• IT-Karriere:
  • Services:

Passwortherausgabe: Bundesdatenschützer warnt vor Klartextspeicherung

Die Pläne für die Herausgabe von Passwörtern an Behörden beunruhigen Datenschützer und Netzaktivisten. Der Bundesdatenschutzbeauftragte Kelber sieht sogar den elektronischen Bankenverkehr gefährdet.

Artikel von veröffentlicht am
Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert die Pläne zur Passwortherausgabe.
Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert die Pläne zur Passwortherausgabe. (Bild: Friedhelm Greis/Golem.de)

Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert in einer Stellungnahme zentrale Aspekte des geplanten Gesetzes zur Bekämpfung des Rechtsextremismus und der Hasskriminalität. In dem neunseitigen Papier, das Golem.de vorliegt, bezeichnet Kelber die geplanten Regelungen zur Herausgabe von Zugangsdaten und Passwörtern als "unverhältnismäßig". Seiner Ansicht nach kann verlangte Herausgabe "nicht umgesetzt werden, ohne von den Diensteanbietern zu verlangen, datenschutzrechtliche Vorgaben zu verletzen". Die Digitale Gesellschaft kritisiert in ihrer Stellungnahme die Pläne als "kontraproduktiv" und "verfassungswidrig".

Inhalt:
  1. Passwortherausgabe: Bundesdatenschützer warnt vor Klartextspeicherung
  2. Wer hat Zugriff auf die Passwörter?

Mit dem Gesetz will die Bundesregierung alle Internetdienstleister zur umfassenden Kooperation mit den Ermittlungsbehörden und Geheimdiensten verpflichten. Demnach sollen alle Anbieter von Telemediendiensten, wozu Mailprovider, Medien, Forenbetreiber oder soziale Netzwerke zählen, dazu verpflichtet werden, auf Verlangen die Bestands- und Nutzungsdaten ihrer Nutzer herauszugeben. "Dies gilt auch für Bestandsdaten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird", heißt es in dem Gesetzesentwurf (PDF).

Klartextherausgabe nicht eindeutig geregelt

Doch die geplante Herausgabe von Passwörtern wird scharf kritisiert. Vor allem deshalb, weil Passwörter aus Datenschutzgründen nicht im Klartext gespeichert werden dürfen, sondern in der Regel als Hashwert in der Datenbank abgelegt werden. Dazu hatte das Bundesjustizministerium im Dezember 2019 erklärt: "Dass Staatsanwaltschaften Passwörter von Diensten herausverlangen, wird daher künftig nur in wenigen Fällen geboten sein, zum Beispiel wenn es um Terrorismusstraftaten geht und es eventuell Möglichkeiten gibt, die Passwörter mit sehr hohem technischem Aufwand zu entschlüsseln. Eine solche Pflicht für die Provider, Passwörter zu entschlüsseln, wenn Staatsanwaltschaften sie dazu auffordern, gibt es nicht und wird es auch künftig nicht geben."

Doch nach Ansicht Kelbers wird im geplanten Gesetz nicht geregelt, "ob sich aus der neuen Vorschrift für die Anbieter eine Pflicht ableiten lässt, nach der die Anbieter im Zweifel die Passwörter so im Klartext speichern müssen, dass sie diese im Falle einer behördlichen Anforderung herausgeben könnten". Zwar sei "richtigerweise zu folgern", dass es eine solche Pflicht nicht geben könne, doch es sei "allerdings auch denkbar, dass Strafverfolgungsbehörden in der Praxis eine andere Auffassung vertreten werden". Das würde "die Datensicherheit und den Datenschutz massiv konterkarieren", warnt Kelber.

Welche Daten müssen herausgegeben werden?

Stellenmarkt
  1. STAHLGRUBER GmbH, Poing bei München
  2. Schwarz Dienstleistung KG, Raum Neckarsulm

Darüber hinaus befürchtet der Bundesdatenschutzbeauftragte, dass Strafverfolgungsbehörden künftig die Herausgabe weiterer Daten erzwingen könnten, "die insbesondere brute-force-Entschlüsselungen der übermittelten Passwort-Hashes ermöglichen (z. B. Herausgabe des sog. Pepper-Wertes)". Auch dies könnte die Datensicherheit über den Einzelfall hinaus beeinträchtigen. So soll der Paragraf 14 des Telemediengesetzes (TMG) um die Formulierung ergänzt werden: "Für die Auskunftserteilung sind sämtliche unternehmensinternen Datenquellen zu berücksichtigen." Für Kelber ist daher unklar, ob sich die Vorschriften auch auf etwaige temporär gespeicherte Session-Cookies beziehen, mit denen sich Zugang erlangen lasse. Auch Sicherungs- oder Protokolldatenserver könnten für die Datenherausgabe einbezogen werden.

Durch die Pläne stelle sich zudem die Frage, ob die notwendige Sicherheit beim Bankenverkehr noch gewährleistet werden könne, schreibt Kelber. Da sich das Telemediengesetz nicht nur an Verbraucher richte, sei fraglich, "ob etwa Banken dann noch untereinander sicher kommunizieren könnten oder sich die Bundesrepublik aus dem elektronischen Bankenverkehr zurückziehen müsste".

Doch sind die Passwörter künftig sogar besser vor dem Zugriff der Behörden geschützt, weil dann ein Richter der Herausgabe zustimmen muss, wie das Bundesjustizministerium behauptet?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Wer hat Zugriff auf die Passwörter? 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 3,99€
  2. (-65%) 13,99€
  3. (-58%) 21,00€

phade 21. Jan 2020 / Themenstart

Eine richterliche Anordnung kann man wohl nicht als "Verlust" werten. Ein Provider muss...

gumnade 21. Jan 2020 / Themenstart

Hasskriminalität hast Du vergessen! Ist jetzt neu auf dem Markt der dummen Wörter

Copper 21. Jan 2020 / Themenstart

Ich bin mal gespannt, ob sich der Dienstbetreiber da auch mit Geschäftsgeheimnissen...

Copper 21. Jan 2020 / Themenstart

Es würde schon reichen, wenn man die Dokupflicht umkehren würde (bei Hausdurchsuchung...

Jonny Dee 20. Jan 2020 / Themenstart

Indem über das "wie Herausgabe sicher ermöglichen" diskutiert wird, wird vermieden...

Kommentieren


Folgen Sie uns
       


Motorola Razr (2019) - Hands on

Das neue Motorola Razr lässt sich wie das alte Razr V3 zusammenklappen - das Display ist allerdings faltbar und geht über die gesamte Innenfläche des Smartphones.

Motorola Razr (2019) - Hands on Video aufrufen
Huawei-Gründer Ren Zhengfei: Der Milliardär, der im Regen auf ein Taxi wartet
Huawei-Gründer Ren Zhengfei
Der Milliardär, der im Regen auf ein Taxi wartet

Huawei steht derzeit im Zentrum des Medieninteresses - und so wird auch mehr über den Gründer und Chef Ren Zhengfei bekannt, der sich bisher so gut wie möglich aus der Öffentlichkeit ferngehalten hatte.
Ein Porträt von Achim Sawall

  1. US-Handelsboykott Ausnahmeregelung für Geschäfte mit Huawei erneut verlängert
  2. "Eindeutiger Beweis" US-Regierung holt ihre "Smoking Gun" gegen Huawei heraus
  3. 5G Unionsfraktion lehnt Verbot von Huawei einstimmig ab

Kommunikation per Ultraschall: Nicht hörbar, nicht sichtbar, nicht sicher
Kommunikation per Ultraschall
Nicht hörbar, nicht sichtbar, nicht sicher

Nachdem Ultraschall-Beacons vor einigen Jahren einen eher schlechten Ruf erlangten, zeichnen sich mittlerweile auch einige sinnvolle Anwendungen ab. Das größte Problem der Technik bleibt aber bestehen: Sie ist einfach, ungeregelt und sehr anfällig für Missbrauch.
Eine Analyse von Mike Wobker


    Warcraft 3 Reforged angespielt: Was ist denn das für ein Alptraum!
    Warcraft 3 Reforged angespielt
    "Was ist denn das für ein Alptraum!"

    Mit Warcraft 3 Reforged hat Blizzard die Neuauflage eines Klassikers veröffentlicht - aber richtig gut ist die Umsetzung nicht geworden. Golem.de zeigt den Unterschied zwischen klassischer und überarbeiteter Grafik im Vergleichsvideo.
    Von Peter Steinlechner

    1. Reforged Blizzard äußert sich zum Debakel mit Warcraft 3
    2. Warcraft 3 Blizzard sichert sich Rechte an Custom Games der Nutzer
    3. Reforged Blizzard schmiedet Warcraft 3 bis Ende Januar 2020 neu

      •  /