Gesetz passiert Bundestag

Behörden dürfen künftig Nutzer-Passwörter von Anbietern verlangen

Veröffentlicht: 29.01.2021 | Geschrieben von: Sandra May | Letzte Aktualisierung: 04.02.2021
Passwortfeld im Internet-Browser

Um Hass und Kriminalität im Netz besser bekämpfen zu können, hat der Bundestag einem neuen, bereits im Vorfeld hoch umstrittenen Gesetz zugestimmt. Ermittlungsbehörden sollen in bestimmten Fällen umfassende Auskunftsansprüche gegenüber Telekommunikationsbetreibern über die Bestandsdaten von Nutzern und Nutzerinnen haben. 

Anbieter müssten Name, Adresse und Passwörter herausgeben

Liegt „eine erhebliche Gefahr für die öffentliche Sicherheit oder zureichende tatsächliche Anhaltspunkte für eine Straftat“ vor, sollen Geheimdienste und Ermittlungsbehörden, wie das BKA, die Bundespolizei oder das Zollkriminalamt die entsprechenden Daten von Dienstanbietern einholen können. Zu den Daten gehören laut Heise Namen, Adressen, Bankverbindungen und auch Passwörter. 

Dem Gesetz stimmten die Union und die SPD zu. Von Seiten der Grünen gab es Kritik. Die Gefahr, dass dieses Gesetz verfassungswidrig sei und in Karlsruhe scheiterte, sei wahrscheinlich. Auch aus den Reihen der Afd wurde das Gesetz als „offensichtlich verfassungswidrig“ bezeichnet. Die FDP bezeichnete die Anhörung als Farce. Die fundamentale Kritik von Sachverständigen sei einfach an den Entscheidern abgeperlt. 

Im Vorfeld hatte das Bundesverfassungsgericht mehrmals die Bestimmungen zur Datenauskunft für grundrechtswidrig erklärt. Ein ähnliches Schicksal könnte auch diese Fassung ereilen. Denn auch an der jetzigen Fassung gibt es verfassungsrechtliche Bedenken. Besonders die geplante Abrufmöglichkeit auch von Nutzungsdaten wie URLs, Kommunikation auf sozialen Netzwerken oder Pseudonymen werde wieder zum Scheitern vor dem Bundesverfassungsgericht führen, mahnten Sachverständige in der parlamentarischen Anhörung. In dem Entwurf tauche insgesamt 23 mal der Begriff „drohende Gefahr“ auf. Was aber eine solche Gefahr genau sei, werde allerdings nicht erklärt. 

Die Große Koalition entgegnet allerdings, dass die aktuelle Fassung „genau die Vorgaben des Bundesverfassungsgerichts“ erfülle. Datenschutz dürfe nicht zum Täterschutz werden. 

„Passwortgate“ in der Kritik

Das als „Passwortgate“ bekannte Gesetz wird schon seit seiner Idee scharf kritisiert. Kritisiert wird beispielsweise, dass sensible Daten auch für die ledigliche Bekämpfung von Schwarzarbeit verlangt werden dürfen. Wenn es nicht bitter wäre, wäre die vorgesehene Beauskunftung von Passwörtern „zur Abwehr einer konkreten Gefahr für Leib, Leben oder Freiheit einer Person oder für den Bestand des Bundes oder eines Landes“ eigentlich ziemlich amüsant.

Diensteanbieter sind aus Sicherheitsgründen dazu verpflichtet, die Passwörter verschlüsselt zu speichern. Für die Verschlüsselung wird auf sogenannte Hash-Werte zurückgegriffen. Diese gelten als besonders sicher, weil man sie eben nicht einfach zurück entschlüsseln kann. Vielmehr muss ein Rechner alle Möglichkeiten durchprobieren. Dabei gibt der Hash-Wert nicht einmal die Länge des verwendeten Passworts Preis. „Die Entschlüsselung eines verschlüsselten Passworts ist mit einer ordentlichen Rechenleistung verbunden“, erklärt uns dazu ein IT-Experte und rechnet uns das an Hand eines Beispiels vor: Geht man davon aus, dass ein Nutzer ein Passwort mit insgesamt zehn Zeichen verwendet und dabei nur Buchstaben, Ziffern plus die zehn bekannten Sonderzeichen einsetzt, benötigt ein Rechner mit einer Spezialhardware, die etwa eine Milliarde Varianten pro Sekunde durchtesten kann. trotzdem etwa 120 Jahre um alle Kombinationen durchzutesten. Bei einem Passwort mit elf Stellen sind es bereits 8.500 Jahre. Etwas schneller ginge es mit dem Einsatz von Rainbow Tables. Dabei werden nicht einfach alle Kombinationen durchprobiert, sondern sinnvolle Wörter und Zahlenkombinationen.

Sicherlich: Unabhängig von der Technik ist ein Treffer bereits vor dem Durchprobieren aller Varianten möglich und das BKA wird mehr, als einen dieser Rechner haben. Ob dieser Aufwand den eklatanten Eingriff in die Grundrechte eines möglichen Verdächtigen rechtfertigt, muss das Bundesverfassungsgericht klären. Bundesjustizministerin Lambrecht rechtfertige im Vorfeld jedenfalls diesen Eingriff. Immerhin bestehe zumindest die Möglichkeit, Passwörter mit hohem Aufwand zu entschlüsseln. 

Über die Autorin

Sandra May Expertin für: IT- und Strafrecht

Sandra schreibt seit September 2018 als juristische Expertin für OnlinehändlerNews. Bereits im Studium spezialisierte sie sich auf den Bereich des Wettbewerbs- und Urheberrechts. Nach dem Abschluss ihres Referendariats wagte sie den eher unklassischen Sprung in den Journalismus. Juristische Sachverhalte anschaulich und für Laien verständlich zu erklären, ist genau ihr Ding.

Sie haben Fragen oder Anregungen?

Kontaktieren Sie Sandra May

Kommentare  

#1 klaus2021 2021-02-03 16:36
Wie die Regierungsparte ien und Grünen abgestimmt haben wurde hier berichtet. Wie haben die anderen 3 Oppositionspart eien abgestimmt? Oder zählen die jetzt auch nicht mehr?
vg

_________________________________

Antwort der Redaktion

Hallo Klaus,

danke für den berechtigten Hinweis.
Wir haben die Meinungen der anderen Parteien ergänzt.

Mit besten Grüßen
die Redaktion
Zitieren

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.