Betreiber:innen von Websites sollen Daten von Nutzer:innen herausgeben müssen, inklusive Passwörtern. Das steht in einem Entwurf für ein Gesetz gegen Hass im Netz. Justizministerin Christine Lambrecht hat schon viel Kritik für diesen Vorschlag bekommen, weil er einen massiven Eingriff in die Privatsphäre darstellen würde. Wir haben mit dem IT-Sicherheitsexperten Thorsten Schröder gesprochen und ihn gefragt, was technisch hinter dem Entwurf steckt.
netzpolitik.org: Nach dem Gesetzesentwurf sollen Betreiber:innen von Websites künftig Bestandsdaten herausgeben müssen. Momentan werden aber immer Passwörter in einem Atemzug mit dem neuen Entwurf genannt – was haben Passwörter damit zu tun?
Thorsten Schröder: Ich vermute, dass Ermittlungsbehörden gerne die Passwörter einer verdächtigen Person haben möchten, um langfristig auf deren jeweilige Online-Konten zugreifen zu können. Das ist für die Behörden natürlich ziemlich attraktiv, denn das kommt einer Online-Durchsuchung gleich, ohne den Rechner der Person infizieren zu müssen.
Gewürzte Hash-Werte
netzpolitik.org: Klartext, Verschlüsselung, Hashfunktionen, Pepper – das sind Fachbegriffe, die fallen, wenn es um Lambrechts Entwurf geht. Hinter ihnen verbirgt sich die Erklärung, wie Passwortspeicherung aktuell funktioniert. Wie müssen Passwörter nach aktueller Rechtslage gespeichert werden?
Thosten Schröder: Das Bundesamt für Sicherheit und Informationstechnik (BSI) gibt vor, dass Passwörter nie im Klartext auf Servern gespeichert werden sollen. Auch die verschlüsselte Speicherung von Passwörtern auf Servern ist Unsinn, weil auf dem Server nicht nur das Passwort, sondern auch der Schlüssel liegt. Wer das Passwort bekommt, bekommt auch den Schlüssel.
Deshalb wird in der Regel das Passwort in einen sogenannten Hash-Wert umgewandelt, den man auch als Einweg-Wert bezeichnet. Das ist eine kryptografische Summe. Mit einem Passwort lässt sich der auf dem Server hinterlegte Hash-Wert berechnen, aber nicht aus einem Hash-Wert das Passwort. Deshalb ist er für sich betrachtet wertlos. Auch kann sich niemand mit dem Hash-Wert anstelle des Passwortes irgendwo einloggen.
Salt und Pepper sind Verstärkungen für die mathematischen Konstrukte, die dem Ganzen zugrunde liegen. Sie machen sie noch widerstandsfähiger gegen Angriffe.
netzpolitik.org: Lambrecht sagt, dass sie auch verschlüsselte Passwörter haben möchte, denn vielleicht könne man die knacken. Wie kann man ein verschlüsseltes Passwort „knacken“ und was ist dafür nötig?
Thorsten Schröder: Wie schon gesagt: Verschlüsselte Passwörter braucht man gar nicht „knacken“. Passwörter, die mit dem Einweg-Hash-Verfahren unkenntlich gemacht wurden, können aber durch sogenannte Brute-Force-Angriffe erraten werden. Das ist der brachialste und aufwändigste Ansatz, den es derzeit gibt, Passwörter aus Hashes wiederherzustellen.
Hacker:innen raten ein potentielles Passwort, berechnen den Einweg-Hash dieses Passwortes und vergleichen anschließend beide Hash-Werte miteinander. Sind sie identisch, wurde das korrekte Passwort erraten. Das ist aufwändig, teuer und man braucht schnelle Computer-Hardware. Aber es ist erfolgreich, um viele einfache Passwörter zu erraten.
Ein paar Sekunden für „totalgeheim123“
netzpolitik.org: Was heißt „aufwändig, teuer, schnell“ konkret? Was kostet ein entsprechender Computer? Und was braucht man, um einfache Passwörter wie „12345“, „passwort“ oder „totalgeheim123“ via Brute-Force herauszufinden?
Thorsten Schröder: Solche Passwörter sind binnen Sekunden per Brute-Force oder Wörterbuch-Angriff gecrackt. Ein Passwort mit acht Zeichen, das nur aus Kleinbuchstaben und Zahlen besteht, ist im schlimmsten Fall erst nach 1,5 Tagen geknackt – mit einem Wörterbuch-Angriff kann das noch schneller gehen. Wählt man längere Passwörter und nutzt Großbuchstaben und Sonderzeichen, reden wir in der Regel über mehrere hundert Jahre Rechenzeit, Stand 2020. Man braucht eine oder mehrere Grafikkarten, die man für ein paar Hundert Euro kaufen kann, dazu einen handelsüblichen PC – also alles in allem: bezahlbar für Normalsterbliche. Das ist aber nicht sonderlich effizient. Man kann auch 50.000 Euro für einen Computer ausgeben, der nur aus Grafikkarten besteht und für das Cracking optimiert wurde.
netzpolitik.org: Was würde durch den Gesetzentwurf einfacher für Bundeskriminalamt (BKA) und Co.?
Thorsten Schröder: Wenn sie tatsächlich ein Passwort erhalten oder wiederherstellen können, haben sie einen langfristig unbemerkten, dauerhaften Zugriff auf das Konto der Zielperson. Das ist vergleichbar mit einem Trojaner-Einsatz auf dem PC der Person.
Haben sie das Passwort nicht wiederherstellen können, gewinnen sie nichts. Allerdings habe ich da politische Bedenken, denn der nächste Schritt, Kryptografie und IT-Sicherheit zu regulieren ist wieder greifbarer geworden. Ein Erfolg in einem nächsten Anlauf somit viel wahrscheinlicher.
„Eine unkalkulierbare Kettenreaktion“
netzpolitik.org: Der aktuelle Entwurf soll Betreiber:innen also diese Arbeit ersparen, erklärt aber laut Bundesdatenschutzbeauftragtem Ulrich Kelber nicht, ob Anbieter:innen Passwörter nun so im Klartext speichern müssen, dass sie bei der Herausgabe einen Nutzen für zum Beispiel das BKA hätten. Was müssten Betreiber:innen in Folge des Vorschlags an ihrer Speichertechnik ändern?
Thorsten Schröder: Wenn das BKA einfach an Passwörter kommt, können Kriminelle und Geheimdienste das auch. Hacker interessieren sich nicht für das Stopp-Schild, das vor die Klartext-Daten gestellt wird. [Anm. d. Redaktion: Den richterlichen Beschluss, den das BKA bräuchte.]
Technisch müssten Provider und Diensteanbieter internationale Standards ignorieren und die aus dritter Quelle stammenden Werkzeuge modifizieren. Dies erschwert langfristig die Administration der Server, beispielsweise beim Einspielen wichtiger Sicherheitsupdates.
Eine Regulierung der Passwort-Speicherungspraxis kann eine unkalkulierbare Kettenreaktion mit sich bringen, unter der Datenschutz und Datensicherheit des Providers und letztlich des Users zu leiden hätten.
netzpolitik.org: Es gibt viele gute Ratschläge, um sichere Passwörter zu erstellen. Bringt es noch was, sich an sie zu halten, wenn Lambrechts Vorschlag beschlossen wird?
Thorsten Schröder: So lange wir noch an diesem mittlerweile überholten Konzept des Passwortes festhalten: Na klar! Denn erstens kann man sich auch Anbieter im Ausland suchen, und zweitens ändert das nichts an den übrigen Bedrohungsszenarien, die sich durch zu schlechte oder mehrfach
verwendete Passwörter ergeben. Wer auch heute schon Angst vor dem Diebstahl des eigenen Passwortes hat, sollte sich mal mit Zwei-Faktor-Authentifizierung (2FA) oder beispielsweise Token-basierten Verfahren zur Authentifikation beschäftigen.
„Thorsten Schröder: Wenn sie tatsächlich ein Passwort erhalten oder wiederherstellen können, haben sie einen langfristig unbemerkten, dauerhaften Zugriff auf das Konto der Zielperson. Das ist vergleichbar mit einem Trojaner-Einsatz auf dem PC der Person.“
Unbemerkt?
Also, viele meiner Accounts zeigen mir eine Login-Historie (IP mit reverse DNS und Datum/Uhrzeit an).
Vielen, sogar Laien, könnte auffallen, das sie sich zu einer Zeit eingeloggt haben, zu der sie z.B. an der Internet freien Werkbank standen oder nicht über übliches VPN gekommen sind. Der Laie wundert sich, aber der Kriminelle-Haßprediger weiß nun, das er überwacht wird.
Wo mache ich den Gedankenfehler bez „Unbemerkt“?
„Unbemerkt“ für die anderen Teilnehmen?
Das BKA will das Passwort haben um mit diesem etablierten Acconut weitere Täter zu finden.
Ja, vielleicht sogar zu Straftaten zu verleiten (Sauerland Gruppe?).
Solche Übernahmen erfolgen ja jetzt schon, wenn der Verdächtige eingebuchtet worden ist und das BKA so an seinen Computer, Passwort und die Canari-Liste(*) gekommen ist und seinen Account weiterführt…
Und:
Der Beschuldigte kann ja behaupten, das nicht er das Hassposting abgesetzt hat,
sondern das Dritte auch über sein Passwort verfügen.
Und:
Will man Kritiker mundtot machen, unterschiebt man dem Ziel illegale Daten.
Als Admin achte ich genauesten darauf, dass mir kein User sein passwort gibt/sagt.
Als Admin komme ich -mit meinem Passwort- auch an seine Daten. Das wird aber dann bei mir geloggt.
Will er dem Admin eins auswischen, legt er KiPo auf seinen Rechner, wenn er sieht das er zweimal eingeloggt ist und behauptet frech, der Admin hätte das aus Gründen des Bossings gemacht. Die A-Karte hat der Admin, der das Passwort kennt.
Und das BKA soll wirklich in so eine Situation gebracht werden?
(*)
Eine Liste von arglos erscheinenen Wörtern an denen die anderen Erkennen können, dass er selbst postet und nicht ein Dritter. Kommen diese Wörter lange Zeit nicht, sind die anderen gewarnt.