Sicherheit des Bürgerportals

der im Juni 2021 veröffentlichte Entwurf zu einer Verordnung zur Gewährleistung der IT-Sicherheit der im Portalverbund und zur Anbindung an den Portalverbund genutzten IT-Komponenten (IT-Sicherheitsverordnung Portalverbund) – PVV ( https://www.bmi.bund.de/SharedDocs/gese…) ist für einen datenschutzinteressierten Bürger unbefriedigend, denn §2 (2) in Verbindung mit Anlage 1 der PVV adressiert nur kleine Ausschnitte statt ein ganzheitliches Konzept zum Schutz der personenbezogenen Daten darzustellen. Auch die in §2 (6) geforderten Penetrationstests oder die Eigenerklärung in §2 (8) sind meiner Meinung nach nicht geeignet, die Sicherheit insgesamt entsprechend dem Stand der Technik zu gewährleisten. Vermutungen statt Konzepte?

Daher möchte ich von Ihnen gerne wissen, welche technischen und organisatorischen Maßnahmen Sie mit Ihrem/n Auftragsverarbeiter(n) im Bereich des Bürgerportals/OZG vertraglich vereinbart haben oder welche technische und organisatorischen Maßnahmen Sie selbst vorsehen, sofern Sie das Portal selbst betreiben. Da sich die Portale laufend weiterentwickeln interessiert mich auch, wie sie bzw. der/die Auftragsverarbeiter(n) dieses Sicherheitsniveau trotz kontinuierlicher Änderungen sicherstellen. Ich bitte daher auch um die Zusendung der entsprechenden Auftragsverarbeitungsverträge sowie der Berichte von ggfs. durchgeführter Zertifizierungen oder Audits.

Diese Anfrage schicke ich gleichlautend an alle 16 Länderportale und das Bundesportal im Sinne des Online-Zugangsgesetzes (OZG).

Anfrage eingeschlafen

Warte auf Antwort
  • Datum
    11. August 2021
  • Frist
    14. September 2021
  • 2 Follower:innen
Veronika Maier (Der Staat mauert, er ist intransparent)
Antrag nach dem IFG M-V, LUIG, VIG – (vorab per E-Mail, parallel per Fax) Sehr geehrte Damen und Herren, bitte …
An Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern Details
Von
Veronika Maier (Der Staat mauert, er ist intransparent)
Betreff
Sicherheit des Bürgerportals [#226639]
Datum
11. August 2021 20:58
An
Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem IFG M-V, LUIG, VIG – (vorab per E-Mail, parallel per Fax) Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:
der im Juni 2021 veröffentlichte Entwurf zu einer Verordnung zur Gewährleistung der IT-Sicherheit der im Portalverbund und zur Anbindung an den Portalverbund genutzten IT-Komponenten (IT-Sicherheitsverordnung Portalverbund) – PVV ( https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/referentenentwuerfe/verordnung-gewahrleistung-it-sicherheit-im-portalverbund.pdf?__blob=publicationFile&v=2) ist für einen datenschutzinteressierten Bürger unbefriedigend, denn §2 (2) in Verbindung mit Anlage 1 der PVV adressiert nur kleine Ausschnitte statt ein ganzheitliches Konzept zum Schutz der personenbezogenen Daten darzustellen. Auch die in §2 (6) geforderten Penetrationstests oder die Eigenerklärung in §2 (8) sind meiner Meinung nach nicht geeignet, die Sicherheit insgesamt entsprechend dem Stand der Technik zu gewährleisten. Vermutungen statt Konzepte? Daher möchte ich von Ihnen gerne wissen, welche technischen und organisatorischen Maßnahmen Sie mit Ihrem/n Auftragsverarbeiter(n) im Bereich des Bürgerportals/OZG vertraglich vereinbart haben oder welche technische und organisatorischen Maßnahmen Sie selbst vorsehen, sofern Sie das Portal selbst betreiben. Da sich die Portale laufend weiterentwickeln interessiert mich auch, wie sie bzw. der/die Auftragsverarbeiter(n) dieses Sicherheitsniveau trotz kontinuierlicher Änderungen sicherstellen. Ich bitte daher auch um die Zusendung der entsprechenden Auftragsverarbeitungsverträge sowie der Berichte von ggfs. durchgeführter Zertifizierungen oder Audits. Diese Anfrage schicke ich gleichlautend an alle 16 Länderportale und das Bundesportal im Sinne des Online-Zugangsgesetzes (OZG).
Dies ist ein Antrag auf Auskunft bzw. Einsicht nach § 1 Landesinformationsfreiheitsgesetz (LIFG) bzw. nach Landesumweltinformationsgesetz (LUIG), soweit Umweltinformationen nach § 3 Abs. 3 UIG betroffen sind, bzw. nach § 2 Abs. 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Verbraucherinformationen nach § 2 Abs. 1 VIG betroffen sind. Sollte diese Anfrage wider Erwarten keine einfache Anfrage sein, bitte ich Sie darum, mich vorab über den voraussichtlichen Verwaltungsaufwand sowie die voraussichtlichen Kosten für die Akteneinsicht bzw. Aktenauskunft zu informieren. Soweit Verbraucherinformationen betroffen sind, bitte ich Sie zu prüfen, ob Sie mir die erbetene Akteneinsicht bzw. Aktenauskunft nach § 7 Abs. 1 Satz 2 VIG auf elektronischem Wege kostenfrei gewähren können. Ich verweise auf § 11 Abs. 1 Satz 1 LIFG und bitte Sie, unverzüglich über den Antrag zu entscheiden. Soweit Umwelt- oder Verbraucherinformationen betroffen sind, verweise ich auf § 3 Abs. 3 Satz 1 UIG bzw. § 5 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen baldmöglichst, spätestens bis zum Ablauf eines Monats nach Antragszugang zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, möchte ich Sie bitten, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an sonstige Dritte. Ich möchte Sie um eine Antwort in elektronischer Form (E-Mail) und um eine Empfangsbestätigung bitten. Vielen Dank für Ihre Mühe! Mit freundlichen Grüßen Veronika Maier Anfragenr: 226639 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/226639/ Postanschrift Veronika Maier << Adresse entfernt >>
Mit freundlichen Grüßen Veronika Maier (Der Staat mauert, er ist intransparent)
Veronika Maier (Der Staat mauert, er ist intransparent)
Sicherheit des Bürgerportals [#226639]
An Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern Details
Von
Veronika Maier (Der Staat mauert, er ist intransparent)
Via
Fax
Betreff
Sicherheit des Bürgerportals [#226639]
Datum
11. August 2021 20:59
An
Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern
Status
Fax wurde erfolgreich versendet.
Nicht-öffentliche Anhänge:
fax.pdf
53,5 KB
Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern
Sehr geehrte Frau Maier, in der o. g. Angelegenheit bestätige ich Ihnen den Eingang Ihrer E-Mail v. 11. August 20…
Von
Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern
Betreff
Eingangsbestätigung: Sicherheit des Bürgerportals [#226639]
Datum
16. August 2021 14:30
Status
Warte auf Antwort
Sehr geehrte Frau Maier, in der o. g. Angelegenheit bestätige ich Ihnen den Eingang Ihrer E-Mail v. 11. August 2021. Nach Abschluss der Prüfung Ihres Anliegens komme ich unaufgefordert auf Sie zurück. Mit freundlichen Grüßen
Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern
Sehr geehrte Frau Maier, beigefügtes Schreiben übersende ich Ihnen vorab per E-Mail. Für Rückfragen stehe ich Ihn…
Von
Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern
Betreff
Ihre Anträge nach IFG M-V, LUIG M-V und VIG; hier: Sicherheit des Bürgerportals [#226639]
Datum
13. September 2021 17:46
Status
Warte auf Antwort
geschwärzt
1,3 MB
Sehr geehrte Frau Maier, beigefügtes Schreiben übersende ich Ihnen vorab per E-Mail. Für Rückfragen stehe ich Ihnen gerne zur Verfügung. Mit freundlichen Grüßen
Veronika Maier (Der Staat mauert, er ist intransparent)
Sehr geehrte Damen und Herren, können Sie mir bitte eine Kopie der von Ihnen referenzierten Mindestanforderungen …
An Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern Details
Von
Veronika Maier (Der Staat mauert, er ist intransparent)
Betreff
AW: Ihre Anträge nach IFG M-V, LUIG M-V und VIG; hier: Sicherheit des Bürgerportals [#226639]
Datum
13. September 2021 18:53
An
Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, können Sie mir bitte eine Kopie der von Ihnen referenzierten Mindestanforderungen schicken? Ich war selbst leider nicht in der Lage diese zu finden. Der BSI Grundschutz erlaubt soviele (Ab)Wahlmöglichkeiten und Interpretationen, dass insbesondere in der Softwareentwicklung damit kein konsistentes Sicherheits- und Datenschutzniveau gewährleistet werden kann. So schreiben Sie auch, es sei nach CON.2 verfahren worden. Warum wurde nicht ein Maßnahmenkatalog nach Standard-Datenschutzmodell erstellt? Ihr Argument, dass eine Veröffentlichung die öffentliche Sicherheit gefährden könnte, kann ich nicht nachvollziehen. Üblicherweise stehen in Sicherheitskonzepten keine Betriebsgeheimnisse oder nur dann, wenn kein angemessenes Schutzniveau erreicht werden konnte. Insofern muss ich aus Ihrer Ablehnung die TOMs zu veröffentlichen schließen, das kein angemessenes Schutzniveau erreicht wird. Bitte überzeugen Sie mich und alle Bürger vom Gegenteil. Mit freundlichen Grüßen Veronika Maier Anfragenr: 226639 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/226639/
Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern
Sehr geehrte Frau Maier, der beigefügte Bescheid konnte leider postalisch an die angegebene Adresse im Bescheid n…
Von
Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern
Betreff
Zustellung: Ihre Anträge nach IFG M-V, LUIG M-V und VIG; hier: Sicherheit des Bürgerportals [#226639]
Datum
24. September 2021 10:01
Status
Warte auf Antwort
geschwärzt
1,3 MB
Sehr geehrte Frau Maier, der beigefügte Bescheid konnte leider postalisch an die angegebene Adresse im Bescheid nicht zugestellt werden. Könnten Sie mir bitte mitteilen, ob sich ggf. Ihre Adresse geändert hat. Mit freundlichen Grüßen
Veronika Maier (Der Staat mauert, er ist intransparent)
Sehr geehrte Damen und Herren, Sie haben mir erneut den Bescheid geschickt, aber meine Fragen vom 13.9.2021 - htt…
An Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern Details
Von
Veronika Maier (Der Staat mauert, er ist intransparent)
Betreff
AW: Zustellung: Ihre Anträge nach IFG M-V, LUIG M-V und VIG; hier: Sicherheit des Bürgerportals [#226639]
Datum
25. September 2021 19:07
An
Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, Sie haben mir erneut den Bescheid geschickt, aber meine Fragen vom 13.9.2021 - https://fragdenstaat.de/anfrage/sicherheit-des-burgerportals-15/#nachricht-628378 - nicht beantwortet. Bitte beantworten Sie diese Fragen, oder soll ich dazu eine neue Anfrage einreichen? Mit freundlichen Grüßen Veronika Maier Anfragenr: 226639 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/226639/
Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern
Sehr geehrte Frau Maier, vielen Dank für Ihre Nachricht. Der an Sie adressierte Bescheid vom 13. September 2021 …
Von
Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern
Betreff
AW: Zustellung: Ihre Anträge nach IFG M-V, LUIG M-V und VIG; hier: Sicherheit des Bürgerportals [#226639]
Datum
30. September 2021 10:33
Status
Warte auf Antwort
Sehr geehrte Frau Maier, vielen Dank für Ihre Nachricht. Der an Sie adressierte Bescheid vom 13. September 2021 wurde durch die Post wieder zurückgesandt: „Adressat unter der angegebenen Adresse nicht zu ermitteln“. Der Bescheid war adressiert an: "Frau Veronika Maier, << Adresse entfernt >>". Dies vorausgeschickt, bitte ich um Benennung einer zustellfähigen Anschrift. Ihre Fragen vom 13. September 2021 werden geprüft. Hier erhalten Sie nach Abschluss der Prüfung eine Rückmeldung. Mit freundlichen Grüßen
Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern
Sehr geehrte Frau Maier, ich komme zurück auf Ihre Nachfragen zum Bescheid vom 13. September 2021, die ich wie f…
Von
Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern
Via
Briefpost
Betreff
Ihre Anträge nach IFG M-V, LUIG M-V und VIG; hier: Nachfragen bzgl. Sicherheit des Bürgerportals [#226639]
Datum
12. Oktober 2021
Status
Warte auf Antwort
Sehr geehrte Frau Maier, ich komme zurück auf Ihre Nachfragen zum Bescheid vom 13. September 2021, die ich wie folgt beantworte: "Können Sie mir bitte eine Kopie der von Ihnen referenzierten Mindestanforderungen schicken? Ich war selbst leider nicht in der Lage diese zu finden." Die öffentlich abrufbaren Dokumente habe ich gerne für Sie zusammengestellt. Sie finden Teil 1(zip001) anbei; Teil 2(zip002) folgt umgehend per E-Mail. "Der BSI Grundschutz erlaubt so viele (Ab)Wahlmöglichkeiten und Interpretationen, dass insbesondere in der Softwareentwicklung damit kein konsistentes Sicherheits- und Datenschutzniveau gewährleistet werden kann. So schreiben Sie auch, es sei nach CON.2 verfahren worden. Warum wurde nicht ein Maßnahmenkatalog nach Standard-Datenschutzmodell erstellt?" Diese Aussage ist durch den "neuen" IT-Grundschutz, insbesondere durch die Formulierungen mit den Verben MÜSSEN und SOLLEN in den Anforderungen auf Basis des festgestellten Schutzbedarfs im IT-Grundschutz-Kompendium obsolet: Im IT-Grundschutz-Kompendium werden standardisierte (Sicherheits-) Anforderungen für typische Geschäftsprozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen und Räume in IT-Grundschutz-Bausteinen beschrieben. Diese IT-Grundschutz-Bausteine bilden den "Stand der Technik" ab, basierend auf der Bedrohungslage und den Erkenntnissen zum Zeitpunkt der Veröffentlichung. Des Weiteren beschreiben die Anforderungen, was generell umzusetzen ist, um mit geeigneten Sicherheitsmaßnahmen den "Stand der Technik" zu erreichen. Die im IT-Grundschutz-Kompendium aufgeführten Anforderungen sollten erfüllt werden, um ein angemessenes Sicherheitsniveau zu erreichen. Die Anforderungen sind in Basis- und Standard-Anforderungen sowie Anforderungen für erhöhten Schutzbedarf unterteilt. Die Basis-Anforderungen - formuliert mit MÜSSEN - stellen das Minimum, die Mindestanforderungen bzw. das Mindestsicherheitsniveau dessen dar, was an Sicherheitsvorkehrungen bzw. -maßnahmen umzusetzen ist. Das IT-Grundschutz-Kompendium, Edition 2021 enthält bspw. den Baustein CON.10 "Entwicklung von Webanwendungen". Ziel dieses Bausteins ist es, sichere Webanwendungen zu entwickeln sowie Informationen zu schützen, die durch eine Webanwendung verarbeitet werden. In diesem Kontext definiert dieser Baustein insgesamt 18 (Sicherheits-) Anforderungen, wobei zehn dieser Anforderungen "Basis-Anforderungen" sind, die zwingend umzusetzen sind. Beispiel: CON.10.A9 Schutz vor SQL-Injection (B) Falls Daten an ein Datenbankmanagementsystem (DBMS) weitergeleitet werden, MÜSSEN die Entwickler Stored Procedures bzw. Prepared SQL Statements einsetzen. Falls Daten an ein DMBS weitergeleitet werden und weder Stored Procedures noch Prepared SQL Statements von der Einsatzumgebung unterstützt werden, MÜSSEN die SQL-Queries separat abgesichert werden. "Ihr Argument, dass eine Veröffentlichung die öffentliche Sicherheit gefährden könnte, kann ich nicht nachvollziehen. Üblicherweise stehen in Sicherheitskonzepten keine Betriebsgeheimnisse oder nur dann, wenn kein angemessenes Schutzniveau erreicht werden konnte. Insofern muss ich aus Ihrer Ablehnung die TOMs zu veröffentlichen schließen, das kein angemessenes Schutzniveau erreicht wird. Bitte überzeugen Sie mich und alle Bürger vom Gegenteil." Unabhängig vom Vorliegen etwaig bestehender Betriebsgeheimnisse in diesem Fall, die im Rahmen eines Beteiligungsverfahrens zu prüfen wären, sind hier jedenfalls - wie im Bescheid ausgeführt - die Ablehnungsgründe nach §§ 5 Nr. 1, 6 Abs. 4 IFG M-V einschlägig. Wie ebenfalls bereits ausgeführt, gefährdet die Veröffentlichung von Informationen der IT-Landschaft die Sicherheit. Mit freundlichen Grüßen
Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern
Sehr geehrte Frau Maier, wie soeben angekündigt, erhalten Sie anbei Teil 2(zip002). Mit freundlichen Grüßen
Von
Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern
Betreff
Ihre Anträge nach IFG M-V, LUIG M-V und VIG; hier: Nachfragen bzgl. Sicherheit des Bürgerportals [#226639]
Datum
12. Oktober 2021 16:19
Status
Warte auf Antwort
Sehr geehrte Frau Maier, wie soeben angekündigt, erhalten Sie anbei Teil 2(zip002). Mit freundlichen Grüßen
Veronika Maier (Der Staat mauert, er ist intransparent)
Sehr << Anrede >> tut mir leid, das sehe ich (und andere) anders. Der Grundschutz garantiert keine Si…
An Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern Details
Von
Veronika Maier (Der Staat mauert, er ist intransparent)
Betreff
AW: Ihre Anträge nach IFG M-V, LUIG M-V und VIG; hier: Nachfragen bzgl. Sicherheit des Bürgerportals [#226639]
Datum
16. Oktober 2021 14:36
An
Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> tut mir leid, das sehe ich (und andere) anders. Der Grundschutz garantiert keine Sicherheit entsprechend dem Stand der Technik. Ob Sie das erreichen kann man allenfalls an Ihren Sicherheiskonzepten oder Auftragsverträgen ablesen. Das beifügen von Grundschutzbausteinen beantwortet daher keine meiner Fragen. Mit freundlichen Grüßen Veronika Maier Anfragenr: 226639 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/226639/
Veronika Maier (Der Staat mauert, er ist intransparent)
Sehr geehrte Damen und Herren, ich bitte um Vermittlung bei einer Anfrage nach dem Informationsfreiheitsgesetz Me…
An Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Details
Von
Veronika Maier (Der Staat mauert, er ist intransparent)
Betreff
Vermittlung bei Anfrage „Sicherheit des Bürgerportals“ [#226639]
Datum
16. Oktober 2021 14:41
An
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, ich bitte um Vermittlung bei einer Anfrage nach dem Informationsfreiheitsgesetz Mecklenburg-Vorpommern (IFG, UIG, VIG). Die bisherige Korrespondenz finden Sie hier: https://fragdenstaat.de/a/226639/ Alle bisherigen Antworten sind ausweichend. Ich muss daraus schließen dass keine Sicherheitskonzepte oder Auftragsverarbeitungsverträge entsprechend dem Stand der Technik existieren, mithin ein Fall für die Datenschutzaufsicht. Sie finden auch alle Dokumente zu dieser Anfrage als Anhang zu dieser E-Mail. Sie dürfen meinen Namen gegenüber der Behörde nennen. Mit freundlichen Grüßen Veronika Maier Anhänge: - 226639.pdf - 2021-08-11_2-fax.pdf - 2021-09-13_1-Bescheid.pdf - 2021-09-24_1-Bescheid.pdf Die folgenden Anhänge konnten wegen ihrer Größe nicht per Mail versendet werden. Sie können sie auf der Anfrageseite finden: - 2021-10-12_1-bsi-it-grundschutz-kompendium-edition-2020.pdf - 2021-10-12_1-bsi-it-grundschutz-kompendium-edition-2021.pdf - 2021-10-12_1-bsi-standard_100-4.pdf - 2021-10-12_1-bsi-standard_200-1.pdf - 2021-10-12_1-bsi-standard_200-2.pdf - 2021-10-12_1-IFG-Anfrage226639.zip.001 - 2021-10-12_2-IFG-Anfrage226639.zip.002 Anfragenr: 226639 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/226639/
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Sehr geehrte Frau Maier, für Ihre Anfrage vom 16.10.2021 mit der darin verbundenen Bitte um Vermittlung bei der a…
Von
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Betreff
Vermittlung bei Anfrage "Sicherheit des Bürgerportals" (#226639)
Datum
29. Oktober 2021 09:23
Status
Sehr geehrte Frau Maier, für Ihre Anfrage vom 16.10.2021 mit der darin verbundenen Bitte um Vermittlung bei der an das Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern (EM M-V) gestellten Anfrage „Sicherheit des Bürgerportals“ (#226639) danke ich Ihnen. Nach Durchsicht der Unterlagen, die Sie mir dankenswerterweise übersandten, konnte ich hinsichtlich Ihres Ersuchens auf Übermittlung der technischen und organisatorischen Maßnahmen, welche das vorgenannte Ministerium mit Auftragsverarbeitern im Bereich des Bürgerportals/OZG vertraglich vereinbart hat oder welche technischen und organisatorischen Maßnahmen von dort selbst vorgesehen werden, kein Fehlverhalten des EM M-V feststellen. Mit Bescheid vom 13.09.2021 erhielten Sie einen - gesehen auf das Datum Ihrer Antragstellung - fristgerechten Bescheid, mit dem Ihnen zumindest ein Teilzugang i.S.d. § 11 Abs. 3 IFG M-V gewährt wurde. Bezüglich der Frage der o.g. technischen und organisatorischen Maßnahmen wird darauf verwiesen, dass diese im Sicherheit-und Datenschutzkonzept hinterlegt sind. Ein Zugang zu diesen Informationen wird unter Hinweis auf die Bestimmungen der §§ 5 Nr. 1 sowie 6 Abs. 4 IFG M-V abgelehnt. Aus meiner Sicht ist gegen diese Ablehnung nichts einzuwenden, wogegen ich als maßgeblichen Ablehnungsgrund die Regelungen des § 5 Nr. 1 FG MV und den darin enthaltenen Sicherheitsaspekten halte. Konkret ist nach dieser Vorschrift ein Antrag auf Informationszugang abzulehnen, soweit und solange das Bekanntwerden der Informationen dem Wohl des Landes, den inter-und supranationalen Beziehungen, die Beziehungen zum Bund oder zu einem Land schwerwiegende Nachteile bereiten oder die Landesverteidigung oder die innere Sicherheit schädigen würde. Das infrage stehende Konzept beinhaltet Informationen, die die IT-Infrastruktur und damit zusammenhängende sicherheitsrelevante Aspekte enthalten. Ein Offenlegen derartiger Informationen könnte zur Folge haben, dass beispielsweise gezielte Angriffe auf diese Infrastruktur möglich wären (Cyber-Angriffe). Von daher unterstütze ich die in diesem Punkt durch das EM M-V vorgenommene Ablehnung der von Ihnen begehrten Offenlegung der technischen und organisatorischen Maßnahmen. Aus dem betr. Bescheid des EM M-V vom 13.09.2021 geht m. E. jedoch nicht hervor, inwieweit Ihnen gegebenenfalls Zugang zu den ebenso begehrten Informationen hinsichtlich möglicher Audits bzw. der Auftragsverarbeitungsverträge gegeben werden kann. Sollten auch diese Unterlagen geheimhaltungswürdige Informationen im Sinne der §§ 5-8 IFG M-V enthalten, wäre auch hier zumindest Teilzugang (siehe oben) zu prüfen resp. zu gewähren. Sofern Sie es wünschen, würde ich mich zumindest zu diesen Punkten mit dem EM M-V in Verbindung setzen und zwecks außergerichtlicher Überprüfung des Sachverhalts entsprechend um Stellungnahme bitten. Insofern bitte ich Sie um eine entsprechende Mitteilung. Mit freundlichen Grüßen

120.000 Euro bis zum Jahresende – bist Du dabei?

Ob Klagen, investigative Recherchen, Anfragen-Features oder Kampagnen: Wir brauchen Dich an unserer Seite, um den nächsten Coup planen zu können. Kämpfe mit Deiner Weihnachtsspende mit uns für mehr Transparenz!

356.814,67 € von 400.000,00 €

Jetzt spenden!  Weihnachts-Trailer ansehen

Veronika Maier (Der Staat mauert, er ist intransparent)
Sehr << Anrede >> Geheimhaltung von Sicherheitkonzepten ist ein großes Problem in Deutschland - man wi…
An Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Details
Von
Veronika Maier (Der Staat mauert, er ist intransparent)
Betreff
AW: Vermittlung bei Anfrage "Sicherheit des Bürgerportals" (#226639) [#226639]
Datum
30. Oktober 2021 09:54
An
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> Geheimhaltung von Sicherheitkonzepten ist ein großes Problem in Deutschland - man wiegt sich in scheinbarer Sicherheit. Eine schöne Darstellung dazu finden sie unter https://blog.lindenberg.one/SecurityByObscurity. Wenn die Verwaltungsportale sich auf die innere Sicherheit berufen und Geheimhaltung brauchen, dann ist es reichlich offensichtlich, dass die Sicherheitskonzepte nicht dem Stand der Technik entsprechen. Wie ich bereits geschrieben habe, sehe ich darin einen Verstoß gegen Artikel 32 DSGVO, und lege daher hiermit erneut Beschwerde beim LfDI ein. Desweiteren enthalten selbst bei lückenhaften Sicherheitskonzepten die Auftragsverarbeitungsverträge selten relevante Details sondern nur die Maßnahmen die ergriffen werden. Ein Sicherheitskenner kann allein aus den nicht aufgeführten Maßnahmen - beispielsweise fehlende Verschlüsselung der gespeicherten Daten - ableiten, wie löchrig das Konzept ist. Eine Veröffentlichung hilft daher einem Angreifer nicht wirklich, aber meiner Meinung nach hat die Öffentlichkeit das Recht zu erfahren, ob oder dass der Staat im Umgang mit Bürgerdaten schlamprig ist. Das ist die Aufgabe der Datenschutzaufsicht. Es würde mich auch nicht überraschen, wenn keine Auftragsverarbeitungsverträge existieren oder dort keine konkreten Maßnahmen genannt werden. Auch das wäre meiner Meinung nach ein Verstoß gegen Artikel 28 DSGVO. Ich möchte Sie bitten, Ihren Beitrag zur Aufklärung dieser Missstände beizutragen, und wenn nicht - wegen Mängeln - die Veröffentlichung zu unterstützen, dann doch die Verantwortlichen und Auftragsverarbeiter zu prüfen und zu rügen - und darüber Öffentlichkeit herzustellen. Mit freundlichen Grüßen Veronika Maier Anfragenr: 226639 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/226639/