Zum Thema: Bundesministerium plant Passwort-Abfrage per Gesetz
Aktuell wird heftig über den Referentenentwurf für ein Gesetz zur Bekämpfung von Rechtsextremismus und Hasskriminalität im Internet diskutiert. Im Referentenentwurf heißt es z.B.:
Bei den aktuellen Diskussionen wird aber ein wichtiger Punkt komplett vergessen: Welches Internet-Portal speichert denn die Passwörter noch im Klartext? Aus Sicherheitsgründen darf das eigentlich keiner mehr. Was sollen die Portale herausgeben? Den verschlüsselten Hash des Passworts?
Ein super Beispiel, dass die Unwissenheit der Politiker Diskussionen auslösen, die komplett an der Realität vorbei gehen. Will uns die Politik in Zukunft dazu zwingen, Passwörter wieder im Klartext zu speichern? Das wiederum würde aber gegen die aktuelle Datenschutz-Grundverordnung DSGVO verstoßen! Siehe dazu:
Großes Kopfschütteln
Gruß
Frank
Dennoch ist das Auskunftsverfahren im Telemediengesetz bisher nur rudimentär geregelt. Insbesondere fehlen Regelungen zur Auskunft anhand von IP-Adressen, zur Abfrage von Passwörtern, zur Vertraulichkeit der Auskunft und zur Form des Auskunftsersuchens.
Bei den aktuellen Diskussionen wird aber ein wichtiger Punkt komplett vergessen: Welches Internet-Portal speichert denn die Passwörter noch im Klartext? Aus Sicherheitsgründen darf das eigentlich keiner mehr. Was sollen die Portale herausgeben? Den verschlüsselten Hash des Passworts?
Ein super Beispiel, dass die Unwissenheit der Politiker Diskussionen auslösen, die komplett an der Realität vorbei gehen. Will uns die Politik in Zukunft dazu zwingen, Passwörter wieder im Klartext zu speichern? Das wiederum würde aber gegen die aktuelle Datenschutz-Grundverordnung DSGVO verstoßen! Siehe dazu:
Das LfDI Baden-Württemberg hat mit Bescheid vom 21.11.2018 gegen einen Social-Media-Anbieter eine Geldbuße in Höhe von 20.000,- Euro verhängt. Grund ist laut Pressemitteilung des LfDI ein eklatanter Verstoß des Unternehmens gegen seine Pflicht, für die Sicherheit der Datenverarbeitung zu sorgen: Man hatte Kundenpasswörter im Klartext gespeichert.
Großes Kopfschütteln
Gruß
Frank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 527323
Url: https://administrator.de/imho/zum-thema-bundesministerium-plant-passwort-abfrage-per-gesetz-527323.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
23 Kommentare
Neuester Kommentar
Hi,
https://www.bundestag.de/dokumente/textarchiv/2019/kw51-de-aktuelle-stun ...
So soll es wohl laufen.
Ministerin Christine Lambrecht (SPD)
Sie halte jedoch an der Datenschutzgrundverordnung fest, so Lambrecht, wonach Diensteanbieter Passwörter verschlüsselt speichern müssen. Als Anwendungsbeispiel nannte sie Ermittlungen gegen Terrorverdächtige, wo die Chance bestehe, ein Passwort mit extrem hohen Aufwand zu entschlüsseln.
Warum besteht bei Ermittlungen gegen "Terrorversdaechtige" die Chance ein Passwort zu entschluesseln?
Irgendwie kommt mir das Ganze sehr krank vor.
BFF
https://www.bundestag.de/dokumente/textarchiv/2019/kw51-de-aktuelle-stun ...
So soll es wohl laufen.
Ministerin Christine Lambrecht (SPD)
Sie halte jedoch an der Datenschutzgrundverordnung fest, so Lambrecht, wonach Diensteanbieter Passwörter verschlüsselt speichern müssen. Als Anwendungsbeispiel nannte sie Ermittlungen gegen Terrorverdächtige, wo die Chance bestehe, ein Passwort mit extrem hohen Aufwand zu entschlüsseln.
Warum besteht bei Ermittlungen gegen "Terrorversdaechtige" die Chance ein Passwort zu entschluesseln?
Irgendwie kommt mir das Ganze sehr krank vor.
BFF
Warum die nicht fragen?
1. Seit wann fragt ein Politiker?
2. Die haben zu viele Filme gesehen aka Mr. Robot.
3. Eigentlich wollen die per default auf jedem Geraet eh den Bundestrojaner. Der sendet das Passwort im Klartext bevor es verschluesselt beim Provider landet.
Warum hab ich nur das Gefuehl, dass 3. das wahre Ziel ist.
Gruss und frohe Weihnacht.
BFF
1. Seit wann fragt ein Politiker?
2. Die haben zu viele Filme gesehen aka Mr. Robot.
3. Eigentlich wollen die per default auf jedem Geraet eh den Bundestrojaner. Der sendet das Passwort im Klartext bevor es verschluesselt beim Provider landet.
Warum hab ich nur das Gefuehl, dass 3. das wahre Ziel ist.
Gruss und frohe Weihnacht.
BFF
Zitat von @Frank:
Warum fragen die Ersteller solcher Ideen vorher nicht die IT-Pros nach Machbarkeit?
Warum fragen die Ersteller solcher Ideen vorher nicht die IT-Pros nach Machbarkeit?
Weil das hauptsächlich nichtsnutzige Juristen und andere "Geisteswissenschaftler" sind, die der Meinung sind, nur sie hätten die Weisheit mit Löffeln gefressen.
Bei Juristen steht eigentlich immer im Vordergrund irgendeinem immer den schwarzen Peter zuzuschieben, egal ob derjenige faktisch für irgendein Vergehen verantwortlich ist oder nicht.
lks
Moin,
PKI
Du bekommst von "Denen" einen öffentlichen Schlüssel und verschlüsselt das Kennwort im Klartext und verschicksts es an "Die".
Zusammen mit Meta-Informationen wie Name, Email, IP und Alles was man sonst noch so hat. Das können "Die" dann mit deren privaten Schlüssel entschlüsseln.
Und dann macht sich Jemand eine Kopie und die ganze Republik liegt ihm zu Füßen.
Stefan
PKI
Du bekommst von "Denen" einen öffentlichen Schlüssel und verschlüsselt das Kennwort im Klartext und verschicksts es an "Die".
Zusammen mit Meta-Informationen wie Name, Email, IP und Alles was man sonst noch so hat. Das können "Die" dann mit deren privaten Schlüssel entschlüsseln.
Und dann macht sich Jemand eine Kopie und die ganze Republik liegt ihm zu Füßen.
Stefan
Zitat von @Frank:
Da ist mir der öffentlichen Schlüssel der Behörde ganz egal, ich könnte ihnen einfach nichts geben.
Da ist mir der öffentlichen Schlüssel der Behörde ganz egal, ich könnte ihnen einfach nichts geben.
Doch.
Du bekommst ja beim Einloggen das Klartextpaßwort, um daraus den hash zu bilden. Beim erfolgreichm Einloggen weißt Du, daß das das passende Paßwort ist und müsstest es dann übermitteln. D h. Du könntest Dich nicht damit rausreden, daß Du das Paßwort nicht hast.
lks
/me2
und eine andere Mailadresse.
lks
Hi,
das generelle Problem ist aus meiner Sicht eher, ob Kontodaten rein der Autentifizierung dienen oder/und auch der Verschlüsselung.
Die große Welle, die da teilweise gebrochen wird ist für mich nicht nachvollziehbar, zumal eine "Passwort vergessen"-option schon ausreicht, um einen Kontozugriff wieder zu ermöglichen.
Warum also entschlüsseln, wenn es auch so möglich sein kann?
Wenn es um verschlüsselte und schützenswerte Inhalte geht, dann wird es interessant für mich.
Gruß,
bdmvg
das generelle Problem ist aus meiner Sicht eher, ob Kontodaten rein der Autentifizierung dienen oder/und auch der Verschlüsselung.
Die große Welle, die da teilweise gebrochen wird ist für mich nicht nachvollziehbar, zumal eine "Passwort vergessen"-option schon ausreicht, um einen Kontozugriff wieder zu ermöglichen.
Warum also entschlüsseln, wenn es auch so möglich sein kann?
Wenn es um verschlüsselte und schützenswerte Inhalte geht, dann wird es interessant für mich.
Gruß,
bdmvg
Moin
ich sehe das so: Es geht nicht darum 'alle passwörter' zu bekommen, so wie sich ein Laie das vorstellt sondern um einen Admin-User für Behörden auf jeder Platform. Am besten noch mit einheitlichen Rest-API zum leichteren automatisieren.
Und das wollen wir nicht - Es ist schon okay wenn Behörden die ID EINES Users vom Betreiber bekommen aber nur mit richterlichen Beschluss vorher - Aber Massenüberwachung ? Nee danke, lass mal stecken.
ich sehe das so: Es geht nicht darum 'alle passwörter' zu bekommen, so wie sich ein Laie das vorstellt sondern um einen Admin-User für Behörden auf jeder Platform. Am besten noch mit einheitlichen Rest-API zum leichteren automatisieren.
Und das wollen wir nicht - Es ist schon okay wenn Behörden die ID EINES Users vom Betreiber bekommen aber nur mit richterlichen Beschluss vorher - Aber Massenüberwachung ? Nee danke, lass mal stecken.
Zitat von @SayanMayt:
Hab Mal eine andere Frage
Was ist mit Seiten oder Diensten die dem biometrische Dienst benutzen als anmelde Daten?
Also wie soll man ein Fingerabdruck als Klartext speichern?
Hab Mal eine andere Frage
Was ist mit Seiten oder Diensten die dem biometrische Dienst benutzen als anmelde Daten?
Also wie soll man ein Fingerabdruck als Klartext speichern?
Man speichert einfach die Merkmale als "Klartext". Solange keine Lebenderkennung und ein zeitstempel verwendet wird und der Fingerabdruckscanner nicht direkt verschlüsselt mit dem Diensdt kommuniziert ist das überhaupt kein Problem einen Client so z upräparieren, daß er den passenden Fingerabdruck schickt.
Aber die Politiker denken viel zu kompliziert. Um an die Daten zu kommen, müssen sie dem Dienst einfach nur ein passenden Wisch vom Richter vor die Nase halten. Auch beim jetzigen Stand der Gesetze.
lks
Heut zu Tage weird doch verschlüsselt,
Also ich meine hier der ganze Mail Verkehr oder Chat Verkehr so das sogar der Besitzer der Plattform nicht mehr auch dem Konversation Verlauf zugreifen kann.
Ich denke die versuchen die ganze Chat/Mail Verschlüsselungen zu umgehen und direkt auf die acc zu zugreifen.
Weil jetze der whats App Chat ist doch end zu Ende verschlüsselt so das der Dienstanbieter selbst kann nicht sehen was da drin geschrieben wird.
Ist nur meine Meinung
Aber danke für die Aufklärung mit dem Finger Abdruck weil ich dachte der wird gehascht
Also ich meine hier der ganze Mail Verkehr oder Chat Verkehr so das sogar der Besitzer der Plattform nicht mehr auch dem Konversation Verlauf zugreifen kann.
Ich denke die versuchen die ganze Chat/Mail Verschlüsselungen zu umgehen und direkt auf die acc zu zugreifen.
Weil jetze der whats App Chat ist doch end zu Ende verschlüsselt so das der Dienstanbieter selbst kann nicht sehen was da drin geschrieben wird.
Ist nur meine Meinung
Aber danke für die Aufklärung mit dem Finger Abdruck weil ich dachte der wird gehascht
Zitat von @SayanMayt:
Weil jetze der whats App Chat ist doch end zu Ende verschlüsselt so das der Dienstanbieter selbst kann nicht sehen was da drin geschrieben wird.
Weil jetze der whats App Chat ist doch end zu Ende verschlüsselt so das der Dienstanbieter selbst kann nicht sehen was da drin geschrieben wird.
Das sagt Dir facebook. Aber ich glaube denen nicht, wenn sie sagen sue könnten selbst nicht drauf zugreifen, denn sie haben die Kontrolle über die Clients.
Ist nur meine Meinung
Aber danke für die Aufklärung mit dem Finger Abdruck weil ich dachte der wird gehascht
Aber danke für die Aufklärung mit dem Finger Abdruck weil ich dachte der wird gehascht
Der kann durchaus gehasht sein. Aber was hindert den Anbieter daran, beim Anmelden den "Klartext" mit abzupeichern, wenn die Behörden ihn dazu aufgefordert haben?
lks
Die DSGVO, die sagt, dass man keine Passwörter oder auch persönliche Merkmale im Klartext speichern darf. Laut Gesetz, darf man kein
Verbrechen mit einem Verbrechen bekämpfen bzw. einer illegalen Aktivität aufklären. Das ist, mit Verlaub, vor Gericht nicht haltbar und als
Beweismittel wird es in der Regeln nicht zugelassen. Darauf kann sich jeder Seitenbetreiber beziehen.
Verbrechen mit einem Verbrechen bekämpfen bzw. einer illegalen Aktivität aufklären. Das ist, mit Verlaub, vor Gericht nicht haltbar und als
Beweismittel wird es in der Regeln nicht zugelassen. Darauf kann sich jeder Seitenbetreiber beziehen.
Schau dir mal die DS-GVO an, wenn es um den Bereich staatlicher Zugriff geht, die DS-GVO gilt nicht für das FA, es gilt nicht für die GEZ, es gilt nicht für.... ;)
(Bin kein Jurist, man nehme sich selbst die entsprechenden Stellen - ich vermute, mit dem Argument kommst du nicht durch, wenn man dich dazu verpflichtet musst du wohl umstellen - oder anderweitig Abhilfe schaffen)
Sollten sie wirklich (noch) eine Verpflichtung einbauen, müssten sie uns rechtlich von der DSGVO für den jeweiligen Fall befreien, was ich so
aber bisher nicht gelesen habe. Das ist auch rechtlich sehr aufwendig und bisher wohl nicht Bestandteil des Referentenentwurfs.
aber bisher nicht gelesen habe. Das ist auch rechtlich sehr aufwendig und bisher wohl nicht Bestandteil des Referentenentwurfs.
Nunja, ich sehe dies vielleicht bereits etwas "spätfolgenabschätzend", wie es so schön in DSGVO Sprech heisst so, dass dies kommen wird. Wie einfach oder wie schwer...naja, tun werden Sie es.