PIN und PasswörterDer Bestandsdaten-Beifang der Polizei

Die Bestandsdatenabfrage ist bald Gesetz. PIN und Mail-Passwörter erfahren Ermittler damit gar nicht, das ist technisch unmöglich. Harmlos ist das Gesetz aber keineswegs. von 

© Kimhiro Hoshino/AFP/Getty Images

Die sogenannte Bestandsdatenabfrage ist beschlossen und damit bald gültiges Gesetz, denn der Bundesrat wird wohl nicht widersprechen. Doch was kann die Polizei damit anfangen? Anders gefragt: Was dürfen Telekommunikationsanbieter überhaupt speichern, welche Passwörter und Zugangscodes haben sie, die sie der Polizei geben können?

Wichtig für die Ermittler sind sicher Name und Anschrift des Besitzers des Mobiltelefons. Zu den Bestandsdaten gehören auch Kontoverbindungen, das Datum des Vertragsbeginns, die Adresse oder mit dem Nutzerkonto verbundene Telefonnummern (Partnernummern). Des Weiteren gehört zu den Bestandsdaten laut Gesetzentwurf die PIN der SIM-Karte des Handys. Die wurde in der Debatte um das Gesetz oft erwähnt, auch von ZEIT ONLINE. Das geschah vor allem, weil der Ausdruck PIN jedem ein Begriff ist. Für die Polizeipraxis ist sie dagegen irrelevant.

Anzeige

Polizei fragt gleich nach dem PUK

Zwar dürfen Ermittler sie nun abfragen, dabei werden sie aber die vierstellige Codenummer der SIM-Karte kaum erfahren. Denn im Zweifel kennt der Mobilfunkbetreiber sie gar nicht. Er hat sie zwar festgelegt, als er seinem Kunden die SIM schickte. Doch kann jeder auf seinem Gerät die PIN ändern. Diese Änderung aber funkt die SIM-Karte nicht nach Hause. "Eine spätere Änderung der PIN durch den Nutzer kann durch den Provider nicht festgestellt werden", sagt beispielsweise Katja Hauß, Sprecherin von Telefonica.

Allerdings kennt der Betreiber den achtstelligen PUK, den Personal Unblocking Key. Der kann nicht verändert werden, weswegen Ermittler längst vor allem diese Nummer abfragen. Anschließend müssen sie bei einem beschlagnahmten Handy nur noch dreimal eine beliebige, vor allem aber falsche PIN eingeben. Dann können sie es mithilfe des PUK entsperren und durchsuchen.

Kai Biermann
Kai Biermann

Kai Biermann ist Redakteur im Team Investigativ/Daten bei ZEIT ONLINE. Seine Profilseite finden Sie hier.

Im neuen Telekommunikationsgesetz steht außerdem, Polizei und Geheimdienste dürfen auch Daten abfragen, "mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden" möglich ist. Gemeint sind Passwörter beispielsweise von E-Mail-Konten, aber auch Clouddiensten.

Doch das scheint eher Wunschdenken zu sein. Deutsche Anbieter zumindest kennen das Passwort für die Mailaccounts und Datenspeicher ihrer Kunden im besten Fall nicht.

"Der Provider darf Passwörter überhaupt nur speichern, wenn sie erforderlich sind, um den Dienst zu erbringen", sagt Dirk Hensel, der zuständige Referent beim Bundesbeauftragten für Datenschutz. "Es gibt Anbieter, die Passwörter im Klartext speichern, was wir nicht befürworten, denn sie sollten nur verschlüsselt gespeichert werden." Sind sie verschlüsselt, kommen Ermittler aber nicht weiter. "Wenn der Anbieter sie gar nicht hat, weil sie nur als Hashwert vorhanden sind, muss er sie auch nicht herausgeben."

Das Gesetz verpflichtet die Betreiber nicht dazu, irgendetwas im Klartext zu sammeln, das wäre auch widersinnig. Explizit für die Polizei erheben darf er solche Daten auch nicht, herausgegeben werden muss nur, was sowieso da ist.

Und selbstverständlich fordern Datenschutzbeauftragte, dass Passwörter bei GMX oder ähnlichen Diensten nirgendwo im Klartext gespeichert werden. Die meisten Anbieter tun das auch nicht, allein schon aus Haftungsgründen. Es wäre fahrlässig, eine Datenbank mit den Passwörtern aller Kunden zu haben, die gehackt werden kann. Entsprechende Versuche gibt es schließlich genug. Deshalb sagt eine Sprecherin der 1&1 Internet AG, Betreiberfirma von GMX und Web.de: "Eine Beauskunftung von Passwörtern an berechtigte Stellen ist nicht möglich. Die Passwörter werden gehashed beziehungsweise konform zum Industriestandard verschlüsselt gespeichert."

Mails zu beschlagnahmen ist kein Problem

Mobilfunkbetreiber wie Telekom oder Vodafone haben keinen Zugriff auf Passwörter, mit denen der Kunde seine E-Mails oder seine Dropbox sichert. Die gibt er zwar im Handy ein, um sich auf Website oder App seines Mailanbieters einzuloggen. Dieser Vorgang aber gilt als Kommunikationsinhalt, weil das Passwort vom Provider übertragen wird. Und Inhalte der Kommunikation dürfen Mobilfunkanbieter nicht überwachen und schon gar nicht speichern.

Noch dazu ist die Erlaubnis zum Abfragen von Passwörtern gar nicht nötig. Es gibt sie schon. Ermittler können laut Strafprozessordnung einen Richterbeschluss beantragen, wenn sie ein Mailpostfach durchsuchen wollen. Der Betreiber muss ihnen dann Zugang dazu gewähren. Das tut er über seine internen Wartungsschnittstellen, nicht über das vom Kunden vergebene Passwort. "Mails zu beschlagnahmen, ist gar kein Problem", sagt Thomas Stadler, der Fachanwalt für IT-Recht ist.

Damit aber wirkt die Gesetzesnovelle an dieser Stelle wie der Versuch, alles an Daten zu sammeln, was nur irgend möglich ist. Vielleicht in der Hoffnung auf Zufallsfunde? Vielleicht auch, weil die zuständigen Mitarbeiter im Innenministerium der Vollständigkeit halber alles hineinschreiben wollten, was ihnen so einfiel.

Dynamische IP-Adressen

Bleiben die IP-Adressen. Um die scheint es in der Gesetzesnovelle vor allem zu gehen. Dank der Änderung dürfen Ermittler sogenannte dynamische IP-Adressen automatisch abfragen, beziehungsweise die dazu gehörenden Daten des Anschlussinhabers. Und das schon bei geringen Vergehen.

Das ist durchaus eine Erweiterung der bisherigen Praxis. Dynamische IP-Adressen gelten eigentlich als Teil des Kommunikationsvorgangs und damit als sogenannte Verkehrs- und nicht als Bestandsdaten. So fordert das derzeit noch geltende Telekommunikationsgesetz zwar, diese zu speichern, solange es für den Dienst notwendig ist. Doch nennt es sie eben Verkehrsdaten. Die können Ermittler nicht so leicht bekommen wie Bestandsdaten. Nun aber steht in dem Entwurfstext: "Die in eine Auskunft aufzunehmenden Daten dürfen auch anhand einer zu bestimmten Zeitpunkten zugewiesenen Internetprotokoll-Adresse bestimmt werden; hierfür dürfen Verkehrsdaten automatisiert ausgewertet werden."

Das bedeutet, Staatsanwälte können mit dem neuen Gesetz jemanden finden, dessen IP-Adresse sie kennen – beispielsweise weil diese IP auf einer Filesharingseite registriert wurde. Sie können nun beim Provider anfragen, zu wem die IP gehört und die dahinter liegenden Daten wie Name und Adresse bekommen. Die Auswertung des Ganzen darf nun automatisch erfolgen. Obwohl dynamische IPs noch immer als Verkehrsdaten gelten, ist die Hürde, sie für Strafverfolgung zu nutzen, damit gesenkt worden. Die Suche nach illegalen Filesharern wird also leichter.

Update: Die letzten beiden Absätze wurden nachträglich geändert. Dynamische IPs waren in der ersten Version fälschlich als Bestandsdaten bezeichnet worden. (kb)

Zur Startseite
 
Leserkommentare
  1. Man kann sich nur die Haare raufen was da im Windschatten vom Leistungsschutzrecht durchgepeitscht wurde.

    18 Leserempfehlungen
  2. Dafür wurde also das Gesetz gemacht, dass man Menschen welche im Internet mp3s runterladen* länger einsperren kann, als andere welche in der Gruppe grundlos Menschen tottreten.

    (*die selben Nullen und Einsen aufgenommen aus dem Radio wäre hingegen völlig legal)

    Deutschland 0 : 1 Lobbyismus

    22 Leserempfehlungen
  3. uns immer mehr den Methoden von Horch & Kuck.

    4 Leserempfehlungen
    • MrWho
    • 26. März 2013 18:22 Uhr

    werden Ihnen weder PIN noch PUK der SIM-Karte beim Entsperren helfen. Diese entsperren bei entsperrtem Mobiltelefon lediglich die SIM, d.h. die Daten darauf (die vom Mobilfunkbetreiber vorinstallierten ADAC Nummern) und die Benutzung des Mobilfunknetzes. Nicht das Mobiltelefon selbst.

    "Anschließend müssen sie bei einem beschlagnahmten Handy nur noch dreimal eine beliebige, vor allem aber falsche PIN eingeben. Dann können sie es mithilfe des PUK entsperren und durchsuchen."

    Es steht bei der Entsperrung der SIM doch nicht das Durchsuchen des Mobiltelefons im Vordergrund, sondern die Verknüpfung der Rufnummer der SIM-Karte mit Bestands- und Verkehrsdaten (Telefonaten/Nachrichten). Selbst bei entsperrtem Mobiltelefon können aufschlussgebende Protokolle auf diesem bereits gelöscht sein könnten.

    Reaktionen auf diesen Kommentar anzeigen

    Prinzipell hätten sie recht, sofern moderne Smartphones, die sie zusätzlich durch Passwörter und Zahlencodes sperren können wirklich sicher wären weil die Verschlüsselung hardwaretechnisch implementiert ist. Jedoch ist die Sicherheit von Smartphones so unzureichend, dass jedes Smartphone binnen Minuten entsichert werden kann. Stichwort IT-Forensik...

  4. Es ist wirklich unglaublich, was unsere Volkszertreter so alles durchwinken, und vom Bundesverfassungsgericht anschliessend immer wieder kassiert, mindestens aber korrigiert werden muss!

    Zitat Wikipedia:

    Die parlamentarische Immunität wurde in den letzten 150 Jahren zu einem Rechtsgut, das vor allem zwei Zwecken dienen sollte:
    Die sich herausbildende Legislative vor möglicher Willkür der damals noch monarchischen Exekutive zu schützen (etwa vor erfundenen Anklagen und manchen Festnahmen, die es z. B. im 19. Jahrhundert vor wichtigen Abstimmungen gab).
    Die Freiheit der Meinungsäußerung (Redefreiheit) besonders für gewählte Volksvertreter zu garantieren, da diese den Interessen ihrer Wählerschaft verpflichtet sind.

    Die Immunität wird vielfach kritisiert, wenn sie Machtinteressen dient; in manchen Staaten wurde sie deshalb eingeschränkt – z. B. 2003 in Italien. In bestimmten Fällen kann sie vom jeweiligen Parlament aufgehoben werden.

    Zitat Ende.

    Wenn unsere Abgeordneten hier wie Ottonormal-Bürger Gefahr liefen, auch mal ihre eigene Suppe auszulöffeln, die sie mit ihren "handwerklich fehlerbehafteten" Gesetzen immer wieder verbocken (weit über das, was hier jetzt im Windschatten des Leistungsschutzrechtes verbrochen wurde), würde sich an unserer Legislative - die ohnehin regelmässig nur noch die Vorlagen der Lobbyisten unverändert durchreicht - vielleicht auch mal was grundlegendes ändern...

    6 Leserempfehlungen
  5. Vorhin war ich beim Bürgeramt, meinen Führerschein umtauschen. „Geht nicht“ wurde mir gesagt. Man bräuchte eine – Achtung – „Karteikartenabschrift“ der ausstellenden Behörde. „Welches Jahr haben wir nochmal?“ dachte ich bei mir. Ist es wieder 1950?

    Schnittstellen aber, zum massenhaften Abschnorcheln von Kommunikationssignalen im Auftrag der „Contentmafia“ - DAS hingegen ist kein Problem.

    ABSURD.

    21 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Als ich mein Auto vor einigen Jahren ummeldete, taperte ich mit dem Kennzeichen in der Hand zum Bürgerbüro, hatte aber keine TÜV Bescheinigung mehr (wohlgemerkt klebt die orginale Plakette am Schild, das ich in der Hand hatte). Ich musste also persönlich zum TÜV fahren, um mir einen (Papier!) Ausdruck mit Stempel ausfertigen zu lassen (für 9€ natürlich).

    Da wäre eine Verknüpfung der Daten mal sinnvoll gewesen. Aber wenn's ums Ausspionieren von Demo-Teilnehmern geht, sind sie findiger. Merkwürdig (wörtlich gemeint)!

    • GDH
    • 26. März 2013 18:37 Uhr

    Hoffentlich rollt der Protest noch an. Derzeit kann man befürchten, dass sich die öffentliche Aufmerksamkeit für dieses ungeheure Überwachungsgesetz in engen Grenzen hält.

    Zu den IP-Adressen:
    Rausgeben müssen Unternehmen nur Daten, die sie haben. Dynamisch zugewiesene IP-Adressen werden über das Ende der Verbindung hinaus nicht benötigt und sollten daher gelöscht werden.
    Als Kunde sollte man sich also vor der Wahl des Anbieters erkundigen, wie die Praxis dort ist und sich für einen Anbieter entscheiden, der möglichst kurz speichert.
    Falls jemand halbwegs aktuelle Quelle dazu hat, wäre ich für einen Link dankar.

    10 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Der "Generation Facebook" wird das wohl mehrheitlich egal sein.
    Wer sich sorgt, muß sich auch selbst kümmern.

    • Evolux
    • 26. März 2013 19:27 Uhr

    "Zu den IP-Adressen:
    Rausgeben müssen Unternehmen nur Daten, die sie haben. Dynamisch zugewiesene IP-Adressen werden über das Ende der Verbindung hinaus nicht benötigt und sollten daher gelöscht werden."

    siehe hier:
    http://wiki.vorratsdatens...

    "§ 113 TKG
    Abs. 1 S. 4: Fehlende Beschränkung auf rechtmäßig gespeicherte Daten

    Wenn Abs. 1 S. 4 die Heranziehung "sämtlicher unternehmensinterner Datenquellen" fordert, sind davon dem Wortlaut nach auch rechtswidrig erhobene oder gespeicherte Daten erfasst. Erforderlich wäre die Klarstellung, dass Auskunft nur anhand rechtmäßig gespeicherter Daten erteilt werden darf. Speichert der Anbieter Daten rechtswidrig, darf er sie erst recht nicht weiter verarbeiten. Den Zugriff auch auf Daten zu gestatten, die gar nicht gespeichert sein dürften, ist - zumal im Bereich von Ordnungswidrigkeiten und sonstigen Bagatellen - unverhältnismäßig."

    anderer Punkt daraus:

    BKA-Gesetz
    § 7 BKAG-E: Kommunikationsdatenerhebung als Zentralstelle
    Anders als bisher soll das Bundeskriminalamt Telefon- und Internetnutzer künftig auch ohne Ersuchen der zuständigen Polizeibehörde identifizieren dürfen. Erstmals soll das Bundeskriminalamt als Zentralstelle sogar in das Fernmeldegeheimnis eingreifen dürfen (§ 7 Abs. 4 BKAG-E). Aus den folgenden Gründen lehnen wir dies ab:

    Die Erhebung von Telekommunikationsdaten hat mit der Aufgabe des BKA als Zentralstelle nichts zu tun.

    • MG88
    • 26. März 2013 18:58 Uhr
    8. Hashes

    "Wenn der Anbieter sie [die Passwörter] gar nicht hat, weil sie nur als Hashwert vorhanden sind, muss er sie auch nicht herausgeben."
    Ein Hashwert des Passwortes ist völlig ausreichend, um Daten die mit dem Passwort verschlüsselt sind zu entschlüsseln (das erklärt auch indirekt ihr Link). Also:
    entschlüsseln(verschlüsselte_daten, hash) -> entschlüsselte_daten
    Wenn die Polizei also die verschlüsselten Daten und den Hashwert bekommt, kann die Polizei die verschlüsselten Daten problemlos entschlüsseln. Ich verstehe jetzt nicht, wieso ein Anbieter den Hashwert nicht herausgeben muss (auch wenn ich gerne hoffe, dass er das nicht tut).

    (Und, ja, ich lasse Salts der Einfachheit zur Liebe weg.)

    Reaktionen auf diesen Kommentar anzeigen

    ...weil für die Beschlagnahmung der eigentlichen Daten/Mails ja bereits Schnittstellen und rechtliche Möglichkeiten bereitstehen (wie im Text beschrieben).
    Falls ein Anbieter Passwörter jedoch tatsächlich im Klartext gespeichert hat und dem Gesetz nach herausgeben müsste, könnten die Strafverfolger darauf hoffen, dass die Zielperson dieses Passwort auch noch bei anderen Diensten im Einsatz hat, an dessen Daten man aus welchen Gründen auch immer sonst ohne das Passwort nicht herankäme. Ein anderer Mehr-Nutzen will mir gerade auch nicht einfallen.

    • c2j2
    • 26. März 2013 19:31 Uhr

    Schmarrn, würde ein Bayer sagen.

    Das ist Verschlüsselung eines Anfängers. OK, es mag irgendwelche Anbieter geben, die das so machen, aber ich kann es mir nicht vorstellen.

    Alle anderen verschlüsseln mit dem Passwort (oder eines andrern Hashes daraus). Und da das nicht bekannt ist...

    Ziel einer kryptografischen Hashfunktion ist das erzeugen einer Quersumme über eine beliebig große Datenmenge, aus welcher man die eigentlichen Klartextdaten nicht zurückrechnen kann.
    Sie vermischen hier leider symmetrische Verschlüsselung mit kryptografischen Hashfunktionen.

    Ein Beispiel:

    die Quersumme von 985327 ist 34.
    Wenn ich nun sage "Ich denke mir eine Zahl deren Quersumme die 34 ist." können Sie zurückrechnen, dass ich mir die Zahl 985327 dachte?

    Der Hashwert reicht nicht aus, um mit dem zugehörigen Passwort verschlüsselten Daten zu entschlüsseln. Der Hashwert wird in den meisten Fällen lediglich dazu genutzt, um die Korrektheit des eigentlichen Passworts zu verifizieren, also in Pseudo-Code ausgedrückt: if md5(password) == hash ...

    Damit wird üblicherweise der Login geprüft.

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf mehreren Seiten lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Polizei | Telekom | Vodafone | App | Bundesrat | Datenspeicher
Service