• IT-Karriere:
  • Services:

Nutzerdaten: Wie sicher sind gehashte Passwörter?

Mit einem neuen Gesetz werden die Telemediendienste zur Herausgabe von Passwörtern verpflichtet. Was bedeutet das für die Sicherheit des eigenen Zugangs?

Eine Analyse von und veröffentlicht am
Nicht jedes Passwort ist wirklich sicher gehasht.
Nicht jedes Passwort ist wirklich sicher gehasht. (Bild: Pixabay)

Die Aufregung war groß, als die Bundesregierung im vergangenen Dezember ihre Pläne zur verpflichtenden Herausgabe von Passwörtern veröffentlichte. Zwar hat sich inzwischen geklärt, dass die betroffenen Telemediendienste damit nicht dazu gezwungen werden sollen, die Passwörter im Klartext zu speichern und herauszugeben. Doch die Verunsicherung ist weiterhin groß. Wie sicher sind die persönlichen Zugänge und Konten von Nutzern bei sozialen Medien, E-Mail-Providern oder Cloud-Diensten noch? Wie groß ist die Wahrscheinlichkeit, dass die Behörden an Passwörter gelangen, die nur als Hashwerte gespeichert sind?

Die Bundesregierung hat den Entwurf eines Gesetzes zur Bekämpfung des Rechtsextremismus und der Hasskriminalität im Februar 2020 beschlossen. Im März haben die Fraktionen von Union und SPD einen wortgleichen Entwurf in den Bundestag eingebracht (PDF), der am 12. März in erster Lesung diskutiert wurde. Für den kommenden Mittwoch wurde bereits eine Expertenanhörung im Justizausschuss anberaumt. Nach Angaben der SPD-Fraktion soll das Gesetz noch vor der Sommerpause verabschiedet werden.

Widersinnige Regelung

Unter bestimmten Bedingungen können demnach Telemediendienste dazu verpflichtet werden, "Passwörter und andere Daten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird", den Behörden herauszugeben. Zwei weitere Gesetzespassagen sind in der Debatte wichtig. Zum einen heißt es: "Für die Auskunftserteilung sind sämtliche unternehmensinternen Datenquellen zu berücksichtigen." Zum anderen: "Eine Verschlüsselung der Daten bleibt unberührt."

Das klingt so widersinnig, wie es in der Tat ist. Internetdienste sind aus Datenschutzgründen dazu verpflichtet, die Nutzerdaten möglichst sicher zu speichern. Aus diesem Grund dürfen Passwörter unternehmensintern nicht im Klartext gespeichert werden. Passiert das dennoch, und die Passwörter werden nach einem Hack oder durch eine falsche Datenbankkonfiguration geleakt, drohen inzwischen hohe Bußgelder nach der EU-Datenschutzgrundverordnung.

Wozu braucht man die Passwörter?

Stellenmarkt
  1. PM-International AG', Speyer
  2. dmTech GmbH, Karlsruhe

Darüber hinaus ist unklar, welche Telemediendienste über Passwörter oder "andere Daten" verfügen, die einen Zugriff auf die Endgeräte der Nutzer ermöglichen. Für solche Zugriffe sind eigentlich die Staatstrojaner gedacht. Sie sollen beispielsweise bei der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) zum Einsatz kommen, wenn Verdächtige verschlüsselt per Messenger kommunizieren und eine übliche TKÜ keine Ergebnisse bringt. Auch beim Zugriff auf Cloud-Dienste könnten Behörden bei einem Login mit den Nutzerdaten eine Verschlüsselung aushebeln. Ansonsten wäre es kein Problem, elektronische Beweismittel direkt bei den Diensten anzufordern.

Auffallend ist: Auch mit Hilfe des geplanten IT-Sicherheitsgesetzes will die Bundesregierung an die Zugangsdaten von Verdächtigen gelangen. Staatsanwaltschaft sowie die Behörden und Beamten des Polizeidienstes sollen auf diese Weise Nutzerkonten oder Funktionen, mit denen dauerhaft eine virtuelle Identität unterhalten wird, übernehmen dürfen. Dies soll auch gegen den Willen des Inhabers und bei Straftaten, die mittels Telekommunikation begangen werden, möglich sein. Zwar ist der Verdächtige laut Gesetzentwurf "verpflichtet, die zur Nutzung der virtuellen Identität erforderlichen Zugangsdaten herauszugeben". Doch falls nicht, könnten es die Behörden offenbar über die Diensteanbieter versuchen.

Die IT-Branche ist daher alarmiert. So sagte Norbert Pohlmann vom IT-Branchenverband Eco auf Anfrage von Golem.de: "Wenn das umsetzbar wäre, würde faktisch damit eine umfassende Online-Hausdurchsuchung möglich sein. Das heißt, der Zugriff auf Kommunikationsinhalte wie E-Mails, in der Cloud hinterlegte Fotos, private Dokumente, Online-Banking usw. wäre realisierbar. Keinen, dem unsere Bürgerrechte und unsere Verfassung etwas bedeuten, kann das kalt lassen." Gleichzeitig liege es im Interesse der Unternehmen, ihrer Geschäftsmodelle und unserer Gesellschaft, dass die Passwörter nicht aus den Hashwerten zu berechnen sind, weil sonst der Dienst angreifbar wäre.

Doch wie hoch ist überhaupt der Aufwand, um ein Passwort zu "entschlüsseln", oder besser: zu enthashen?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Hashen ist nicht gleich Verschlüsseln 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Anzeige
Top-Angebote
  1. (u. a. Avengers Endgame für 12,99€ (Blu-ray), Captain Marvel für 13,74€ (Blu-ray), Black...
  2. (u. a. Spellforce Complete Pack für 9,99€, 1943 Deadly Desert für 2,15€, Prison Architect...
  3. ab 1€
  4. 34,99€ (Vergleichspreis 79€)

peter.peter 04. Mai 2020 / Themenstart

Ohne Salt wäre der HASH schnell gefunden worden, da sehr wahrscheinlich bei "a" gestartet...

Chaot 04. Mai 2020 / Themenstart

Die Verfassung hatte ihren Sinn, die Gewaltenteilung auch. Beides sollte uns vor erneuter...

wurstdings 04. Mai 2020 / Themenstart

Dummerweise liegt das Passwort da aber schon auf dem Server, denn für CRA müssen beide...

KaHe10 04. Mai 2020 / Themenstart

Hier hinkt aber der Vergleich. So kann eine Onlinedurchsuchung zum Beispiel ohne Wissen...

hpary 02. Mai 2020 / Themenstart

Hashen war schon immer eine Kosten-Nutzen-Rechnung. Aber default bei Argon2 ist glaube...

Kommentieren


Folgen Sie uns
       


Golem.de baut die ISS aus Lego zusammen

Mit 864 Einzelteilen und rund 90 Minuten Bauzeit ist die Lego-ISS bei Weitem nicht so komplex wie ihr Vorbild.

Golem.de baut die ISS aus Lego zusammen Video aufrufen
    •  /