Elster-Zertifizierung nach ISO 27001

Anfrage an:
Bundesamt für Sicherheit in der Informationstechnik
Verwendete Gesetze:
Status dieser Anfrage:
Anfrage abgelehnt
Verweigerungsgrund
§ 3.2: das Bekanntwerden der Information kann die öffentliche Sicherheit gefährden
Zusammenfassung der Anfrage

die Prüfberichte, die zur Erteilung einer Zertifizierung von Elster.de nach ISO 27001 geführt haben.

Hintergrund: Auf elster.de wird unten mit einem Zertifikat des BSI mit dem Text "ISO 27001 Sicherheit im Verfahren ELSTER" geworben. Der Verweis führt auf eine Erklärung, das damit die Zertifizierung eines IT-Grundschutzes gemeint ist. Ein Prüfbericht findet sich dort nicht. Ich würde gerne in Erfahrung bringen, was und wie dort genau geprüft wurde und was das Ergebnis war.


Korrespondenz

Von
<< Anfragesteller/in >>
Betreff
Elster-Zertifizierung nach ISO 27001 [#25965]
Datum
7. Januar 2018 13:22
An
Bundesamt für Sicherheit in der Informationstechnik
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.

Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:
die Prüfberichte, die zur Erteilung einer Zertifizierung von Elster.de nach ISO 27001 geführt haben. Hintergrund: Auf elster.de wird unten mit einem Zertifikat des BSI mit dem Text "ISO 27001 Sicherheit im Verfahren ELSTER" geworben. Der Verweis führt auf eine Erklärung, das damit die Zertifizierung eines IT-Grundschutzes gemeint ist. Ein Prüfbericht findet sich dort nicht. Ich würde gerne in Erfahrung bringen, was und wie dort genau geprüft wurde und was das Ergebnis war.
Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Ausschlussgründe liegen meines Erachtens nicht vor. Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich Sie, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich bitte Sie um eine Antwort in elektronischer Form (E-Mail) gemäß § 8 EGovG. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen, Antragsteller/in Antragsteller/in <<E-Mail-Adresse>>
Mit freundlichen Grüßen << Anfragesteller/in >>
Von
Bundesamt für Sicherheit in der Informationstechnik
Betreff
B21-010 03 05/2018-001 Ihre IFG-Anfrage Elster-Zertifizierung nach ISO 27001
Datum
10. Januar 2018 11:52
Status
Warte auf Antwort

Sehr geehrtAntragsteller/in leider wurde Ihre Postanschrift nicht mit dem von Ihnen gestellten IFG-Antrag weitergeleitet. Diese ist für die weitere Bearbeitung Ihrer Anfrage erforderlich. Ich bitte Sie daher, mir unter Angabe des obigen Aktenzeichens Ihre Postanschrift mitzuteilen und - sofern Sie die erbetene Auskunft auf elektronischem Wege wünschen - mir darüber hinaus auch eine persönliche E-Mail Adresse zur Verfügung zu stellen. Sie können die Angaben zur Vereinfachung des Verfahrens auch gerne direkt an die E-Mail Adresse <<E-Mail-Adresse>> senden. "FragdenStaat.de" kann nicht als E-Mail Provider angesehen werden, da die Zielsetzung nicht primär auf die Erbringung von E-Mail Dienstleistungen gerichtet ist. Zudem werden über das Internetportal übermittelte IFG-Anfragen in beiden Richtungen automatisiert inhaltlich verändert (z.B. durch das Weglassen von Namen, Anreden und Adressen). Bei der Beantwortung eines IFG-Antrages handelt es sich um einen Verwaltungsakt. Gemäß § 41 Abs. 1 Satz 1 Verwaltungsverfahrensgesetz ist ein Verwaltungsakt demjenigen bekanntzugeben, für den er bestimmt ist. Der Zeitpunkt der Bekanntgabe setzt eine Rechtsbehelfsfrist in Gang. Die Bekanntgabe an Sie persönlich ist bei einer Übermittlung an die angegebene E-Mail Adresse der Internetseite nicht sichergestellt. Darüber hinaus ist der Zeitpunkt der Bekanntgabe für die Behörde nicht erkennbar. Eine Beantwortung Ihres Informationsersuchens kann deshalb nur in Schriftform an Ihre Postanschrift erfolgen, sofern Sie mir darüber hinaus keine persönliche E-Mail Adresse mitteilen. Mit freundlichen Grüßen
Von
<< Anfragesteller/in >>
Betreff
AW: B21-010 03 05/2018-001 Ihre IFG-Anfrage Elster-Zertifizierung nach ISO 27001 [#25965]
Datum
10. Januar 2018 12:15
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.

Sehr geehrte Damen und Herren, Eine Postanschrift wird nur für einen Gebührenbescheid benötigt. Auf fragdenstaat.de finden sich bereits unzählige Anfragen, die ohne Postanschrift beantwortet wurden. Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 25965 Antwort an: <<E-Mail-Adresse>> Postanschrift Antragsteller/in Antragsteller/in
Von
Bundesamt für Sicherheit in der Informationstechnik
Betreff
Ihre IFG-Anfrage
Datum
26. Januar 2018 13:52
Status
Warte auf Antwort
Anhänge

Sehr geehrtAntragsteller/in anbei übersende ich Ihnen meinen Bescheid vom heutigen Tagen nebst Anlage. Mit freundlichen Grüßen
Am 26. Januar 2018 15:53:

Würde mich sehr freuen, wenn der Bescheid online gestellt werden könnte.

Anfragesteller/in schrieb am 27. Januar 2018 10:00:

Bin leider vom Schwärzen abgehalten worden. :-) Ich hoffe, ich habe es richtig hinbekommen und weder zu viel noch zu …

Bin leider vom Schwärzen abgehalten worden. :-) Ich hoffe, ich habe es richtig hinbekommen und weder zu viel noch zu wenig geschwärzt. Ich habe übrigens noch drei weitere Anfragen zu ELSTER laufen:
https://fragdenstaat.de/anfrage/zertifi…
https://fragdenstaat.de/anfrage/spareff…
https://fragdenstaat.de/anfrage/barrier…

Von
<< Anfragesteller/in >>
Betreff
Vermittlung bei Anfrage „Elster-Zertifizierung nach ISO 27001“ [#25965]
Datum
26. Januar 2018 17:58
An
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Status
E-Mail wurde erfolgreich versendet.

Sehr geehrte Damen und Herren, ich bitte um Vermittlung bei einer Anfrage nach dem Informationsfreiheitsgesetz Bund (IFG). Die bisherige Korrespondenz finden Sie hier: https://fragdenstaat.de/a/25965 Ich bin der Meinung, das die Anfrage zu Unrecht abgelehnt wurde. Unternehmer sind seit 2005 gesetzlich dazu gezwungen, ELSTER für die Abgabe von Umsatzsteuervoranmeldungen und -erklärungen zu verwenden. ELSTER muss daher lückenlos aktuelle Sicherheitsanforderungen erfüllen. Das BSI begründet die Ablehnung meiner Anfrage mit einem "Security by Obscurity"-Ansatz in der Implementierung von ELSTER. Sicherheit kann aber nicht darüber hergestellt werden, dass die Systeme geheimgehalten werden, sie kann nur über die Geheimhaltung von Zugangsdaten hergestellt werden (Kerckhoffs-Prinzip). Eine Geheimhaltung der ELSTER-Architektur muss deshalb als grobes Sicherheitsrisiko angesehen werden, welches einen Zwang zur Benutzung von ELSTER verbieten würde. Nach 12 Jahren ELSTER-Zwang sollte ELSTER jetzt langsam auf dem aktuellen Stand der Sicherheitstechnik ankommen. Sie finden auch alle Dokumente zu dieser Anfrage als Anhang zu dieser E-Mail. Sie dürfen meinen Namen gegenüber der Behörde nennen. Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 25965 Antwort an: <<E-Mail-Adresse>>
Anfragesteller/in schrieb am 27. Januar 2018 09:56:

Hm, wenn ich heute mein Vermittlungsgesuch lese, denke ich mir, dass es missverstanden werden könnte. Das BSI spricht nicht selbst …

Hm, wenn ich heute mein Vermittlungsgesuch lese, denke ich mir, dass es missverstanden werden könnte. Das BSI spricht nicht selbst von einem "Security by Obscurity"-Ansatz, aber der Umstand, dass uns das Amt nicht in die Prüfberichte schauen lassen will, bedeutet ja, dass wir keine Einblicke in die zertifizierte Technik bekommen sollen und dass dadurch anscheinend Sicherheit hergestellt werden soll.

Von
<< Anfragesteller/in >>
Betreff
AW: Vermittlung bei Anfrage „Elster-Zertifizierung nach ISO 27001“ [#25965]
Datum
29. Januar 2018 11:21
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.

Sehr geehrt<< Anrede >> Vielen Dank für Ihren Überblick zum Umfang der Prüfung nach ISO 27001 und für den Zertifikatstext. Ich habe dennoch einen Vermittler angerufen, um auch an die Prüfberichte selbst zu gelangen. Sie schreiben, dass diese Dokumente vertraulich behandelt werden müssten, was meiner Meinung nach einem "Security through Obscurity"-Ansatz entspricht, der seit weit mehr als 100 Jahren als überholt gelten muss. Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 25965 Antwort an: <<E-Mail-Adresse>> Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >>
Von
Bundesamt für Sicherheit in der Informationstechnik
Betreff
AW: Vermittlung bei Anfrage „Elster-Zertifizierung nach ISO 27001“ [#25965]
Datum
30. Januar 2018 13:18
Status
Warte auf Antwort

Sehr geehrtAntragsteller/in bezugnehmend auf Ihre E-Mail vom 29.01.2018 möchte ich Ihnen gerne eine kurze Erläuterung zu meinem Bescheid vom 26.01.2018 geben: Der Verweigerungstatbestand des § 3 Nr. 7 IFG betrifft nicht das Sicherheitskonzept als solches, sondern die Tatsache, dass die Informationen durch Dritte freiwillig übermittelt wurden. Es geht hier um den Schutz der Verfahrensbeteiligten und nicht um "Security by Obscurity". Neben Ihrer Vermittlungsanfrage steht es Ihnen frei, die entsprechenden Informationen direkt beim betroffenen Bayerischen Landesamt für Steuern zu erfragen. Mit freundlichen Grüßen
Von
<< Anfragesteller/in >>
Betreff
AW: Vermittlung bei Anfrage „Elster-Zertifizierung nach ISO 27001“ [#25965]
Datum
30. Januar 2018 14:06
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.

Sehr geehrt<< Anrede >> Vielen Dank für Ihre Erläuterungen! Andere Anfragen in Sachen ELSTER an das Bayerische Landesamt für Steuern wurden bereits abgelehnt, weil es in Bayern kein Informationsfreiheitsgesetz gibt. Da die von mir begehrten Informationen anscheinend beim BSI vorliegen, unterfallen sie dort auch dem Informationsfreiheitsgesetz. Was muss ich tun, um eine Herausgabe zu erreichen? Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 25965 Antwort an: <<E-Mail-Adresse>> Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >>
Von
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Betreff
Vermittlung bei Anfrage »Elster-Zertifizierung nach ISO 27001« [#25965] # 15-725/005 II#0378
Datum
2. Februar 2018 12:39
Status
Warte auf Antwort
Anhänge
5330_2018_…aerzt.pdf 5330_2018_geschwaerzt.pdf   271,0 KB öffentlich geschwärzt

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Az. 15-725/005 II#0378 Sehr geehrtAntragsteller/in anliegendes Schreiben erhalten Sie zur Information. Mit freundlichen Grüßen
Von
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Betreff
AW: Vermittlung bei Anfrage „Elster-Zertifizierung nach ISO 27001“ [#25965]
Datum
23. Februar 2018 17:17
Status
Warte auf Antwort

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Geschäftszeichen: 15-725/005 II#0378 Sehr geehrtAntragsteller/in das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mir in Ihrem Verfahren eine Stellungnahme zukommen lassen. Zu dieser Stellungnahme habe ich noch eine Nachfrage an das BSI gerichtet, so dass sich meine abschließende Bewertung noch etwas verzögern wird. Mit freundlichen Grüßen
Von
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Betreff
Vermittlung bei Anfrage ?Elster-Zertifizierung nach ISO 27001? [#25965] - unser Zeichen: 15-725/005 II#0378 21651/2018
Datum
3. Mai 2018 16:01
Status
Warte auf Antwort

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Geschäftszeichen: 15-725/005 II#0378 Sehr geehrtAntragsteller/in das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mir nach erneuter Prüfung Ihres IFG-Antrags mitgeteilt, dass der Informationszugang wegen des entgegenstehenden Ausschlusgrundes des § 3 Nr. 2 IFG abzulehnen sei. Die im von Ihnen erbetenen Bericht enthaltenen Informationen seien dazu geeignet einen möglichen Angriff auf den ELSTER-Informationsverbund zu erleichtern und somit die Integrität und Verfügbarkeit des Systems zu gefährden. Aufgrund der mir übermittelten Übersicht zum Ablauf und Umfang des Zertifizierungsverfahrens scheint mir das Vorliegen dieses Ausschlussgrundes plausibel, so dass die Ablehnung Ihres IFG-Antrags im Ergebnis nicht zu beanstanden ist. Mit freundlichen Grüßen
Von
<< Anfragesteller/in >>
Betreff
AW: Vermittlung bei Anfrage ?Elster-Zertifizierung nach ISO 27001? [#25965] - unser Zeichen: 15-725/005 II#0378 21651/2018 [#25965]
Datum
4. Mai 2018 11:20
An
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Status
E-Mail wurde erfolgreich versendet.

Sehr geehrt<< Anrede >> Ich kann mir nicht vorstellen, dass die Veröffentlichung auch nur einer Zeile aus dem Bericht zur ISO-27001-Zertifizierung bereits die Sicherheit des Betriebes von ELSTER gefährdet. Das BSI hat die Möglichkeit, bedenkliche Stellen zu schwärzen. Haben Sie mit dem BSI über die Möglichkeit von Schwärzungen gesprochen? Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 25965 Antwort an: <<E-Mail-Adresse>> Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >>

Unterstützen Sie unsere Arbeit!

Mit Ihrer Spende halten Sie die Plattform am Laufen, ermöglichen neue Features sowie Support vom FragDenStaat-Team. Kämpfen Sie mit uns für mehr Transparenz in Politik und Verwaltung!

Jetzt spenden

Von
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Betreff
Vermittlung bei Anfrage ?Elster-Zertifizierung nach ISO 27001? [#25965] # 15-725/005 II#0378
Datum
8. Mai 2018 10:50
Status
Anfrage abgeschlossen
Anhänge

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Geschäftszeichen: 15-725/005 II#0378 Sehr geehrtAntragsteller/in beigefügtes Schreiben übersende ich Ihnen zur Kenntnis. Mit freundlichen Grüßen
Moderator Am 8. Mai 2018 11:03:

Was für eine seltsame Haltung der IFG-Beauftragten.

Anfragesteller/in schrieb am 8. Mai 2018 21:30:

Tja, und nun?