Digitale Privatsphäre:Was hinter den neuen Plänen zur Internet-Überwachung steckt

Digitale Privatsphäre: Passwörter könnten künftig unverschlüsselt gespeichert werden.

Passwörter könnten künftig unverschlüsselt gespeichert werden.

(Foto: Daniel Hofer)
  • Mit dem geplanten Gesetz gegen Hasskriminalität möchte das Justizministerium auch das Telemediengesetz erweitern.
  • Online-Dienste könnten gezwungen werden, Kennwörter im Klartext zu speichern und auf Anfrage an Ermittler herauszugeben.
  • Bürgerrechtler warnen davor, dass die Meldepflicht ein erster Schritt auf dem Weg zu einer neuen, umfassenderen Form der umstrittenen Vorratsdatenspeicherung sein könnte.

Von Max Hoppenstedt und Ronen Steinke, Berlin

Macht der Staat das Internet unsicher? Mit seinem Gesetzespaket gegen Rechtsextremismus und Hasskriminalität hat das Bundesjustizministerium Netzpolitiker und Datenschützer gegen sich aufgebracht. Einige Vorschläge aus dem Paket würden die Art, wie Ermittler auf äußerst persönliche Daten zugreifen, grundsätzlich verändern.

Das Bundesjustizministerium plant mit dem Gesetzespaket auch das Telemediengesetz (TMG) zu erweitern. Das Gesetz hat nichts mit politischem Extremismus zu tun, sondern regelt, was Online-Dienste dürfen und tun müssen, um ein Angebot zu betreiben. Der Entwurf sieht vor, dass jeder E-Mail-Dienst, jedes soziale Netzwerk und alle Unternehmen, die Dienste im Internet betreiben, die Passwörter ihrer Kunden auf Verlangen an die Sicherheitsbehörden herausgeben müssen.

Im Telemediengesetz soll bald stehen: Auch solche "Bestandsdaten" sollen herausgegeben werden, "mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird". Die Passwörter verlangen könnten demnach alle Polizeidienststellen und Polizeibehörden, der Verfassungsschutz und der Bundesnachrichtendienst und auch der Zoll. Bisher können diese lediglich sogenannte IP-Adressen abfragen. Dabei handelt es sich um die Adressen eines Internet-Anschlusses, die verraten kann, zu welcher Person und an welcher Anschrift ein Internetzugang gehört.

Geplant ist ein Richtervorbehalt, dafür sorgt Paragraf 100j der Strafprozessordnung. Nur in Eilfällen genügt auch eine Entscheidung einer Staatsanwaltschaft. Die juristische Hürde ist trotzdem sehr niedrig: Nach dem Gesetzentwurf des Justizministeriums soll es schon genügen, wenn der Verdacht irgendeines Delikts im Raum steht, welches (auch) mittels Telekommunikation begangen worden sein soll, was im Internetzeitalter ziemlich vieles umfasst. Und: Die Unternehmen dürfen ihre Kunden nicht informieren, dass sie eine solche Passwort-Anfrage bekommen haben.

Der Gesetzesvorschlag ist nicht auf dem aktuellen Stand der Technik

Fraglich ist allerdings, wie die IT-Unternehmen auf solche Anfragen von Polizisten oder Geheimdienstlern in Zukunft reagieren werden. Die Passwörter, um die es geht, werden bei den Unternehmen in der Regel gar nicht im Klartext gespeichert. Aus dem Google-Konzern heißt es zum Beispiel, dass man Passwörter etwa für Online-Clouddienste wie Google Drive oder die Online-Backups gar nicht herausgeben könne. Der Konzern gibt an, die Daten so durch ein kryptografisches Verfahren geschützt zu speichern, dass sie nicht als Klartext herausgegeben werden könnten. Tatsächlich bekommen Cloud-Dienste nur dann eine Zertifizierung vom Bundesamt für Sicherheit in der Informationstechnologie (BSI), wenn sie Passwörter entsprechend geschützt speichern. Auch die Datenschutz-Grundverordnung verlangt eine solche Speicherung. Dasselbe gilt für die Sperrcodes von Handys, sie sind in der Regel nur auf den Geräten und nicht auf den Servern der Unternehmen selbst gespeichert.

Die Anfragen der Sicherheitsbehörden könnten beim derzeitigen Stand des Datenschutzrechts also ins Leere laufen. "Wir gehen davon aus", sagt ein Sprecher des Justizministeriums, "dass diese Regelung einen sehr kleinen Anwendungsbereich haben wird." Es kämen praktisch nur Fälle in Betracht, in denen kleine IT-Anbieter sich mal nicht an das Datenschutzrecht gehalten haben. Andere Juristen warnen, es könnte durch die geplante Änderung politischer Druck auf die Unternehmen entstehen, den Datenschutz an dieser Stelle zurückzudrehen. "Strafverfolger könnten durch die Regelung auf den Gedanken kommen, dass sie Unternehmen dazu zwingen könnten, ihre Passwörter unverschlüsselt zu speichern", sagt Ulf Buermeyer, Vorsitzender der Bürgerrechtsorganisation Gesellschaft für Freiheitsrechte (GFF).

Datenschutz oder Ermittlern helfen: Gewissenskonflikt für Tech-Unternehmen

Wenn Unternehmen Kennwörter im Klartext herausgeben wollen, müssten sie für alle ihre Nutzer die Speicherung der Passwörter unsicherer machen - nicht nur für die verdächtigen. Aus gutem Grund werden Passwörter heute bei allen großen und mittleren IT-Unternehmen mit kryptografischem Schutz auf den Servern der Unternehmen abgelegt. Dieser verhindert, dass Hacker die Passwörter in verwendbarer Form stehlen können, auch wenn sie schon in die Datenbank eingebrochen sind. Dieser kryptografische Schutz kann wenn, dann nur pauschal für alle Nutzer deaktiviert werden, weil die Unternehmen ja nicht wissen können, für wen Strafverfolger einmal ein Passwort anfragen würden. "Ich finde es gesetzgeberisch zutiefst unethisch, zu sagen: Wir schauen einfach mal, welches Netzwerk die Passwörter im Klartext rausgibt und welches nicht", kritisiert Ulf Buermeyer. Sollte das Gesetz kommen, würde seine Organisation GFF prüfen, gegen die Herausgabepflicht Verfassungsbeschwerde einzulegen.

Auch aus der Opposition kommt heftige Kritik an den Plänen des Justizministeriums. Als "Albtraum für die IT-Sicherheit" bezeichnete der FDP-Politiker Konstantin Kuhle die geplante Herausgabepflicht für Passwörter. "Der Kampf für mehr Schutz der Persönlichkeitsrechte im Internet darf nicht zu Lasten des Bedürfnisses nach sicherer und vertraulicher Kommunikation geführt werden", sagte der innenpolitische Sprecher der FDP.

"Es ist gut, dass die Bundesregierung endlich die Taten und Netzwerke des Rechtsextremismus ernsthaft wahrnimmt", sagte die Grünen-Abgeordnete Renate Künast. Sie kritisiert aber, dass mit dem Gesetz gegen Rechtsextremismus und Hasskriminalität Befugnisse eingeführt werden könnten, die die Behörden "immer schon haben wollten, wie zum Beispiel eine anlasslose Vorratsdatenspeicherung und die Ausweitung auf Passworte". Künast ist seit langem Ziel von massiven Anfeindungen und Beleidigungen im Netz und klagt auch vor Gericht dagegen.

Die Anbieter speichern die benötigten Daten bisher gar nicht

Im Zuge der neuen Meldepflicht sollen die Betreiber sozialer Netzwerke nicht nur verpflichtet werden, die IP-Adresse von Nutzern zu übermitteln, deren Beiträge sie gelöscht haben. Sie sollen auch die sogenannte Portnummer herausgeben. Mit dieser Nummer lassen sich verschiedene Dienste identifizieren, die über dieselbe IP-Adresse ablaufen. Hintergrund ist, dass Ermittler mit den neuen Mobilfunkstandards wie LTE oft ein Problem haben. Heute haben oft Hunderte Nutzer dieselbe öffentliche IP-Adresse, obwohl sie jeweils ein eigenes Gerät benutzen. Das liegt unter anderem daran, dass Mobilfunkprovider ihren Kunden geteilte öffentliche IP-Adressen zuweisen, weil die Adressen in dem heute am meisten verbreiteten Format knapp werden. Ein ähnliches Problem haben Ermittler, wenn Nutzer einen von mehreren Nutzern verwendeten Internetzugang wie zum Beispiel im Wifi eines Cafés nutzen. In solchen Fällen soll den Ermittlern die Portnummer helfen.

Wenn die Polizei allerdings eine Portnummer von Facebook, Google und Co bekäme, könnten die Ermittler mit den Ziffern allein immer noch nichts anfangen. Sie müssten jetzt beim Internetanbieter, etwa der Telekom, Vodafone oder O2 anfragen, welche Person hinter der Portnummer steckt. Doch die Provider speichern diese Daten bisher gar nicht. Damit die Meldepflicht, die neu ins NetzDG aufgenommen werden soll, praktisch etwas bringen, müssten die Provider verpflichtet werden, auch die Portnummern zu speichern - und damit viel mehr Daten über ihre Kunden als bisher. So werden zum Beispiel für jede neu aufgerufene Internetseite eine oder sogar mehrere Portnummern pro Nutzer erstellt. Ein Kunde, der einen Tag lang viel surft, kann mehrere Tausend Portnummern generieren.

Ulf Buermeyer warnt davor, auf diesem Umweg eine neue, umfassendere Form der Vorratsdatenspeicherung einzuführen. Er sagt: "Will man wirklich die Daten von allen Nutzern deutschlandweit speichern und bevorraten, um einzelne Online-Straftaten bekämpfen zu können? Aus bürgerrechtlicher Sicht ist die Antwort ganz klar: nein." Die Vorratsdatenspeicherung wurde in Deutschland zwar als Gesetz verabschiedet, wird allerdings wegen verfassungsrechtlicher Bedenken bisher nicht angewandt. Der Europäische Gerichtshof hatte 2016 festgestellt, dass die europäische Richtlinie zur Vorratsdatenspeicherung gegen Grundrechte verstößt. Eine Entscheidung des Europäischen Gerichtshofs zur deutschen Richtlinie wird in einigen Monaten erwartet.

Zur SZ-Startseite

ExklusivÜberwachung
:Gericht zwingt E-Mail-Anbieter, Daten unverschlüsselt herauszugeben

Datenschützer und Polizei streiten darüber, wie geheim Kommunikation sein darf. Der Fall des deutschen Anbieters Tutanota zeigt, wie viel Einblick Ermittler verlangen können.

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: