23
Zum Thema: Bundesministerium plant Passwort-Abfrage per Gesetz
Aktuell wird heftig über den Referentenentwurf für ein Gesetz zur Bekämpfung von Rechtsextremismus und Hasskriminalität im Internet diskutiert. Im Referentenentwurf heißt es z.B.:
Bei den aktuellen Diskussionen wird aber ein wichtiger Punkt komplett vergessen: Welches Internet-Portal speichert denn die Passwörter noch im Klartext? Aus Sicherheitsgründen darf das eigentlich keiner mehr. Was sollen die Portale herausgeben? Den verschlüsselten Hash des Passworts?
Ein super Beispiel, dass die Unwissenheit der Politiker Diskussionen auslösen, die komplett an der Realität vorbei gehen. Will uns die Politik in Zukunft dazu zwingen, Passwörter wieder im Klartext zu speichern? Das wiederum würde aber gegen die aktuelle Datenschutz-Grundverordnung DSGVO verstoßen! Siehe dazu:
Großes Kopfschütteln
Gruß
Frank
Dennoch ist das Auskunftsverfahren im Telemediengesetz bisher nur rudimentär geregelt. Insbesondere fehlen Regelungen zur Auskunft anhand von IP-Adressen, zur Abfrage von Passwörtern, zur Vertraulichkeit der Auskunft und zur Form des Auskunftsersuchens.
Bei den aktuellen Diskussionen wird aber ein wichtiger Punkt komplett vergessen: Welches Internet-Portal speichert denn die Passwörter noch im Klartext? Aus Sicherheitsgründen darf das eigentlich keiner mehr. Was sollen die Portale herausgeben? Den verschlüsselten Hash des Passworts?
Ein super Beispiel, dass die Unwissenheit der Politiker Diskussionen auslösen, die komplett an der Realität vorbei gehen. Will uns die Politik in Zukunft dazu zwingen, Passwörter wieder im Klartext zu speichern? Das wiederum würde aber gegen die aktuelle Datenschutz-Grundverordnung DSGVO verstoßen! Siehe dazu:
Das LfDI Baden-Württemberg hat mit Bescheid vom 21.11.2018 gegen einen Social-Media-Anbieter eine Geldbuße in Höhe von 20.000,- Euro verhängt. Grund ist laut Pressemitteilung des LfDI ein eklatanter Verstoß des Unternehmens gegen seine Pflicht, für die Sicherheit der Datenverarbeitung zu sorgen: Man hatte Kundenpasswörter im Klartext gespeichert.
Großes Kopfschütteln
Gruß
Frank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 527323
Url: https://administrator.de/contentid/527323
Printed on: April 16, 2024 at 04:04 o'clock
23 Comments
Latest comment
Hi,
https://www.bundestag.de/dokumente/textarchiv/2019/kw51-de-aktuelle-stun ...
So soll es wohl laufen.
Ministerin Christine Lambrecht (SPD)
Sie halte jedoch an der Datenschutzgrundverordnung fest, so Lambrecht, wonach Diensteanbieter Passwörter verschlüsselt speichern müssen. Als Anwendungsbeispiel nannte sie Ermittlungen gegen Terrorverdächtige, wo die Chance bestehe, ein Passwort mit extrem hohen Aufwand zu entschlüsseln.
Warum besteht bei Ermittlungen gegen "Terrorversdaechtige" die Chance ein Passwort zu entschluesseln?
Irgendwie kommt mir das Ganze sehr krank vor.
BFF
https://www.bundestag.de/dokumente/textarchiv/2019/kw51-de-aktuelle-stun ...
So soll es wohl laufen.
Ministerin Christine Lambrecht (SPD)
Sie halte jedoch an der Datenschutzgrundverordnung fest, so Lambrecht, wonach Diensteanbieter Passwörter verschlüsselt speichern müssen. Als Anwendungsbeispiel nannte sie Ermittlungen gegen Terrorverdächtige, wo die Chance bestehe, ein Passwort mit extrem hohen Aufwand zu entschlüsseln.
Warum besteht bei Ermittlungen gegen "Terrorversdaechtige" die Chance ein Passwort zu entschluesseln?
Irgendwie kommt mir das Ganze sehr krank vor.
BFF
1
ein Passwort mit extrem hohen Aufwand zu entschlüsseln. ..
Verschlüsselt man zusätzlich den One-Way-Hash wars das theoretisch mit der Idee, die Passwörter zu entschlüsseln. Das zu knacken traue ich keiner deutschen Institution zu.
Das Thema mit den Passwörtern lenkt leider von der eigentlich gute Idee, etwas gegen Hass und Terror im Internet zu machen, ab. Warum fragen die Ersteller solcher Ideen vorher nicht die IT-Pros nach Machbarkeit? Die müssen doch auch ein paar vernünftige Menschen mit IT-Kenntnissen oder Hintergrund in ihren Bereichen haben.
Gruß
Frank
Warum die nicht fragen?
1. Seit wann fragt ein Politiker?
2. Die haben zu viele Filme gesehen aka Mr. Robot.
3. Eigentlich wollen die per default auf jedem Geraet eh den Bundestrojaner. Der sendet das Passwort im Klartext bevor es verschluesselt beim Provider landet.
Warum hab ich nur das Gefuehl, dass 3. das wahre Ziel ist.
Gruss und frohe Weihnacht.
BFF
1. Seit wann fragt ein Politiker?
2. Die haben zu viele Filme gesehen aka Mr. Robot.
3. Eigentlich wollen die per default auf jedem Geraet eh den Bundestrojaner. Der sendet das Passwort im Klartext bevor es verschluesselt beim Provider landet.
Warum hab ich nur das Gefuehl, dass 3. das wahre Ziel ist.
Gruss und frohe Weihnacht.
BFF
2
Zitat von @Frank:
Warum fragen die Ersteller solcher Ideen vorher nicht die IT-Pros nach Machbarkeit?
Warum fragen die Ersteller solcher Ideen vorher nicht die IT-Pros nach Machbarkeit?
Weil das hauptsächlich nichtsnutzige Juristen und andere "Geisteswissenschaftler" sind, die der Meinung sind, nur sie hätten die Weisheit mit Löffeln gefressen.
Bei Juristen steht eigentlich immer im Vordergrund irgendeinem immer den schwarzen Peter zuzuschieben, egal ob derjenige faktisch für irgendein Vergehen verantwortlich ist oder nicht.
lks
2
Die hat halt NULL Ahnung wie das funktioniert und will es regulieren.
1
Moin,
PKI
Du bekommst von "Denen" einen öffentlichen Schlüssel und verschlüsselt das Kennwort im Klartext und verschicksts es an "Die".
Zusammen mit Meta-Informationen wie Name, Email, IP und Alles was man sonst noch so hat. Das können "Die" dann mit deren privaten Schlüssel entschlüsseln.
Und dann macht sich Jemand eine Kopie und die ganze Republik liegt ihm zu Füßen.
Stefan
PKI
Du bekommst von "Denen" einen öffentlichen Schlüssel und verschlüsselt das Kennwort im Klartext und verschicksts es an "Die".
Zusammen mit Meta-Informationen wie Name, Email, IP und Alles was man sonst noch so hat. Das können "Die" dann mit deren privaten Schlüssel entschlüsseln.
Und dann macht sich Jemand eine Kopie und die ganze Republik liegt ihm zu Füßen.
Stefan
Hi,
das ändert aber nichts an der Tatsache, dass das jeweilige Internet-Portal das original Passwort im Klartext nicht gespeichert hat. Das darf man ja nach DSGVO nicht mehr! Bei uns z.B. wird nur das verschlüsselte One-Way-Hash gespeichert und beim Login verglichen.
Da ist mir der öffentlichen Schlüssel der Behörde ganz egal, ich könnte ihnen einfach nichts geben. Es sei denn sie wollen sich an dem verschlüsselten One-Way-Hash versuchen. Der sollte theoretisch aber noch einige hundert Jahre halten. Es sei denn Googles Quanten-Rechner wird für die Behörden erschwinglich
Gruß
Frank
das ändert aber nichts an der Tatsache, dass das jeweilige Internet-Portal das original Passwort im Klartext nicht gespeichert hat. Das darf man ja nach DSGVO nicht mehr! Bei uns z.B. wird nur das verschlüsselte One-Way-Hash gespeichert und beim Login verglichen.
Da ist mir der öffentlichen Schlüssel der Behörde ganz egal, ich könnte ihnen einfach nichts geben. Es sei denn sie wollen sich an dem verschlüsselten One-Way-Hash versuchen. Der sollte theoretisch aber noch einige hundert Jahre halten. Es sei denn Googles Quanten-Rechner wird für die Behörden erschwinglich
Gruß
Frank
Dann muss halt Jeder Nutzer ein neues Kennwort vergeben...
Nein, ich finde das auch nicht witzig. Das ist eher Galgenhumor...
Gut dass ich für JEDEN Dienst ein eigenes Kennwort habe.
Nein, ich finde das auch nicht witzig. Das ist eher Galgenhumor...
Gut dass ich für JEDEN Dienst ein eigenes Kennwort habe.
Zitat von @Frank:
Da ist mir der öffentlichen Schlüssel der Behörde ganz egal, ich könnte ihnen einfach nichts geben.
Da ist mir der öffentlichen Schlüssel der Behörde ganz egal, ich könnte ihnen einfach nichts geben.
Doch.
Du bekommst ja beim Einloggen das Klartextpaßwort, um daraus den hash zu bilden. Beim erfolgreichm Einloggen weißt Du, daß das das passende Paßwort ist und müsstest es dann übermitteln. D h. Du könntest Dich nicht damit rausreden, daß Du das Paßwort nicht hast.
lks
/me2
und eine andere Mailadresse.
lks
Hi,
das generelle Problem ist aus meiner Sicht eher, ob Kontodaten rein der Autentifizierung dienen oder/und auch der Verschlüsselung.
Die große Welle, die da teilweise gebrochen wird ist für mich nicht nachvollziehbar, zumal eine "Passwort vergessen"-option schon ausreicht, um einen Kontozugriff wieder zu ermöglichen.
Warum also entschlüsseln, wenn es auch so möglich sein kann?
Wenn es um verschlüsselte und schützenswerte Inhalte geht, dann wird es interessant für mich.
Gruß,
bdmvg
das generelle Problem ist aus meiner Sicht eher, ob Kontodaten rein der Autentifizierung dienen oder/und auch der Verschlüsselung.
Die große Welle, die da teilweise gebrochen wird ist für mich nicht nachvollziehbar, zumal eine "Passwort vergessen"-option schon ausreicht, um einen Kontozugriff wieder zu ermöglichen.
Warum also entschlüsseln, wenn es auch so möglich sein kann?
Wenn es um verschlüsselte und schützenswerte Inhalte geht, dann wird es interessant für mich.
Gruß,
bdmvg
Mal gefragt, welche Dinge sind über das Internet erreichbar (Facebook, WA, Konto, PayPal usw.), wo nicht der Betreiber eh dem Staat als Infos liefern kann und muss?
Wer sich brauchbar anonym, so zur freien Meinungsäußerung, im Netz bewegen will, wird TAILS, Tor und freies WLAN nutzen.
Wer sich brauchbar anonym, so zur freien Meinungsäußerung, im Netz bewegen will, wird TAILS, Tor und freies WLAN nutzen.
Moin
ich sehe das so: Es geht nicht darum 'alle passwörter' zu bekommen, so wie sich ein Laie das vorstellt sondern um einen Admin-User für Behörden auf jeder Platform. Am besten noch mit einheitlichen Rest-API zum leichteren automatisieren.
Und das wollen wir nicht - Es ist schon okay wenn Behörden die ID EINES Users vom Betreiber bekommen aber nur mit richterlichen Beschluss vorher - Aber Massenüberwachung ? Nee danke, lass mal stecken.
ich sehe das so: Es geht nicht darum 'alle passwörter' zu bekommen, so wie sich ein Laie das vorstellt sondern um einen Admin-User für Behörden auf jeder Platform. Am besten noch mit einheitlichen Rest-API zum leichteren automatisieren.
Und das wollen wir nicht - Es ist schon okay wenn Behörden die ID EINES Users vom Betreiber bekommen aber nur mit richterlichen Beschluss vorher - Aber Massenüberwachung ? Nee danke, lass mal stecken.
Hab Mal eine andere Frage
Was ist mit Seiten oder Diensten die dem biometrische Dienst benutzen als anmelde Daten?
Also wie soll man ein Fingerabdruck als Klartext speichern?
Was ist mit Seiten oder Diensten die dem biometrische Dienst benutzen als anmelde Daten?
Also wie soll man ein Fingerabdruck als Klartext speichern?
Zitat von @SayanMayt:
Hab Mal eine andere Frage
Was ist mit Seiten oder Diensten die dem biometrische Dienst benutzen als anmelde Daten?
Also wie soll man ein Fingerabdruck als Klartext speichern?
Hab Mal eine andere Frage
Was ist mit Seiten oder Diensten die dem biometrische Dienst benutzen als anmelde Daten?
Also wie soll man ein Fingerabdruck als Klartext speichern?
Man speichert einfach die Merkmale als "Klartext". Solange keine Lebenderkennung und ein zeitstempel verwendet wird und der Fingerabdruckscanner nicht direkt verschlüsselt mit dem Diensdt kommuniziert ist das überhaupt kein Problem einen Client so z upräparieren, daß er den passenden Fingerabdruck schickt.
Aber die Politiker denken viel zu kompliziert. Um an die Daten zu kommen, müssen sie dem Dienst einfach nur ein passenden Wisch vom Richter vor die Nase halten. Auch beim jetzigen Stand der Gesetze.
lks
Heut zu Tage weird doch verschlüsselt,
Also ich meine hier der ganze Mail Verkehr oder Chat Verkehr so das sogar der Besitzer der Plattform nicht mehr auch dem Konversation Verlauf zugreifen kann.
Ich denke die versuchen die ganze Chat/Mail Verschlüsselungen zu umgehen und direkt auf die acc zu zugreifen.
Weil jetze der whats App Chat ist doch end zu Ende verschlüsselt so das der Dienstanbieter selbst kann nicht sehen was da drin geschrieben wird.
Ist nur meine Meinung
Aber danke für die Aufklärung mit dem Finger Abdruck weil ich dachte der wird gehascht
Also ich meine hier der ganze Mail Verkehr oder Chat Verkehr so das sogar der Besitzer der Plattform nicht mehr auch dem Konversation Verlauf zugreifen kann.
Ich denke die versuchen die ganze Chat/Mail Verschlüsselungen zu umgehen und direkt auf die acc zu zugreifen.
Weil jetze der whats App Chat ist doch end zu Ende verschlüsselt so das der Dienstanbieter selbst kann nicht sehen was da drin geschrieben wird.
Ist nur meine Meinung
Aber danke für die Aufklärung mit dem Finger Abdruck weil ich dachte der wird gehascht
Zitat von @SayanMayt:
Weil jetze der whats App Chat ist doch end zu Ende verschlüsselt so das der Dienstanbieter selbst kann nicht sehen was da drin geschrieben wird.
Weil jetze der whats App Chat ist doch end zu Ende verschlüsselt so das der Dienstanbieter selbst kann nicht sehen was da drin geschrieben wird.
Das sagt Dir facebook. Aber ich glaube denen nicht, wenn sie sagen sue könnten selbst nicht drauf zugreifen, denn sie haben die Kontrolle über die Clients.
Ist nur meine Meinung
Aber danke für die Aufklärung mit dem Finger Abdruck weil ich dachte der wird gehascht
Aber danke für die Aufklärung mit dem Finger Abdruck weil ich dachte der wird gehascht
Der kann durchaus gehasht sein. Aber was hindert den Anbieter daran, beim Anmelden den "Klartext" mit abzupeichern, wenn die Behörden ihn dazu aufgefordert haben?
lks
Der kann durchaus gehasht sein. Aber was hindert den Anbieter daran, beim Anmelden den "Klartext" mit abzupeichern, wenn die Behörden ihn dazu aufgefordert haben?
Die DSGVO, die sagt, dass man keine Passwörter oder auch persönliche Merkmale im Klartext speichern darf. Laut Gesetz, darf man kein Verbrechen mit einem Verbrechen bekämpfen bzw. einer illegalen Aktivität aufklären. Das ist, mit Verlaub, vor Gericht nicht haltbar und als Beweismittel wird es in der Regeln nicht zugelassen. Darauf kann sich jeder Seitenbetreiber beziehen.
Du bekommst ja beim Einloggen das Klartextpaßwort, um daraus den hash zu bilden.
Klar hat das System für eine Millisekunde das Klartextpasswort, die Systeme dürfen es aber nicht speichern (es folgen hohe Geldstrafen, wenn man es doch tut, siehe DSGVO). Wenn dann die Anfrage der Bundesregierung kommt, hat der Betreiber das Passwort in der Regel nicht.
Das das Gesetz einen genereller Zugang zum System haben will, sehe ich in dem Entwurf nicht. Er beschränkt sich auf Angaben von persönlichen Daten (IP, Name, Adresse, Passwort etc.) über User, keinen Generalzugriff.
Die Frage ist doch eher, welches Gesetz überwiegt: Die Interessen der DSGVO oder der des aktuellen Entwurfs. Laut Ministerin Christine Lambrecht von der einstigen Volkspartei SPD wollen sie ja das verschlüsselte Passwort haben und die DSGVO soll eingehalten werden. Daher dreht sich die Diskussion im Kreis.
Gruß
Frank
Die DSGVO, die sagt, dass man keine Passwörter oder auch persönliche Merkmale im Klartext speichern darf. Laut Gesetz, darf man kein
Verbrechen mit einem Verbrechen bekämpfen bzw. einer illegalen Aktivität aufklären. Das ist, mit Verlaub, vor Gericht nicht haltbar und als
Beweismittel wird es in der Regeln nicht zugelassen. Darauf kann sich jeder Seitenbetreiber beziehen.
Verbrechen mit einem Verbrechen bekämpfen bzw. einer illegalen Aktivität aufklären. Das ist, mit Verlaub, vor Gericht nicht haltbar und als
Beweismittel wird es in der Regeln nicht zugelassen. Darauf kann sich jeder Seitenbetreiber beziehen.
Schau dir mal die DS-GVO an, wenn es um den Bereich staatlicher Zugriff geht, die DS-GVO gilt nicht für das FA, es gilt nicht für die GEZ, es gilt nicht für.... ;)
(Bin kein Jurist, man nehme sich selbst die entsprechenden Stellen - ich vermute, mit dem Argument kommst du nicht durch, wenn man dich dazu verpflichtet musst du wohl umstellen - oder anderweitig Abhilfe schaffen)
@@falscher-sperrstatus
die DSGVO gilt für mich als Seitenbetreiber im vollen Umfang. Es geht um Datenschutz und ich habe keine Regelung gefunden, die andere Stellen dazu ermächtigt, ihnen Zugriff auf persönliche Informationen von uns zu geben. Das das FA oder die GEZ von Regelungen der DSGVO ausgenommen sind, kann sein, betreffen uns aber nicht.
Auch finde ich im jetzt diskutieren "Referentenentwurf für ein Gesetz zur Bekämpfung von Rechtsextremismus und Hasskriminalität im Internet" keine Stelle, wo ich sozusagen "zukünftig" Verpflichtet werde. Es geht da Hauptsächlich um eine aktuelle Auskunftspflicht und nicht, dass ich mit technischen Möglichkeiten einen zukünftigen Zugriff speichern soll. Das wäre aber der Fall, wenn ich eine Anordnung für die zukünftige Speicherung für ein Klartext-Passwort bekommen würde.
Sollten sie wirklich (noch) eine Verpflichtung einbauen, müssten sie uns rechtlich von der DSGVO für den jeweiligen Fall befreien, was ich so aber bisher nicht gelesen habe. Das ist auch rechtlich sehr aufwendig und bisher wohl nicht Bestandteil des Referentenentwurfs.
Gruß
Frank
die DSGVO gilt für mich als Seitenbetreiber im vollen Umfang. Es geht um Datenschutz und ich habe keine Regelung gefunden, die andere Stellen dazu ermächtigt, ihnen Zugriff auf persönliche Informationen von uns zu geben. Das das FA oder die GEZ von Regelungen der DSGVO ausgenommen sind, kann sein, betreffen uns aber nicht.
Auch finde ich im jetzt diskutieren "Referentenentwurf für ein Gesetz zur Bekämpfung von Rechtsextremismus und Hasskriminalität im Internet" keine Stelle, wo ich sozusagen "zukünftig" Verpflichtet werde. Es geht da Hauptsächlich um eine aktuelle Auskunftspflicht und nicht, dass ich mit technischen Möglichkeiten einen zukünftigen Zugriff speichern soll. Das wäre aber der Fall, wenn ich eine Anordnung für die zukünftige Speicherung für ein Klartext-Passwort bekommen würde.
Sollten sie wirklich (noch) eine Verpflichtung einbauen, müssten sie uns rechtlich von der DSGVO für den jeweiligen Fall befreien, was ich so aber bisher nicht gelesen habe. Das ist auch rechtlich sehr aufwendig und bisher wohl nicht Bestandteil des Referentenentwurfs.
Gruß
Frank
Sollten sie wirklich (noch) eine Verpflichtung einbauen, müssten sie uns rechtlich von der DSGVO für den jeweiligen Fall befreien, was ich so
aber bisher nicht gelesen habe. Das ist auch rechtlich sehr aufwendig und bisher wohl nicht Bestandteil des Referentenentwurfs.
aber bisher nicht gelesen habe. Das ist auch rechtlich sehr aufwendig und bisher wohl nicht Bestandteil des Referentenentwurfs.
Nunja, ich sehe dies vielleicht bereits etwas "spätfolgenabschätzend", wie es so schön in DSGVO Sprech heisst so, dass dies kommen wird. Wie einfach oder wie schwer...naja, tun werden Sie es.
Nunja, ich sehe dies vielleicht bereits etwas "spätfolgenabschätzend", wie es so schön in DSGVO Sprech heisst so, dass dies kommen wird. Wie einfach oder wie schwer...naja, tun werden Sie es.
Nein, das glaube ich nicht. Für eine Demokratie wäre das zu hart. Soweit gehen auch unsere Politiker nicht.
Gruß
Frank