Ein Mann und eine Frau schauen sich über ein Tablet eine Website an.

Wie qualifizierte Website-Zertifikate Europas Digitalisierung vorantreiben

Veröffentlicht am 30.04.2024

QWACs gibt es schon seit Jahren. Bekanntheit erlangten die qualifizierten Website-Zertifikate allerdings erst mit der Revision der eIDAS-Verordnung – plötzlich sorgte der Vertrauensdienst für Diskussionen. Höchste Zeit, den großen Mehrwert von QWACs für die Digitalisierung „Made in Europe“ zu beleuchten.  

QWACs: für mehr Vertrauen im Web 

Oben links auf der Website prangt das vertraute Logo, die User Experience passt – und auf den hochwertigen Fotos vermittelt jedes Gesicht vollste Zufriedenheit: Wirklich nichts weist darauf hin, dass bei der Eingabe persönlicher Daten besondere Vorsicht geboten ist. Stutzig machen könnten hingegen die unzähligen Meldungen, die über Phishing-Attacken auf Fake-Seiten berichten: Zu Beginn der Corona-Pandemie etwa beantragten Kleinunternehmen und Selbstständige in Hamburg auf einem gefälschten Portal Soforthilfen. Mit ihren Daten kamen die Kriminellen an die echten Fördertöpfe.  

Die Zeiten, in denen Fake- und Phishing-Websites sich bereits optisch selbst enttarnten, sind längst vorbei. Dennoch bräuchte es nicht viel, um Kriminellen auf die Schliche zu kommen oder ihnen ihr Handwerk deutlich zu erschweren: Anhand von Website-Zertifikaten könnten User und Userinnen mit nur wenigen Klicks erkennen, ob ein Angebot vertrauenswürdig ist. Und insbesondere, wenn sie auf ein QWAC stoßen, können sie guten Gewissens ihre Daten in die Eingabemaske tippen. 

Definition von QWACs 

Das Akronym steht für Qualified Website Authentication Certificates, zu Deutsch „qualifizierte Zertifikate zur Website-Authentifizierung“. Und das Prädikat „qualifiziert“ verrät: QWACs sind ein Vertrauensdienst gemäß der eIDAS-Verordnung der Europäischen Union. Sie machen die Verantwortlichen von Online-Angeboten eindeutig identifizierbar – nicht zuletzt, weil ihrer Ausstellung umfangreiche Identitätsprüfungen vorausgehen. Wurde für eine Website ein QWAC ausgestellt, können Nutzende sicher sein: Hinter der Seite steht eine vertrauenswürdige Organisation. Zudem bleiben die Daten bei der Eingabe durch Verschlüsselung geschützt. 

Technische Aspekte und Sicherheit von QWACs

Um den Mehrwert von QWACs in Sachen Sicherheit zu verdeutlichen, kann man sie am besten im Kosmos der TLS-Zertifikate einordnen. Die einfachsten dieser Zertifikate sind domainvalidiert (DV – Domain Validation). Sie verschlüsseln die Kommunikation auf der Website verlässlich, bieten Nutzenden allerdings kaum Anhaltspunkte zum Inhaber oder zur Inhaberin einer Website. Warum? Weil die Zertifizierungsstelle (Certification Authority, CA), die das DV-Zertifikat ausgibt, nur minimalen Prüfaufwand betreibt. Sie stellt lediglich fest, ob die juristische oder natürliche Person, die das Zertifikat beantragt, die Kontrolle über die jeweilige Domain hat. Mehr ist auch nicht wirtschaftlich, schließlich sind DV-Zertifikate mittlerweile sogar gratis erhältlich. Das bedeutet, dass selbst Phishing-Seiten damit längst die Kommunikation verschlüsseln. Kim Ngyuen, Leiter Innovations bei der Bundesdruckerei GmbH, fasste das Dilemma im Interview mit dem c’t-Magazin so zusammen: „Es bringt schlicht nichts, dass Daten verschlüsselt übertragen werden, wenn der Empfänger der falsche ist.“

„Es bringt schlicht nichts, dass Daten verschlüsselt übertragen werden, wenn der Empfänger der falsche ist.“ 

Dr. Kim Nguyen, Geschäftsführer der D-Trust GmbH
Dr. Kim Nguyen, Leiter Innovations der Bundesdruckerei GmbH gegenüber dem c’t Magazin

QWACs: eine Sonderform von EV-Zertifikaten 

Organisationsvalidierte Zertifikate (OV – Organisation Validation) gehen einen Schritt weiter. Hier überprüft die CA die Organisation hinter einer Website, insbesondere anhand eines Handelsregisterauszugs, möglicherweise zusätzlich durch eine persönliche Kontaktaufnahme. QWACs hingegen entsprechen TLS-Zertifikaten mit Extended Validation. Bei ihnen ist der Verifizierungsprozess besonders weitreichend: Die Zertifizierungsstelle klärt die Identität der Organisation, checkt Registerdaten und überprüft über Sperrlisten beispielsweise, ob der Website-Inhaber bereits durch Spam-Aktionen auffällig geworden ist. Die Kontaktaufnahme ist obligatorisch und umfasst ein Gespräch mit der Person, die das Zertifikat beantragt. Dabei ermittelt die CA auch, ob diese Person wirklich von der Organisation bevollmächtigt ist. Die vor allem bei Online-Shops und Banken verbreiteten EV-Zertifikate zeigen einwandfrei, wer hinter einer Seite steht. Damit tragen sie einer Kernforderung der Datenschutz-Grundverordnung (DSGVO) Rechnung: Für User und Userinnen soll jederzeit nachvollziehbar sein, welche natürliche oder juristische Person für ein Webangebot verantwortlich ist. 

Qualifizierte Website-Zertifikate: nur echt vom Vertrauensdiensteanbieter  

Wie aber wird ein EV-TLS-Zertifikat zum QWAC? Eine Schlüsselrolle spielt die ausstellende Instanz. Certificate Authorities, die von einem Browser unterstützte TLS-Zertifikate ausgeben dürfen, müssen dem Root-Programm der Browser folgen. QWACs auszustellen ist hingegen ausschließlich qualifizierten Vertrauensdiensteanbietern erlaubt. Diese müssen gemäß eIDAS besonders strikte Sicherheitsvorkehrungen treffen und ein Konformitätsbewertungsverfahren bei einer unabhängigen Stelle durchlaufen, zum Beispiel bei der TÜV Informationstechnik GmbH. Erst wenn ein Unternehmen alle Anforderungen erfüllt, bekommt es einen Platz auf der eIDAS-Vertrauensliste seiner nationalen Aufsichtsbehörde und darf sich als qVDA oder Qualified Trust Service Provider (QTSP) bezeichnen. In Deutschland hat die Bundesnetzagentur (BNetzA) die Aufsicht über QTSPs und die meisten ihrer Vertrauensdienste. Speziell für QWACs allerdings übernimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Funktion.  

Warum die Kritik an QWACs nicht überzeugend ist

Mit Blick auf jenes Aufsichtssystem, das die Europäische Union für Vertrauensdiensteanbieter und QWACs etabliert hat, regte sich vor allem vonseiten der Browser-Anbieter Kritik. Auslöser war Artikel 45 des Entwurfs zur eIDAS-Novelle. Demnach sollten Google, Mozilla, Microsoft und Co. QWACs anerkennen und die Identitätsdaten der Domain-Inhaber nutzerfreundlich im Browser darstellen. Dagegen argumentierten die Konzerne mit verschiedenen Bedenken:

1

Da für QTSPs ein eigenes Aufsichts- und Auditierungssystem besteht, würden sie sich den strengen Prüfprozessen entziehen, die Browser-Anbieter für „klassische“ CA vorsehen. Dies wiederum führe zu Sicherheitsrisiken. Dieses Argument ist aus unserer Sicht nicht stichhaltig: Vertrauensdiensteanbieter unterliegen sehr strenger Regulierung und müssen zudem einen mehrstufigen Qualifizierungsprozess durchlaufen, der das bereits angesprochene Konformitätsbewertungsverfahren beinhaltet. Außerdem haftet der QTSP, sollte er durch einen Fehler einer natürlichen oder juristischen Person schaden.

2

Die staatliche Aufsicht könnte laut Browser-Anbietern dazu führen, dass Regierungen dem QTSP auftragen, per QWAC die Identität eines Domain-Besitzers zu stehlen – um damit die Kommunikation auf dessen Seite zu überwachen. Auch dieses Argument leuchtet nicht ein, denn in EU-Mitgliedsstaaten wäre ein solches Verhalten ausgeschlossen. Zudem könnten sich die nicht staatlichen QTSPs nicht ohne Weiteres den Prüfmechanismen externer Zertifizierungsstellen entziehen.

3

Und dieses Argument der Browser-Anbieter ist bereits einige Jahre alt: EV-TLS-Zertifikate, auf denen QWACs basieren, brächten keine Sicherheit, weil Nutzende sie nicht wahrnehmen. Mit diesem Einwand begründeten Chrome und Firefox bereits 2019 ihre Entscheidung, EV-Zertifikate nicht mehr im Browser hervorzuheben. Tatsächlich verweist diese Argumentation jedoch eher auf das Problem von fehlendem Sicherheitsbewusstsein bei den Nutzenden – und darauf, dass es hier deshalb mehr Aufklärung benötigt.

Mittlerweile hat sich die QWAC-Debatte beruhigt. Grund dafür war die Erweiterung der eIDAS-Novelle um Artikel 45 a. Ihm zufolge könnten die Browser-Betreiber präventiv eingreifen, sollte es begründete Zweifel an der Sicherheit bestimmter Zertifikate geben. Ob diese jemals zutage treten, scheint jedoch sehr ungewiss. Das liegt nicht nur an streng geprüften und prüfenden QTSPs, sondern auch daran, dass QWACs sich bereits seit vielen Jahren in der Praxis bewährt haben.   

Die praktische Anwendung von QWACs  

Qualifizierte Website-Zertifikate kommen bereits seit Jahren zum Einsatz, um EU-Bürgern und -Bürgerinnen mehr Sicherheit und Selbstbestimmung bei digitalen Bezahlvorgängen zu ermöglichen. So erlaubt die Payment Services Directive 2 (PSD2) der EU digitalen Zahlungsdiensteanbietern, per Schnittstelle auf Bankkonten zuzugreifen, um damit Überweisungen vorzunehmen oder Kontoinformationen einzuholen. Zuvor funktionierte das lediglich über das sogenannte Screen Scraping, bei dem Verbraucher und Verbraucherinnen den Payment Service Providern Zugriff auf ihre Log-in-Daten gewähren mussten. 

PSD2: wie qualifizierte Website-Zertifikate Schnittstellen absichern 

Dank der EU-Richtlinie PSD2 greifen die Zahlungsdiensteanbieter automatisiert per Schnittstelle auf Konten zu. Dafür brauchen sie eine Erlaubnis der Finanzmarktaufsicht und ein QWAC. Mit diesem erfüllen die FinTechs die in der PSD2 verankerten Regulatory Technical Standards (RTS) der Europäischen Bankenaufsicht. Laut ihnen müssen sie beim Schnittstellen-Zugriff eindeutig ihre Identität nachweisen, während die gesamte Kommunikation verschlüsselt bleibt. Auf den QWACs befinden sich die Identitätsinformationen eines Zahlungsdiensteanbieters und eine Reihe weiterer Daten. Ebenso hinterlegt ist, welche Dienstleistungen das Unternehmen in einem Markt ausführen darf. Beim Schnittstellen-Zugriff überprüft die Bank – binnen Sekunden und vollautomatisch – zunächst all jene Informationen, um am Ende das QWAC gegen die eIDAS-Vertrauensliste zu verifizieren.

„Zugespitzt gesagt: In der Zahlungsdiensterichtlinie PSD2 sind die QWACs die Nummernschilder digitaler Bezahlprozesse. Wer im Zweifel zurückverfolgbar ist, hält sich an die Regeln.” 

Christian Seegebarth, Senior Expert Trusted Solutions, Bundesdruckerei-Gruppe

Schnittstellen-Authentisierung für die EUDI-Wallet 

Dieses PSD2-Modell aus dem Banking-Bereich ließe sich auch auf das Kernvorhaben von eIDAS 2.0 übertragen: die EUDI-Wallet. Wollen Online-Shops, Banken oder E-Government-Portale auf Nachweise in der Wallet von Nutzenden zugreifen, könnte das ebenso über eine Schnittstelle geschehen. Die Serviceanbieter, laut eIDAS 2.0 sogenannte Relying Parties, würden sich wie die Zahlungsdienste bei der PSD2 mit ihrem QWAC ausweisen und den kompletten Datenaustausch verschlüsseln. Der Vorteil für die Nutzenden: Weil auf den QWACs genau definiert ist, welche Services eine Relying Party anbieten darf, kann sie auch nur auf die dafür notwendigen Nachweise zugreifen. Das entspricht also dem DSGVO-Grundsatz der Datensparsamkeit.  

Fazit: die Bedeutung von QWACs in der EU 

Das PSD2-Modell zeigt: QWACs bieten Sicherheit. Das gilt für die automatisierte Schnittstellen-Kommunikation genauso wie für den Einsatz auf Online-Portalen. Damit sind die Website-Zertifikate ein integraler Bestandteil des digitalen europäischen Vertrauensraums, den die eIDAS-Verordnung schaffen soll. In diesem sind Behörden- und Geschäftsprozesse online genauso sicher wie in der analogen Welt – weil eben alle Beteiligten einwandfrei ihre Identität belegen können. Und steigt das Vertrauen in elektronische Transaktionen, dann nimmt auch deren Zahl zu. Der Binnenmarkt als eine der wichtigsten EU-Errungenschaften dringt so in den digitalen Raum vor.   

Darüber hinaus leisten die qualifizierten Website-Zertifikate ihren Beitrag zur europäischen digitalen Souveränität. Als Vertrauensdienst sind sie in ein bewährtes Auditierungs- und Aufsichtssystem eingebettet. Sie integrieren die Browser in den digitalen europäischen Vertrauensraum und verhindern auf diese Weise, dass deren Anbieter die Regeln für die Internetsicherheit diktieren. Zudem stellen sie sicher – gemäß Artikel 45 eIDAS 2.0 –, dass wir genau nachvollziehen können, wem wir unsere persönlichen Daten anvertrauen. Wo immer QWACs sind, steht der oder die Einzelne im Mittelpunkt. Passt dazu noch die User Experience, können die Nutzenden besonders zufrieden sein. 

Häufig gestellte Fragen

Der Begriff steht für „qualifizierte Zertifikate zur Website-Authentifizierung“. QWACs sind ein Vertrauensdienst gemäß der eIDAS-Verordnung der Europäischen Union. Sie verschlüsseln auf Websites nicht nur die komplette Kommunikation und Dateneingabe, sondern machen für User und Userinnen auch klar nachvollziehbar, welche (juristische) Person hinter einem Webangebot steht.  

QWACs sind sehr sicher. Sie dürfen nur von qualifizierten Vertrauensdiensteanbietern (QTSPs) ausgegeben werden, die streng reguliert werden. Bei der Beantragung überprüfen die QTSPs zum einen anhand verschiedener Daten, welche Organisation hinter der jeweiligen Domain steht. Zum anderen führen sie ein Gespräch mit einer von der Organisation bevollmächtigten Person.  

Bei der Payment Services Directive 2 (PSD2) der EU sichern QWACs die Kommunikation zwischen Zahlungsdiensteanbietern und Banken bereits seit Jahren erfolgreich ab. Der Zahlungsdiensteanbieter weist dabei an einer Schnittstelle seine Identität und seine Berechtigung nach, einen bestimmten Service auszuführen. Zudem verschlüsselt das Website-Zertifikat die komplette Kommunikation.

Das könnte Sie auch interessieren

Artikel
Artikel