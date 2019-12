Endlich passt das Symbolfoto so richtig: Die deutsche Regierung hätte gerne Nutzerpasswörter im Klartext. Foto: Pawel Kopczynski / REUTERS

Mit dem Netzwerkdurchsetzungsgesetz hat die deutsche Bundesregierung erst vor kurzem deutliche Verschärfungen für die Betreiber von Internetplattformen durchgesetzt – und dafür zum Teil ziemlich scharfe Kritik kassiert. Doch das war offenbar erst der Anfang. Ein neuer Gesetzesentwurf aus dem von Christine Lambrecht (SPD) geführten Justizministerium soll den Zugriff der Behörden auf Nutzerdaten massiv ausweiten und sorgt damit für Entsetzen unter Experten. Denn was unter der Vorgabe der "Bekämpfung des Rechtsextremismus und der Hasskriminalität" erlaubt werden soll, wäre ein massiver Eingriff in die Privatsphäre der Bürger.

Zugriff

Der Gesetzesentwurf sieht eine umfassende Auskunftspflicht von Plattformbetreibern gegenüber Behörden vor. So sollen diese künftig neben IP-Adressen auch zahlreiche weitere sensible Daten herausgeben müssen. Explizit ist hierbei etwa von Passwörtern die Rede. Betroffen von dieser Regelung wären alle möglichen Unternehmen, die der Entwurf als "Telemedien" definiert. Und diese Definition fällt ziemlich breit aus. Neben Webmail-Diensten zählt man dazu auch Dating-Plattformen, soziale Medien, Blogs, Chatdienste, Spiele-Apps, Suchmaschinen und Onlineshops, aber auch private Seiten im Web. Insofern wäre neben bekannten Diensten wie Facebook, Gmail, Whatsapp oder Tinder eigentlich fast jede Plattform mit Benutzeraccounts betroffen.

Ebenso umfangreich ist die Liste jener Behörden, die Zugriff auf diese Daten erhalten sollen. Neben Polizei und Geheimdiensten sollen nämlich auch Zoll und Ämter, die Schwarzarbeit bekämpfen, solche Daten anfordern können. Eine richterliche Anordnung ist nach den aktuellen Plänen dafür nicht notwendig. Die vorgesehenen Formalitäten beschränken sich auf einen schriftlichen Antrag; falls "Gefahr im Verzug" ist, kann aber auch auf diesen verzichtet werden.

Schnittstellen

Dass dabei ein hohes Abfragevolumen zu erwarten ist, dürfe auch den Autoren des Entwurfs bewusst sein, also will man diese Schritte möglichst automatisieren. Plattformbetreiber mit mehr als 100.000 Kunden sollen entsprechend fixe Schnittstellen einrichten, über die die Behörden dann Zugriff auf all diese privaten Daten haben – ähnlich wie es jetzt schon über "Lawful Interception" bei Telekombetreibern der Fall ist.

Kritik

Die Pläne des Justizministeriums sorgen umgehend für scharfe Kritik. "Das jetzt vorgestellte Gesetz wirft Grundwerte über Bord, die unser Zusammenleben online wie offline seit Jahrzehnten prägen", formuliert es der Digitalverband Bitkom. Noch deutlicher wird Oliver Süme, Vorstandsvorsitzender des Eco-Verbands der Internetwirtschaft. "Das ist der große Lauschangriff im Netz, den keiner, dem Bürgerrechte und Verfassung irgendetwas bedeuten, wirklich wollen kann." Diese Pläne würden de facto eine umfassende Online-Durchsuchung ermöglichen – samt Zugriff auf Mails, private Fotos und sensible Dokumente. Das sei auch besonders absurd, wenn man bedenke, dass die Branche noch immer damit kämpfe, die Datenschutzgrundverordnung umzusetzen, und nun ein Gesetz kommen soll, das zur Herausgabe höchstpersönlicher Daten verpflichten soll.

Unklare Umsetzung

Der Entwurf wirft aber auch technische Fragen auf. So ist komplett unklar, wie sich die Autoren die Herausgabe von Passwörtern in der Praxis vorstellen. Üblicherweise werden solche Daten aus Sicherheitsgründen nicht im Klartext auf Servern gespeichert, was auch bedeutet, dass der Betreiber die Passwörter gar nicht hat – und somit auch nicht herausgeben kann. Und selbst wenn man die Passwörter hätte, könnte man sich in vielen Fällen damit gar nicht einloggen. Denn auch wenn die User keine Zwei-Faktor-Authentifizierung verwenden, sperren viele Plattformen den Zugang bei "verdächtigen Aktivitäten" mittlerweile von Haus aus. Im Fall von Google reicht hier etwa der Login von einem unbekannten Rechner an einer bisher unbekannten IP-Adresse, um zusätzliche Schutzebenen zu aktivieren. Um diese Ideen praktikabel zu machen, müsste der Gesetzgeber die Plattformen also auch noch dazu zwingen, ihre Sicherheit an mehreren Stellen massiv zu reduzieren. (apo, 17.12.2019)