Statement zur kritescher Onsécherheet vum LuxTrust-Zertifikat

LuxTrust huet eng enorm Verantwortung fir wichteg digital Prozesser an eisem Land – vun de staatlechen Déngschter iwwer d'Bildung bis zum Finanzsecteur. Zur selwechter Zäit ass et eng relativ kleng Firma. Dës Diskrepanz tëscht Verantwortung an den organisatoresche Ressourcen ass héich problematesch. Kritesch national Infrastruktur däerf net vun engem ze klenge Spiller ofhänken, deen an enger Kris kloer seng Grenzen erreecht.

D'De-facto-Monopolstellung vu LuxTrust zu Lëtzebuerg ass dobäi dee gréisste Problem. Et gi keng seriö Alternativen a virun allem keng funktionell Backup- oder alternativ Systemer. Wa LuxTrust ausfält, kënnt d'Land an en digitale Stëllstand. Sou eng Struktur mat engem "single point of failure" widdersprécht alle Grondprinzippie vun der Sécherheet, Resilienz an dem Risikomanagement, besonnesch an engem Land, dat sech als digital fortschrëttlech an als internationale Finanz- an Administratiouns-Zentrum gesäit.

D'Ofhängegkeet vun engem eenzegen Zertifikat ass esou wäit verbreet, datt en Ausfall direkt a massiv Konsequenze fir den Alldag vun de Leit huet. Schoule kënnen net funktionéieren: Enseignantë kënne keng Notten aginn, d'Donnéeë vun de Schüler net ukucken oder hir gesetzlech Obligatiounen erfëllen. Banke kënne kee Login a keng Iwwerweisunge méi erméiglechen, wat seriö Problemer fir Privatpersounen an Entreprisë verursaacht. Bierger*inne verléieren de Zougang zu MyGuichet, kënne keng Ufroen eraginn, Fristen net respektéieren oder souguer hir eegen Donnéeën net ukucken. Och d'Funktioune vum Staatsapparat selwer si staark ageschränkt. Een eenzegen techneschen Defekt ass genuch, fir zentral sozial Prozesser ze paralyséieren.

Et ass och extrem beonrouegend, datt dëse Feeler ausgerechent um Enn vum Joer opgetrueden ass – eng Period, wou Schoulen, Banken a staatlech Institutiounen ënner beträchtlechem Zäit- an Aarbechtsdrock stinn, fir hir Aufgaben ofzeschléissen. Ob et eng geziilte Cyberattack oder einfach eng Iwwerlaaschtung vum System war, ass niewesächlech. An béide Fäll däerf esou en Zenario an engem moderne Rechtsstaat net méiglech sinn. Dëse Manktem u Resilienz ass e systeemesche Feeler.

Am schlëmmste Fall kéinten esou Feeler souguer Mënscheliewen a Gefor bréngen, zum Beispill wa kritesch administrativ oder finanziell Prozesser am Gesondheets- oder Sozialsecteur blockéiert wieren. Virun dësem Hannergrond schéngt all Diskussioun iwwer digital Walen, déi op dem LuxTrust-Zertifikat baséiere géifen, komplett noléisseg. En Ausfall wärend engem Walprozess wier en digitale Worst-Case-Szenario a géif onweigerlech zu engem massiven a laangfristege Verloscht u Vertrauen an demokratesch Institutiounen a Prozesser féieren.

De rezenten Tëschefall beweist, datt mir europäesch Interoperabilitéit brauchen, an net Lëtzebuerg-spezifesch Léisungen.

Gläichzäiteg muss d'Regierung transparent sinn, wat strategesch Entscheedungen ugeet, déi si hëlt. Lëtzebuerg ass Deel vun deenen europäeschen Efforten, eng europäesch digital Identitéit (eID) anzeféieren an international Authentifikatiounen z’erméiglechen. Wann d'Regierung de facto op d'Aféierung vun der europäescher Alternativ waart, amplaz a strukturell Reforme vum aktuelle System z’investéieren, da muss si dat éierlech soen.

Bierger*innen, Schoulen, Betriber an Administratiounen hunn e Recht drop, de Plang ze verstoen an ze wëssen, wéi laang Lëtzebuerg weiderhin op LuxTrust als eenzegen Ubidder ziele wäert.

Mir fuerderen och, datt d'Regierung e Plang virleeë soll, wéi de Wiessel op europäesch Léisungen organiséiert gëtt a wat fir temporär Schutzmoossname se viru weider grousse Problemer schütze wäerten.

Volt Lëtzebuerg ënnersträicht, datt d'Kärproblematik architektonesch ass: Eng kritesch national Infrastruktur däerf net ronderëm en eenzege proprietären Authentifikatiouns-Provider designt ginn. Lëtzebuerg brauch dringend e Wandel hin zu oppene, interoperabele Standarden, sou datt verschidden zertifizéiert Provider, ëffentlech wéi privat, e sécheren Zougang zu staatlechen a finanziellen Déngschter ubidde kënnen. D'Zouloossung vun anere sécheren APIs a standardkonformen Identitéits-Provider géif de systeemesche Risiko, deen duerch en eenzege Feelerpunkt entsteet, direkt reduzéieren a Lëtzebuerg un d'Best-Practices an europäeschen Entwécklungen ausriichten.

Volt Lëtzebuerg rifft d'Regierung dofir op, dréngend Moossnamen ze huelen:

• d'Aféierung vun enger onofhängeger a reegelméisseger Iwwerwaachung vun der Sécherheet, der Resilienz an de Ausfallmechanisme fir all kritesch Déngschter fir digital Identitéit an Authentifikatioun, mat transparenter ëffentlecher Berichterstattung, déi der Wichtegkeet vun dëser Infrastruktur entsprécht;

• e kloren, ëffentleche Plang fir den Transitiounsprozess vu Lëtzebuerg op europäesch digital Identitéitsléisungen, inclus dem Kader vun der „European Digital Identity“, mat konkreten Zäitpläng, Etappenziler a virleefege Sécherheetsmoossnamen, sou datt d'Bierger*innen an d’Betriber verstinn, wéi laang si nach vu LuxTrust ofhängeg bleiwen a wéi d'Kontinuitéit vum Service garantéiert gëtt;

• dat direkt Opmaache vun den Authentifikatiouns-Interfacë vun der Regierung an dem ëffentlechen Déngscht fir sécher, standardiséiert Alternativen, déi et verschiddenen zertifizéierten Identitéits- a Authentifikatiouns-Provideren (mat unerkannten oppene Protokoller a Konformitéit zu europäesche Reglementer) erlaben, sech nieft LuxTrust unzeschléissen, fir sou den aktuelle Monopol opzebriechen an ze garantéieren, datt net een eenzege Feeler d'ganz Land erëm paralyséiere kann.

Digital Déngschter sinn eng kritesch Infrastruktur. Hir Stabilitéit, Sécherheet a Redundanz sinn d’Verantwortung vun der Regierung. Alles anescht bréngt net nëmmen den Alldag vun de Leit a Gefor, mä och hiert Vertrauen an de Staat a schliisslech och d’Vertrauen an eis Demokratie.