Passwortabfrage an US-Grenzen: „Angriff auf fundamentale Rechte“

Grafik: CC-BY 3.0 EFF.org

Ein breites Bündnis von mehr als fünfzig Bürgerrechtsorganisationen und zahlreichen Einzelpersonen wendet sich in den USA gegen die Abfrage von Passwörtern bei der Einreise ins Land. Der neue Heimatschutzminister John F. Kelly hatte am 7. Februar gesagt, dass sein Ministerium eine solche Abfrage für Nicht-US-Bürger erwäge.

Das Bündnis, dem auch die ACLU und die Electronic Frontier Foundation angehören, weist in einer gemeinsamen Erklärung auf die Unverhältnismäßigkeit hin, welche mit einer solchen Abfrage und Nutzung von Passwörtern einhergehen würde. Ein solches Vorgehen sei ein direkter Angriff auf fundamentale Rechte der Menschen und bringe zudem keine zusätzliche Sicherheit. Außerdem schränke die Maßnahme direkt die Meinungsfreiheit ein und würde Menschen dazu bewegen, weniger das Internet und soziale Netzwerke zu nutzen. Außerdem könne eine solche Maßnahme als Präzedenzfall Nachahmer in anderen Ländern finden, was wiederum die IT-Sicherheit der USA gefährde.

Weiterhin heißt es in der Erklärung (unsere Übersetzung):

Eine Politik, welche die Herausgabe von Passwörtern zur Bedingung für das Reisen macht und andere Bemühungen, die Einzelpersonen dazu zwingen, ihre Online-Aktivitäten sowie teils jahrelange private und öffentliche Kommunikation zu offenbaren, verursachen einen intensiven „Chilling Effekt“ auf die freie Meinungsäußerung. Die Meinungsfreiheit, die Pressefreiheit, der Zugang zu Informationen, die Vereinigungsfreiheit und die Religionsfreiheit sind durch so eine Politik gefährdet.

Die erste Regel der IT-Sicherheit ist einfach: Geben Sie Ihre Passwörter nicht heraus. Keine Regierungsbehörde darf die Sicherheit, die Privatsphäre und andere Rechte von Menschen mit so einer Blanko-Richtlinie untergraben.

In Deutschland wird eine ähnliche Maßnahme debattiert. Das Bundesinnenministerium plant, dass massenhaft die Smartphones und Handys von Geflüchteten ausgelesen werden sollen. Gegen den Vorstoß aus dem Hause de Maizière gibt es breite Kritik – auch vom Koalitionspartner SPD.

14 Ergänzungen

    1. Macht aber wenig bis keinen Sinn, wenn du bspw. nach deinem E-Mail Passwort gefragt wirst oder dazu aufgefordert wirst dein Smartphone zu entsperren.

      Außerdem ist es für Geheimdienste und Bundesbehörden mit nahezu unbegrenzten finanziellen Mitteln, durchaus möglich ein HiddenOS auf deinem Gerät zu finden. Das liegt schon alleine an der Komplexität der Software und den Spuren auf der Platte die du unweigerlich hinterlässt. Da hat TrueCrypt schon mehrmals daraufhingewiesen.

      1. Aber warum TrueCrypt? Das wurde doch von der NSA infiltriert. Die werden vermutlich nicht mal nach einem Passwort bei dir nachfragen, weil es schon längst Hintertüren gibt.

        1. „Das wurde doch von der NSA infiltriert.“
          Das ist nicht belegt. Die Entwicklung an TrueCrypt wurde aus ungenannten Gründen eingestellt. Richtig ist, dass das fishy ist und nahelegt, dass es da ggf. Druck gab. Daher sollte TrueCrypt nicht mehr weiter verwendet werden. Wer den Autoren von VeraCrypt traut, kann aber das verwenden, ist nach allgemeiner Auffassung vermutlich ok und weiter maintained. Wer kein Truecrypt nutzen möchte kann auch LUKS nehmen. Das kann auch TrueCrypt lesen (aber -absichtlich- nicht schreiben).
          Verschlüsselte Daten, auch „versteckte Container“, sind recht leicht als solche zu erkennen (via Entropieanalyse), nur eben die Inhalte nicht. Wer bei LUKS die Header/Metadaten auf einem getrennten Datenträger abspeichert (z.B. kleines I2C EEPROM, uSD-Karte, oder USB-Stick) kann zumindest sagen, dass die Platte einfach leer und mit random gefüllt ist (nicht mal Partitionstabelle).

  1. Wollen die uns wirklich weiß machen die wären bei Facebook u.a. abgeblitzt mit dem Anliegen die dort gespeicherten Daten jedes Usernames zu bekommen den sie per NSL dort Einflüstern? Denn dann ist die Frage nach dem Password doch obsolet. Oder dient; wie’s anklingt; ausschließlich der Einschüchterung durch das Herrschende Regime und seine Schergen. Und dann ist der Fall eh klar. Diktatur ist eben vielseitig Machbar, Herr Nachbar.

    Man kommt sich doch langsam vor wie in einem Real gewordenen Albtraum von „1984“ aber wie der Frosch auf der Herdplatte werden wir zu spät merken was wir verloren haben werden!

  2. Wie ist das eigentlich, wenn ich einen Passwortmanager (e.g. Keepass) verwende und mein Passwort garnicht kenne? Der generiert auf wunsch ein Passwort aus beliebigen Zeichen was dann aunfach mit copy und paste genutzt wird. Das merke ich mir doch nicht.

    1. Dann musst du halt dein Passwortmanager offenlegen und das Passwort dafür herausgeben, so dass die sich die Passwörter im Klartext abschreiben könne. Oder du darfst halt nicht einreisen.

  3. Facebook und die paar appz an denen sie interessiert sein könnten einfach deinstallieren vor dem Flug, und hinterher wieder installieren -> fertig.
    Oder ihnen einfach das PW sagen, und gleich beim rausgehen aus dem Flughafen einfach Passwort ändern.

    1. Witzbold. Die holen sich das gesamte Adressbuch + eigene Rufnummer + IMEI. Und haben damit Zugriff auf Deine zukünftige Kommunikation. Nur für 0815-Touristen ohne besondere Kontakte ist das schnuppe.

    2. Muss man das denn hier immer wiederholen(!):
      Die Lösung bzgl. Smartphone ist: keines verwenden oder keines mitnehmen. Die Plattformen (CPU-boot nur mit blob, baseband chip mit Hauptspeicherzugriff und remote upgrade Funktion) sind (momentan) schlichtweg nicht vertrauenswürdig und sicher zu kriegen. Die dahinter liegende Infrastruktur (sprich Handy-Netz, unverschlüsselte Richtfunkstrecken (öh, Aufbauten auf US-Botschaft… war da was?), SS7, …) ist auch kaputt.
      Die Lösung bzgl. Laptop ist: (1) Gerät ohne Festplatte mitnehmen und Daten im Zielland via Tor oder VPN auf eine dort im Laden gekaufte Festplatte mit full disk encryption aufspielen. Oder (2) billigen Laptop im Zielland kaufen, Daten einspielen. Bei Ausreise Daten(-träger physisch) vernichten. Wer Angriffe noch schwerer machen möchte, lötet das BIOS/EFI EEPROM aus und macht es steckbar. Keine Rechner neuer als ~10 Jahre verwenden.
      Wichtige Daten (z.B. USB-Sticks) nicht über die Grenze nehmen, sondern verschlüsselt auf einem/mehreren Servern speichern. Wichtige Passwörter und Zugangsdaten merken und natürlich nicht verraten („Ein gemeinsames Geheimnis zwischen drei Leuten ist nur dann sicher, wenn zwei davon tot sind.“).
      Better safe than sorry. http://www.tcij.org/resources/handbooks/infosec

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.