Polizei und Behörden sollen Passwörter bei Facebook, WhatsApp und Co abfragen dürfen

Polizei und Behörden sollen Passwörter bei Facebook, WhatsApp und Co abfragen dürfen – Das Justizministerium arbeitet derzeit an Gesetzesentwürfen um besser gegen Beleidigungen und Hass im Internet vorgehen zu können. In den aktuellen Entwürfen ist unter anderem vorgesehen, dass Portal zukünftige problematische Postings selbst melden müssen.  Der Journalist Hendrik Wieduwilt hat aber nun eine Referentenentwurf veröffentlicht, der noch deutlich weiter geht. Darin ist festgehalten, dass Behörden zukünftig bei solchen Vorfällen Bestandsdaten inklusive der Passwörter bei den Diensten abfragen können. Passwörter sind dabei explizit mit als Bestandsdaten erwähnt.

In der Begründung ist von nur recht lapidar von einer Ausweitung dieser Auskunftspflicht auf Telemediendienste die Rede. Dort heißt es eher kurz:

Das Bundeskriminalamtgesetz (BKAG) enthält bisher nur eine Befugnis des Bundeskriminalamts zur Erhebung von Bestandsdaten gegenüber Telekommunikationsanbietern. Zur Wahrnehmung der Zentralstellenaufgaben nach § 2 BKAG ist eine Erweiterung der Regelung in § 10 BKAG auf Telemediendiensteanbieter angesichts der zunehmenden Nutzung von Telemediendiensten gegenüber Telekommunikationsdiensten dringend erforderlich.

Im Gesetztestext stellt sich dass aber dann deutlich weitergehend dar. Mit der Ausweitung auf die Telemediendienste sind nicht nur sehr viel mehr Angebote im Netz betroffen (bis hin zu Blogs die gewerblich betrieben werden), sondern auch die Zahl der Dienste, die solche Daten abfordern können, ist angestiegen und erstreckt sich jetzt auch auf Zoll und andere Einrichtungen. Der Gesetzentwurf sieht dazu wie folgt aus:

§ 15a  Auskunftsverfahren

(1) Wer geschäftsmäßig Telemediendienste erbringt, daran mitwirkt oder den Zugang zu Nutzung daran vermittelt, darf die nach § 14 Absatz 1 erhobenen Bestandsdaten und die nach § 15 Absatz 1 erhobenen Nutzungsdaten nach Maßgabe dieser Vorschrift zur Erfüllung von Auskunftspflichten gegenüber den in Absatz 3 genannten Stellen verwenden. Dies gilt auch für Bestandsdaten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird. Die in eine Auskunft aufzunehmenden Bestandsdaten, dürfen auch anhand einer zu einem bestimmten Zeitpunkt zugewiesenen Internetprotokoll-Adresse bestimmt werden; hierfür dürfen Nutzungsdaten auch automatisiert ausgewertet werden. Für die Auskunftserteilung sind sämtliche unternehmensinternen Datenquellen zu berücksichtigen.

(2) Die Auskunft darf nur erteilt werden, soweit eine in Absatz 3 genannte Stelle dies unter Angabe einer gesetzlichen Bestimmung, die ihr eine Erhebung der in Absatz 1 in Bezug genommenen Daten erlaubt, in Textform im Einzelfall verlangt und dies zu einem der folgenden Zwecke erforderlich ist:

  1. zur Verfolgung von Straftaten oder Ordnungswidrigkeiten,
  2. zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder
  3. für die Erfüllung der gesetzlichen Aufgaben der in Absatz 3 Nummer 3 und 4 ge-
    nannten Stellen.

An andere öffentliche und nichtöffentliche Stellen dürfen Daten nach Absatz 1 nicht übermittelt werden. Bei Gefahr im Verzug darf die Auskunft auch erteilt werden, wenn das Verlangen nicht in Textform gestellt wird. In diesem Fall ist das Verlangen unverzüglich nachträglich in Textform zu bestätigen. Die Verantwortung für die Zulässigkeit des Auskunftsverlangens tragen die um Auskunft ersuchenden Stellen.

(3) Stellen im Sinne des Absatzes 1 sind

  1. die für die Verfolgung von Straftaten oder Ordnungswidrigkeiten zuständigen Behörden;
  2. die für die Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung zuständigen Behörden;
  3. die Verfassungsschutzbehörden des Bundes und der Länder, der Militärische Abschirmdienst und der Bundesnachrichtendienst;
  4. die Behörden der Zollverwaltung und die nach Landesrecht zuständigen Behörden, soweit die Datenerhebung zur Wahrnehmung ihrer Prüfungsaufgaben nach § 2 Absatz 1 und 3 des Schwarzarbeitsbekämpfungsgesetzes und für die Verhütung und Verfolgung von damit zusammenhängenden Straftaten und Ordnungswidrigkeiten erforderlich ist.

Es bleibt dabei natürlich offen, welche Plattformen nach wie vor Passwörter speichern. Oft setzen die Anbieter mittlerweile auf andere Verfahren. Dennoch ist dieser Gesetzesvorstoß natürlich ein sehr tiefer Vorstoß in die Privatsphäre der Nutzer und wirkt sehr unverhältnismäßig.

 

Cybersicherheit: Deutsche nutzen oft gleiche Passwörter, aber wechseln sie häufig

Cybersicherheit: Deutsche nutzen oft gleiche Passwörter, aber wechseln sie häufig – Google hat in einer aktuellen Studie das Verhalten von Nutzern in Frankreich, Deutschland, Spanien sowie Großbritannien beim Thema Sicherheit befragt und im Fokus stand dabei vor allem der Umgang mit Online-Passwörtern.

Das ein Passwort dabei nicht zu einfach sein darf, ist mittlerweile allgemein akzeptiert. Sichere Passwörter muss man sich dabei nicht mehr selbst ausdenken, sondern kann sie über viele Online Passwort Generatoren kostenlos und in verschiedenen Formen erstellen lassen. Ein sicheres Passwort allein reicht aber noch nicht aus, denn auch der Umgang dabei muss sicher sein.

Dabei gibt es dann doch recht große Unterschiede. So nutzte nur etwa jeder 2. Befragte einen Passwortmanager für die Verwaltung von Passwörtern und fast 70 Prozent der Nutzer hatten ein Passwort für mehrere Online-Dienste. Das ist vor allem dann problematisch, wenn einer dieser Dienste ein Datenleck hat – dann sind auch die Accounts auf anderen Plattformen aufgrund der gleichen Zugangsdaten in Gefahr. Dazu nutzt fast jeder Dritte immer noch Stift und Papier um Passwörter aufzuschreiben. Bei vielen Nutzern ist der Umgang mit Passwörtern daher vergleichsweise unsicher und verbesserungswürdig.

Die Sicherheitstipps von Google sehen daher wie folgt aus:

  1. Nutzt einen Passwortmanager. Jeder Account verdient ein eigenes Passwort.
  2. Aktiviert einen Sperrbildschirm auf Geräten, um dritten den Zugang zu erschweren.
  3. Verwendet eine E-Mail-Adresse oder Telefonnummer für die Kontowiederherstellung.
  4. Haltet die Software auf Laptops und Smartphones immer auf dem neuesten Stand.
  5. Sichert euch mit der 2-Faktor-Authentifizierung ab – entweder per SMS oder App-Code oder bestenfalls mit einem USB-Sicherheitsschlüssel.

Die gute Nachricht: In Deutschland wird recht fleißig das Passwort gewechselt. Viele Nutzer nutzen alle 6 Monaten neue Zugangsdaten und haben damit die Hoffnung, dass dies eine Weg ist, Sicherheit für die eigenen Accounts herzustellen. In anderen Ländern liegt dieser Wert niedriger. Wirkliche Sicherheit verspricht ein Wechsel der Passwörter aber auch nicht, so lange man diese auch auf potentiell unsicheren Seiten nutzt. Besser wäre es daher, individuelle Passwörter für einzelne Dienste zu nutzen und diese dann in einem sicheren Passwort Manager zu verwalten.

Heute ist World Password Day

Heute am 7.Mai ist der World Password Day – nicht zu verwechseln mit dem Tag der Passwortsicherheit am 26.6. – und damit eine gute Gelegenheit um die eigenen Passwörter und Zugangscodes zu prüfen und auch zu ändern. An sich wissen die meisten Nutzer, wie gute Passwörter auszusehen haben und trotzdem nutzen viele aus Bequemlichkeit weiterhin an sich unsichere Phrasen. Mit den biometrischen Zugangssystemen (Fingerabdruck-Scanner oder Gesichtsscan) gbt es dazu neue Varianten von Zugangsverschlüsselung, die man nicht so ohne weiteres austauschen kann.

Die Experten von Nexmo haben in diesem Zusammenhang einige neue Tipps zusammengestellt wie man aktuell Zugänge sichern kann. Der alte Tipp „sichere Passwörter“ ist aber nach wie vor mit dabei und entsprechend wichtig:

1. Nutzen Sie Zwei-Faktor-Authentifizierung

Zwei-Faktor-Authentifizierung (2FA) wird immer mehr zum Standardverfahren, wenn es um die Überprüfung von Identitäten geht –
auch die Europäische Bankenaufsichtsbehörde (EBA) verlangt von Zahlungsdiensten, vor der Abwicklung von Online-Zahlungen eine strenge Kundenauthentifizierung durchzuführen. Der erste Stichtag zur Umsetzung der neuen Richtlinie ist der 1.August: Bis dahin müssen Payment-Service-Provider verbesserte Authentifizierungslösungen für Nutzer implementiert haben. Auch viele der beliebten Online-Dienste bieten mittlerweile diese Form des Identitätsnachweises an. Achten Sie also bei der Auswahl Ihrer bevorzugten Online-Dienste – ebenso wie bei Bankkonten und E-Wallets (digitalen Brieftaschen) – unbedingt darauf, dass diese Methode verwendet wird.
2. Wählen Sie sichere Passwörter:
hre Passwörter sollten schwer zu knacken sein und viele verschiedene Buchstaben, Ziffern und Symbole enthalten. Vermeiden Sie, wichtige Daten wie Ihren Geburtstag oder den Namen Ihres Haustiers als Passwort festzulegen – diese können über Ihre
Online-Profile spielend leicht von Hackern ausfindig gemacht werden. Die Stärke der eigenen Passwörter kann man hier testen.
3. Vorsicht bei der Anmeldung an fremden Geräten
Wenn Sie den Computer eines Freundes nutzen oder in einem Internet-Café arbeiten, sollten Sie sich anschließend unbedingt abmelden und für alle Konten die Option „Kennwort speichern“ deaktivieren.
4. Arbeiten Sie mit virengeschützten Geräten
Verwenden Sie nur Geräte, die ausreichend geschützt sind. Tablets, Smartphones, Laptops und PCs sind häufig mit einer kostenlosen Antivirensoftware ausgestattet, die den Nutzer beim Surfen im Internet vor Schadprogrammen, sogenannter Malware, und dem Ausspionieren persönlicher Daten schützt. Diese sollte regelmäßig aktualisiert werden.
5. Verlassen Sie sich nicht allein auf biometrische Verfahren
Die Fälschung von Fingerabdrücken und optischen Scans des Gesichtes, der Iris oder der Retina ist einfacher, als man glaubt. Ein hervorragendes Beispiel hierfür ist Verteidigungsministerin Ursula von der Leyen, deren Fingerabdrücke Ende 2014 von einem einfach zugänglichen Foto kopiert wurden. Verlassen Sie sich daher nicht ausschließlich auf die biometrische Authentifizierung – eine Kombination mehrerer Methoden ist immer noch am besten.