Sicherheit Schulcampus

Anfrage an: Pädagogisches Landesinstitut

Sie betreiben den Schulcampus RLP, auf dem Schülerinnen und Schüler eine große Menge vertraulicher Daten speichern sollen. Zum Schutz dieser Daten ist rechtlich die Durchführung von technischen und organisatorischen Maßnahmen verpflichtend. Bei professionellen Datenverarbeitern findet man typischerweise Informationen darüber, nach welchem Standard diese Vorgaben umgesetzt wurden, i.d.R. verbunden mit dem Nachweis einer erfolgreichen Prüfung durch einen externen Auditor. - Für den Schulcampus kann ich derartige Informationen nicht finden.
Bitte senden Sie mir deshalb im einfachsten Fall die Information, wo ich diese Information öffentlich vorfinden kann. Falls das nicht möglich ist, bitte ich um folgende Auskünfte:
- Sind für den Schulcampus die in der DSGVO vorgesehenen Technischen und Organisatorischen Maßnahmen (TOMs) definiert und bei allen involvierten Gruppen etabaliert?
- Falls ja: Wurde die angemessene Umsetzung dieser TOMs durch eine unabhängige Stelle überprüft (bspw. gemäß ISO 27001, BSI Grundschutz etc.)?
- Falls ja: teilen Sie bitte das Ergebnis dieser Prüfung mit.
- Falls nein: Warum wurde eine solche Prüfung nicht durchgeführt.

Weil Sie in hohem Maße OpenSource-Komponenten einsetzen, würde ich zusätzlich gerne wissen, auf welche Weise Sie die eingesetzte Software, inkl. der Abhängigkeiten auf Sicherheitslücken prüfen um Angriffe über kompromittierten Code abzuwehren. Involvieren Sie dafür einen professionellen Dienstleister, der das für alle Softwarekomponenten durchführt, haben Sie dafür eigenes Personal in benötigtem Umfang oder vertrauen Sie einfach darauf, dass die OpenSource Community schon aufpassen wird?

Warte auf Antwort

  • Datum
    31. März 2024
  • Frist
    4. Mai 2024
  • Ein:e Follower:in
  • Anfrage teilen
    Twitter Mastodon Kurzlink kopieren
  • RSS-Feed
Alle einklappen Alle ausklappen Zum Ende
<< Anfragesteller:in >>
am 31. März
Antrag nach dem LTranspG, VIG Guten Tag, bitte senden Sie mir Folgendes zu: Sie betreiben den Schulcampus RLP,…
An Pädagogisches Landesinstitut Details
Von
<< Anfragesteller:in >>
Betreff
Sicherheit Schulcampus [#304655]
Datum
31. März 2024 19:25
An
Pädagogisches Landesinstitut
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem LTranspG, VIG Guten Tag, bitte senden Sie mir Folgendes zu:
Sie betreiben den Schulcampus RLP, auf dem Schülerinnen und Schüler eine große Menge vertraulicher Daten speichern sollen. Zum Schutz dieser Daten ist rechtlich die Durchführung von technischen und organisatorischen Maßnahmen verpflichtend. Bei professionellen Datenverarbeitern findet man typischerweise Informationen darüber, nach welchem Standard diese Vorgaben umgesetzt wurden, i.d.R. verbunden mit dem Nachweis einer erfolgreichen Prüfung durch einen externen Auditor. - Für den Schulcampus kann ich derartige Informationen nicht finden. Bitte senden Sie mir deshalb im einfachsten Fall die Information, wo ich diese Information öffentlich vorfinden kann. Falls das nicht möglich ist, bitte ich um folgende Auskünfte: - Sind für den Schulcampus die in der DSGVO vorgesehenen Technischen und Organisatorischen Maßnahmen (TOMs) definiert und bei allen involvierten Gruppen etabaliert? - Falls ja: Wurde die angemessene Umsetzung dieser TOMs durch eine unabhängige Stelle überprüft (bspw. gemäß ISO 27001, BSI Grundschutz etc.)? - Falls ja: teilen Sie bitte das Ergebnis dieser Prüfung mit. - Falls nein: Warum wurde eine solche Prüfung nicht durchgeführt. Weil Sie in hohem Maße OpenSource-Komponenten einsetzen, würde ich zusätzlich gerne wissen, auf welche Weise Sie die eingesetzte Software, inkl. der Abhängigkeiten auf Sicherheitslücken prüfen um Angriffe über kompromittierten Code abzuwehren. Involvieren Sie dafür einen professionellen Dienstleister, der das für alle Softwarekomponenten durchführt, haben Sie dafür eigenes Personal in benötigtem Umfang oder vertrauen Sie einfach darauf, dass die OpenSource Community schon aufpassen wird?
Dies ist ein Antrag auf Auskunft bzw. Einsicht nach § 2 Abs. 2 Landestransparenzgesetz (LTranspG) bzw. nach § 2 Abs. 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Verbraucherinformationen nach § 2 Abs. 1 VIG betroffen sind. Sollte diese Anfrage wider Erwarten keine einfache Anfrage sein, bitte ich Sie darum, mich vorab über den voraussichtlichen Verwaltungsaufwand sowie die voraussichtlichen Kosten für die Akteneinsicht bzw. Aktenauskunft zu informieren. Soweit Verbraucherinformationen betroffen sind, bitte ich Sie zu prüfen, ob Sie mir die erbetene Akteneinsicht bzw. Aktenauskunft nach § 7 Abs. 1 Satz 2 VIG auf elektronischem Wege kostenfrei gewähren können. Mit Verweis auf § 12 Abs. 3 Satz 1 LTranspG möchte ich Sie bitten, unverzüglich über den Antrag zu entscheiden. Soweit Umwelt- oder Verbraucherinformationen betroffen sind, verweise ich auf § 12 Abs. 3 Satz 2 Nr. 2 LTranspG bzw. § 5 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen baldmöglichst, spätestens bis zum Ablauf eines Monats nach Antragszugang zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich Sie, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Ich bitte Sie um eine Antwort in elektronischer Form (E-Mail) und möchte Sie um eine Empfangsbestätigung bitten. Vielen Dank für Ihre Mühe! Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 304655 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/304655/ Postanschrift << Antragsteller:in >> << Antragsteller:in >> << Adresse entfernt >>
Mit freundlichen Grüßen << Anfragesteller:in >>
Nur eingeloggt sichtbar 7. April 2024 17:16
Hallo, herzlichen Dank für den Hinweis, vielleicht komme ich künftig darauf zurück. Ich habe aber auch selbst schon einige Lücken … Alles lesen Hallo,
herzlichen Dank für den Hinweis, vielleicht komme ich künftig darauf zurück. Ich habe aber auch selbst schon einige Lücken entdeckt, für die sich nur offensichtlich niemand zuständig fühlt. Deswegen würde ich mich jetzt ersteinmal für die TOMs interessieren. Wenn die nicht sinnvoll etabliert sind, gibt es beim PL auch keine Prozesse, um mit Sicherheitslücken sinnvoll umzugehen.
Viele Grüße
Nur eingeloggt sichtbar 6. April 2024 22:55
Hallo, falls Sie sich für die Sicherheit und technische Umsetzung dieser Schulcampus-Plattform interessieren, kann ich Ihnen eventuell auch ein paar … Alles lesen Hallo,

falls Sie sich für die Sicherheit und technische Umsetzung dieser Schulcampus-Plattform interessieren, kann ich Ihnen eventuell auch ein paar Informationen geben.

Ich beschäftige mich seit einiger Zeit mit der Sicherheit der Software des PL und habe einige erschreckende Entdeckungen gemacht, die ich Ihnen teilweise (keine Details, da einige Probleme sehr groß und unbehoben sind) auch mitteilen kann. Wie Sie sehen, habe ich ebenfalls einige Anfragen zu diesem Thema an das PL gestellt.

Sie können mich per E-Mail (aaron@nirvati.org), Telegram/Discord/Twitter @AaronDewes, Signal @AaronDewes.17 erreichen.

Mit freundlichen Grüßen
Aaron Dewes
Please login to write a comment.

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Pädagogisches Landesinstitut
am 9. April
Sehr << Antragsteller:in >> Ihre E-Mail ist eingegangen und liegt mir zur Bearbeitung vor. Mit freun…
Details
Von
Pädagogisches Landesinstitut
Betreff
AW: [EXTERN] Sicherheit Schulcampus [#304655]
Datum
9. April 2024 11:43
Status
Warte auf Antwort
Sehr << Antragsteller:in >> Ihre E-Mail ist eingegangen und liegt mir zur Bearbeitung vor. Mit freundlichen Grüßen
Noch keine Kommentare. Please login to write a comment.