US-Behörden verlangen von Webfirmen auch Nutzerpasswörter

CloudSicherheit
verschlüsselung-schlüssel

Teilweise fordern US-Regierungsbehörden sogar die Offenlegung der Verschlüsselungsalgorithmen und die Salt-Zeichenfolge ein. Eigenen Angaben zufolge lehnen dies viele Unternehmen jedoch ab. Regierungsanfragen kämen sie nur nach, wo die “strikteste Auslegung des Gesetzes” dies erforderlich mache.

Behörden der US-Regierung verlangen von großen Webfirmen offenbar regelmäßig, gespeicherte Nutzerpasswörter offenzulegen. Das erklärten zwei mit solchen Anfragen vertraute Brancheninsider gegenüber CNET. Bestätigen sich die Behauptungen, wäre das ein weiterer Aspekt der umfassenden Bespitzelung von Internetnutzern, der bisher nicht bekannt war. Das FBI lehnte jeden Kommentar ab.

Authentifizierung mittels Passwort (Bild: shutterstock).
Eigenen Aussagen zufolge lehnen große Webfirmen Anfragen von US-Behörden nach Zugriff auf Nutzerpasswörter regelmäßig ab (Bild: shutterstock).

Fällt Regierungsbehörden das Passwort einer Person in die Hände, das normalerweise in verschlüsselter Form gespeichert ist, können sie sich bequem an einem Nutzerkonto anmelden, um die Informationen dort abzugreifen oder sich sogar als die Person auszugeben. Ein einmal erhaltenes Passwort könnte zudem Zugriff auf passwortgeschützte Geräten erlauben, falls – was oft geschieht – der Nutzer es mehrfach verwendet hat.

Ein CNET-Informant, der bei einem großem Unternehmen im Silicon Valley gearbeitet hat, bestätigte, dass dort Anfragen der Regierung nach gespeicherten Nutzerpasswörtern eingegangen seien. Firmen überprüften diese Anfragen allerdings tatsächlich sehr genau, betonte er.

Einige der Regierungsanfragen verlangen den Quellen von CNET zufolge nicht nur die Herausgabe der Nutzerpasswörter, sondern wollen auch die Verschlüsselungsalgorithmen und das sogenannte Salt haben, eine zufällige Zeichenfolge aus Buchstaben und Ziffern, die eine Umkehrung des Verschlüsselungsprozesses und damit die Ermittlung des Passworts erschwert. In manchen Fällen sei auch Zugriff auf die vertraulichen Antworten auf Sicherheitsfragen gefordert worden, die mit einem Nutzerkonto verknüpft sind, um es zusätzlich abzusichern.

Ein Microsoft-Vertreter wollte sich auf Nachfrage nicht dazu äußern, ob sein Unternehmen solche Anfragen der Regierung erhalten hat. Auf die Frage, ob Microsoft Passwörter, Salt-Zeichenfolgen oder Algorithmen offenlege, antwortete er aber: “Nein, das tun wir nicht, und wir können uns keine Umstände vorstellen, in denen wir sie mitteilen würden.”

Google macht keine Angaben, ob es diese Art Anfragen gegeben hat. Ein Sprecher betonte jedoch, dass man “niemals” ein verschlüsseltes Nutzerpasswort herausgegeben habe. Das Unternehmen weise zudem regelmäßig Anfragen zurück, die problematisch seien. “Wir nehmen die Privatsphäre und Sicherheit unserer Nutzer sehr ernst”, sagte der Sprecher.

Eine Yahoo-Sprecherin erklärte: “Wenn wir eine Anfrage von Strafverfolgungsbehörden nach dem Passwort eines Nuzers erhalten, lehnen wir diese mit der Begründung ab, dass sie dadurch übermäßig breiten Zugang zu den persönlichen Informationen unserer Nutzer erhielten. Wenn von uns die Herausgabe von Daten verlangt wird, kommen wir dem nur in der striktesten Auslegung des Gesetzes nach.”

Unklar bleibt unter anderem, seit wann es solche Anfragen gibt und ob sie stets nur auf Einzelpersonen oder auch ganze Passwortdatenbanken abzielen. Auf Grundlage des Patriot Act wurde in der Vergangenheit schon Einblick in gesamte Datenbanken mit Telefonverbindungsnachweisen verlangt. Beobachter gehen schon länger von einer umfangreicheren Verwendung aus. “Die Befugnisse der Regierung sind praktisch grenzenlos”, sagte etwa der demokratische Senator Ron Wyden, Mitglied des Geheimdienstkomitees des US-Senats, diese Woche auf einer Veranstaltung in Washington.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Umfrage

Welche Konsequenzen ziehen Sie persönlich aus dem PRISM-Skandal?

  • Keine, fühle mich dadurch nicht betroffen. (6%, 32 Stimme(n))
  • Ich glaube nicht, dass es etwas nützt, sein Online-Verhalten zu ändern. (16%, 88 Stimme(n))
  • Ich werde mir künftig genauer überlegen, welche Online-Dienste ich nutze. (29%, 160 Stimme(n))
  • Ich habe mein Nutzungsverhalten bei Online-Diensten bereits geändert. (49%, 264 Stimme(n))

Gesamt: 544

Loading ... Loading ...
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen