Auf Mastodon teilen

Sehr geehrte<< Anrede >> erneut möchte ich Sie bitten, die Ablehnungsgründe der TH Wildau zu bewerten und bitte Sie um Ihre geschätzte Vermittlung. https://fragdenstaat.de/a/196330/ Prinzipiell scheint es mir um drei unterschiedliche Dinge zu gehen, die jedoch im Thema des Fragehorizontes zusammenhängen. 1. Gesperrte Dienste/Ports Entgegen der Ansicht der TH Wildau halte ich die Kenntnis darüber, welche Dienste oder Ports gesperrt sind nicht für ein Thema der Sicherheit. Tatsächlich erachte ich sogar das Gegenteil für wahrscheinlicher. Sofern man sich darauf verlässt, dass bestimmte Angriffsszenarien über gesperrte Ports oder Dienste zu vermeiden sind, ist eher von fehlendem technischem Verständnis des Ablaufes heutiger Angriffsszenarien auszugehen und somit zu hinterfragen, ob die Hochschule Stand der Technik einsetzt. So ist es auch nicht verwunderlich, dass u.a. das Leibniz Rechenzentrum bereitwillig Auskunft über gesperrte Dienste/Ports und Gründe gibt: https://www.lrz.de/services/netz/einschraenkung/ Ebenso spezifiziert das Eduroam in seiner Service Definition unter 6.3.3 (https://www.eduroam.org/wp-content/uploads/2016/05/GN3-12-192_eduroam-policy-service-definition_ver28_26072012.pdf) öffentlich verpflichtende Ports, die im Eduroam zur Verfügung stehen müssen und auch, dass bei Verwendung transparenter Proxies darauf öffentlich hinzuweisen ist. Somit ist mir aufgrund der pauschalen Ablehnung auch nicht klar, ob sich die TH Wildau zumindest im Eudroam Netzwerk an die verpflichtenden Regeln hält. Inwiefern die Hochschule bei Kenntnis gesperrter Dienste/Ports ihre Aufgaben in einem erheblichen Maße nicht wahrzunehmen im Stande ist, ist mir nicht nachvollziehbar. Der Logik, dass durch Kenntnis eventuell mehr Angriffe geschehen oder erst welche entstehen fehlt es an konkreten Nachweisen und die Experten des LRZ sind da offensichtlich auch anderer Auffassung. 2. Forderungen/Abmahnungen Ebenso erfragte ich die Anzahl Abmahnungen durch Rechteinhaber, die in der direkten kausalen Folge zu Dienst/Portsperrungen führten. Hier ist mir komplett unklar inwiefern die Kenntnis dieser Zahlen die Arbeit der Hochschule in erheblichem Maße einschränken würde. 3. Verfahrensverzeichnisse Verfahrensverzeichnisse sollen jedermann frei zugänglich/einsehbar sein. Ich gehe im Moment implizit davon aus, dass Sperrungen (und Monitoring) an der TH Wildau eingesetzt werden. Dementsprechend erwarte ich, dass auch Verfahrensverzeichnisse vorhanden sind, da regelmäßig personenbezogene Daten anfallen. Insofern verwundert mich die Ablehnungsbegründung. Die TH Wildau führt an, ihre Aufgaben in einem erheblichen Maße nicht mehr ausführen zu können, sofern die von mir erfragten Informationen bekannt würden. Da Sperrungen durch trivialste Messungen von Studierenden vor Ort ermittelbar sind, und eine Veröffentlichung dieser Messungen, z.B. in einer wissenschaftlichen Arbeit auch nicht verhindert werden kann, kann ich nicht erkennen, in wie fern die Information überhaupt schützenswert wäre. Es mangelt an einer konkreten (nicht nur abstrakten) Gefahr. Das Fehlen eines aktenkundigen Prozesses zur Errichtung, Überprüfung und Entfernen von Portsperren verwundert, da dieser sicherlich innerhalb der Verfahrensverzeichnisse beschrieben ist, da dort ja regelmäßig personenbezogene Daten anfallen. Da die TH Wildau nur eine Begründung genannt hat, diese mir aber teilweise (zu. 2. und 3.) sachfremd erscheint, ist mir ebenso unklar, ob meine Fragen überhaupt vollständig erfasst/verstanden worden sind. Rückfragen an mich hat die Hochschule nicht getätigt. Sie finden auch alle Dokumente zu dieser Anfrage als Anhang zu dieser E-Mail. Sie dürfen meinen Namen gegenüber der Behörde nennen. Mit freundlichen Grüßen Marcel Langner Anhänge: - 196330.pdf - 2020-09-16_1-antwort-th-wildau-196330.pdf Anfragenr: 196330 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/196330/

Fax: [geschwärzt] Sehr geehrte [geschwärzt], ich wünsche uns allen ein gesundes und erfolgreiches gemeinsames 2021. Es ist mir nicht entgangen, dass Sie in Ihrem letzten Schreiben erstmalig darauf hingewiesen haben, für Rückfragen selbstverständlich sehr gern zur Verfügung stehen. Ich wünsche mir, auch auf zukünftig gerichtete Anfragen, dass dieses Angebot auch durch entsprechenden Taten untermauert wird und wir nicht jedes einzelne Mal die LDA bemühen müssen, die auch nicht zu wenig Arbeit hat. Inzwischen haben Sie mit Ihrem Schreiben auf einen Teil meiner Fragen zu meiner Zufriedenheit geantwortet. Strittig erscheint mir nun nur noch eine Auskunft darüber, welche konkreten Ports/Protokolle/Dienste gesperrt sind. Ebenso konnte ich lesen, dass Ihnen noch Informationen darüber fehlen, in welche konkreten Verfahrensverzeichnisse ich Einsicht wünsche. Auskunft über konkrete gesperrte Ports/Protokolle/Dienste Ich kann hier zwei Argumentationslinien erkennen. Zum einen die Einstufung von vorhandenen Dokumenten und zum anderen den Ablehnungsgrund nach § 4 Abs. 2 Nr. 4 AIG. Einstufung der Dokumente Letztlich sehe ich die Einstufung von Dokumenten als (mehr oder weniger) willkürlich an, sofern die Kriterien nicht offengelegt werden und nachprüfbar sind. Auch eine ISO27001 Zertifizierung nimmt nur stichprobenartige Prüfungen vor. Der TÜV schreibt dazu auf seiner Webseite: „Das Prüfzeichen gilt nicht: für die Qualität der Produkte und Dienstleistungen sowie die Informationssicherheit an sich.“ und weiter: „Das Prüfzeichen gilt: für die Befähigung einer Organisation, Informationen sicher zu handhaben.“ Die Zertifizierung stellt lediglich sicher, dass der Zertifizierte einen entsprechenden Prozess vorhält, um Informationen sicher zu handhaben und auf entsprechende Veränderungen zu reagieren. Ob die konkret getroffenen Entscheidungen angemessen sind, wird gerade nicht zertifiziert. Dementsprechend ist auch die Herausgabe (nach sowieso höherrangigem Recht) eines auf selbst eingeschätzten Sachverhalten eingestuftes Dokument, kein Normverstoß. Die Einschätzung kann jederzeit ohne Verlust der Zertifizierung angepasst werden. Tatsächlich ist dafür sogar ein Prozess vorgesehen, der Teil der Zertifizierung ist. Daraus folgend ist deshalb nur, weil ein Dokument z.B. als VS – nur für den Dienstgebrauch oder höher eingestuft ist (oder irgendeiner anderen Einstufungsrichtlinie z.B. ISO 27001), dies nicht gleichbedeutend damit, eine Anfrage abzulehnen oder eine Begründung dafür. In dem Sinne hat auch bereits das BVerwG 7 C 21.08 vom 29.10.2009 entschieden: „Der Anspruch auf Zugang zu einer Information ist nicht allein deshalb nach § 3 Nr. 4 IFG ausgeschlossen, weil die Information formal als Verschlusssache eingestuft ist. Vielmehr kommt es darauf an, ob die materiellen Gründe für eine solche Einstufung vorliegen.“ Hier zwar auf das IFG bezogen, das jedoch gleichlautend dem AIG ist und letztlich würde ja auch ein Rechtsverfahren dort landen. In diesem Sinne wird erst durch ein Gericht oder externe Sachverständige zu klären sein, ob diese materiellen Gründe hier vorliegen. Ablehnungsgrund nach § 4 Abs. 2 Nr. 4 AIG Somit ist einzig ein Ablehnungsgrund nach AIG rechtlich für mich (und sicherlich auch einem Gericht) relevant. Nr. 4 enthält mehrere Aspekte der Ablehnung. Ich konnte nicht erkennen, auf welchen Sie sich hier berufen. Mir erscheint jedoch ausschließlich der Aspekt der Gefahrenabwehr relevant. Hier vor allem im Kontext der Aufrechterhaltung des ordnungsgemäßen Dienstbetriebes, was ich jedoch nur vermuten kann. In der Interpretation der Ablehnung gehe ich davon aus, dass Sie der Auffassung sind, dass es bei Bekanntgabe der Informationen zu einer Beeinträchtigung von nicht näher genannten „Dingen“ kommen kann. Leider reicht mir das als Begründung nicht ganz aus. Weil auf einer solch unkonkreten Aussage quasi alles ablehnbar ist. Mir sind keine Studien oder ähnliches bekannt, die nachweisen würden, dass es bei dem Wissen darum, welche Ports/Protokolle/Dienste in einem Netzwerk gesperrt sind, zu einer erhöhten oder erstmaligen Gefahr irgendeiner Art kommen kann. Dass die Sperrung bestimmter Ports/Protokolle/Dienste bestimmte Gefahren abmildern (aber nicht verhindern) kann, dem kann ich zustimmen. Das Wissen oder Nichtwissen um diese Sperrungen hat darauf jedoch keinen nachgewiesenen Einfluss. Heutige (und auch bereits vergangene) Angriffsszenarien beschränken sich nicht auf bestimmte Ports/Protokolle/Dienste. Eine Sicherheitsstrategie die darauf setzt, die Kenntnis über die konkreten Sperrungen geheimzuhalten, und dadurch auf dessen Wirksamkeit vertraut, setzt meiner Einschätzung nach nicht den Stand der Technik nach DSGVO Art. 32 ein. Dieses Konzept der Security through Obscurity wird von einem Großteil der Sicherheitsexperten abgelehnt. So ist es auch nicht verwunderlich, dass viele Hochschule mit wesentlich größeren Netzwerken und damit auch wesentlich größerem Angriffsfeld, klar angeben, welche Ports/Protokolle/Dienste in ihren Netzen aus welchen Gründen gesperrt sind. Die Experten dieser Hochschulen scheinen also eine andere Sicherheitsauffassung zu vertreten. Im übrigen sieht auch die Rechtsstelle des DFN in ihrem Rechtsbrief 10/2018 Sperrungen von Ports/Protokollen/Diensten sehr kritisch. Jede Sperre stellt dahingehend eine Einschränkung der Wissenschaftsfreiheit dar. Dementsprechend bedarf es auch einer entsprechend starken Begründung, sofern ein grundrechtlich geschütztes Gut eingeschränkt wird. Zu Ihrer Information möchte ich Ihnen die vielzitierte Entscheidung des VGH Mannheim zum Alkoholverbot in Teilen der Freiburger Innenstadt (Urteil vom 28.07.2009 – 1 S 2200/08) bezüglich dem Begriff der abstrakten Gefahr zur Kenntnis geben: „[…] eine abstrakte Gefahr ist gegeben, wenn eine generell-abstrakte Betrachtung für bestimmte Arten von Verhaltensweisen oder Zuständen zu dem Ergebnis führt, dass mit hinreichender Wahrscheinlichkeit ein Schaden im Einzelfall einzutreten pflegt und daher Anlass besteht, diese Gefahr mit abstrakt generellen Mitteln, also einem Rechtssatz, zu bekämpfen. Auch die Feststellung einer abstrakten Gefahr verlangt mithin eine in tatsächlicher Hinsicht genügend abgesicherte Prognose: es müssen – bei abstrakt-genereller Betrachtung – hinreichende Anhaltspunkte vorhanden sein, die den Schluss auf den drohenden Eintritt von Schäden rechtfertigen. Der Schaden muss regelmäßig und typischerweise, wenn auch nicht ausnahmslos, zu erwarten sein.“ Einer negativen Prognose (mögliche erstmalige oder erhöhte oder erfolgreichere Angriffe) mangelt es an hinreichenden Anhaltspunkten. Nur noch zusätzlich sehen es die vielen anderen Hochschulen offensichtlich anders. Letztlich kann ich aber auch der Logik der Argumentation nicht folgen. Ist es in Ihrer Sichtweise nicht viel gefährlicher, wenn stattdessen bekannt wäre, was nicht gesperrt ist? Genau das ist ja aber bereits (mehr oder weniger) bekannt. So ist in den Eduroam Policies beschrieben, welche Ports/Protokolle/Dienste nicht gesperrt werden dürfen. Zumindest das hätten Sie doch als Teilauskunft „gefahrlos“ beantworten können, dass Sie sich an diese Vorgaben auch halten. Ebenso bekannt ist, dass Ports 80 und 443 nicht generell gesperrt sind bzw. über einen Proxy erreichbar sind. Jeder vermeintliche Angreifer kann sich nun also darauf verlassen, diese Ports/Protokolle/Dienste für einen Angriff verwenden zu können. Seit Jahren! Welchen vermeintlichen Sicherheitsmehrwert hat dann die Geheimhaltung der gesperrten Ports/Protokolle/Dienste? Eventuell lässt sich hier jedoch ein Kompromiss finden. Wie wäre denn eine Teilauskunftserteilung, indem nur für bestimmte Kategorien/Klassen von Netzen, die von einem größeren Personenkreis auch genutzt werden (z.B. Eudroam, Übungslabore, Wohnheim usw.) eine Liste bekannt wäre, auf was man sich dort als funktionierend bzw. gesperrt verlassen kann? Mich interessiert ja nicht wirklich jedes einzelne VLAN, welches es gibt. Spannend wären jene Netze, auf welche ich als Student üblicherweise auch angewiesen wäre. Eventuell kann diese Liste mit den Bedürfnissen der beiden Fachbereiche und der Studierendenvertretung erstellt und dann veröffentlicht werden. Ich wäre in diesem Sinne auch geduldig, sofern ich kontinuierlichen Fortschritt erkennen kann. Konkrete Benennung der Verfahrensverzeichnisse Sofern Sperren an Ihrer Hochschule vorliegen, wovon ich aufgrund Ihrer Antworten ausgehe, fallen im Rahmen dieser Sperrmaßnahmen mind. IP Adressen und MAC Adressen als personenbezogene Daten an. Diese werden in Ihren Systemen vermutlich gespeichert, zumindest jedoch ausgewertet oder auch von Intrusion Detection Systemen analysiert und je nach Software auch an Dienstleister (z.B. Cisco) weitergeleitet. Ebenso setzen Sie Proxyserver ein, auf denen diese Daten ebenso anfallen (z.B. als Logdateien). Da mir eine Gesamtliste der Verfahren nicht bekannt ist, wüsste ich nicht, wie ich darauf noch konkreter antworten soll. Gern können Sie mir ein Inhaltsverzeichnis der Verfahren zukommen lassen, so dass ich aus diesen auswählen kann. Ansonsten möchte ich mir weitere Unterstützung Ihrerseits entsprechend AIG § 6 (1) erbitten: „Sofern dem Antragsteller Angaben zur hinreichenden Bestimmung seines Antrages fehlen, ist er von der öffentlichen Stelle zu beraten und zu unterstützen.“ Ich bedanke mich und möchte auf meine zuoberst genannte Faxnummer hinweisen. Eventuell reicht Ihnen diese, anstatt einen Postbrief zu versenden. Vielleicht lassen sich so ein paar kg CO2 und Kosten sparen. Alternativ sehr gern Ende-zu-Ende verschlüsselte Emails via PGP. Mit freundlichen Grüßen Marcel Langner Anfragenr: 196330 Antwort an: [geschwärzt] Laden Sie große Dateien zu dieser Anfrage hier hoch: [geschwärzt]

Sehr << Anrede >> meine Informationsfreiheitsanfrage „Verletzung der Netzneutralität an der TH Wildau, Einschränkung der Wissenschafts- und Lehrfreiheit, Overblocking“ vom 30.08.2020 (#196330) wurde von Ihnen noch nicht beantwortet. Bitte informieren Sie mich über den Stand meiner Anfrage. Mit freundlichen Grüßen Marcel Langner Anfragenr: 196330 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/196330/

Sehr << Anrede >> ich bitte um Beachtung des bisher angelaufenen Schriftverkehrs und der Argumentation. https://fragdenstaat.de/a/196330/ Sie finden auch alle Dokumente zu dieser Anfrage als Anhang zu dieser E-Mail. Sie dürfen meinen Namen gegenüber der Behörde nennen. Mit freundlichen Grüßen Marcel Langner Anhänge: - 196330.pdf - 2020-09-16_1-antwort-th-wildau-196330.pdf - 2020-09-28_1-LDA_002201618_200928.pdf - 2020-10-09_1-LDA_002201618_201009.pdf - 2020-12-22_1-antwort-th-wildau-portsperren.pdf - 2021-02-23_1-antwort-th-wildau-196330.pdf Anfragenr: 196330 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/196330/

Sehr << Anrede >> bisher habe ich seit Oktober 2020 keine weitere Rückmeldung zu diesem Thema von Ihnen erhalten. Zu meinen bisherigen Argumenten möchte ich folgende gewichtige Punkte hinzufügen. Laut EU Telecom Single Market (TSM) Verordnung (EU) 2015/2120, sind zumindest die öffentlichen Telekommunikationsanbieter verpflichtet entsprechende Portsperren auch anzugeben. Beispielhaft: https://www.vodafone.de/business/hilfe-support/eu-transparenz-verordnung.html Eine solche Verordnung wäre sicherlich nicht erlassen worden, sofern die Kenntnis gesperrter Ports in der Tat eine so starke Sicherheitsrelevanz aufweist, wie die Hochschule versucht darzustellen. Zusätzlich kommt hinzu, dass die Hochschule jedwede Art der Abwägung mit den Rechten ihrer aktuellen und zukünftigen Mitgliedern in ihrer Argumentation vermissen lässt. Ich möchte Sie um Sachstandsmitteilung bitten und lasse mich vertrösten, sofern Sie noch weitere Monate Zeit benötigen. Ebenso möchte ich Sie bitten auf den geänderten Bescheid er Hochschule einzugehen. Ich bitte dort um Mithilfe bezüglich der Konkretisierung, weil ich im Moment nicht weiß, wie ich es noch klarer formulieren soll. Die Hochschule gibt an kein Inhaltsverzeichnis der Verarbeitungstätigkeiten zu besitzen. Die bisherige Korrespondenz finden Sie hier: https://fragdenstaat.de/a/196330/ Sie finden auch alle Dokumente zu dieser Anfrage als Anhang zu dieser E-Mail. Sie dürfen meinen Namen gegenüber der Behörde nennen. Mit freundlichen Grüßen Marcel Langner Anhänge: - 196330.pdf - 2020-09-16_1-antwort-th-wildau-196330.pdf - 2020-09-28_1-LDA_002201618_200928.pdf - 2020-10-09_1-LDA_002201618_201009.pdf - 2020-12-22_1-antwort-th-wildau-portsperren.pdf - 2021-02-23_1-antwort-th-wildau-196330.pdf Anfragenr: 196330 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/196330/

Sehr << Anrede >> ich bitte um Kenntnisnahme des angehangenen Schreibens, welches Ihnen auch per Fax zuging. Mit freundlichen Grüßen Marcel Langner Anhänge: - widerspruch-th-wildau-196330.pdf Anfragenr: 196330 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/196330/

Sehr << Anrede >> für Sie und Ihre Aktenführung ledglich nachrichtlich ohne Handlungsbedarf von meiner Seite. Mir erschien es (als einzig mir ersichtliche Möglichkeit) nun auch angemessen ein Gericht darum zu bitten, der Hochschule und mir bei der Klärung unserer unterschiedlichen Rechtsauffassungen zu helfen. Mit freundlichen Grüßen Marcel Langner Anhänge: - 196330.pdf - 2020-09-16_1-antwort-th-wildau-196330.pdf - 2020-09-28_1-LDA_002201618_200928.pdf - 2020-10-09_1-LDA_002201618_201009.pdf - 2020-12-22_1-antwort-th-wildau-portsperren.pdf - 2021-02-23_1-antwort-th-wildau-196330.pdf - 2021-03-22_1-widerspruch-th-wildau-196330.pdf - 2021-03-30_1-LDA_002201618_200330.pdf - 2021-04-26_1-widerspruchsbescheid-th-wildau-196330.pdf Die folgenden Anhänge konnten wegen ihrer Größe nicht per Mail versendet werden. Sie können sie auf der Anfrageseite finden: - 2021-05-08_1-klage-th-wildau-196330_g.pdf Anfragenr: 196330 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/196330/