Datensicherheit:Problemfall Passwort

Müssen Betreiber Verschlüsselungen preisgeben? Der Plan der Justizministerin Christine Lambrecht stößt auf scharfe Kritik.

Von Max Hoppenstedt, dpa, Berlin/München

Bundesregierung will Thomas-Cook-Kunden finanziell helfen

Bundesjustizministerin Christine Lambrecht (SPD) reagiert auf die Kritik am Netzwerkdurchsetzungsgesetz.

(Foto: Kay Nietfeld/dpa)

Macht der Staat das Internet unsicher? Mit seinem Gesetzespaket gegen Rechtsextremismus und Hasskriminalität hat das Bundesjustizministerium Netzpolitiker und Datenschützer gegen sich aufgebracht. Einige Vorschläge aus dem Paket würden die Art, wie Ermittler auf äußerst persönliche Daten zugreifen, grundsätzlich verändern. Besonders umstritten ist die Pflicht zur Herausgabe von Passwörtern an Behörden. Ein Sprecher von Justizministerin Christine Lambrecht (SPD) verteidigte die Pläne. Es gehe nicht um eine Erweiterung der Befugnisse, sondern nur um eine Präzisierung.

Gegenstand der Kritik ist die Reform des Telemediengesetzes (TMG). Das Gesetz hat nichts mit politischem Extremismus zu tun, sondern regelt, was Online-Dienste dürfen und tun müssen, um ein Angebot zu betreiben. Der Entwurf sieht vor, dass jeder E-Mail-Dienst, jedes soziale Netzwerk und alle Unternehmen, die Dienste im Internet betreiben, die Passwörter ihrer Kunden auf Verlangen an die Sicherheitsbehörden herausgeben müssen.

Die Passwörter werden allerdings von den Diensten in der Regel verschlüsselt gespeichert - sie könnten also gar nicht im Klartext an die Behörden ausgehändigt werden. Das Ministerium betonte am Montag, künftig müsse ein Richter entscheiden, ob ein Passwort angefordert werden dürfe, was eine Verschärfung darstelle. Man gehe auch nur von wenigen Fällen aus, weil Onlinedienste nach europäischem Datenschutzrecht ohnehin verpflichtet seien, Passwörter verschlüsselt zu speichern.

"Dass Staatsanwaltschaften Passwörter von Diensten herausverlangen, wird daher nur in wenigen Fällen künftig geboten sein, zum Beispiel wenn es um Terrorismus-Straftaten geht und es eventuell Möglichkeiten gibt, die Passwörter mit sehr hohem technischen Aufwand zu entschlüsseln", sagte der Sprecher. "Eine solche Pflicht für die Provider, Passwörter zu entschlüsseln, wenn Staatsanwaltschaften sie dazu auffordern, gibt es nicht und wird es auch künftig nicht geben."

FDP-Fraktionsvize Stephan Thomae fragte: "Was ist das für eine verrückte Idee aus dem Justizministerium? Wird dort davon ausgegangen, dass die Provider meine Passwörter besitzen? Plant die Regierung entgegen dem Trennungsgebot die Einführung einer Geheimpolizei?" SPD-Chefin Saskia Esken sieht noch Gesprächsbedarf. Bei der Frage, ob unverschlüsselte Passwörter weitergegeben werden sollten, sei man noch in der Debatte. "Das ist tatsächlich ein problematischer Punkt." Es gehe zwar nicht darum, Anbieter zu zwingen, Passwörter unverschlüsselt zu speichern. "Aber bei manchen Anbietern sind sie eben unverschlüsselt gespeichert", so die Digitalpolitikerin. "Das gehört sowieso verboten", sagte sie unter Verweis auf den Datenschutz.

Im Zuge der neuen Meldepflicht sollen die Betreiber sozialer Netzwerke nicht nur verpflichtet werden, die IP-Adresse von Nutzern zu übermitteln, deren Beiträge sie gelöscht haben. Sie sollen auch die sogenannte Portnummer herausgeben. Mit dieser Nummer lassen sich verschiedene Dienste identifizieren, die über dieselbe IP-Adresse ablaufen. Hintergrund ist, dass Ermittler mit den neuen Mobilfunkstandards wie LTE oft ein Problem haben. Heute haben oft Hunderte Nutzer dieselbe öffentliche IP-Adresse, obwohl sie jeweils ein eigenes Gerät benutzen. Das liegt unter anderem daran, dass Mobilfunkprovider ihren Kunden geteilte öffentliche IP-Adressen zuweisen, weil die Adressen in dem heute am meisten verbreiteten Format knapp werden. Ein ähnliches Problem haben Ermittler, wenn Nutzer einen von mehreren Nutzern verwendeten Internetzugang wie zum Beispiel im Wifi eines Cafés nutzen. In solchen Fällen soll den Ermittlern die Portnummer helfen.

Wenn die Polizei allerdings eine Portnummer von Facebook, Google und Co. bekäme, könnten die Ermittler mit den Ziffern allein immer noch nichts anfangen. Sie müssten jetzt beim Internetanbieter, etwa der Telekom, Vodafone oder O2, anfragen, welche Person hinter der Portnummer steckt. Doch die Provider speichern diese Daten bisher gar nicht. Damit die Meldepflicht praktisch etwas bringt, müssten die Provider verpflichtet werden, auch die Portnummern zu speichern - und damit viel mehr Daten über ihre Kunden als bisher. "Hier geht es nicht mehr nur um die Bekämpfung von Hasskriminalität, sondern um die Einrichtung umfassender Überwachungsrechte für Staat und Behörden", warnte der Vorsitzende des Verbandes der Internetwirtschaft eco, Oliver Süme. Auch vom Digitalverband Bitkom kam Kritik.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: