Passwortherausgabe: Bundesdatenschützer warnt vor Klartextspeicherung

Die Pläne für die Herausgabe von Passwörtern an Behörden beunruhigen Datenschützer und Netzaktivisten. Der Bundesdatenschutzbeauftragte Kelber sieht sogar den elektronischen Bankenverkehr gefährdet.

Artikel von veröffentlicht am
Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert die Pläne zur Passwortherausgabe.
Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert die Pläne zur Passwortherausgabe. (Bild: Friedhelm Greis/Golem.de)

Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert in einer Stellungnahme zentrale Aspekte des geplanten Gesetzes zur Bekämpfung des Rechtsextremismus und der Hasskriminalität. In dem neunseitigen Papier (PDF) bezeichnet Kelber die geplanten Regelungen zur Herausgabe von Zugangsdaten und Passwörtern als "unverhältnismäßig". Seiner Ansicht nach kann verlangte Herausgabe "nicht umgesetzt werden, ohne von den Diensteanbietern zu verlangen, datenschutzrechtliche Vorgaben zu verletzen". Die Digitale Gesellschaft kritisiert in ihrer Stellungnahme die Pläne als "kontraproduktiv" und "verfassungswidrig".

Inhalt:
  1. Passwortherausgabe: Bundesdatenschützer warnt vor Klartextspeicherung
  2. Wer hat Zugriff auf die Passwörter?

Mit dem Gesetz will die Bundesregierung alle Internetdienstleister zur umfassenden Kooperation mit den Ermittlungsbehörden und Geheimdiensten verpflichten. Demnach sollen alle Anbieter von Telemediendiensten, wozu Mailprovider, Medien, Forenbetreiber oder soziale Netzwerke zählen, dazu verpflichtet werden, auf Verlangen die Bestands- und Nutzungsdaten ihrer Nutzer herauszugeben. "Dies gilt auch für Bestandsdaten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird", heißt es in dem Gesetzesentwurf (PDF).

Klartextherausgabe nicht eindeutig geregelt

Doch die geplante Herausgabe von Passwörtern wird scharf kritisiert. Vor allem deshalb, weil Passwörter aus Datenschutzgründen nicht im Klartext gespeichert werden dürfen, sondern in der Regel als Hashwert in der Datenbank abgelegt werden. Dazu hatte das Bundesjustizministerium im Dezember 2019 erklärt: "Dass Staatsanwaltschaften Passwörter von Diensten herausverlangen, wird daher künftig nur in wenigen Fällen geboten sein, zum Beispiel wenn es um Terrorismusstraftaten geht und es eventuell Möglichkeiten gibt, die Passwörter mit sehr hohem technischem Aufwand zu entschlüsseln. Eine solche Pflicht für die Provider, Passwörter zu entschlüsseln, wenn Staatsanwaltschaften sie dazu auffordern, gibt es nicht und wird es auch künftig nicht geben."

Doch nach Ansicht Kelbers wird im geplanten Gesetz nicht geregelt, "ob sich aus der neuen Vorschrift für die Anbieter eine Pflicht ableiten lässt, nach der die Anbieter im Zweifel die Passwörter so im Klartext speichern müssen, dass sie diese im Falle einer behördlichen Anforderung herausgeben könnten". Zwar sei "richtigerweise zu folgern", dass es eine solche Pflicht nicht geben könne, doch es sei "allerdings auch denkbar, dass Strafverfolgungsbehörden in der Praxis eine andere Auffassung vertreten werden". Das würde "die Datensicherheit und den Datenschutz massiv konterkarieren", warnt Kelber.

Welche Daten müssen herausgegeben werden?

Stellenmarkt
  1. IT-Mitarbeiter (m/w/d) Netzwerk- und Anwendungssupport
    VIVAVIS AG, Bochum
  2. SoftwareentwicklerIn für Embedded Systeme (m/w/d)
    BOGE KOMPRESSOREN Otto Boge GmbH & Co. KG, Bielefeld
Detailsuche

Darüber hinaus befürchtet der Bundesdatenschutzbeauftragte, dass Strafverfolgungsbehörden künftig die Herausgabe weiterer Daten erzwingen könnten, "die insbesondere brute-force-Entschlüsselungen der übermittelten Passwort-Hashes ermöglichen (z. B. Herausgabe des sog. Pepper-Wertes)". Auch dies könnte die Datensicherheit über den Einzelfall hinaus beeinträchtigen. So soll der Paragraf 14 des Telemediengesetzes (TMG) um die Formulierung ergänzt werden: "Für die Auskunftserteilung sind sämtliche unternehmensinternen Datenquellen zu berücksichtigen." Für Kelber ist daher unklar, ob sich die Vorschriften auch auf etwaige temporär gespeicherte Session-Cookies beziehen, mit denen sich Zugang erlangen lasse. Auch Sicherungs- oder Protokolldatenserver könnten für die Datenherausgabe einbezogen werden.

Durch die Pläne stelle sich zudem die Frage, ob die notwendige Sicherheit beim Bankenverkehr noch gewährleistet werden könne, schreibt Kelber. Da sich das Telemediengesetz nicht nur an Verbraucher richte, sei fraglich, "ob etwa Banken dann noch untereinander sicher kommunizieren könnten oder sich die Bundesrepublik aus dem elektronischen Bankenverkehr zurückziehen müsste".

Doch sind die Passwörter künftig sogar besser vor dem Zugriff der Behörden geschützt, weil dann ein Richter der Herausgabe zustimmen muss, wie das Bundesjustizministerium behauptet?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Wer hat Zugriff auf die Passwörter? 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Clubhouse  
3,8 Milliarden Telefonnummern werden im Darknet verkauft

Die Telefonnummern und Kontakte aller Clubhouse-Konten werden wohl im Darknet angeboten. Nummern werden nach ihrer Wichtigkeit eingestuft.

Clubhouse: 3,8 Milliarden Telefonnummern werden im Darknet verkauft
Artikel
  1. RS Q E-Tron: Audi will mit Elektroantrieb Rallye Dakar gewinnen
    RS Q E-Tron
    Audi will mit Elektroantrieb Rallye Dakar gewinnen

    Der RS Q E-Tron im futuristischen Design und mit 670 PS an den E-Achsen soll für Audi die Rallye Dakar gewinnen.

  2. iPhone 12: Youtuber findet Akkukapazität von Apples Magsafe-Pack heraus
    iPhone 12
    Youtuber findet Akkukapazität von Apples Magsafe-Pack heraus

    Ein Youtuber nimmt das Apple Magsafe-Akkupack auseinander. Im Video gibt er einen Einblick in die Technik und die Akkuladung des Produktes.

  3. Elon Musk: Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad
    Elon Musk
    Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad

    Elon Musk hat klargestellt, dass es für das Model S und das Model X kein normales Lenkrad mehr geben wird. Das D-förmige Lenkrad ist Pflicht.

phade 21. Jan 2020

Eine richterliche Anordnung kann man wohl nicht als "Verlust" werten. Ein Provider muss...

gumnade 21. Jan 2020

Hasskriminalität hast Du vergessen! Ist jetzt neu auf dem Markt der dummen Wörter

Copper 21. Jan 2020

Ich bin mal gespannt, ob sich der Dienstbetreiber da auch mit Geschäftsgeheimnissen...

Copper 21. Jan 2020

Es würde schon reichen, wenn man die Dokupflicht umkehren würde (bei Hausdurchsuchung...

Jonny Dee 20. Jan 2020

Indem über das "wie Herausgabe sicher ermöglichen" diskutiert wird, wird vermieden...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • 30% auf Amazon Warehouse • LG 55NANO867NA 573,10€ • Fractal Design Meshify C Mini 69,90€ • Amazon: PC-Spiele von EA im Angebot (u. a. FIFA 21 19,99€) • Viewsonic VG2719-2K (WQHD, 99% sRGB) 217,99€ • Alternate (u. a. Fractal Design Define S2 106,89€) • Roccat Horde Aimo 49€ [Werbung]
    •  /