NSA und Co. fordern anscheinend auch die Herausgabe von Passwörtern von Unternehmen

Nachdem wir vorgestern berichtet haben, dass amerikanische Polizei- und Verfassungsschutzbehörden die Herausgabe von SSL-Master-Keys von Unternehmen verlangen, kann die neuste Nachricht kaum mehr überraschen. Die amerikanischen Behörden verlangen nämlich scheinbar auch Nutzerpasswörter, teilweise sogar samt Verschlüsselungsalgorithmus und Salt. Das berichtet CNET mit Bezug auf zwei anonyme Quellen aus der Industrie.

„I’ve certainly seen them ask for passwords,“ said one Internet industry source who spoke on condition of anonymity. „We push back.“ A second person who has worked at a large Silicon Valley company confirmed that it received legal requests from the federal government for stored passwords. Companies „really heavily scrutinize“ these requests, the person said. „There’s a lot of ‚over my dead body.'“

Microsoft, Google und Yahoo wollten sich nicht dazu äußern ob sie solche Anfragen von amerikanischen Behörden tatsächlich erhalten hätten, sagten aber entschieden, niemals die Passwörter seiner Nutzer preis zu geben. Yahoo:

If we receive a request from law enforcement for a user’s password, we deny such requests on the grounds that they would allow overly broad access to our users‘ private information. If we are required to provide information, we do so only in the strictest interpretation of what is required by law.


Weitere Unternehmen, darunter Facebook, Apple und Verizon, wollten überhaupt keine Stellungnahme abgeben. Ebenso wollte das FBI keine Stellungnahme abgegen.

Ähnlich wie bereits bei der Herausgabe der SSL-Master-Keys haben es die US-Behörden hier aber sicherlich auf kleinere Unternehmen abgesehen, welche nur wenige Möglichkeiten haben sich gegen die Behörden zu wehren. Und da Nutzer oftmals nur ein Passwort für eine Reihe verschiedener Dienste verwenden, besteht die Möglichkeit, dass es den Behörden reicht ein Passwort zu erhalten und damit Zugriff auf ein Vielzahl von Diensten erhält.

Eine Frage, die zum jetzigen Zeitpunkt ungeklärt scheint, ist die Frage der Rechtmäßigkeit einer solchen Anfrage auf Herausgabe des Nutzerpassworts:

„This is one of those unanswered legal questions: Is there any circumstance under which they could get password information?“ said Jennifer Granick, director of civil liberties at Stanford University’s Center for Internet and Society. „I don’t know.“ Granick said she’s not aware of any precedent for an Internet company „to provide passwords, encrypted or otherwise, or password algorithms to the government — for the government to crack passwords and use them unsupervised.“ If the password will be used to log in to the account, she said, that’s „prospective surveillance,“ which would require a wiretap order or Foreign Intelligence Surveillance Act order.

Dass die Behörden aber auch noch andere Wege haben, an die Passwörter und damit an die Daten der Nutzer zu gelangen, schildert ein Anwalt eines amerikanischen Internetkonzerns:

An attorney who represents Internet companies said he has not fielded government password requests, but „we’ve certainly had reset requests — if you have the device in your possession, than a password reset is the easier way.“

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

9 Ergänzungen

  1. Öhm, das ist nun wirklich wenig Überraschend. Darf das die Deutsche Polizei nicht auch? Dank BDA doch sogar ohne Richter Vorbehalt, oder?

    1. Ich bin mir nicht sicher, aber ich glaube du verwechselt die Aufgabengebiete der Polizei und die der Geheimdienste. Der Richtervorbehalt in Deutschlands scheint zwar der eigentlichen Aufgabe nicht gerecht zu werden, diese Formulierung ist in der Betrachtung so auch noch als euphemistisch anzusehen, aber dieser gilt ohnehin nur für die Legislative. Der Staatsschutz des LKA in Teilgebieten und der Verfassungsschutz/BND agieren, de Facto, im Ganzen nicht im Rahmen der Legislative. Von „dürfen“, im Sinn einer gesetzlichen Sanktion, kann also bei im Geheimen, also rechtfertigungsfrei, agierenden Institutionen, in der Praxis, nicht die Rede sein.
      Die Polizei darf die Grundrechte eines Bürgers, einer Bürgerin in besonders schweren Fällen, als Beispiel der Fallhöhe sei „Mord“ – oder geplanter Mord genannt, einschränken. Verdachtsunabhängige, und hiermit ist der begründete und belegte Verdacht gemeint, Kontrollen, oder Überprüfungen, oder Verletzungen der Privatsphäre sind als grundgesetzwidrig zu betrachten. Dass soll nicht die Augen verschließen demgegenüber, dass die Missachtung der uns, eigentlich vor der Willkür des Staats und der Polizei, bzw. seiner Organe, schützen sollenden Gesetze dennoch auch gängige Praxis ist.
      In den USA hatten ähnliche Gesetze, lange Zeit, eine sehr ähnliche Aufgabe, den Bürger, die Bürgerin vor der Willkür eines Staates zu schützen und zu verhindern, dass dieser weitgehende Kontrolle erlangen könnte.
      Sicher ist es bei der momentanen Entwicklung der westlichen Staaten nicht völlig verwunderlich, wenn auch der im Artikel beschriebene Weg gegangen wird. Dies abzutun und als erwartbar zu egalisieren ist der Fehler, der sagt „Es ist erwartbar, dass demokratische Systeme in der ökonomischen Krise sich in totalitäre Systeme wandeln, um sich vor der Wut und Verzweifelung der eigenen Bevölkerung, vulgo also vor dem Bedürfnis der Menschen an systemischen Änderungen, zu schützen – warum sollten wir das verhindern suchen?“

  2. Pofalla hat doch gestern gesagt, dass alles ok ist und nach Recht und Gesetzt gehandelt wurde!

    Warum wird denn jetzt immer noch weiter berichtet über diese Scheiße?

    Grundgesetz? Ich will so eine Scheiße echt nicht mehr hören.
    Jetzt haltet endlich mal eure Fresse!

  3. Heißt das jetzt, daß man sich für Email z.B. keinen Anbieter aussuchen sollte, der seinen Sitz in den USA hat? Ist es besser einen deutschen Anbieter zu nehmen und wenn ja, welcher hält sich hier an Recht und Gesetz und gibt die Daten seiner Nutzer nicht an jeden x-beliebigen Regierungsdienst ohne richterlichen Beschluß heraus?

    1. Seit der Bestandsdatenauskunft (1.7.2013) können auch deutsche Behörden ohne irgendwas Passwörter abfragen, die Provider müssen darüber Stillschweigen bewahren (ist strafbewehrt), die Opfer dieser Stasimethoden müssen nicht unbedingt informiert werden.

      „richterlichen Beschluß“ da muss man glaub ich aufpassen, ist was anderes als Richtervorbehalt, denn was ein Richtervorbehalt sein soll, weiß niemand so genau ;)

    2. Deutscher Anbieter bringt nix, dank BDA müssen die Provider auch dein E-Mail Passwort raus rücken. Ganz ohne Richtervorbehalt.

      Eventuell bringt da nicht mal ein eigener Server etwas… weil dessen Passwort muss der Hoster vermutlich auch raus rücken.

  4. Das mit der Herausgabe von Passwörtern verstehe ich nicht. Der Anbieter hat doch das Passwort gar nicht, sondern nur den Hash. Und die Herausgabe des Hashes nutzt doch gar nichts. Oder hab ich da ne Bildungslücke?

    1. Naja, grundsätzlich wird ja bei jedem Login das Klartextpasswort übertragen, dort könnte man es abgreifen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.