• IT-Karriere:
  • Services:

Nutzerdaten: Wie sicher sind gehashte Passwörter?

Mit einem neuen Gesetz werden die Telemediendienste zur Herausgabe von Passwörtern verpflichtet. Was bedeutet das für die Sicherheit des eigenen Zugangs?

Eine Analyse von und veröffentlicht am
Nicht jedes Passwort ist wirklich sicher gehasht.
Nicht jedes Passwort ist wirklich sicher gehasht. (Bild: Pixabay)

Die Aufregung war groß, als die Bundesregierung im vergangenen Dezember ihre Pläne zur verpflichtenden Herausgabe von Passwörtern veröffentlichte. Zwar hat sich inzwischen geklärt, dass die betroffenen Telemediendienste damit nicht dazu gezwungen werden sollen, die Passwörter im Klartext zu speichern und herauszugeben. Doch die Verunsicherung ist weiterhin groß. Wie sicher sind die persönlichen Zugänge und Konten von Nutzern bei sozialen Medien, E-Mail-Providern oder Cloud-Diensten noch? Wie groß ist die Wahrscheinlichkeit, dass die Behörden an Passwörter gelangen, die nur als Hashwerte gespeichert sind?

Die Bundesregierung hat den Entwurf eines Gesetzes zur Bekämpfung des Rechtsextremismus und der Hasskriminalität im Februar 2020 beschlossen. Im März haben die Fraktionen von Union und SPD einen wortgleichen Entwurf in den Bundestag eingebracht (PDF), der am 12. März in erster Lesung diskutiert wurde. Für den kommenden Mittwoch wurde bereits eine Expertenanhörung im Justizausschuss anberaumt. Nach Angaben der SPD-Fraktion soll das Gesetz noch vor der Sommerpause verabschiedet werden.

Widersinnige Regelung

Unter bestimmten Bedingungen können demnach Telemediendienste dazu verpflichtet werden, "Passwörter und andere Daten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird", den Behörden herauszugeben. Zwei weitere Gesetzespassagen sind in der Debatte wichtig. Zum einen heißt es: "Für die Auskunftserteilung sind sämtliche unternehmensinternen Datenquellen zu berücksichtigen." Zum anderen: "Eine Verschlüsselung der Daten bleibt unberührt."

Das klingt so widersinnig, wie es in der Tat ist. Internetdienste sind aus Datenschutzgründen dazu verpflichtet, die Nutzerdaten möglichst sicher zu speichern. Aus diesem Grund dürfen Passwörter unternehmensintern nicht im Klartext gespeichert werden. Passiert das dennoch, und die Passwörter werden nach einem Hack oder durch eine falsche Datenbankkonfiguration geleakt, drohen inzwischen hohe Bußgelder nach der EU-Datenschutzgrundverordnung.

Wozu braucht man die Passwörter?

Stellenmarkt
  1. Schöffel Sportbekleidung GmbH, Schwabmünchen
  2. Bundesanstalt für Landwirtschaft und Ernährung, Bonn

Darüber hinaus ist unklar, welche Telemediendienste über Passwörter oder "andere Daten" verfügen, die einen Zugriff auf die Endgeräte der Nutzer ermöglichen. Für solche Zugriffe sind eigentlich die Staatstrojaner gedacht. Sie sollen beispielsweise bei der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) zum Einsatz kommen, wenn Verdächtige verschlüsselt per Messenger kommunizieren und eine übliche TKÜ keine Ergebnisse bringt. Auch beim Zugriff auf Cloud-Dienste könnten Behörden bei einem Login mit den Nutzerdaten eine Verschlüsselung aushebeln. Ansonsten wäre es kein Problem, elektronische Beweismittel direkt bei den Diensten anzufordern.

Auffallend ist: Auch mit Hilfe des geplanten IT-Sicherheitsgesetzes will die Bundesregierung an die Zugangsdaten von Verdächtigen gelangen. Staatsanwaltschaft sowie die Behörden und Beamten des Polizeidienstes sollen auf diese Weise Nutzerkonten oder Funktionen, mit denen dauerhaft eine virtuelle Identität unterhalten wird, übernehmen dürfen. Dies soll auch gegen den Willen des Inhabers und bei Straftaten, die mittels Telekommunikation begangen werden, möglich sein. Zwar ist der Verdächtige laut Gesetzentwurf "verpflichtet, die zur Nutzung der virtuellen Identität erforderlichen Zugangsdaten herauszugeben". Doch falls nicht, könnten es die Behörden offenbar über die Diensteanbieter versuchen.

Die IT-Branche ist daher alarmiert. So sagte Norbert Pohlmann vom IT-Branchenverband Eco auf Anfrage von Golem.de: "Wenn das umsetzbar wäre, würde faktisch damit eine umfassende Online-Hausdurchsuchung möglich sein. Das heißt, der Zugriff auf Kommunikationsinhalte wie E-Mails, in der Cloud hinterlegte Fotos, private Dokumente, Online-Banking usw. wäre realisierbar. Keinen, dem unsere Bürgerrechte und unsere Verfassung etwas bedeuten, kann das kalt lassen." Gleichzeitig liege es im Interesse der Unternehmen, ihrer Geschäftsmodelle und unserer Gesellschaft, dass die Passwörter nicht aus den Hashwerten zu berechnen sind, weil sonst der Dienst angreifbar wäre.

Doch wie hoch ist überhaupt der Aufwand, um ein Passwort zu "entschlüsseln", oder besser: zu enthashen?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Hashen ist nicht gleich Verschlüsseln 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Anzeige
Top-Angebote
  1. 59€ (Bestpreis)
  2. 1.099€ (Bestpreis)
  3. (u. a. Super Seducer 3 - Uncensored Edition für 10,79€, Total War: Rome - Remastered für 26...
  4. 399,99€

peter.peter 04. Mai 2020

Ohne Salt wäre der HASH schnell gefunden worden, da sehr wahrscheinlich bei "a" gestartet...

Chaot 04. Mai 2020

Die Verfassung hatte ihren Sinn, die Gewaltenteilung auch. Beides sollte uns vor erneuter...

wurstdings 04. Mai 2020

Dummerweise liegt das Passwort da aber schon auf dem Server, denn für CRA müssen beide...

KaHe10 04. Mai 2020

Hier hinkt aber der Vergleich. So kann eine Onlinedurchsuchung zum Beispiel ohne Wissen...

hpary 02. Mai 2020

Hashen war schon immer eine Kosten-Nutzen-Rechnung. Aber default bei Argon2 ist glaube...


Folgen Sie uns
       


Gocycle GX - Test

Das Gocycle GX hat einen recht speziellen Pedelec-Sound, aber dafür viele Vorteile.

Gocycle GX - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /