Auf Mastodon teilen

Sehr << Anrede >> vielen Dank für Ihre Informationen. Sie schreiben "Dies alles wird im Rahmen einer ISO-27001-Zertifizierung auf Basis von IT-Grundschutz überprüft." Auf Ihrer Website https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Managementsystemen/ISO-27001-Basis-IT-Grundschutz/ErteilteZertifikate/iso27001zertifikate_node.html listen Sie die vergebenen Zertifikate. Ich hätte gerne eine Kopie der Prüfberichte oder eine Zusammenfassung darüber, ob und wie die von Ihnen angeführten Grundschutzbausteine (plus CON.1) umgesetzt wurden. Vielen Dank und viele Grüße Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/

Sehr << Anrede >> vielen Dank für Ihre Nachricht. Ich beantrage, der Öffentlichkeit die Prüfberichte zur Verfügung zu stellen, die für die Erbringung von Bürgerdiensten des Portalverbundes im Sinne des Online-Zugangsgesetzes OZG relevant sind. Ich denke dass alle Bürger das Recht haben zu wissen, wie der Staat ihre Daten im Portalverbund schützt, und dass daher auch die Bereitstellung dieser Prüfberichte nicht unter "individuell zurechenbar" im Sinne von IFG § 10 (1) fällt. Vielmehr sollten diese Informationen öffentlich im Sinne des von Professor Kelber vorgeschlagenen Transparenzgesetzes sein. Sollten Sie da zu einer anderen Auffassung kommen, bitte ich um eine Begründung sowie die Mitteilung in welcher Höhe Sie Gebühren berechnen wollen. Vielen Dank und viele Grüße Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/

Sehr << Anrede >> Die IFGGebV sagt aber auch in § 2 "Befreiung und Ermäßigung": "Aus Gründen der Billigkeit oder des öffentlichen Interesses kann die Gebühr um bis zu 50 Prozent ermäßigt werden. Aus den genannten Gründen kann in besonderen Fällen von der Erhebung der Gebühr abgesehen werden." Das öffentliche Interesse halte ich für gegeben - Geheimniskrämerei darum wie der Staat mit den Daten der Bürger umgeht - das steht Deutschland nicht gut. Ich habe das Gefühl, Sie wollen mich mit "Soweit ein Informationsbegehren mehrere Referate der verpflichteten Behörde betrifft, ein Drittbeteiligungsverfahren durchgeführt werden muss und zum Schutz öffentlicher Belange Daten ausgesondert werden, verursacht der Informationszugang einen deutlich höheren Verwaltungsaufwand i.S.d. Gebührenverzeichnisses zu § 1 Absatz 1 IFGGebV. Die Höhe der Gebühren richtet sich nach dem tatsächlich angefallenen Aufwand und kann erst nach Abschluss der Bearbeitung der IFG-Anfrage ermittelt werden." abschrecken. Ich schlage vor, Sie verzichten auf den "höheren Verwaltungsaufwand" i.S. § 1 (1) oder räumen mir die 50% nach §2 ein. Auch bin ich der Meinung, dass das BSI sicher a priori abschätzen kann, wie viele der Zertifizierungen für den Portalverbund relevant sind und wie lange es dauert die ggfs. auf eine DVD oder besser noch auf die Webseite des BSIs zu befördern. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/

Sehr << Anrede >> ich meine den Portalverbund des OZGs, denn hier sehe ich eindeutig öffentliches Interesse gegeben, aber meine Anfrage bezieht sich nicht auf die PVV, sondern auf meine Anfrage in diesem Dialog https://fragdenstaat.de/a/224475. Ich zitiere aus Ihrem Schreiben vom 19.07.2021: "- APP.1.2.A2 Unterstützung sicherer Verschlüsselung der Kommunikation (B) macht Vorgaben an die Transportverschlüsselung beim Einsatz von Webbrowsern - SYS.3.1.A13 Verschlüsselung von Laptops (S) macht Vorgaben hinsichtlich der Verschlüsselung von Datenträgern in Laptops - SYS.2.1.A28 Verschlüsselung der Clients (H) macht Vorgaben hinsichtlich der Verschlüsselung von schutzbedürftigen Daten auf Clients - NET.1.1.A7 Absicherung von schützenswerten Informationen (B) regelt, in welchen Szenarien Netzverbindungen verschlüsselt werden müssen - SYS.1.8.A23 Einsatz von Verschlüsselung für Speicherlösungen (H) macht Vorgaben hinsichtlich der Verschlüsselung von in Speicherlösungen abgelegten Daten - SYS.4.5.A10 Datenträgerverschlüsselung (B) macht Vorgaben für Szenarien, in denen Wechseldatenträger verschlüsselt werden müssen". "Dies alles wird im Rahmen einer ISO-27001-Zertifizierung auf Basis von IT-Grundschutz überprüft. Es ist somit praktisch ausgeschlossen, dass eine Institution eine solche Zertifizierung erhält, ohne angemessen Verschlüsselung einzusetzen." Ich möchte daher die Berichte zu den Teilnehmern am Portalverbund, um daraus ablesen zu können ob diese Anforderungen, insbesondere wie NET.1.1.A7 und SYS 1.8 A23 umgesetzt wurden oder warum nicht. Da in einigen Onlinediensten auch spezielle Kategorien personenbezogener Daten abgefragt werden gehe ich davon aus, dass alle Anforderungen - auch H - umgesetzt sein sollten. Die von Ihnen angesprochene Verordnung enthält nur zu einem Bruchteil der im Datenschutz üblichen technischen und organisatorischen Anforderungen eine Anforderung oder Empfehlung - würden sich die Betreiber wirklich nur an dieser Verordnung orientieren, dann wären die Daten der Bürger in schlechten Händen. Ich frage mich schon was sich das BMI davon verspricht. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/

Sehr << Anrede >> Ich bin Ihre Liste auf https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Managementsystemen/ISO-27001-Basis-IT-Grundschutz/ErteilteZertifikate/iso27001zertifikate_node.html durchgegangen, und habe dabei die folgenden Dienstanbieter identifiziert, die am Portalverbund, an Verwaltungsverfahren oder ähnlichem beteiligt sind, also letztendlich Daten von Bürgern verarbeiten. BSI-IGZ-0464-2021 Nortal AG BSI-IGZ-0442-2021 Kommunales Rechenzentrum Minden-Ravensberg/Lippe BSI-IGZ-0406-2021 Landkreis Starnberg BSI-IGZ-0444-2021 Lecos GmbH BSI-IGZ-0431-2021 Institut für Medizinische Informationsverarbeitung, Biometrie und Epidemiologie – Patientendaten BSI-IGZ-0424-2020 ]init[ AG BSI-IGZ-0378-2019 ]init[ AG BSI-IGZ-0415-2020 Kommunales Rechenzentrum Niederrhein (KRZN) BSI-IGZ-0405-2020 Dataport AöR BSI-IGZ-0365-2019 Dataport AöR BSI-IGZ-0354-2020 Stadtverwaltung Münster - citeq BSI-IGZ-0384-2019 Landesbetrieb Daten und Information (LDI) Rheinland-Pfalz BSI-IGZ-0346-2019 Ministerium für Ländlichen Raum und Verbraucherschutz Baden-Württemberg BSI-IGZ-0364-2019 Kommunale Datenverarbeitungszentrale Rhein-Erft-Rur BSI-IGZ-0372-2019 D4L data4life gGmbH BSI-IGZ-0370-2019 AKDB - Anstalt des öffentlichen Rechts BSI-IGZ-0352-2019 Stadt Köln BSI-IGZ-0363-2019 Kommunale Datenzentrale Mainz BSI-IGZ-0349-2019 DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH BSI-IGZ-0350-2019 civillent GmbH BSI-IGZ-0342-2018 Landesbetrieb Information und Technik Nordrhein-Westfalen (IT.NRW) BSI-IGZ-0344-2018 GISA GmbH BSI-IGZ-0331-2018 Bundesagentur für Arbeit BSI-IGZ-0328-2018 KommunalBIT AöR BSI-IGZ-0322-2018 Informationsverbund der ekom21 - KGRZ Hessen Sollte es an der Verarbeitung von Bürgerdaten durch diese Einrichtungen Zweifel geben, bin ich gerne bereit darzulegen, worauf sich meine Annahme stützt. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/

Sehr geehrte Damen und Herren, In Sicherheitskreisen gilt Kerckhoffs’ Maxime, dass der Mechanismus bekannt sein darf, lediglich die Schlüssel geheim zu halten sind. Es ist sogar Best Practice, Sicherheitsmechanismen öffentlich zu diskutieren, um die Sicherheit zu gewährleisten bzw. zu verbessern. Prominentes Beispiel ist das Transport Layer Security Protokoll, das jetzt nach mehr als 25 Jahren in der 7. Version (TLS 1.3) - bis zum Beweis des Gegenteils - gut ist, die 6. Iteration (TLS 1.2) war mit Einschränkungen brauchbar, die fünf Versuche davor (SSL 1.0, SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1) waren unsicher. Analog bei vielen anderen Mechanismen nicht nur in der Kryptographie. Außerdem ist klar, dass eine Geheimhaltung von Sicherheitsmechanismen - letztendlich Innentäter begünstigt. Die Vorteile einer Veröffentlichung von Konzepte überwiegen daher in der Regel die Nachteile. Anders nur, wenn das Sicherheitskonzept löchrig ist – sei es weil SOLL-Anforderungen nicht umgesetzt wurden, oder weil beim Audit bzw. der Zertifizierung Abweichungen zwischen dem geplanten und dem erreichten Zustand beobachtet wurden und diese nicht zeitnah behoben wurden. In beiden Fällen ist – insbesondere bei den von mir genannten Anforderungen NET.1.1.A7 und SYS 1.8 A23 – davon auszugehen, dass die Anforderungen des Datenschutzes nicht erfüllt werden. Auf die Tatsache dass ein Zertifikat ohne Bericht keine Aussagekraft hat, habe ich bereits in der Anfrage https://fragdenstaat.de/anfrage/it-komponente/ hingewiesen. Wenn ein zertifiziertes Unternehmen sauber durch den Audit gekommen ist, dann braucht es auch die Veröffentlichung des Berichts nicht scheuen, die Werbung mit dem Zertifikat ohne Bericht muss ich schon fast als irreführende Werbung ansehen. Es würde der öffentlichen Sicherheit auch eher helfen, wenn die Berichte öffentlich wären, denn dann bestände ein Anreiz die Kriterien vollständig zu erfüllen bzw. Defizite abzustellen. Das umso mehr als die Unternehmen dafür Geld vom Staat und damit letztendlich von uns Bürgern bekommen. Ich halte daher weder Ihr Argument potentieller Betriebsgeheimnisse - § 3 Nr. 7 IFG – noch das der Gefährdung der öffentlichen Sicherheit - § 3 Nr. 2 IFG – für richtig und damit die Ablehnung für nicht gerechtfertigt. Es geht nicht um die Verarbeitung von Daten beim Verfassungsschutz oder ähnlichen Einrichtungen, sondern um die Verarbeitung von Daten von Bürgern im Auftrag des Staates, und hier hat der Schutz der Bürgerrechte meiner Meinung nach Vorrang vor möglichen Befindlichkeiten der verarbeitenden Stellen – zumal so ziemlich alle Unternehmen aus meiner Liste zumindest im Portalverbund wohl aus Steuermitteln finanziert werden. Meiner Meinung müssen sich die Interessen der Unternehmen und des BSIs den Interessen der Bürger unterordnen. Letztendlich ist für mich die einzig schlüssige Erklärung für Ihre Ablehnung, dass der Staat bzw. seine Verarbeiter Sicherheit und/oder Datenschutz missachten, und dass das nach Möglichkeit nicht öffentlich werden soll. Meiner Meinung nach ein Skandal. Umgekehrt sehe ich in einer Veröffentlichung die Chance, dass der Staat bzw. seine Verarbeiter darlegen könnten, dass die Daten der Bürger in guten Händen sind. Dem Staat auf die Finger schauen dürfen – genau das ist nach meinem Verständnis die Aufgabe des IFGs. Mir ist auch nicht entgangen, dass einige Teilnehmer am Portalverbund gar nicht in der Liste der Zertifizierungen auftauchen. Bei denen darf ich dann wohl auch vermuten, dass der Grundschutz nicht beachtet wird. Statt eines Widerspruchs im Sinne des VwVfG möchte ich Ihnen erstmal Gelegenheit geben, Ihre Ablehnung besser zu begründen oder zu überdenken. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/

Sehr geehrte Damen und Herren, darf ich noch mit einer Antwort rechnen oder soll ich nach § 12 IFG Beschwerde beim BfDI einreichen? Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/

Sehr geehrte Damen und Herren, ich möchte ausnutzen dass das BfDI sowohl die zuständige Beschwerdeinstanz nach dem IFG als auch die oberste Aufsichtsbehörde für den Datenschutz in Deutschland und die Anlaufadresse der Datenschutzkonferenz ist. Aus dem bisherigen Verlauf der Anfrage https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/ und der Geheimniskrämerei muss ich leider schließen, dass Verschlüsselung bei den angefragten Zertifizierungen nicht oder mangelhaft umgesetzt wurde - und dabei jedenfalls kein Schutzniveau angemessen für den Schutzbedarf hoch erreicht wird. Leider enthält der Grundschutz in SYS.1.8.A23 nur ein SOLL anstelle des MUSS das sich aus dem Baustein Aufbewahren des Standard-Datenschutzmodells (SDM) ergibt. M11.D07 im SDM ist zwar zunächst eine verfahrensspezifische Anforderung, allerdings indiziert das m.E. auch die Anwendung für alle gemeinsam genutzten Dienste wie z.B. Virenscanner, Virtualisierung, oder zentrale Protokollierung, mithin ist die sinnvollste Umsetzung, konsequent alles zu verschlüsseln. Analog ist zu befürchten, dass auch das MUSS in NET.1.1 A7 wegen "falls nicht über vertrauenswürdige dedizierte Netzsegmente" genauso wie das SOLL in A34 ins Leere laufen, ganz zu schweigen davon, dass 802.1AE auch 802.1X erfordert, und der Grundschutz keine Anforderungen enthält, die einen sicheren Betrieb von 802.1X oder 802.1AE gewährleisten würden. Meiner Meinung nach die sinnvollste Maßnahme wäre, die konsequente Verwendung von TLS auch innerhalb privater Netzsegmente zu fordern. Ich bitte zunächst um Vermittlung in meiner Anfrage https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/ nach dem Informationsfreiheitsgesetz. Geheimhaltung - Security by/through Obscurity - ist meiner Meinung und der vieler anderen Sicherheitsexperten kein geeignetes Mittel zur Gewährleistung von Sicherheit. Eine Aufstellung der mir bekannten Meinungen finden Sie unter https://blog.lindenberg.one/SecurityByObscurity. Ich möchte ungern das BSI und das BfDI als echte Gegenstimmen aufnehmen. Auch muss meiner Meinung nach das Interesse der zertifizierten Einrichtungen zurückstehen hinter dem Anspruch der Bürger, dass ihre personenbezogen Daten nach dem Stand der Technik geschützt werden, und das schließt die Veröffentlichung der Konzepte und die Möglichkeit eines öffentlichen Reviews ein. Ich möchte daher gleichzeitig als Betroffener, der nicht wissen kann, welcher der in der Anfrage genannten Verantwortlichen oder Auftragsverarbeiter ggfs. personenbezogene Daten über mich verabeitet, Beschwerde wegen Verstoß gegen Artikel 32 (1) DSGVO bzw. andere anwendbare Datenschutzgesetze einreichen. Bitte teilen Sie mir dazu auch zeitnah mit, ob Sie diese Beschwerde ggfs. über die Datenschutzkonferenz oder auch direkt an die jeweiligen LfDIs weitergeben oder ob ich diese Beschwerde jeweils getrennt einreichen muss. Sie finden auch alle Dokumente zu dieser Anfrage als Anhang zu dieser E-Mail. Sie dürfen meinen Namen gegenüber der Behörde nennen. Mit freundlichen Grüßen Joachim Lindenberg Anhänge: - 224475.pdf - 2021-07-19_1-bsi-antwort3.pdf - 2021-08-05_1-bsi-05082021.pdf - 2021-08-10_1-bsi-10082021.pdf - 2021-08-11_1-bsi-11082021.pdf - 2021-08-23_1-bsi-23082021.pdf - 2021-09-10_1-bsi-10092021-mit-anlage.pdf Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/

Sehr << Anrede >> verstehe ich das richtig, dass ich erst meine Daten einem der Verantwortlichen zur Verarbeitung anvertrauen soll, bevor Sie prüfen, ob die Verarbeitung den Stand der Technik erfüllt oder nicht? Ich sehe hier gleich mehrere Probleme: es gibt nach dem OZG 17 Verwaltungsportale und dahinter eine mir unbekannte Anzahl von Verantwortlichen von Bund, Ländern und Gemeinden, die Verwaltungsdienstleistungen erbringen oder erbringen lassen. Und wer dann als Auftragsverarbeiter im Einzelfall und unter Berücksichtigung des "Einer-für-Alle-Prinzips" tatsächlich die Daten verarbeitet - da müsste ich erstmal eine andere Kampange starten um das zu ermitteln. Da sollte es die Aufsicht m.E. leichter haben dem nachzugehen - und Transparenz stelle ich mir anders vor. Auch sind die in meiner Anfrage aufgezählten Einrichtungen nur solche, die aufgrund der Zertifizierung wohl behaupten könnten, sicher zu sein. Ich befürchte dass es noch viele andere Institutionen gibt, die noch keine Zertifizierung haben oder daran scheitern würden. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/

Sehr << Anrede >> ich habe Servicekonten beim Land Baden-Württemberg (Ministerium für Inneres, Digitalisierung und Kommunen Baden-Württemberg) und beim Bund (Bundesministerium des Innern, für Bau und Heimat). Beide sind m.W. nicht in der Liste der zertifizierten Einrichtungen enthalten, erfüllen also möglicherweise noch nicht mal das Standard-Niveau des Grundschutzes. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/

Sehr geehrer Herr Koschatzky, Sie haben richtig verstanden. Aufgrund der Tatsache dass der Grundschutz Verschlüsselung nur als Soll bei hohem Schutzbedarf vorsieht, unterstelle ich, dass alle genannten Unternehmen Verschlüsselung nicht oder nicht konsequent umsetzen - insbesondere NET.1.1.A7 und SYS 1.8 A23 - und damit auch gegen die DSGVO und andere Datenschutzvorschriften verstoßen. Wäre Verschlüsselung konsequent umgesetzt, hätte wohl weder das BSI noch die ggfs. zertifizierte Einrichtung ein Problem damit, hier Farbe zu bekennen. Auch ist anzuzweifeln, dass Verschlüsselung erst bei hohem Schutzbedarf relevant ist, meiner Meinung nach ist das eine Basisanforderung und längst Stand der Technik. Was die Zuständigkeit angeht: m.W. nehmen alle von mir genannten Einrichtungen als Verantwortliche oder Auftragsverarbeiter am Portalverbund teil oder verarbeiten Daten von Bürgern, weil die Daten vom Portalverbund an Fachverfahren von Bund, Ländern, Gemeinden und anderen öffentlichen Einrichtungen weitergeben werden. Insofern halte ich bei allen Einrichtungen zumindest auch öffentlicher Bereich für gegeben. Irrläufer kann ich natürlich nicht ausschließen, von daher wäre ich Ihnen dankbar wenn Sie die Einrichtungen konkret benennen würden, die Sie für rein privat halten. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/

Sehr << Anrede >> aus dem Kontaktfinder würde ich hinsichtlich meiner Datenschutzbeschwerden vermuten, dass Sie sich nur um die Beschwerde gegen das BMI kümmern. Oder auch die gegen das das Land Baden-Württemberg? Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/

Gz. 25-206 II#1228 Sehr << Anrede >> wie Ihnen aus meiner parallelen Anfrage https://fragdenstaat.de/anfrage/orientierungshilfe-emailverschlusselung-sichere-email-beim-bsi/ bekannt ist, unterstützt mein Email-Server die qualifzierte Transportsignatur. Ich halte das für die weitere Kommunikation für ausreichend sicher. Als Adresse nehmen Sie bitte <<E-Mail-Adresse>>. Falls das BfDI keine qualifizierte Transportsignatur verwenden kann, dürfen Sie auch auf die Post ausweichen. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/ Postanschrift Joachim Lindenberg << Adresse entfernt >>

Sehr << Anrede >> bezugnehmend auf https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/#nachricht-636150 - hat sich durch Inkrafttreten des TTDSG am 01.12.2021 und die Tatsache, dass es sich bei den Verwaltungsportalen im weiteren Sinne und das mitenhaltene Postfach im engeren um einen interpersonelle Telekommunikationsdienste im Sinne von §3 Nr. 40 TKG hält, nicht eine Zuständigkeitsänderung erbeben, dass das BfDI für alle Portale zuständig ist? Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/

Sehr geehrte Damen und Herren, abgeschlossen in Hinsicht auf eine Zuständigkeit für alle Verwaltungsportale? Die andere Fragen in dieser Angelegenheit (https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/) sehe ich noch als offen an. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/

Sehr << Anrede >> aufgrund meines Auskunftsersuchens beim BfDI kenne ich inzwischen die Stellungnahme des BSIs vom 20.01.2022 aus Vorgang 25-725/005 II#0610. Da Sie mir die bisher nicht auf mein Vermittlungsersuchen geschickt haben, darf ich vermuten, dass Sie diese Stellungnahme nicht überzeugt hat. Das BSI gibt letztendlich zu, dass die zertifizierten Einrichtungen Schwachstellen haben. Auch behauptet das BSI nicht, dass diese Einrichtungen den Stand der Technik hinsichtlich Sicherheit erfüllen, was in Anbetracht meiner Anfragen beim BSI und meiner Veröffentlichungen auf https://blog.lindenberg.one auch nicht glaubwürdig wäre. Meine Interpretation ist daher, dass diese Einrichtungen - mit Wissen und Duldung des BSIs - insofern sie personenbezogene Daten verarbeiten gegen Artikel 32 DSGVO verstoßen bzw. ggfs. Teil 3 BDSG. Ist das auch Ihr Verständnis? Was gedenkt der BfDI zu unternehmen um Artikel 32 bzw. dem BDSG Geltung zu verschaffen? Mit freundlichen Grüßen Joachim Lindenberg Anhänge: - stellungnahme-bsi-20012022.pdf Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/

Sehr << Anrede >> vielen Dank für Ihr Schreiben vom 19.05.2022. Sie Schreiben auf Seite 2 zu SYS.1.8.A34 "Dies wurde im Rahmen der Risikoanalyse nach IT-Grundschutz Methode berücksichtigt". Sie schreiben nicht, es wird in Speicherlösungen verschlüsselt. Ein Soll im Grundschutz ist halt kein Muss. Dagegen ergibt eine Bedrohungsanalyse eigentlich immer, Verschlüsselung ist Pflicht - s.a. https://blog.lindenberg.one/VerschlusselungPflicht. Bitte klären Sie, ob tatsächlich verschlüsselt wird. Auch auf die Verschlüsselung in nicht öffentlichen Netzen gehen Sie nicht ein. Aus meiner Tätigkeit bei Dataport weiß ich, dass derartige Wahlrechte im Grundschutz gerne in Richtung "unsicher" ausgeübt werden. Ich möchte Sie daher auf meine Veröffentlichung https://blog.lindenberg.one/BeschwerdeDataport und ganz konkret mein Schreiben an den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit in https://blog.lindenberg.one/documents/LD42-26.01722.00/202205211416%20Lindenberg-LfDHH%20M1_1031_2022%20-%20Dataport.eml hinweisen. Auch hat das BSI Ihnen gegenüber bereits zugegeben - https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/#nachricht-678340 - dass eine Zertifizierung nicht bedeutet, dass Sicherheit umgesetzt wurde. Das aber dürfen die betroffenen Bürger meiner Meinung nach vom Staat erwarten. Hilfsweise beantrage ich Akteneinsicht nach §29 Verwaltunsverfahrensgesetz in den Vorgang BfDI 16-206 II#1228 und Ihre Kommunikation mit dem BMI mit aufschiebender Wirkung hinsichtlich Ihrer Entscheidung. Da der BfDI die Akten elektronisch führt, sollte es ein leichtes sein mir eine Kopie zuzusenden, am einfachsten als Antwort auf die Email von FragDenStaat. Vielen Dank und viele Grüße Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/