• IT-Karriere:
  • Services:

Nutzerdaten: Wie sicher sind gehashte Passwörter?

Mit einem neuen Gesetz werden die Telemediendienste zur Herausgabe von Passwörtern verpflichtet. Was bedeutet das für die Sicherheit des eigenen Zugangs?

Eine Analyse von und veröffentlicht am
Nicht jedes Passwort ist wirklich sicher gehasht.
Nicht jedes Passwort ist wirklich sicher gehasht. (Bild: Pixabay)

Die Aufregung war groß, als die Bundesregierung im vergangenen Dezember ihre Pläne zur verpflichtenden Herausgabe von Passwörtern veröffentlichte. Zwar hat sich inzwischen geklärt, dass die betroffenen Telemediendienste damit nicht dazu gezwungen werden sollen, die Passwörter im Klartext zu speichern und herauszugeben. Doch die Verunsicherung ist weiterhin groß. Wie sicher sind die persönlichen Zugänge und Konten von Nutzern bei sozialen Medien, E-Mail-Providern oder Cloud-Diensten noch? Wie groß ist die Wahrscheinlichkeit, dass die Behörden an Passwörter gelangen, die nur als Hashwerte gespeichert sind?

Die Bundesregierung hat den Entwurf eines Gesetzes zur Bekämpfung des Rechtsextremismus und der Hasskriminalität im Februar 2020 beschlossen. Im März haben die Fraktionen von Union und SPD einen wortgleichen Entwurf in den Bundestag eingebracht (PDF), der am 12. März in erster Lesung diskutiert wurde. Für den kommenden Mittwoch wurde bereits eine Expertenanhörung im Justizausschuss anberaumt. Nach Angaben der SPD-Fraktion soll das Gesetz noch vor der Sommerpause verabschiedet werden.

Widersinnige Regelung

Unter bestimmten Bedingungen können demnach Telemediendienste dazu verpflichtet werden, "Passwörter und andere Daten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird", den Behörden herauszugeben. Zwei weitere Gesetzespassagen sind in der Debatte wichtig. Zum einen heißt es: "Für die Auskunftserteilung sind sämtliche unternehmensinternen Datenquellen zu berücksichtigen." Zum anderen: "Eine Verschlüsselung der Daten bleibt unberührt."

Das klingt so widersinnig, wie es in der Tat ist. Internetdienste sind aus Datenschutzgründen dazu verpflichtet, die Nutzerdaten möglichst sicher zu speichern. Aus diesem Grund dürfen Passwörter unternehmensintern nicht im Klartext gespeichert werden. Passiert das dennoch, und die Passwörter werden nach einem Hack oder durch eine falsche Datenbankkonfiguration geleakt, drohen inzwischen hohe Bußgelder nach der EU-Datenschutzgrundverordnung.

Wozu braucht man die Passwörter?

Stellenmarkt
  1. PULSION Medical Systems SE - GETINGE Group, Feldkirchen bei München
  2. Berliner Verkehrsbetriebe (BVG), Berlin

Darüber hinaus ist unklar, welche Telemediendienste über Passwörter oder "andere Daten" verfügen, die einen Zugriff auf die Endgeräte der Nutzer ermöglichen. Für solche Zugriffe sind eigentlich die Staatstrojaner gedacht. Sie sollen beispielsweise bei der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) zum Einsatz kommen, wenn Verdächtige verschlüsselt per Messenger kommunizieren und eine übliche TKÜ keine Ergebnisse bringt. Auch beim Zugriff auf Cloud-Dienste könnten Behörden bei einem Login mit den Nutzerdaten eine Verschlüsselung aushebeln. Ansonsten wäre es kein Problem, elektronische Beweismittel direkt bei den Diensten anzufordern.

Auffallend ist: Auch mit Hilfe des geplanten IT-Sicherheitsgesetzes will die Bundesregierung an die Zugangsdaten von Verdächtigen gelangen. Staatsanwaltschaft sowie die Behörden und Beamten des Polizeidienstes sollen auf diese Weise Nutzerkonten oder Funktionen, mit denen dauerhaft eine virtuelle Identität unterhalten wird, übernehmen dürfen. Dies soll auch gegen den Willen des Inhabers und bei Straftaten, die mittels Telekommunikation begangen werden, möglich sein. Zwar ist der Verdächtige laut Gesetzentwurf "verpflichtet, die zur Nutzung der virtuellen Identität erforderlichen Zugangsdaten herauszugeben". Doch falls nicht, könnten es die Behörden offenbar über die Diensteanbieter versuchen.

Die IT-Branche ist daher alarmiert. So sagte Norbert Pohlmann vom IT-Branchenverband Eco auf Anfrage von Golem.de: "Wenn das umsetzbar wäre, würde faktisch damit eine umfassende Online-Hausdurchsuchung möglich sein. Das heißt, der Zugriff auf Kommunikationsinhalte wie E-Mails, in der Cloud hinterlegte Fotos, private Dokumente, Online-Banking usw. wäre realisierbar. Keinen, dem unsere Bürgerrechte und unsere Verfassung etwas bedeuten, kann das kalt lassen." Gleichzeitig liege es im Interesse der Unternehmen, ihrer Geschäftsmodelle und unserer Gesellschaft, dass die Passwörter nicht aus den Hashwerten zu berechnen sind, weil sonst der Dienst angreifbar wäre.

Doch wie hoch ist überhaupt der Aufwand, um ein Passwort zu "entschlüsseln", oder besser: zu enthashen?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Hashen ist nicht gleich Verschlüsseln 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

peter.peter 04. Mai 2020

Ohne Salt wäre der HASH schnell gefunden worden, da sehr wahrscheinlich bei "a" gestartet...

Chaot 04. Mai 2020

Die Verfassung hatte ihren Sinn, die Gewaltenteilung auch. Beides sollte uns vor erneuter...

wurstdings 04. Mai 2020

Dummerweise liegt das Passwort da aber schon auf dem Server, denn für CRA müssen beide...

KaHe10 04. Mai 2020

Hier hinkt aber der Vergleich. So kann eine Onlinedurchsuchung zum Beispiel ohne Wissen...

hpary 02. Mai 2020

Hashen war schon immer eine Kosten-Nutzen-Rechnung. Aber default bei Argon2 ist glaube...


Folgen Sie uns
       


Geforce RTX 3080: Wir legen die Karten offen
Geforce RTX 3080
Wir legen die Karten offen

Am 16. September 2020 geht der Test der Geforce RTX 3080 online. Wir zeigen vorab, welche Grafikkarten und welche Spiele wir einsetzen werden.

  1. Ethereum-Mining Nvidias Ampere-Karten könnten Crypto-Boom auslösen
  2. Gaming Warum DLSS das bessere 8K ist
  3. Nvidia Ampere Geforce RTX 3000 verdoppeln Gaming-Leistung

Software-Entwicklung: Wenn alle aneinander vorbeireden
Software-Entwicklung
Wenn alle aneinander vorbeireden

Wenn große Software-Projekte nerven oder sogar scheitern, liegt das oft daran, dass Entwickler und Fachabteilung nicht die gleiche Sprache sprechen.
Ein Erfahrungsbericht von Boris Mayer

  1. Aus Kostengründen Tschechien schafft alle Telefonzellen ab
  2. Telekom Bis Jahresende verschwinden ISDN und analoges Festnetz
  3. Die persönliche Rufnummer Besitzer von 0700 wollen Sonderrufnummer-Status loswerden

Immortals Fenyx Rising angespielt: Göttliches Gaga-Gegenstück zu Assassin's Creed
Immortals Fenyx Rising angespielt
Göttliches Gaga-Gegenstück zu Assassin's Creed

Abenteuer im antiken Griechenland mal anders! Golem.de hat das für Dezember 2020 geplante Immortals ausprobiert und zeigt Gameplay im Video.
Von Peter Steinlechner


      •  /