Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu: Das BSI ist, betreibt oder unterstützt die Allianz für Cybersicherheit – was genau zutrifft erschließt sich mir aus dem Webauftritt nicht wirklich. Am 21.03.2021 habe ich ein Sicherheitsproblem mit einer Praxissoftware an <<E-Mail-Adresse>> gemeldet, in der Hoffnung eine Antwort zu bekommen. In Deutschland gibt es die DSGVO und die enthält Vorschriften an die sich Verantwortliche und Auftragsverarbeiter halten müssen. Es gibt aber meines Wissens keine Sicherheitsvorschriften für Software- oder Systemlieferanten, und so kann sich ein Anbieter mit mangelhafter Software halten, insbesondere wenn deren Kunden – wie in diesem Fall Psychotherapeuten – typischerweise wenig bis gar keine Kenntnisse auf dem Gebiet der IT-Sicherheit haben. Nicht dass ich wirklich ein Fan des BSI Grundschutzes wäre, dafür lässt der zu viele Fragen offen, aber hier sehe ich ganz klar CON.8 A8 als nicht erfüllt an. Bestehen Überlegungen oder Pläne das zu ändern, und eine Zertifizierung von Mindestsicherheitsanforderungen einzuführen? Die könnte vielleicht zu einer Marktbereinigung bei unseriösen – und anders kann ich das nicht nennen – führen. Oder gibt es beim BSI Evaluationen, welche oder wie viele Anbieter hier schludern? Leider kann ich hier keine Kopie meiner Mail vom 21.03.2021 anhängen, und vielleicht ist das auch gut so um nicht die falschen Personen zu animieren, die Probleme auszunutzen. Wenn Sie diese Mail nicht finden, teilen Sie mir bitte eine Emailadresse mit, an die ich sie nochmal senden soll. Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfweise Ermäßigung der Gebühren. Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren. Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 225951 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/225951/ Postanschrift Joachim Lindenberg << Adresse entfernt >>

Sehr << Anrede >> auf Empfehlung des BSIs in https://fragdenstaat.de/a/225951 möchte ich anregen, Mindestanforderungen und/oder ein Zertifizierung einzuführen. Oder gibt es dazu schon Überlegungen und Pläne? Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 225951 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/225951/

Sehr << Anrede >> ich habe eine entsprechende Frage an das BMI gesendet. Aber Sie können mir bestimmt noch mitteilen, was auf meine Mitteilung vom 21.03.2021 an <<E-Mail-Adresse>> unternommen wurde. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 225951 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/225951/

Sehr geehrte Damen und Herren, Ihr Hinweis auf das Zertifizierungsprogramm des BSIs überzeugt mich nicht. Zum einen weil es sich ausdrücklich an Verbraucher richtet und nicht an Unternehmen oder Freiberufler, und daher nicht zu erwarten ist, dass im eingangs geschilderten Fall der mangelhaften Praxissoftware Anforderungen definiert werden oder eine Zertifizierungen stattfinden. Zum anderen existieren im Moment nur zwei Produktklassen die zertifiziert werden können, Breitbandrouter und Emaildienste. In beiden zugrundeliegenden technischen Richtlinien finden sich meiner Meinung nach sowohl unzureichende als auch fragwürdige Anforderungen. Wenn ich die Zeit dafür finde werde ich vielleicht entsprechende Anfragen einreichen. Für Software kann ich Starthilfe leisten. Ich habe die Anforderungen mit denen ich selbst arbeite auf https://blog.lindenberg.one/Sicherheitsanforderungen veröffentlicht. Die sind sicherlich nicht perfekt, aber schon mit diesen Anforderungen haben viele Unternehmen Probleme in der Umsetzung. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 225951 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/225951/

Sehr geehrte Damen und Herren, in Bundestagsdrucksache 20/449 (https://dserver.bundestag.de/btd/20/004/2000449.pdf) schreibt die Bundesregierung: "In diesem Sinne wirkt das BSI als Cyber-Sicherheitsbehörde des Bundes gemäß seinem aus § 3 Absatz 1 des BSI-Gesetzes (BSIG) hervorgehenden gesetzlichen Auftrag darauf hin, sämtliche Sicherheitslücken umgehend und im vertrauensvollen Austausch mit den Herstellern zu schließen. ... Das BSI bietet Sicherheitsforschenden die Möglichkeit, über ein Schwachstellenmeldeformular (auch anonym) Schwachstellen zu melden, um dadurch einen CVD-Prozess einzuleiten (www.bsi.bund.de/DE/IT-Sicherheitsvorfall/IT-Schwachstellen/Online_Meldung_Schwachstellen/schwachstellenmeldung_node.html;jsessionid=577C172259A8A46E48C3BE0AD41B9045.internet481)." Nun habe ich das Formular bisher nicht gekannt und daher nicht benutzt, aber dennoch per Email und Anfrage (https://fragdenstaat.de/anfrage/sicherheit-von-software-und-systemen/) Schwachstellen benannt. Hat das BSI einen CVD eingeleitet oder - wie die bisherige Antwort schließen lässt - sich im Gegensatz zur Bundesregierung nicht für zuständig gehalten? Oder nur deswegen nicht bearbeitet, weil ich nicht das richtige Formular benutzt habe? Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 225951 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/225951/