5

Mich würde interessieren, wie es sich in diesem Fall mit einer aktivierten 2FA verhält und was passiert, wenn man das Passwort zwischendurch ändert. Hat der Staat eine technische Möglichkeit, die Multi-Faktor-Authentifizierung zu umgehen? Muss der Staat, wenn das Passwort während der Spionage geändert wird, eine neue Anfrage beim Provider stellen? Ein Guide zur „Verhinderung unrechtmäßiger Staatlicher Spionage“ wäre eine schöne Sache, denn auf den Bundestag kann man sich in diesem Fall leider nicht verlassen.

1 „Gefällt mir“
6

Natürlich hat der Anbieter die Möglichkeit, die 2FA zu umgehen - vorausgesetzt, die Daten sind nicht Ende-zu-Ende-verschlüsselt. Folgende Analogie veranschaulicht das vielleicht ganz gut:

Die Bank „Alices“ hat sichere Schließfächer. Kund*innen werden mithilfe des Personalausweises identifziert, manche erhalten als zweiten Faktor zusätzlich einen geheimen Zahlen-Code.
So kommt nur der Kunde an den Inhalt des Schließfaches.
Nun kommt Staatsanwältin Eve und zwingt die Bank, Zugriff auf Bobs Schließfach zu gewähren. Die Bankchefin weist daraufhin ihre Angestellten an, ab sofort auch den Personalausweis von Eve zu akzeptieren. Eve geht also zum Tresen, sagt „Mein Name ist Bob, ich möchte auf mein Schließfach zugreifen.“. Sie zeigt ihren Personalausweis vor und erhält Zugriff auf das Schließfach.

Genau so kann dies auch bei Online-Diensten ablaufen: Die Bank „Alice“ ist der Anbieter, Bob ist der Nutzer und Eve ist der Staat. Die Angestellten, die den Personalausweis und den zweiten Faktor überprüfen, entsprechen dem Anmeldesystem des Dienstes. Anstelle des Personalausweises tritt das Passwort, im Schließfach sind die Kundendaten.

Diese Problematik kann ganz einfach verhindert werden: Bob erhält bei Eröffnung des Schließfaches einen einen zweiten Schlüssel, der für die Öffnung notwendig ist. So kann nur Bob, aber weder die Bank noch Eve in das Schließfach schauen.
Bei Online-Diensten entspricht dies einer Ende-zu-Ende-Verschlüsselung.

1 „Gefällt mir“
7

Danke für die ausführliche und sehr anschauliche Erläuterung.

Es ist wohl nur eine Frage der Zeit bis ein Gesetzentwurf zum Verbot von End-zu-End-Verschlüsselung eingereicht wird.

Du scheinst dich ganz gut auszukennen. Meinst du, Das Gesetzt könnte dazu führen, dass der ein oder andere Anbieter wieder Passwörter im Klartext speichert, es sich also einfach macht und sich dabei auf das Gesetz beruft? Man liest ja immer wieder von Fällen in denen Passwörter unverschlüsselt vom Anbieter gespeichert werden. Geschieht sowas i.d.R. aufgrund von Unachtsamkeit oder spart man sich als Anbieter damit Zeit und Geld?

8

Einzige was sonst hilft ist, keinen Dienstleister zu verwenden, sondern Webdienste von Mail bis Kalender selbst zu betreiben, denn niemand ist gezwungen, sich selbst zu belasten.

Mir ist schon klar, dass das aktuell nur für die wenigsten eine Option ist, aber wir sollten daran Arbeiten, dass es super einfach wird, sich selbst einen Mailserver hinzustellen, der sich selbst wartet und auf den sonst niemand Zugriff hat.

1 „Gefällt mir“
9

Das ist ja nichtmal ein theoretisches Problem, also von staatsseite schon. Wenn ich mich recht erinnere hat bei diesem Skandal vor einiger Zeit wo ein Jugendlicher Daten von diversen Promis veröffentlicht hat dieser Zugang zu Konten (ich glaube z.b. Twitter von Unge) erhalten, weil er die Kontrolle über die E-Mail Adresse hatte und dann den Kundenservice überzeugt hat er sei Unge und hätte sein Handy verloren und daraufhin hat der Kundenservice die 2FA kurzzeitig ausgeschaltet und der „Hacker“ konnte sich einloggen bzw ein neues Passwort an die gekarperte E-Mail Adresse schicken lassen.

10

Ich befürchte, dass der erste Angriffspunkt dann Mail oder SMS sein könnte. SMS ist für staatliche Akteure trivial umzuleiten, und Mail hat oft schwache Passwörter, weil die Leute sich so oft ins Webmail einloggen müssen. Und wenn Mail erstmal übernommen wurde, haben die Angreifer praktisch beliebigen Zugang zu allen anderen Diensten, egal ob die im Strafverfahren eine Rolle spielen oder nicht, weil sie sich überall die Passwörter zurücksetzen lassen können (sofern nicht 2FA eingerichtet mit etwas anderem als SMS eingerichtet ist).

11

Klartext-Speicherung von Passwörtern ist nicht viel Aufwand und passiert höchstens aufgrund fehlender Kenntnisse. Wer es dennoch macht, ist ein Amateur und verstößt zudem gegen Art. 5 (1) f) der DSGVO.

2 „Gefällt mir“
12

Ich möchte noch einmal betonen: Das verabschiedete Gesetz erübrigt einen „Angriff“ jedweder Art.
Es ermöglicht staatlichen Akteuren den Eintritt durch den Haupteingang, wie auch Ulf und Philipp es sagten. Das obige Beispiel soll das veranschaulichen.

(Natürlich sind Mail und SMS trotzdem zwei absolute Schwachpunkte, keine Frage)

13

„Hacker“

Ich vermute, dass du mit den Anführungszeichen den Jugendlichen als „Möchtegern-Hacker“ diskreditieren willst. Viele verbinden die Bezeichnung „Hacker“ mit stark technischen Angriffen, für die hoch-komplizierte Sicherheitslücken ausgenutzt werden. Das hat der zitierte Jugendliche nicht getan, ich erinnere mich auch noch an diesen Fall.

Die stark technisch-versierte Konnotation von „Hacker“ ist weit verbreitet, aber leider grob unzutreffend. Die wenigsten Angriffe sind technischer Natur. Sogenannte „Social Engineering“-Angriffe, bei denen die Schwachstelle Mensch ausgenutzt wird, sind die Norm. So wurde auch in diesem Fall vorgegangen.

Zu Social Engineering kann ich den Vortrag „Hirne hacken“ von Linus Neumann sehr empfehlen :slight_smile:

15

Ich empfinde jede Anwendung des Gesetzes als Angriff in diesem Sinne.

(Zusätzlicher Text damit die Änderung des Kommentars vom Forum akzeptiert wird, das sah nach Abschicken nicht so aus als würde die Antwort in den Thread einsortiert werden.)

16

Wenn ich das richtig lese, dann sieht das Gesetz ja nur die Herausgabe des Passwort(-Hash) vor.
Zumindest kann ich nicht herauslesen, dass der Anbieter Informationen über sein Prüfverfahren liefern muss. Diese Daten gehören ja auch nicht wirklich zu den Benutzer-/Kundendaten. Solange die Salt-Bestandteile lang und mehrere Algorithmen möglich sind, wird eine staatliche Stelle an einem passenden Passwort lange rechnen müssen. Sollten die Annahmen so richtig sein, dann wird der eigene Zugang bei einem technisch cleveren Anbieter, der einigermaßen wehrhaft ist, weiterhin gut geschützt sein.

Über das Einrichten alternativer Benutzerzugänge oder die Abschaltung von 2FA Zugangssicherungen finde ich ebenfalls nichts im Gesetz. Solange die 2FA Zugangssicherung nicht auf eMail oder SMS beruht, sollte das ebenfalls eine von staatlicher Seite nicht zu überwindende Hürde darstellen. FIDO2, Push Token oder OTP Generatoren sind ohne eingerichtete Umgehungslösung auf Seiten des Anbieters nicht zu überwinden.

1 „Gefällt mir“
17

FIDO2, Push Token oder OTP Generatoren sind ohne eingerichtete Umgehungslösung auf Seiten des Anbieters nicht zu überwinden.

Und genau das ist eben der Punkt, vor dem ich ein wenig Angst habe. Im Gesetztestext steht zwar nur etwas von „Passwort-Hashes“, aber in der Gerichtsbarkeit zählt ja bekanntlich die Intention der Norm - und da ein einfacher Hash eben keinerlei Nutzen hat, sehe ich ihn hier als synonym zu „Voller Zugang zum Benutzeraccount“. Damit wären es dann auch möglich, die Anbieter zur Einrichtung einer Umgehungslösung zu zwingen. Kannst du als Jurist hier Aufklärung schaffen, Ulf? :slight_smile:

Falls dem nicht so wäre, also der Anbieter zwar zur Herausgabe ders Passwort-Hashes aber nicht zur Einrichtung einer Umgehungslösung gezwungen wäre, fände ich die konsequenz noch skurriler: So greift die neue Überwachungsklausel nur gegenüber technisch unversierte „Normalos“, die keine 2FA einsetzen. Eine weiter Verbreitung von 2FA wäre der einzig gute Effekt dessen - das ist aber wohl kaum Hintergrund des Gesetzes ^^

18

Das mag schon sein, und technik-affine Menschen wie Du und ich sind sicherlich in der Lage das zu bedienen. Aber es gibt eben auch Menschen, denen schon die Bedienung eines Passwort-Safes zu komplex ist. Diese wären mit der neuen Regelung quasi Freiwild.

1 „Gefällt mir“
19

@skn0tt @WilliWuff

Bislang glaube ich tatsächlich, dass ausschließlich mit Maßnahmen auf Seiten der Diensteanbieter schon ausreichend Schutz aufgebaut werden kann, damit der Staat wegen der verbleibenden technischen Hürden mit den neuen Möglichkeiten nicht auf Falschparker losgeht.

Ansonsten werden wir in den nächsten Wochen auf üblichen Kanälen im Bereich der Netzpolitik noch viele qualifizierte Einschätzungen dazu hören und können uns dann ohne viel zu spekulieren die Tastaturen heißtippen. :wink:

1 „Gefällt mir“
20

Mich würde mal interessieren, wie lange ein Passwort mit den gängigen Sonderzeichenregeln aktuell sein muss, damit es nicht in akzeptabler Zeit von dem schnellsten Rechner per brute-force geknackt wird. Habe da auf die Schnelle nichts gefunden, hat da jemand aktuelle Daten?

21

Das sagt das BSI dazu:

Die Zeit, die es dauert mit Brute-Force ein Passwort zu finden variiert stark vom Geldeinsatz. Und damit eben auch wogegen ich mich schützen will. Will ich mich gegen Kleinkriminelle schützen, die ihre Hand an die Passwort-Datenbank meines Fussball-Forums bekommen haben, oder eben gegen Geheimdienste wie die NSA?

Edit:
Hier noch etwas Aktuelles:

22

Einer der Effekte dieses Gesetzes dürfte Munition für Verschwörungserzähler sein: wenn Vater Staat perspektivisch Interesse daran hat, per brute-force die gehashten Passwörter unserer E-Mail-Konten zu knacken, kann man dann noch Empfehlungen des Bundesamtes für Sicherheit und Informationstechnik mit der Überschrift „BSI für Bürger“ vertrauen?? Ohje, ohje…

23

Wenn man sich gegen Staaten schützen will muss man sicherlich andere Wege gehen als nur „sichere“ Passwörter verwenden. 2-Faktor Identifizierung ist sicherlich ein guter Weg, das Problem ist nur dass das noch nicht viele Anbieter.

24

Ob nun Klartext-Passwort (was ein DSGVO-Verstoß wäre) oder brute force geknackter Hash: nehmen wir an, eine Behörde verschafft sich den Zugang zu einem Konto. Das ist dann ja ein Vollzugang, also nichts mit Read-Only oder so.
Somit eröffnet sich das gleiche Szenario wie die bereits gegen Ende des Podcasts angesprochene Variante mit der Erpressung per Bundestrojaner.
Spinnt man diesen Gedanken weiter, kann dann möglicherweise jeder Dorfpolizist in meinem Namen Unfug schreiben, für den ich dann verantworlich gemacht werde.

Nun ist aber eins der höchsten Gebote für jeden Forensiker, dass der Untersucher sicherstellen muss, das er den untersuchten Sachverhalt nicht verändert. Genau das ist allerdings hier nicht gegeben.

Frage an die Juristen: wäre das nicht ein Ansatzpunkt für einen Anwalt, grundsätzlich erst mal auf „Mein Mandant bestreitet, dieses Hass-Posting selbst verfassst zu haben. Das hat möglicherweise der Ermittler selbst getan“?

25

Zwei Fragen in die Runde:
Lese ich in den Gesetzentwurf richtig, dass sich das Herausgabeverlangen nicht nur auf die Passwörter von Beschuldigten bezieht, sondern auf jeden Account, wenn sich dieser in Zusammenhang mit einem Ermittlungsverfahren bringen lässt?

Da ich leider nur rudimentäre Vorstellungen zur technischen Seite habe: Wie viel einfacher ist es, ein Passwort zu knacken, dessen Hash ich kenne, gegenüber einem „normalen brute-force-Angriff“? Mir ist klar, dass die Antwort von vielen Einzelheiten abhängt …