• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Ein Blick aus dem Fenster verrät es: Der Lenz ist da. Passenderweise wird auch der Frühling unser Thema für das Foto des Monats. Hier geht es lang --> Klick

Regierungsplan: Herausgabe von Passwörtern an Behörden

wavelow

wavelow

Holländischer Prinz
Registriert
09.09.14
Beiträge
1.847
Es gibt seitens Bundesjusztizministerin Lambrecht den Wunsch, in Zukunft Diensteanbieter dazu zu verpflichten die Passwörter ihrer User heraus zu rücken.

Abgesehen davon, dass unsere Regierung nie so wirklich mit dem reellen Geschehen in der Netzwelt vertraut zu sein scheint, stelle ich mir da als Tüftler gleich ein paar technische und andere Fragen:

- Wie geht das? Die Anbieter sind doch verpflichtet Passwörter verschlüsselt zu speichern. Was sollen sie herausgeben?

- Würden Hash Werte rausgegeben, welche Experten sollten diese entschlüsseln und mit welchen Aufwand?

- Was ist mit 2-FA geschützten Zugängen?

- Was passiert bei ausländischen Diensten bei denen die deutsche Gerichtsbarkeit ja keinerlei Zugriff erhalten wird?

- Am Ende kommen verpflichtende Hintertüren wie in den USA für die NSA und Co. dabei heraus?
(auch hier wieder nur für deutsche Anbieter. Wie sollten ausländische Anbieter dazu verpflichtet werden?)

- Sind Terroristen wirklich so blöd und kommunizieren über Facebook und WhatsApp?



Viele Fragen. Vielleicht kann die eine oder andere ja mal geklärt werden :)

Im Übrigen verweise ich noch auf die Forderungen des CCC (Chaos Computer Clubs) in dem sie das kompromisslose Recht auf Verschlüsselung für alle fordern.
 
Martin Wendel

Martin Wendel

Redakteur & Moderator
AT Administration
AT Moderation
AT Redaktion
Registriert
06.04.08
Beiträge
45.499
wavelow schrieb:
Die Anbieter sind doch verpflichtet Passwörter verschlüsselt zu speichern.
Zum Vergrößern anklicken....
Sind sie das? Wäre mir nicht bekannt.

wavelow schrieb:
Was ist mit 2-FA geschützten Zugängen?
Zum Vergrößern anklicken....
Dann fangen sie mit dem Passwort halt nichts an. :)

wavelow schrieb:
Was passiert bei ausländischen Diensten bei denen die deutsche Gerichtsbarkeit ja keinerlei Zugriff erhalten wird?
Zum Vergrößern anklicken....
Auch ausländische Dienste müssen sich an die hiesigen Gesetze halten, wenn sie einen Vertrag mit Nutzern eingehen.
 
Wuchtbrumme

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
22.281
Martin Wendel schrieb:
Dann fangen sie mit dem Passwort halt
Auch ausländische Dienste müssen sich an die hiesigen Gesetze halten, wenn sie einen Vertrag mit Nutzern eingehen.
Zum Vergrößern anklicken....

das wird immer wieder postuliert, dadurch wird es aber nicht richtiger. Formuliere doch lieber, dass der deutsche Gesetzgeber es gerne so hätte! [emoji3]

Fakt ist: Der Diensteanbieter weiss im Zweifel gar nicht, wo der Client sitzt.
 
  • Like
Reaktionen: tobeinterested, wavelow und dg2rbf
wavelow

wavelow

Holländischer Prinz
Registriert
09.09.14
Beiträge
1.847
Martin Wendel schrieb:
Sind sie das? Wäre mir nicht bekannt.
Zum Vergrößern anklicken....
Also ich lese das aus den geltenden Gesetzen (zumindest für deutsche Anbieter so heraus)
(selbst wenn dem nicht so wäre, gehe ich als User heutzutage davon aus, dass sie dies tun)


Rechtliche Grundlage:
Die Authentifizierung mittels Nutzername und Passwort sowohl bei Geräten als auch Diensten stellt eine technische und organisatorische Maßnahme nach Artikel 32 DSGVO dar. Eine sichere Authentifizierung der Nutzer ist ein Baustein, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten, Systeme und Dienste auf Dauer sicherzustellen (vgl. Art. 32 DSGVO). Setzen Verantwortliche unzureichende technische und organisatorische Maßnahmen um, können Bußgelder bis zu 10 Millionen Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist (vgl. Art. 83 Abs. 4 DSGVO). Verantwortliche sind also angehalten, angemessene technische und organisatorische Maßnahmen durchzuführen.

Entwickler von Anwendungen, Web-Portalen, Apps oder ähnlichem müssen zum Vergleich beim Login die Zugangsdaten der Nutzer speichern. Dabei dürfen sie die Passwörter auf keinen Fall im Klartext speichern, sondern müssen stattdessen moderne Verfahren wie Argon2 nutzen, für das fertige Libraries für alle gängigen Programmiersprachen zur Verfügung stehen. Üblicherweise sollten dafür existierende Software-Bibliotheken und etablierte Verfahren zur Speicherung verwendet werden. Dabei ist auch auf ausreichende Entropie durch „Salt“ und „Pepper“ zu achten.

Quelle: Landesbeauftragter für den Datenschutz und Informationsfreiheit Baden-Würtenberg


Wenn man sich das Beispiel Türkei ansieht, wird schnell deutlich wie unangenehm solche Dinge für Viele werden können. Was heute noch durch Meinungsfreiheit und Datenschutz geschützt ist, wird dort zum Anlass genommen Leute willlkürlich in den Knast zu sperren die vielleicht vor Jahren irgendwo mal irgendwas geschrieben haben von dem sie selber schon nichts mehr wussten. Was damals auch kein Problem darstellte. Für die aktuelle Regierung aber sind diese Menschen nun Terroristen. So schnell kann sich eben alles wandeln.
 
  • Like
Reaktionen: Martin Wendel
Wuchtbrumme

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
22.281
jaja, das eine ist Wunschdenken. Stelle Dir nur mal vor (das ist übertrieben: das gibt es wirklich! aber hier nur mal hypothetisch formuliert) es hätte in den USA einen Sharewareanbieter. Der hat überhaupt keine Ahnung, wo seine Kunden sitzen, wenn sie ihm das nicht ehrlich sagen. Er will es auch gar nicht wissen, er will nur amerikanische Kunden bedienen und sagt das auch so ausdrücklich. Jetzt geht X aus B an der S in D hin, verbindet sich mit der Webseite, schummelt so ein bisserl bei den Angaben oder vielleicht wird er auch gar nicht gefragt und schwups - hat er einen Vertrag. Nach deutschem Recht wollte er den schließen, da kann man auch mit Weihnachtsmann unterschreiben, die gültige Willenserklärung war da. Und der Anbieter hat ausländische Kunden ausgeschlossen, definiert Gerichtsstand Seattle, Washington State, liefert aber trotzdem einen elektronischen Download aus. Von Käufer X aus D bekommt er sein Geld und alles ist gut (wir unterstellen jetzt einfach mal, dass die Steuern kein Problem seien).

Jetzt bezieht man das vielleicht auf Telemediendienste - aber da sieht es nicht viel anders aus. Mal provokant formuliert: wir sind ja nicht die Krone der weltweiten Schöpfung. Auch in Russland hat es Dienste wie z.B. vk.com. Meinst Du ernsthaft, die russischen Behörden oder Dienste unterwerfen sich deutschem Recht? Die sagen: Du brauchst Dich hier nicht einloggen, das passiert zu unseren Konditionen, wie wankelmütig die auch seien (im Zweifel sogar so schlimm wie amerikanische..).

Vieles lässt sich mit analoger Anwendung bisherigen Rechts abfangen, dazu ist es entsprechend verallgemeinert und wird dann ausgelegt. Vieles ist aber gar nicht abzufangen weil es Fehler in der Matrix^WLogik gibt, die sich nicht auflösen lassen. Ein Geburtsfehler von Nationalstaaten, die nicht an die Digitalisierung gedacht haben. Oder anders formuliert: wenn jeder Staat für sich definiert, dass jeder sich an seine Gesetze zu halten habe, dann kann die negative Ergebnismenge dieser logischen Betrachtung nur dann leer sein, wenn überall alle Regeln identisch oder zumindest kompatibel zueinander sind. Sind sie aber nicht und es wird zumindest zu jedem Zeitpunkt einen geben, der aus Absicht ausreißt.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: tobeinterested und wavelow
Du musst dich einloggen oder registrieren, um hier zu antworten.
2003-2025 Apfeltalk | Made on a Mac
Oben Unten