frank
Goto Top

Zum Thema: Bundesministerium plant Passwort-Abfrage per Gesetz

Aktuell wird heftig über den Referentenentwurf für ein Gesetz zur Bekämpfung von Rechtsextremismus und Hasskriminalität im Internet diskutiert. Im Referentenentwurf heißt es z.B.:

Dennoch ist das Auskunftsverfahren im Telemediengesetz bisher nur rudimentär geregelt. Insbesondere fehlen Regelungen zur Auskunft anhand von IP-Adressen, zur Abfrage von Passwörtern, zur Vertraulichkeit der Auskunft und zur Form des Auskunftsersuchens.

Bei den aktuellen Diskussionen wird aber ein wichtiger Punkt komplett vergessen: Welches Internet-Portal speichert denn die Passwörter noch im Klartext? Aus Sicherheitsgründen darf das eigentlich keiner mehr. Was sollen die Portale herausgeben? Den verschlüsselten Hash des Passworts?

Ein super Beispiel, dass die Unwissenheit der Politiker Diskussionen auslösen, die komplett an der Realität vorbei gehen. Will uns die Politik in Zukunft dazu zwingen, Passwörter wieder im Klartext zu speichern? Das wiederum würde aber gegen die aktuelle Datenschutz-Grundverordnung DSGVO verstoßen! Siehe dazu:

Das LfDI Baden-Württemberg hat mit Bescheid vom 21.11.2018 gegen einen Social-Media-Anbieter eine Geldbuße in Höhe von 20.000,- Euro verhängt. Grund ist laut Pressemitteilung des LfDI ein eklatanter Verstoß des Unternehmens gegen seine Pflicht, für die Sicherheit der Datenverarbeitung zu sorgen: Man hatte Kundenpasswörter im Klartext gespeichert.

Großes Kopfschütteln

Gruß
Frank

Content-Key: 527323

Url: https://administrator.de/contentid/527323

Printed on: February 24, 2024 at 01:02 o'clock

Member: BassFishFox
BassFishFox Dec 19, 2019 at 12:06:36 (UTC)
Goto Top
Hi,

https://www.bundestag.de/dokumente/textarchiv/2019/kw51-de-aktuelle-stun ...

So soll es wohl laufen.

Ministerin Christine Lambrecht (SPD)

Sie halte jedoch an der Datenschutzgrundverordnung fest, so Lambrecht, wonach Diensteanbieter Passwörter verschlüsselt speichern müssen. Als Anwendungsbeispiel nannte sie Ermittlungen gegen Terrorverdächtige, wo die Chance bestehe, ein Passwort mit extrem hohen Aufwand zu entschlüsseln.

Warum besteht bei Ermittlungen gegen "Terrorversdaechtige" die Chance ein Passwort zu entschluesseln?
Irgendwie kommt mir das Ganze sehr krank vor.

BFF
Member: Frank
Frank Dec 19, 2019 updated at 16:49:05 (UTC)
Goto Top
ein Passwort mit extrem hohen Aufwand zu entschlüsseln. ..

Verschlüsselt man zusätzlich den One-Way-Hash wars das theoretisch mit der Idee, die Passwörter zu entschlüsseln. Das zu knacken traue ich keiner deutschen Institution zu.

Das Thema mit den Passwörtern lenkt leider von der eigentlich gute Idee, etwas gegen Hass und Terror im Internet zu machen, ab. Warum fragen die Ersteller solcher Ideen vorher nicht die IT-Pros nach Machbarkeit? Die müssen doch auch ein paar vernünftige Menschen mit IT-Kenntnissen oder Hintergrund in ihren Bereichen haben.

Gruß
Frank
Member: BassFishFox
BassFishFox Dec 19, 2019 updated at 12:45:25 (UTC)
Goto Top
Warum die nicht fragen?

1. Seit wann fragt ein Politiker?
2. Die haben zu viele Filme gesehen aka Mr. Robot.
3. Eigentlich wollen die per default auf jedem Geraet eh den Bundestrojaner. Der sendet das Passwort im Klartext bevor es verschluesselt beim Provider landet.

Warum hab ich nur das Gefuehl, dass 3. das wahre Ziel ist.

Gruss und frohe Weihnacht.

BFF
Member: Lochkartenstanzer
Lochkartenstanzer Dec 19, 2019 updated at 13:28:02 (UTC)
Goto Top
Zitat von @Frank:

Warum fragen die Ersteller solcher Ideen vorher nicht die IT-Pros nach Machbarkeit?

Weil das hauptsächlich nichtsnutzige Juristen und andere "Geisteswissenschaftler" sind, die der Meinung sind, nur sie hätten die Weisheit mit Löffeln gefressen.

Bei Juristen steht eigentlich immer im Vordergrund irgendeinem immer den schwarzen Peter zuzuschieben, egal ob derjenige faktisch für irgendein Vergehen verantwortlich ist oder nicht.

lks
Member: Windows10Gegner
Windows10Gegner Dec 19, 2019 at 15:52:40 (UTC)
Goto Top
Die hat halt NULL Ahnung wie das funktioniert und will es regulieren.
Member: StefanKittel
StefanKittel Dec 19, 2019 at 16:54:57 (UTC)
Goto Top
Moin,

PKI
Du bekommst von "Denen" einen öffentlichen Schlüssel und verschlüsselt das Kennwort im Klartext und verschicksts es an "Die".
Zusammen mit Meta-Informationen wie Name, Email, IP und Alles was man sonst noch so hat. Das können "Die" dann mit deren privaten Schlüssel entschlüsseln.

Und dann macht sich Jemand eine Kopie und die ganze Republik liegt ihm zu Füßen.

Stefan
Member: Frank
Frank Dec 19, 2019 updated at 18:27:46 (UTC)
Goto Top
Hi,

das ändert aber nichts an der Tatsache, dass das jeweilige Internet-Portal das original Passwort im Klartext nicht gespeichert hat. Das darf man ja nach DSGVO nicht mehr! Bei uns z.B. wird nur das verschlüsselte One-Way-Hash gespeichert und beim Login verglichen.

Da ist mir der öffentlichen Schlüssel der Behörde ganz egal, ich könnte ihnen einfach nichts geben. Es sei denn sie wollen sich an dem verschlüsselten One-Way-Hash versuchen. Der sollte theoretisch aber noch einige hundert Jahre halten. Es sei denn Googles Quanten-Rechner wird für die Behörden erschwinglich face-wink

Gruß
Frank
Member: StefanKittel
StefanKittel Dec 19, 2019 at 17:34:26 (UTC)
Goto Top
Dann muss halt Jeder Nutzer ein neues Kennwort vergeben...
Nein, ich finde das auch nicht witzig. Das ist eher Galgenhumor...

Gut dass ich für JEDEN Dienst ein eigenes Kennwort habe.
Member: Lochkartenstanzer
Lochkartenstanzer Dec 19, 2019 updated at 18:28:36 (UTC)
Goto Top
Zitat von @Frank:

Da ist mir der öffentlichen Schlüssel der Behörde ganz egal, ich könnte ihnen einfach nichts geben.

Doch.

Du bekommst ja beim Einloggen das Klartextpaßwort, um daraus den hash zu bilden. Beim erfolgreichm Einloggen weißt Du, daß das das passende Paßwort ist und müsstest es dann übermitteln. D h. Du könntest Dich nicht damit rausreden, daß Du das Paßwort nicht hast.

lks
Member: Lochkartenstanzer
Lochkartenstanzer Dec 19, 2019 at 18:30:00 (UTC)
Goto Top
Zitat von @StefanKittel:

Gut dass ich für JEDEN Dienst ein eigenes Kennwort habe.

/me2

und eine andere Mailadresse.

lks
Member: falscher-sperrstatus
falscher-sperrstatus Dec 19, 2019 at 18:43:09 (UTC)
Goto Top
Member: beidermachtvongreyscull
beidermachtvongreyscull Dec 19, 2019 at 21:13:14 (UTC)
Goto Top
Hi,

das generelle Problem ist aus meiner Sicht eher, ob Kontodaten rein der Autentifizierung dienen oder/und auch der Verschlüsselung.

Die große Welle, die da teilweise gebrochen wird ist für mich nicht nachvollziehbar, zumal eine "Passwort vergessen"-option schon ausreicht, um einen Kontozugriff wieder zu ermöglichen.

Warum also entschlüsseln, wenn es auch so möglich sein kann?

Wenn es um verschlüsselte und schützenswerte Inhalte geht, dann wird es interessant für mich.

Gruß,
bdmvg
Member: UweGri
UweGri Dec 19, 2019 at 22:11:17 (UTC)
Goto Top
Mal gefragt, welche Dinge sind über das Internet erreichbar (Facebook, WA, Konto, PayPal usw.), wo nicht der Betreiber eh dem Staat als Infos liefern kann und muss?

Wer sich brauchbar anonym, so zur freien Meinungsäußerung, im Netz bewegen will, wird TAILS, Tor und freies WLAN nutzen.
Member: irgendwas-mit-it
irgendwas-mit-it Dec 20, 2019 at 08:51:24 (UTC)
Goto Top
Moin

ich sehe das so: Es geht nicht darum 'alle passwörter' zu bekommen, so wie sich ein Laie das vorstellt sondern um einen Admin-User für Behörden auf jeder Platform. Am besten noch mit einheitlichen Rest-API zum leichteren automatisieren.

Und das wollen wir nicht - Es ist schon okay wenn Behörden die ID EINES Users vom Betreiber bekommen aber nur mit richterlichen Beschluss vorher - Aber Massenüberwachung ? Nee danke, lass mal stecken.
Member: SayanMayt
SayanMayt Dec 20, 2019 at 11:49:38 (UTC)
Goto Top
Hab Mal eine andere Frage
Was ist mit Seiten oder Diensten die dem biometrische Dienst benutzen als anmelde Daten?
Also wie soll man ein Fingerabdruck als Klartext speichern?
Member: Lochkartenstanzer
Lochkartenstanzer Dec 20, 2019 at 11:55:39 (UTC)
Goto Top
Zitat von @SayanMayt:

Hab Mal eine andere Frage
Was ist mit Seiten oder Diensten die dem biometrische Dienst benutzen als anmelde Daten?
Also wie soll man ein Fingerabdruck als Klartext speichern?

Man speichert einfach die Merkmale als "Klartext". Solange keine Lebenderkennung und ein zeitstempel verwendet wird und der Fingerabdruckscanner nicht direkt verschlüsselt mit dem Diensdt kommuniziert ist das überhaupt kein Problem einen Client so z upräparieren, daß er den passenden Fingerabdruck schickt.

Aber die Politiker denken viel zu kompliziert. Um an die Daten zu kommen, müssen sie dem Dienst einfach nur ein passenden Wisch vom Richter vor die Nase halten. Auch beim jetzigen Stand der Gesetze.

lks
Member: SayanMayt
SayanMayt Dec 20, 2019 at 12:19:55 (UTC)
Goto Top
Heut zu Tage weird doch verschlüsselt,
Also ich meine hier der ganze Mail Verkehr oder Chat Verkehr so das sogar der Besitzer der Plattform nicht mehr auch dem Konversation Verlauf zugreifen kann.
Ich denke die versuchen die ganze Chat/Mail Verschlüsselungen zu umgehen und direkt auf die acc zu zugreifen.

Weil jetze der whats App Chat ist doch end zu Ende verschlüsselt so das der Dienstanbieter selbst kann nicht sehen was da drin geschrieben wird.

Ist nur meine Meinung
Aber danke für die Aufklärung mit dem Finger Abdruck weil ich dachte der wird gehascht
Member: Lochkartenstanzer
Lochkartenstanzer Dec 20, 2019 at 12:23:51 (UTC)
Goto Top
Zitat von @SayanMayt:

Weil jetze der whats App Chat ist doch end zu Ende verschlüsselt so das der Dienstanbieter selbst kann nicht sehen was da drin geschrieben wird.

Das sagt Dir facebook. Aber ich glaube denen nicht, wenn sie sagen sue könnten selbst nicht drauf zugreifen, denn sie haben die Kontrolle über die Clients.

Ist nur meine Meinung
Aber danke für die Aufklärung mit dem Finger Abdruck weil ich dachte der wird gehascht

Der kann durchaus gehasht sein. Aber was hindert den Anbieter daran, beim Anmelden den "Klartext" mit abzupeichern, wenn die Behörden ihn dazu aufgefordert haben?

lks
Member: Frank
Frank Dec 20, 2019 updated at 13:06:56 (UTC)
Goto Top
Der kann durchaus gehasht sein. Aber was hindert den Anbieter daran, beim Anmelden den "Klartext" mit abzupeichern, wenn die Behörden ihn dazu aufgefordert haben?

Die DSGVO, die sagt, dass man keine Passwörter oder auch persönliche Merkmale im Klartext speichern darf. Laut Gesetz, darf man kein Verbrechen mit einem Verbrechen bekämpfen bzw. einer illegalen Aktivität aufklären. Das ist, mit Verlaub, vor Gericht nicht haltbar und als Beweismittel wird es in der Regeln nicht zugelassen. Darauf kann sich jeder Seitenbetreiber beziehen.

Du bekommst ja beim Einloggen das Klartextpaßwort, um daraus den hash zu bilden.

Klar hat das System für eine Millisekunde das Klartextpasswort, die Systeme dürfen es aber nicht speichern (es folgen hohe Geldstrafen, wenn man es doch tut, siehe DSGVO). Wenn dann die Anfrage der Bundesregierung kommt, hat der Betreiber das Passwort in der Regel nicht.

Das das Gesetz einen genereller Zugang zum System haben will, sehe ich in dem Entwurf nicht. Er beschränkt sich auf Angaben von persönlichen Daten (IP, Name, Adresse, Passwort etc.) über User, keinen Generalzugriff.

Die Frage ist doch eher, welches Gesetz überwiegt: Die Interessen der DSGVO oder der des aktuellen Entwurfs. Laut Ministerin Christine Lambrecht von der einstigen Volkspartei SPD wollen sie ja das verschlüsselte Passwort haben und die DSGVO soll eingehalten werden. Daher dreht sich die Diskussion im Kreis.


Gruß
Frank
Member: falscher-sperrstatus
falscher-sperrstatus Dec 20, 2019 at 13:34:05 (UTC)
Goto Top
Die DSGVO, die sagt, dass man keine Passwörter oder auch persönliche Merkmale im Klartext speichern darf. Laut Gesetz, darf man kein
Verbrechen mit einem Verbrechen bekämpfen bzw. einer illegalen Aktivität aufklären. Das ist, mit Verlaub, vor Gericht nicht haltbar und als
Beweismittel wird es in der Regeln nicht zugelassen. Darauf kann sich jeder Seitenbetreiber beziehen.

Schau dir mal die DS-GVO an, wenn es um den Bereich staatlicher Zugriff geht, die DS-GVO gilt nicht für das FA, es gilt nicht für die GEZ, es gilt nicht für.... ;)

(Bin kein Jurist, man nehme sich selbst die entsprechenden Stellen - ich vermute, mit dem Argument kommst du nicht durch, wenn man dich dazu verpflichtet musst du wohl umstellen - oder anderweitig Abhilfe schaffen)
Member: Frank
Frank Dec 20, 2019 updated at 14:19:39 (UTC)
Goto Top
@@falscher-sperrstatus

die DSGVO gilt für mich als Seitenbetreiber im vollen Umfang. Es geht um Datenschutz und ich habe keine Regelung gefunden, die andere Stellen dazu ermächtigt, ihnen Zugriff auf persönliche Informationen von uns zu geben. Das das FA oder die GEZ von Regelungen der DSGVO ausgenommen sind, kann sein, betreffen uns aber nicht.

Auch finde ich im jetzt diskutieren "Referentenentwurf für ein Gesetz zur Bekämpfung von Rechtsextremismus und Hasskriminalität im Internet" keine Stelle, wo ich sozusagen "zukünftig" Verpflichtet werde. Es geht da Hauptsächlich um eine aktuelle Auskunftspflicht und nicht, dass ich mit technischen Möglichkeiten einen zukünftigen Zugriff speichern soll. Das wäre aber der Fall, wenn ich eine Anordnung für die zukünftige Speicherung für ein Klartext-Passwort bekommen würde.

Sollten sie wirklich (noch) eine Verpflichtung einbauen, müssten sie uns rechtlich von der DSGVO für den jeweiligen Fall befreien, was ich so aber bisher nicht gelesen habe. Das ist auch rechtlich sehr aufwendig und bisher wohl nicht Bestandteil des Referentenentwurfs.

Gruß
Frank
Member: falscher-sperrstatus
falscher-sperrstatus Dec 20, 2019 at 14:33:14 (UTC)
Goto Top
Sollten sie wirklich (noch) eine Verpflichtung einbauen, müssten sie uns rechtlich von der DSGVO für den jeweiligen Fall befreien, was ich so
aber bisher nicht gelesen habe. Das ist auch rechtlich sehr aufwendig und bisher wohl nicht Bestandteil des Referentenentwurfs.

Nunja, ich sehe dies vielleicht bereits etwas "spätfolgenabschätzend", wie es so schön in DSGVO Sprech heisst so, dass dies kommen wird. Wie einfach oder wie schwer...naja, tun werden Sie es.
Member: Frank
Frank Dec 20, 2019 at 16:42:13 (UTC)
Goto Top
Nunja, ich sehe dies vielleicht bereits etwas "spätfolgenabschätzend", wie es so schön in DSGVO Sprech heisst so, dass dies kommen wird. Wie einfach oder wie schwer...naja, tun werden Sie es.

Nein, das glaube ich nicht. Für eine Demokratie wäre das zu hart. Soweit gehen auch unsere Politiker nicht.

Gruß
Frank