Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

July 26 2013

NSA und Co. fordern anscheinend auch die Herausgabe von Passwörter von Unternehmen

Nachdem wir vorgestern berichtet haben, dass amerikanische Polizei- und Verfassungsschutzbehörden die Herausgabe von SSL-Master-Keys von Unternehmen verlangen, kann die neuste Nachricht kaum mehr überraschen. Die amerikanischen Behörden verlangen nämlich scheinbar auch Nutzerpasswörter, teilweise sogar samt Verschlüsselungsalgorithmus und Salt. Das berichtet CNET mit Bezug auf zwei anonyme Quellen aus der Industrie.

“I’ve certainly seen them ask for passwords,” said one Internet industry source who spoke on condition of anonymity. “We push back.” A second person who has worked at a large Silicon Valley company confirmed that it received legal requests from the federal government for stored passwords. Companies “really heavily scrutinize” these requests, the person said. “There’s a lot of ‘over my dead body.’”

Microsoft, Google und Yahoo wollten sich nicht dazu äußern ob sie solche Anfragen von amerikanischen Behörden tatsächlich erhalten hätten, sagten aber entschieden, niemals die Passwörter seiner Nutzer preis zu geben. Yahoo:

If we receive a request from law enforcement for a user’s password, we deny such requests on the grounds that they would allow overly broad access to our users’ private information. If we are required to provide information, we do so only in the strictest interpretation of what is required by law.


Weitere Unternehmen, darunter Facebook, Apple und Verizon, wollten überhaupt keine Stellungnahme abgeben. Ebenso wollte das FBI keine Stellungnahme abgegen.

Ähnlich wie bereits bei der Herausgabe der SSL-Master-Keys haben es die US-Behörden hier aber sicherlich auf kleinere Unternehmen abgesehen, welche nur wenige Möglichkeiten haben sich gegen die Behörden zu wehren. Und da Nutzer oftmals nur ein Passwort für eine Reihe verschiedener Dienste verwenden, besteht die Möglichkeit, dass es den Behörden reicht ein Passwort zu erhalten und damit Zugriff auf ein Vielzahl von Diensten erhält.

Eine Frage, die zum jetzigen Zeitpunkt ungeklärt scheint, ist die Frage der Rechtmäßigkeit einer solchen Anfrage auf Herausgabe des Nutzerpassworts:

“This is one of those unanswered legal questions: Is there any circumstance under which they could get password information?” said Jennifer Granick, director of civil liberties at Stanford University’s Center for Internet and Society. “I don’t know.” Granick said she’s not aware of any precedent for an Internet company “to provide passwords, encrypted or otherwise, or password algorithms to the government — for the government to crack passwords and use them unsupervised.” If the password will be used to log in to the account, she said, that’s “prospective surveillance,” which would require a wiretap order or Foreign Intelligence Surveillance Act order.

Dass die Behörden aber auch noch andere Wege haben, an die Passwörter und damit an die Daten der Nutzer zu gelangen, schildert ein Anwalt eines amerikanischen Internetkonzerns:

An attorney who represents Internet companies said he has not fielded government password requests, but “we’ve certainly had reset requests — if you have the device in your possession, than a password reset is the easier way.”

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

February 24 2012

Bundesverfassungsgericht urteilt: Es gibt kein Recht auf anonyme Kommunikation

Das Bundesverfassungsgericht hat über eine weitere Verfassungsbeschwerde von Aktivisten aus dem Arbeitskreis Vorratsdatenspeicherung entschieden. Die Überschrift der Pressemitteilung klingt zunächst gut: Regelungen des Telekommunikationsgesetzes zur Speicherung und Verwendung von Telekommunikationsdaten teilweise verfassungswidrig. Bei genauerer Analyse kommen jedoch auch einige Fallstricke zu Tage.

Geklagt hat Meinhard Starostik im Auftrag der Brüder Patrick und Jonas Breyer sowie vier Internet-Unternehmen. Und zwar schon im Juni 2005, also noch vor dem Gesetz zur Vorratsdatenspeicherung. Folgende Punkte im Telekommunikationsgesetz haben sie angegriffen:

  • die Pflicht zur Angabe persönlicher Daten bei der Anmeldung eines Telefonanschlusses (z.B. auch beim Kauf von Prepaid-Mobiltelefonkarten),
  • das Recht von Telekommunikationsunternehmen, Daten über ihre Kunden und deren Telekommunikation über die erforderliche Dauer hinaus speichern zu dürfen (z.B. Vorratsspeicherung von Internet-Nutzungsdaten zur „Missbrauchsbekämpfung“),
  • die weit gehenden staatlichen Zugriffsrechte auf persönliche Daten von Telekommunikationsnutzern,
  • die Pflicht von Telekommunikationsunternehmen, ohne Entschädigung an staatlichen Überwachungsmaßnahmen mitwirken zu müssen.

Der heute veröffentlichte Beschluss des Ersten Senats gab ihnen in einem Punkt teilweise Recht, in anderen nicht.

Zugriff auf Passwörter muss neu geregelt werden

Bisher erlaubte das Gesetz, dass Behörden von Providern relativ einfach Passwörter, wie etwa für E-Mail Accounts und SIM-Karten, bekommen können, auch ohne Richtervorbehalt. Ob sie diese Daten dann auch vor Gericht verwenden dürfen, war davon unabhängig. Diese Regelung erklärte das Gericht nun für verfassungswidrig. Das bedeutet aber nicht, dass die Daten gar nicht mehr herausgegeben werden dürfen. Die Behörden dürfen in Zukunft nur noch das abfragen, was sie auch verwenden dürfen. Der Gesetzgeber muss nun die Regelung präzisieren, bis Juni nächstes Jahr dürfen die Behörden jedoch weiter machen wie bisher. Der von Patrick verkündete Durchbruch ist das nicht.

Kein Recht auf anonyme Kommunikation

Eine klare Niederlage ist der Teil zur anonymen Nutzung von Telekommunikationsdiensten. Vielerorts kann man Prepaid-Mobilfunk-Anschlüsse auch ohne Angabe von Name und Adresse erhalten. Die Kläger wollten die Pflicht zur Speicherung dieser Daten vor der Freischaltung kippen. Laut Patrick haben 21 der 27 EU-Staaten diesen Identifizierungszwang nicht.

Das Gericht sieht jedoch kein Recht auf anonyme Kommunikation. Vielmehr dient die Speicherungspflicht der “Verbesserung staatlicher Aufgabenwahrnehmung vor allem im Bereich der Strafverfolgung, Gefahrenabwehr und nachrichtendienstlicher Tätigkeiten” und ist daher legitim. Die Kläger sind enttäuscht und wollen vor den Europäischen Gerichtshof für Menschenrechte ziehen.

IP-Adressen sind irgendwie geschützt

Auch zum Streit, ob eine IP-Adresse ein personenbezogenes Datum ist oder nicht, äußert sich das Gericht. Die Zuordnung, welcher Anschluss-Inhaber hinter einer dynamischen IP-Adresse steckt, wird als Eingriff in das Fernmeldegeheimnis bewertet. Auch das bedeutet jedoch nicht, dass darauf nicht zugegriffen werden kann, das Gericht verlangt vom Gesetzgeber jedoch eine Klarstellung. In einer Neuregelung dürfte daher ein Richtervorbehalt erforderlich sein.

Das gilt jedoch nur für Strafverfahren. In Zivilverfahren ist auch bisher schon der Richtervorbehalt drin. Am Abmahnwesen gegen Filesharing ändert dieses Urteil also nichts.

Interessant ist auch, dass die Auskunft über statische IP-Adressen auch ohne Richtervorbehalt geht, weil diese “zum gegenwärtigen Zeitpunkt in aller Regel nur Institutionen und Großnutzern” zur Verfügung stehen. Sollte sich das ändern, muss aber auch der Gesetzgeber nachziehen.

Auskunftsverfahren verfassungskonform

Die Verfahren zur Auskunft von Providern über die Daten ihrer Nutzerinnen findet das Gericht in Ordnung. Es gibt ein automatisiertes und ein manuelles Verfahren. Diese Möglichkeiten sind “angesichts der erstrebten Verbesserung der staatlichen Aufgabenwahrnehmung gerechtfertigt”.

Patrick berichtet, dass die automatischen Verfahren “als allgemeines Bevölkerungsregister missbraucht” und “täglich […] über 10.000 Kundendaten abgefragt” werden. Findet wer weitere Quellen dafür?

Keine wirkliche Verbesserung

Unter dem Strich ist das Urteil eher enttäuschend. Der Beschwerdeführer Meinhard Starostik meint: “Das Bundesverfassungsgericht hat dem Grundbegehren nach anonymer Kommunikation nicht stattgegeben und einem angeblichen Sicherheitsbedürfnis Vorrang gegeben.”

Wie so oft werden sich jetzt alle verantwortlichen Politikerinnen für die Konkretisierung bedanken und rasch eine gesetzliche Neuregelung fordern. Dafür haben sie über ein Jahr Zeit, bis dahin bleibt alles beim Alten.

Das schreiben die Anderen

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl