Zum Hauptinhalt springen
Meinung

Keine Herausgabe von Passwörtern durch Dienstleister wie Social Media

Stellungnahme des Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik e.V. (GI) zum Referentenentwurf des Bundesministeriums der Justiz und für Verbraucherschutz eines „Gesetzes zur Bekämpfung des Rechtsextremismus und der Hasskriminalität“

 

Das Bundesministerium der Justiz und für Verbraucherschutz plant laut einem Referentenentwurf ein Gesetz zur Bekämpfung von Rechtsextremismus und sogenannter Hasskriminalität – gemeint sind Äußerungsdelikte, die den öffentlichen Frieden massiv gefährden, wie z.B. die Androhung, Belohnung oder Billigung von Straftaten, Volksverhetzung oder Gewaltdarstellungen. Alle Anbieter von Telemediendiensten – nicht nur großer Social Networks oder Messenger-Dienste, sondern alle Anbieter von Internetdiensten – sollen in einem neuen § 15a Telemediengesetz u.a. verpflichtet werden, vertrauliche Passwörter ihrer Nutzer, „mit denen der Zugriff auf Endgeräte oder auf Speichereinrichtungen … geschützt wird“ an Behörden der Strafverfolgung und der Gefahrenabwehr sowie Nachrichten­diensten zu übermitteln. Ein Richter­vorbehalt wird für keine auskunftsberechtigte Behörde wie die Ver­fassungs­schutzbehörden des Bundes und der Länder, den Bundesnachrichtendienst und die Be­hör­den der Zollverwaltung formuliert – allein Auskunftsersuchen der Staats­an­walt­schaft sind davon gemäß § 100j (3) 1 StPO ausgenommen.[1]

Der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der GI lehnt jede Aufweichung der Vertraulichkeit von Passwörtern ab. Vertrauliche Passwörter, private Schlüssel und ähnliche Mechanismen sind grundlegend für Datenschutz und IT-Sicherheit. Es besteht in der Fachwelt Konsens, das solche hochsensiblen Daten den Verfügungsbereich des jeweiligen Benutzers ausnahmslos nicht verlassen dürfen, weil sonst ihre Verwendung und Weitergabe nicht mehr kontrollierbar und dem Missbrauch Tür und Tor geöffnet ist.

IT-Sicherheit heißt daher Unausforschbarkeit von Passwörtern

Der Präsidiumsarbeitskreis ‚Datenschutz und IT-Sicherheit‘ der GI lehnt insbesondere die Herausgabe vertraulicher Passwörter ab. Eine vergleichbare Regelung trifft zwar seit fünf Jahren § 113 des Telekommunikationsgesetzes für wenige tausend Anbieter von Telekommunikationsdiensten. Dort ist die Herausgabe von Passwörtern aber auf solche beschränkt, die der Anbieter vergibt, wie Persönliche Identifikationsnummer (PIN) und der Personal Unlock Key (PUK) – die der Anbieter also kennt. Nicht erfasst sind dagegen Passwörter, die der Nutzer selbst wählt und die für den Anbieter unzugänglich gespeichert sind. Für den Anbieter besteht keine Pflicht, verschlüsselte Passworte zu ent­schlüsseln.

Der Präsidiumsarbeitskreis fordert, für die neue Vorschrift des § 15a TMG, dass die An­bieter verschlüsselte Passworte nicht entschlüsseln und nicht im Klartext spei­chern dürfen. Sie dürfen auch nicht gezwungen werden, ihr Passwort­sicherungs­verfahren zu ändern. Passwörter sind der Schlüssel zu allen schützens­­werten Inhalten in der digitalen Gesellschaft. Sicherheit heißt daher Unausforschbarkeit von Passwörtern. Es entspricht dem Stand der Sicherheitstechnik, Passwörter ausnahmslos unzugänglich zu speichern (Einwegverschlüsselung, Hashes), so dass es keine Möglichkeit gibt, diese Passwörter zu entschlüsseln.

Im Übrigen ist nicht zu erkennen, wie Äußerungsdelikte, die ja zu ihrer Strafbarkeit verbreitet werden müssen, durch das Ausforschen von Passwörtern bekämpft werden können. Hierfür kann allenfalls die Bekämpfung der Kinderpornografie – wieder einmal – als Begründung dienen. Auf diese ist die Herausgabe von Passwörtern aber nicht begrenzt, sondern gilt „zur Verfolgung von Straftaten oder Ordnungswidrigkeiten oder zur Abwehr von Gefahren“.

Auch ist nicht zu erkennen, warum alle Telemediendienste, auch wenn sie keine Äußerungsdelikte verbreiten, diese neue Pflicht treffen soll und nicht nur große Social-Media-Anbieter. Sie ohne Differenzierung zusätzlich zu belasten, ist unverhältnismäßig.

Die neue Regelung darf nicht dazu führen, die Sicherheit von Daten und Kommunikationsvorgängen in und mit Behörden, Unternehmen und Privatpersonen zu gefährden. Wären Passwörter dagegen zugänglich oder ausforschbar, könnten binnen Kurzem Kriminelle diese auslesen und Dateien und Kommunikation beliebig mitlesen und auch manipulieren (z.B. Gesundheitsdaten). Hier entstünde umgehend ein Schwarzmarkt für Passwörter. Damit wäre der Schaden für die Gesellschaft insgesamt und für einzelne weit größer als der mögliche Gewinn für die Bekämpfung von Kinderpornografie, sogenannte Hasskriminalität und sonstigen Straftaten oder Ordnungswidrigkeiten im Internet.

Vielmehr gibt es seit langem wohletablierte Techniken zur Einhaltung dieses Grundsatzes: Verantwortungsbewusste Internet-Dienstleister ermöglichen dem Benutzer einen pass­wort­­geschützten Zugang ohne dessen Passwort im Klartext zu kennen. Somit zielt die Intention des neuen § 15a von vornherein ins Leere, zumindest bei einem Teil der Dienstleister. Anstatt nun die schwarzen Schafe bei den Dienstleistern zu einem dem Stand der Technik entsprechenden Umgang mit Passwörtern zu zwingen, geht der Gesetzgeber offenbar davon aus, dass jetzt und in Zukunft die meisten Dienstleister kein kundenfreundliches Passwort-Management praktizieren.

Über den Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für Informatik (GI)

Sicherheits- und Datenschutzaspekte werden stark zunehmend von Gesellschaft, Unternehmen und auch der Politik adressiert. In der GI befassen sich eine Vielzahl von Fachbereichen (u.a. Sicherheit – Schutz und Zuverlässigkeit) mit diesen Themen, so dass das Präsidium den alle Fachbereiche übergreifenden Arbeitskreis Datenschutz und IT-Sicherheit mit der Bearbeitung beauftragt hat. Weitere Informationen finden Sie unter https://pak-datenschutz.gi.de

Über die Gesellschaft für Informatik (GI)

Die Gesellschaft für Informatik e.V. (GI) ist mit rund 20.000 persönlichen und 250 korporativen Mitgliedern die größte und wichtigste Fachgesellschaft für Informatik im deutschsprachigen Raum und vertritt seit 1969 die Interessen der Informatikerinnen und Informatiker in Wissenschaft, Wirtschaft, öffentlicher Verwaltung, Gesellschaft und Politik. Mit 14 Fachbereichen, über 30 aktiven Regionalgruppen und unzähligen Fachgruppen ist die GI Plattform und Sprachrohr für alle Disziplinen in der Informatik. Die Mitglieder binden sich an die Ethischen Leitlinien für Informatikerinnen und Informatiker der GI. Weitere Informationen finden Sie unter www.gi.de.

 


Die gesamte Stellungnahme kann hier heruntergeladen werden: Stellungnahme des Präsidiumsarbeitskreises.


 

 

[1] Der Satz „Dies soll ohne richterlichen Beschluss erfolgen.“ wurde am 28.01.2020 zugunsten der präziseren Formulierung aktualisiert.