Auf Mastodon teilen

Antrag nach dem IFG M-V, LUIG, VIG – (vorab per E-Mail, parallel per Fax) Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:

Sehr geehrte Frau Maier, in der o. g. Angelegenheit bestätige ich Ihnen den Eingang Ihrer E-Mail v. 11. August 2021. Nach Abschluss der Prüfung Ihres Anliegens komme ich unaufgefordert auf Sie zurück. Mit freundlichen Grüßen

Sehr geehrte Frau Maier, beigefügtes Schreiben übersende ich Ihnen vorab per E-Mail. Für Rückfragen stehe ich Ihnen gerne zur Verfügung. Mit freundlichen Grüßen

Sehr geehrte Frau Maier, der beigefügte Bescheid konnte leider postalisch an die angegebene Adresse im Bescheid nicht zugestellt werden. Könnten Sie mir bitte mitteilen, ob sich ggf. Ihre Adresse geändert hat. Mit freundlichen Grüßen

Sehr geehrte Frau Maier, vielen Dank für Ihre Nachricht. Der an Sie adressierte Bescheid vom 13. September 2021 wurde durch die Post wieder zurückgesandt: „Adressat unter der angegebenen Adresse nicht zu ermitteln“. Der Bescheid war adressiert an: "Frau Veronika Maier, << Adresse entfernt >>". Dies vorausgeschickt, bitte ich um Benennung einer zustellfähigen Anschrift. Ihre Fragen vom 13. September 2021 werden geprüft. Hier erhalten Sie nach Abschluss der Prüfung eine Rückmeldung. Mit freundlichen Grüßen

Sehr geehrte Frau Maier, ich komme zurück auf Ihre Nachfragen zum Bescheid vom 13. September 2021, die ich wie folgt beantworte: "Können Sie mir bitte eine Kopie der von Ihnen referenzierten Mindestanforderungen schicken? Ich war selbst leider nicht in der Lage diese zu finden." Die öffentlich abrufbaren Dokumente habe ich gerne für Sie zusammengestellt. Sie finden Teil 1(zip001) anbei; Teil 2(zip002) folgt umgehend per E-Mail. "Der BSI Grundschutz erlaubt so viele (Ab)Wahlmöglichkeiten und Interpretationen, dass insbesondere in der Softwareentwicklung damit kein konsistentes Sicherheits- und Datenschutzniveau gewährleistet werden kann. So schreiben Sie auch, es sei nach CON.2 verfahren worden. Warum wurde nicht ein Maßnahmenkatalog nach Standard-Datenschutzmodell erstellt?" Diese Aussage ist durch den "neuen" IT-Grundschutz, insbesondere durch die Formulierungen mit den Verben MÜSSEN und SOLLEN in den Anforderungen auf Basis des festgestellten Schutzbedarfs im IT-Grundschutz-Kompendium obsolet: Im IT-Grundschutz-Kompendium werden standardisierte (Sicherheits-) Anforderungen für typische Geschäftsprozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen und Räume in IT-Grundschutz-Bausteinen beschrieben. Diese IT-Grundschutz-Bausteine bilden den "Stand der Technik" ab, basierend auf der Bedrohungslage und den Erkenntnissen zum Zeitpunkt der Veröffentlichung. Des Weiteren beschreiben die Anforderungen, was generell umzusetzen ist, um mit geeigneten Sicherheitsmaßnahmen den "Stand der Technik" zu erreichen. Die im IT-Grundschutz-Kompendium aufgeführten Anforderungen sollten erfüllt werden, um ein angemessenes Sicherheitsniveau zu erreichen. Die Anforderungen sind in Basis- und Standard-Anforderungen sowie Anforderungen für erhöhten Schutzbedarf unterteilt. Die Basis-Anforderungen - formuliert mit MÜSSEN - stellen das Minimum, die Mindestanforderungen bzw. das Mindestsicherheitsniveau dessen dar, was an Sicherheitsvorkehrungen bzw. -maßnahmen umzusetzen ist. Das IT-Grundschutz-Kompendium, Edition 2021 enthält bspw. den Baustein CON.10 "Entwicklung von Webanwendungen". Ziel dieses Bausteins ist es, sichere Webanwendungen zu entwickeln sowie Informationen zu schützen, die durch eine Webanwendung verarbeitet werden. In diesem Kontext definiert dieser Baustein insgesamt 18 (Sicherheits-) Anforderungen, wobei zehn dieser Anforderungen "Basis-Anforderungen" sind, die zwingend umzusetzen sind. Beispiel: CON.10.A9 Schutz vor SQL-Injection (B) Falls Daten an ein Datenbankmanagementsystem (DBMS) weitergeleitet werden, MÜSSEN die Entwickler Stored Procedures bzw. Prepared SQL Statements einsetzen. Falls Daten an ein DMBS weitergeleitet werden und weder Stored Procedures noch Prepared SQL Statements von der Einsatzumgebung unterstützt werden, MÜSSEN die SQL-Queries separat abgesichert werden. "Ihr Argument, dass eine Veröffentlichung die öffentliche Sicherheit gefährden könnte, kann ich nicht nachvollziehen. Üblicherweise stehen in Sicherheitskonzepten keine Betriebsgeheimnisse oder nur dann, wenn kein angemessenes Schutzniveau erreicht werden konnte. Insofern muss ich aus Ihrer Ablehnung die TOMs zu veröffentlichen schließen, das kein angemessenes Schutzniveau erreicht wird. Bitte überzeugen Sie mich und alle Bürger vom Gegenteil." Unabhängig vom Vorliegen etwaig bestehender Betriebsgeheimnisse in diesem Fall, die im Rahmen eines Beteiligungsverfahrens zu prüfen wären, sind hier jedenfalls - wie im Bescheid ausgeführt - die Ablehnungsgründe nach §§ 5 Nr. 1, 6 Abs. 4 IFG M-V einschlägig. Wie ebenfalls bereits ausgeführt, gefährdet die Veröffentlichung von Informationen der IT-Landschaft die Sicherheit. Mit freundlichen Grüßen

Sehr geehrte Frau Maier, wie soeben angekündigt, erhalten Sie anbei Teil 2(zip002). Mit freundlichen Grüßen

Sehr geehrte Frau Maier, für Ihre Anfrage vom 16.10.2021 mit der darin verbundenen Bitte um Vermittlung bei der an das Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern (EM M-V) gestellten Anfrage „Sicherheit des Bürgerportals“ (#226639) danke ich Ihnen. Nach Durchsicht der Unterlagen, die Sie mir dankenswerterweise übersandten, konnte ich hinsichtlich Ihres Ersuchens auf Übermittlung der technischen und organisatorischen Maßnahmen, welche das vorgenannte Ministerium mit Auftragsverarbeitern im Bereich des Bürgerportals/OZG vertraglich vereinbart hat oder welche technischen und organisatorischen Maßnahmen von dort selbst vorgesehen werden, kein Fehlverhalten des EM M-V feststellen. Mit Bescheid vom 13.09.2021 erhielten Sie einen - gesehen auf das Datum Ihrer Antragstellung - fristgerechten Bescheid, mit dem Ihnen zumindest ein Teilzugang i.S.d. § 11 Abs. 3 IFG M-V gewährt wurde. Bezüglich der Frage der o.g. technischen und organisatorischen Maßnahmen wird darauf verwiesen, dass diese im Sicherheit-und Datenschutzkonzept hinterlegt sind. Ein Zugang zu diesen Informationen wird unter Hinweis auf die Bestimmungen der §§ 5 Nr. 1 sowie 6 Abs. 4 IFG M-V abgelehnt. Aus meiner Sicht ist gegen diese Ablehnung nichts einzuwenden, wogegen ich als maßgeblichen Ablehnungsgrund die Regelungen des § 5 Nr. 1 FG MV und den darin enthaltenen Sicherheitsaspekten halte. Konkret ist nach dieser Vorschrift ein Antrag auf Informationszugang abzulehnen, soweit und solange das Bekanntwerden der Informationen dem Wohl des Landes, den inter-und supranationalen Beziehungen, die Beziehungen zum Bund oder zu einem Land schwerwiegende Nachteile bereiten oder die Landesverteidigung oder die innere Sicherheit schädigen würde. Das infrage stehende Konzept beinhaltet Informationen, die die IT-Infrastruktur und damit zusammenhängende sicherheitsrelevante Aspekte enthalten. Ein Offenlegen derartiger Informationen könnte zur Folge haben, dass beispielsweise gezielte Angriffe auf diese Infrastruktur möglich wären (Cyber-Angriffe). Von daher unterstütze ich die in diesem Punkt durch das EM M-V vorgenommene Ablehnung der von Ihnen begehrten Offenlegung der technischen und organisatorischen Maßnahmen. Aus dem betr. Bescheid des EM M-V vom 13.09.2021 geht m. E. jedoch nicht hervor, inwieweit Ihnen gegebenenfalls Zugang zu den ebenso begehrten Informationen hinsichtlich möglicher Audits bzw. der Auftragsverarbeitungsverträge gegeben werden kann. Sollten auch diese Unterlagen geheimhaltungswürdige Informationen im Sinne der §§ 5-8 IFG M-V enthalten, wäre auch hier zumindest Teilzugang (siehe oben) zu prüfen resp. zu gewähren. Sofern Sie es wünschen, würde ich mich zumindest zu diesen Punkten mit dem EM M-V in Verbindung setzen und zwecks außergerichtlicher Überprüfung des Sachverhalts entsprechend um Stellungnahme bitten. Insofern bitte ich Sie um eine entsprechende Mitteilung. Mit freundlichen Grüßen