Auf unseren Cryptoparties sprechen wir auch regelmäßig über sichere Passwörter und die Notwendigkeit Passwörter verschlüsselt, z.B in einem Passwortsafe, abzuspeichern.
Über Facebook liest man immer wieder Meldungen zum laxen Umgang mit Daten der Plattformnutzer. In den letzten Wochen konnte man lesen, Facebook habe seit Jahren hunderte Millionen Passwörter im Klartext gespeichert und Facebook-Mitarbeiter hätten Zugriff auf diese Passwörter gehabt.[1]
Das führt zum einen zum nächsten Crypto-Tipp: benutzt pro Plattform ein eigenes Passwort! Zum anderen wirft es die Frage auf, warum Facebook Nutzerpasswörter unverschlüsselt speichert. Zumindest dann, wenn man nicht pauschal Schludrigkeit oder technisches Unvermögen unterstellt. Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), scheint genau das zu tun und nennt es in seiner Stellungnahme „skandalös“, dass Facebook „offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen.“[2]
Rückblick. Am 01.07.2013 hat der Bundesrat das Gesetz zur Neuregelung der Bestandsdatenauskunft beschlossen[3] und damit die Bestandsdatenauskunft nach §113 des Telekommunikationsgesetzes (TKG)[4] geändert. Hier ist festgelegt, wann und wie staatliche Stellen welche Nutzerdaten von Telekommunikationsanbietern anfordern dürfen.
Das Gesetz wurde und wird von Datenschützern heftig und als verfassungswidrig kritisiert. Ein Kritikpunkt ist, dass eine Vielzahl staatlicher Stellen bereits bei Ordnungswidrigkeiten Auskunftsrechte haben. Auf der Seite „bestandsdatenauskunft.de“ gibt es einen guten Überblick zu dem Thema und zum aktuellen Stand der von Patrick Breyer und Katharina Nocun eingereichten Verfassungsbeschwerde.[5]
Das staatliche Auskunftsrecht „gilt auch für Daten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird“.[6] Auf deutsch: staatliche Stellen dürfen auch Passwörter anfragen. In Absatz 4 des §113 TKG ist zudem geregelt, dass die betroffenen Nutzer nicht über die Anfrage und Herausgabe der Daten informiert werden dürfen.
Die angefragten Unternehmen müssen staatlichen Stellen also Zugriff auf passwortgeschützte Daten geben können, ohne dass die Nutzer dies bemerken. Dazu könnte man, neben anderen Möglichkeiten, unternehmensintern z.B. die Nutzerpasswörter im Klartext speichern, um sie, bei Bedarf, an Behörden weiterzugeben. Je nach Unternehmensgröße ist es organisatorisch dann kaum zu vermeiden, dass dutzende von Mitarbeitern Zugriff auf die Nutzerdaten bekommen. Wie der Schutz der abgefragten Daten in den staatlichen Behörden erfolgt, ist eine weitere Frage.
Natürlich hängen nicht hunderte Millionen im Klartext gespeicherter Passwörter mit der deutschen Bestandsdatenauskunft zusammen. Ein gewichtigerer Grund dürften die von Edward Snowden bekannt gemachten Datenaustauschprogramme zwischen US-Geheimdiensten und den großen Internetkonzernen sein. Klar ist aber, dass die Regelung zur Bestandsdatenauskunft einen echten Datenschutz verhindert und „Datenlecks“ auch weiterhin provozieren wird. Immerhin hatte sich Andrea Voßhoff, damals noch BfDI, der Kritik von Breyer und Nocun an der Bestandsdatenauskunft angeschlossen.[7] Bleibt abzuwarten, was der neue BfDI Ulrich Kelber dazu sagt.
Vermutlich liegt die Verantwortung aber weiterhin bei uns, unsere Daten effektiv zu schützen.
Quellen:
[1]
https://www.heise.de/security/meldung/Facebook-Hunderte-Millionen-Passwoerter-im-Klartext-gespeichert-4342184.html
[2]
https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/13_Facebook_Passwortskandal.html
[3]
https://www.bfdi.bund.de/DE/Datenschutz/Themen/Telefon_Internet/TelefonArtikel/NeuregelungBestandsdatenauskunft.html
[4]
https://dejure.org/gesetze/TKG/113.html
[5]
http://bestandsdatenauskunft.de
[6]
https://dejure.org/gesetze/TKG/113.html
(§113 TKG, Abs.1, Satz 2)
[7]
http://bestandsdatenauskunft.de/?p=492 Bericht von 3SAT nano vom 03.05.2013: „Bestandsdatenauskunft - Die Lizenz zum Datenschnüffeln“
https://youtube.com/watch?v=U9QKtmKmWl8)
(leider nicht mehr in der Mediathek verfügbar)