Bestandsdaten: Internetdienste sollen Passwörter nicht entschlüsseln müssen

Die Bundesregierung verteidigt ihre Pläne zum Zugriff auf Passwörter für Ermittler. Die soll nur "im Einzelfall" vorkommen. Der IT-Verband Eco warnt vor einem "großen Lauschangriff im Netz".

Artikel veröffentlicht am , / dpa
Das richtige Hashen von Passwörtern könnte künftig wichtiger werden.
Das richtige Hashen von Passwörtern könnte künftig wichtiger werden. (Bild: Pixabay)

Die Bundesregierung will Internetdienste nicht zur "Entschlüsselung" gehashter Passwörter zwingen. Das sagte ein Sprecher des Bundesjustizministeriums nach Angaben der Nachrichtenagentur dpa am Montag in Berlin. "Eine solche Pflicht für die Provider, Passwörter zu entschlüsseln, wenn Staatsanwaltschaften sie dazu auffordern, gibt es nicht und wird es auch künftig nicht geben", sagte der Sprecher. Hintergrund sind Pläne der Regierung, mit einer Änderung des Telemediengesetzes (TMG) die Herausgabe von Bestands- und Nutzungsdaten neu zu regeln und damit den Ermittlungsbehörden und Geheimdiensten einen leichteren Zugriff auf Passwörter zu ermöglichen.

Stellenmarkt
  1. Lead Architect ServiceNow (m/w/d)
    operational services GmbH & Co. KG, verschiedene Standorte
  2. Referent für Managementsysteme (m/w/d)
    Stadtwerke Hamm GmbH, Hamm
Detailsuche

Dem Gesetzentwurf (PDF) zufolge gilt die Regelung "auch für Bestandsdaten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird". Dazu sagte der Sprecher: "Um Täter identifizieren zu können, müssen Staatsanwaltschaften von Internetplattformen Daten herausverlangen können. Im Einzelfall ist es auch erforderlich, auf einen Account zugreifen zu können. Das ist auch heute so nach geltendem Recht."

Ermittler wollen Hashwerte knacken

Nach Angaben des Ministeriums muss künftig ein Richter entscheiden, ob ein Passwort angefordert werden darf. Das stelle eine Verschärfung gegenüber der bisherigen Regelung dar. Zudem gehe die Regierung nur von wenigen Fällen aus, weil Onlinedienste nach europäischem Datenschutzrecht ohnehin verpflichtet seien, Passwörter gehasht zu speichern.

"Dass Staatsanwaltschaften Passwörter von Diensten herausverlangen, wird daher nur in wenigen Fällen künftig geboten sein, zum Beispiel wenn es um Terrorismus-Straftaten geht und es eventuell Möglichkeiten gibt, die Passwörter mit sehr hohem technischen Aufwand zu entschlüsseln", sagte der Sprecher.

Golem Akademie
  1. Einführung in die Programmierung mit Rust: virtueller Fünf-Halbtage-Workshop
    21.–25. März 2022, Virtuell
  2. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
Weitere IT-Trainings

Die Möglichkeit, gehashte Passwörter zu knacken, hängt unter anderem von der Länge des Passwortes und dem Hashverfahren ab. Im besten Fall werden Passwörter vor dem Hashen mit einem String verlängert (gesalzen) und mehrfach gehasht, zum Beispiel mit Argon 2. Dann können die Passwörter nicht ohne weiteres geknackt werden. Wird jedoch nur auf ein altes Hashverfahren wie MD5 ohne Salz und Mehrfach-Hashing gesetzt, lässt sich ein Passwort leicht zurückrechnen.

Scharfe Kritik von Eco

Bereits in vergangenen Woche hatten der IT-Branchenverband Bitkom und Oppositionspolitiker die Pläne kritisiert. Dem schloss sich am Montag der IT-Verband Eco an. In dem Gesetzentwurf "zur Bekämpfung des Rechtsextremismus und der Hasskriminalität" gehe es "um die Einrichtung umfassender Überwachungsrechte für Staat und Behörden", sagte Eco-Vorstand Oliver Süme. Das Justizministerium forciere damit "einen massiven Eingriff in Datenschutz, Bürgerrechte und Fernmeldegeheimnis". Faktisch werde damit eine umfassende Onlinedurchsuchung möglich, die einen Zugriff auf Kommunikationsinhalte wie E-Mails sowie in der Cloud hinterlegte Fotos und Dokumente ermögliche.

"Das ist der große Lauschangriff im Netz, den keiner, dem Bürgerrechte und Verfassung irgendetwas bedeuten, wirklich wollen kann. Ich appelliere daher an die Bundesregierung, dieses Vorhaben nicht Realität werden zu lassen", sagte Süme.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


User_x 18. Dez 2019

Und alle Mails downloaden in ein Lokal verschlüsseltes Archiv. Und rudimentär fürs grobe...

User_x 18. Dez 2019

Hm. Aber wenn der Diensteanbieter staatlich gezwungen wird, werden auch Salz und Pfeffer...

asaph 17. Dez 2019

... und die fragen sich warum junge talentierte Leute nicht in Bundes- oder Landes -IT...

Mavy 17. Dez 2019

der Einzelfall ist auch nur der Prototyp der Regel

gentux 17. Dez 2019

123456 oder password wird in den meisten Fällen schon passen.



Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation  
Die dubiose Adresse in Berlin-Treptow

Angeblich hat das Innenministerium nichts mit dem Bundesservice Telekommunikation zu tun. Doch beide teilen sich offenbar ein Bürogebäude.
Ein Bericht von Friedhelm Greis

Bundesservice Telekommunikation: Die dubiose Adresse in Berlin-Treptow
Artikel
  1. Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
    Reddit
    IT-Arbeiter automatisiert seinen Job angeblich vollständig

    Ein anonymer IT-Spezialist will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

  2. E-Mail: Outlook-Suche in MacOS 12.1 ist noch immer kaputt
    E-Mail
    Outlook-Suche in MacOS 12.1 ist noch immer kaputt

    Seit Wochen ärgern sich Outlook-User darüber, dass die E-Mail-Suche unter MacOS 12.1 nicht mehr richtig funktioniert. Ein Fix ist in Arbeit.

  3. Spielebranche: Microsoft will Activision Blizzard übernehmen
    Spielebranche
    Microsoft will Activision Blizzard übernehmen

    Diablo und Call of Duty gehören bald zu Microsoft: Der Softwarekonzern will Activision Blizzard für rund 70 Milliarden US-Dollar kaufen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 wohl am 19.01. bestellbar • RTX 3080 12GB bei Mindfactory 1.699€ • Samsung Gaming-Monitore (u.a. G5 32" WQHD 144Hz Curved 299€) • MindStar (u.a. GTX 1660 6GB 499€) • Sony Fernseher & Kopfhörer • Samsung Galaxy A52 128GB 299€ • CyberGhost VPN 1,89€/Monat [Werbung]
    •  /