• IT-Karriere:
  • Services:

Passwortherausgabe: Bundesdatenschützer warnt vor Klartextspeicherung

Die Pläne für die Herausgabe von Passwörtern an Behörden beunruhigen Datenschützer und Netzaktivisten. Der Bundesdatenschutzbeauftragte Kelber sieht sogar den elektronischen Bankenverkehr gefährdet.

Artikel von veröffentlicht am
Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert die Pläne zur Passwortherausgabe.
Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert die Pläne zur Passwortherausgabe. (Bild: Friedhelm Greis/Golem.de)

Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert in einer Stellungnahme zentrale Aspekte des geplanten Gesetzes zur Bekämpfung des Rechtsextremismus und der Hasskriminalität. In dem neunseitigen Papier, das Golem.de vorliegt, bezeichnet Kelber die geplanten Regelungen zur Herausgabe von Zugangsdaten und Passwörtern als "unverhältnismäßig". Seiner Ansicht nach kann verlangte Herausgabe "nicht umgesetzt werden, ohne von den Diensteanbietern zu verlangen, datenschutzrechtliche Vorgaben zu verletzen". Die Digitale Gesellschaft kritisiert in ihrer Stellungnahme die Pläne als "kontraproduktiv" und "verfassungswidrig".

Inhalt:
  1. Passwortherausgabe: Bundesdatenschützer warnt vor Klartextspeicherung
  2. Wer hat Zugriff auf die Passwörter?

Mit dem Gesetz will die Bundesregierung alle Internetdienstleister zur umfassenden Kooperation mit den Ermittlungsbehörden und Geheimdiensten verpflichten. Demnach sollen alle Anbieter von Telemediendiensten, wozu Mailprovider, Medien, Forenbetreiber oder soziale Netzwerke zählen, dazu verpflichtet werden, auf Verlangen die Bestands- und Nutzungsdaten ihrer Nutzer herauszugeben. "Dies gilt auch für Bestandsdaten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird", heißt es in dem Gesetzesentwurf (PDF).

Klartextherausgabe nicht eindeutig geregelt

Doch die geplante Herausgabe von Passwörtern wird scharf kritisiert. Vor allem deshalb, weil Passwörter aus Datenschutzgründen nicht im Klartext gespeichert werden dürfen, sondern in der Regel als Hashwert in der Datenbank abgelegt werden. Dazu hatte das Bundesjustizministerium im Dezember 2019 erklärt: "Dass Staatsanwaltschaften Passwörter von Diensten herausverlangen, wird daher künftig nur in wenigen Fällen geboten sein, zum Beispiel wenn es um Terrorismusstraftaten geht und es eventuell Möglichkeiten gibt, die Passwörter mit sehr hohem technischem Aufwand zu entschlüsseln. Eine solche Pflicht für die Provider, Passwörter zu entschlüsseln, wenn Staatsanwaltschaften sie dazu auffordern, gibt es nicht und wird es auch künftig nicht geben."

Doch nach Ansicht Kelbers wird im geplanten Gesetz nicht geregelt, "ob sich aus der neuen Vorschrift für die Anbieter eine Pflicht ableiten lässt, nach der die Anbieter im Zweifel die Passwörter so im Klartext speichern müssen, dass sie diese im Falle einer behördlichen Anforderung herausgeben könnten". Zwar sei "richtigerweise zu folgern", dass es eine solche Pflicht nicht geben könne, doch es sei "allerdings auch denkbar, dass Strafverfolgungsbehörden in der Praxis eine andere Auffassung vertreten werden". Das würde "die Datensicherheit und den Datenschutz massiv konterkarieren", warnt Kelber.

Welche Daten müssen herausgegeben werden?

Stellenmarkt
  1. CITTI Handelsgesellschaft mbH & Co. KG, Kiel
  2. Stromnetz Hamburg GmbH, Hamburg

Darüber hinaus befürchtet der Bundesdatenschutzbeauftragte, dass Strafverfolgungsbehörden künftig die Herausgabe weiterer Daten erzwingen könnten, "die insbesondere brute-force-Entschlüsselungen der übermittelten Passwort-Hashes ermöglichen (z. B. Herausgabe des sog. Pepper-Wertes)". Auch dies könnte die Datensicherheit über den Einzelfall hinaus beeinträchtigen. So soll der Paragraf 14 des Telemediengesetzes (TMG) um die Formulierung ergänzt werden: "Für die Auskunftserteilung sind sämtliche unternehmensinternen Datenquellen zu berücksichtigen." Für Kelber ist daher unklar, ob sich die Vorschriften auch auf etwaige temporär gespeicherte Session-Cookies beziehen, mit denen sich Zugang erlangen lasse. Auch Sicherungs- oder Protokolldatenserver könnten für die Datenherausgabe einbezogen werden.

Durch die Pläne stelle sich zudem die Frage, ob die notwendige Sicherheit beim Bankenverkehr noch gewährleistet werden könne, schreibt Kelber. Da sich das Telemediengesetz nicht nur an Verbraucher richte, sei fraglich, "ob etwa Banken dann noch untereinander sicher kommunizieren könnten oder sich die Bundesrepublik aus dem elektronischen Bankenverkehr zurückziehen müsste".

Doch sind die Passwörter künftig sogar besser vor dem Zugriff der Behörden geschützt, weil dann ein Richter der Herausgabe zustimmen muss, wie das Bundesjustizministerium behauptet?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Wer hat Zugriff auf die Passwörter? 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 299€ (Vergleichspreis 334,99€ inkl. Versand)
  2. (u. a. Logitech G703 Hero Lightspeed für 59€ und Logitech G512 Lightsync + G502 Hero SE + G332...
  3. 169€ (Bestpreis mit Amazon. Vergleichspreis 194,99€)
  4. 169€ (Bestpreis mit Media Markt. Vergleichspreis 194,99€)

phade 21. Jan 2020 / Themenstart

Eine richterliche Anordnung kann man wohl nicht als "Verlust" werten. Ein Provider muss...

gumnade 21. Jan 2020 / Themenstart

Hasskriminalität hast Du vergessen! Ist jetzt neu auf dem Markt der dummen Wörter

Copper 21. Jan 2020 / Themenstart

Ich bin mal gespannt, ob sich der Dienstbetreiber da auch mit Geschäftsgeheimnissen...

Copper 21. Jan 2020 / Themenstart

Es würde schon reichen, wenn man die Dokupflicht umkehren würde (bei Hausdurchsuchung...

Jonny Dee 20. Jan 2020 / Themenstart

Indem über das "wie Herausgabe sicher ermöglichen" diskutiert wird, wird vermieden...

Kommentieren


Folgen Sie uns
       


Helmholtz-Forscher arbeiten am Künstlichen Blatt - Bericht

Sonnenlicht spaltet Wasser: Ein Team von Helmholtz-Forschern bildet die Photosynthese technisch nach, um Wassesrtoff zu gewinnen.

Helmholtz-Forscher arbeiten am Künstlichen Blatt - Bericht Video aufrufen
Galaxy Z Flip im Hands-on: Endlich klappt es bei Samsung
Galaxy Z Flip im Hands-on
Endlich klappt es bei Samsung

Beim zweiten Versuch hat Samsung aus seinen Fehlern gelernt: Das Smartphone Galaxy Z Flip mit faltbarem Display ist alltagstauglicher und stabiler als der Vorgänger. Motorolas Razr kann da nicht mithalten.
Ein Hands on von Tobias Költzsch

  1. Faltbares Smartphone Schutzfasern des Galaxy Z Flip möglicherweise wenig wirksam
  2. Isocell Bright HM1 Samsung verwendet neuen 108-MP-Sensor im Galaxy S20 Ultra
  3. Smartphones Samsung schummelt bei Teleobjektiven des Galaxy S20 und S20+

Wolcen im Test: Düster, lootig, wuchtig!
Wolcen im Test
Düster, lootig, wuchtig!

Irgendwo zwischen Diablo und Grim Dawn: Die dreckige Spielwelt von Wolcen - Lords Of Mayhem ist Schauplatz für ein tolles Hack'n Slay - egal ob offline oder online, alleine oder gemeinsam. Und mit Cryengine.
Ein Test von Marc Sauter

  1. Project Mara Microsoft kündigt Psychoterror-Simulation an
  2. Active Gaming Footwear Puma blamiert sich mit Spielersocken
  3. Simulatoren Nach Feierabend Arbeiten spielen

Nasa: Boeing umging Sicherheitsprozeduren bei Starliner
Nasa
Boeing umging Sicherheitsprozeduren bei Starliner

Vergessene Tabelleneinträge, fehlende Zeitabfragen und störende Mobilfunksignale sollen ursächlich für die Probleme beim Testflug des Starliner-Raumschiffs gewesen sein. Das seien aber nur Symptome des Zusammenbruchs der Sicherheitsprozeduren in der Softwareentwicklung von Boeing. Parallelen zur Boeing 737 MAX werden deutlich.
Von Frank Wunderlich-Pfeiffer

  1. Nasa Boeings Starliner hatte noch einen schweren Softwarefehler
  2. Boeing 777x Jungfernflug für das größte zweistrahlige Verkehrsflugzeug
  3. Boeing 2019 wurden mehr Flugzeuge storniert als bestellt

    •  /