Hadmut Danisch

Ansichten eines Informatikers

Die SPD, der Idiot und die Passworte

Hadmut
28.2.2020 22:32

Herrje, ist das alles wieder schlimm.

Ich habe einen riesigen Stapel von wichtigen Themen und Hinweisen, je nach Priorität weit, weit über 10.000, über die bloggen will/muss/soll/kann, selbst unter Quarantäne mit völligem Nachrichtenabschluss würde ich noch jahrelang weiterbloggen.

In den vergangenen Tagen gab es so viele aktuelle Themen wie Crypto-Affäre, Hanau usw., dass ziemlich viele Dinge auf diesem Stapel statt direkt im Blog gelandet sind, Ich müsste mal den 93-Stunden-Tag erfinden und patentieren lassen. So um Weihnachten war auch irgendwas wichtiges, was bei mir Priorität hatte. Ich weiß nicht mal mehr, was.

Eines dieser Themen war die Herausgabepflicht von Passworten für Provider, die die SPD per Gesetz zum „Kampf gegen Rechts” durchsetzen will. Anscheinend auf dem Mist von Dolores Umbridge Christine Lambrecht gewachsen. Ich hatte mir das sogar mal als Gesetzentwurf durchgelesen, Änderungen von StPO und TKG, habe aber schon wieder vergessen, was ich mir dazu gedacht hatte, müsste es nochmal lesen.

Inhaltlich ist das natürlich Blödsinn, weil man fast jedem Dienstanbieter, der ein Passwort überhaupt herausgeben kann, gröbste Fahrlässigkeit und Schlamperei vorwerfen kann. Es gibt nur wenige Fälle, in denen man ein Passwort im Klartext speichern muss, und das kommt bei Internetdiensten so im Allgemeinen eigentlich nicht vor. Seit mindestens etwa 30, 40 Jahren ist es State of the Art, Passworte gehasht, also nur eine kryptographische Prüfsumme, zu speichern, und zwar eben gerade damit es nicht möglich ist, das Passwort zu klauen, auszulesen, weiterzugeben. Gibt ein Benutzer bei der Anmeldung das Passwort an, werde nicht Passworte verglichen, sondern die Eingabe ebenfalls gehasht und dann diese Ergebnisse verglichen. Mit dem Hash an sich kann man sich aber nicht einloggen.

Es gab zwar in letzter Zeit immer wieder mal Vorfälle, Schlampigkeitsskandale, in denen irgendwer die Passworte im Klartext gespeichert hatte, aber das war eben: Grobe Schlamperei. Das darf eigentlich nicht passieren.

Insofern ist es blödsinnig, eine Herausgabepflicht für Passworte zu normieren, wenn das nach dem Stand der Technik nicht möglich ist.

Und selbst wenn: Dann ändert der Benutzer eben sein Passwort stündlich (automatisiert).

Damit unterwandert man natürlich auch sämtliche Authentizität, denn der Staat kann sich mit dem Passwort dann nach dem Einloggen eben nicht nur passiv lesen verhalten, sondern auch aktiv senden, schreiben, löschen.

Das Konzept von De-Mail ist damit dann völlig für den Müll. Wie soll man noch behaupten können, dass eine Sendung authentisch wäre, wenn doch der Staat auch Schlüssel hat.

Wie will man einen noch wegen des Versandes von Kinderpornographie verdonnern, wenn der jederzeit sagen kann, der Staat hat das gemacht, nicht er selbst. Und der Staat es dann auch tatsächlich tun kann, um Leute zu kompromittieren. Wir hatten ja schon Politiker, die über sowas gefallen sind.

Ich setz’ mal noch einen drauf:

Es ist nicht nur so, dass Passwörter nicht im Klartext gespeichert werden sollen/dürfen (die Juristen würden dann kommen und verlangen, dass man es dann eben speichern soll/muss, damit man es herausgeben kann, eine wirklich ultimativ bekloppte Idee), es ist auch so, dass es Techniken gibt und man an deren Ausbreitung arbeitet, Passworte (oder das Einloggen mit Passworten allein) abzuschaffen, weil es zu unsicher ist.

Beispielsweise gibt es One-Time-Passworte. Zeit- oder zählerbasiert. Da kann man unter Umständen sogar eine Kopie machen, aber in beiden Fällen kommt es zu Fehlern oder kann dazu kommen, anhand deren der Benutzer bemerken könnte, dass jemand anderes sich eingeloggt hat (zumal viele Dienste ohnehin anzeigen, wann man sich das letzte Mal eingeloggt hat. )

Oder man verwendet kryptographische Schlüssel. Wie bei ssh. Oder TLS mit X.509-Zertifikaten.

Oder wie das neuerdings in Mode kommt und gepusht wird: U2F / FIDO2-Token. Die neueren Browser unterstützen das. Auch manche Mobiltelefone schon, bei den Mac Powerbooks habe ich bei einem Test auch überrascht festgestellt, dass dieser Graphikstreifen oberhalb der Tastatur (wie heißt das Ding) das mit irgendeinem Release plötzlich konnte. Firmen wie Microsoft kommen offiziell damit daher, dass sie Passworte einfach abschaffen wollen. Das sind die schon dran, das läuft schon.

Inzwischen geht es wohl auch darum (oder gibt es ein zweites Ansinnen, ich blicke da gerade nicht mehr durch), dass Tatverdächtige selbst die Passworte herausgeben – sich also selbst belasten – müssten. Sowas wie Berufsgeheimnisse oder sowas kommt da wohl erst gar nicht vor.

Ende Januar meldete dann das ZDF, dass Christine Lambrecht an der Herausgabe festhält, die Sache aber etwas zurücknimmt:

Die Kritik war massiv, jetzt überarbeitet die Justizministerin nach ZDF-Informationen ihr Gesetz gegen Hass: Passwörter sollen Behörden nur noch bei schwersten Delikten bekommen.

Mit so viel Kritik hatte Christine Lambrecht (SPD) offenbar nicht gerechnet. Als die Justizministerin im Dezember ihren Gesetzentwurf gegen Hass im Netz vorlegt, ist der Aufschrei groß. Zwar teilen die meisten Lambrechts Anliegen, Hetze und Hass-Kommentare etwa bei Facebook oder Youtube zu verfolgen. Aber doch nicht so, lautet die Kritik. Der Datenschutzbeauftragte Ulrich Kelber (SPD) zweifelt, ob das Gesetz mit dem Grundgesetz vereinbar sei. Vertreter der Digitalwirtschaft kritisieren das Vorhaben als “großen Lauschangriff”.

Im Mittelpunkt der Kritik: Lambrecht will Anbieter wie Facebook verpflichten, mit den Strafverfolgungsbehörden zu kooperieren. Sie sollen den Behörden Hasskommentare melden und sogar die “Bestandsdaten” ihrer Nutzer mitteilen, also eben auch ihre Passwörter.

Blond, aber nicht die Hellste. Dass das so gar nicht geht und Passwörter eben keine Bestandsdaten sind, und es auch nicht automatisch per Gesetz werden, kommt da im Hirn nicht an. § 3 TKG:

“Bestandsdaten” Daten eines Teilnehmers, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden;

Name, Anschrift, Kontonummer. Das Passwort ist nicht für das Vertragsverhältnis erforderlich. Es gibt auch keine Vorschrift, dass man überhaupt Passworte verwenden muss. Oder nur diese. Banken haben gerade alle auf Zweifaktorauthentifikation umgestellt.

Heise schreibt nun, dass FOCUS schreibt, dass der SPD-Politiker Florian Post, Ausbildung kaufmännisch, Kritiker „hirnrissig” nennt:

Zu den umstrittensten Punkten des Gesetzes zählt die Passwort-Herausgabe durch Tatverdächtige. Florian Post, der im Rechtsausschuss des Bundestages für Internetfragen zuständig ist, hält dieses Fahndungsinstrument für „unerlässlich“.

„Die Polizei sollte Kinderporno- oder Terrorverdächtige künftig zwingen dürfen, ihnen das Passwort für ihr Online-Konto auszuhändigen“, so der 38-Jährige zu FOCUS Online. „Auf diese Weise können Ermittler die Internet-Konten der Betroffenen übernehmen, in deren Rolle schlüpfen und so die hochkriminellen Kontaktleute sowie Anbieter überführen.“

Wieso ist ein Kaufmann im Rechtsausschuss des Bundestages für Internetfragen zuständig?

Florian Post: Sechs Monate Beugehaft „absolut vertretbar“

Gegen Verdächtige, die die Herausgabe ihres Passwortes verweigern, sollten laut Florian Post Geldstrafen verhängt werden können. „Wenn es hart auf hart kommt, halte ich auch eine Beugehaft von bis zu sechs Monaten für absolut vertretbar.“ Er betont, dass diese Maßnahmen „nur bei schweren Straftaten und unter Vorbehalt einer richterlichen Entscheidung angewendet werden dürfen“.

Mit seinem Vorstoß reagiert Post auf zum Teil massive Widerstände gegen die gesetzlich geregelte Passwort-Herausgabe. Netzaktivisten, Digitalverbände und Politiker unterschiedlicher Parteien rügen das Fahndungsmittel als unverhältnismäßigen Eingriff in die Privatsphäre der Nutzer.

Geldstrafen. Neulich haben sie hier einen Clan-Chef zu einer Kleingeldstrafe verurteilt, weil er nach Kenntnis des Gerichts nur Hartz-IV-Empfänger sei.

Überhaupt eine tolle Idee, jemanden mit Geldstrafe oder 6 Monaten Beugehaft dazu überreden zu wollen, dass er ein Passwort herausgibt, mit dem er dann zu 10 oder 20 Jahren verdonnert werden kann. Denken die eigentlich keine 10 cm weit?

SPD-Politiker greift Kritiker an: „Handlanger der Täter“

„Geradezu hirnrissig“ nennt der SPD-Politiker diese Argumentation. „Wenn es nach einigen Bedenkenträgern ginge, dürften wir nur Brieftauben abfangen. Das ist wirklich keinem normal denkenden Bürger mehr erklärbar.“

Gegnern der Passwort-Herausgabe wirft der Sozialdemokrat aus München mangelndes Verständnis für die Opfer und einen „Hang zum Täterschutz“ vor: „Wer verhindert, dass unsere Gesetze der Realität im 21. Jahrhundert angepasst werden, blockiert die Aufklärung von Verbrechen und macht sich unfreiwillig zum Handlanger der Täter.“

Man sollte mal daran denken, dass das ursprünglich als „gegen Rechts und Hate Speech” gestartet ist und schon bei Kleinigkeiten und Ordnungswidrigkeiten hätte gelten sollen.

Und die Aussage, das es „keinem normal denkenden Bürger mehr erklärbar” sei, weil ein Kaufmann der SPD das Prinzip nicht verstanden hat, halte ich für eine Frechheit. Der hält sich selbst in seiner Unkenntnis für den Prototypen des „normal denkenden Bürgers”.

Könnt Ihr Euch noch erinnern, wie die LBQTXY-Fraktion der SPD getobt hat, als andere irgendwas für „normal” hielten?

Verbrecher würden zunehmend im für die Polizei schwer zugänglichen Darknet agieren und Foren in Online-Spielen nutzen, um anonym miteinander zu kommunizieren, so Internet-Experte Post. „Wollen wir tatenlos zusehen, wie in der virtuellen Welt Verbrechen vorbereitet und begangen werden, deren Opfer ganz real sind, zum Beispiel unschuldige Kinder?“

„…der Internet-Experte Post…”

Post erinnert daran, dass den Strafverfolgungsbehörden nahezu jedes Mittel recht sei, „um Steuerhinterzieher ausfindig zu machen und juristisch zu belangen“. Beispielhaft nennt er „den Ankauf gestohlener Steuerdaten selbst ohne richterlichen Beschluss durch die Finanzbehörden“.

Aber dabei muss weder der Beschuldigte mitwirken, noch muss einer Dritter Passworte herausgeben, die er gar nicht speichern darf.

Florian Post zu FOCUS Online: „Das habe ich – wie viele andere auch – für richtig gehalten. Wer aber solche Aktionen gutheißt, kann doch nichts dagegen haben, wenn sich die Polizei Passwörter von verdächtigen Pädophilen, Rechtsextremisten oder Terroristen holt.“ Dies sei prinzipiell heute schon möglich, nur eben ohne richterlichen Beschluss. „Insofern haben wir hier sogar eine klare rechtsstaatliche Verbesserung.“

Also bisher haben Pädophile, Rechtsextreme und Terroristen das Recht zu schweigen.

Und die Polizei kann sich bisher Mails und gespeicherte Daten und so weiter holen, aber nicht Passworte. Schon weil’s nicht geht.

Und das soll der „Internet-Experte” der SPD sein?

Die wollen uns regieren?