Passwörter werden nicht verraten

Gestern morgen lief auf SWR3 eine kleine Diskussion über das Für und Wider der Weitergabe von Passwörtern an z.B. nahe Verwandte, Ehepartner oder Freund/Freundin. Ich dachte eigentlich bisher, dass man darüber gar nicht diskutieren muss, weil es keinen Grund gibt, Passwörter weiterzugeben. Und vor allem, dass die Zahl derjenigen, die tatsächlich ihr Passwort anderen Leuten weitergeben, gering ist. Weit gefehlt.

Ich will hier gar nicht über die Qualität der meisten Passwörter schreiben, oder darüber, dass viele Menschen nur ein einziges Passwort für alles verwenden. Mir geht es um die gesellschaftlichen und wirtschaftlichen Implikationen der Passwortweitergabe.

Zunächst ist es die irrige – und völlig absurde – Annahme, dass ein Passwort ja „nur“ den Facebook-Account, die E-Mails oder Windows schützt, wo man ja sowieso „nichts zu verbergen hat“. Mag sein. Dein langweiliger Facebook-Account und Deine E-Mails interessieren mich eh nicht. Und wenn ich in Dein Windows einbrechen wollte, dann bräuchte ich nicht mal Dein Passwort. Aber darum geht es gar nicht. Passwörter schützen die eigene Identität. Nicht weniger.

Die Entsprechung in der Analogwelt ist das Ausstellen einer Generalvollmacht in meinem Namen handeln zu dürfen. Und wer von uns vergibt schon Generalvollmachten? Siehste, Ich auch nicht. Ganz im Gegenteil, wir sind – zu Recht! – sehr vorsichtig, was Vollmachten betrifft. Wenn wir jemanden bevollmächtigen, etwas zu tun, dann nur sehr begrenzt und auch nur, wenn wir einen guten Grund dafür haben. Ein solcher Grund in der digitalen Welt könnte sein, dass der Laptopakku der Freundin leer ist, oder sie ihren Laptop gerade nicht dabei hat, aber trotzdem eine E-Mail schreiben oder etwas im Internet nachschauen muss. Das ist kein Grund das Passwort weiterzugeben. Einfacher und sicherer ist es sich selbst auf seinem Computer einzuloggen, damit die Freundin (von ihrem eigenen Konto) eine E-Mail schreiben kann. Oder als eine etwas permanentere Lösung, kann ich einen Zweit-Account einrichten – kein Problem für moderne Betriebssysteme.

Doch es sind nicht nur die diversen Internetdienste, wie E-Mail, Facebook, Google, Flickr, usw., die einen Teil der Identität ausmachen und geschützt werden müssen. Es sind auch Zertifikate und Schlüssel, die erst mit einem Passwort nutzbar sind. Beispielsweise, um E-Mails digital zu unterschreiben. Passwortweitergabe öffnet hier Tür und Tor beim Identitätsmissbrauch. Gar nicht mal so sehr von der eigentlichen „Vertrauensperson“, der man sein Passwort anvertraut hat. Niemand kann mir garantieren, dass die Vertrauensperson auch sorgsam mit meinem Passwort umgeht. Da reicht schon der berühmte Post-It am Monitor, der verloren geht oder in einem unbedachtem Moment von einem Dritten kopiert wird. Und da viele Menschen leichtsinnigerweise nur ein oder vielleicht zwei Passwörter für alle Dienste verwenden, ist damit nicht nur aus der begrenzten, sagen wir, E-Mail-Vollmacht, schnell eine Generalvollmacht geworden. Und eine mögliche Kompromittierung vieler genutzter Dienste. Zugegeben, einige dieser Szenarien sind unwahrscheinlich, doch kommt es mir auf den Kontrollverlust an. In dem Moment, in dem ich mein Passwort jemand anderem verrate, verliere ich die Kontrolle darüber.

Ich kenne zwei Leute, die sich über Jahre (sic!) hinweg das Passwort des einen für einen Dienst geteilt haben. Passwortweitergabe macht faul, sich um seinen eigenen Zugang zu kümmern und untergräbt auch diverse Vertrauensverhältnisse. Zum einen zwischen den beiden, da sie aufpassen mussten sich nicht aus den Augen zu verlieren oder zu zerstreiten – wie schnell hat man da das Passwort geändert, um dem anderen eins „auszuwischen“. Dann das Vertrauensverhältnis zwischen dem Anbieter und dem Nutzer. Immerhin steht in allen Nutzungsbedingungen, dass Passwörter unter keinen Umständen weitergegeben werden dürfen. Die Weitergabe von Passwörtern könnte also zivilrechtlich und vielleicht sogar strafrechtlich bedeutsam sein. Gerade in Unternehmen steht eine Passwortweitergabe im Widerspruch zur Compliance. Die Folge könnte sein, dass die Compliance verschärft wird und Geschäftsprozesse behindert.

Das Argument einiger Diskutanten bei SWR3, das Anvertrauen des Passwortes dem Partner sei ein Vertrauens- oder gar Liebesbeweis könnte falscher nicht sein. Ich vertraue meiner Freundin auch ohne sie kontrollieren zu können, was sie in Facebook oder sonstwo schreibt. Es ist kein Vertrauensbeweis, dem Partner zu sagen „Hier, kontrolliere mich! Ich habe nichts Schlechtes getan.“. Hier ist das eigentliche Vertrauensverhältnis schon gestört. Ich will darauf vertrauen, dass mir nahestehende Menschen nichts Schlechtes tun ebenso wie ich will, dass mir derart vertraut wird. Passwortweitergabe rüttelt am Vertrauen, einer der Grundfesten unserer Gesellschaft. Eine solche Gesellschaft, die auf der Grundlage „Vertrauen ist gut, Kontrolle ist besser“ basiert, ist weder funktionsfähig noch lebenswert.

Bestimmt gibt es hier und da Ausnahmen, die eine Weitergabe von Passworten rechtfertigen, aber ich vermute, dass diese Ausnahmen nur temporär gelten. Im Großen und Ganzen gibt es für mich keinen Grund, meine Passwörter weiterzugeben oder Passwörter anderer zu wissen.

Veröffentlicht von

Benjamin

Bloggt über Wirtschaft und Politik. Nimmt Ordnungspolitik ernst. Promoviert über Währungsunionen. Blogs about Economics and Politics. Takes Ordnungspolitik seriously. Studies monetary unions for his doctorate.