sicherzustellen, dass Inhalte während der Übertragung nicht verändert werden.
- Herausgeberverifizierung: über die vom ICP bereitgestellte Vertrauenskette, die ich weiter unten näher erläutern werde.

Eine gute Identität sollte schwer zu fälschen sein. Zu diesem Zweck diente in der Antike der Wachsabguss eines Siegels. Menschliche Identitäten basieren auf Biometrie. Ihr Gesicht ist eine der ältesten Formen. Wenn Sie in der nicht-digitalen Welt einen altersbeschränkten Veranstaltungsort betreten müssen, beispielsweise um ein alkoholisches Getränk zu bestellen, werden Sie nach einem Lichtbildausweis gefragt.

weiter lesen