In den NachrichtenNerdkrams
Mit der DSGVO gegen Passworttotalitarismus

In vielerlei Blogs ist derzeit zu lesen, dass die Bundesregierung in Sachen EDV jetzt endgültig die Grenze zum Unrechtsstaat überschritten habe:

In Deutschland soll es künftig eine klare Auflage für Anbieter von Telemediendiensten wie WhatsApp, Gmail, Facebook, Tinder & Co. geben, sensible Daten von Verdächtigen wie Passwörter und IP-Adressen an Sicherheitsbehörden herauszugeben.

Damit sei einer heimlichen Überwachung der privaten Lebensbereiche jedes Bürgers Tür und Tor geöffnet worden. Mitunter wird gar angenommen, es sei fortan illegal, Passwörter nicht im Klartext zu speichern.

Dabei ist das Gegenteil der Fall: Dass es seit Jahrzehnten nicht mehr dem Stand der Technik entspricht, Passwörter im Klartext zu speichern, hat zwar kaum jemanden daran gehindert, es trotzdem zu tun – aber die DSGVO hat und wird es. Gemäß Art. 32 DSGVO ist für eine Verschleierung des Passworts und der IP-Adressen zu sorgen. Tut man das nicht, so wird es teuer.

Die Regierung stellt nun aber klar, dass Telemedienanbieter im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und IT-Sicherheitsbestimmungen Passwörter verschlüsselt speichern müssen. Ermittler können also nur darauf hoffen, dass Dienstleister diese Vorschriften nicht befolgen oder dass sie die vorhandenen Hashwerte selbst mit hohem technischen Aufwand entschlüsseln können.

(Dass man Hashwerte nicht entschlüsseln kann, weil sie nicht verschlüsselt sind: Nebensache. Ist ja bloß EDV, da weiß man nicht viel drüber.)

Wer also dem Ansinnen der Verfasser des Gesetzesvorschlags entspricht und der Strafverfolgung – ganz braver Bürger – Benutzerpasswörter liefert, der beweist dadurch seine Missachtung geltenden EU-Rechts. Die „Pflicht zur Passwortherausgabe“ könnte insofern auch ein geschickt gemachter Trick von Juristen sein, sich mit Abmahnungen ein kleines Zubrot verdienen zu können; oder ein weiterer Eintrag auf der langen Liste der mysteriösen Gründe dafür, warum Deutschland sich als Digitalstandort zu behaupten kläglich scheitert.

Senfecke:

  1. Ich befürchte, dass das Gesetz durchaus auch dazu genutzt werden könnte die Anbieter zu zwingen, etwa eine Funktion zu implementieren, die das Klartextpasswort beim nächsten Login der zu überwachenden Person ausleitet, bevor der Hash abgeglichen wird.
    Ähnlich wie bei dem E-Mail-Anbieter, der auch nicht Ende-zu-Ende-verschlüsselte Mails seiner Kunden direkt nach dem Empfang für sie verschlüsselte, der wurde auch gezwungen entsprechend vor der Verschlüsselung die Mails auszuleiten:
    https://www.heise.de/newsticker/meldung/Gerichtsurteil-Sicherer-E-Mail-Dienst-Tutanota-muss-Kundendaten-preisgeben-4584435.html
    Dagegen könnte man zwar auch schon irgendwas mit JavaScript basteln, damit die Passwörter schon beim Nutzer das erste mal gehasht werden, aber das hilft letztendlich auch nicht, weil der Anbieter ja den Code ausliefert und der dann zwangsweise umgeschrieben werden könnte.
    Bliebe nur Public-Key-Authentication.

    Wenn man einen Passwortmanager nutzt oder es sonst irgendwie hinbekommt überall individuelle Passwörter zu verwenden ist die Kenntnis des Passworts für Behörden sowieso weitgehend nutzlos, denn das was sie damit abrufen können würden sie eh über den Anbieter abfragen können.
    Die Ausweitung des NetzDG ist dennoch völlig inakzeptabel, ich bleibe dabei: Das Netzwerkdurchsetzungsgesetz gehört restlos wieder abgeschafft.

    • Zum letzten Teil deiner Antwort klar d‘accord. Der Rest ist Spekulation – und ich bin mir auch nicht sicher, ob ein „Ausleiten“ nicht der DSGVO widerspräche. Hat da schon mal jemand Genaueres gelesen?

  2. Ich lese die Aufforderung ja anders:

    Selbst wenn das Nutzerpasswort nach allen Regeln der Kunst gespeichert wird (PBKDF2, bcrypt oder Argon2). An genau einem Punkt wird es immer im Klartext übermittelt, und zwar beim Login (wenn auch über eine verschlüsselte Leitung).

    Bei von Behörden geflaggten usern könnten die Anbieter also beim nächsten Login das PW für die Behörden „abgreifen“ und wären damit vermutlich immer noch DSGVO-konform. In modernen System kann man die Userpasswörter eh flaggen, um sie z.B. für ein erneutes Hashen zu markieren, weil man den Hashing-Algorithmus geändert hat oder die Anzahl der Iterationen erhöht hat. Da liessen sich dann sicher auch leicht „Behörden-Flags“ setzen. Anbieter hätten Behörden gegenüber also wenig Ausreden.

:) 
:D 
:( 
:o 
8O 
:? 
8) 
:lol: 
:x 
:aufsmaul: 
:P 
:ups: 
:cry: 
:evil: 
:twisted: 
mehr...
 

Erlaubte Tags:
<strong> <em> <pre> <code> <a href="" title=""> <img src="" title="" alt=""> <blockquote> <q> <b> <i> <del> <span style=""> <strike>

Datenschutzhinweis: Ihre IP-Adresse wird nicht gespeichert. Details finden Sie hier.

Senf hinzufügen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Du willst deinen Senf dazugeben, dir ist aber der Senf ausgegangen? Dann nutz den SENFOMATEN! Per einfachem Klick kannst du fertigen Senf in das Kommentarfeld schmieren, nur dazugeben musst du ihn noch selbst.