Sichere Email nach BSI TR-03108

Antrag nach dem IFG/UIG/VIG

Sehr geehrte Damen und Herren,

Ich habe mein Verständnis zu sicheren EMails bzw. zu Emailverschlüsselung auf https://blog.lindenberg.one/Emailversch… gestellt - motiviert zunächst durch die Orientierungshilfe der Datenschutzkonferenz, aber da mir auch die BSI TR-03108 bekannt wurde - meine Erwartungen deckem sich nicht so ganz mit dem Inhalt der BSI TR-03108. Ich habe da einige inhaltliche Fragen zur BSI TR-03108:
* hat eine Abstimmung mit der Datenschutzkonferenz oder dem BfDI stattgefunden, um zu einer einheitlichen Liste von Anforderungen zu kommen?
* warum wird DANE verflichtend gemacht, DKIM aber nicht?
* welche Mindestanforderungen gelten für das Sicherheitskonzept? Der Datenschutzkonferenz ist Verschlüsselung der Persistenz ein Anliegen, aber dem BSI ja eher nicht (siehe https://fragdenstaat.de/anfrage/verschl…).

Und dann hätte ich auch ein paar Fragen zum Zertifizierungsprozess. Zunächst finde ich die Angaben auf https://www.bsi.bund.de/DE/Themen/Unter… und
https://www.bsi.bund.de/DE/Themen/Unter… widersprüchlich.

Auf der wohl relevanten Seite https://www.bsi.bund.de/DE/Themen/Unter…) heißt es:

"Das IT-Sicherheitskennzeichen wird durch das BSI für Ihre Produkte oder Dienste erteilt, wenn Sie als Hersteller die Konformität Ihres Produkts zu bestimmten IT-Sicherheitsvorgaben vollständig geprüft und deren Erfüllung durch eine Herstellererklärung bestätigt haben. Wenn Sie beabsichtigen, ein IT-Sicherheitskennzeichen zu beantragen, ist dies im Rahmen der vom BSI definierten Produktkategorien möglich."

Mit anderen Worten, das BSI liest die Herstellerklärung, aber ob die mit der Realität übereinstimmt wird nicht systematisch geprüft, allenfalls nach §9c (8). Richtig? Welchen Stichprobenumfang planen Sie?

Auf https://www.bsi.bund.de/DE/Themen/Unter…

"Das BSI erhebt für die Antragsbearbeitung eine Verwaltungsgebühr nach Zeitaufwand der Prüfung (§ 9c Abs. 5 IT-SiG 2.0). Die entsprechenden Details regelt die Rechtsverordnung zum IT-Sicherheitskennzeichen.

In der Regel befinden sich die Kosten zur Erteilung des IT-Sicherheitskennzeichen im dreistelleigen Bereich (Euro). Je nach Prüfungsaufwand können die Kosten auch im niedrigen vierstelligen Bereich (Euro) liegen."

Wieso Gebühren im Bereich um 1000€ für Durchlesen und Prüfung auf Plausibilität? Oder enthält das eine Rückstellung für die Stichproben oben? Mit welchem Stundensatz kalkulieren Sie denn da? Da ich selbst Email-Dienste anbiete: ich müsste meine Preise massiv anheben um diese Gebühr zu refinanzieren.

Damit das auch eine korrekte Anfrage nach IFG wird: Bitte schicken Sie mir oder veröffentlichen Sie Ihre Dokumente mit den Überlegungen zum Inhalt der TR 03108 und zu den Kosten des Zertifizierungsverfahren.

Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind.

Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfweise Ermäßigung der Gebühren.

Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren.

Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung.

Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe!

Mit freundlichen Grüßen

Ergebnis der Anfrage

Das BSI kann ganz offensichtlich keine klaren Empfehlungen geben und verbrennt damit Zeit und Geld aller die sich mit Sicherheit intensiv befassen wollen oder müssen. Mehr dazu auf https://blog.lindenberg.one/BundesamtUn….
Speziell hier: widersprüchliche Empfehlungen in Grundschutz und BSI TR 03108, keine Übernahme von Internet-Standards, so daß unklar bleibt welche Produkte geeignet sind, und Testanleitungen die unklar bleiben und offensichtlich nur selten praktiziert werden.
So skaliert Sicherheit nicht.
Das gefährdet unsere Grundrechte auf Privatheit (Artikel 7 EU-Grundrechtecharta) und Datenschutz (Artikel 8) - mehr dazu auf https://blog.lindenberg.one/AufsichtOhn….

Antwort verspätet

Warte auf Antwort
  • Datum
    18. September 2021
  • Frist
    22. Oktober 2021
  • 3 Follower:innen
Joachim Lindenberg (https://blog.lindenberg.one)
Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, Ich habe mein Verständnis zu sicheren EMails bzw. zu …
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
Sichere Email nach BSI TR-03108 [#228518]
Datum
18. September 2021 09:14
An
Bundesamt für Sicherheit in der Informationstechnik
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, Ich habe mein Verständnis zu sicheren EMails bzw. zu Emailverschlüsselung auf https://blog.lindenberg.one/Emailverschlusselung gestellt - motiviert zunächst durch die Orientierungshilfe der Datenschutzkonferenz, aber da mir auch die BSI TR-03108 bekannt wurde - meine Erwartungen deckem sich nicht so ganz mit dem Inhalt der BSI TR-03108. Ich habe da einige inhaltliche Fragen zur BSI TR-03108: * hat eine Abstimmung mit der Datenschutzkonferenz oder dem BfDI stattgefunden, um zu einer einheitlichen Liste von Anforderungen zu kommen? * warum wird DANE verflichtend gemacht, DKIM aber nicht? * welche Mindestanforderungen gelten für das Sicherheitskonzept? Der Datenschutzkonferenz ist Verschlüsselung der Persistenz ein Anliegen, aber dem BSI ja eher nicht (siehe https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/). Und dann hätte ich auch ein paar Fragen zum Zertifizierungsprozess. Zunächst finde ich die Angaben auf https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03108/tr03108_node.html und https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/fuer-Hersteller/IT-SiK-fuer-hersteller_node.html widersprüchlich. Auf der wohl relevanten Seite https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/fuer-Hersteller/IT-SiK-fuer-hersteller_node.html) heißt es: "Das IT-Sicherheitskennzeichen wird durch das BSI für Ihre Produkte oder Dienste erteilt, wenn Sie als Hersteller die Konformität Ihres Produkts zu bestimmten IT-Sicherheitsvorgaben vollständig geprüft und deren Erfüllung durch eine Herstellererklärung bestätigt haben. Wenn Sie beabsichtigen, ein IT-Sicherheitskennzeichen zu beantragen, ist dies im Rahmen der vom BSI definierten Produktkategorien möglich." Mit anderen Worten, das BSI liest die Herstellerklärung, aber ob die mit der Realität übereinstimmt wird nicht systematisch geprüft, allenfalls nach §9c (8). Richtig? Welchen Stichprobenumfang planen Sie? Auf https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/fuer-Hersteller/FAQ-IT-SiK-fuer-hersteller_node.html "Das BSI erhebt für die Antragsbearbeitung eine Verwaltungsgebühr nach Zeitaufwand der Prüfung (§ 9c Abs. 5 IT-SiG 2.0). Die entsprechenden Details regelt die Rechtsverordnung zum IT-Sicherheitskennzeichen. In der Regel befinden sich die Kosten zur Erteilung des IT-Sicherheitskennzeichen im dreistelleigen Bereich (Euro). Je nach Prüfungsaufwand können die Kosten auch im niedrigen vierstelligen Bereich (Euro) liegen." Wieso Gebühren im Bereich um 1000€ für Durchlesen und Prüfung auf Plausibilität? Oder enthält das eine Rückstellung für die Stichproben oben? Mit welchem Stundensatz kalkulieren Sie denn da? Da ich selbst Email-Dienste anbiete: ich müsste meine Preise massiv anheben um diese Gebühr zu refinanzieren. Damit das auch eine korrekte Anfrage nach IFG wird: Bitte schicken Sie mir oder veröffentlichen Sie Ihre Dokumente mit den Überlegungen zum Inhalt der TR 03108 und zu den Kosten des Zertifizierungsverfahren. Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfweise Ermäßigung der Gebühren. Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren. Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen
Joachim Lindenberg Anfragenr: 228518 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/228518/ Postanschrift Joachim Lindenberg << Adresse entfernt >>
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr geehrte Damen und Herren, ich muss ein paar Fragen nachreichen, nachdem ich heute auch den Grundschutz Baust…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Sichere Email nach BSI TR-03108 [#228518]
Datum
26. September 2021 10:25
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, ich muss ein paar Fragen nachreichen, nachdem ich heute auch den Grundschutz Baustein APP.5.3 (2021) gelesen habe. Dort heißt es: "APP.5.3.A6 Festlegung einer Sicherheitsrichtlinie für E-Mail (S) Die Institution SOLLTE eine Sicherheitsrichtlinie für die Nutzung von E-Mails .. •wie E-Mails auf gefälschte Absender überprüft werden, •wie sich übermittelte Informationen absichern lassen, •wie die Integrität von E-Mails überprüft werden soll, ..." "APP.5.3.A9 Erweiterte Sicherheitsmaßnahmen auf dem E-Mail-Server (S) Die E-Mail-Server einer Institution SOLLTEN eingehende E-Mails mittels des Sender Policy Framework (SPF) und mit Hilfe von DomainKeys überprüfen. Die Institution SOLLTE selbst DomainKeys und SPF einsetzen, um von ihr versendete E-Mails zu authentisieren. ..." warum nur ein SOLL und kein MUSS? Bei eingehender E-Mail reicht es ja ggfs. den Spam-Score zu beeinflussen, es muss nicht gleich abgelehnt werden. Und wenn DKIM und SPF umgesetzt ist, dann hat man damit auch 5.3.A6 hinsichtlich der gefälschten Absendern adressiert. "APP.5.3.A10 Ende-zu-Ende-Verschlüsselung (H) Die Institution SOLLTE eine Ende-zu-Ende-Verschlüsselung sowie Signaturen für E-Mails einsetzen. Es SOLLTEN nur Protokolle zur Verschlüsselung und Signatur genutzt werden, die dem aktuellen Stand der Technik entsprechen." Gut dass hier nur SOLL steht, aber schmeißen Sie die Anforderung doch besser raus. Oder delegieren Sie das an die Datenschutzkonferenz, die vermutlich der letzte Unterstützer dieser Anforderung ist. Interessant, dass der ganze Baustein APP.5.3 keine Anforderung Verschlüsselung bei der Server-zu-Server-Kommunikation verpflichtend macht - im Unterschied zu BSI TR-03108. Wieso wird auf diese Richtlinie nur verwiesen anstelle die in die Anforderungen einzubeziehen? Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 228518 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/228518/
Bundesamt für Sicherheit in der Informationstechnik
Sehr geehrter Herr Lindenberg, bei Ihrer untenstehenden Anfrage handelt es sich um ein allgemeines Auskunftsverla…
Von
Bundesamt für Sicherheit in der Informationstechnik
Betreff
AW: Sichere Email nach BSI TR-03108 [#228518]
Datum
6. Oktober 2021 12:46
Status
Warte auf Antwort
Sehr geehrter Herr Lindenberg, bei Ihrer untenstehenden Anfrage handelt es sich um ein allgemeines Auskunftsverlangen und nicht um eine Anfrage nach dem Informationsfreiheitsgesetz (IFG). Ich habe Ihre Anfrage daher an das Service-Center des BSI mit der Bitte um Beantwortung Ihrer Fragen weitergeleitet. Mit freundlichen Grüßen
Bundesamt für Sicherheit in der Informationstechnik
AW: Bausteine NET.2.1 und NET.2.2 - 802.1X Sicherheit [#228733] Sehr geehrter Herr Lindenberg, vielen Dank für Ih…
Von
Bundesamt für Sicherheit in der Informationstechnik
Betreff
AW: Bausteine NET.2.1 und NET.2.2 - 802.1X Sicherheit [#228733]
Datum
7. Oktober 2021 15:03
Status
Warte auf Antwort
Sehr geehrter Herr Lindenberg, vielen Dank für Ihre Anfrage. Dem BSI ist die Problematik von EDUROAM bekannt. Wir haben sie aus folgendem Grund in den genannten Bausteinen nicht behandelt: Kapitel 2 (Gefährdungslage) zeigt auf, welchen spezifischen Gefährdungen das im Baustein beschriebene Zielobjekt ausgesetzt sein kann. Dabei wird die Gefährdungslage pauschal betrachtet. Die spezifischen Gefährdungen erheben also keinen Anspruch auf Vollständigkeit, sondern müssen anschaulich und plakativ-motivierend die Gefährdungslage bezüglich des Zielobjekts (hier WLAN) darstellen. Den in Ihrer E-Mail beschriebenen Sachverhalt (EDUROAM) werden wir bei der Überarbeitung der Bausteine (u.a. NET.2.1 und NET.2.2) für die Edition 2023 prüfen und ggf. umsetzen. Bei der Überarbeitung der Bausteine NET.2.1 und NET.2.2 werden wir explizit auf die domänenbasierte Authentisierung eingehen. Gerne stehen wir Ihnen für Verständnisfragen zum IT-Grundschutz jederzeit unter <<E-Mail-Adresse>> zur Verfügung stehen. Der Weg über das IFG ist hier nicht nötig. Mit freundlichen Grüßen
Bundesamt für Sicherheit in der Informationstechnik
Sehr geehrter Herr Lindenberg, Vielen Dank für Ihre Anfrage und Ihr Interesse am IT-Grundschutz. bezüglich des T…
Von
Bundesamt für Sicherheit in der Informationstechnik
Betreff
AW: Sichere Email nach BSI TR-03108 [#228518]
Datum
7. Oktober 2021 15:04
Status
Warte auf Antwort
Sehr geehrter Herr Lindenberg, Vielen Dank für Ihre Anfrage und Ihr Interesse am IT-Grundschutz. bezüglich des Teils "warum nur ein SOLL und kein MUSS?" Ihrer Anfrage verhält es sich so, dass Richtlinien im IT-Grundschutz grundsätzlich als Standard-Anforderung vorgesehen sind. Eine Richtlinie ist eine wichtige Maßnahme, um interne Regelungen nachvollziehbar festzulegen und bekannt zu machen. Richtlinien sind jedoch nicht vorrangig zu erstellen, da sie selbst keine direkte Wirkung auf die Sicherheit des Informationsverbundes haben und andere Maßnahmen höher priorisiert werden sollten (Basis-Anforderungen). Bezüglich des Teils "Interessant, dass der ganze Baustein APP.5.3 keine Anforderung Verschlüsselung bei der Server-zu-Server-Kommunikation verpflichtend macht - im Unterschied zu BSI TR-03108. Wieso wird auf diese Richtlinie nur verwiesen anstelle die in die Anforderungen einzubeziehen?" Ihrer Anfrage verweisen wir auf Anforderung APP.5.3.A2. Die Verschlüsselung der Server-zu-Server Kommunikation wird dort im ersten Absatz geregelt. Für weitere Rückfragen stehen wir gerne jederzeit unter <<E-Mail-Adresse>> zur Verfügung. Mit freundlichen Grüßen
Bundesamt für Sicherheit in der Informationstechnik
"Im Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen keine Informationen im Sinne des § 2 Nummer …
Von
Bundesamt für Sicherheit in der Informationstechnik
Via
Briefpost
Betreff
AW: Sichere Email nach BSI TR-03108 [#228518]
Datum
8. Oktober 2021
Status
Warte auf Antwort
"Im Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen keine Informationen im Sinne des § 2 Nummer 1 IFG vor, die Ihre obenstehenden Fragen beantworten"
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr geehrte Damen und Herren, das BSI scheint seine eigenen Dokumente nicht zu verstehen. Ich frage nach "... An…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Sichere Email nach BSI TR-03108 [#228518]
Datum
8. Oktober 2021 17:49
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, das BSI scheint seine eigenen Dokumente nicht zu verstehen. Ich frage nach "... Anforderung Verschlüsselung bei der Server-zu-Server-Kommunikation verpflichtend.." und Sie antworten mit einer "..MÜSSEN E-Mail-Server eine sichere Transportverschlüsselung anbieten." - das ist nicht das gleiche. Das BSI hat also zwei widersprüchliche Dokumente zum gleichen Thema, und hält es anscheinend auch nicht für erforderlich, sich mit der Datenschutzkonferenz auszutauschen - denn sonst gäbe es ja wohl Dokumente oder Besprechungsprotokolle. BSIG § 3 (1) "Das Bundesamt fördert die Sicherheit in der Informationstechnik mit dem Ziel, die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und deren Verarbeitung zu gewährleisten." Beim besten Willen - von Gewährleistung der Vertraulichkeit kann ich da nichts erkennen. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 228518 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/228518/
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr geehrte Damen und Herren, ich will diese alte Anfrage - https://fragdenstaat.de/anfrage/siche... - nochmal …
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Sichere Email nach BSI TR-03108 [#228518]
Datum
17. März 2022 07:25
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, ich will diese alte Anfrage - https://fragdenstaat.de/anfrage/siche... - nochmal aufwärmen. Auch ich lerne dazu. Inzwischen habe ich den Internet Standard RFC 7672 kennengelernt, der von den Anforderungen her der TR-03108 ähnelt, ohne dass sich mir genau erschließt, wo die Unterschiede sind. Haben Sie Dokumente, aus denen die Unterschiede hervorgehen? Warum wird nicht anstelle der TR-03108 der Internet Standard RFC 7672 samt Voraussetzungen empfohlen - wie das z.B. die Niederlande für öffentliche Einrichtungen einfordern? Für RFC 7672 habe ich einen - natürlich unvollständigen - Test realisiert und über https://blog.lindenberg.one/EmailSicherheitsTest zugänglich gemacht. Wenn ich unterstelle, dass RFC 7672 und TR-03108 wie dort beschrieben weitgehend identisch sind, dann frage ich mich, wieso alle Verwaltungsportale durchfallen. Ist den Betreibern nicht bewusst, dass von Ihnen TR-03108 erwartet wird, ist die TR-03108-2 nicht geeignet, Anfälligkeiten gegen Downgrade-Attacken zu erkenne, oder ist der Test nach TR-03108-2 viel zu aufwendig um ihn - bei Änderungen an der Infrastruktur ggfs auch wiederholt - durchzuführen? Vielleicht sollten wir bei der Konzeption geeigneter Tests kooperieren? Und wenn das jetzt zuwenig nach IFG klingt, dann kann ich auch gerne fragen, ob das BSI überhaupt die Entstehung von Internet Standards monitort und auf die Relevanz für Grundschutz und andere Richtlinien des BSIs überprüft und mit welchem Ergebnis. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 228518 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/228518/
Bundesamt für Sicherheit in der Informationstechnik
Sehr geehrter Herr Lindenberg, vielen Dank für Ihre Anfrage, die wir an die zuständige Fachabteilung im BSI weit…
Von
Bundesamt für Sicherheit in der Informationstechnik
Betreff
AW: Sichere Email nach BSI TR-03108 [#228518]
Datum
17. März 2022 09:09
Status
Warte auf Antwort
Sehr geehrter Herr Lindenberg, vielen Dank für Ihre Anfrage, die wir an die zuständige Fachabteilung im BSI weitergeleitet haben. Sobald dort eine Antwort vorliegt, melden wir uns wieder bei Ihnen! Bis dahin bitten wir Sie um etwas Geduld. Vielen Dank! Mit freundlichen Grüßen,
Bundesamt für Sicherheit in der Informationstechnik
Sehr geehrter Herr Lindenberg, vielen Dank für Ihre Anfrage, die wir leider aufgrund der Fülle der Anfragen er…
Von
Bundesamt für Sicherheit in der Informationstechnik
Betreff
Betreff: AW: Sichere Email nach BSI TR-03108 [#228518]
Datum
11. April 2022 15:42
Status
Warte auf Antwort
Sehr geehrter Herr Lindenberg, vielen Dank für Ihre Anfrage, die wir leider aufgrund der Fülle der Anfragen erst heute beantworten können. Danke für Ihre Geduld. Der RFC 7672 entspricht nicht dem Betrachtungsgegenstand der BSI TR-03108-1. Bei der BSI TR-03108-1 handelt es sich um einen Meta-Standard. Dieser betrachtet die Anforderungen an den sicheren Transport von E-Mails ganzheitlich (technisch und organisatorisch) und kombiniert dabei verschiedene Bausteine. Der RFC 7672 selbst bildet in diesem Kontext einen einzelnen technischen Baustein. Darüber hinaus fordert die BSI TR-03108-1 z.B. ein Sicherheitskonzept, Europäischen Datenschutz und die Verwendung zeitgemäßer Kryptographie. Das BSI setzt sich dafür ein, dass die Anforderungen der BSI TR-03108-1 in der Praxis umgesetzt werden. Beispiele dafür sind die Berücksichtigung der TR in der Orientierungshilfe der Datenschutzkonferenz oder die Nutzung der TR als Basis für das IT-Sicherheitskennzeichen. Die TR hat jedoch keinen verbindlichen Charakter, außer sie würde durch eine Regulierung verpflichtend gemacht. Auch wenn das BSI grundsätzlich die Entwicklung von Prüftools in diesem Bereich begrüßen besteht von unserer Seite derzeit kein Bedarf für eine Kooperation. Ferner monitort das BSI die technische Entwicklung von Standards und gestaltet auch mit, u.a. bei den Standardisierungsorganisationen DIN, ETSI, CEN/CENELEC und ISO. Mit freundlichen Grüßen
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr geehrte Damen und Herren, habe ich Sie richtig verstanden, wenn ich "Der RFC 7672 selbst bildet in diesem Ko…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Betreff: AW: Sichere Email nach BSI TR-03108 [#228518]
Datum
11. April 2022 18:59
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, habe ich Sie richtig verstanden, wenn ich "Der RFC 7672 selbst bildet in diesem Kontext einen einzelnen technischen Baustein" interpretiere als "Wer BSI TR-03108 erfüllen will, muss zwingend RFC 7672 erfüllen"? Warum steht das dann nicht genau so und unmissverständlich in der BSI TR-03108? Oder hab ich das überlesen? Das wäre doch mal eine gute Nachricht, denn damit kann ich etwas anfangen. Warum nutzen Sie dann nicht meine Meldung in https://fragdenstaat.de/anfrage/schwa... um BSI TR-03108 und damit RFC 7672 in der Fläche zu fordern? Weil im Umkehrschluss: wer RFC 7672 nicht erfüllt, erfüllt auch BSI TR-03108 nicht. Und die getesteten Behörden sind leider ganz vorne beim nicht erfüllen. Die anderen Mosaiksteinchen die Sie für BSI TR-03108 erwähnen sind eher leere, teilweise unnötige, und manchmal eher hinderliche Aussagen: - Sicherheitskonzept : TKG (alt) §109 gibt da wenig konkretes vor, schon gar nicht für Email, und der Katalog von Sicherheitsmaßnahmen war für Email bisher ziemlich leer. Auch hat die Bundesnetzagentur noch keinen besseren Vorschlag veröffentlich - https://fragdenstaat.de/anfrage/schut... - sagt aber, Sie berät sich mit Ihnen. Das wäre die Chance für Sie, zu definieren dass RFC 7672 oder BSI TR-03108 bei Email erfüllt werden muss. Nebenfrage: warum haben Sie eigentlich bei der Überarbeitung im Februar nicht gleich die Referenzen an das neue TKG angepasst? - Datenschutz. ADDREQ_1: die System sollen in Deutschland betrieben werden. Europa wäre vielleicht auch ok, zumindest wo es entsprechende Anerkennungen gibt. Oder wollen Sie der Schweizer Proton eine Zertifizierung verweigern? Wollen die vermutlich eh nicht. USA klar, geht wegen Schrems II nicht. Aber das brauchen Sie nicht in den Standard schreiben, das ergibt sich aus der Datenschutzgrundverordnung und der nicht-Vergleichbarkeit der Rechtssysteme. Auch ADDREQ_2 ergibt sich aus der Datenschutzgrundverordnung. In einem technischen Standard sehe ich das eher als Ballast. Wo soll ich ADDREQ_3 einsortieren? Das ist eine Anforderungen bei der Ihr erster Sicherheitskennzeichenträger mail.de strenggenommen durchfällt. Der zeigt nämlich bei meinen Emailserver sicher/grün an, obwohl mein Emailserver nicht zertifiziert ist (aber RFC 7672 kann). Naja, "in the best manner possible" ist halt schwammig formuliert, und was mail.de macht ist für mich gut. - zeitgemäße Kryptographie: auch RFC 7672 schreibt TLS 1.2 oder 1.3 vor, und erlaubt - genau wie Sie für andere System aus Interoperabilitätsgründen auch schlechteres. Mag sein, dass die Liste der Algorithmen im Detail abweicht, aber die ist ganz bestimmt kein guter Grund nicht auf Standards - nein Best Practices - wie RFC 7525 und RFC 8996 zu verweisen. Die größte Hürde ist ganz bestimmt nicht die List der Algorithmen sondern DNSSEC und RFC 7672. Was bezwecken Sie mit EMLREQ_6: Certified CA? Zertifiziert ist ja nicht automatisch sicherer, meistens aber teurer. Ich möchte wetten, dass keine der von Ihnen zertifizierten CAs sicherer ist als Letsencrypt. Aber natürlich hängt das davon ab, wie man "sicher" definiert. Das ist natürlich meine persönliche Meinung, aber ich halte es für hinderlich eigene deutsche Standards zu definieren, wenn es im Internet vergleichbare Standards gibt. Das macht den Einkauf oder die Konfiguration entsprechender Lösungen nur komplizierter, weil man erst übersetzen muss. Ersetzen Sie doch bitte in der nächsten Version von BSI TR-03108 jeden Satz bei dem das möglich ist durch einen Verweis auf einen passenden RFC. Bei allen anderen prüfen Sie bitte warum der Satz nicht gestrichen werden kann. Damit schaffen Sie wesentlich mehr Akzeptanz als mit speziellen Standards, und Interoperabilität ergibt sich auch nur durch gemeinsame Standards, nicht durch Insellösungen. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 228518 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/228518/
Bundesamt für Sicherheit in der Informationstechnik
Sehr geehrter Herr Lindenberg, vielen Dank für Ihre Anfrage, die wir an die zuständige Fachabteilung im BSI weit…
Von
Bundesamt für Sicherheit in der Informationstechnik
Betreff
AW: Betreff: AW: Sichere Email nach BSI TR-03108 [#228518]
Datum
12. April 2022 16:35
Status
Sehr geehrter Herr Lindenberg, vielen Dank für Ihre Anfrage, die wir an die zuständige Fachabteilung im BSI weitergeleitet haben. Sobald dort eine Antwort vorliegt, melden wir uns wieder bei Ihnen! Bis dahin bitten wir Sie um etwas Geduld. Vielen Dank! Mit freundlichen Grüßen,

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Bundesamt für Sicherheit in der Informationstechnik
Sehr geehrter Herr Lindenberg, Vielen Dank für Ihre intensive Beschäftigung mit dem Thema. Wir nehmen Ihre…
Von
Bundesamt für Sicherheit in der Informationstechnik
Betreff
AW: Betreff: AW: Betreff: AW: Sichere Email nach BSI TR-03108 [#228518]
Datum
19. April 2022 09:40
Status
Sehr geehrter Herr Lindenberg, Vielen Dank für Ihre intensive Beschäftigung mit dem Thema. Wir nehmen Ihre Anregungen bzgl. BSI TR-03108 gerne zur Kenntnis. Mit freundlichen Grüßen