Sehr << Anrede >> vielen Dank für Ihr Schreiben vom 20.12.2021. Bereits in https://fragdenstaat.de/anfrage/verschlusselung-un-sicherheit-der-verwaltungsportale/ hatte ich darauf hingewiesen, dass ich in allen Verwaltungsportalen (Ausnahme Saarland - da gibt es keines) einen Benutzer habe und daher von mangelnder Sicherheit betroffen im Sinne des Artikel 77 DSGVO bin. Das bayerische Verwaltungsportal bzw. das Nutzerkonto erreiche ich unter https://freistaat.bayern/ bzw. https://bayernid.freistaat.bayern/. Auch habe ich bereits in meiner ersten Anfrage an den Bayerischen Landesbeauftragten die Sicherheitsfragen angesprochen, die klar darauf hindeuten, dass wer auch immer as Verwaltungsportal implementiert hat, den Stand der Technik nicht beherrscht. Auch das finden sie in der bereits genannten Anfrage, konkret unter https://fragdenstaat.de/anfrage/verschlusselung-un-sicherheit-der-verwaltungsportale/#nachricht-645068. Wie sagt der Volksmund so schön: wo Rauch ist, ist auch Feuer - weitere Sicherheitsprobleme wie fehlende Verschlüsselung erscheinen mir sehr wahrscheinlich. Mit freundlichen Grüßen Christina Franke Anfragenr: 233257 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/233257/

Sehr << Anrede >> vielen Dank für Ihren Zwischenstand. Ich möchte zu 3) darauf hinweisen, dass das Postfach freiwillig sein soll. Ein Postfach dass immer angelegt wird, wird sich auch automatisch füllen, insofern halte ich die Umsetzung für mangelhaft. Verschlüsselung ist nicht nur wichtig beim Transport von Daten zum Browser, sondern auch bei Email, bei interner Kommunikation und auch bei der Persistenz der Daten. Da der Grundschutz hier keine klaren Aussagen macht, darf ich das Schlimmste befürchten. Mit freundlichen Grüßen Christina Franke Anfragenr: 233257 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/233257/

Sehr << Anrede >> es erschreckt mich, dass Sie lieber versuchen meine Beschwerde abzuwimmeln, anstelle das Verwaltungsportal einer Prüfung zu unterziehen. Eine Prüfung würde ich als vertrauensbildende Maßnahme ansehen, Ihre Erwartung, dass ich die Datenschutzverstöße beweise bevor Sie aktiv werden, zerstört eher mein Vertrauen in den Staat. Dennoch und weil Sie bei Email in die Tiefe gehen. Herr Lindenberg hat alle Verwaltungsportale seinem Emailtest unterzogen, siehe https://blog.lindenberg.one/EmailSicherheitsTest. Keines der Verwaltungsportale erfüllt dabei die Orientierungshilfe Email-Verschlüsselung, denn diese fordert in Abschnitt 4.2.1 eine obligatorische Transportverschlüsselung und orientierung an der TR 03108-1. Diese besagt in EMLREQ_5: DANE (outgoing), dass bei einem Emailempfänger der TLSA-Records veröffentlicht Verschlüsselung erzwungen werden muss, aber diese Anforderung hat kein einziges Verwaltungsportal, also auch nicht das von Bayern, erfüllt. Und ja, unverschlüsselte Kommunikation verstößt nach meinem Verständnis gegen Datenschutz und Fernmeldegeheimnis, insofern werden ganz klar Rechte und Freiheiten der Betroffenen verletzt. Auch wenn ich den Grundschutz für nicht konkret genug halte, die Schutzbedarfermittlung und dann Konkretisierung von Verschlüsselungsanforderungen fällt in den Verantwortungsbereich des Verantwortlichen, da kann sich nach meinem Verständnis der Verantwortliche und die Aufsicht nicht auf Defizite im Grundschutz berufen. Wenn ich unterstelle, dass der Verantwortliche wie bei anderen Verwaltungsportalen auch den Schutzbedarf hoch festgestellt hat, dann müsste es ein Verschlüsselungskonzept für das Verwaltungsportal geben. Dass schon Email ohne Transportverschlüsselung verschickt wird, ist für mich ein starkes Indiz dass sich da niemand Gedanken gemacht hat. Wie ich schon dargelegt habe, sieht das OZG eine zweistufige Freiwilligkeit vor: für das Nutzerkonto und dann nochmal für das Postfach. Die kann ich nicht erkennen. Und auch was ich sonst wahrnehme deutet darauf hin, dass die Entwickler eher Dilettanten denn Fachleute in Sicherheit und Datenschutz sind. Bitte tun Sie Ihre Pflicht entsprechend Artikel 57 DSGVO. Mit freundlichen Grüßen Christina Franke Anfragenr: 233257 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/233257/

Sehr << Anrede >> vielen Dank für Ihr Schreiben vom 11.4.2022. Aber bereits am 29.12.2021 in https://fragdenstaat.de/anfrage/sicherheit-des-verwaltungsportals-1/#nachricht-655562 habe ich Sie darauf hingewiesen, dass ich einen Benutzer im Verwaltungsportal Bayern habe und damit Betroffene im Sinne von Artikel 77 DSGVO bin. Daher habe ich m.W. auch Anspruch auf Unterrichtung über Ihre Ergebnisse. Mit freundlichen Grüßen Christina Franke Anfragenr: 233257 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/233257/

Sehr << Anrede >> vielen Dank für Ihr Schreiben vom 25.7.. Allerdings kann ich Ihre Argumentation nicht nachvollziehen. Jegliche Kommunikation per Email fällt seit dem 1.10.2021 unter das TTDSG/TKG und insbesondere unter das Fernmeldegeheimnis in § 3 I TTDSG. Es ist in meinen Augen völlig irrelevant welchen Inhalt die Nachrichten haben, das Fernmeldegeheimnis ist zu beachten und zu erfüllen. Das Fernmeldegeheimnis kann man bei Email nach meinem Verständnis nur mit RFC 7672 DANE SMTP bzw. der ähnlichen TR 03108 erfüllen. Hinsichtlich der Sicherheitsfragen verweise ich auf https://fragdenstaat.de/anfrage/verschlusselung-un-sicherheit-der-verwaltungsportale/#nachricht-645068 und zitiere "das NIST, OWASP, und Bruce Schneier raten eindeutig von Sicherheitsfragen ab: https://pages.nist.gov/800-63-FAQ/#q-b15 https://cheatsheetseries.owasp.org/ch... https://www.schneier.com/essays/archi... Und natürlich viele andere weniger prominente Experten auch. Nur das BSI könnte deutlicher sein, in CON.5.M2 will es zwar OWASP beachtet wissen, aber konkreter wird es nicht. Es ist meiner Meinung völlig unerheblich, dass das nur auf Vertrauensniveau niedrig relevant ist, Sicherheitsfragen sind unabhängig vom Vertrauensniveau überholt und sowohl das BSI als auch das BfDI sollten das entsprechend kommunizieren. Wenn Sicherheitsfragen verwendet werden, dann zeigt das nur, dass die Implementierer zu wenig Kenntnisse haben, um Sicherheit zu gewährleisten. Das alleine lässt bei mir schon alle Alarmglocken angehen..." Dass BMI, BSI, und Sie den Stand der Technik offensichtlich nicht kennen ist kein Grund, ihn nicht nach Artikel 32 DSGVO einzufordern. Aber Sie dürfen die Softwareersteller ja fragen, ob sie die entsprechenden OWASP und PCIDSS Guidelines zu Sicherheitsfragen kennen und beachten. Ausbauen wäre einfacher. Und zu schreiben man verwende Sicherheitsanfragen nur auf niedrigem Sicherheitsniveau - wollen Sie Verbraucher irreführen? Mit freundlichen Grüßen Christina Franke

Sehr << Anrede >> vielen Dank für Ihr Schreiben vom 26.09.2022 - Ihr Zeichen DSB/7-193-580. Mir fällt zum Thema Sicherheitsfragen nur noch ein, dass mit diesem Unsinn Steuergelder verschwendet werden. Mit Ihrer Argumentation könnte man auch auf Sicherheitsfragen verzichten und damit Geld sparen. Meine Beschwerde und Fragen wegen mangelnder Verschlüsselung im Rechenzentrum haben Sie in all Ihren Schreiben nicht ernsthaft beantwortet. Ich vermute, dass auch in Bayern für das Verwaltungsportal der Schutzbedarf hoch festgestellt wurde, und dennoch im Rechenzentrum weder die Kommunikation noch die Speicherung von Daten verschlüsselt stattfindet. Weitere Informationen dazu finden Sie und alle Leser hier auch auf https://blog.lindenberg.one/PortalBeschwerdenAuskunft. Keine Antwort muss ich als Bestätigung interpretieren. Mit freundlichen Grüßen Christina Franke