Sicherheit von Software und Systemen?

Anfrage an: Bundesamt für Sicherheit in der Informationstechnik

Das BSI ist, betreibt oder unterstützt die Allianz für Cybersicherheit – was genau zutrifft erschließt sich mir aus dem Webauftritt nicht wirklich. Am 21.03.2021 habe ich ein Sicherheitsproblem mit einer Praxissoftware an <<E-Mail-Adresse>> gemeldet, in der Hoffnung eine Antwort zu bekommen.
In Deutschland gibt es die DSGVO und die enthält Vorschriften an die sich Verantwortliche und Auftragsverarbeiter halten müssen. Es gibt aber meines Wissens keine Sicherheitsvorschriften für Software- oder Systemlieferanten, und so kann sich ein Anbieter mit mangelhafter Software halten, insbesondere wenn deren Kunden – wie in diesem Fall Psychotherapeuten – typischerweise wenig bis gar keine Kenntnisse auf dem Gebiet der IT-Sicherheit haben.
Nicht dass ich wirklich ein Fan des BSI Grundschutzes wäre, dafür lässt der zu viele Fragen offen, aber hier sehe ich ganz klar CON.8 A8 als nicht erfüllt an.
Bestehen Überlegungen oder Pläne das zu ändern, und eine Zertifizierung von Mindestsicherheitsanforderungen einzuführen? Die könnte vielleicht zu einer Marktbereinigung bei unseriösen – und anders kann ich das nicht nennen – führen. Oder gibt es beim BSI Evaluationen, welche oder wie viele Anbieter hier schludern?

Leider kann ich hier keine Kopie meiner Mail vom 21.03.2021 anhängen, und vielleicht ist das auch gut so um nicht die falschen Personen zu animieren, die Probleme auszunutzen. Wenn Sie diese Mail nicht finden, teilen Sie mir bitte eine Emailadresse mit, an die ich sie nochmal senden soll.

Ergebnis der Anfrage

Mal sehen ob das BMI noch etwas antwortet. Feststellen kann ich immerhin, dass zumindest kleine Unternehmen den Anbietern ausgeliefert sind. Woher soll ein kleines Unternehmen die Expertise haben, zu beurteilen ob die eingesetzten Systeme oder die eingesetzte Software sicher ist. Die Auswahl findet meist über Funktionen statt, die für den Anwender wichtiger sind - und oft auch über den Preis.
Dabei stelle ich immer wieder fest, dass der Stand der Technik ignoriert wird. Aber dazu muss man das Kleingedruckte von Verträgen lesen und Software selbst unter die Lupe nehmen. Wer kann das schon? Und welche Alternativen hat man, wenn man feststellt dass die meisten Auftragsverarbeitungsverträge oder Produktbeschreibungen sehr lückenhaft sind?

Anfrage eingeschlafen

Warte auf Antwort
  • Datum
    1. August 2021
  • Frist
    4. September 2021
  • 0 Follower:innen
  • Anfrage teilen
    Twitter Mastodon Kurzlink kopieren
  • RSS-Feed
Alle einklappen Alle ausklappen Zum Ende
Joachim Lindenberg
Joachim Lindenberg (https://blog.lindenberg.one)
am 01.08.2021
Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu: Das BSI ist, betr…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
Sicherheit von Software und Systemen? [#225951]
Datum
1. August 2021 15:42
An
Bundesamt für Sicherheit in der Informationstechnik
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:
Das BSI ist, betreibt oder unterstützt die Allianz für Cybersicherheit – was genau zutrifft erschließt sich mir aus dem Webauftritt nicht wirklich. Am 21.03.2021 habe ich ein Sicherheitsproblem mit einer Praxissoftware an <<E-Mail-Adresse>> gemeldet, in der Hoffnung eine Antwort zu bekommen. In Deutschland gibt es die DSGVO und die enthält Vorschriften an die sich Verantwortliche und Auftragsverarbeiter halten müssen. Es gibt aber meines Wissens keine Sicherheitsvorschriften für Software- oder Systemlieferanten, und so kann sich ein Anbieter mit mangelhafter Software halten, insbesondere wenn deren Kunden – wie in diesem Fall Psychotherapeuten – typischerweise wenig bis gar keine Kenntnisse auf dem Gebiet der IT-Sicherheit haben. Nicht dass ich wirklich ein Fan des BSI Grundschutzes wäre, dafür lässt der zu viele Fragen offen, aber hier sehe ich ganz klar CON.8 A8 als nicht erfüllt an. Bestehen Überlegungen oder Pläne das zu ändern, und eine Zertifizierung von Mindestsicherheitsanforderungen einzuführen? Die könnte vielleicht zu einer Marktbereinigung bei unseriösen – und anders kann ich das nicht nennen – führen. Oder gibt es beim BSI Evaluationen, welche oder wie viele Anbieter hier schludern? Leider kann ich hier keine Kopie meiner Mail vom 21.03.2021 anhängen, und vielleicht ist das auch gut so um nicht die falschen Personen zu animieren, die Probleme auszunutzen. Wenn Sie diese Mail nicht finden, teilen Sie mir bitte eine Emailadresse mit, an die ich sie nochmal senden soll.
Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfweise Ermäßigung der Gebühren. Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren. Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 225951 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/225951/ Postanschrift Joachim Lindenberg << Adresse entfernt >>
Mit freundlichen Grüßen Joachim Lindenberg (https://blog.lindenberg.one)
Noch keine Kommentare. Please login to write a comment.
Bundesamt für Sicherheit in der Informationstechnik
am 11.08.2021
AW: Sicherheit von Software und Systemen? [#225951]
Details
Von
Bundesamt für Sicherheit in der Informationstechnik
Via
Briefpost
Betreff
AW: Sicherheit von Software und Systemen? [#225951]
Datum
11. August 2021
Status
Warte auf Antwort
bsi-11082021_geschwaerzt.pdf
geschwärzt
1,9 MB
Noch keine Kommentare. Please login to write a comment.
Joachim Lindenberg
Joachim Lindenberg (https://blog.lindenberg.one)
am 11.08.2021
Sehr << Anrede >> auf Empfehlung des BSIs in https://fragdenstaat.de/a/225951 möchte ich anregen, Min…
An Bundesministerium des Innern und für Heimat Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Sicherheit von Software und Systemen? [#225951]
Datum
11. August 2021 15:03
An
Bundesministerium des Innern und für Heimat
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> auf Empfehlung des BSIs in https://fragdenstaat.de/a/225951 möchte ich anregen, Mindestanforderungen und/oder ein Zertifizierung einzuführen. Oder gibt es dazu schon Überlegungen und Pläne? Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 225951 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/225951/
Noch keine Kommentare. Please login to write a comment.
Joachim Lindenberg
Joachim Lindenberg (https://blog.lindenberg.one)
am 11.08.2021
Sehr << Anrede >> ich habe eine entsprechende Frage an das BMI gesendet. Aber Sie können mir bestimmt…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Sicherheit von Software und Systemen? [#225951]
Datum
11. August 2021 15:05
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> ich habe eine entsprechende Frage an das BMI gesendet. Aber Sie können mir bestimmt noch mitteilen, was auf meine Mitteilung vom 21.03.2021 an <<E-Mail-Adresse>> unternommen wurde. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 225951 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/225951/
Noch keine Kommentare. Please login to write a comment.
Bundesamt für Sicherheit in der Informationstechnik
am 12.08.2021
AW: Sicherheit von Software und Systemen? [#225951]
Details
Von
Bundesamt für Sicherheit in der Informationstechnik
Via
Briefpost
Betreff
AW: Sicherheit von Software und Systemen? [#225951]
Datum
12. August 2021
Status
Warte auf Antwort
bsi-12082021_geschwaerzt.pdf
geschwärzt
581,7 KB
Noch keine Kommentare. Please login to write a comment.
Bundesamt für Sicherheit in der Informationstechnik
am 13.08.2021
AW: Erinnerung: Online-Präsentation: Praxissoftware ... vorgestellt beginnt in 1 Tag
Details
Von
Bundesamt für Sicherheit in der Informationstechnik
Via
Briefpost
Betreff
AW: Erinnerung: Online-Präsentation: Praxissoftware ... vorgestellt beginnt in 1 Tag
Datum
13. August 2021
Status
Warte auf Antwort
bsi-13082021_geschwaerzt.pdf
geschwärzt
2,1 MB
Noch keine Kommentare. Please login to write a comment.
Bundesministerium des Innern und für Heimat
am 08.09.2021
Az: GI5-12017/1#1 - Lindenberg, Joachim Sehr geehrter Herr Lindenberg, Ihr Schreiben vom 11. August 2021 an das…
Details
Von
Bundesministerium des Innern und für Heimat
Betreff
210811, Lindenberg, Joachim, Sicherheit von Software und Systemen? [#225951]
Datum
8. September 2021 13:15
Status
Warte auf Antwort
Az: GI5-12017/1#1 - Lindenberg, Joachim Sehr geehrter Herr Lindenberg, Ihr Schreiben vom 11. August 2021 an das Bundesministerium des Innern, für Bau und Heimat (BMI), mit dem Sie zum Thema *Sicherheit von Software und Systemen* um Auskunft nach dem Informationsfreiheitsgesetz (IFG) bitten, wurde eingehend in unserem Haus geprüft. Der Sache nach handelt es sich nicht um einen formellen Antrag nach dem IFG, sondern um ein allgemeines Auskunftsverlangen. In Rücksprache mit dem zuständigen Fachreferat kann ich Ihnen auf Ihre Frage,  ob es Pläne zu Einführung von Mindestanforderungen und Zertifizierungsverpflichtungen gibt, folgende Hinweise übermitteln: Generell sind hohe IT-Sicherheitseigenschaften von Produkten und Software ein wichtiges Anliegen, welches auch das BMI und BSI schon länger beschäftigt. Um das Cybersicherheitsniveau von Produkten, worunter auch Software verstanden werden kann, insgesamt zu erhöhen, appellieren wir seit geraumer Zeit, dass Hersteller und Entwickler sich an dem Security-by-Design Prinzip ausrichten sollten. Eine verpflichtende Vorgabe zur Einhaltung von bestimmten Mindestanforderungen kann jedoch nur auf europäischer Ebene herbeigeführt werden. Um darauf aufmerksam zu machen und entsprechende Prozesse in der Europäischen Union anzustoßen, haben wir unter der deutschen EU-Ratspräsidentschaft im zweiten Halbjahr des Jahres 2020 Ratsschlussfolgerungen zur Diskussion gestellt und erfolgreich verhandelt. Diese Ratsschlussfolgerungen wurden am 2.12.2020 von den Mitgliedsstaaten der EU angenommen. Nähere Informationen finden Sie unter: https://www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2020/12/cybersicherheit.html Wir sind zuversichtlich, dass die Europäische Kommission diesen Vorschlag aufgreift und einen entsprechenden Rechtsakt für eine einheitliche Vorgabe von verbindlichen Cybersicherheitsanforderungen an Produkte ausarbeitet und vorschlägt. So hat die Europäische Kommission dieses Ziel bereits in ihrer aktuellen EU-Cybersicherheitsstrategie aufgegriffen. Darüber hinaus bereiten wir auf nationaler Ebene die Einführung des IT-Sicherheitskennzeichens vor. Dieses richtet sich in erster Linie an Verbraucherinnen und Verbraucher und soll auf Grundlage einer Herstellererklärung darüber informieren, welche Sicherheitseigenschaften ein Produkt aufweist. Die Verwendung des IT-Sicherheitskennzeichens ist aufgrund der oben dargestellten Gründe freiwillig und vom Hersteller zu beantragen. Ziel ist es, mit diesem IT-Sicherheitskennzeichen ein transparentes Informationsangebot für Verbraucherinnen und Verbraucher zu schaffen. Weitere Informationen finden Sie dazu unter: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/it-sicherheitskennzeichen_node.html Ich hoffe, diese Informationen sind für Sie hilfreich und wünsche Ihnen alles Gute! Mit freundlichen Grüßen
Noch keine Kommentare. Please login to write a comment.
Joachim Lindenberg
Joachim Lindenberg (https://blog.lindenberg.one)
am 11.09.2021
Sehr geehrte Damen und Herren, Ihr Hinweis auf das Zertifizierungsprogramm des BSIs überzeugt mich nicht. Zum ein…
An Bundesministerium des Innern und für Heimat Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: 210811, Lindenberg, Joachim, Sicherheit von Software und Systemen? [#225951]
Datum
11. September 2021 12:16
An
Bundesministerium des Innern und für Heimat
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, Ihr Hinweis auf das Zertifizierungsprogramm des BSIs überzeugt mich nicht. Zum einen weil es sich ausdrücklich an Verbraucher richtet und nicht an Unternehmen oder Freiberufler, und daher nicht zu erwarten ist, dass im eingangs geschilderten Fall der mangelhaften Praxissoftware Anforderungen definiert werden oder eine Zertifizierungen stattfinden. Zum anderen existieren im Moment nur zwei Produktklassen die zertifiziert werden können, Breitbandrouter und Emaildienste. In beiden zugrundeliegenden technischen Richtlinien finden sich meiner Meinung nach sowohl unzureichende als auch fragwürdige Anforderungen. Wenn ich die Zeit dafür finde werde ich vielleicht entsprechende Anfragen einreichen. Für Software kann ich Starthilfe leisten. Ich habe die Anforderungen mit denen ich selbst arbeite auf https://blog.lindenberg.one/Sicherheitsanforderungen veröffentlicht. Die sind sicherlich nicht perfekt, aber schon mit diesen Anforderungen haben viele Unternehmen Probleme in der Umsetzung. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 225951 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/225951/
Noch keine Kommentare. Please login to write a comment.

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Joachim Lindenberg
Joachim Lindenberg (https://blog.lindenberg.one)
am 04.02.2022
Sehr geehrte Damen und Herren, in Bundestagsdrucksache 20/449 (https://dserver.bundestag.de/btd/20/004/2000449.pd…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: 210811, Lindenberg, Joachim, Sicherheit von Software und Systemen? [#225951]
Datum
4. Februar 2022 15:30
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, in Bundestagsdrucksache 20/449 (https://dserver.bundestag.de/btd/20/004/2000449.pdf) schreibt die Bundesregierung: "In diesem Sinne wirkt das BSI als Cyber-Sicherheitsbehörde des Bundes gemäß seinem aus § 3 Absatz 1 des BSI-Gesetzes (BSIG) hervorgehenden gesetzlichen Auftrag darauf hin, sämtliche Sicherheitslücken umgehend und im vertrauensvollen Austausch mit den Herstellern zu schließen. ... Das BSI bietet Sicherheitsforschenden die Möglichkeit, über ein Schwachstellenmeldeformular (auch anonym) Schwachstellen zu melden, um dadurch einen CVD-Prozess einzuleiten (www.bsi.bund.de/DE/IT-Sicherheitsvorfall/IT-Schwachstellen/Online_Meldung_Schwachstellen/schwachstellenmeldung_node.html;jsessionid=577C172259A8A46E48C3BE0AD41B9045.internet481)." Nun habe ich das Formular bisher nicht gekannt und daher nicht benutzt, aber dennoch per Email und Anfrage (https://fragdenstaat.de/anfrage/sicherheit-von-software-und-systemen/) Schwachstellen benannt. Hat das BSI einen CVD eingeleitet oder - wie die bisherige Antwort schließen lässt - sich im Gegensatz zur Bundesregierung nicht für zuständig gehalten? Oder nur deswegen nicht bearbeitet, weil ich nicht das richtige Formular benutzt habe? Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 225951 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/225951/
Noch keine Kommentare. Please login to write a comment.