Schwachstelle vs. fehlende Unterstützung von Best Practices

Heute erhielt ich von Ihnen die Antwort, meine Meldung an das CERT-Bund [CERT-Bund#2022020828000621] werde nicht weiter verfolgt, "da es sich bei dem vorliegenden Sachverhalt nicht um eine Schwachstelle handelt. Vielmehr können Ihre Funde als fehlende Umsetzung von Best Practices bezeichnet werden."

Wo ziehen Sie denn da die Grenze und warum? Zumal in dem von mir angeführten RFC 7672 mehrere Schwachstellen konkret benannt werden.

Ergebnis der Anfrage

Das BSI hat anscheinend keine (Er-)Kenntnisse, wie leider an so vielen anderen Stellen auch. Allen die hier vorbeilesen oder folgen daher zum Lesen empfohlen, vom speziellen (PGP) zum allgemeineren:

https://blog.lindenberg.one/VergleichRf…
https://blog.lindenberg.one/BundesamtUn…

und natürlich freue ich mich auch über Feedback und Diskussionen.

Antwort verspätet

Warte auf Antwort
  • Datum
    15. Februar 2022
  • Frist
    17. März 2022
  • Ein:e Follower:in
Joachim Lindenberg (https://blog.lindenberg.one)
Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu: Heute erhielt ich…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
Schwachstelle vs. fehlende Unterstützung von Best Practices [#240916]
Datum
15. Februar 2022 09:22
An
Bundesamt für Sicherheit in der Informationstechnik
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:
Heute erhielt ich von Ihnen die Antwort, meine Meldung an das CERT-Bund [CERT-Bund#2022020828000621] werde nicht weiter verfolgt, "da es sich bei dem vorliegenden Sachverhalt nicht um eine Schwachstelle handelt. Vielmehr können Ihre Funde als fehlende Umsetzung von Best Practices bezeichnet werden." Wo ziehen Sie denn da die Grenze und warum? Zumal in dem von mir angeführten RFC 7672 mehrere Schwachstellen konkret benannt werden.
Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfweise Ermäßigung der Gebühren. Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren. Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 240916 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/240916/ Postanschrift Joachim Lindenberg << Adresse entfernt >>
Mit freundlichen Grüßen Joachim Lindenberg (https://blog.lindenberg.one)
Bundesamt für Sicherheit in der Informationstechnik
[CERT-Bund#2022020828000621] Ihre Meldung an das CERT-Bund
Von
Bundesamt für Sicherheit in der Informationstechnik
Via
Briefpost
Betreff
[CERT-Bund#2022020828000621] Ihre Meldung an das CERT-Bund
Datum
15. Februar 2022
Status
Warte auf Antwort
Bundesamt für Sicherheit in der Informationstechnik
Sehr geehrter Herr Lindenberg, bei Ihre untenstehenden Anfrage handelt es sich nicht um eine Anfrage im Sinn des …
Von
Bundesamt für Sicherheit in der Informationstechnik
Betreff
AW: Schwachstelle vs. fehlende Unterstützung von Best Practices [#240916]
Datum
10. März 2022 12:33
Status
Warte auf Antwort
Sehr geehrter Herr Lindenberg, bei Ihre untenstehenden Anfrage handelt es sich nicht um eine Anfrage im Sinn des Informationsfreiheitsgesetzes (IFG). Ich werde Ihre Anfrage daher an das Service-Center des BSI mit der Bitte um Beantwortung weiterleiten. Mit freundlichen Grüßen
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr [geschwärzt], da will ich Ihnen bzw. dem BSI erneut widersprechen. Entweder hat das BSI Dokumente, die die G…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Schwachstelle vs. fehlende Unterstützung von Best Practices [#240916]
Datum
10. März 2022 12:50
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr [geschwärzt], da will ich Ihnen bzw. dem BSI erneut widersprechen. Entweder hat das BSI Dokumente, die die Grenze für Schwachstellen allgemein ziehen und kann diese Grenze transparent machen, oder es sollte für diesen Einzelfall eine haben. In beiden Fällen habe ich Anspruch nach dem IFG, dass Sie die veröffentlichen. Zumal ich die Entscheidung des CERTs im Hinblick auf Datenschutz und Fernmeldegeheimnis für falsch halte, und Alternativen hat das CERT nicht genannt. Ich habe das schon [geschwärzt] geschrieben. Die Art und Weise wie das BSI meinen Anfragen aus dem Weg gehen will gefällt mir nicht, und bestimmt auch anderen Interessierten nicht. Sollte wieder erwarten keine derartigen Informationen vorliegen, dann will ich auch dafür einen korrekten Bescheid. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 240916 Antwort an: [geschwärzt] Laden Sie große Dateien zu dieser Anfrage hier hoch: [geschwärzt]
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr geehrte Damen und Herren, meine Informationsfreiheitsanfrage „Schwachstelle vs. fehlende Unterstützung von B…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Schwachstelle vs. fehlende Unterstützung von Best Practices [#240916]
Datum
22. März 2022 08:46
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, meine Informationsfreiheitsanfrage „Schwachstelle vs. fehlende Unterstützung von Best Practices“ vom 15.02.2022 (#240916) wurde von Ihnen nicht in der gesetzlich vorgeschriebenen Zeit beantwortet. Sie haben die Frist mittlerweile um 6 Tage überschritten. Bitte informieren Sie mich umgehend über den Stand meiner Anfrage. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 240916 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/240916/
Bundesamt für Sicherheit in der Informationstechnik
Sehr geehrter Herr Lindenberg, wie bereits am 10.03.2022 mitgeteilt, handelt es sich bei Ihrer Anfrage „Schwachst…
Von
Bundesamt für Sicherheit in der Informationstechnik
Betreff
AW: Schwachstelle vs. fehlende Unterstützung von Best Practices [#240916]
Datum
4. April 2022 11:51
Status
Warte auf Antwort
Sehr geehrter Herr Lindenberg, wie bereits am 10.03.2022 mitgeteilt, handelt es sich bei Ihrer Anfrage „Schwachstelle vs. fehlende Unterstützung von Best Practices“ vom 15.02.2022 nicht um eine Anfrage im Sinne des Informationsfreiheitsgesetz (IFG), sondern um ein allgemeines Auskunftsersuchen. Untenstehend finden Sie die Antwort des zuständigen Fachreferats auf Ihre Frage: Beim RFC 7672 handelt es sich um ein technisches Dokument, welches im aktuellen Status als „PROPOSED STANDARD“ gekennzeichnet ist. Entsprechend dieser Einstufung besteht für sog. „Implementors“ keine Umsetzungspflicht, da der RFC noch ausreichend geprüft und getestet werden muss, bevor dieser einen neuen Status erhält. Daher können „Implementors“ selbst entscheiden, in wie weit ein „PROPOSED STANDARD“ in der eigenen Umgebung bzw. im eigenen Produkt umgesetzt werden sollte. Zu beachten ist, dass die Adaption eines neuen RFC einen langwierigen Prozess darstellt und keine Umsetzungspflichten umfasst. Eine fehlende Umsetzung des angeführten RFC stellt daher keine valide Schwachstellenmeldung dar, welche im Rahmen eines CVD-Prozesses bearbeitet wird. Deshalb bleibt die Einschätzung des BSI bestehen. Mit freundlichen Grüßen
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr << Anrede >> In https://fragdenstaat.de/anfrage/siche... habe ich gefragt, was denn der Untersch…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Schwachstelle vs. fehlende Unterstützung von Best Practices [#240916]
Datum
4. April 2022 12:17
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> In https://fragdenstaat.de/anfrage/siche... habe ich gefragt, was denn der Unterschied zwischen RFC 7672 und BSI TR-03108 ist. BSI TR-03108 scheint man ja als verbindlich anzusehen, sowohl für öffentliche Einrichtungen als auch für das IT-Sicherheitskennzeichen. Wobei einige kommerzielle Anbieter das ganz offensichtlich ernster nehmen als öffentlichen Einrichtungen. Woraus schließen Sie bzw. das BSI, dass für Implementors keine Verpflichtung besteht, die im RFC 7672 genannten Verwundbarkeiten zu adressieren? Wobei dahingestellt bleiben kann, ob man diese Verwundbarkeit mit RFC 7672 oder vielleicht auch mit BSI TR-03108 schließen kann. Meine Tests der Verwaltungsportale - siehe https://blog.lindenberg.one/EmailSicherheitsTest - beweisen, dass die Verwaltungsportale alle verwundbar sind. Leider kann ich entsprechende Tests nur dann durchführen, wenn ein Emailbenutzer kooperiert oder eine Registrierungsmöglichkeit besteht, aber ich darf annehmen, dass die Mehrzahl der anderen Behörden auch verwundbar sind. Welche Alternative zu RFC 7672 will das BSI denn empfehlen? Bei mir entsteht schon länger der Eindruck, dass im BSI links nicht weiß was rechts tut, und dass Sicherheit, Datenschutz, und Fernmeldegeheimnis beim BSI nicht ernst genommen werden, immerhin Grundrechte in der EU-Charta der Grundrechte. Da sollte es egal sein, ob der Rest der Welt einen Standard nur als Vorschlag ansieht. Entweder nimmt man den - wie die Niederlande - oder man muss eine bessere Lösung im Köcher haben - aber haben Sie ja wohl auch nicht. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 240916 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/240916/
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr geehrte Damen und Herren, Das BSI wird in meinem Augen dem gesetzlichen Auftrag in §3 (1) BSIG "Das Bundesam…
An Bundesministerium des Innern und für Heimat Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Schwachstelle vs. fehlende Unterstützung von Best Practices [#240916]
Datum
4. April 2022 12:20
An
Bundesministerium des Innern und für Heimat
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, Das BSI wird in meinem Augen dem gesetzlichen Auftrag in §3 (1) BSIG "Das Bundesamt fördert die Sicherheit in der Informationstechnik mit dem Ziel, die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und deren Verarbeitung zu gewährleisten. " nicht gerecht. Ich möchte mich daher bei Ihnen als der vorgesetzte Behörde bescheren. Anlass ist die Anfrage https://fragdenstaat.de/anfrage/schwa..., in der Sie dies nachlesen können, aber zu meinem Gesamteindrukc über das BSI finden Sie eine Zusammenstellung aller meiner Anfragen an das BSI und eine Einschätzung unter https://blog.lindenberg.one/BundesamtUnsicherheit. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 240916 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/240916/
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr geehrte Damen und Herren, ich muss wegen Internet Standard vs. Proposed Standard nochmal nachkarten und füge…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Schwachstelle vs. fehlende Unterstützung von Best Practices [#240916]
Datum
6. April 2022 09:40
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
geschwärzt
301,4 KB
Sehr geehrte Damen und Herren, ich muss wegen Internet Standard vs. Proposed Standard nochmal nachkarten und füge auch eine kurze Diskussion mit Viktor Dukhovni bei, dem Autor von RFC 7672. Wenn Sie Ihre Argumentation ernst nehmen, dann müssen Sie SMTP gleich ganz verbieten. RFC 821 ist obsolete, der Nachfolger RFC 2821 ist auch nur Proposed Standard, enthält aber genau wie RFC 821 oder 2821 Schwachstellen die nur durch RFC 7672 und dort genannte Voraussetzungen geschlossen werden. Wenn Sie Sicherheit ernst nehmen, dann ist SMTP tot oder RFC 7672 Pflicht. Aber das BSI ernst nehmen? Mir gelingt das nicht mehr. Mit freundlichen Grüßen Joachim Lindenberg

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Joachim Lindenberg (https://blog.lindenberg.one)
Sehr geehrte Damen und Herren, mit Email vom 14.04.2022 hat das BSI angekündigt, diese Frage noch beantworten zu …
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Schwachstelle vs. fehlende Unterstützung von Best Practices [#240916]
Datum
11. Mai 2022 23:00
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, mit Email vom 14.04.2022 hat das BSI angekündigt, diese Frage noch beantworten zu wollen. Im übrigen widerspreche ich der Annahme dass es sich keine Anfrage nach dem IFG handelt. Bitte informieren Sie mich umgehend über den Stand meiner Anfrage. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 240916 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/240916/