Nutzerdaten: Wie sicher sind gehashte Passwörter?

Mit einem neuen Gesetz werden die Telemediendienste zur Herausgabe von Passwörtern verpflichtet. Was bedeutet das für die Sicherheit des eigenen Zugangs?

Eine Analyse von und veröffentlicht am
Nicht jedes Passwort ist wirklich sicher gehasht.
Nicht jedes Passwort ist wirklich sicher gehasht. (Bild: Pixabay)

Die Aufregung war groß, als die Bundesregierung im vergangenen Dezember ihre Pläne zur verpflichtenden Herausgabe von Passwörtern veröffentlichte. Zwar hat sich inzwischen geklärt, dass die betroffenen Telemediendienste damit nicht dazu gezwungen werden sollen, die Passwörter im Klartext zu speichern und herauszugeben. Doch die Verunsicherung ist weiterhin groß. Wie sicher sind die persönlichen Zugänge und Konten von Nutzern bei sozialen Medien, E-Mail-Providern oder Cloud-Diensten noch? Wie groß ist die Wahrscheinlichkeit, dass die Behörden an Passwörter gelangen, die nur als Hashwerte gespeichert sind?

Die Bundesregierung hat den Entwurf eines Gesetzes zur Bekämpfung des Rechtsextremismus und der Hasskriminalität im Februar 2020 beschlossen. Im März haben die Fraktionen von Union und SPD einen wortgleichen Entwurf in den Bundestag eingebracht (PDF), der am 12. März in erster Lesung diskutiert wurde. Für den kommenden Mittwoch wurde bereits eine Expertenanhörung im Justizausschuss anberaumt. Nach Angaben der SPD-Fraktion soll das Gesetz noch vor der Sommerpause verabschiedet werden.

Widersinnige Regelung

Unter bestimmten Bedingungen können demnach Telemediendienste dazu verpflichtet werden, "Passwörter und andere Daten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird", den Behörden herauszugeben. Zwei weitere Gesetzespassagen sind in der Debatte wichtig. Zum einen heißt es: "Für die Auskunftserteilung sind sämtliche unternehmensinternen Datenquellen zu berücksichtigen." Zum anderen: "Eine Verschlüsselung der Daten bleibt unberührt."

Das klingt so widersinnig, wie es in der Tat ist. Internetdienste sind aus Datenschutzgründen dazu verpflichtet, die Nutzerdaten möglichst sicher zu speichern. Aus diesem Grund dürfen Passwörter unternehmensintern nicht im Klartext gespeichert werden. Passiert das dennoch, und die Passwörter werden nach einem Hack oder durch eine falsche Datenbankkonfiguration geleakt, drohen inzwischen hohe Bußgelder nach der EU-Datenschutzgrundverordnung.

Wozu braucht man die Passwörter?

Stellenmarkt
  1. IT-Professional - Systemadministrator (m/w/d)
    Polizeipräsidium Oberbayern Nord, Ingolstadt
  2. Projektplaner/CAD-Systembetr- euer (m/w/d)
    EMS PreCab GmbH, Papenburg
Detailsuche

Darüber hinaus ist unklar, welche Telemediendienste über Passwörter oder "andere Daten" verfügen, die einen Zugriff auf die Endgeräte der Nutzer ermöglichen. Für solche Zugriffe sind eigentlich die Staatstrojaner gedacht. Sie sollen beispielsweise bei der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) zum Einsatz kommen, wenn Verdächtige verschlüsselt per Messenger kommunizieren und eine übliche TKÜ keine Ergebnisse bringt. Auch beim Zugriff auf Cloud-Dienste könnten Behörden bei einem Login mit den Nutzerdaten eine Verschlüsselung aushebeln. Ansonsten wäre es kein Problem, elektronische Beweismittel direkt bei den Diensten anzufordern.

Auffallend ist: Auch mit Hilfe des geplanten IT-Sicherheitsgesetzes will die Bundesregierung an die Zugangsdaten von Verdächtigen gelangen. Staatsanwaltschaft sowie die Behörden und Beamten des Polizeidienstes sollen auf diese Weise Nutzerkonten oder Funktionen, mit denen dauerhaft eine virtuelle Identität unterhalten wird, übernehmen dürfen. Dies soll auch gegen den Willen des Inhabers und bei Straftaten, die mittels Telekommunikation begangen werden, möglich sein. Zwar ist der Verdächtige laut Gesetzentwurf "verpflichtet, die zur Nutzung der virtuellen Identität erforderlichen Zugangsdaten herauszugeben". Doch falls nicht, könnten es die Behörden offenbar über die Diensteanbieter versuchen.

Die IT-Branche ist daher alarmiert. So sagte Norbert Pohlmann vom IT-Branchenverband Eco auf Anfrage von Golem.de: "Wenn das umsetzbar wäre, würde faktisch damit eine umfassende Online-Hausdurchsuchung möglich sein. Das heißt, der Zugriff auf Kommunikationsinhalte wie E-Mails, in der Cloud hinterlegte Fotos, private Dokumente, Online-Banking usw. wäre realisierbar. Keinen, dem unsere Bürgerrechte und unsere Verfassung etwas bedeuten, kann das kalt lassen." Gleichzeitig liege es im Interesse der Unternehmen, ihrer Geschäftsmodelle und unserer Gesellschaft, dass die Passwörter nicht aus den Hashwerten zu berechnen sind, weil sonst der Dienst angreifbar wäre.

Doch wie hoch ist überhaupt der Aufwand, um ein Passwort zu "entschlüsseln", oder besser: zu enthashen?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Hashen ist nicht gleich Verschlüsseln 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


peter.peter 04. Mai 2020

Ohne Salt wäre der HASH schnell gefunden worden, da sehr wahrscheinlich bei "a" gestartet...

Chaot 04. Mai 2020

Die Verfassung hatte ihren Sinn, die Gewaltenteilung auch. Beides sollte uns vor erneuter...

wurstdings 04. Mai 2020

Dummerweise liegt das Passwort da aber schon auf dem Server, denn für CRA müssen beide...

KaHe10 04. Mai 2020

Hier hinkt aber der Vergleich. So kann eine Onlinedurchsuchung zum Beispiel ohne Wissen...



Aktuell auf der Startseite von Golem.de
Amazon Shopper Panel
Amazon zahlt für Überwachung des Smartphone-Datenverkehrs

Wer seinen gesamten Smartphone-Datenverkehr über Amazons Server leitet, wird mit einem monatlichen Gutschein dafür bezahlt.

Amazon Shopper Panel: Amazon zahlt für Überwachung des Smartphone-Datenverkehrs
Artikel
  1. Deutschland: Ungerechtfertigte Energiepreiserhöhungen werden verboten
    Deutschland
    Ungerechtfertigte Energiepreiserhöhungen werden verboten

    Die deutsche Regierung will verhindern, dass Anbieter von Strom und Gas die kommenden Preisbremsen für Gewinnmitnahmen nutzen.

  2. Soziale Netzwerke: Liken bei Hasspostings kann strafbar sein
    Soziale Netzwerke
    Liken bei Hasspostings kann strafbar sein

    Facebook-Nutzer, die nicht davor zurückschrecken, diskriminierende oder beleidigende oder Postings zu liken, sollten sich das gut überlegen. Denn das Drücken des Gefällt-mir-Buttons kann hier erhebliche rechtliche Folgen haben.
    Von Harald Büring

  3. Grünheide bei Berlin: Proteste gegen Erweiterung der Tesla-Fabrik
    Grünheide bei Berlin
    Proteste gegen Erweiterung der Tesla-Fabrik

    Gegner einer Erweiterung Gigafactory Berlin in Grünheide von Tesla fordern eine Bürgerbefragung.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • SanDisk Extreme PRO 1TB 141,86€ • Amazon-Geräte bis -53% • Mindstar: Alphacool Eiswolf 2 AiO 360 199€, AMD-Ryzen-CPUs zu Bestpreisen • Alternate: WD_BLACK P10 2TB 76,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /