Ein Mann und eine Frau schauen sich über ein Tablet eine Website an.

Wie qualifizierte Website-Zertifikate Europas Digitalisierung vorantreiben

Veröffentlicht am 30.04.2024

QWACs gibt es schon seit Jahren. Bekanntheit erlangten die qualifizierten Website-Zertifikate allerdings erst mit der Revision der eIDAS-Verordnung – plötzlich sorgte der Vertrauensdienst für Diskussionen. Höchste Zeit, den großen Mehrwert von QWACs für die Digitalisierung „Made in Europe“ zu beleuchten.

QWACs: für mehr Vertrauen im Web

Oben links auf der Website prangt das vertraute Logo, die User Experience passt – und auf den hochwertigen Fotos vermittelt jedes Gesicht vollste Zufriedenheit: Wirklich nichts weist darauf hin, dass bei der Eingabe persönlicher Daten besondere Vorsicht geboten ist. Stutzig machen könnten hingegen die unzähligen Meldungen, die über Phishing-Attacken auf Fake-Seiten berichten: Zu Beginn der Corona-Pandemie etwa beantragten Kleinunternehmen und Selbstständige in Hamburg auf einem gefälschten Portal Soforthilfen. Mit ihren Daten kamen die Kriminellen an die echten Fördertöpfe.

Die Zeiten, in denen Fake- und Phishing-Websites sich bereits optisch selbst enttarnten, sind längst vorbei. Dennoch bräuchte es nicht viel, um Kriminellen auf die Schliche zu kommen oder ihnen ihr Handwerk deutlich zu erschweren: Anhand von Website-Zertifikaten könnten User und Userinnen mit nur wenigen Klicks erkennen, ob ein Angebot vertrauenswürdig ist. Und insbesondere, wenn sie auf ein QWAC stoßen, können sie guten Gewissens ihre Daten in die Eingabemaske tippen.

Definition von QWACs

Das Akronym steht für Qualified Website Authentication Certificates, zu Deutsch „qualifizierte Zertifikate zur Website-Authentifizierung“. Und das Prädikat „qualifiziert“ verrät: QWACs sind ein Vertrauensdienst gemäß der eIDAS-Verordnung der Europäischen Union. Sie machen die Verantwortlichen von Online-Angeboten eindeutig identifizierbar – nicht zuletzt, weil ihrer Ausstellung umfangreiche Identitätsprüfungen vorausgehen. Wurde für eine Website ein QWAC ausgestellt, können Nutzende sicher sein: Hinter der Seite steht eine vertrauenswürdige Organisation. Zudem bleiben die Daten bei der Eingabe durch Verschlüsselung geschützt.

Technische Aspekte und Sicherheit von QWACs

Um den Mehrwert von QWACs in Sachen Sicherheit zu verdeutlichen, kann man sie am besten im Kosmos der TLS-Zertifikate einordnen. Die einfachsten dieser Zertifikate sind domainvalidiert (DV – Domain Validation). Sie verschlüsseln die Kommunikation auf der Website verlässlich, bieten Nutzenden allerdings kaum Anhaltspunkte zum Inhaber oder zur Inhaberin einer Website. Warum? Weil die Zertifizierungsstelle (Certification Authority, CA), die das DV-Zertifikat ausgibt, nur minimalen Prüfaufwand betreibt. Sie stellt lediglich fest, ob die juristische oder natürliche Person, die das Zertifikat beantragt, die Kontrolle über die jeweilige Domain hat. Mehr ist auch nicht wirtschaftlich, schließlich sind DV-Zertifikate mittlerweile sogar gratis erhältlich. Das bedeutet, dass selbst Phishing-Seiten damit längst die Kommunikation verschlüsseln. Kim Ngyuen, Leiter Innovations bei der Bundesdruckerei GmbH, fasste das Dilemma im Interview mit dem c’t-Magazin so zusammen: „Es bringt schlicht nichts, dass Daten verschlüsselt übertragen werden, wenn der Empfänger der falsche ist.“

„Es bringt schlicht nichts, dass Daten verschlüsselt übertragen werden, wenn der Empfänger der falsche ist.“

Dr. Kim Nguyen, Geschäftsführer der D-Trust GmbH

Dr. Kim Nguyen, Leiter Innovations der Bundesdruckerei GmbH gegenüber dem c’t Magazin

QWACs: eine Sonderform von EV-Zertifikaten

Organisationsvalidierte Zertifikate (OV – Organisation Validation) gehen einen Schritt weiter. Hier überprüft die CA die Organisation hinter einer Website, insbesondere anhand eines Handelsregisterauszugs, möglicherweise zusätzlich durch eine persönliche Kontaktaufnahme. QWACs hingegen entsprechen TLS-Zertifikaten mit Extended Validation. Bei ihnen ist der Verifizierungsprozess besonders weitreichend: Die Zertifizierungsstelle klärt die Identität der Organisation, checkt Registerdaten und überprüft über Sperrlisten beispielsweise, ob der Website-Inhaber bereits durch Spam-Aktionen auffällig geworden ist. Die Kontaktaufnahme ist obligatorisch und umfasst ein Gespräch mit der Person, die das Zertifikat beantragt. Dabei ermittelt die CA auch, ob diese Person wirklich von der Organisation bevollmächtigt ist. Die vor allem bei Online-Shops und Banken verbreiteten EV-Zertifikate zeigen einwandfrei, wer hinter einer Seite steht. Damit tragen sie einer Kernforderung der Datenschutz-Grundverordnung (DSGVO) Rechnung: Für User und Userinnen soll jederzeit nachvollziehbar sein, welche natürliche oder juristische Person für ein Webangebot verantwortlich ist.

Qualifizierte Website-Zertifikate: nur echt vom Vertrauensdiensteanbieter

Wie aber wird ein EV-TLS-Zertifikat zum QWAC? Eine Schlüsselrolle spielt die ausstellende Instanz. Certificate Authorities, die von einem Browser unterstützte TLS-Zertifikate ausgeben dürfen, müssen dem Root-Programm der Browser folgen. QWACs auszustellen ist hingegen ausschließlich qualifizierten Vertrauensdiensteanbietern erlaubt. Diese müssen gemäß eIDAS besonders strikte Sicherheitsvorkehrungen treffen und ein Konformitätsbewertungsverfahren bei einer unabhängigen Stelle durchlaufen, zum Beispiel bei der TÜV Informationstechnik GmbH. Erst wenn ein Unternehmen alle Anforderungen erfüllt, bekommt es einen Platz auf der eIDAS-Vertrauensliste seiner nationalen Aufsichtsbehörde und darf sich als qVDA oder Qualified Trust Service Provider (QTSP) bezeichnen. In Deutschland hat die Bundesnetzagentur (BNetzA) die Aufsicht über QTSPs und die meisten ihrer Vertrauensdienste. Speziell für QWACs allerdings übernimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Funktion.

Warum die Kritik an QWACs nicht überzeugend ist

Mit Blick auf jenes Aufsichtssystem, das die Europäische Union für Vertrauensdiensteanbieter und QWACs etabliert hat, regte sich vor allem vonseiten der Browser-Anbieter Kritik. Auslöser war Artikel 45 des Entwurfs zur eIDAS-Novelle. Demnach sollten Google, Mozilla, Microsoft und Co. QWACs anerkennen und die Identitätsdaten der Domain-Inhaber nutzerfreundlich im Browser darstellen. Dagegen argumentierten die Konzerne mit verschiedenen Bedenken:

Erstens: Da für QTSPs ein eigenes Aufsichts- und Auditierungssystem besteht, würden sie sich den strengen Prüfprozessen entziehen, die Browser-Anbieter für „klassische“ CA vorsehen. Dies wiederum führe zu Sicherheitsrisiken. Dieses Argument ist aus unserer Sicht nicht stichhaltig: Vertrauensdiensteanbieter unterliegen sehr strenger Regulierung und müssen zudem einen mehrstufigen Qualifizierungsprozess durchlaufen, der das bereits angesprochene Konformitätsbewertungsverfahren beinhaltet. Außerdem haftet der QTSP, sollte er durch einen Fehler einer natürlichen oder juristischen Person schaden.
Zweitens: Die staatliche Aufsicht könnte laut Browser-Anbietern dazu führen, dass Regierungen dem QTSP auftragen, per QWAC die Identität eines Domain-Besitzers zu stehlen – um damit die Kommunikation auf dessen Seite zu überwachen. Auch dieses Argument leuchtet nicht ein, denn in EU-Mitgliedsstaaten wäre ein solches Verhalten ausgeschlossen. Zudem könnten sich die nicht staatlichen QTSPs nicht ohne Weiteres den Prüfmechanismen externer Zertifizierungsstellen entziehen.
Drittens – und dieses Argument der Browser-Anbieter ist bereits einige Jahre alt: EV-TLS-Zertifikate, auf denen QWACs basieren, brächten keine Sicherheit, weil Nutzende sie nicht wahrnehmen. Mit diesem Einwand begründeten Chrome und Firefox bereits 2019 ihre Entscheidung, EV-Zertifikate nicht mehr im Browser hervorzuheben. Tatsächlich verweist diese Argumentation jedoch eher auf das Problem von fehlendem Sicherheitsbewusstsein bei den Nutzenden – und darauf, dass es hier deshalb mehr Aufklärung benötigt.

Mittlerweile hat sich die QWAC-Debatte beruhigt. Grund dafür war die Erweiterung der eIDAS-Novelle um Artikel 45 a. Ihm zufolge könnten die Browser-Betreiber präventiv eingreifen, sollte es begründete Zweifel an der Sicherheit bestimmter Zertifikate geben. Ob diese jemals zutage treten, scheint jedoch sehr ungewiss. Das liegt nicht nur an streng geprüften und prüfenden QTSPs, sondern auch daran, dass QWACs sich bereits seit vielen Jahren in der Praxis bewährt haben.

Die praktische Anwendung von QWACs

Qualifizierte Website-Zertifikate kommen bereits seit Jahren zum Einsatz, um EU-Bürgern und -Bürgerinnen mehr Sicherheit und Selbstbestimmung bei digitalen Bezahlvorgängen zu ermöglichen. So erlaubt die Payment Services Directive 2 (PSD2) der EU digitalen Zahlungsdiensteanbietern, per Schnittstelle auf Bankkonten zuzugreifen, um damit Überweisungen vorzunehmen oder Kontoinformationen einzuholen. Zuvor funktionierte das lediglich über das sogenannte Screen Scraping, bei dem Verbraucher und Verbraucherinnen den Payment Service Providern Zugriff auf ihre Log-in-Daten gewähren mussten.

PSD2: wie qualifizierte Website-Zertifikate Schnittstellen absichern

Dank der EU-Richtlinie PSD2 greifen die Zahlungsdiensteanbieter automatisiert per Schnittstelle auf Konten zu. Dafür brauchen sie eine Erlaubnis der Finanzmarktaufsicht und ein QWAC. Mit diesem erfüllen die FinTechs die in der PSD2 verankerten Regulatory Technical Standards (RTS) der Europäischen Bankenaufsicht. Laut ihnen müssen sie beim Schnittstellen-Zugriff eindeutig ihre Identität nachweisen, während die gesamte Kommunikation verschlüsselt bleibt. Auf den QWACs befinden sich die Identitätsinformationen eines Zahlungsdiensteanbieters und eine Reihe weiterer Daten. Ebenso hinterlegt ist, welche Dienstleistungen das Unternehmen in einem Markt ausführen darf. Beim Schnittstellen-Zugriff überprüft die Bank – binnen Sekunden und vollautomatisch – zunächst all jene Informationen, um am Ende das QWAC gegen die eIDAS-Vertrauensliste zu verifizieren.

„Zugespitzt gesagt: In der Zahlungsdiensterichtlinie PSD2 sind die QWACs die Nummernschilder digitaler Bezahlprozesse. Wer im Zweifel zurückverfolgbar ist, hält sich an die Regeln.”

Christian Seegebarth, Senior Expert Trusted Solutions, Bundesdruckerei-Gruppe

Schnittstellen-Authentisierung für die EUDI-Wallet

Dieses PSD2-Modell aus dem Banking-Bereich ließe sich auch auf das Kernvorhaben von eIDAS 2.0 übertragen: die EUDI-Wallet. Wollen Online-Shops, Banken oder E-Government-Portale auf Nachweise in der Wallet von Nutzenden zugreifen, könnte das ebenso über eine Schnittstelle geschehen. Die Serviceanbieter, laut eIDAS 2.0 sogenannte Relying Parties, würden sich wie die Zahlungsdienste bei der PSD2 mit ihrem QWAC ausweisen und den kompletten Datenaustausch verschlüsseln. Der Vorteil für die Nutzenden: Weil auf den QWACs genau definiert ist, welche Services eine Relying Party anbieten darf, kann sie auch nur auf die dafür notwendigen Nachweise zugreifen. Das entspricht also dem DSGVO-Grundsatz der Datensparsamkeit.

Fazit: die Bedeutung von QWACs in der EU

Das PSD2-Modell zeigt: QWACs bieten Sicherheit. Das gilt für die automatisierte Schnittstellen-Kommunikation genauso wie für den Einsatz auf Online-Portalen. Damit sind die Website-Zertifikate ein integraler Bestandteil des digitalen europäischen Vertrauensraums, den die eIDAS-Verordnung schaffen soll. In diesem sind Behörden- und Geschäftsprozesse online genauso sicher wie in der analogen Welt – weil eben alle Beteiligten einwandfrei ihre Identität belegen können. Und steigt das Vertrauen in elektronische Transaktionen, dann nimmt auch deren Zahl zu. Der Binnenmarkt als eine der wichtigsten EU-Errungenschaften dringt so in den digitalen Raum vor.

Darüber hinaus leisten die qualifizierten Website-Zertifikate ihren Beitrag zur europäischen digitalen Souveränität. Als Vertrauensdienst sind sie in ein bewährtes Auditierungs- und Aufsichtssystem eingebettet. Sie integrieren die Browser in den digitalen europäischen Vertrauensraum und verhindern auf diese Weise, dass deren Anbieter die Regeln für die Internetsicherheit diktieren. Zudem stellen sie sicher – gemäß Artikel 45 eIDAS 2.0 –, dass wir genau nachvollziehen können, wem wir unsere persönlichen Daten anvertrauen. Wo immer QWACs sind, steht der oder die Einzelne im Mittelpunkt. Passt dazu noch die User Experience, können die Nutzenden besonders zufrieden sein.

Häufig gestellte Fragen

Der Begriff steht für „qualifizierte Zertifikate zur Website-Authentifizierung“. QWACs sind ein Vertrauensdienst gemäß der eIDAS-Verordnung der Europäischen Union. Sie verschlüsseln auf Websites nicht nur die komplette Kommunikation und Dateneingabe, sondern machen für User und Userinnen auch klar nachvollziehbar, welche (juristische) Person hinter einem Webangebot steht.

QWACs sind sehr sicher. Sie dürfen nur von qualifizierten Vertrauensdiensteanbietern (QTSPs) ausgegeben werden, die streng reguliert werden. Bei der Beantragung überprüfen die QTSPs zum einen anhand verschiedener Daten, welche Organisation hinter der jeweiligen Domain steht. Zum anderen führen sie ein Gespräch mit einer von der Organisation bevollmächtigten Person.

Bei der Payment Services Directive 2 (PSD2) der EU sichern QWACs die Kommunikation zwischen Zahlungsdiensteanbietern und Banken bereits seit Jahren erfolgreich ab. Der Zahlungsdiensteanbieter weist dabei an einer Schnittstelle seine Identität und seine Berechtigung nach, einen bestimmten Service auszuführen. Zudem verschlüsselt das Website-Zertifikat die komplette Kommunikation.

Das könnte Sie auch interessieren

Frau in der Produktion Arbeitssicherheit

Sicherheit & Qualität

Ein umfassendes und ganzheitliches Sicherheits- und Qualitätsmanagement sind für die Unternehmen der Bundesdruckerei-Gruppe Grundpfeiler ihres Tuns.

Frau zuhause auf dem Sofa beim Online-Shopping

E-Commerce

Mit Lösungen „Made in Germany“ und umfassender Expertise unterstützen die Unternehmen der Bundesdruckerei-Gruppe E-Commerce-Unternehmen bei der sicheren Digitalisierung.

Artikel

Digitale Sicherheit von Anfang an mitdenken

genua-Geschäftsführer Marc Tesch behauptet: Sicherheit und Usability einer Software müssen sich keinesfalls ausschließen – Stichwort „Security by Design“.

Artikel

Bedrohungsszenarien bei Gesichtserkennungssystemen

Lesen Sie, welche Bedrohungen es bei der biometrischen Gesichtserkennung gibt und warum moderne, leistungsfähige Systeme die meisten Angriffsszenarien erkennen.

Elektronische Dokumentenprüfung verhindert in Hamm den unberechtigten Bezug von Leistungen

In der Stadtverwaltung Hamm gehören Dokumentenprüfungen zum Arbeitsalltag. Nun können Mitarbeiter der Behörde den Missbrauch durch gefälschte Identitätsdokumente eindämmen.

Datentreuhänder: die unabhängige Vertrauensinstanz

Mit der Datentreuhänder-Plattform CenTrust der Bundesdruckerei GmbH schaffen Sie Vertrauen bei Datengebern und Datennutzern. So stellen Sie einen pseudonymisierten, gesetzeskonformen Datenaustausch sicher.

Bundesdruckerei GmbH - Karriere. Sicher. Hochspannend

Karriere bei der Bundesdruckerei GmbH

Die Bundesdruckerei steht für Sicherheit, Vertrauen und Tradition. Tagtäglich bringen wir Zukunftstechnologien nach vorne. Starten Sie mit uns in die Welt von morgen!

Foto eines Roboters aus dem RoboLab des Max-Planck-Instituts

Video

Video: Das Gehirn als Hardware

Um Künstliche Intelligenz weiter zu optimieren, muss zunächst die natürliche Intelligenz decodiert werden. Daran arbeitet Dr. Eric Schulz am Max-Planck-Institut für biologische Kybernetik in Tübingen.

News

28 / 04 / 2022

Bundesdruckerei neues Mitglied der International Currency Association

Die Bundesdruckerei gilt als ein vertrauenswürdiger und innovativer Partner für Regierungen und Zentralbanken auf der ganzen Welt. Im April 2022 ist die Bundesdruckerei GmbH der International Currency Association (ICA) beigetreten.

News und Aktuelles aus dem Konzern

Sie wollen Neuigkeiten aus dem Umfeld der Bundesdruckerei-Gruppe erfahren? Hier finden Sie aktuelle Informationen und News rund um unsere Konzerngesellschaften und die digitale Welt.

Frau sitzt mit Smartphone und Tasse am Tisch

SSI: Datensouveränität in der digitalen Welt

Um Digitalisierungspotenziale zu erschließen und zugleich Daten und Identitäten der Menschen zu schützen, entwickelt die Bundesdruckerei sichere und vertrauenswürdige Infrastrukturen.

Mann und Frau stehen an einem Laptop in einer Industriehalle

Maschinenzertifikate: Sichere Maschinenkommunikation (M2M)

Maschinenzertifikate geben Maschinen eine Identität, mit der sie sich gegenüber verbundenen Geräten, Personen und Systemen digital ausweisen können.

Frau mit Notebook und Kreditkarte am Tisch zu Hause

Artikel

Der digitale Euro – brauchen wir ihn?

Warum wird ein digitaler Euro jetzt so intensiv diskutiert? Welche Herausforderungen müssten vor einer möglichen Einführung gemeistert werden? Und wann könnte er realisiert werden? Wir geben Antworten.

Experteninterview

Deutschlands digitale Souveränität

$\\bdr.de\Daten\Bereiche\COM\Externe Kommunikation\Online\04_Redaktion\Website\03_Expertentipp\2020\0504_DigitaleIdentitäten_ArnoFiedler$