Kommentare

Verhältnismäßig

Es ist mittlerweile verhältnismäßig wenig bekannt wer wem welche Daten zur Verfügung stellt obwohl das Datenschutzgesetz eigentl. ganz klare Definitionen wg, Daten Dritter etc. Vorgibt. ACTA wird das noch weiter aufweichen und endlich privaten Begehren Tür und Tor öffnen. Denn um die schwarzen Schafe zu finden müssen die Daten aller Nutzer genutzt werden und das ist dann "verhätnismäßig"?

Das Urteil ist zu begrüßen und wir können nur hoffen das auch zu ACTA entsprechende Urteile begründet werden und nicht der Lobbymafia zum Opfer fallen.

Irgendwie unklar

Ich hab mal ne Frage: Wer soll den Ermittlungsbehörden Pin, Passwörter etc weitergeben? Die kenn ich doch eigentlich nur alleine...
Gespeichert werden sollten die eigentlich nur als Hash, aus denen sich die Klarschrift nicht wieder herstellen lässt.

Kann hier jemand Licht ins Dunkel bringen?

Oder geht es hierbei um Firmen o.Ä. die die PWs im Klartext speichern (was Sicherheitstechnisch eh eine Todsünde ist).

Das Leben ist gut.

Die Begründung zum Urteilsspruch zur Volkszählung ist heute noch so aktuell wie damals.
Und passt praktisch ohne Änderung auf den aktuellen Fall.
Danke für das Zitat.

hmmm....

...habe gerade das urteil gelesen, und das klingt mir trotz allem ziemlich butterweich.

insbesondere macht mich irgendwie stutzig, dass das bverfg von der moeglichkeit gebrauch macht, die angegriffenen rechtsnormen nur als unvereinbar zu ruegen, aber nicht fuer nichtig zu erklaeren, weil ueberragende interessen des gemeinwohls gefaehrdet waeren, wenn das gericht dies taete.

dankenswerterweise hat das bverfg an zwei dinge erinnert, zum einen, dass es zu einer regelrechten explosion von abfragen der kommunikationsdaten durch bundesbehoerden gekommen ist, was sich fuer mich wiederum mit der beruhigenden aussage des gerichtes beisst, dass die zur abfrage berechtigten behoerden "enumerativ" beschraenkt seien.

zum anderen erinnert das bverfg daran, dass uns allen die irgendwie kaum beachtete umstellung auf das neue internetprotokoll 6 bevorsteht oder dies bereits in vollem gange und damit die zeit anonymen surfens mit dynamischen ip-nummern sehr bald vorbei ist.

irgendwie unbefriedigend.

@ACM

Mit der IP ist das etwas anderes, sie ist bei einer Anfrage im Web bzw. beim Aufruf einer Website etwas öffentliches, irgendwohin müssen die Antworten ja gesendet werden. Das ist etwa so, als wenn Sie einen Laden betreten - ihr Gesicht ist öffentlich sichtbar, es ist im Spiegel zu sehen und wird eventuell auch von einer Kamera erfasst (das wäre dann Ihre IP), es ist auch zu hören, nach welchen Waren Sie fragen (Ihre Anfragen nach Daten), aber der Ausweis in Ihrer Tasche oder das Adressbuch Ihres Mobiltelefons gehen niemanden etwas an.

Eine weitere Klatsche für IM

Eine weitere Klatsche für IM Erika und ihr ZK.

Nachdenken

Nachdenken darf man darüber nicht.
Für was gibt es dann Passwörter?Geben Banken auch die Passwörter weiter?Bankgeheimniss ade!!!!!!!

re: jk2010

.
>>Gespeichert werden sollten die eigentlich nur als Hash, aus denen sich die Klarschrift nicht wieder herstellen lässt.<<

Wie kommen sie auf die Idee daß sich die "Ursprungsdaten" nicht wieder herstellen lassen? Sie lassen sich wie viele andere auch von netten Schlagworten wie Sicherheit blenden.

Verschlüsselung läuft fast ausnahmslos nach dem Prinzip : Öffentlicher Schlüssel - privater Schlüssel.

Der Hash beim Passwort wird EBENFALLS nach bekannten mathematischen Algorithmen errechnet. Wer die erforderliche Rechenpower hat, kann ihn "zurückrechnen". Punkt.

Daß aber Ermittlungsbehörden befugt waren OHNE Gerichtsbeschluss Nutzerdaten anzufordern, das war selbst mir neu !

bitte weitere Information

Polizei und Nachrichtendiensten ist es bis jetzt erlaubt, auf Codes und Passwörter zuzugreifen.
Wie funktioniert das denn technisch?

Und vor allem: In welchem Umfang wird das gemacht? Nach dem Zweck braucht man wohl gar nicht erst fragen, der scheint beliebig. Aber in welcher Größenordnung läuft das denn schon?

Ein Schritt in die richtige Richtung. ...

.
Es ist kaum auszudenken, wer alles Zugriff auf meine Daten bekäme, wenn das so geblieben wäre. Besonders in Verbindung mit ACTA.
Wenn das so bleiben würde hätten die Amerikaner Zugriff auf die Daten von allen Deutschen. Die Deutschen hätten aber keinen Zugriff auf amerikanische Daten. Das ist zu sehen beim SWIFT-Abkommen. Die Amerikaner haben Zugriff auf alle Bank-und Flugdaten. Umgekehrt gibt es keinen Einblick in amerikanische Daten.
Wie kann man mit einem Land, dass nicht den internationalen Gerichtshof anerkennt, so weitreichende Geschäfte machen.

Mehr dazu hier:

youtube.com/watch?v=HDClL_NGzx8&feature=related

@Abydos

Was hat denn die Umstellung auf das IPv6-Protokoll mit anonymen Surfen zu tun?

1. Sie surfen auch mit dynamischen IP-Adressen mitnichten anonym. Ihr Internet-Provider speichert (zwar nur für einen recht kurzen Zeitraum, aber immerhin) die Vergabe der IP-Adresse. Er weiß also, wer wann mit welcher IP-Adresse unterwegs war.

2. Die Umstellung auf längere IP-Adressen ändert daran überhaupt nichts. Auch dann werden die meisten Provider weiterhin mit dynamischen IP-Adressen arbeiten.

Unglaublich. Und das hatte

Unglaublich. Und das hatte unser deutscher Bundestag so in der Form durchgewunken?

@ACM - IP ist öffentlich, Adresse nicht

Es ist nicht möglich, eine Website aufzurufen, ohne dass der dazu gehörige Server Ihre IP-Nummer zu sehen bekommt - anhand dieser "weiss" er nämlich, wohin er die Daten (= die Seite) schicken soll.

Aber zunächst ist eine IP-Adresse eben nicht mahr als eine Nummernfolge (eigentlich eine einzige, ziemlich lange, Nummer).

Spannend wird es erst, wenn man die Nummer mit der Person des Anschlussinhabers verknüpft - eigentlich har nur die Staatsanwaltschaft Zugriff auf diese Daten. Aber das lässt sich leicht umgehen: einfach mit einer hirnrissigen Begründung eine Anzeige erstatten, die Staatsanwaltschaft ruft dann beim Provider an und lässt sich Namen und Adresse geben, dann "Akteneinsicht" verlangen, Verfahren einstellen. Fertig. Wird täglich tausende Male gemacht.

Eigentlich ist das Rechtsbeugung vom feinsten. Aber lukrativ, weil man nun eine teure Abmahnung an den Betroffenen schicken kann - sich dagegen zu wehren ist praktisch aussichtslos.

ag.

@ACM

Ohne IP keine Datensendung, denn irgendwie muss der Versender der Daten ja die Daten auch wissen wohin diese gesendet werden müssen. Man verschickt ja auch keine Briefe ohne Adressaten.

Aber wie heißt es so schön, wer Daten haben will, wird sie auch bekommen, da können wir noch so viele Gesetze erlassen. Nur, man muss es ja nicht unbedingt leichter machen als nötig.

Oder wie sagte ein CIA Mitarbeiter doch so schön: "With Facebook a dream came true." Das gilt ebenso für andere 'soziale' Plattformen.

Nachverfolgung durch Webseitenbetreiber kann man

auch durch die Verwendung von Add-ons und pluginns verhindern!
Einfach mal unter Tracking (-schutz) goggeln
http://www.verbraucher-sicher-online.de/artikel/der-tracking-schutz-im-i...
und Ghostery macht sich hervorragend
DIESE SEITE KANN ICH ABSOLUT EMPFHELEN!
https://www.datenschutzzentrum.de/tracking/schutz-vor-tracking.html

@Xabbu

Es gibt sehr wohl möglichkeiten Passwörter bzw deren Hashes sosehr zu "verkomplizieren", dass Brute-Force nicht in annehmbarer Zeit/Geld zum Erfolg führt.

Natürlich kann man jeden Verschlüsselungs-Algorithmus irgendwann knacken. Die Laufzeit ist hier aber der entscheidende Punkt. Was bringt es, wenn ich in 30 Jahren ein PW habe, wenn die Straftat längst verjährt ist (und ich auserdem riesige Summen in den Serverpark gesteckt hab der daran rumrechnet)?

Hier ein Interesannter Artikel von Heise zu dem Thema.
http://www.heise.de/security/artikel/Passwoerter-unknackbar-speichern-12...

Natürlich verwenden die meisten Seiten, wo mein PW hinterlegt ist nicht den neuesten Stand der Technik, jedoch sollte überall ein Grundlevel erreicht sein, wo es nichtmehr lukrativ ist, das PW wieder herzustellen (insbesondere für unsere Sicherheitsbehörden, die immer wieder beweisen wie wenig Ahnung sie doch von IT haben).

Aber dennoch die Frage: Wer gibt die PWs an die Ermittlungsbehörden weiter?

Wie geht das?

Nun wenn ich Zugang zu meinem Konto bei meiner Bank haben will, dann gebe ich der Webseite meiner Bank über einen sogenanntes Formular die Zugangsdaten ein (Kontonr., PIN).
Der Inhalt dieses Formulares wird grundsätzlich in Klartext oder einer sogenannten Base64-Codierung (ultraleicht rückrechenbar) übertragen.

Schutz vor dem "Abhören" der Inhalte bietet die SSL-Verschlüsselung. Bevor mich die Bank nach solchen Daten fragt, tauschen mein Computer und der Server Schlüssel aus, mit denen die zu sendenden Daten verschlüsselt werden. Die Codierungstiefe ist i.d.R. 256Bit. Das kann ein Hochleistungsrechner in ein paar Stunden rückwärts auflösen.

Wer also die entsprechende Verbindung "abhört" und dieses Rechenleistung vorrätig hat, kann damit die Zugangsdaten auslesen. Unabhängig davon, ob Polizei, Verbrecher oder nur Hacking-Kid.

Urteil

Die Richter rügen lediglich die Art und Weise, in der die Datenweitergabe geregelt ist. Es geht um Ermächtigungsgrundlagen für gesetzliche Regelungen auf Bundes- und Landesebene.

Es geht aber nicht darum, dass die Richter grundsätzlich den Datenabruf verbieten wollen.
Dem Grunde nach halten sie es - so entnehme ich es "zwischen den Zeilen" - durchaus für in Ordnung zum Zwecke der Gefahrenabwehr oder der Strafverfolgung - wenn diese Zwecke dann ordnungsgemäß und normenklar geregelt sind.
So wie es jetzt ist, ist es etwas zu weit gefasst hinsichtlich der Verwendungsmöglichkeiten der erhobenen Daten.

@Xabbu

Das ist eine ordentliche Portion halbwissen.

Es gibt bedeutende Unterschiede zwischen symmetrischer und asymmetrischer Verschlüsselung und Hashes.

Aus einem Hash mit fester Länge den (beliebig langen) Klartext zurückzurechnen ist offensichtlich nicht möglich.
Allerdings gibt es umgekehrt natürlich unendlich viele mögliche Klartexte, die den gleichen Hash ergeben und insofern äquivalent zum tatsächlichen Passwort des Nutzers sind.

Zum Artikel:
Ich frage mich ebenfalls, was genau der Punkt mit der Herausgabe von Passwörtern auf sich hat.
Ist durch das TKG irgendjemand gezwungen, Passwörter unverschlüsselt zu speichern für den Fall, dass der Staat sie haben möchte?
Wenn ja, wäre das eine völlig unverhaltnismäßige Einschränkung der Sicherheit gegenüber irgendwelchen Strafverfolgungsinteressen.

Überwachungswut des Staates...

Daß uns diese permanente Staatsüberwachung "sicherer" machen soll, kann mir keiner erzählen. Es soll die Bürger ängstlich und vorsichtig vor dem Staat machen, sonst nichts.

Ganz nach dem Motto: "Der große Bruder schaut Dir permanent über die Schulter, damit Du auch nichts anstellst". Wer in so einer Welt ohne Eigenverantwortung und Selbstbestimmung leben will, tut mir leid.

Man sieht, wie Instrumente gegen "Verbrechensbekämpfung" oder "Terrorabwehr" ganz schnell zum Routineeinsatz werden, und Kommunikationsdaten hunderttausendfach abgefragt werden -- nur weil man es KANN.

Ein Schaf, wem das egal ist.

Re: Xabbu

Also ich hashe idR mit Whirlpool, hmac und SHA512.

Könnten sie mir bitte nur kurz vorrechnen wie viel Rechenpower notwendig wäre um dieses Verfahren in einem Menschlichen Zeitraum (<50Jahren) wider in Klartext umzuwandeln?
Oder wie lange es dauert entsprechende Rainbowtable herzustellen?

Hier die Funktion (PHP):

return hash_hmac('sha512', hash_hmac('whirlpool',$salt.$pass.$salt2,'8agagf966zUjupr'), 'fa8dszhunaop68');

Hashen ist schon recht sicher, wenn man nicht gerade md5 nutzt, und selbst da kann man mit entsprechenden Kniffen einigermaßen Sicherheit einbauen..

Mein Dank an die Richter des 1. Senats des BVerfG's !

.
...Dieses Urteil hat (wiederum) einmal herausragende Be-
deutung.

Das Recht auf informationelle Selbstbestimmung stammt
aus dem allgemeinen Freiheitsrecht des Artikels 2 des
Bonner Grundgesetzes. Danach darf der Staat in Rechte
der Bürger nur unter gewissen Prämissen eingreifen.

Primär muß dabei erst einmal der Z w e c k des staat-
licherseits erfolgenden Eingriffs exakt umrissen und sachbezogen sein. Ein flächendeckendes Abgreifen von Passwörtern und PINs verbietet sich daher von vorn-
herein.

Additiv muß im jeweiligen Einzelfall die Zweck-Mittel-
Relation stimmig, sprich: verhältnismäßig sein. Daten-
sammelwut entfällt daher per se. Zudem gilt das Erfor-
dernis, daß der jeweilige Eingriff individuell-konkret
und anlaßbezogen sein muß; eine Ermächtigungsgrundlage
für ein abstrakt-generelles "Abgrasen" von Passwörtern
und PINs wäre ebenso verfassungwidrig.

Besonders gravierend ist die Tatsache, daß das "Daten-
abgreifen" o h n e Genehmigung der Behörde bislang mög-
lich war!

Ermittlungen werden komplizierter

Der Datenschutz ist wichtig und ich bin froh das wir in der Hinsicht in Deutschland weiter sind als manch andere Länder. Jedoch muss bei Kriminellen der Datenschutz anders gehandhabt werden, denn wie soll sonst Kriminalität schnell aufgeklärt und weiterer Schaden vermieden werden. Meiner Meinung nach wird sich nun die Aufklärung weiter komplizieren was nicht im Sinne eines demokratischen Rechtsstaates sein kann.Auch das Internet muss mehr von staatlicher Seite her kontrolliert werden.Aktuell ist zu sehen, dass das Internet weltweit von Extremisten (Links, Rechts, Automone,Islamisten,...)und Anderen missbraucht wird um das kranke Gedankengut an labile Personen weiterzugeben. Gerade solche Leute fordern weniger staatliche Kontrolle um noch einfacher zu manipulieren. Die Demokratie und deutsche Werte, wie Recht und Freiheit, welche geschichtlich hart erkämpft werden mussten, werden dadurch nur unterwandert und ausgehebelt. Laissez-faire hat für die Gesellschaft noch nie Vorteile gebracht.

Irgendwann kommt alles raus,

spätestens dann, wenn der angekackte Ehemann vor der Tür steht;

Schon traurig

das die Polizei unsere Passwörter - ohne uns vorher zu fragen ! - knacken durfte und noch darf.

Muss da nicht wenigstens soetwas wie ein Hausdurchsuchungsbefehl vorliegen?

Kann doch nicht alles im Namen vom Terrorismusbekämpfung laufen. Wo leben wir heute ? Werden meine Briefe bei der Post auch schon geöffnet ???

Ich hab zwar nix zu verbergen, dennoch wäre ich sicher nicht hocherfreut wenn andere meine e-mails lesen und das noch ohne das ich was davon weis.

Was versteht man heute eigentlich noch unter Polizeischutz ? Kommt mir so vor als gäbe es schon ne neue Stasi, was anderes hatten die auch nicht gemacht als das eigene Volk auszuspionieren.

@NullPlan

"Die Codierungstiefe ist i.d.R. 256Bit. Das kann ein Hochleistungsrechner in ein paar Stunden rückwärts auflösen."

Das ist natürlich absoluter Quatsch. Den Rechner würde ich gerne mal persönlich in Augenschein nehmen, der 256-bit AES in ein paar Stunden knackt. Wahrscheinlich der neueste Quantencomputer beim CIA im Keller ...
Spaß beiseite: Es würde mehrere Milliarden Jahre dauern.

@Wegelagerer

genau darum geht es. die unsicherheit fuer die staatlichen stellen, die an diesen daten interessiert sind, soll beendet werden. sie wollen den fuer sie laestigen (und ja so ganz nebenbei auch ziemlich teuren) isp-ab- und anfragekram endlich los sein und stattdessen jederzeit, sofort wissen, wer, wann, wo im internet was gemacht hat.

klar haben provider wie die telekom nicht vor, die dynamische ip kampflos aufzugeben. wer schlachtet schon seine beste milchkuh? die telekom will das problem aber u.a. auf die kunden abwaelzen, die per button den 2., dynamischen teil der neuen ip generieren sollen. schon jetzt absehbar, dass die meisten, weil technisch unkundig oder schlicht faul das nicht tun werden, genauso wie heute immer noch tausende keine firewall oder virenschutz installieren.

es wird internet 1. und 2. klasse geben, also mit kostenpflichtiger relativer anonymitaet oder gar keiner. die erklaerung der deutschen bmi-vertreterin auf der ripe-konferenz in prag dazu war eindeutig.

"Hermit" knackt bestimmt jedes PASSWORT

Wenn der es nicht schafft die Passwörter noch schneller zu knacken - wer dann?
http://www.tagesschau.de/inland/hermit100.html
Dieser Rechner braucht bestimmt kein Jahr für ein langes Passwort!

Richtig verstanden?

Habe ich das jetzt so richtig verstanden, dass also auch beim z.B. Download von Dateien, nur noch mit einer richterlichen Verfügung die Adresse des jeweiligen Nutzers raus gegeben werden darf?

@Linuxpinguin

Naja... die Abmahn-Kanzelei hat deine IP beim ISP in einen Namen und Adresse auflösen lassen.
Mit PWs und PINs hat das ja erstmal nichts zu tun. Meine Frage bezieht sich wirklich nur auf PWs und Handy-Pins.

Werden die beim Provider/sonstiger Firma so gespeichert, dass die Firma in einem Rechtsstreit das PW im Klartext rausrücken kann und wenn ja, welche Firmen sind davon betroffen? Oder geben die einfach "nur" über einen Admin-Acc zugriff auf die Account-Daten?

schon wieder ein

schon wieder ein verfassungsverstoß (wobei wir eigtl. nicht mal eine verfassung haben, nur das grundgesetz- aber das nur am rande).

jedenfalls danke, BVerfG! das ist die einzige behörde in deutschland, zu der ich zumindest noch ein wenig vertrauen habe.
den restlichen verbrechern sind die verfassung und die bürger scheinbar egal, aber das wissen wir ja schon.

@ Linuxpinguin

Danke, da werden sich aber die GEMA, VG-Wort und die Filmindustrie nicht drüber freuen. So wie es das BVerfG sieht, darf das ja nur bei schweren Straftaten möglich sein.

Und vor allem müssen sich dann manche Abmahner neue Einnahmequellen suchen.

Darstellung: