Sicherheit des Verwaltungsportals

Sehr geehrte Damen und Herren,

Ich muss anzweifeln, dass die Verantwortlichen der Verwaltungsportale ein dem Stand der Technik entsprechende Sicherheit gewährleisten und mich dementsprechend über die Verwaltungsportale beschweren. Ich verweise auf https://fragdenstaat.de/anfrage/verschl… und lege Beschwerde wegen Verstoß gegen Artikel 32 DSGVO ein.

Abgesehen von der aller Wahrscheinlichkeit nach fehlenden Verschlüsselung sind mir weitere Mängel aufgefallen, die ich ebenfalls in https://fragdenstaat.de/anfrage/verschl… aufgezählt habe. Im Fall Bayern sind das
* die Verwendung von Sicherheitfragen,
* eine abweichende Domäne zwischen Portal und gesendeten Emails,
* die Verpflichtung zum Postfach.

Darüberhinaus halte ich die Datenschutzerklärung für fragwürdig, denn sie gibt die Rechtsgrundlagen der Datenverarbeitung nicht korrekt wieder.

Ich bitte außerdem darum, eventuelle Prüfberichte oder sonstigen Unterlagen zum Verwaltungsportal zu veröffentlichen.

Mit freundlichen Grüßen

Ergebnis der Anfrage

Die Aufsichten bearbeiten diese Beschwerde(n) nur sehr schleppend. Mehr Informationen auf https://blog.lindenberg.one/PortalBesch….

Antwort verspätet

Warte auf Antwort
  • Datum
    18. November 2021
  • Frist
    21. Dezember 2021
  • 2 Follower:innen
Christina Franke
Sehr geehrte Damen und Herren, Ich muss anzweifeln, dass die Verantwortlichen der Verwaltungsportale ein dem Stan…
An Der Bayerische Landesbeauftragte für den Datenschutz Details
Von
Christina Franke
Betreff
Sicherheit des Verwaltungsportals [#233257]
Datum
18. November 2021 21:31
An
Der Bayerische Landesbeauftragte für den Datenschutz
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, Ich muss anzweifeln, dass die Verantwortlichen der Verwaltungsportale ein dem Stand der Technik entsprechende Sicherheit gewährleisten und mich dementsprechend über die Verwaltungsportale beschweren. Ich verweise auf https://fragdenstaat.de/anfrage/verschlusselung-un-sicherheit-der-verwaltungsportale/ und lege Beschwerde wegen Verstoß gegen Artikel 32 DSGVO ein. Abgesehen von der aller Wahrscheinlichkeit nach fehlenden Verschlüsselung sind mir weitere Mängel aufgefallen, die ich ebenfalls in https://fragdenstaat.de/anfrage/verschlusselung-un-sicherheit-der-verwaltungsportale/ aufgezählt habe. Im Fall Bayern sind das * die Verwendung von Sicherheitfragen, * eine abweichende Domäne zwischen Portal und gesendeten Emails, * die Verpflichtung zum Postfach. Darüberhinaus halte ich die Datenschutzerklärung für fragwürdig, denn sie gibt die Rechtsgrundlagen der Datenverarbeitung nicht korrekt wieder. Ich bitte außerdem darum, eventuelle Prüfberichte oder sonstigen Unterlagen zum Verwaltungsportal zu veröffentlichen. Mit freundlichen Grüßen
Christina Franke Anfragenr: 233257 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/233257/ Postanschrift Christina Franke << Adresse entfernt >> << Adresse entfernt >>
Der Bayerische Landesbeauftragte für den Datenschutz
Sicherheit des Verwaltungsportals
Von
Der Bayerische Landesbeauftragte für den Datenschutz
Via
Briefpost
Betreff
Sicherheit des Verwaltungsportals
Datum
20. Dezember 2021
Status
Warte auf Antwort
Der Bayerische Landesbeauftragte für den Datenschutz
Az. DSB/7-193-580 Sehr geehrte Frau Franke, vielen Dank für Ihre Nachricht vom 18.11.2021. Hierzu erhalten Sie s…
Von
Der Bayerische Landesbeauftragte für den Datenschutz
Betreff
Sicherheit des Verwaltungsportals [#233257]
Datum
21. Dezember 2021 10:48
Status
Warte auf Antwort
Az. DSB/7-193-580 Sehr geehrte Frau Franke, vielen Dank für Ihre Nachricht vom 18.11.2021. Hierzu erhalten Sie schriftlich Antwort an Ihre postalische Adresse. Mit freundlichen Grüßen
Christina Franke
Sehr << Anrede >> vielen Dank für Ihr Schreiben vom 20.12.2021. Bereits in https://fragdenstaat.de/an…
An Der Bayerische Landesbeauftragte für den Datenschutz Details
Von
Christina Franke
Betreff
AW: Sicherheit des Verwaltungsportals [#233257] - Az. DSB/7-193-580 [#233257]
Datum
29. Dezember 2021 11:58
An
Der Bayerische Landesbeauftragte für den Datenschutz
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> vielen Dank für Ihr Schreiben vom 20.12.2021. Bereits in https://fragdenstaat.de/anfrage/versc... hatte ich darauf hingewiesen, dass ich in allen Verwaltungsportalen (Ausnahme Saarland - da gibt es keines) einen Benutzer habe und daher von mangelnder Sicherheit betroffen im Sinne des Artikel 77 DSGVO bin. Das bayerische Verwaltungsportal bzw. das Nutzerkonto erreiche ich unter https://freistaat.bayern/ bzw. https://bayernid.freistaat.bayern/. Auch habe ich bereits in meiner ersten Anfrage an den Bayerischen Landesbeauftragten die Sicherheitsfragen angesprochen, die klar darauf hindeuten, dass wer auch immer as Verwaltungsportal implementiert hat, den Stand der Technik nicht beherrscht. Auch das finden sie in der bereits genannten Anfrage, konkret unter https://fragdenstaat.de/anfrage/versc.... Wie sagt der Volksmund so schön: wo Rauch ist, ist auch Feuer - weitere Sicherheitsprobleme wie fehlende Verschlüsselung erscheinen mir sehr wahrscheinlich. Mit freundlichen Grüßen Christina Franke Anfragenr: 233257 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/233257/
Der Bayerische Landesbeauftragte für den Datenschutz
Sicherheit des Verwaltungsportals
Von
Der Bayerische Landesbeauftragte für den Datenschutz
Via
Briefpost
Betreff
Sicherheit des Verwaltungsportals
Datum
18. Januar 2022
Status
Warte auf Antwort
Christina Franke
Sehr << Anrede >> vielen Dank für Ihren Zwischenstand. Ich möchte zu 3) darauf hinweisen, dass das Po…
An Der Bayerische Landesbeauftragte für den Datenschutz Details
Von
Christina Franke
Betreff
AW: Sicherheit des Verwaltungsportals [#233257]
Datum
16. Februar 2022 09:55
An
Der Bayerische Landesbeauftragte für den Datenschutz
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> vielen Dank für Ihren Zwischenstand. Ich möchte zu 3) darauf hinweisen, dass das Postfach freiwillig sein soll. Ein Postfach dass immer angelegt wird, wird sich auch automatisch füllen, insofern halte ich die Umsetzung für mangelhaft. Verschlüsselung ist nicht nur wichtig beim Transport von Daten zum Browser, sondern auch bei Email, bei interner Kommunikation und auch bei der Persistenz der Daten. Da der Grundschutz hier keine klaren Aussagen macht, darf ich das Schlimmste befürchten. Mit freundlichen Grüßen Christina Franke Anfragenr: 233257 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/233257/
Der Bayerische Landesbeauftragte für den Datenschutz
Sicherheit des Verwaltungsportals
Von
Der Bayerische Landesbeauftragte für den Datenschutz
Via
Briefpost
Betreff
Sicherheit des Verwaltungsportals
Datum
24. Februar 2022
Status
Warte auf Antwort
Christina Franke
Sehr << Anrede >> es erschreckt mich, dass Sie lieber versuchen meine Beschwerde abzuwimmeln, anstell…
An Der Bayerische Landesbeauftragte für den Datenschutz Details
Von
Christina Franke
Betreff
AW: Sicherheit des Verwaltungsportals [#233257]
Datum
9. März 2022 10:19
An
Der Bayerische Landesbeauftragte für den Datenschutz
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> es erschreckt mich, dass Sie lieber versuchen meine Beschwerde abzuwimmeln, anstelle das Verwaltungsportal einer Prüfung zu unterziehen. Eine Prüfung würde ich als vertrauensbildende Maßnahme ansehen, Ihre Erwartung, dass ich die Datenschutzverstöße beweise bevor Sie aktiv werden, zerstört eher mein Vertrauen in den Staat. Dennoch und weil Sie bei Email in die Tiefe gehen. Herr Lindenberg hat alle Verwaltungsportale seinem Emailtest unterzogen, siehe https://blog.lindenberg.one/EmailSicherheitsTest. Keines der Verwaltungsportale erfüllt dabei die Orientierungshilfe Email-Verschlüsselung, denn diese fordert in Abschnitt 4.2.1 eine obligatorische Transportverschlüsselung und orientierung an der TR 03108-1. Diese besagt in EMLREQ_5: DANE (outgoing), dass bei einem Emailempfänger der TLSA-Records veröffentlicht Verschlüsselung erzwungen werden muss, aber diese Anforderung hat kein einziges Verwaltungsportal, also auch nicht das von Bayern, erfüllt. Und ja, unverschlüsselte Kommunikation verstößt nach meinem Verständnis gegen Datenschutz und Fernmeldegeheimnis, insofern werden ganz klar Rechte und Freiheiten der Betroffenen verletzt. Auch wenn ich den Grundschutz für nicht konkret genug halte, die Schutzbedarfermittlung und dann Konkretisierung von Verschlüsselungsanforderungen fällt in den Verantwortungsbereich des Verantwortlichen, da kann sich nach meinem Verständnis der Verantwortliche und die Aufsicht nicht auf Defizite im Grundschutz berufen. Wenn ich unterstelle, dass der Verantwortliche wie bei anderen Verwaltungsportalen auch den Schutzbedarf hoch festgestellt hat, dann müsste es ein Verschlüsselungskonzept für das Verwaltungsportal geben. Dass schon Email ohne Transportverschlüsselung verschickt wird, ist für mich ein starkes Indiz dass sich da niemand Gedanken gemacht hat. Wie ich schon dargelegt habe, sieht das OZG eine zweistufige Freiwilligkeit vor: für das Nutzerkonto und dann nochmal für das Postfach. Die kann ich nicht erkennen. Und auch was ich sonst wahrnehme deutet darauf hin, dass die Entwickler eher Dilettanten denn Fachleute in Sicherheit und Datenschutz sind. Bitte tun Sie Ihre Pflicht entsprechend Artikel 57 DSGVO. Mit freundlichen Grüßen Christina Franke Anfragenr: 233257 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/233257/
Der Bayerische Landesbeauftragte für den Datenschutz
Sicherheit des Verwaltungsportals.
Von
Der Bayerische Landesbeauftragte für den Datenschutz
Via
Briefpost
Betreff
Sicherheit des Verwaltungsportals.
Datum
11. April 2022
Status
Warte auf Antwort
Christina Franke
Sehr << Anrede >> vielen Dank für Ihr Schreiben vom 11.4.2022. Aber bereits am 29.12.2021 in https://…
An Der Bayerische Landesbeauftragte für den Datenschutz Details
Von
Christina Franke
Betreff
AW: Sicherheit des Verwaltungsportals. [#233257]
Datum
27. April 2022 10:07
An
Der Bayerische Landesbeauftragte für den Datenschutz
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> vielen Dank für Ihr Schreiben vom 11.4.2022. Aber bereits am 29.12.2021 in https://fragdenstaat.de/anfrage/siche... habe ich Sie darauf hingewiesen, dass ich einen Benutzer im Verwaltungsportal Bayern habe und damit Betroffene im Sinne von Artikel 77 DSGVO bin. Daher habe ich m.W. auch Anspruch auf Unterrichtung über Ihre Ergebnisse. Mit freundlichen Grüßen Christina Franke Anfragenr: 233257 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/233257/
Der Bayerische Landesbeauftragte für den Datenschutz
Sicherheit des Verwaltungsportals
Von
Der Bayerische Landesbeauftragte für den Datenschutz
Via
Briefpost
Betreff
Sicherheit des Verwaltungsportals
Datum
20. Mai 2022
Status
Warte auf Antwort
geschwärzt
1015,7 KB
Der Bayerische Landesbeauftragte für den Datenschutz
Sicherheit des Verwaltungsportals
Von
Der Bayerische Landesbeauftragte für den Datenschutz
Via
Briefpost
Betreff
Sicherheit des Verwaltungsportals
Datum
25. Juli 2022
Status
Warte auf Antwort
Christina Franke
Sehr << Anrede >> vielen Dank für Ihr Schreiben vom 25.7.. Allerdings kann ich Ihre Argumentation nic…
An Der Bayerische Landesbeauftragte für den Datenschutz Details
Von
Christina Franke
Betreff
AW: Sicherheit des Verwaltungsportals [#233257]
Datum
2. August 2022 13:58
An
Der Bayerische Landesbeauftragte für den Datenschutz
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> vielen Dank für Ihr Schreiben vom 25.7.. Allerdings kann ich Ihre Argumentation nicht nachvollziehen. Jegliche Kommunikation per Email fällt seit dem 1.10.2021 unter das TTDSG/TKG und insbesondere unter das Fernmeldegeheimnis in § 3 I TTDSG. Es ist in meinen Augen völlig irrelevant welchen Inhalt die Nachrichten haben, das Fernmeldegeheimnis ist zu beachten und zu erfüllen. Das Fernmeldegeheimnis kann man bei Email nach meinem Verständnis nur mit RFC 7672 DANE SMTP bzw. der ähnlichen TR 03108 erfüllen. Hinsichtlich der Sicherheitsfragen verweise ich auf https://fragdenstaat.de/anfrage/versc... und zitiere "das NIST, OWASP, und Bruce Schneier raten eindeutig von Sicherheitsfragen ab: https://pages.nist.gov/800-63-FAQ/#q-b15 https://cheatsheetseries.owasp.org/ch... https://www.schneier.com/essays/archi... Und natürlich viele andere weniger prominente Experten auch. Nur das BSI könnte deutlicher sein, in CON.5.M2 will es zwar OWASP beachtet wissen, aber konkreter wird es nicht. Es ist meiner Meinung völlig unerheblich, dass das nur auf Vertrauensniveau niedrig relevant ist, Sicherheitsfragen sind unabhängig vom Vertrauensniveau überholt und sowohl das BSI als auch das BfDI sollten das entsprechend kommunizieren. Wenn Sicherheitsfragen verwendet werden, dann zeigt das nur, dass die Implementierer zu wenig Kenntnisse haben, um Sicherheit zu gewährleisten. Das alleine lässt bei mir schon alle Alarmglocken angehen..." Dass BMI, BSI, und Sie den Stand der Technik offensichtlich nicht kennen ist kein Grund, ihn nicht nach Artikel 32 DSGVO einzufordern. Aber Sie dürfen die Softwareersteller ja fragen, ob sie die entsprechenden OWASP und PCIDSS Guidelines zu Sicherheitsfragen kennen und beachten. Ausbauen wäre einfacher. Und zu schreiben man verwende Sicherheitsanfragen nur auf niedrigem Sicherheitsniveau - wollen Sie Verbraucher irreführen? Mit freundlichen Grüßen Christina Franke
Der Bayerische Landesbeauftragte für den Datenschutz
Sicherheit des Verwaltungsportals
Von
Der Bayerische Landesbeauftragte für den Datenschutz
Via
Briefpost
Betreff
Sicherheit des Verwaltungsportals
Datum
26. September 2022
Status
Warte auf Antwort

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Christina Franke
Sehr << Anrede >> vielen Dank für Ihr Schreiben vom 26.09.2022 - Ihr Zeichen DSB/7-193-580. Mir fäll…
An Der Bayerische Landesbeauftragte für den Datenschutz Details
Von
Christina Franke
Betreff
AW: Sicherheit des Verwaltungsportals [#233257]
Datum
29. September 2022 12:53
An
Der Bayerische Landesbeauftragte für den Datenschutz
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> vielen Dank für Ihr Schreiben vom 26.09.2022 - Ihr Zeichen DSB/7-193-580. Mir fällt zum Thema Sicherheitsfragen nur noch ein, dass mit diesem Unsinn Steuergelder verschwendet werden. Mit Ihrer Argumentation könnte man auch auf Sicherheitsfragen verzichten und damit Geld sparen. Meine Beschwerde und Fragen wegen mangelnder Verschlüsselung im Rechenzentrum haben Sie in all Ihren Schreiben nicht ernsthaft beantwortet. Ich vermute, dass auch in Bayern für das Verwaltungsportal der Schutzbedarf hoch festgestellt wurde, und dennoch im Rechenzentrum weder die Kommunikation noch die Speicherung von Daten verschlüsselt stattfindet. Weitere Informationen dazu finden Sie und alle Leser hier auch auf https://blog.lindenberg.one/PortalBeschwerdenAuskunft. Keine Antwort muss ich als Bestätigung interpretieren. Mit freundlichen Grüßen Christina Franke