Bundesjustizministerin Christine Lambrecht (SPD) hat auf die Kritik von Datenschützern reagiert. Sie will ihren umstrittenen Gesetzentwurf zur Bekämpfung von Hasskriminalität im Netz überarbeiten und an entscheidender Stelle "klarstellen". Künftig solle im Gesetzentwurf explizit stehen, dass Passwörter bei Anbietern von Online-Diensten weiterhin verschlüsselt abgelegt und gespeichert werden, sagte Lambrecht dem ZDF. Die geplante Befugnis von Behörden, die Herausgabe von Nutzer-Passwörtern zu verlangen, war auf heftige Kritik gestoßen. Der Bundesdatenschutzbeauftragte Ulrich Kelber hatte in seiner Stellungnahme vor "gravierenden Eingriffen in Grundrechte" gewarnt.
Das neue Gesetz soll nicht nur soziale Netzwerke, sondern auch andere Telemedienanbieter verpflichten, Daten ihrer Nutzer auf Verlangen der Behörden herauszugeben. Darunter fallen etwa soziale Medien, Webmail-Dienste, Foren, Chat-Dienste und Online-Shops. Die Unternehmen sollen ihre Kunden nicht informieren dürfen, dass sie eine Passwort-Anfrage der Behörden erhalten haben. Lambrecht betonte nun, im Gesetzentwurf solle klargestellt werden, dass die Herausgabe von Passwörtern "nur bei der Verfolgung schwerster Straftaten in Frage kommt", etwa Kindesmissbrauch, Mord und Terrorismus. Ein Richter muss dies erlauben. "Es muss bei einer solchen Abfrage immer eine Verhältnismäßigkeit geben zwischen der Tiefe des Eingriffs und der Schwere der Straftat", sagte Lambecht. Bisher waren diese konkreten Verbrechen nicht erwähnt.
Irritiert hatte viele Beobachter, dass Unternehmen die Passwörter ja schon verschlüsselt speichern. Nur dann bekommen sie nämlich eine Zertifizierung vom Bundesamt für Sicherheit in der Informationstechnologie. Zudem schreibt die Datenschutz-Grundverordnung die verschlüsselte Speicherung vor. Da eine Pflicht zur Entschlüsselung nach Lambrechts Klarstellung nicht mehr zur Debatte steht, stellt sich aber die Frage, was die Polizisten in den Fällen schwerer Straftaten mit den verschlüsselten Passwörtern tun sollen. Im Idealfall wandeln Diensteanbieter das Passwort mit einem speziellen Algorithmus in einen sogenannten Hashwert um, von dem sich das Passwort nicht mit einer anderen mathematischen Operation "zurückrechnen" lässt. Haben Polizisten ein Passwort nicht, sondern nur den Nutzernamen (oft die E-Mail-Adresse eines Verdächtigen), können sie viele Varianten ausprobieren. Dabei hilft Software, die diese Versuche automatisiert durchführt, ohne zu ermüden wie ein Beamter. Ein Sprecher des Ministeriums erklärte, man werde die Passwörter nach der Herausgabe "zum Teil auch mit hohem Aufwand" entschlüsseln.
Der Zeitplan steht nach wie vor
Grundsätzlich gilt für die Sicherheit von Online-Konten: Je mehr Zeichen ein Passwort in un-gehashter Form enthält, umso größer der technische und zeitliche Aufwand, den die Codeknacker betreiben müssen. Ist das Passwort ausreichend lang und komplex, ist es faktisch unknackbar. In der Praxis benutzen viele Bürger aber zu kurze, leicht zu knackende Passwörter.
Ungeachtet der Überarbeitung will die SPD-Politikerin am Zeitplan festhalten: Am 19. Februar soll das Gesetz vom Kabinett beschlossen werden.
"Mir geht es darum, dass es eine hohe Akzeptanz für dieses wichtige Gesetzespaket gibt", sagte Lambrecht nun. Daher wolle sie sich einer Forderung nach "Klarstellung" auch "nicht verschließen". Ungeachtet der Überarbeitung will die SPD-Politikerin am Zeitplan festhalten: Am 19. Februar solle das Gesetz vom Bundeskabinett beschlossen werden, sagte sie.
Kritik am Gesetz hatte es auch in anderen Punkten gegeben. So hatten Diensteanbieter der IT-Branche bemängelt, dass durch eine geplante Ausweitung der Meldepflicht an eine Zentralstelle des Bundeskriminalamts die Strafverfolgungsbehörden überschwemmt und faktisch lahmgelegt würden. Die Anbieter hatten gefordert, die Meldepflicht auf bestimmte, besonders demokratieschädliche Tatbestände wie Volksverhetzung oder Propaganda verfassungswidriger Organisationen zu beschränken, um einen Kollaps der Strafverfolgung zu verhindern.