Passwortbeschränkung und Sicherheitsstandards im Online-Portal OLAF des Bundesamts für Justiz

Anfrage an: Bundesamt für Justiz

Antrag nach dem IFG/UIG/VIG

Guten Tag,

ich bitte um Auskunft zur aktuellen Passwortbeschränkung auf maximal 20 Zeichen im Online-Portal OLAF. Diese Limitierung wirft Fragen bezüglich der Anpassung an aktuelle Sicherheitsstandards auf. Konkret interessieren mich folgende Punkte:

1. Warum wurde eine Beschränkung auf 20 Zeichen festgelegt und gibt es Überlegungen, diese Beschränkung zu überarbeiten, um längere Passwörter zu erlauben, die häufig als sicherer gelten?

2. Wird eine Zwei-Faktor-Authentifizierung als Teil der aktuellen Sicherheitsstandards in Erwägung gezogen, um die Sicherheit der Nutzerdaten weiter zu erhöhen?

3. Entspricht ein auf 20 Zeichen beschränktes Passwort den gesetzlichen und ethischen Anforderungen eines Bundesamts für Justiz, insbesondere im Hinblick auf den maximal möglichen Schutz personenbezogener Daten?

Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind.

Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfsweise Ermäßigung der Gebühren.

Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren.

Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung.

Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe!

Mit freundlichen Grüßen

Ergebnis der Anfrage

Anfrage zu Passwortbeschränkungen und Sicherheitsstandards im Online-Portal OLAF

In meiner Anfrage an das Bundesamt für Justiz erkundigte ich mich nach der aktuellen Beschränkung der Passwortlänge auf maximal 20 Zeichen im Online-Portal OLAF, den Überlegungen zur Anpassung an aktuelle Sicherheitsstandards, der Möglichkeit einer Zwei-Faktor-Authentifizierung und der Übereinstimmung mit gesetzlichen und ethischen Anforderungen zum Schutz personenbezogener Daten.

Antwort des Bundesamts für Justiz:

Passwortlänge:
Die aktuelle Beschränkung basiert auf Überlegungen, die über zehn Jahre alt sind. Es gibt Pläne, die Passwortlänge zu erweitern, möglicherweise im Rahmen des Projekts "Digitales Führungszeugnis", durch Integration mit der Bund-ID, welche Passwortlängen bis zu 50 Zeichen ermöglicht.

Zwei-Faktor-Authentifizierung:
Mit der Einführung der Bund-ID wäre eine starke Zwei-Faktor-Authentifizierung möglich, die die Online-Ausweisfunktion nutzt.

Gesetzliche und ethische Anforderungen:
Es besteht derzeit keine gesetzliche Verpflichtung für längere Passwörter, aber ein Passwort mit 20 Zeichen gilt als sicher. Das Bundesamt strebt dennoch eine Erweiterung der Passwortlänge an, um den maximalen Schutz personenbezogener Daten zu gewährleisten.

Die Antwort zeigt eine Offenheit für moderne Sicherheitsstandards und die Absicht, das Sicherheitsniveau für Nutzerdaten zu erhöhen.

Abschließend lässt sich feststellen, dass die Behörde, nach meiner Einschätzung, nicht auf dem aktuellen Stand der Technik und Sicherheitsstandards zu sein scheint. Dies stellt ein Risiko dar, da das ständige Hinterherlaufen hinter aktuellen Bedrohungsvektoren eine gefährliche Position ist. Von einer Behörde, insbesondere im Justizbereich, würde ich mir eine stärkere Aktualität und eine Vorbildfunktion in Sachen IT-Sicherheit erwarten.

Anfrage erfolgreich

Datum

5. Januar 2024
Frist

7. Februar 2024
Ein:e Follower:in

Erhalten Sie Benachrichtigungen per E-Mail

Sie erhalten per E-Mail Benachrichtigungen, sobald etwas bei dieser Anfrage passiert. Sie können die Benachrichtigungen jederzeit abbestellen.

Wenn Sie etwas hier eingeben, dann wird die Aktion nicht durchgeführt.

Was ist drei plus vier?

Bitte beantworten Sie diese Frage, um einen Beleg zu liefern, dass Sie ein Mensch sind.

Ihre E-Mail-Adresse

Newsletter

Ja, ich möchte den Newsletter zum Thema Informationsfreiheit erhalten!
Nein, ich möchte keinen Newsletter.
Anfrage teilen

Twitter Mastodon

Auf Mastodon teilen

Bitte geben Sie die Domain Ihrer Mastodon-Instanz ein.

https://

Kurzlink kopieren
RSS-Feed

Korrespondenz 2

Alle einklappen Alle ausklappen Zum Ende

<< Anfragesteller:in >>

am 5. Jan.

Antrag nach dem IFG/UIG/VIG Guten Tag, ich bitte um Auskunft zur aktuellen Passwortbeschränkung auf maximal 20 Z…

An Bundesamt für Justiz Details

Von: << Anfragesteller:in >>
Betreff: Passwortbeschränkung und Sicherheitsstandards im Online-Portal OLAF des Bundesamts für Justiz [#296362]
Datum: 5. Januar 2024 18:21
An: Bundesamt für Justiz
Status: Warte auf Antwort — E-Mail wurde erfolgreich versendet.

Antrag nach dem IFG/UIG/VIG

Guten Tag,

ich bitte um Auskunft zur aktuellen Passwortbeschränkung auf maximal 20 Zeichen im Online-Portal OLAF. Diese Limitierung wirft Fragen bezüglich der Anpassung an aktuelle Sicherheitsstandards auf. Konkret interessieren mich folgende Punkte:

1. Warum wurde eine Beschränkung auf 20 Zeichen festgelegt und gibt es Überlegungen, diese Beschränkung zu überarbeiten, um längere Passwörter zu erlauben, die häufig als sicherer gelten?

2. Wird eine Zwei-Faktor-Authentifizierung als Teil der aktuellen Sicherheitsstandards in Erwägung gezogen, um die Sicherheit der Nutzerdaten weiter zu erhöhen?

3. Entspricht ein auf 20 Zeichen beschränktes Passwort den gesetzlichen und ethischen Anforderungen eines Bundesamts für Justiz, insbesondere im Hinblick auf den maximal möglichen Schutz personenbezogener Daten?

Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind.

Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfsweise Ermäßigung der Gebühren.

Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren.

Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung.

Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe!

Mit freundlichen Grüßen

<< Antragsteller:in >> << Antragsteller:in >> Anfragenr: 296362 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/296362/ Postanschrift << Antragsteller:in >> << Antragsteller:in >> << Adresse entfernt >>

[… Zeige kompletten Anfragetext]

Noch keine Kommentare. Please login to write a comment.

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Bundesamt für Justiz

am 30. Jan.

Az.: I 5 -1530/2 - A2 27/2024 Sehr << Antragsteller:in >> Ihre Anfrage vom 5. Januar 2024 kann ich w…

Details

Von: Bundesamt für Justiz
Betreff: Passwortbeschränkung und Sicherheitsstandards im Online-Portal OLAF des Bundesamts für Justiz [#296362]
Datum: 30. Januar 2024 09:25
Status: Anfrage abgeschlossen

Az.: I 5 -1530/2 - A2 27/2024 Sehr << Antragsteller:in >> Ihre Anfrage vom 5. Januar 2024 kann ich wie folgt beantworten. 1. Warum wurde eine Beschränkung auf 20 Zeichen festgelegt und gibt es Überlegungen, diese Beschränkung zu überarbeiten, um längere Passwörter zu erlauben, die häufig als sicherer gelten? Die Konzeption der Passwörter ist vor über zehn Jahren erfolgt. Dokumente zu den damaligen Überlegungen liegen hier nicht vor. Im Bundesamt für Justiz gibt es Überlegungen zur Erweiterung der möglichen Passwortlänge. Zum anderen wird erwogen, das OLAF-Verfahren mit der Bund-ID zu verknüpfen. In der Bund-ID sind Passwortlängen bis zu 50 Zeichen möglich. Diese Änderung könnte im Rahmen des im Herbst 2023 gestarteten Projektes "Digitales Führungszeugnis" erfolgen. Im Interesse der Bürgerfreundlichkeit sollen alle Arten von Führungszeugnissen für private Zwecke (einfache, erweiterte und europäische Führungszeugnisse) digitalisiert werden. 2. Wird eine Zwei-Faktor-Authentifizierung als Teil der aktuellen Sicherheitsstandards in Erwägung gezogen, um die Sicherheit der Nutzerdaten weiter zu erhöhen? Durch die Einführung der Bund-ID wäre eine starke Zwei-Faktor-Authentisierung durch die Nutzung der Online-Ausweisfunktion mit den Faktoren "Besitz" (eID -Karte) und "Wissen" (6-stellige PIN) gegeben. 3. Entspricht ein auf 20 Zeichen beschränktes Passwort den gesetzlichen und ethischen Anforderungen eines Bundesamts für Justiz, insbesondere im Hinblick auf den maximalen Schutz personenbezogener Daten? Es besteht keine gesetzliche Verpflichtung zur Ermöglichung längerer Passwörter. Ein Passwort mit 20 Zeichen bietet einen guten Schutz. Zudem werden die Passwörter durch Komponenten der IT-Infrastruktur vor Attacken geschützt. Das Bundesamt für Justiz möchte die mögliche Passwortlänge dennoch erweitern, um einen maximalen Schutz personenbezogener Daten zu gewährleisten. Dieser nach dem Informationsfreiheitsgesetz erteilte Bescheid ergeht gebührenfrei. Mit freundlichen Grüßen

Noch keine Kommentare. Please login to write a comment.

Januar 2024

2 Nachrichten

Zum Ende