Nach einer neuen Gesetzgebung wird die irische Polizei die Macht haben, Menschen zu zwingen, Passwörter zu elektronischen Geräten offenzulegen. Die irischen Behörden haben die COVID-19-Lockdown-Maßnahmen als Grund für die zunehmende Digitalisierung der Kriminalität angegeben und damit die Notwendigkeit der Gesetzgebung begründet.
Archiv: Passwörter / passwords
Gesetze gegen Hass und zur Passwortherausgabe treten in Kraft
(01.04.2021)
Wegen enthaltener Vorschriften zur Bestandsdatenauskunft hing auch das neue Zollfahndungsdienstgesetz bei Steinmeier fest. Dieses trägt mit den Korrekturen von Bund und Ländern nun ebenfalls die Unterschrift des Bundespräsidenten. Es tritt so am Freitag in Kraft. Die Kompetenzen des Zollkriminalamts und der Zollfahndungsämter etwa bei der – auch präventiven – Überwachung der Telekommunikation sowie des Brief- und Postverkehrs hat der Gesetzgeber hier deutlich ausgeweitet. Verbunden ist damit erstmals auch die Befugnis, Staatstrojaner für die Quellen-TKÜ nutzen zu dürfen.
Bundesverfassungsgericht weist Beschwerde gegen Bestandsdatenauskunft ab
(19.05.2021)
Die Polizei und das Landesamt für Verfassungsschutz in Schleswig-Holstein dürfen seit einer 2013 erfolgten Novelle ausdrücklich auch auf Bestandsdaten wie E-Mail-Adressen und Anschriften sowie Passwörter von Nutzern sozialer Netzwerke wie Facebook, Twitter oder YouTube zugreifen. Die Sicherheitsbehörden benötigen dafür eine richterliche Genehmigung.
Die neuen Vorgaben zur Bestandsdatenauskunft inklusive Regeln zur Passwortherausgabe sind ebenfalls in dem Gesetz gelandet.
l(21.05.2021)
E-Privacy: Große Koalition erleichtert Einsatz von Cookie-Managern
(19.05.2021)
Zudem baut die Koalition neue Vorgaben zur Bestandsdatenauskunft mit Regeln etwa zur Passwortherausgabe ein.
Bestandsdatenauskunft 2020: Behörden fragen alle zwei Sekunden, wem eine Telefonnummer gehört
(19.05.2020)
Seit 2013 können neben Telefonnummern auch Internetdaten wie IP-Adressen und E-Mail-Postfächer als Bestandsdaten abgefragt werden. Damit erfahren Behörden, wem eine IP-Adresse zugewiesen ist oder welche IP-Adressen eine Zielperson nutzt – ebenfalls ohne Richterbeschluss.
Zu diesen Abfragen gibt es leider keine Statistiken, weil die Behörden direkt bei den Internet-Zugangs-Anbietern anfragen. Die Bundesnetzagentur könnte diese Statistiken ebenfalls sammeln, doch dazu fehlt der politische Wille.
Bestandsdaten: Weg frei für neue Regeln zur Passwortherausgabe
Insgesamt sind mit der Reform auch nach den Nachbesserungen umfangreiche Zugriffsberechtigungen vor allem auf die „klassischen“ Bestandsdaten für zahlreiche Ämter verknüpft. Unter anderem für das Bundesamt für Verfassungsschutz, den Bundesnachrichtendienst (BND) und den Militärischen Abschirmdienst (MAD) wird etwa unter bestimmten Voraussetzungen der Zugriff auf Sicherheitscodes wie PINs und PUKs bei Telekommunikationsfirmen ermöglicht.
Vermittlungsausschuss soll Streit über Bestandsdatenauskunft lösen
(24.02.2021)
Lambrecht pocht weiter auf Passwortherausgabe
(16.02.2021)
Bundesjustizministerin Christine Lambrecht (SPD) hat darauf gedrungen, das Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität im Netz endlich zu verabschieden. Das sagte die Ministerin dem Redaktionsnetzwerk Deutschland am Dienstag.
Israeli Cyber Czar Wants Access to Private Firms‘ Computers, Content
Igal Una, who heads the cyber directorate, is promoting the legislation and has the support of Prime Minister Benjamin Netanyahu.
The background to the legislative push is the string of cyberattacks against Israeli companies during the past year.
Lambrecht pocht weiter auf Passwortherausgabe
(16.02.2021)
Bundesjustizministerin Christine Lambrecht (SPD) hat darauf gedrungen, das Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität im Netz endlich zu verabschieden. Das sagte die Ministerin dem Redaktionsnetzwerk Deutschland am Dienstag.
Bundesrat lehnt Gesetz zur Bestandsdatenauskunft ab
(12.02.2021)
Allen Beteiligten dürfte eine Einigung sehr wichtig sein, denn an der Bestandsdatenauskunft hängt ein weiteres Gesetzesvorhaben. Das sogenannte Hatespeech-Gesetz soll zu einer besseren Verfolgung von Hasskriminalität im Netz führen, das Bundeskriminalamt soll dafür Bestandsdaten für gemeldete IP-Adressen erhalten. Beschlossen ist das Gesetz längst, doch der Bundespräsident unterschrieb es nicht. Denn ohne Bestandsdaten läuft das ins Leere und die Zeit, bis die Legislaturperiode zu Ende ist, wird langsam knapp.
Showdown: Das „Reparaturgesetz“ für das Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität steht auf der Tagesordnung der 1000. Sitzung des Bundesrats. Steinmeier ist vor Ort! #NetzDG #Bestandsdatenauskunft
(08.02.2021)
Nach 7 Jahren Klagevorbereitung und Klageweg…. Ich weiß schon, was 2027 passiert: Das BVerfG beurteilt die Neuregelung der Bestandsdatenregelung aus dem Jahr 2021 als verfassungswidrig.
(17.07.2020)
BVerfG, Beschluss des Ersten Senats vom 27. Mai 2020 – 1 BvR 1873/13 – Rn. 1-275
1. a) § 113 des Telekommunikationsgesetzes,
b) § 22a Absatz 1 Satz 1, soweit er nicht auf § 21 Absatz 2 Nummer 2 verweist, und Absatz 2 des Gesetzes über die Bundespolizei (Bundespolizeigesetz),
c) § 7 Absatz 5 Satz 1 und Absatz 6 und § 15 Absatz 2 Satz 1 und Absatz 3 des Gesetzes über das Zollkriminalamt und die Zollfahndungsämter (Zollfahndungsdienstgesetz),
d) § 8d Absatz 1 Satz 1 und Absatz 2 Satz 1 des Gesetzes über die Zusammenarbeit des Bundes und der Länder in Angelegenheiten des Verfassungsschutzes und über das Bundesamt für Verfassungsschutz (Bundesverfassungsschutzgesetz),
e) § 2b Satz 1 des Gesetzes über den Bundesnachrichtendienst (BND-Gesetz) und § 4b Satz 1 des Gesetzes über den militärischen Abschirmdienst (MAD-Gesetz), soweit sie auf § 8d Absatz 1 Satz 1 und Absatz 2 Satz 1 Bundesverfassungsschutzgesetz verweisen,
alle in der Fassung des Gesetzes zur Änderung des Telekommunikationsgesetzes und zur Neuregelung der Bestandsdatenauskunft vom 20. Juni 2013 (Bundesgesetzblatt I Seite 1602) sowie
f) § 4 Satz 1 des Gesetzes über den Bundesnachrichtendienst (BND-Gesetz), soweit er auf § 8d Absatz 1 Satz 1 und Absatz 2 Satz 1 Bundesverfassungsschutzgesetz verweist, in der Fassung des Gesetzes zur Ausland-Ausland-Fernmeldeaufklärung des Bundesnachrichtendienstes vom 23. Dezember 2016 (Bundesgesetzblatt I Seite 3346) und
g) § 10 Absatz 1 Satz 1 und Absatz 2 und § 40 Absatz 1 Satz 1, soweit er nicht auf § 39 Absatz 2 Nummer 2 verweist, und Absatz 2 des Gesetzes über das Bundeskriminalamt und die Zusammenarbeit des Bundes und der Länder in kriminalpolizeilichen Angelegenheiten (Bundeskriminalamtgesetz) in der Fassung des Gesetzes zur Neustrukturierung des Bundeskriminalamtgesetzes vom 1. Juni 2017 (Bundesgesetzblatt I Seite 1354)
sind nach Maßgabe der Gründe mit Artikel 2 Absatz 1 in Verbindung mit Artikel 1 Absatz 1 und Artikel 10 Absatz 1 des Grundgesetzes unvereinbar.
2. Bis zur Neuregelung, längstens jedoch bis 31. Dezember 2021, bleiben die für mit dem Grundgesetz unvereinbar erklärten Vorschriften nach Maßgabe der Gründe weiter anwendbar.
Wegweisender Beschluss des @BVerfG zur Bestandsdatenauskunft! Auskunftsregelung im #TKG und Ermächtigungsgrundlagen in #BKAG, #BPolG #BVerfSchG #BNDG #MADG sind verfassungswidrig und müssen bis 31.12.2021 neu geregelt werden. Bleiben bis dahin anwendbar.
(17.07.2020)
Entscheidung des Bundesverfassungsgerichts: Passwort-Zugriff muss neu geregelt werden
(24.02.2012)
Die Regelung widerspreche dem Grundsatz der Verhältnismäßigkeit, weil sie den Zugriff unabhängig davon erlaube, ob eine Nutzung der Daten durch die Behörde erlaubt sei.
Der Gesetzgeber muss nun bis zum 30. Juni 2013 die Regelungen ändern. Bis dahin gilt die Bestimmung mit Einschränkungen weiter.
Hetze im Netz: Ringen um ein Anti-Hass-Gesetz
Grüne und FDP weisen den Vorwurf der Blockade zurück. Sie argumentieren: Die Koalition sei bei den Regeln zur Datenabfrage übers Ziel hinausgeschossen. Sie halten das Gesetz zur Bestandsdatenauskunft für verfassungswidrig. Unter anderem, weil Ermittler auf zu viele sensible Daten wie Passwörter zugreifen dürften.
zbsrlp
Die Zentrale Bußgeldstelle in Rheinland-Pfalz verschickt keine unverschlüsselten PDF-Dokumente per E-Mail….
Damit die Versendung verschlüsselter PDF-Dokumente aber nicht so übermäßig kompliziert ist, weil mangels Passwort kein Empfänger die Datei öffnen kann, lässt sich das benötigte Passwort direkt im Merkblatt nachlesen, das jedem Anhörungsbogen der Behörde beiliegt:
Das Passwort ist übrigens für jeden gleich.
Europol baut Kompetenzen zur Entschlüsselung aus
(23.07.2020)
Basis des Systems ist Hashcat. Dabei handelt es sich um eine unter Hackern und Penetrationstestern verbreitete Open-Source-Software zum Knacken von Passwörtern. Die erforderliche Rechenleistung wird durch die Verknüpfung zahlreicher Grafikprozessoren erreicht. Die Plattform wird den europäischen Strafverfolgungsbehörden in Ermittlungsverfahren zur Verfügung gestellt.
Entschlüsselungsplattform von Europol nutzt Hashcat
Dabei knackt sie jedoch nicht die Verschlüsselungsalgorithmen, sondern die verwendeten Passwörter. Hier wird auf Bewährtes gesetzt: Nach Angaben der Bundesregierung kommt die Software Hashcat zum Durchprobieren der Passwörter auf einem Grafikkartencluster mit Nvidia Grafikprozessoren zum Einsatz. Bei gut gehashten, komplizierten Passwörtern mit hoher Entropie, ist jedoch auch die millionenschwere Plattform machtlos.
BVerfG, Beschluss des Ersten Senats vom 27. Mai 2020 – 1 BvR 1873/13 – Rn. 1-275
1. a) § 113 des Telekommunikationsgesetzes,
b) § 22a Absatz 1 Satz 1, soweit er nicht auf § 21 Absatz 2 Nummer 2 verweist, und Absatz 2 des Gesetzes über die Bundespolizei (Bundespolizeigesetz),
c) § 7 Absatz 5 Satz 1 und Absatz 6 und § 15 Absatz 2 Satz 1 und Absatz 3 des Gesetzes über das Zollkriminalamt und die Zollfahndungsämter (Zollfahndungsdienstgesetz),
d) § 8d Absatz 1 Satz 1 und Absatz 2 Satz 1 des Gesetzes über die Zusammenarbeit des Bundes und der Länder in Angelegenheiten des Verfassungsschutzes und über das Bundesamt für Verfassungsschutz (Bundesverfassungsschutzgesetz),
e) § 2b Satz 1 des Gesetzes über den Bundesnachrichtendienst (BND-Gesetz) und § 4b Satz 1 des Gesetzes über den militärischen Abschirmdienst (MAD-Gesetz), soweit sie auf § 8d Absatz 1 Satz 1 und Absatz 2 Satz 1 Bundesverfassungsschutzgesetz verweisen,
alle in der Fassung des Gesetzes zur Änderung des Telekommunikationsgesetzes und zur Neuregelung der Bestandsdatenauskunft vom 20. Juni 2013 (Bundesgesetzblatt I Seite 1602) sowie
f) § 4 Satz 1 des Gesetzes über den Bundesnachrichtendienst (BND-Gesetz), soweit er auf § 8d Absatz 1 Satz 1 und Absatz 2 Satz 1 Bundesverfassungsschutzgesetz verweist, in der Fassung des Gesetzes zur Ausland-Ausland-Fernmeldeaufklärung des Bundesnachrichtendienstes vom 23. Dezember 2016 (Bundesgesetzblatt I Seite 3346) und
g) § 10 Absatz 1 Satz 1 und Absatz 2 und § 40 Absatz 1 Satz 1, soweit er nicht auf § 39 Absatz 2 Nummer 2 verweist, und Absatz 2 des Gesetzes über das Bundeskriminalamt und die Zusammenarbeit des Bundes und der Länder in kriminalpolizeilichen Angelegenheiten (Bundeskriminalamtgesetz) in der Fassung des Gesetzes zur Neustrukturierung des Bundeskriminalamtgesetzes vom 1. Juni 2017 (Bundesgesetzblatt I Seite 1354)
sind nach Maßgabe der Gründe mit Artikel 2 Absatz 1 in Verbindung mit Artikel 1 Absatz 1 und Artikel 10 Absatz 1 des Grundgesetzes unvereinbar.
2. Bis zur Neuregelung, längstens jedoch bis 31. Dezember 2021, bleiben die für mit dem Grundgesetz unvereinbar erklärten Vorschriften nach Maßgabe der Gründe weiter anwendbar.
Eilmeldung: Regeln zur Datenauskunft an Sicherheitsbehörden verfassungswidrig
Das Bundesverfassungsgericht hat Regelungen zur Datenauskunft an Sicherheitsbehörden für verfassungswidrig erklärt. Die Vorgaben zur sogenannten Bestandsdatenauskunft verletzten die Rechte der Inhaber von Telefon- und Internetanschlüssen in ihren Grundrechten auf informationelle Selbstbestimmung, entschied das Gericht.
„Reicht ein Like oder muss ich dazu noch mehr tun?“
Ein überarbeitetes Netzwerkdurchsetzungsgesetz würde Grundrechtseingriffe mit sich bringen. Mit der Kritik an dem Vorhaben setzte sich heute der Bundestag auseinander. Heftig umstrittene Punkte wie die geplante Meldepflicht und die Passwortherausgabe müssten kritisch durchleuchtet werden, hieß es aus der Regierungsfraktion.
Wer hat uns verraten? Na klar!
Dass man niemanden dazu zwingt, sich selbst zu belasten, ist übrigens einer der wesentlichen Merkmale, die eine Justiz von einer Inquisition abhebt. Herzlichen Glückwunsch, liebe SPD. Tolle Idee, einen Nicht-Juristen in den Rechtsausschuss zu schicken.
Bayerns Innenminister ist entsetzt über die Pläne der #Terrorzelle um den in #Bayern verhafteten Rechtsextremisten. Und: Grüne und FDP fordern einen verstärkten Kampf gegen rechtsextreme Internet-Netzwerke.
(18.02.2020)
Kampf gegen Hass: Bundesregierung stimmt für Pflicht zur Passwortherausgabe
Die einschlägigen neuen Paragrafen 15a und b Telemediengesetz (TMG) knüpft an die bereits bestehende Pflicht zur Bestandsdatenauskunft für Telekommunikationsanbieter an, von der die berechtigten Stellen seit Jahren intensiv und nicht immer rechtskonform Gebrauch machen. Im jetzt anvisierten Bereich sind die Folgen mit Zugriffsmöglichkeiten auf umfassende Kommunikationsinhalte von Nutzern und die damit verknüpften Grundrechtseingriffe aber viel größer.
Victory: Pennsylvania Supreme Court Rules Police Can’t Force You to Tell Them Your Password
EFF filed an amicus brief in Davis, and we were gratified that the court’s opinion closely parallels our arguments. The Fifth Amendment privilege prohibits the government from coercing a confession or forcing a suspect to lead police to incriminating evidence. We argue that unlocking and decrypting a smartphone or computer is the modern equivalent of these forms of self-incrimination.
Habt ihr euch Intel Cascade Lake Prozessoren gekauft, um nicht mehr von ZombieLoad betroffen zu sein? Dann seid ihr auf Intels Getrickse reingefallen
„Natürlich kann uns Intel nicht sagen, was wir machen sollen. Wir sind eine unabhängige Universität. Aber Intel kollaboriert mit der Uni, finanziert Doktoranden und ermöglicht, dass die Suche nach Sicherheitslücken an der Uni stattfinden kann. Als unabhängige Universität fragen wir uns allerdings schon, warum das Embargo so lange dauern muss.“
Während die IT-„Experten“ seit 20 Jahren Luftmaus spielen, gebt Ihr Euch jetzt mal sichere Passwörter
(6.5.2018)
Erklärung: wenn Ihr Passwörter direkt in einen Browser, Euer Mailprogramm, Anwenderprogramm, etc, eingebt, der eine sichere Verbindung hat (https), umgeht Ihr unserer Analyse zufolge die auslesbare Memory Eures Computer-Prozessors. Habt Ihr aber Euer Passwort irgendwo gespeichert, ist dieses mitlesbar sobald ihr es über die „Copy“-Funktion in den Speicher / die Memory ladet.
Die nächste Iteration des immer faschistischer anmutenden Polizei-„Sicherheits“-Gesetzes sieht vor, dass die Polizei Leute in Beugehaft nehmen darf, wenn die sich weigern, ihr Passwort rauszurücken, damit die Polizei ihre Identität stehlen kann.
Wer sein Passwort verweigert, kann dafür sogar in Beugehaft kommen.
Wo bleibt eigentlich die Revolution?
Gesichtserkennung soll Passwörter sicherer machen. Noch lassen sich die Biometrie-Apps aber austricksen.
(23. August 2016)
Google looks to leave passwords behind for a billion Android devices
(25.2.2019) Google and the Fast Identity Online Alliance said Monday that Android is now FIDO2-certified, meaning its devices can use fingerprints and security keys for logging in to accounts instead of passwords. The certification was unveiled at Mobile World Congress in Barcelona, Spain.
FIDO Alliance
FIDO supports a full range of authentication technologies, including biometrics such as fingerprint and iris scanners, voice and facial recognition, as well as existing solutions and communications standards, such as Trusted Platform Modules (TPM), USB security tokens, embedded Secure Elements (eSE), smart cards, and near field communication (NFC).[2] The USB security token device may be used to authenticate using a simple password (e.g. four-digit PIN) or by pressing a button.
Microsoft: You looking at me funny? Oh, you just want to sign in
(21.11.2018) Microsoft‘s corporate veep of all things identity, Alex Simons, trumpeted that the 800 million people who use a Microsoft account will now be able to sign in without username or password.
Android Gets FIDO2 Support: Death to Passwords?
(28.2.2019) The FIDO2 standard comprises the World Wide Web Consortium’s (W3C) Web Authentication specification and the corresponding Client to Authenticator Protocol (CTAP) from FIDO Alliance. Together these initiatives create an ecosystem of compliant devices that can easily authenticate themselves to online services.
Während die IT-„Experten“ seit 20 Jahren Luftmaus spielen, gebt Ihr Euch jetzt mal sichere Passwörter
(6.5.2018) Erklärung: wenn Ihr Passwörter direkt in einen Browser, Euer Mailprogramm, Anwenderprogramm, etc, eingebt, der eine sichere Verbindung hat (https), umgeht Ihr unserer Analyse zufolge die auslesbare Memory Eures Computer-Prozessors. Habt Ihr aber Euer Passwort irgendwo gespeichert, ist dieses mitlesbar sobald ihr es über die „Copy“-Funktion in den Speicher / die Memory ladet.
„Unjustified invasion of privacy“: New Zealand customs given power to demand access to your device
Under the Customs and Excise Act 2018 which comes into force this week visitors who come under suspicion by officers must hand over their New Zealand so that mobile phones and other electronic devices can be searched.
Twitter advising all 330 million users to change passwords after bug exposed them in plain text
But due to an error with the system, apparently passwords were being saved in plain text to an internal log, instead of masking them with the hashing process. Twitter claims to have found the bug on its own and removed the passwords.
Aufruf zur Passwortänderung: Sicherheitslücke bei Twitter entdeckt
Die Panne sei bereits vor mehreren Wochen entdeckt worden, Twitter habe den Vorfall daraufhin einigen Behörden gemeldet.
T-Mobile.at prahlt mit „amazing security“, wird weltweit zur Lachnummer
Passwörter unverschlüsselt zu speichern gilt seit Jahren als Sicherheits-Todsünde, da sie so, etwa bei einem Datendiebstahl, gleich von Angreifern genutzt werden können. Auch ist es problematisch, wenn Teile eines Passworts bekannt sind, da es so schneller geknackt werden kann.