Wer eine Flasche Wein kaufen möchte, muss dafür im Laden unter Umständen den Personalausweis zücken. Erst nach einem prüfenden Blick des Kassierers auf das Geburtsdatum können Kund:innen dann bezahlen – oder nicht.

Weit mehr Daten könnten schon bald bei der geplanten EUDI-Wallet ausgetauscht werden, warnt die Nichtregierungsorganisation epicenter.works in einer Stellungnahme. Wer die digitale Brieftasche künftig einsetzt, könnte dann sogar gezwungen sein, die eigenen biometrischen Gesichtsdaten an Unternehmen weiterzugeben.

Verantwortlich dafür sind Änderungen der Europäischen Kommission, so die österreichische Nichtregierungsorganisation. Die Kommission höhle im Nachhinein die rechtlich vorgegebenen Schutzgarantien aus, auf die sich EU-Parlament und der Rat geeinigt hatten.

Mit der „European Digital Identity Wallet“ sollen sich künftig Bürger:innen und Organisationen online und offline ausweisen können. Die Bundesregierung hat ihren Start in Deutschland zum 2. Januar 2027 angekündigt.

Wenn soziale Plattformen Gesundheitsdaten abfragen

Konkret bezieht sich die Kritik von epicenter.works auf drei aktuelle Konsultationsentwürfe von sogenannten Durchführungsrechtsakten. Diese Rechtsvorschriften regeln die praktische Umsetzung von EU-Verordnungen. Insgesamt 40 von ihnen will die Kommission erlassen, bevor die digitale Brieftasche verfügbar ist.

Als besonders problematisch bewertet epicenter.works die Regelung, wonach „relying parties“ (zu deutsch: „vertrauenswürdige Parteien“) je nach Mitgliedstaat sogenannte Registrierungszertifikate nicht verpflichtend, sondern nur optional erhalten sollen.

Vertrauenswürdige Parteien können Unternehmen und öffentliche Einrichtungen sein. Sie müssen sich laut eIDAS-Verordnung, die der europäischen Wallet zugrundeliegt, vorab in einem EU-Mitgliedstaat registrieren. Dabei müssen sie darlegen, welche Daten sie zu welchem Zweck von den Nutzer:innen anfordern werden.

Diese Datenbeschränkung lässt sich technisch mit Registrierungszertifikaten kontrollieren. Sie dienen als eine Art Datenausweis, mit dem sich die vertrauenswürdigen Parteien gegenüber den Wallets legitimieren und die Abfragekategorien beschränken. Registrieren sich Nutzer:innen etwa mit Hilfe der Wallet bei einem sozialen Netzwerk, soll das so erst gar keine Gesundheitsdaten abfragen können.

Die eIDAS-Verordnung sieht solche Registrierungszertifikate zwar nicht explizit vor. Allerdings könne eine Wallet ohne diese technisch nicht ohne weiteres überprüfen, ob Informationsanfragen angemessen sind, schreibt epicenter.works. Und das widerspreche Artikel 5b Abs. 3 der Verordnung, wonach vertrauenswürdige Parteien nur jene Daten abfragen dürfen, die sie auch bei ihrer Registrierung angegeben haben.

Die Nichtregierungsorganisation plädiert daher für technische Kontrolle statt nur für Vertrauen. Andernfalls könnten etwa Unternehmen die vorgesehenen Schutzmaßnahmen relativ leicht umgehen, indem sie einen Mitgliedstaat als Niederlassungsort wählen, der keine Registrierungszertifikate ausstellt. „Unternehmen aus Ländern wie Irland könnten Schutzmechanismen der Wallet umgehen, so dass illegale Anfragen nach zu vielen Informationen möglich werden“, sagt Thomas Lohninger von epicenter.works.

EU-Kommission handelt „unprofessionell“

Es ist nicht das erste Mal, dass die Kommission die rechtlichen Vorgaben aus Sicht zivilgesellschaftlicher Organisationen untergraben will.

Bereits im November 2024 hatte die Kommission versucht, die Registrierung von vertrauenswürdigen Parteien freiwillig zu machen. Damals hatte sie die zweite Charge an Durchführungsrechtsakten veröffentlicht. Nachdem mehrere Organisationen gefordert hatten, die dort aufgemachten „Schlupflöcher“ zu schließen, korrigierte die Kommission vorübergehend ihre Position, nur um wenige Wochen später zu ihrer ursprünglichen Forderung zurückzukehren.

„Dieses inkonsequente Vorgehen der […] EU-Kommission in einer so wichtigen Angelegenheit ist unprofessionell“, schreibt epicenter.works in der aktuellen Stellungnahme, „und es untergräbt das Vertrauen der Öffentlichkeit in das künftige eIDAS-Ökosystem erheblich.“ Die Nichtregierungsorganisation fordert die Kommission erneut dazu auf, „die Registrierung von vertrauenswürdigen Parteien verbindlich vorzuschreiben“. Nur so sei ein einheitliches Schutzniveau in der gesamten EU zu gewährleisten.

Die wichtigsten Fragen und Antworten zur digitalen Brieftasche

Kommission will Recht auf Pseudonymität beschneiden

Die eIDAS-Verordnung sieht außerdem vor, dass sich Wallet-Nutzer:innen im Alltag auch mit selbstgewählten Pseudonymen gegenüber Unternehmen und Behörden ausweisen können, sofern aus rechtlicher Sicht keine weiteren Daten erforderlich sind. So sollen sie ihre Identität und ihre persönlichen Daten vor übermäßigen Zugriff schützen. Dieses Recht auf Pseudonymität greife die Kommission auf zweierlei Art an, kritisiert epicenter.works.

Zum einen unterscheide die Kommission nicht klar zwischen Anwendungsfällen der Wallet, in denen die vertrauenswürdige Partei gesetzlich dazu verpflichtet ist, Nutzer:innen zu identifizieren, und solchen, in denen eine solche Verpflichtung nicht besteht. Dabei sei diese Unterscheidung essentiell, um die Rechte der Nutzer:innen zu wahren.

Zum anderen beschränke die Kommission den Gebrauch von Pseudonymen auf Authentifizerungsmaßnahmen – also etwa auf die Verwendung von pseudonymen Logins bei Webdiensten. „Die Kommission legt die eIDAS-Verordnung sehr einseitig aus“, schreibt epicenter.works. „Und sie übersieht dabei, dass die vertrauenswürdigen Parteien dazu verpflichtet sind, Pseudonyme generell zu akzeptieren, unabhängig von der Authentifizierungsfunktion der Wallet.“Damit könnten Unternehmen die rechtliche Identität von Nutzer:innen abfragen, ohne dass dies erforderlich ist.

Gerade vor dem Hintergrund der aktuellen Debatte um Alterskontrollen sei diese Verengung fahrlässig: „Soziale Medienplattformen, Pornografie-Websites, Glücksspiel- und andere Online-Anbieter werden derzeit als potenzielle vertrauende Parteien diskutiert“, mahnt epicenter.works. „Diese Anbieter seien möglicherweise sehr daran interessiert, Identitätsdaten von Nutzer:innen zu erhalten, verfügen jedoch über keine Rechtsgrundlage, um eine solche Identifizierung zu verlangen.“

Biometrische Gesichtsdaten sollen ebenfalls in die Wallet

Die übermittelten Informationen könnten sogar biometrische Gesichtsdaten enthalten. Die Kommission will diese verpflichtend in jenen Datensatz aufnehmen, der zur Identifizierung von Nutzer:innen verwendet wird. Bislang soll dieses „Minimum-Datenset“ den vollen Name, das Geburtsdatum und den Geburtsort sowie die Nationalität enthalten.

Unternehmen wie Amazon könnten damit nicht nur Namen und Anschrift ihrer Kund:innen erhalten, sondern auch eine Bilddatei mit deren Gesicht. Die Kommission nehme hier eine „massive Verschiebung“ vor, kritisiert epicenter.works, die der Gesetzestext explizit nicht vorsehe. Gleichzeitig würde damit „die gesamte Verarbeitung über die EUDI-Wallet unter Artikel 9 der Datenschutzgrundverordnung fallen, was wesentlich strengere Schutzmaßnahmen erfordern würde.“

„Wir sind wirklich entsetzt, welche Änderungen vor dem Start der digitalen Brieftasche nun vorgebracht werden“, sagt Thomas Lohninger. „Verpflichtende Gesichtsbilder würden ganz neue Gefahren durch biometrische Daten bei Online-Plattformen mit sich bringen. Offenbar ist die Akzeptanz in der Industrie für die Politik relevanter als das Vertrauen aus der Bevölkerung.“

epicenter.works fordert die Kommission auf, die entsprechende Stelle aus dem Entwurf ersatzlos zu streichen. Gleichzeitig mahnt sie, dass die Kommission das gesamte Projekt gefährde, indem sie kurz vor dem Start der Wallet derart weitreichende Änderungen an den technischen Spezifikationen vornehme.

Offener Brief erinnert Kommission an rechtliche Vorgaben

An die Kritik von epicenter.works knüpfen zehn europäische Organisationen an, die heute gemeinsam einen offenen Brief publiziert haben. Sie richten sich darin unter anderem an die Vizepräsidentin der EU-Kommission, Henna Virkkunen. Initiiert hat das Schreiben die Vereinigung von Bürgerrechtsorganisationen European Digital Rights, zu den Unterzeichnern zählen unter anderem der Chaos Computer Club und die Digitale Gesellschaft aus Deutschland, Homo Digitalis aus Griechenland, IT-Pol aus Dänemark, ApTI aus Rumänien und Vrijschrift.org aus den Niederlanden.

Die Organisationen zeigen sich „zutiefst besorgt“ darüber, dass die Kommission die Grundrechte von Millionen EU-Bürger:innen aushöhlen wolle. Die aktuell vorliegenden Entwürfe der Durchführungsrechtsakte „bergen die Gefahr, einige der zentralen Schutzmaßnahmen zu schwächen, die die eIDAS-Verordnung vorsieht.“ Das sei umso dramatischer, weil derzeit auch darüber diskutiert wird, die Wallet für Alterskontrollen zu verwenden.

Der offene Brief ruft die Kommission und die Mitgliedsstaaten dazu auf, die Befürchtungen der Zivilgesellschaft ernstzunehmen und die rechtlichen Vorgaben der eIDAS-Verordnung einzuhalten. Die digitale Brieftasche könne nur dann erfolgreich sein, wenn sie einen starken Datenschutz und Rechtssicherheit böte – und zwar in allen EU-Staaten gleichermaßen.

Ende Februar haben die Best Western Hotels (BWH) in E-Mails an Kunden und Kundinnen vor laufenden Phishing-Angriffen gewarnt. Auf unsere Nachfrage hat die Hotelkette die Situation etwas deutlicher geschildert.

Auch jetzt erreichen uns noch Leserhinweise, dass nach jüngst getätigten Buchungen bei Betroffenen etwa Phishing-SMS eintrudeln, die mit real verwendeten Daten operieren. Das Problem hat die Hotelkette offenbar noch nicht im Griff.

Weltweites Problem

Auf Nachfrage von heise online erklärt Best Western Hotels: „Nach aktuellem Kenntnisstand handelt es sich um eine anhaltende Serie unterschiedlich gelagerter Cyberangriffe auf touristische Buchungssysteme und deren technische Infrastruktur sowie auf Browser, Apps und Standardsoftware weltweit.“ Die anschließende Aussage: „Nach derzeitiger Einschätzung könnten die Vorfälle auch im Zusammenhang mit Formen hybrider Kriegsführung stehen“ wirkt allerdings weit hergeholt. Es lässt sich nicht erschließen, wie das einer der Kriegsparteien helfen würde. Die Vorfälle sollen jedoch lediglich einen „sehr geringen Anteil der insgesamt über Best Western getätigten Buchungen“ betreffen.

BWH erklärt weiter: „Wir arbeiten mit höchster Dringlichkeit und unter Einsatz aller verfügbaren Mittel daran, mögliche Beeinträchtigungen zu verhindern, unsere Systeme umfassend abzusichern und entsprechende Angriffe erfolgreich abzuwehren.“ Die Hotelkette kooperiert demnach eng mit mehreren Cybersecurity-Unternehmen und internationalen Strafverfolgungsbehörden wie dem FBI. Die BWH versprechen weitergehende Informationen zu veröffentlichen, sofern der Kette gesicherte Erkenntnisse vorliegen.

Abhilfe offenbar schwierig

Konkret von den Cyberangriffen betroffene Buchungsplattformen nennt BWH nicht. Die Schuldzuweisung an externe Buchungssysteme und auf Rechnern genutzte Browser, Apps und Standardprogramme wirkt ein wenig wie der Versuch, sich aus der Verantwortung zu stehlen. Darauf deutet ebenso der Hinweis von BWH, dass auch „zahlreiche weitere Unternehmen der Branche betroffen“ sind.

Möglicherweise hält sich das Problem auch deshalb so hartnäckig, da insbesondere kleinere Hotels mit wenig Verkehr an diese Systeme angeschlossen sind. Dort setzen die Betreiber unter Umständen keine weiteren Sicherheitsmaßnahmen um, wie die Nutzung getrennter Systeme für Buchungsverwaltung und etwa normalem E-Mail- und Schriftverkehr sowie für das Surfen im Netz. Die Pflege der Betriebssysteme und Softwarestände könnte mangels Ressourcen dort ebenso schleifen gelassen werden wie Mitarbeiterschulungen zu Cyberrisiken. Ein mögliches weiteres Indiz in diese Richtung liefern auch die Vorfälle in Hotels in Südtirol, die kompromittierte Extranet-Zugänge zu Booking.com zu beklagen hatten.

(dmk)

Nach der Warnung der niederländischen Geheimdienste MIVD und AIVD vor einer großangelegten weltweiten Spionagekampagne durch russisch-staatliche Akteure am Montag dieser Woche, die sich auf die Messenger Signal und WhatsApp stützt, hat Signal dazu nun Stellung bezogen. Auf sozialen Netzwerken erklärt der Dienst seine Sicht der Dinge und gibt Hinweise, wie Nutzer und Nutzerinnen sich schützen können.

Etwa auf Mastodon schreiben die Signal-Entwickler, dass sie von den Berichten über gezielte Phishing-Angriffe gegen Signal-User wie Regierungsbeamte und Journalisten Kenntnis haben, wodurch die Konten der Opfer übernommen wurden. Das nehmen sie sehr ernst, betonen sie. „Um es klar zu sagen: Signals Verschlüsselung und Infrastruktur wurden nicht kompromittiert und bleiben robust“, führen sie zudem aus. Die Angriffe seien durch raffinierte Phishing-Kampagnen erfolgt, die Nutzer dazu bringen sollen, Informationen wie SMS-Codes oder Signal-PIN zu teilen. Damit erlangen die Spione Zugang zu deren Konten. Sie können heimlich eigene Geräte verknüpfen und so sämtliche Nachrichten in Echtzeit mitlesen, ohne dass Opfer diesen Fernzugriff sofort bemerken würden.

Angriffe basieren auf Social Engineering

Diese Angriffe basieren wie alle Phishing-Attacken auf Social Engineering, ordnet Signal ein. „Die Angreifer imitieren vertraute Kontakte oder Dienste, wie den nicht existierenden ‚Signal Support Bot’, um Opfer dazu zu bringen, ihre Login-Daten oder andere Informationen preiszugeben“, erklären die Entwickler. Um das zu verhindern, sollen sich Nutzer daran erinnern, dass der Signal-SMS-Verifikationscode ausschließlich beim ersten Login in der Signal-App nötig ist.

Der Signal-Support nehme auch niemals Kontakt innerhalb der Signal-App, über SMS, Telefonanruf oder soziale Netzwerke mit Nutzern auf, um nach dem Verifikationscode oder der PIN zu fragen. Wer nach solchen Daten fragt, sei ein Betrüger, versichert Signal. Zwar habe Signal robuste technische Sicherheitsvorkehrungen getroffen, aber die Aufmerksamkeit der Nutzer bleibt die beste Verteidigung gegen Phishing. Die Entwickler wollen daran arbeiten, diese Risiken durch das Design der Bedienoberfläche und Hinweise zu reduzieren. Bis dahin sollen Nutzerinnen und Nutzer von Signal wachsam bleiben und niemals ihren SMS-Verifikationscode oder ihre Signal-PIN mit anderen teilen.

Die Entwickler haben auf der Signal-FAQ zu Phishing außerdem hilfreiche Hinweise zur Erkennung von Phishing und ähnlichen Betrugsversuchen gesammelt.

(dmk)