In den NachrichtenNerdkrams
Mit der DSGVO gegen Passworttotalitarismus

In vie­ler­lei Blogs ist der­zeit zu lesen, dass die Bundesregierung in Sachen EDV jetzt end­gül­tig die Grenze zum Unrechtsstaat über­schrit­ten habe:

In Deutschland soll es künf­tig eine kla­re Auflage für Anbieter von Telemediendiensten wie WhatsApp, Gmail, Facebook, Tinder & Co. geben, sen­si­ble Daten von Verdächtigen wie Passwörter und IP-Adressen an Sicherheitsbehörden herauszugeben.

Damit sei einer heim­li­chen Überwachung der pri­va­ten Lebensbereiche jedes Bürgers Tür und Tor geöff­net wor­den. Mitunter wird gar ange­nom­men, es sei fort­an ille­gal, Passwörter nicht im Klartext zu speichern.

Dabei ist das Gegenteil der Fall: Dass es seit Jahrzehnten nicht mehr dem Stand der Technik ent­spricht, Passwörter im Klartext zu spei­chern, hat zwar kaum jeman­den dar­an gehin­dert, es trotz­dem zu tun - aber die DSGVO hat und wird es. Gemäß Art. 32 DSGVO ist für eine Verschleierung des Passworts und der IP-Adressen zu sor­gen. Tut man das nicht, so wird es teuer.

Die Regierung stellt nun aber klar, dass Telemedienanbieter im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und IT-Sicherheitsbestimmungen Passwörter ver­schlüs­selt spei­chern müs­sen. Ermittler kön­nen also nur dar­auf hof­fen, dass Dienstleister die­se Vorschriften nicht befol­gen oder dass sie die vor­han­de­nen Hashwerte selbst mit hohem tech­ni­schen Aufwand ent­schlüs­seln können.

(Dass man Hashwerte nicht ent­schlüs­seln kann, weil sie nicht ver­schlüs­selt sind: Nebensache. Ist ja bloß EDV, da weiß man nicht viel drüber.)

Wer also dem Ansinnen der Verfasser des Gesetzesvorschlags ent­spricht und der Strafverfolgung - ganz bra­ver Bürger - Benutzerpasswörter lie­fert, der beweist dadurch sei­ne Missachtung gel­ten­den EU-Rechts. Die „Pflicht zur Passwortherausgabe“ könn­te inso­fern auch ein geschickt gemach­ter Trick von Juristen sein, sich mit Abmahnungen ein klei­nes Zubrot ver­die­nen zu kön­nen; oder ein wei­te­rer Eintrag auf der lan­gen Liste der myste­riö­sen Gründe dafür, war­um Deutschland sich als Digitalstandort zu behaup­ten kläg­lich scheitert.

Senfecke:

  1. Ich befürch­te, dass das Gesetz durch­aus auch dazu genutzt wer­den könn­te die Anbieter zu zwin­gen, etwa eine Funktion zu imple­men­tie­ren, die das Klartextpasswort beim näch­sten Login der zu über­wa­chen­den Person aus­lei­tet, bevor der Hash abge­gli­chen wird.
    Ähnlich wie bei dem E-Mail-Anbieter, der auch nicht Ende-zu-Ende-ver­schlüs­sel­te Mails sei­ner Kunden direkt nach dem Empfang für sie ver­schlüs­sel­te, der wur­de auch gezwun­gen ent­spre­chend vor der Verschlüsselung die Mails auszuleiten:
    https://www.heise.de/newsticker/meldung/Gerichtsurteil-Sicherer-E-Mail-Dienst-Tutanota-muss-Kundendaten-preisgeben-4584435.html
    Dagegen könn­te man zwar auch schon irgend­was mit JavaScript basteln, damit die Passwörter schon beim Nutzer das erste mal gehasht wer­den, aber das hilft letzt­end­lich auch nicht, weil der Anbieter ja den Code aus­lie­fert und der dann zwangs­wei­se umge­schrie­ben wer­den könnte.
    Bliebe nur Public-Key-Authentication.

    Wenn man einen Passwortmanager nutzt oder es sonst irgend­wie hin­be­kommt über­all indi­vi­du­el­le Passwörter zu ver­wen­den ist die Kenntnis des Passworts für Behörden sowie­so weit­ge­hend nutz­los, denn das was sie damit abru­fen kön­nen wür­den sie eh über den Anbieter abfra­gen können.
    Die Ausweitung des NetzDG ist den­noch völ­lig inak­zep­ta­bel, ich blei­be dabei: Das Netzwerkdurchsetzungsgesetz gehört rest­los wie­der abgeschafft.

    • Zum letz­ten Teil dei­ner Antwort klar d‘accord. Der Rest ist Spekulation - und ich bin mir auch nicht sicher, ob ein „Ausleiten“ nicht der DSGVO wider­sprä­che. Hat da schon mal jemand Genaueres gelesen?

  2. Ich lese die Aufforderung ja anders:

    Selbst wenn das Nutzerpasswort nach allen Regeln der Kunst gespei­chert wird (PBKDF2, bcrypt oder Argon2). An genau einem Punkt wird es immer im Klartext über­mit­telt, und zwar beim Login (wenn auch über eine ver­schlüs­sel­te Leitung).

    Bei von Behörden geflagg­ten usern könn­ten die Anbieter also beim näch­sten Login das PW für die Behörden „abgrei­fen“ und wären damit ver­mut­lich immer noch DSGVO-kon­form. In moder­nen System kann man die Userpasswörter eh flag­gen, um sie z.B. für ein erneu­tes Hashen zu mar­kie­ren, weil man den Hashing-Algorithmus geän­dert hat oder die Anzahl der Iterationen erhöht hat. Da lie­ssen sich dann sicher auch leicht „Behörden-Flags“ set­zen. Anbieter hät­ten Behörden gegen­über also wenig Ausreden.

:) 
:D 
:( 
:o 
8O 
:? 
8) 
:lol: 
:x 
:aufsmaul: 
mehr...
 

Erlaubte Tags:
<strong> <em> <pre> <code> <a href="" title=""> <img src="" title="" alt=""> <blockquote> <q> <b> <i> <del> <span style=""> <strike>

Datenschutzhinweis: Ihre IP-Adresse wird nicht gespeichert. Details finden Sie hier.

Senf hinzufügen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Du willst deinen Senf dazugeben, dir ist aber der Senf ausgegangen? Dann nutz den SENFOMATEN! Per einfachem Klick kannst du fertigen Senf in das Kommentarfeld schmieren, nur dazugeben musst du ihn noch selbst.