„Ermittler sollen leichter an Passwörter kommen“

Mit dieser Unterschrift war es heute bei golem.de zu lesen. Die Bundesregierung will Ermittlern den Zugriff auf Nutzerdaten bei Internetdiensten wie Mail-Anbieter, Foren oder sozialen Medien erleichtern. Die IT-Branche und die Opposition sehen einen „Albtraum für die IT-Sicherheit“.

Definieren wir zunächst was und wer in diesem Artikel mit „Die Bundesregierung“ gemeint ist.

Genau genommen handelt es sich um einen Referententwurf des des Bundesministeriums der Justiz und für Verbraucherschutz vom 12.12. diesen Jahres mit dem Titel: „Entwurf eines Gesetzes zur Bekämpfung des Rechtsextremismus und der Hasskriminalität“ , welcher hier zu finden ist:

https://drive.google.com/file/d/1gV4FIr6cNu2s1W37vd7NJZC4HNceruKL/view

Hasskriminalität was ist das überhaupt?

Gemeint ist mit dem Begriff „Kriminalität“ nach herrschender Lehrmeinung nicht nur das von der Polizei als Straftat bewertete Verhalten, sondern sämtliche Rechtsverletzungen von strafrechtlichen Tatbeständen. (Wikipedia)

Strafrechtliche Tatbestände

Hier wird unterschieden zwischen dem

Objektiver Tatbestand
Der objektive Tatbestand ist in der jeweiligen Norm durch sog. Tatbestandsmerkmale formuliert. Dies sind die äußerlichen Umstände, die gegeben sein müssen (Erfüllen der Tatbestandsmerkmale).

und dem sog.

Subjektiver Tatbestand
Der subjektive Tatbestand bezieht sich auf das Bewusstsein des/der TäterIn während der Tat bzw. auf seine/ihre Einstellung gegenüber seiner/ihrer Handlung; daher “subjektiv” – gemeint ist die innere Haltung des Täters.

Allerdings findet sich im Strafrecht anders als bei der sog. „Verhetzung“ (Volksverhetzung) kein Paragraph, der den Hass oder das hassen eineutig verbietet, gar unter Strafe stellt. (https://kripoz.de/2018/07/16/der-unmoegliche-zustand-des-%C2%A7-130-stgb/)

Das wirft die Frage auf, wie es eine Kriminalität ohne Straftatbestand geben kann? Vieleicht könnte ein Jurist hier Klarheit schaffen. Die viel interessantere Frage ist die wozu die Strafverfolgungsbehörden in diesem Kontext die Klartextpasswörter benötigen? (Zugriff auf die IP-Adresse haben sie bereits)

Die IP Adresse kann lediglich eindeutig einem Telefonanschluss zugeordnet werden nicht einem Täter und ein Passwort kann ebensowenig eindeutig einem Täter zugeordnet werden. (Identitätsdiebstahl) Dazu bedürfte es einer digitalen Signatur die nicht abstreitbar sein darf also einer mehrstufigen Authentifizierung und Identifizierung mittels Schlüsselaustauschs. (https://www.docusign.de/wie-es-funktioniert/elektronische-signatur/digitale-signatur/digitale-signatur-faq)

Ein Blick in den Entwurf klärt auf:

Eine effektive Strafverfolgung setzt außerdem voraus, dass die Tatverdächtigen identifiziert
und Beweise gesichert werden können. In der Strafprozessordnung ist die Erhebung von

Bestands- und Verkehrsdaten gegenwärtig explizit nur für Maßnahmen gegenüber Tele-
kommunikationsdiensteanbietern geregelt. Eine spezielle Regelung für die Datenerhebung

gegenüber Telemediendiensteanbietern fehlt bisher. Diese soll nun geschaffen werden.

Kennen wir das nicht von irgendwoher ?(Vorratsdatenspeicherrung)

Und das auch :

Die Verbreitung kinderpornografischer Inhalte stellt weiterhin ein ernstzunehmendes Prob-
lem dar, wie auch der Bericht der Bundesregierung über die im Jahr 2018 ergriffenen Maß-
nahmen zum Zweck der Löschung von Telemedienangeboten mit kinderpornografischem

Inhalt im Sinne des § 184b des Strafgesetzbuchs belegt. Eine konsequente Strafverfolgung
kann dazu beitragen, den Markt für entsprechende Produkte auszutrocknen und damit der

weiteren Herstellung solcher Missbrauchsdarstellungen sowie der Gefahr entgegen zu wir-
ken, dass Dritte zur Nachahmung angeregt werden. Hierdurch kann ein wichtiger Beitrag

zum Schutz von Kindern vor sexuellem Missbrauch geleistet werden. Deshalb soll die Mel-
depflicht auch für das Zugänglichmachen kinderpornografischer Inhalte gelten.

Was aber hat das mit der sog. Hasskriminalität zu tun ?

Auf den ersten Blick gar nichts doch weit gefehlt, um die freie und unzensierte Meinungsäußerung zu beschränken und zu verbieten bietet sich kein Straftatbestand besser an als der des Besitzes und der Verbreitung von Kinderpornographie. Doch wozu braucht es hier die Passwörter ? Bei Verdacht der Verbreitung illegaler Inhalte kann sowohl der Datenverkehr mitgeschnitten werden (Beweismittel) als auch die IP-Adresse ermittelt werden  beides beweist jedoch nicht zwingend die Täterschaft (gekaperte PC, Botnetze) Passwörter helfen hier überhaupt nicht weiter.

Dieser Enwurf fordert die Änderrung nahezu sämtlicher Gesetze die im Zusammenhang mit der Internetnutzung stehen als auch der StPO, des  Bundeskriminalamtgesetzes und des Telemediengesetzes.(So sollen auch die Geheimdienste Zugriff erhalten) Ferner obliegt dann dem Betreiber solcher Netzwerke oder Plattformen eine Meldepflicht d.h. er muss kontinuierlich sämtliche Inhalte auf solche Ansatzpunkte hin überprüfen.

Die Änderrungen werden damit begründet, dass das Auskunftsverfahren im TMG bislang „nur rudimentär geregelt“ sei. Nun werdfen wir einmal einen Blick auf die bestehende Rechtslage:

Paragraf 14 des TMG verpflichtet die Anbieter von Telemediendiensten, die Bestandsdaten „im Einzelfall“ herauszugeben.

Darauf verwies auch ein Ministeriumssprecher auf Anfrage der Frankfurter Allgemeinen Zeitung (FAZ). Passwörter seien auch nach geltendem Recht Teil der Bestandsdaten und könnten „in einem konkreten Ermittlungsverfahren unter der Sachleitung einer Staatsanwaltschaft herausverlangt werden“. Zudem müssten aus Gründen der Datensicherheit Passwörter regelmäßig „in verschlüsselter Form gespeichert werden und können entsprechend nicht unverschlüsselt herausgegeben werden“, daran ändere die neue Regelung nichts.(Golem.de)

Internetdienste sind rechtlich verpflichtet, die Bestandsdaten ihrer Nutzer vor unbefugtem Zugriff zu schützen. Entsprechende Versäumnisse können zu hohen Bußgeldern durch die Datenschutzbehörden führen (DSGVO, BDSG)

„Über das Auskunftsersuchen und die Auskunftserteilung haben die Verpflichteten gegenüber den Betroffenen sowie Dritten Stillschweigen zu wahren“, heißt es weiter. Dies bedeute nicht, dass der Betroffene oder Dritte nicht informiert würden.

Warum eigentlich nicht? Der Betrieber kann doch auf Anzeige hin den Benutzeraccount sperren, um so Bweise zu sichern und weiteren Missbrauch zu unterbinden.

Die Bundesregierung reagiert damit auch auf ein Urteil des Europäischen Gerichtshofs (EuGH) vom Juni 2019. Das höchste europäische Gericht hatte E-Mail-Provider wie Gmail nicht als Telekommunikationsdienste eingestuft und damit entschieden, dass solche Dienste keine Überwachungsschnittstellen für deutsche Behörden einrichten müssen. Unter Berufung auf dieses Urteil hatte der E-Mail-Provider Posteo erklärt, er sehe derzeit keine Rechtsgrundlage „für etwaige Telekommunikationsüberwachungen (TKÜ) bei E-Mail-Diensten“. Posteo dürfe daher solche Anordnungen nicht mehr umsetzen.

Hier kommen wir den wahren Beweggründen der sog. „Bundesregierung“ also dem Herrn Bundesinnenminister username HeimatHorst Passwort wahrscheinlich „Totalüberwachung“ schon sehr viel Näher. Was durch die Vordertür nicht durchgeht probiern mers mal durch die Hintertür.

Der FDP-Bundestagsabgeordnete Konstantin Kuhle twitterte: „Die Pflicht zur Passwort-Herausgabe ist ein Albtraum für die IT-Sicherheit. Der Schutz der Persönlichkeitsrechte im Internet darf nicht zur Abschaffung vertraulicher Kommunikation führen. Traurig, dass gerade das Justizministerium die Erosion der Bürgerrechte vorantreibt.“ 

Hier stimme ich Herrn Kuhle vollumfänglich zu  – wehret den Anfängen!

 

 

 

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.