• IT-Karriere:
  • Services:

Bestandsdaten: Internetdienste sollen Passwörter nicht entschlüsseln müssen

Die Bundesregierung verteidigt ihre Pläne zum Zugriff auf Passwörter für Ermittler. Die soll nur "im Einzelfall" vorkommen. Der IT-Verband Eco warnt vor einem "großen Lauschangriff im Netz".

Artikel veröffentlicht am , / dpa
Das richtige Hashen von Passwörtern könnte künftig wichtiger werden.
Das richtige Hashen von Passwörtern könnte künftig wichtiger werden. (Bild: Pixabay)

Die Bundesregierung will Internetdienste nicht zur "Entschlüsselung" gehashter Passwörter zwingen. Das sagte ein Sprecher des Bundesjustizministeriums nach Angaben der Nachrichtenagentur dpa am Montag in Berlin. "Eine solche Pflicht für die Provider, Passwörter zu entschlüsseln, wenn Staatsanwaltschaften sie dazu auffordern, gibt es nicht und wird es auch künftig nicht geben", sagte der Sprecher. Hintergrund sind Pläne der Regierung, mit einer Änderung des Telemediengesetzes (TMG) die Herausgabe von Bestands- und Nutzungsdaten neu zu regeln und damit den Ermittlungsbehörden und Geheimdiensten einen leichteren Zugriff auf Passwörter zu ermöglichen.

Stellenmarkt
  1. Krankenhaus des Maßregelvollzugs Berlin, Berlin
  2. Delta Energy Systems (Germany) GmbH, Soest

Dem Gesetzentwurf (PDF) zufolge gilt die Regelung "auch für Bestandsdaten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird". Dazu sagte der Sprecher: "Um Täter identifizieren zu können, müssen Staatsanwaltschaften von Internetplattformen Daten herausverlangen können. Im Einzelfall ist es auch erforderlich, auf einen Account zugreifen zu können. Das ist auch heute so nach geltendem Recht."

Ermittler wollen Hashwerte knacken

Nach Angaben des Ministeriums muss künftig ein Richter entscheiden, ob ein Passwort angefordert werden darf. Das stelle eine Verschärfung gegenüber der bisherigen Regelung dar. Zudem gehe die Regierung nur von wenigen Fällen aus, weil Onlinedienste nach europäischem Datenschutzrecht ohnehin verpflichtet seien, Passwörter gehasht zu speichern.

"Dass Staatsanwaltschaften Passwörter von Diensten herausverlangen, wird daher nur in wenigen Fällen künftig geboten sein, zum Beispiel wenn es um Terrorismus-Straftaten geht und es eventuell Möglichkeiten gibt, die Passwörter mit sehr hohem technischen Aufwand zu entschlüsseln", sagte der Sprecher.

Die Möglichkeit, gehashte Passwörter zu knacken, hängt unter anderem von der Länge des Passwortes und dem Hashverfahren ab. Im besten Fall werden Passwörter vor dem Hashen mit einem String verlängert (gesalzen) und mehrfach gehasht, zum Beispiel mit Argon 2. Dann können die Passwörter nicht ohne weiteres geknackt werden. Wird jedoch nur auf ein altes Hashverfahren wie MD5 ohne Salz und Mehrfach-Hashing gesetzt, lässt sich ein Passwort leicht zurückrechnen.

Scharfe Kritik von Eco

Bereits in vergangenen Woche hatten der IT-Branchenverband Bitkom und Oppositionspolitiker die Pläne kritisiert. Dem schloss sich am Montag der IT-Verband Eco an. In dem Gesetzentwurf "zur Bekämpfung des Rechtsextremismus und der Hasskriminalität" gehe es "um die Einrichtung umfassender Überwachungsrechte für Staat und Behörden", sagte Eco-Vorstand Oliver Süme. Das Justizministerium forciere damit "einen massiven Eingriff in Datenschutz, Bürgerrechte und Fernmeldegeheimnis". Faktisch werde damit eine umfassende Onlinedurchsuchung möglich, die einen Zugriff auf Kommunikationsinhalte wie E-Mails sowie in der Cloud hinterlegte Fotos und Dokumente ermögliche.

"Das ist der große Lauschangriff im Netz, den keiner, dem Bürgerrechte und Verfassung irgendetwas bedeuten, wirklich wollen kann. Ich appelliere daher an die Bundesregierung, dieses Vorhaben nicht Realität werden zu lassen", sagte Süme.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

User_x 18. Dez 2019

Und alle Mails downloaden in ein Lokal verschlüsseltes Archiv. Und rudimentär fürs grobe...

User_x 18. Dez 2019

Hm. Aber wenn der Diensteanbieter staatlich gezwungen wird, werden auch Salz und Pfeffer...

asaph 17. Dez 2019

... und die fragen sich warum junge talentierte Leute nicht in Bundes- oder Landes -IT...

Mavy 17. Dez 2019

der Einzelfall ist auch nur der Prototyp der Regel

gentux 17. Dez 2019

123456 oder password wird in den meisten Fällen schon passen.


Folgen Sie uns
       


Samsung Galaxy S20 Ultra - Test

Das Galaxy S20 Ultra ist Samsungs Topmodell der Galaxy-S20-Reihe. Der südkoreanische Hersteller verbaut erstmals seinen 108-Megapixel-Kamerasensor - im Test haben wir uns aber mehr davon versprochen.

Samsung Galaxy S20 Ultra - Test Video aufrufen
    •  /