Passwortherausgabe: Bundesdatenschützer warnt vor Klartextspeicherung
Die Pläne für die Herausgabe von Passwörtern an Behörden beunruhigen Datenschützer und Netzaktivisten. Der Bundesdatenschutzbeauftragte Kelber sieht sogar den elektronischen Bankenverkehr gefährdet.

Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert in einer Stellungnahme zentrale Aspekte des geplanten Gesetzes zur Bekämpfung des Rechtsextremismus und der Hasskriminalität. In dem neunseitigen Papier (PDF) bezeichnet Kelber die geplanten Regelungen zur Herausgabe von Zugangsdaten und Passwörtern als "unverhältnismäßig". Seiner Ansicht nach kann verlangte Herausgabe "nicht umgesetzt werden, ohne von den Diensteanbietern zu verlangen, datenschutzrechtliche Vorgaben zu verletzen". Die Digitale Gesellschaft kritisiert in ihrer Stellungnahme die Pläne als "kontraproduktiv" und "verfassungswidrig".
- Passwortherausgabe: Bundesdatenschützer warnt vor Klartextspeicherung
- Wer hat Zugriff auf die Passwörter?
Mit dem Gesetz will die Bundesregierung alle Internetdienstleister zur umfassenden Kooperation mit den Ermittlungsbehörden und Geheimdiensten verpflichten. Demnach sollen alle Anbieter von Telemediendiensten, wozu Mailprovider, Medien, Forenbetreiber oder soziale Netzwerke zählen, dazu verpflichtet werden, auf Verlangen die Bestands- und Nutzungsdaten ihrer Nutzer herauszugeben. "Dies gilt auch für Bestandsdaten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird", heißt es in dem Gesetzesentwurf (PDF).
Klartextherausgabe nicht eindeutig geregelt
Doch die geplante Herausgabe von Passwörtern wird scharf kritisiert. Vor allem deshalb, weil Passwörter aus Datenschutzgründen nicht im Klartext gespeichert werden dürfen, sondern in der Regel als Hashwert in der Datenbank abgelegt werden. Dazu hatte das Bundesjustizministerium im Dezember 2019 erklärt: "Dass Staatsanwaltschaften Passwörter von Diensten herausverlangen, wird daher künftig nur in wenigen Fällen geboten sein, zum Beispiel wenn es um Terrorismusstraftaten geht und es eventuell Möglichkeiten gibt, die Passwörter mit sehr hohem technischem Aufwand zu entschlüsseln. Eine solche Pflicht für die Provider, Passwörter zu entschlüsseln, wenn Staatsanwaltschaften sie dazu auffordern, gibt es nicht und wird es auch künftig nicht geben."
Doch nach Ansicht Kelbers wird im geplanten Gesetz nicht geregelt, "ob sich aus der neuen Vorschrift für die Anbieter eine Pflicht ableiten lässt, nach der die Anbieter im Zweifel die Passwörter so im Klartext speichern müssen, dass sie diese im Falle einer behördlichen Anforderung herausgeben könnten". Zwar sei "richtigerweise zu folgern", dass es eine solche Pflicht nicht geben könne, doch es sei "allerdings auch denkbar, dass Strafverfolgungsbehörden in der Praxis eine andere Auffassung vertreten werden". Das würde "die Datensicherheit und den Datenschutz massiv konterkarieren", warnt Kelber.
Welche Daten müssen herausgegeben werden?
Darüber hinaus befürchtet der Bundesdatenschutzbeauftragte, dass Strafverfolgungsbehörden künftig die Herausgabe weiterer Daten erzwingen könnten, "die insbesondere brute-force-Entschlüsselungen der übermittelten Passwort-Hashes ermöglichen (z. B. Herausgabe des sog. Pepper-Wertes)". Auch dies könnte die Datensicherheit über den Einzelfall hinaus beeinträchtigen. So soll der Paragraf 14 des Telemediengesetzes (TMG) um die Formulierung ergänzt werden: "Für die Auskunftserteilung sind sämtliche unternehmensinternen Datenquellen zu berücksichtigen." Für Kelber ist daher unklar, ob sich die Vorschriften auch auf etwaige temporär gespeicherte Session-Cookies beziehen, mit denen sich Zugang erlangen lasse. Auch Sicherungs- oder Protokolldatenserver könnten für die Datenherausgabe einbezogen werden.
Durch die Pläne stelle sich zudem die Frage, ob die notwendige Sicherheit beim Bankenverkehr noch gewährleistet werden könne, schreibt Kelber. Da sich das Telemediengesetz nicht nur an Verbraucher richte, sei fraglich, "ob etwa Banken dann noch untereinander sicher kommunizieren könnten oder sich die Bundesrepublik aus dem elektronischen Bankenverkehr zurückziehen müsste".
Doch sind die Passwörter künftig sogar besser vor dem Zugriff der Behörden geschützt, weil dann ein Richter der Herausgabe zustimmen muss, wie das Bundesjustizministerium behauptet?
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Wer hat Zugriff auf die Passwörter? |
- 1
- 2
Eine richterliche Anordnung kann man wohl nicht als "Verlust" werten. Ein Provider muss...
Hasskriminalität hast Du vergessen! Ist jetzt neu auf dem Markt der dummen Wörter
Ich bin mal gespannt, ob sich der Dienstbetreiber da auch mit Geschäftsgeheimnissen...
Es würde schon reichen, wenn man die Dokupflicht umkehren würde (bei Hausdurchsuchung...
Indem über das "wie Herausgabe sicher ermöglichen" diskutiert wird, wird vermieden...