Manfred Kloiber: Ende vergangener Woche erblickte ein Referentenentwurf das Licht der Öffentlichkeit, der eigentlich noch gar nicht publik werden sollte. Und deshalb wurde er öffentlicher, als den Urheberinnen und Urhebern wahrscheinlich lieb gewesen sein dürfte. Es geht um den Referentenentwurf "eines Gesetzes zur Bekämpfung des Rechtsextremismus und der Hasskriminalität" aus dem Bundesministerium der Justiz und für Verbraucherschutz. Darin geht es unter anderem darum, wie Hasskriminalität und Rechtsextremismus im Internet bekämpft werden sollen.
Doch der Entwurf hat es in sich, Datenschützer und Netzpolitiker sind aufgebracht und unser Hauptstadtstudio hatte mit der politischen Deutung und Einordnung alle Hände voll zu tun. Wir wollen uns heute deshalb ein wenig stärker mit den technischen Details beschäftigen. Jan Rähm, worum geht es konkret in dem Entwurf? Was steckt drin?
Jan Rähm: Darin stecken umfassende Auskunftspflichten und Pflichten zur Herausgabe von Daten durch Dienste-Anbieter im Internet. Es geht vor allem um sogenannte Bestandsdaten - wie unter anderem Namen, Anschrift und Anschlussnummer, aber auch um Passworte, IP-Adressen und genutzte Ports.
Jan Rähm: Darin stecken umfassende Auskunftspflichten und Pflichten zur Herausgabe von Daten durch Dienste-Anbieter im Internet. Es geht vor allem um sogenannte Bestandsdaten - wie unter anderem Namen, Anschrift und Anschlussnummer, aber auch um Passworte, IP-Adressen und genutzte Ports.
Zudem sollen Telemediendiensteanbieter mit mehr als 100.000 Kunden eine gesicherte elektronische Schnittstelle bereithalten müssen, über die die Behörden Daten abfragen können. Das Bundesjustizministerium will mit dem Entwurf auf "zunehmende Verrohung" der Kommunikation im Internet reagieren und Mittel schaffen zur besseren Verfolgung von Hasskriminalität, insbesondere solcher mit rechtsextremistischem Hintergrund.
Verschärft beziehungsweise geändert werden sollen Regelungen des seit 2017 geltende Netzwerk-Durchsetzungsgesetz kurz NetzDG, das Bundeskriminalamtgesetz, das Telemediengesetz, das Strafgesetzbuch sowie die Strafprozessordnung.
Kloiber: Das alles soll also mit dem geplanten Gesetz neu geregelt werden. Wenn man allerdings konkret nachfragt, was Opposition, Bürgerrechtler und Informatiker auf die Palme bringt, dann geht es auch um ganz konkrete Begriffe.
Kloiber: Das alles soll also mit dem geplanten Gesetz neu geregelt werden. Wenn man allerdings konkret nachfragt, was Opposition, Bürgerrechtler und Informatiker auf die Palme bringt, dann geht es auch um ganz konkrete Begriffe.
Gesetzentwurf sorgt für viel Kritik
Passwörter herausgeben müssen? Der Grünen-Netzpolitiker Konstantin von Notz spricht vom "großen Lauschangriff", der Linken-Abgeordnete Niema Movassat von einer "Vorratsdatenspeicherung durch die Hintertür". Die Opposition im Bundestag war in der aktuellen Stunde am Mittwoch aufgebracht und fand deutliche Worte. Übertrieben dagegen fand SPD-Justizministerin Christine Lambrecht die Aufregung, denn:
"Staatsanwaltschaften und Polizei können übrigens heute schon Bestandsdaten von Internet-Plattformen heraus verlangen. Dazu gehören auch Passwörter, nämlich unter Rückgriff auf die allgemeinen Ermittlungsbefugnisse, die aber relativ unbestimmt sind und einen breiten Ermessensspielraum zulassen. Die Internet-Plattformen dürfen die Daten auch herausgeben."
Allerdings sollten Passwörter nicht im Klartext bei den Anbietern vorliegen. Es steht also die Frage im Raum, was Behörden mit den Daten wollen. In der aktuellen Stunde und im Ausschuss Digitale Agenda sowie in der öffentlichen Diskussion wurde von "verschlüsselten Passwörtern" gesprochen. Den Informatiker Florian Gallwitz von der Technischen Hochschule in Nürnberg regt das auf:
"Also aus meiner Sicht ist die Argumentation 'eure Passwörter sind verschlüsselt, wir können nichts damit machen' sachlich falsch und auch unredlich."
Schließlich werden Passwörter in der Regel weder unverschlüsselt noch verschlüsselt abgespeichert. Hinterlegt wird stattdessen ein sogenannter Hashwert, der mit einer Einwegfunktion erzeugt wird, und mit dem nur überprüft werden kann, ob ein eingegebenes Passwort richtig oder falsch ist. Als Lapsus oder als eine versehentlich falsche Umschreibung sieht Gallwitz die Wortwahl von der "Herausgabe von Passwörtern" allerdings nicht:
"Zumindest zum Teil ist es haarsträubende Inkompetenz. Bei dem Referentenentwurf selbst bin ich mir nicht so sicher, weil es ist mal die Argumentation 'Wir wollen eure Passwörter, wir können sie aber nicht benutzen, diesen verschlüsselt‘. Die ist ja schon in sich haarsträubend. Da gehen doch alle Warnlampen an."
Auch der Netzpolitische Sprecher der FDP und Vorsitzende des Bundestagsausschusses Digitale Agenda, Manuel Höferlin, rügt den Referentenentwurf. Er hat nachgefragt:
"Es ist interessant, wie naiv teilweise die technischen Punkte beschrieben sind, wenn es um die Herausgabe von Passworten geht. Ich habe gestern die Kanzlerin gefragt, ob sie denn jetzt möchte, dass Provider Passworte im Klartext abspeichern. Sie konnte das nicht richtig beantworten. Ich weiß nicht, was es soll, wenn man Hashwerte übergibt, ob man dann Brute-Force-Angriffe auf die Passworte machen möchte und dann weiterkommen möchte. Ich finde das einen sehr merkwürdigen Weg und eine sehr merkwürdige Vorstellung auch, wie mit Sicherheit umgegangen wird."
"Staatsanwaltschaften und Polizei können übrigens heute schon Bestandsdaten von Internet-Plattformen heraus verlangen. Dazu gehören auch Passwörter, nämlich unter Rückgriff auf die allgemeinen Ermittlungsbefugnisse, die aber relativ unbestimmt sind und einen breiten Ermessensspielraum zulassen. Die Internet-Plattformen dürfen die Daten auch herausgeben."
Allerdings sollten Passwörter nicht im Klartext bei den Anbietern vorliegen. Es steht also die Frage im Raum, was Behörden mit den Daten wollen. In der aktuellen Stunde und im Ausschuss Digitale Agenda sowie in der öffentlichen Diskussion wurde von "verschlüsselten Passwörtern" gesprochen. Den Informatiker Florian Gallwitz von der Technischen Hochschule in Nürnberg regt das auf:
"Also aus meiner Sicht ist die Argumentation 'eure Passwörter sind verschlüsselt, wir können nichts damit machen' sachlich falsch und auch unredlich."
Schließlich werden Passwörter in der Regel weder unverschlüsselt noch verschlüsselt abgespeichert. Hinterlegt wird stattdessen ein sogenannter Hashwert, der mit einer Einwegfunktion erzeugt wird, und mit dem nur überprüft werden kann, ob ein eingegebenes Passwort richtig oder falsch ist. Als Lapsus oder als eine versehentlich falsche Umschreibung sieht Gallwitz die Wortwahl von der "Herausgabe von Passwörtern" allerdings nicht:
"Zumindest zum Teil ist es haarsträubende Inkompetenz. Bei dem Referentenentwurf selbst bin ich mir nicht so sicher, weil es ist mal die Argumentation 'Wir wollen eure Passwörter, wir können sie aber nicht benutzen, diesen verschlüsselt‘. Die ist ja schon in sich haarsträubend. Da gehen doch alle Warnlampen an."
Auch der Netzpolitische Sprecher der FDP und Vorsitzende des Bundestagsausschusses Digitale Agenda, Manuel Höferlin, rügt den Referentenentwurf. Er hat nachgefragt:
"Es ist interessant, wie naiv teilweise die technischen Punkte beschrieben sind, wenn es um die Herausgabe von Passworten geht. Ich habe gestern die Kanzlerin gefragt, ob sie denn jetzt möchte, dass Provider Passworte im Klartext abspeichern. Sie konnte das nicht richtig beantworten. Ich weiß nicht, was es soll, wenn man Hashwerte übergibt, ob man dann Brute-Force-Angriffe auf die Passworte machen möchte und dann weiterkommen möchte. Ich finde das einen sehr merkwürdigen Weg und eine sehr merkwürdige Vorstellung auch, wie mit Sicherheit umgegangen wird."
Ein Gesetzentwurf mit Licht und Schatten
Obwohl er ihn insgesamt als einen Angriff auf die Bürgerrechte sieht, kann der Jurist und Vorsitzende der Gesellschaft für Freiheitsrechte Ulf Bermuder dem Referentenentwurf auch Gutes abgewinnen.
"Der Gesetzentwurf hat aus meiner Sicht Licht und Schatten. Positiv zu bewerten ist, dass die bisher wohl schon jedenfalls nach herrschender Meinung mögliche Abfrage von Passwörtern im Gesetz ausdrücklich geregelt wird. Die Abfrage soll jetzt auch eindeutig einem Richtervorbehalt unterworfen werden, wie wirksam er auch immer sein mag, das ist positiv zu bewerten. Negativ ist zu bewerten, dass eine Passwort-Abfrage überhaupt möglich sein soll.
Negativ ist außerdem zu bewerten, dass nicht schon im Gesetz klargestellt ist, ob dieses Gesetz jetzt eine Verpflichtung enthält, Passwörter in Zukunft wieder im Klartext zu speichern. […] Das heißt, der Gesetzestext schließt bisher nicht aus, dass Strafverfolger auf den Gedanken kommen, Druck auszuüben, dass Passwörter im Klartext gespeichert oder herausgegeben werden."
Zwei Möglichkeiten, Passwörter zu entschlüsseln
Kloiber: Bevor wir darüber sprechen, ob Diensteanbieter künftig zur Speicherung von Passworten im Klartext gezwungen werden sollen: Jan, was kann die Strafverfolgung mit Passwörtern anfangen, die nicht im Klartext vorliegen?
Rähm: Sie kann versuchen, diese Passworte zu knacken. Dabei sind zwei Wege erfolgsversprechend: durchprobieren in der Hoffnung, dass der Nutzer ein leicht erratbares Passwort verwendet hat. Oder darauf setzen, dass ein zu kurzes Passwort verwendet wurde und man es mit aktueller Rechenleistung in überschaubarer Zeit errechnen kann. Wie im Beitrag zu hören war, werden Passworte über eine Einwegfunktion gehasht. Das bedeutet: das Passwort wird ohne großen Rechenaufwand in eine Reihe aus Zahlen und Zeichen gebracht. Der umgekehrte Weg, daraus wieder das Passwort zu machen, ist dagegen extrem rechenintensiv.
Rähm: Sie kann versuchen, diese Passworte zu knacken. Dabei sind zwei Wege erfolgsversprechend: durchprobieren in der Hoffnung, dass der Nutzer ein leicht erratbares Passwort verwendet hat. Oder darauf setzen, dass ein zu kurzes Passwort verwendet wurde und man es mit aktueller Rechenleistung in überschaubarer Zeit errechnen kann. Wie im Beitrag zu hören war, werden Passworte über eine Einwegfunktion gehasht. Das bedeutet: das Passwort wird ohne großen Rechenaufwand in eine Reihe aus Zahlen und Zeichen gebracht. Der umgekehrte Weg, daraus wieder das Passwort zu machen, ist dagegen extrem rechenintensiv.
Erschwert wird es durch zusätzliche Zeichenketten, die pro Nutzer individuell eingefügt werden, die ist das sogenannte Salt, also Salz. Das Problem allerdings: Der Referentenentwurf würde es auch ermöglichen, dieses Salt mit herausfordern zu können.
Kloiber: Nun gibt es Befürchtungen, der Entwurf könnte, wenn er Gesetz wird, Anbieter zur Speicherung im Klartext zwingen. Wie wahrscheinlich ist das?
Rähm: Das ist eher unwahrscheinlich, schließlich schreibt die Datenschutzgrundverordnung als EU-Recht die sichere Speicherung vor und EU-Recht sticht nationales Recht. Auch die Justizministerin betonte in dieser Woche: solche Auslegung wird es nicht geben. Ob das auch Justiz und Ermittler so sehen? Das wird die Praxis zeigen. Besser wäre, wenn das Gesetz gleich ohne Interpretationsspielräume formuliert würde.
Kloiber: Nun gibt es Befürchtungen, der Entwurf könnte, wenn er Gesetz wird, Anbieter zur Speicherung im Klartext zwingen. Wie wahrscheinlich ist das?
Rähm: Das ist eher unwahrscheinlich, schließlich schreibt die Datenschutzgrundverordnung als EU-Recht die sichere Speicherung vor und EU-Recht sticht nationales Recht. Auch die Justizministerin betonte in dieser Woche: solche Auslegung wird es nicht geben. Ob das auch Justiz und Ermittler so sehen? Das wird die Praxis zeigen. Besser wäre, wenn das Gesetz gleich ohne Interpretationsspielräume formuliert würde.
Über Schnittstelle könnten massenhaft Daten abgefragt werden
Kloiber: Etwas weniger beachtet im Entwurf ist ein Punkt, der ebenfalls sehr kritisch werden kann: Die elektronische Schnittstelle zur Datenabfrage. Was ist hier das Problem?
Rähm: Das Problem ist, dass einerseits befürchtet wird, dass über eine solche Schnittstelle massenhaft Daten abgegriffen werden und das auch schlechter kontrolliert als bei Einzelabruf. Schon bei kleinsten Ordnungswidrigkeiten könnten die Behörden Daten ziehen, das gibt der Entwurf nach Meinung der Experten her. Andererseits soll in den Unternehmen die Zulässigkeit der Abfrage geprüft werden, was so nicht in Ordnung ist. Da wird verschoben auf die Unternehmen, was eigentlich ein Richter oder Staatsanwalt entscheiden sollte.
Rähm: Das Problem ist, dass einerseits befürchtet wird, dass über eine solche Schnittstelle massenhaft Daten abgegriffen werden und das auch schlechter kontrolliert als bei Einzelabruf. Schon bei kleinsten Ordnungswidrigkeiten könnten die Behörden Daten ziehen, das gibt der Entwurf nach Meinung der Experten her. Andererseits soll in den Unternehmen die Zulässigkeit der Abfrage geprüft werden, was so nicht in Ordnung ist. Da wird verschoben auf die Unternehmen, was eigentlich ein Richter oder Staatsanwalt entscheiden sollte.
Die Kritiker bemängeln darüber hinaus, dass Unternehmen künftig Inhalte wie Morddrohungen oder andere rechtswidrige Inhalte an eine Zentralstelle beim Bundeskriminalamt weitergeben müssen. Das Problem: schon heute sind Strafverfolger personell und technisch kaum in der Lage, alle eingehenden Fälle abzuarbeiten. Wenn eine Flut an weiteren Meldungen kommt, werde das nicht besser so die Kritiker. Auch sei unklar, was genau gemeldet werden müsse. Schließlich würden Plattformen schon auf Basis eigener Gemeinschaftsregeln Inhalte entfernen. Müssten diese dann trotzdem gemeldet werden und online bleiben? hier ist der Entwurf nicht klar in seiner Aussage.
Teile des Gesetzentwurfes könnten vor dem Bundesverfassungsgericht landen
Kloiber: Ihre Einschätzung: Wie geht es weiter?
Rähm: Mit ziemlicher Sicherheit wird es noch deutliche Überarbeitungen geben, bis Gesetzesänderungen daraus werden und wenn die kritischen Punkte nicht entschärft werden, bin ich mir sicher, dass Teile der Gesetze zur Prüfung der Verfassungsmäßigkeit in Karlsruhe vorm Verfassungsgericht landen werden.