Die Regierung dreht durch und will an unsere Passwörter

Ich hatte doch die Justizministerin Christine Lambrecht in mehrfacher Hinsicht mit Potters Dolores Umbridge verglichen.

Jetzt legt sie nach. (Lambrecht mein ich, nicht Umbridge.) Aber nicht nur die.

Zwei Artikel in der Frankfurter Allgemeinen: Dieser und ein Kommentar dazu.

Künftig können Behörden im Kampf gegen Rechtsextremismus und Hassrede von Diensten wie Google oder Facebook verlangen, Passwörter zu Kundenkonten herauszugeben.

In ihrem Entwurf für ein Gesetz gegen Rechtsextremismus und Hassrede hat die Bundesregierung sich auch auf einen neuen Behördenanspruch auf Passwörter zu Onlinediensten geeinigt. Das geht aus einem am Freitag vorgestellten Referentenentwurf des Bundesjustizministeriums hervor. Künftig können demnach Behörden unter bestimmten Voraussetzungen von Diensten wie Google oder Facebook verlangen, Passwörter zu Kundenkonten zu erlangen. […]

Mit dem Gesetzespaket reagiert die Bundesregierung auch auf den Anschlag von Halle, bei dem ein Täter Juden und Muslime erschießen wollte und zwei Menschen tötete. Allerdings fallen nicht nur Messaging-Dienste wie Whatsapp unter die geplante Regelung, sondern alle Internetdienste. […]

„Herausgabe vertraulicher Passwörter ohne richterlichen Beschluss, automatisierte Weiterleitung von IP-Adressen – wir sind erstaunt, dass solche Vorschläge aus jenem Ministerium unterstützt werden, das sich den Datenschutz besonders groß auf die Fahnen geschrieben hat“, kommentiert den Vorstoß Bitkom-Chef Bernhard Rohleder. Er meint damit Bundesjustizministerin Christine Lambrecht (SPD).

Und dann fragt man sich, ob die überhaupt auch nur irgendetwas verstanden haben:

Ein Ministeriumssprecher wiegelt ab: Passwörter seien auch nach geltendem Recht Teil der Bestandsdaten und könnten „in einem konkreten Ermittlungsverfahren unter der Sachleitung einer Staatsanwaltschaft herausverlangt werden“, sagt ein Sprecher.

Nein, Passwörter sind nicht Teil der Bestandsdaten, oder es wäre grob fahrlässig, wenn sie es wären. Die dürfen nämlich eigentlich gar nicht gespeichert werden, sondern nur ihr Hash. Wenn ein Anbieter ein Passwort herausgeben kann, dann ist etwas total falsch.

Anscheinend hat ihnen das auch schon jemand gesagt:

Zudem müssten aus Gründen der Datensicherheit Passwörter regelmäßig „in verschlüsselter Form gespeichert werden und können entsprechend nicht unverschlüsselt herausgegeben werden“, daran ändere die neue Regelung nichts.

Ähm … ja. (oder eigentlich: Nee. Siehe unten. Vorläufig ja)

Und was wollen sie dann damit? Wenn sie doch genau wissen, dass sie damit nicht an die Passwörter kommen?

Naja, man könnte jetzt vermuten, dass sie die brute force knacken wollen, wenn sie mal den Hash haben. Ich empfehle lange Passwörter. (Im Gegensatz zu jener Nuss, die sie damals an meiner Fakultät dafür mit Auszeichnung promoviert haben, dass sichere Passwörter möglichst kurz sein müssen, damit man sie sich merken kann und nicht unter die Tastastur schreiben muss.)

Richtig ist, dass auch nach Vorgaben des Bundesamts für Sicherheit in der Informationstechnologie für die Cloud-Zertizierung (PDF) Passwörter verschlüsselt gespeichert werden müssen – Google hat so eine Zertifizierung.

Äh … Nee. Jetzt kommt das Nee. Die sind nämlich nicht verschlüsselt, die sind gehasht. Verschlüsselte Daten kann man nämlich auch entschlüsseln. Und genau das kann man mit gehashten Passworten nicht. Das ist eine Einbahnstraße. Offenbar hat ja jemand gerade überhaupt gar nichts verstanden.

Denkbar scheint zudem, dass durch die gesetzliche Regelung Unternehmen gezwungen werden, Voraussetzungen dafür zu schaffen, Passwörter auch unverschlüsselt herauszugeben, was ein klarer Verstoß gegen IT-Sicherheitsstandards wäre.

Allzuviel schlauer sind die von der FAZ dann aber auch nicht. Technisch würde man nicht das Passwort herausgeben (und es dazu unsicher speichern), sondern der Behörde ein zweites Passwort einrichten. Soweit denken sie aber beide – Regierung wie Presse – nicht. Aber das bekommen sie ohnehin nicht durch. Es gibt genug Unternehmen im Ausland, die sich das nicht aufzwingen lassen.

Der Entwurf werfe aber Fragen auf. „Soll hier unter dem Deckmantel der Bekämpfung von Rechtsextremismus nun von den Sicherheitsbehörden Zugang zu Informationen erlangt werden, die man immer schon wollte?“, fragt sich die Rechtspolitikerin. Die beabsichtigte Ausdehnung vor allem auf das Passwort werfe technische und verfassungsrechtliche Fragen auf. „Wir brauchen jetzt eine sehr präzise und seriöse Beratung des Gesetzes im Bundestag, sonst landet es sowieso in Karlsruhe und wird dort sicherlich aufgehoben.“

Da habe ich jetzt wenig Hoffnung. Der Bundestag kann gar nicht präzsie und seriös beraten, dafür sind die viel zu sehr mit Clowns besetzt. Und das Bundesverfassungsgericht ist ohnehin links unterwandert.

Zumal das vermutlich über kurz oder lang EU-Recht werden wird.

Aber es gibt genug technische Mittel, so etwas zu verhindern.