Mit der DSGVO gegen Passworttotalitarismus

In vielerlei Blogs ist derzeit zu lesen, dass die Bundesregierung in Sachen EDV jetzt endgültig die Grenze zum Unrechtsstaat überschritten habe:

In Deutschland soll es künftig eine klare Auflage für Anbieter von Telemediendiensten wie WhatsApp, Gmail, Facebook, Tinder & Co. geben, sensible Daten von Verdächtigen wie Passwörter und IP-Adressen an Sicherheitsbehörden herauszugeben.

Damit sei einer heimlichen Überwachung der privaten Lebensbereiche jedes Bürgers Tür und Tor geöffnet worden. Mitunter wird gar angenommen, es sei fortan illegal, Passwörter nicht im Klartext zu speichern.

Dabei ist das Gegenteil der Fall: Dass es seit Jahrzehnten nicht mehr dem Stand der Technik entspricht, Passwörter im Klartext zu speichern, hat zwar kaum jemanden daran gehindert, es trotzdem zu tun – aber die DSGVO hat und wird es. Gemäß Art. 32 DSGVO ist für eine Verschleierung des Passworts und der IP-Adressen zu sorgen. Tut man das nicht, so wird es teuer.

Die Regierung stellt nun aber klar, dass Telemedienanbieter im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und IT-Sicherheitsbestimmungen Passwörter verschlüsselt speichern müssen. Ermittler können also nur darauf hoffen, dass Dienstleister diese Vorschriften nicht befolgen oder dass sie die vorhandenen Hashwerte selbst mit hohem technischen Aufwand entschlüsseln können.

(Dass man Hashwerte nicht entschlüsseln kann, weil sie nicht verschlüsselt sind: Nebensache. Ist ja bloß EDV, da weiß man nicht viel drüber.)

Wer also dem Ansinnen der Verfasser des Gesetzesvorschlags entspricht und der Strafverfolgung – ganz braver Bürger – Benutzerpasswörter liefert, der beweist dadurch seine Missachtung geltenden EU-Rechts. Die „Pflicht zur Passwortherausgabe“ könnte insofern auch ein geschickt gemachter Trick von Juristen sein, sich mit Abmahnungen ein kleines Zubrot verdienen zu können; oder ein weiterer Eintrag auf der langen Liste der mysteriösen Gründe dafür, warum Deutschland sich als Digitalstandort zu behaupten kläglich scheitert.

Senfecke:

Ich befürchte, dass das Gesetz durchaus auch dazu genutzt werden könnte die Anbieter zu zwingen, etwa eine Funktion zu implementieren, die das Klartextpasswort beim nächsten Login der zu überwachenden Person ausleitet, bevor der Hash abgeglichen wird.
Ähnlich wie bei dem E‑Mail-Anbieter, der auch nicht Ende-zu-Ende-verschlüsselte Mails seiner Kunden direkt nach dem Empfang für sie verschlüsselte, der wurde auch gezwungen entsprechend vor der Verschlüsselung die Mails auszuleiten:
https://www.heise.de/newsticker/meldung/Gerichtsurteil-Sicherer-E-Mail-Dienst-Tutanota-muss-Kundendaten-preisgeben-4584435.html
Dagegen könnte man zwar auch schon irgendwas mit JavaScript basteln, damit die Passwörter schon beim Nutzer das erste mal gehasht werden, aber das hilft letztendlich auch nicht, weil der Anbieter ja den Code ausliefert und der dann zwangsweise umgeschrieben werden könnte.
Bliebe nur Public-Key-Authentication.

Wenn man einen Passwortmanager nutzt oder es sonst irgendwie hinbekommt überall individuelle Passwörter zu verwenden ist die Kenntnis des Passworts für Behörden sowieso weitgehend nutzlos, denn das was sie damit abrufen können würden sie eh über den Anbieter abfragen können.
Die Ausweitung des NetzDG ist dennoch völlig inakzeptabel, ich bleibe dabei: Das Netzwerkdurchsetzungsgesetz gehört restlos wieder abgeschafft.

tux0r

19. Februar 2020 at 21:18

Zum letzten Teil deiner Antwort klar d‘accord. Der Rest ist Spekulation – und ich bin mir auch nicht sicher, ob ein „Ausleiten“ nicht der DSGVO widerspräche. Hat da schon mal jemand Genaueres gelesen?

Ich lese die Aufforderung ja anders:

Selbst wenn das Nutzerpasswort nach allen Regeln der Kunst gespeichert wird (PBKDF2, bcrypt oder Argon2). An genau einem Punkt wird es immer im Klartext übermittelt, und zwar beim Login (wenn auch über eine verschlüsselte Leitung).

Bei von Behörden geflaggten usern könnten die Anbieter also beim nächsten Login das PW für die Behörden „abgreifen“ und wären damit vermutlich immer noch DSGVO-konform. In modernen System kann man die Userpasswörter eh flaggen, um sie z.B. für ein erneutes Hashen zu markieren, weil man den Hashing-Algorithmus geändert hat oder die Anzahl der Iterationen erhöht hat. Da liessen sich dann sicher auch leicht „Behörden-Flags“ setzen. Anbieter hätten Behörden gegenüber also wenig Ausreden.

tux0r

20. Februar 2020 at 14:15

wären damit vermutlich immer noch DSGVO-konform

Inwiefern ist das „Abgreifen“ und Ausliefern von Logindaten DSGVO-konform durchführbar?

Matthias

21. Februar 2020 at 13:28

Die DSGVO regelt in dem Fall, wie die Login-Daten gespeichert werden. Sie regelt nicht ob die Polizei Loginvorgänge „abhört“, hätte also mit dem ganzen Thema gar nichts mehr zu tun, wenn du Behörden das so machen, wie ich befürchte.
Ar

22. Februar 2020 at 19:41

Wenn Du ein „berechtigtes Interesse“ hast, kannst Du ziemlich viel Unsinn treiben und Dein Vorgehen kann EU-DSGVO konform bleiben.
-> https://www.datenschutzbeauftragter-info.de/was-ist-eigentlich-dieses-berechtigte-interesse/
Zusätzlich gibt es bei bei (Rechts-)Konflikten die Abwägung: https://portal.dnb.de/opac.htm?method=simpleSearch&cqlMode=true&query=nid%3D4141183‑3
-> Ich bin kein Jurist, vermute aber dass die Legislative die Abwägung nicht für jeden Einzelfall vornehmen wird, sondern nach Prüfung durch verschiedene Instanzen, eine ?Rechtsvorschrift/-norm? entsteht.

Ich finde EU-DSGVO/GDPR auch toll – aber es ist leider nicht geeignet jeden Unsinn anzuwehren.

Comments are closed.

mehr …

Erlaubte Tags:
 <pre> <code> <a href="" title=""> <img src="" title="" alt=""> <blockquote> <q> <del> <tt> <strike>

Datenschutzhinweis: Deine IP-Adresse wird nicht gespeichert. Details findest du hier.

s3sebastian

19. Februar 2020 at 20:43

Ich befürchte, dass das Gesetz durchaus auch dazu genutzt werden könnte die Anbieter zu zwingen, etwa eine Funktion zu implementieren, die das Klartextpasswort beim nächsten Login der zu überwachenden Person ausleitet, bevor der Hash abgeglichen wird.
Ähnlich wie bei dem E‑Mail-Anbieter, der auch nicht Ende-zu-Ende-verschlüsselte Mails seiner Kunden direkt nach dem Empfang für sie verschlüsselte, der wurde auch gezwungen entsprechend vor der Verschlüsselung die Mails auszuleiten:
https://www.heise.de/newsticker/meldung/Gerichtsurteil-Sicherer-E-Mail-Dienst-Tutanota-muss-Kundendaten-preisgeben-4584435.html
Dagegen könnte man zwar auch schon irgendwas mit JavaScript basteln, damit die Passwörter schon beim Nutzer das erste mal gehasht werden, aber das hilft letztendlich auch nicht, weil der Anbieter ja den Code ausliefert und der dann zwangsweise umgeschrieben werden könnte.
Bliebe nur Public-Key-Authentication.

Wenn man einen Passwortmanager nutzt oder es sonst irgendwie hinbekommt überall individuelle Passwörter zu verwenden ist die Kenntnis des Passworts für Behörden sowieso weitgehend nutzlos, denn das was sie damit abrufen können würden sie eh über den Anbieter abfragen können.
Die Ausweitung des NetzDG ist dennoch völlig inakzeptabel, ich bleibe dabei: Das Netzwerkdurchsetzungsgesetz gehört restlos wieder abgeschafft.

Matthias

20. Februar 2020 at 13:38

Ich lese die Aufforderung ja anders:

Selbst wenn das Nutzerpasswort nach allen Regeln der Kunst gespeichert wird (PBKDF2, bcrypt oder Argon2). An genau einem Punkt wird es immer im Klartext übermittelt, und zwar beim Login (wenn auch über eine verschlüsselte Leitung).

Bei von Behörden geflaggten usern könnten die Anbieter also beim nächsten Login das PW für die Behörden „abgreifen“ und wären damit vermutlich immer noch DSGVO-konform. In modernen System kann man die Userpasswörter eh flaggen, um sie z.B. für ein erneutes Hashen zu markieren, weil man den Hashing-Algorithmus geändert hat oder die Anzahl der Iterationen erhöht hat. Da liessen sich dann sicher auch leicht „Behörden-Flags“ setzen. Anbieter hätten Behörden gegenüber also wenig Ausreden.