ComputerBase Menü
Aktuelles

News Hasskriminalität-Gesetz: Lambrecht rudert bei Passwort-Abfrage zurück

Diese ganzen Biometrie-Sachen im Smartphone waren alle schon nach wenigen Tagen umgangen.

https://www.ccc.de/de/updates/2013/ccc-breaks-apple-touchid
https://www.chip.de/news/Hacker-gre...-anApples-Face-ID-ausgetrickst_126939359.html

Schützen tut nur ein Alphanumerisches Gerätepasswort mit mindestes 12 Stellen.
Pin mit 4 oder 6 Ziffern lässt sich schnell knacken.
https://www.heise.de/mac-and-i/meld...te-offenbar-neues-iPhone-knacken-4639886.html

ascer schrieb:
D.h. einfaches Löschen deines Verlaufs vor Kontrolle reicht aus und keine Behörde kann jemals an deine Daten kommen.
Zum Vergrößern anklicken....

Ist halt die Frage wie schnell die Jungs vom SEK beim Zugriff sind. ;)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: P220
@DKK007
(1) ändert das noch immer nichts an per Passwort verschlüsselten Apps,
(2) ändert es nichts an sicheren Services, siehe Post #22 und #21. So lassen sich auch Gruppenkommunikationen sicher realisieren.
und
(3) muss man ja nicht auf unsichere Biometrie vertrauen.

DKK007 schrieb:
Ist halt die Frage wie schnell die Jungs vom SEK beim Zugriff sind.
Zum Vergrößern anklicken....
Die Frage ist viel eher, ob man sensible Daten nicht einfach nach Erhalt/Verarbeitung löscht. Ich laufe doch nicht mit meinem Chatverlauf von 5 Jahren in der Hosentasche rum. Genausowenig wie ich mit meinem ganzen Vermögen in der Tasche spazieren gehen würde.

Insbesondere wenn ich sensible Daten habe, werden die nach Verwendung/Kenntnisnahme halt gelöscht. Wenn sensible Informationen sicher gespeichert werden sollen, kommen die für die Langzeitspeicherung in ein hidden-verycrypt-volume. Dann macht da auch der SEK-Beamte nichts mehr.

Das schweift aber auch - schon wieder - vollkommen vom ursprünglichen Thema ab: keine Behörde der Welt wird Beamte beim Ottonormalbürger vorbeischicken um Daten manuell abzugreifen. Das können die der Ressourcen halber auch gar nicht.

Woran die interessiert sind, ist der Zwang von Dienstanbietern per Gesetz auf Vorhaltung von Passwörtern/Private Keys. Dann können sie automatisiert Daten abgreifen und jederzeit die Nachrichten entschlüsseln, ohne physischen Kontakt mit einem Individuum und das und nur das können die Ressourcentechnisch auch realisieren.
Automatisierte Massenüberwachung.
 
  • Gefällt mir
Reaktionen: areiland
ascer schrieb:
@DKK007
(1) ändert das noch immer nichts an per Passwort verschlüsselten Apps,
Zum Vergrößern anklicken....

Aber auch die haben halt oft Lücken.


Löschen ist allerdings auch relativ. Bei Datenbanken werden Einträge oft einfach nur als gelöscht markiert und sind noch vorhanden.
Bei Dateien hängt es von Dateisystem und Faktoren wie TRIM ab.

Ist besonders nett, wenn alle Interessanten Dateien dann die "gelöscht"-Markierung im Auswertetool tragen. :D
Da kann man dann von Vorsatz ausgehen.
 
@DKK007 du greifst auch absichtlich nach jedem noch so irrelevanten Strohhalm, oder?

Lücken sind doch das gleiche wie alte Hash-Algorithmen. Lücken wird es immer geben, aber derzeit ist der Dienstanbieter verpflichtet, Nutzerdaten sicher und Passwörter unzugänglich zu speichern. Insofern hat man sogar rechtlichen Anspruch darauf. D.h. der Dienstanbieter muss eben auf sichere Hash-Algos umstellen, Sicherheitslücken ganz normal patchen, wie jeder andere auch.

Hier geht es doch um den Gesetzentwurf, der das absichtliche Installieren und Vorhalten einer "General-Backdoor" bedeuten würde.

DKK007 schrieb:
Löschen ist halt auch relativ. Bei Datenbanken werden Einträge oft einfach nur als gelöscht markiert und sind noch vorhanden.
Bei Dateien hängt es von Dateisystem und Faktoren wie TRIM ab.
Zum Vergrößern anklicken....
Manche Software tut das, ja.
Die Rede war ja aber von sicheren Applikationen. Signal & Threema z.B. wipen Daten. Veracrypt speichert Daten in einem verschlüsselten Container, der bei Erstellung mit Zufallszahlen gefüllt wird. Da ist nichts rekonstruierbar nach einem Löschvorgang.

Und nochmal: es geht hier um das Gesetz. Ob z.B. Software wie Windows95 unsicher ist, interessiert den Endanwender dank DSGVO ja nicht. Am Ende haftet der Dienstanbieter, wenn er unzureichende Methoden verwendet, um die Datenschutzbestimmungen zu erfüllen.
Diesen Schutz würde das derzeitige Gesetz aushebeln, weil dann jeder Dienstanbieter, auch die guten, sicheren, die "General-Backdoor" vorhalten müssten.
 
  • Gefällt mir
Reaktionen: chartmix, Apocalypse, P220 und 2 andere
Aus "Schweren" wird dann in 3 Jahren "allen"...
Immer dasselbe von immer von denselben Leuten.

Am Ende kassierts ein Gericht ein.
 
  • Gefällt mir
Reaktionen: Hovac und Flywolf
@P220 auf jeden Fall, das hat man ja schon bei der Vorratsdatenspeicherung gesehen. Selbst wenn in bestimmten Positionen seriöse Leute sitzen würden, ist das ein Grundsatzproblem: ist der Präzedenzfall erstmal geschaffen, bekommt man das Unheil nicht wieder in Pandoras Büchse zurück.

Deshalb bin ich ebenfalls ganz vehement gegen solche Vorgänge. Briefgeheimnis, Datenschutz, ... sollte alles unantastbar sein. Schutz der Privatsphäre ist ein hohes Gut und die Kosten dafür sollte eine Demokratie sich stets leisten.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: P220
ascer schrieb:
Du kannst die Message ja wunderbar in AES verschlüsseln und das Passwort mit dem pub key einzeln für jeden in der Gruppe. Das machen auch sichere Messenger. Deshalb musst du z.B. bei Threema ja auch mit Smartphone und Tablet eine Gruppe joinen und kannst deine Nachrichten zwischen den Devices nicht automatisiert syncen, weil sie unterschiedliche private keys haben.
Zum Vergrößern anklicken....
Äh ne, das ist nicht der Grund, warum man nicht automatisch syncen kann.

Der Grund warum man nicht automatisch syncen kann ist einfach, dass es nicht implementiert wurde (Nachrichten werden nicht auf dem Server gespeichert, mehrere Geräte sind nicht ins Schlüsselaustauschverfahren konzipiziert worden).

Fehlender Sync sind lediglich unnötige Einschränkungen von Threema.
 
Zuletzt bearbeitet:
new Account() schrieb:
Äh ne, das ist nicht der Grund, warum man nicht automatisch syncen kann.
Zum Vergrößern anklicken....
new Account() schrieb:
Fehlender Sync sind lediglich unnötige Einschränkungen von Threema.
Zum Vergrößern anklicken....
Nein bzw. nicht direkt: das war ja eine bewusste Designentscheidung von Threema zugunsten von erhöhter Sicherheit.

Man wollte ja, dass Nachrichten niemals, auch nicht verschlüsselt, auf dem Server liegen. Und man wollte, dass nicht jeder Benutzer, sondern jedes Device seinen eigenen private key hat, damit der immer unique ist und ausschließlich lokal existiert.
Eins von beiden bräuchte man ja aber, um technisch einen Sync zu realisieren.

Man könnte theoretisch natürlich z.B. mehrere Geräte einem Nutzeraccount zuordnen und sich die Geräte des Nutzers untereinander peer-to-peer synchronisieren lassen...aber wenn ich die blog posts noch Richtung in Erinnerung habe, wollte man solche Lösungen auch nicht wegen (a) Aufwand und (b) weil man auch die zusätzlichen Informationen des Nutzers nicht verfügbar machen wollte.
Wobei ich diesbezüglich stark (a) vermute...(b) kann Threema ja theoretisch immer reverse-engineeren, auch wenn das Aufwand ist (etwa Nutzungszeit, IP-Adresse, Nicknames, ... von Geräten abgleichen am Threema Server).
 
ascer schrieb:
Man wollte ja, dass Nachrichten niemals, auch nicht verschlüsselt, auf dem Server liegen.
Zum Vergrößern anklicken....
ascer schrieb:
Und man wollte, dass nicht jeder Benutzer, sondern jedes Device seinen eigenen private key hat, damit der immer unique ist und ausschließlich lokal existiert.
Zum Vergrößern anklicken....
Inwiefern erhöht das die Sicherheit?
Bei ersterem müsste man annehmen, dass die Verschlüsselung unsicher wäre.
Bei letzterem müsste man annehmen, dass der Benutzer selbst seine Geräte nicht unter Kontrolle hat - was ja das Argument schon zum Absurdum führt.

Imho Ausreden gegenüber dem erhöhten Aufwand.
 
@new Account() ich denke auch, dass das Augenmerk auf dem Aufwand lag...aber ganz an den Haaren herbeigezogen ist das nicht.

new Account() schrieb:
Bei ersterem müsste man annehmen, dass die Verschlüsselung unsicher wäre.
Zum Vergrößern anklicken....
Es muss ja nicht die Verschlüsselung selbst unsicher sein, es reicht ja das bei einer Sicherheitslücke möglich wäre, die verschlüsselten Daten runterzuladen. Weder Betreiber noch Angreifer haben dann ja überhaupt die Möglichkeit oder gar Motivation irgendwas in Richtung Entschlüsselung, Backdoors, ... zu versuchen, wenn es sowieso gar nicht die Möglichkeit gibt, die Daten überhaupt vom Server abzurufen.
Mehr Sicherheit geht halt serverseitig nicht, das finde ich schon konzeptionell nicht schlecht.

new Account() schrieb:
Bei letzterem müsste man annehmen, dass der Benutzer selbst seine Geräte nicht unter Kontrolle hat - was ja das Argument schon zum Absurdum führt.
Zum Vergrößern anklicken....
Nicht nur. Es gibt hierbei ja den einen edge case des Schlüsselaustauschs: wenn da eine Backdoor, Sicherheitslücke, ... wäre, dann würde das wieder einen Angriffspunkt bieten. Unwahrscheinlich, aber theoretisch möglich. Wenn man da konzeptionell nur 1:1 end-to-end erlaubt und jedes Gerät seinen eigenen, unique private key + account bekommt, dann gibt es diesbezüglich schlicht gar keinen Angriffspunkt.

Läuft natürlich am Ende auch wieder auf geringere Entwicklungskosten / eine Sorge weniger im internen Software-Security-(Penetration)-Testing hinaus...
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: chartmix und P220
P220 schrieb:
Auch die müssen "Hausdurchsuchung" rufen bevor die dir die Tür eintreten. 😋
Zum Vergrößern anklicken....
Ach was, der Chatverlauf wird mittels finalen Rettungsschuss befreit. Alles für die Kinder. Ich bin immer noch am Kopfschütteln.
 
  • Gefällt mir
Reaktionen: P220
Hab die Rede der Dame im Bundestag gesehen.
Da hat sie schön behauptet das würde alles eh so nicht stimmen.
Die anderen haben aber aus dem Gesetzentwurf zitiert...
Wirkt irgendwie mehr als komisch.
Die Frau ist unheimlich.
 
  • Gefällt mir
Reaktionen: Apocalypse und Hovac
Ich behaupte einmal, der Artikel gibt den geplanten Gesetzestext leider nur verkürzt wieder. In diesem wird wahrscheinlich stehen, dass die Account-Provider Zugriff (!) gewähren müssen. Dies geht dann ganz einfach durch Rücksetzung des Passworts. Da muss niemand etwas "knacken" :D
 
Solange Politiker die "Hasskriminalität" dazu benutzen Kritik an der Politik auszublenden, ist mir klar, dass es mit Hass recht wenig zu tun hat. Außer natürlich, es ist verboten Politiker zu hassen, welche gegen den Volkswillen agieren. Was solln wir tun, uns bedanken?

Es sollte Politikern verboten sein, gegen den Volkswillen zu agieren, anstatt das Volk für berechtigte Kritik mit Strafen zu belegen.

Es gab schon Politiker, die diese angebliche Hasskriminalität gegen Kritik eingesetzt haben. Da sagt man einfach nur die Wahrheit, nämlich, dass man der Meinung ist, dass ein bestimmter Politiker ein Volksverräter ist und schon wird das Konto stillgelegt oder es steht sogar die Polizei vor der Tür.

Wenn Politiker Gesetze gegen das Volk durchsetzen, dann sind sie Volksverräter und damit müssen sie imho leben oder sie müssen halt damit aufhören, das Volk zu verraten. Sie können natürlich gerne auch ihren Politposten an den Nagel hängen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Hovac und bart1983
Offenbar hat man im Justizministerium bisher den Inhalt der Kirik nicht verstanden.
 
  • Gefällt mir
Reaktionen: areiland
Aurumvorax schrieb:
"Hasskriminalität" ist Neusprech!
Zum Vergrößern anklicken....
Echt dumm, wenn man nicht weiß, woher dieses Wort stammt. Als Tipp: Geschichte, Bürgerrechtsbewegung, 50er Jahre, USA Strafrecht 80er, Hate Crime, Deutschland 2001(vor 19 Jahren!).
Ergänzung ()

Schaby schrieb:
Was ist denn nun Hasskriminalität genau? Mord, Massenmord, Terrorrismus, Vergewaltiger usw. Oder einfach alle Kriminalität. Und man hat das Wort Kriminalität einfach um das unötige Wort Hass erweitert.
Zum Vergrößern anklicken....
Hasskriminalität ist ein Oberbegriff. In Deutschland werden damit Straftaten in Verbindung gebracht, die aus blinden Hass heraus begangen werden. Zum Beispiel wenn man einen Homosexuellen schlägt nur weil man was gegen Homosexuelle hat.
Das kann auf folgende Beispiele zutreffen: "politischen Einstellung, Nationalität, Volkszugehörigkeit, Rasse, Hautfarbe, Religion, Weltanschauung, Herkunft, sexuellen Orientierung, Behinderung, äußeren Erscheinungsbild oder gesellschaftlichen Status"

Stammt übrigens von bzw. aus Wikipedia. Hat genauso lange gedauert es zu finden, wie das schreiben deiner Frage.
 
Zuletzt bearbeitet:
bensel32 schrieb:
Echt dumm, wenn man nicht weiß, woher dieses Wort stammt. Als Tipp: Geschichte, Bürgerrechtsbewegung, 50er Jahre, USA Strafrecht 80er, Hate Crime, Deutschland 2001(vor 19 Jahren!).
Zum Vergrößern anklicken....


Schön das wir das Wort schon so lange kennen. Hält dummerweise die Regierung nicht davon ab beste Beziehungen zu Ländern zu unterhalten in dennen Schwule, Frauen und minderheiten undrückt oder getötet werden. Vieleicht haben die Amerikaner das Handy von Frau Merkel nur wegen Hate Crime abgehört. :D
 
bensel32 schrieb:
Hasskriminalität ist ein Oberbegriff. In Deutschland werden damit Straftaten in Verbindung gebracht, die aus blinden Hass heraus begangen werden. Zum Beispiel wenn man einen Homosexuellen schlägt nur weil man was gegen Homosexuelle hat.
Zum Vergrößern anklicken....
Hm ja, was ist dann mit Liebes-, Entäuschungs-, Frust-, Gier-, Wutkriminalität usw? Das gibt es dann alles! Ich habe an anderer Stelle schonmal geschrieben, dass es in allen Bereichen Hass als Antrieb für Verbrechen gibt. Deswegen ist das Wort Hasskriminalität einfach nur eine dumme Phrase. Klingt unheilvoll, aber vom Sinn her ziemlich Blöd.
 
  • Gefällt mir
Reaktionen: Hovac und Aurumvorax
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

SVΞN
  • Geschlossen
News Hasskriminalität im Internet: Bundesministerium plant Passwort-Abfrage
7 8 9
Antworten
165
Aufrufe
31.679
SVΞN
SVΞN
SVΞN
  • Geschlossen
News Gegen rechten Hass: Bund beschließt Passwort-Abfrage und Meldepflicht
10 11 12
Antworten
230
Aufrufe
36.789
phil.
phil.
Parwez
News Roaming: EU-Kommission rudert bei 90-Tage-Klausel zurück
2
Antworten
36
Aufrufe
6.324
Blutschlumpf
Blutschlumpf
slsHyde
Leserartikel [Projekt, Worklog, HowTo] Server in Eigenregie
2
Antworten
38
Aufrufe
30.931
slsHyde
slsHyde
M
News Unsichere Passwort-Abfrage bei Amazon
2 3 4
Antworten
79
Aufrufe
10.719
pravum
pravum

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz