Sichere Email nach BSI TR-03108
Antrag nach dem IFG/UIG/VIG
Sehr geehrte Damen und Herren,
Ich habe mein Verständnis zu sicheren EMails bzw. zu Emailverschlüsselung auf https://blog.lindenberg.one/Emailverschlusselung gestellt - motiviert zunächst durch die Orientierungshilfe der Datenschutzkonferenz, aber da mir auch die BSI TR-03108 bekannt wurde - meine Erwartungen deckem sich nicht so ganz mit dem Inhalt der BSI TR-03108. Ich habe da einige inhaltliche Fragen zur BSI TR-03108:
* hat eine Abstimmung mit der Datenschutzkonferenz oder dem BfDI stattgefunden, um zu einer einheitlichen Liste von Anforderungen zu kommen?
* warum wird DANE verflichtend gemacht, DKIM aber nicht?
* welche Mindestanforderungen gelten für das Sicherheitskonzept? Der Datenschutzkonferenz ist Verschlüsselung der Persistenz ein Anliegen, aber dem BSI ja eher nicht (siehe https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/).
Und dann hätte ich auch ein paar Fragen zum Zertifizierungsprozess. Zunächst finde ich die Angaben auf https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03108/tr03108_node.html und
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/fuer-Hersteller/IT-SiK-fuer-hersteller_node.html widersprüchlich.
Auf der wohl relevanten Seite https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/fuer-Hersteller/IT-SiK-fuer-hersteller_node.html) heißt es:
"Das IT-Sicherheitskennzeichen wird durch das BSI für Ihre Produkte oder Dienste erteilt, wenn Sie als Hersteller die Konformität Ihres Produkts zu bestimmten IT-Sicherheitsvorgaben vollständig geprüft und deren Erfüllung durch eine Herstellererklärung bestätigt haben. Wenn Sie beabsichtigen, ein IT-Sicherheitskennzeichen zu beantragen, ist dies im Rahmen der vom BSI definierten Produktkategorien möglich."
Mit anderen Worten, das BSI liest die Herstellerklärung, aber ob die mit der Realität übereinstimmt wird nicht systematisch geprüft, allenfalls nach §9c (8). Richtig? Welchen Stichprobenumfang planen Sie?
"Das BSI erhebt für die Antragsbearbeitung eine Verwaltungsgebühr nach Zeitaufwand der Prüfung (§ 9c Abs. 5 IT-SiG 2.0). Die entsprechenden Details regelt die Rechtsverordnung zum IT-Sicherheitskennzeichen.
In der Regel befinden sich die Kosten zur Erteilung des IT-Sicherheitskennzeichen im dreistelleigen Bereich (Euro). Je nach Prüfungsaufwand können die Kosten auch im niedrigen vierstelligen Bereich (Euro) liegen."
Wieso Gebühren im Bereich um 1000€ für Durchlesen und Prüfung auf Plausibilität? Oder enthält das eine Rückstellung für die Stichproben oben? Mit welchem Stundensatz kalkulieren Sie denn da? Da ich selbst Email-Dienste anbiete: ich müsste meine Preise massiv anheben um diese Gebühr zu refinanzieren.
Damit das auch eine korrekte Anfrage nach IFG wird: Bitte schicken Sie mir oder veröffentlichen Sie Ihre Dokumente mit den Überlegungen zum Inhalt der TR 03108 und zu den Kosten des Zertifizierungsverfahren.
Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind.
Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfweise Ermäßigung der Gebühren.
Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren.
Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung.
Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe!
Mit freundlichen Grüßen
Ergebnis der Anfrage
Das BSI kann ganz offensichtlich keine klaren Empfehlungen geben und verbrennt damit Zeit und Geld aller die sich mit Sicherheit intensiv befassen wollen oder müssen. Mehr dazu auf https://blog.lindenberg.one/BundesamtUn….
Speziell hier: widersprüchliche Empfehlungen in Grundschutz und BSI TR 03108, keine Übernahme von Internet-Standards, so daß unklar bleibt welche Produkte geeignet sind, und Testanleitungen die unklar bleiben und offensichtlich nur selten praktiziert werden.
So skaliert Sicherheit nicht.
Das gefährdet unsere Grundrechte auf Privatheit (Artikel 7 EU-Grundrechtecharta) und Datenschutz (Artikel 8) - mehr dazu auf https://blog.lindenberg.one/AufsichtOhn….
Anfrage eingeschlafen
Warte auf Antwort
-
Datum18. September 2021
-
22. Oktober 2021
-
3 Follower:innen
Ein Zeichen für Informationsfreiheit setzen
FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!