CA-Day in Wien: Webbrowser-Hersteller und Vertrauensdiensteanbieter diskutieren über Vertrauensräume
20. Oktober 2023 - Zum 15. Mal haben sich auf dem CA Day IT-Sicherheitsexperten sowie Unternehmen und Vertreter der EU-Behörden zum Austausch über Sicherheit, Datenschutz und Compliance in Verbindung mit digitalen Zertifikaten und Public Key Infrastrukturen (PKI) getroffen.
D-Trust und TÜVIT richten CA-Day erstmals in Wien aus
Das Forum findet jährlich statt und wird vom TÜV Informationstechnik (TÜVIT) und von D-Trust, einem Unternehmen der Bundesdruckerei-Gruppe, organisiert. Mit dem vorgeschalteten „Trust Services and eID Forum“ der Agentur der Europäischen Union für Cybersicherheit (ENISA) haben an den Veranstaltungen in diesem Jahr rund 200 Personen vor Ort in Wien und etwa weitere 700 Personen online teilgenommen.
Im Fokus der Veranstaltung am 12. Oktober 2023 standen verschiedene Themen: die jüngsten Entwicklungen bei der eIDAS-Verordnung (eIDAS 2.0) und was sie für die Trust Service Provider bedeuten, die bevorstehende Einführung der digitalen Wallet in der EU, und technologische Lösungen, die EU-Bürgern und -Bürgerinnen sichere Online-Dienste zur Verfügung zu stellen.
Zertifikate schützen vor Fake-News und Überidentifizierung
Fachvorträge führten dabei in spezifische Problemfelder ein. Christian Seegebarth (D-Trust, im Auftrag von IDunion) legte dar, wie sich Self-Sovereign Identity (SSI) und Public-Key-Infrastruktur (PKI) verbinden lassen, indem Verifiable Credentials qualifiziert elektronisch gesiegelt werden und so einen hohen rechtlichen Beweiswert erhalten. Wie die Zertifikate QWACs und QSeal – mittels des in der Finanzbranche etablierten PSD2-Modells – effektiv vor Fake-News und dem bei den EUDI-Wallets oft angeführten Problem der Überidentifizierung schützen können, erklärten die D-Trust-Experten Andreas Wand und Enrico Entschew. Andre Valle von Adobe präsentierte eine Initiative zur Identifizierung manipulierter Bilder. Diese soll ermöglichen, digitalen Fotos direkt zu entnehmen, wer sie erzeugt hat, sowie ob und wie sie womöglich verändert wurden.
EU-Kommission will einheitliche Standards bei den Browserzertifikaten durchsetzen
In einer abschließenden Paneldiskussion debattierten die teilnehmenden Experten den bestehenden Konflikt zwischen Webbrowser-Anbietern wie Google und Mozilla auf der einen Seite sowie der EU und Trust Service Providern wie Entrust und D-Trust auf der anderen Seite. Im Kern geht es dabei darum, wer Standards im Europäischen Vertrauensraum festlegt und überprüft: Die großen US-amerikanischen Browseranbieter wollen hier weiterhin ausschließlich Zertifikatsanbietern vertrauen, die sie selbst ausgewählt haben. Die EU-Kommission hingegen fordert, dass die Browser auch qualifizierte Zertifikate für Websites akzeptieren, die von den Aufsichtsbehörden der EU-Mitgliedstaaten nach einheitlichen EU-Standards überprüft werden und auf der EU Trusted List stehen.
„Uns ist es gelungen, Vertreter beider Seiten an einen Tisch zu holen“, sagt D-Trust-Geschäftsführer Kim Nguyen zur Paneldiskussion. „Der CA-Day hat damit einmal mehr seine Bedeutung für einen Austausch über die Sicherheit im Internet sowohl auf europäischer als auch auf globaler Ebene bewiesen.“
