Nutzerdaten: Wie sicher sind gehashte Passwörter?

Mit einem neuen Gesetz werden die Telemediendienste zur Herausgabe von Passwörtern verpflichtet. Was bedeutet das für die Sicherheit des eigenen Zugangs?

Eine Analyse von und veröffentlicht am
Nicht jedes Passwort ist wirklich sicher gehasht.
Nicht jedes Passwort ist wirklich sicher gehasht. (Bild: Pixabay)

Die Aufregung war groß, als die Bundesregierung im vergangenen Dezember ihre Pläne zur verpflichtenden Herausgabe von Passwörtern veröffentlichte. Zwar hat sich inzwischen geklärt, dass die betroffenen Telemediendienste damit nicht dazu gezwungen werden sollen, die Passwörter im Klartext zu speichern und herauszugeben. Doch die Verunsicherung ist weiterhin groß. Wie sicher sind die persönlichen Zugänge und Konten von Nutzern bei sozialen Medien, E-Mail-Providern oder Cloud-Diensten noch? Wie groß ist die Wahrscheinlichkeit, dass die Behörden an Passwörter gelangen, die nur als Hashwerte gespeichert sind?

Die Bundesregierung hat den Entwurf eines Gesetzes zur Bekämpfung des Rechtsextremismus und der Hasskriminalität im Februar 2020 beschlossen. Im März haben die Fraktionen von Union und SPD einen wortgleichen Entwurf in den Bundestag eingebracht (PDF), der am 12. März in erster Lesung diskutiert wurde. Für den kommenden Mittwoch wurde bereits eine Expertenanhörung im Justizausschuss anberaumt. Nach Angaben der SPD-Fraktion soll das Gesetz noch vor der Sommerpause verabschiedet werden.

Widersinnige Regelung

Unter bestimmten Bedingungen können demnach Telemediendienste dazu verpflichtet werden, "Passwörter und andere Daten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird", den Behörden herauszugeben. Zwei weitere Gesetzespassagen sind in der Debatte wichtig. Zum einen heißt es: "Für die Auskunftserteilung sind sämtliche unternehmensinternen Datenquellen zu berücksichtigen." Zum anderen: "Eine Verschlüsselung der Daten bleibt unberührt."

Das klingt so widersinnig, wie es in der Tat ist. Internetdienste sind aus Datenschutzgründen dazu verpflichtet, die Nutzerdaten möglichst sicher zu speichern. Aus diesem Grund dürfen Passwörter unternehmensintern nicht im Klartext gespeichert werden. Passiert das dennoch, und die Passwörter werden nach einem Hack oder durch eine falsche Datenbankkonfiguration geleakt, drohen inzwischen hohe Bußgelder nach der EU-Datenschutzgrundverordnung.

Wozu braucht man die Passwörter?

Stellenmarkt
  1. Field Support Engineer L3 (m/w/d)
    NTT Germany AG & Co. KG, München, Teltow
  2. Android-Entwickler (m/w/d) - Connected Car
    e.solutions GmbH, Ingolstadt
Detailsuche

Darüber hinaus ist unklar, welche Telemediendienste über Passwörter oder "andere Daten" verfügen, die einen Zugriff auf die Endgeräte der Nutzer ermöglichen. Für solche Zugriffe sind eigentlich die Staatstrojaner gedacht. Sie sollen beispielsweise bei der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) zum Einsatz kommen, wenn Verdächtige verschlüsselt per Messenger kommunizieren und eine übliche TKÜ keine Ergebnisse bringt. Auch beim Zugriff auf Cloud-Dienste könnten Behörden bei einem Login mit den Nutzerdaten eine Verschlüsselung aushebeln. Ansonsten wäre es kein Problem, elektronische Beweismittel direkt bei den Diensten anzufordern.

Auffallend ist: Auch mit Hilfe des geplanten IT-Sicherheitsgesetzes will die Bundesregierung an die Zugangsdaten von Verdächtigen gelangen. Staatsanwaltschaft sowie die Behörden und Beamten des Polizeidienstes sollen auf diese Weise Nutzerkonten oder Funktionen, mit denen dauerhaft eine virtuelle Identität unterhalten wird, übernehmen dürfen. Dies soll auch gegen den Willen des Inhabers und bei Straftaten, die mittels Telekommunikation begangen werden, möglich sein. Zwar ist der Verdächtige laut Gesetzentwurf "verpflichtet, die zur Nutzung der virtuellen Identität erforderlichen Zugangsdaten herauszugeben". Doch falls nicht, könnten es die Behörden offenbar über die Diensteanbieter versuchen.

Die IT-Branche ist daher alarmiert. So sagte Norbert Pohlmann vom IT-Branchenverband Eco auf Anfrage von Golem.de: "Wenn das umsetzbar wäre, würde faktisch damit eine umfassende Online-Hausdurchsuchung möglich sein. Das heißt, der Zugriff auf Kommunikationsinhalte wie E-Mails, in der Cloud hinterlegte Fotos, private Dokumente, Online-Banking usw. wäre realisierbar. Keinen, dem unsere Bürgerrechte und unsere Verfassung etwas bedeuten, kann das kalt lassen." Gleichzeitig liege es im Interesse der Unternehmen, ihrer Geschäftsmodelle und unserer Gesellschaft, dass die Passwörter nicht aus den Hashwerten zu berechnen sind, weil sonst der Dienst angreifbar wäre.

Doch wie hoch ist überhaupt der Aufwand, um ein Passwort zu "entschlüsseln", oder besser: zu enthashen?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Hashen ist nicht gleich Verschlüsseln 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


peter.peter 04. Mai 2020

Ohne Salt wäre der HASH schnell gefunden worden, da sehr wahrscheinlich bei "a" gestartet...

Chaot 04. Mai 2020

Die Verfassung hatte ihren Sinn, die Gewaltenteilung auch. Beides sollte uns vor erneuter...

wurstdings 04. Mai 2020

Dummerweise liegt das Passwort da aber schon auf dem Server, denn für CRA müssen beide...

KaHe10 04. Mai 2020

Hier hinkt aber der Vergleich. So kann eine Onlinedurchsuchung zum Beispiel ohne Wissen...

hpary 02. Mai 2020

Hashen war schon immer eine Kosten-Nutzen-Rechnung. Aber default bei Argon2 ist glaube...



Aktuell auf der Startseite von Golem.de
Kanadische Polizei
Diebe nutzen Apples Airtags zum Tracking von Luxuswagen

Autodiebe in Kanada nutzen offenbar Apples Airtags, um Fahrzeuge heimlich zu orten.

Kanadische Polizei: Diebe nutzen Apples Airtags zum Tracking von Luxuswagen
Artikel
  1. Blender Foundation: Blender 3.0 ist da
    Blender Foundation
    Blender 3.0 ist da

    Die freie 3D-Software Blender bekommt ein Update - wir haben es uns angesehen.
    Von Martin Wolf

  2. 4 Motoren und 4-Rad-Lenkung: Tesla aktualisiert Cybertruck
    4 Motoren und 4-Rad-Lenkung
    Tesla aktualisiert Cybertruck

    Tesla-Chef Elon Musk hat einige Änderungen am Cybertruck angekündigt. Der elektrische Pick-up-Truck wird mit vier Motoren ausgerüstet.

  3. DSIRF: Hackerbehörde Zitis prüft österreichischen Staatstrojaner
    DSIRF
    Hackerbehörde Zitis prüft österreichischen Staatstrojaner

    Deutsche Behörden sind mit mehreren Staatstrojaner-Herstellern im Gespräch. Nun ist ein weiterer mit Sitz in Wien bekanntgeworden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: SanDisk Ultra 3D 1 TB 77€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Alternate (u. a. AKRacing Core SX 269,98€) • Sharkoon PureWriter RGB 44,90€ • Corsair K70 RGB MK.2 139,99€ • 2x Canton Plus GX.3 49€ • Gaming-Monitore günstiger (u. a. Samsung G3 27" 144Hz 219€) [Werbung]
    •  /