Statement zur kritischen Unsicherheit des LuxTrust-Zertifikats

Der mehr als 24-stündige Totalausfall des LuxTrust-Dienstes vom 16. auf den 17. Dezember, gefolgt von weiteren anhaltenden Störungen, stellt einen alarmierenden Warnruf dar. Dieser Vorfall ist kein bloßes technisches Missgeschick, sondern offenbart gravierende strukturelle Schwächen in der digitalen Grundinfrastruktur Luxemburgs. Für Volt Luxemburg ist klar: Die aktuelle Situation ist nicht tragbar und erfordert sofortiges politisches Handeln.

17. Dez 2025
woman sitting in front of her laptop which shows

LuxTrust trägt eine enorme Verantwortung für zentrale digitale Prozesse in unserem Land – von staatlichen Dienstleistungen über das Bildungswesen bis hin zum Finanzsektor. Gleichzeitig handelt es sich um ein vergleichsweises kleines Unternehmen. Diese Diskrepanz zwischen Verantwortung und organisatorischer Ausstattung ist hochproblematisch. Kritische nationale Infrastruktur darf nicht von einem unterdimensionierten Akteur abhängen, der im Krisenfall offensichtlich an seine Grenzen stößt.

Besonders schwer wiegt die faktische Monopolstellung von LuxTrust in Luxemburg. Es existieren keine ernstzunehmenden Alternativen und vor allem keine funktionierenden Backup- oder Ausweichsysteme. Fällt LuxTrust aus, steht das Land digital still. Eine derartige „Single Point of Failure“-Struktur widerspricht sämtlichen Grundprinzipien von Sicherheit, Resilienz und Risikomanagement, insbesondere in einem Land, das sich als digital fortschrittlich und als internationaler Finanz- und Verwaltungsstandort versteht.

Die Abhängigkeit von einem einzigen Zertifikat ist inzwischen so weitreichend, dass ein Ausfall unmittelbare und massive Folgen für das tägliche Leben der Menschen hat. Schulen sind handlungsunfähig: Lehrkräfte können keine Noten eintragen, keine Schülerinnendaten einsehen und ihren gesetzlichen Verpflichtungen nicht nachkommen. Banken können weder Logins noch Überweisungen ermöglichen, was sowohl Privatpersonen als auch Unternehmen in ernsthafte Schwierigkeiten bringt. Bürger*innen verlieren den Zugang zu MyGuichet, können keine Anträge stellen, keine Fristen einhalten und nicht einmal ihre eigenen Daten einsehen. Auch der Staatsapparat selbst wird in seiner Funktionsfähigkeit massiv eingeschränkt. Ein einziger technischer Defekt genügt, um zentrale gesellschaftliche Abläufe lahmzulegen.

Es ist zudem höchst beunruhigend, dass dieser Ausfall ausgerechnet am Ende des Jahres stattgefunden hat – in einer Phase, in der Schulen, Banken und staatliche Institutionen unter hohem Zeit- und Arbeitsdruck stehen, um Abschlüsse zu tätigen. Ob es sich um eine gezielte Cyberattacke oder um eine schlichte Überlastung des Systems gehandelt hat, ist dabei zweitrangig. In beiden Fällen gilt: Ein solches Szenario darf in einem modernen Rechtsstaat nicht möglich sein. Die fehlende Resilienz ist ein systemisches Versagen. 

Im schlimmsten Fall könnten solche Ausfälle sogar Menschenleben gefährden, etwa wenn kritische Verwaltungs- oder Finanzprozesse im Gesundheits- oder Sozialbereich blockiert würden. Vor diesem Hintergrund erscheint jede Diskussion über digitale Wahlen auf Basis des LuxTrust-Zertifikats geradezu fahrlässig. Ein Ausfall während eines Wahlprozesses wäre ein digitaler Super-GAU und würde unweigerlich zu einem massiven und nachhaltigen Vertrauensverlust in demokratische Institutionen und Prozesse führen.

Der jüngste Vorfall verdeutlicht, dass wir europäische Interoperabilität benötigen und keine speziell auf Luxemburg zugeschnittenen Lösungen.

Gleichzeitig muss die Regierung Transparenz hinsichtlich ihrer strategischen Entscheidungen walten lassen. Luxemburg beteiligt sich an den europäischen Bemühungen zur Einführung einer europäischen digitalen Identität (eID) und zur Stärkung der grenzüberschreitenden Authentifizierung. Sollte die Regierung tatsächlich auf die Einführung der europäischen Alternative warten, anstatt in strukturelle Reformen des derzeitigen Systems zu investieren, muss sie dies offen kommunizieren.

Bürger*innen, Schulen, Unternehmen und Verwaltungen haben ein Recht darauf, den Fahrplan zu verstehen und zu erfahren, wie lange Luxemburg weiterhin auf LuxTrust als einzigen Pfeiler setzen wird.

Wir fordern außerdem, dass die Regierung einen Plan vorlegt, wie der Übergang zu europäischen Lösungen organisiert werden soll und welche vorübergehenden Sicherheitsvorkehrungen sie vor weiteren großflächigen Ausfällen schützen werden.

Volt Luxembourg betont, dass das Kernproblem architektonischer Natur ist: Eine kritische nationale Infrastruktur darf nicht auf einen einzigen proprietären Authentifizierungsanbieter ausgerichtet sein. Luxemburg muss dringend zu offenen, interoperablen Standards übergehen, damit mehrere zertifizierte öffentliche und private Anbieter einen sicheren Zugang zu staatlichen und finanziellen Dienstleistungen bieten können. Die Zulassung anderer sicherer APIs und standardkonformer Identitätsanbieter würde das systemische Risiko, das von einem einzigen Ausfallpunkt ausgeht, sofort verringern und Luxemburg an bewährte Verfahren und europäische Entwicklungen anpassen.

Volt Luxembourg fordert die Regierung daher auf, dringend Maßnahmen zu ergreifen:

  • die Einrichtung einer unabhängigen und regelmäßigen Überwachung der Sicherheit, Resilienz und Ausfallmechanismen für alle kritischen digitalen Identitäts- und Authentifizierungsdienste mit transparenter öffentlicher Berichterstattung, die der Bedeutung dieser Infrastruktur angemessen ist;

  • einen klaren, öffentlichen Fahrplan für den Übergang Luxemburgs zu europäischen Lösungen für digitale Identitäten, einschließlich des „European Digital Identity“ Rahmens, mit konkreten Zeitplänen, Meilensteinen und vorläufigen Schutzmaßnahmen, damit Bürger*innen und Unternehmen verstehen, wie lange sie noch von LuxTrust abhängig sein werden und wie die Kontinuität der Dienste gewährleistet wird;

  • die sofortige Öffnung der Authentifizierungsschnittstellen von Behörden und öffentlichen Diensten für sichere, standardbasierte Alternativen, damit mehrere zertifizierte Identitäts- und Authentifizierungsanbieter (die anerkannte offene Protokolle verwenden und die europäischen Vorschriften einhalten) neben LuxTrust eine Verbindung herstellen können, wodurch das bestehende Monopol gebrochen und sichergestellt wird, dass kein einzelner Ausfall erneut das gesamte Land lahmlegen kann.

Digitale Dienste sind kritische Infrastruktur. Ihre Stabilität, Sicherheit und Redundanz sind eine staatliche Verantwortung. Alles andere gefährdet nicht nur den Alltag der Menschen, sondern auch das Vertrauen in den Staat und letztlich in unsere Demokratie.