Verschlüsselung im BSI Grundschutz?

Die DSGVO erwähnt in Artikel 32 (1) Verschlüsselung als geeignetes Mittel zum Schutz personenbezogener Daten. Das ist nicht wirklich neu, schon die Anlage zum alten BDSG §9 erwähnte Verschlüsselung als geeignetes Mittel. Besonders deutlich ist das neue BDSG im §64 oder z.B. das LDSG SH in §40 jeweils im gleichlautenden Absatz (3) jeweils letzter Satz - beide natürlich nur im Bereich der EU Richtlinie 680/2016 direkt anwendbar. Dort steht "Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden." Daraus leite ich eine Empfehlung des Gesetzgebers ab, Verschlüsselung entsprechend dem Stand der Technik zu verwenden oder darzulegen wie die Nummern 2 bis 5 anders gleichwertig sichergestellt werden können - und beim besten Willen - dieser Nachweis der Gleichwertigkeit wird nach meiner Erfahrung gerne vernachlässigt. Und auch wenn BDSG Teil 3 nur für die Justiz direkt gültig ist - viele Vorschriften dort sind nur Konkretisierungen von Erwartungen auch im Anwendungsbereich der DSGVO.

Leider ist der BSI Grundschutz - und der findet auch im Bereich der EU Richtlinie 680/2016 Anwendung - da sehr unklar. Warum? Weil nicht nur personenbezogene Daten verarbeitet werden können? In der Realität sind die allermeisten Daten die verarbeitet werden möglicherweise irgendwie personenbezogen, und sei es nur über Metadaten oder Protokolle. Insofern muss meiner Meinung nach die Empfehlung sein, lieber zu viel als zu wenig zu verschlüsseln.

Leider geht der Baustein CON.1 auf diese Problematik überhaupt nicht ein. Er zählt - von der Einleitung abgesehen - mehr die Probleme von unprofessionell umgesetzter Verschlüsselung auf, als Organisationen dazu aufzufordern, Verschlüsselung als Standard zu etablieren. So sind viele Anfoderungen in CON.1 ein SOLL statt ein MUSS, und eine Anforderung personenbezogene oder andere vertrauliche Daten zu verschlüsseln fehlt vollständig. Selbst bei Daten mit hohem Schutzbedarf steht nur ein SOLL, kein MUSS.

Im Ergebnis kann eine Organisation nach BSI Grundschutz zertifiziert werden, ohne Verschlüsselung zu verwenden. Und das soll mir oder einem anderen Bürger Vertrauen in eine BSI Zertifizierung geben?

Ergebnis der Anfrage

Das BSI erwartet zu wenig Sicherheit. Mehr dazu auf https://blog.lindenberg.one/BundesamtUn… und speziell zu Verschlüsselung auf https://blog.lindenberg.one/Verschlusse….

Öffentliche Sicherheit ist dabei eine Phrase die alles mögliche enthält - s.a. https://de.wikipedia.org/wiki/%C3%96ffe…. Konkret gefährdet ist der Anspruch der Bürger auf Datenschutz (EU Grundrechte-Charta Artikel 8). Einen Angreifer wird Geheimhaltung der Sicherheitskonzepte nicht wirklich abhalten - s.a. https://blog.lindenberg.one/SecurityByO….

Antwort verspätet

Warte auf Antwort
  • Datum
    7. Juli 2021
  • Frist
    10. August 2021
  • 4 Follower:innen
Joachim Lindenberg (https://blog.lindenberg.one)
Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu: Die DSGVO erwähnt…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
Verschlüsselung im BSI Grundschutz? [#224475]
Datum
7. Juli 2021 15:18
An
Bundesamt für Sicherheit in der Informationstechnik
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:
Die DSGVO erwähnt in Artikel 32 (1) Verschlüsselung als geeignetes Mittel zum Schutz personenbezogener Daten. Das ist nicht wirklich neu, schon die Anlage zum alten BDSG §9 erwähnte Verschlüsselung als geeignetes Mittel. Besonders deutlich ist das neue BDSG im §64 oder z.B. das LDSG SH in §40 jeweils im gleichlautenden Absatz (3) jeweils letzter Satz - beide natürlich nur im Bereich der EU Richtlinie 680/2016 direkt anwendbar. Dort steht "Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden." Daraus leite ich eine Empfehlung des Gesetzgebers ab, Verschlüsselung entsprechend dem Stand der Technik zu verwenden oder darzulegen wie die Nummern 2 bis 5 anders gleichwertig sichergestellt werden können - und beim besten Willen - dieser Nachweis der Gleichwertigkeit wird nach meiner Erfahrung gerne vernachlässigt. Und auch wenn BDSG Teil 3 nur für die Justiz direkt gültig ist - viele Vorschriften dort sind nur Konkretisierungen von Erwartungen auch im Anwendungsbereich der DSGVO. Leider ist der BSI Grundschutz - und der findet auch im Bereich der EU Richtlinie 680/2016 Anwendung - da sehr unklar. Warum? Weil nicht nur personenbezogene Daten verarbeitet werden können? In der Realität sind die allermeisten Daten die verarbeitet werden möglicherweise irgendwie personenbezogen, und sei es nur über Metadaten oder Protokolle. Insofern muss meiner Meinung nach die Empfehlung sein, lieber zu viel als zu wenig zu verschlüsseln. Leider geht der Baustein CON.1 auf diese Problematik überhaupt nicht ein. Er zählt - von der Einleitung abgesehen - mehr die Probleme von unprofessionell umgesetzter Verschlüsselung auf, als Organisationen dazu aufzufordern, Verschlüsselung als Standard zu etablieren. So sind viele Anfoderungen in CON.1 ein SOLL statt ein MUSS, und eine Anforderung personenbezogene oder andere vertrauliche Daten zu verschlüsseln fehlt vollständig. Selbst bei Daten mit hohem Schutzbedarf steht nur ein SOLL, kein MUSS. Im Ergebnis kann eine Organisation nach BSI Grundschutz zertifiziert werden, ohne Verschlüsselung zu verwenden. Und das soll mir oder einem anderen Bürger Vertrauen in eine BSI Zertifizierung geben?
Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfweise Ermäßigung der Gebühren. Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren. Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/ Postanschrift Joachim Lindenberg << Adresse entfernt >>
Mit freundlichen Grüßen Joachim Lindenberg (https://blog.lindenberg.one)
Bundesamt für Sicherheit in der Informationstechnik
Bescheid zu Ihrer IFG-Anfrage Verschlüsselung im BSI Grundschutz? [#224475]
Von
Bundesamt für Sicherheit in der Informationstechnik
Via
Briefpost
Betreff
Bescheid zu Ihrer IFG-Anfrage Verschlüsselung im BSI Grundschutz? [#224475]
Datum
19. Juli 2021
Status
Warte auf Antwort
geschwärzt
4,3 MB
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr << Anrede >> vielen Dank für Ihre Informationen. Sie schreiben "Dies alles wird im Rahmen einer …
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Bescheid zu Ihrer IFG-Anfrage Verschlüsselung im BSI Grundschutz? [#224475]
Datum
20. Juli 2021 10:05
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> vielen Dank für Ihre Informationen. Sie schreiben "Dies alles wird im Rahmen einer ISO-27001-Zertifizierung auf Basis von IT-Grundschutz überprüft." Auf Ihrer Website https://www.bsi.bund.de/DE/Themen/Unt... listen Sie die vergebenen Zertifikate. Ich hätte gerne eine Kopie der Prüfberichte oder eine Zusammenfassung darüber, ob und wie die von Ihnen angeführten Grundschutzbausteine (plus CON.1) umgesetzt wurden. Vielen Dank und viele Grüße Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/
Bundesamt für Sicherheit in der Informationstechnik
AW: Bescheid zu Ihrer IFG-Anfrage Verschlüsselung im BSI Grundschutz? [#224475]
Von
Bundesamt für Sicherheit in der Informationstechnik
Via
Briefpost
Betreff
AW: Bescheid zu Ihrer IFG-Anfrage Verschlüsselung im BSI Grundschutz? [#224475]
Datum
5. August 2021
Status
Warte auf Antwort
geschwärzt
1,2 MB
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr << Anrede >> vielen Dank für Ihre Nachricht. Ich beantrage, der Öffentlichkeit die Prüfberichte …
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Bescheid zu Ihrer IFG-Anfrage Verschlüsselung im BSI Grundschutz? [#224475]
Datum
5. August 2021 16:03
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> vielen Dank für Ihre Nachricht. Ich beantrage, der Öffentlichkeit die Prüfberichte zur Verfügung zu stellen, die für die Erbringung von Bürgerdiensten des Portalverbundes im Sinne des Online-Zugangsgesetzes OZG relevant sind. Ich denke dass alle Bürger das Recht haben zu wissen, wie der Staat ihre Daten im Portalverbund schützt, und dass daher auch die Bereitstellung dieser Prüfberichte nicht unter "individuell zurechenbar" im Sinne von IFG § 10 (1) fällt. Vielmehr sollten diese Informationen öffentlich im Sinne des von Professor Kelber vorgeschlagenen Transparenzgesetzes sein. Sollten Sie da zu einer anderen Auffassung kommen, bitte ich um eine Begründung sowie die Mitteilung in welcher Höhe Sie Gebühren berechnen wollen. Vielen Dank und viele Grüße Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/
Bundesamt für Sicherheit in der Informationstechnik
AW: Bescheid zu Ihrer IFG-Anfrage Verschlüsselung im BSI Grundschutz? [#224475]
Von
Bundesamt für Sicherheit in der Informationstechnik
Via
Briefpost
Betreff
AW: Bescheid zu Ihrer IFG-Anfrage Verschlüsselung im BSI Grundschutz? [#224475]
Datum
10. August 2021
Status
Warte auf Antwort
geschwärzt
846,8 KB
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr << Anrede >> Die IFGGebV sagt aber auch in § 2 "Befreiung und Ermäßigung": "Aus Gründen der Bill…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Bescheid zu Ihrer IFG-Anfrage Verschlüsselung im BSI Grundschutz? [#224475]
Datum
10. August 2021 15:33
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> Die IFGGebV sagt aber auch in § 2 "Befreiung und Ermäßigung": "Aus Gründen der Billigkeit oder des öffentlichen Interesses kann die Gebühr um bis zu 50 Prozent ermäßigt werden. Aus den genannten Gründen kann in besonderen Fällen von der Erhebung der Gebühr abgesehen werden." Das öffentliche Interesse halte ich für gegeben - Geheimniskrämerei darum wie der Staat mit den Daten der Bürger umgeht - das steht Deutschland nicht gut. Ich habe das Gefühl, Sie wollen mich mit "Soweit ein Informationsbegehren mehrere Referate der verpflichteten Behörde betrifft, ein Drittbeteiligungsverfahren durchgeführt werden muss und zum Schutz öffentlicher Belange Daten ausgesondert werden, verursacht der Informationszugang einen deutlich höheren Verwaltungsaufwand i.S.d. Gebührenverzeichnisses zu § 1 Absatz 1 IFGGebV. Die Höhe der Gebühren richtet sich nach dem tatsächlich angefallenen Aufwand und kann erst nach Abschluss der Bearbeitung der IFG-Anfrage ermittelt werden." abschrecken. Ich schlage vor, Sie verzichten auf den "höheren Verwaltungsaufwand" i.S. § 1 (1) oder räumen mir die 50% nach §2 ein. Auch bin ich der Meinung, dass das BSI sicher a priori abschätzen kann, wie viele der Zertifizierungen für den Portalverbund relevant sind und wie lange es dauert die ggfs. auf eine DVD oder besser noch auf die Webseite des BSIs zu befördern. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/
Bundesamt für Sicherheit in der Informationstechnik
"könnten Sie bitte erläutern, welchen Portalverbund Sie meinen? Sollte es sich um den Portalverbund im Rahmen des …
Von
Bundesamt für Sicherheit in der Informationstechnik
Via
Briefpost
Betreff
AW: Bescheid zu Ihrer IFG-Anfrage Verschlüsselung im BSI Grundschutz? [#224475]
Datum
11. August 2021
Status
Warte auf Antwort
geschwärzt
890,3 KB
"könnten Sie bitte erläutern, welchen Portalverbund Sie meinen? Sollte es sich um den Portalverbund im Rahmen des Onlinezugangsgesetz (OZG) handeln, liegt die in § 5 OZG erwähnte Rechtsverordnung (Verordnung zur Gewährleistung der IT-Sicherheit der im Portalverbund und zur Anbindung an den Portalverbund genutzten IT-Komponenten (IT-Sicherheitsverordnung Portalverbund) – PVV) momentan als Referentenentwurf vor und ist noch nicht Kraft getreten. Daher können hierzu noch keine Informationen vorliegen."
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr << Anrede >> ich meine den Portalverbund des OZGs, denn hier sehe ich eindeutig öffentliches Int…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Bescheid zu Ihrer IFG-Anfrage Verschlüsselung im BSI Grundschutz? [#224475]
Datum
11. August 2021 14:54
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> ich meine den Portalverbund des OZGs, denn hier sehe ich eindeutig öffentliches Interesse gegeben, aber meine Anfrage bezieht sich nicht auf die PVV, sondern auf meine Anfrage in diesem Dialog https://fragdenstaat.de/a/224475. Ich zitiere aus Ihrem Schreiben vom 19.07.2021: "- APP.1.2.A2 Unterstützung sicherer Verschlüsselung der Kommunikation (B) macht Vorgaben an die Transportverschlüsselung beim Einsatz von Webbrowsern - SYS.3.1.A13 Verschlüsselung von Laptops (S) macht Vorgaben hinsichtlich der Verschlüsselung von Datenträgern in Laptops - SYS.2.1.A28 Verschlüsselung der Clients (H) macht Vorgaben hinsichtlich der Verschlüsselung von schutzbedürftigen Daten auf Clients - NET.1.1.A7 Absicherung von schützenswerten Informationen (B) regelt, in welchen Szenarien Netzverbindungen verschlüsselt werden müssen - SYS.1.8.A23 Einsatz von Verschlüsselung für Speicherlösungen (H) macht Vorgaben hinsichtlich der Verschlüsselung von in Speicherlösungen abgelegten Daten - SYS.4.5.A10 Datenträgerverschlüsselung (B) macht Vorgaben für Szenarien, in denen Wechseldatenträger verschlüsselt werden müssen". "Dies alles wird im Rahmen einer ISO-27001-Zertifizierung auf Basis von IT-Grundschutz überprüft. Es ist somit praktisch ausgeschlossen, dass eine Institution eine solche Zertifizierung erhält, ohne angemessen Verschlüsselung einzusetzen." Ich möchte daher die Berichte zu den Teilnehmern am Portalverbund, um daraus ablesen zu können ob diese Anforderungen, insbesondere wie NET.1.1.A7 und SYS 1.8 A23 umgesetzt wurden oder warum nicht. Da in einigen Onlinediensten auch spezielle Kategorien personenbezogener Daten abgefragt werden gehe ich davon aus, dass alle Anforderungen - auch H - umgesetzt sein sollten. Die von Ihnen angesprochene Verordnung enthält nur zu einem Bruchteil der im Datenschutz üblichen technischen und organisatorischen Anforderungen eine Anforderung oder Empfehlung - würden sich die Betreiber wirklich nur an dieser Verordnung orientieren, dann wären die Daten der Bürger in schlechten Händen. Ich frage mich schon was sich das BMI davon verspricht. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/
Bundesamt für Sicherheit in der Informationstechnik
"nach Rücksprache mit den für die ISO-27001-Zertifizierung auf Basis von IT-Grundschutz zuständigen Referaten ist …
Von
Bundesamt für Sicherheit in der Informationstechnik
Via
Briefpost
Betreff
AW: Bescheid zu Ihrer IFG-Anfrage Verschlüsselung im BSI Grundschutz? [#224475]
Datum
23. August 2021
Status
Warte auf Antwort
geschwärzt
1,0 MB
"nach Rücksprache mit den für die ISO-27001-Zertifizierung auf Basis von IT-Grundschutz zuständigen Referaten ist dort nicht bekannt, welche der zertifizierten Institutionen Teilnehmer des Portalverbunds im Rahmen des OZG sind. Ich möchte Sie daher bitten, dass Sie mir die Institutionen namentlich nennen zu deren Prüfberichten Sie einen Informationszugang nach dem Informationsfreiheitsgesetz wünschen."
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr << Anrede >> Ich bin Ihre Liste auf https://www.bsi.bund.de/DE/Themen/Unt... durchgegangen, und …
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Bescheid zu Ihrer IFG-Anfrage Verschlüsselung im BSI Grundschutz? [#224475]
Datum
23. August 2021 14:46
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> Ich bin Ihre Liste auf https://www.bsi.bund.de/DE/Themen/Unt... durchgegangen, und habe dabei die folgenden Dienstanbieter identifiziert, die am Portalverbund, an Verwaltungsverfahren oder ähnlichem beteiligt sind, also letztendlich Daten von Bürgern verarbeiten. BSI-IGZ-0464-2021 Nortal AG BSI-IGZ-0442-2021 Kommunales Rechenzentrum Minden-Ravensberg/Lippe BSI-IGZ-0406-2021 Landkreis Starnberg BSI-IGZ-0444-2021 Lecos GmbH BSI-IGZ-0431-2021 Institut für Medizinische Informationsverarbeitung, Biometrie und Epidemiologie – Patientendaten BSI-IGZ-0424-2020 ]init[ AG BSI-IGZ-0378-2019 ]init[ AG BSI-IGZ-0415-2020 Kommunales Rechenzentrum Niederrhein (KRZN) BSI-IGZ-0405-2020 Dataport AöR BSI-IGZ-0365-2019 Dataport AöR BSI-IGZ-0354-2020 Stadtverwaltung Münster - citeq BSI-IGZ-0384-2019 Landesbetrieb Daten und Information (LDI) Rheinland-Pfalz BSI-IGZ-0346-2019 Ministerium für Ländlichen Raum und Verbraucherschutz Baden-Württemberg BSI-IGZ-0364-2019 Kommunale Datenverarbeitungszentrale Rhein-Erft-Rur BSI-IGZ-0372-2019 D4L data4life gGmbH BSI-IGZ-0370-2019 AKDB - Anstalt des öffentlichen Rechts BSI-IGZ-0352-2019 Stadt Köln BSI-IGZ-0363-2019 Kommunale Datenzentrale Mainz BSI-IGZ-0349-2019 DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH BSI-IGZ-0350-2019 civillent GmbH BSI-IGZ-0342-2018 Landesbetrieb Information und Technik Nordrhein-Westfalen (IT.NRW) BSI-IGZ-0344-2018 GISA GmbH BSI-IGZ-0331-2018 Bundesagentur für Arbeit BSI-IGZ-0328-2018 KommunalBIT AöR BSI-IGZ-0322-2018 Informationsverbund der ekom21 - KGRZ Hessen Sollte es an der Verarbeitung von Bürgerdaten durch diese Einrichtungen Zweifel geben, bin ich gerne bereit darzulegen, worauf sich meine Annahme stützt. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/
Bundesamt für Sicherheit in der Informationstechnik
"Ein Anspruch auf Informationszugang besteht gemäß § 3 Nr. 2 IFG nicht, wenn das Bekanntwerden der Information die…
Von
Bundesamt für Sicherheit in der Informationstechnik
Via
Briefpost
Betreff
AW: Bescheid zu Ihrer IFG-Anfrage Verschlüsselung im BSI Grundschutz? [#224475]
Datum
10. September 2021
Status
Warte auf Antwort
"Ein Anspruch auf Informationszugang besteht gemäß § 3 Nr. 2 IFG nicht, wenn das Bekanntwerden der Information die öffentliche Sicherheit gefährden kann. Das Schutzgut der öffentlichen Sicherheit bedeutet zunächst die Unversehrtheit der Rechtsordnung sowie die grundlegenden Einrichtungen und Veranstaltungen des Staates. Der Schutz der Funktionsfähigkeit staatlicher Einrichtungen schützt neben der Funktionsfähigkeit der Verwaltung im Allgemeinen auch die Erfüllung der gesetzlich zugewiesenen Aufgaben öffentlicher Stellen. Eine Herausgabe von Prüfberichten im Rahmen einer Anfrage nach dem Informationsfreiheitsgesetz (IFG) zerstört das Vertrauensverhältnis zwischen dem Antragsteller und dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Es ist damit zu rechnen, dass sowohl private, als auch öffentliche Stellen künftig keine ISO-27001 Zertifizierung auf Basis von IT-Grundschutz oder andere Zertifizierungen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) beantragen. Dadurch wird die Erfüllung der dem BSI gesetzlich übertragenen Aufgaben, bspw. nach § 3 Nr. 14 BSIG gefährdet. Durch das Ausbleiben von Zertifizierungen wird auch die IT-Sicherheit nicht nur für die staatlichen Einrichtungen, sondern auch für die Wirtschaft und Bürgerinnen und Bürger gefährdet. Weiterhin besteht ein Anspruch auf Informationszugang gemäß § 3 Nr. 7 IFG nicht, bei vertraulich erhobener oder übermittelter Information, soweit das Interesse des Dritten an einer vertraulichen Behandlung im Zeitpunkt des Antrags auf Informationszugang noch fortbesteht. Gemäß § 8 Abs. 1 IFG wären hier Drittbeteiligungsverfahren bei den oben genannten Institutionen durchzuführen, um eine Zustimmung zur Herausgabe der Prüfberichte im Rahmen dieser IFG-Anfrage einzuholen. In Hinblick auf die Versagung des Informationszugangs durch § 3 Nr. 2 IFG wurde hierauf jedoch verzichtet."
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr geehrte Damen und Herren, In Sicherheitskreisen gilt Kerckhoffs’ Maxime, dass der Mechanismus bekannt sein d…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Bescheid zu Ihrer IFG-Anfrage Verschlüsselung im BSI Grundschutz? [#224475]
Datum
11. September 2021 10:57
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, In Sicherheitskreisen gilt Kerckhoffs’ Maxime, dass der Mechanismus bekannt sein darf, lediglich die Schlüssel geheim zu halten sind. Es ist sogar Best Practice, Sicherheitsmechanismen öffentlich zu diskutieren, um die Sicherheit zu gewährleisten bzw. zu verbessern. Prominentes Beispiel ist das Transport Layer Security Protokoll, das jetzt nach mehr als 25 Jahren in der 7. Version (TLS 1.3) - bis zum Beweis des Gegenteils - gut ist, die 6. Iteration (TLS 1.2) war mit Einschränkungen brauchbar, die fünf Versuche davor (SSL 1.0, SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1) waren unsicher. Analog bei vielen anderen Mechanismen nicht nur in der Kryptographie. Außerdem ist klar, dass eine Geheimhaltung von Sicherheitsmechanismen - letztendlich Innentäter begünstigt. Die Vorteile einer Veröffentlichung von Konzepte überwiegen daher in der Regel die Nachteile. Anders nur, wenn das Sicherheitskonzept löchrig ist – sei es weil SOLL-Anforderungen nicht umgesetzt wurden, oder weil beim Audit bzw. der Zertifizierung Abweichungen zwischen dem geplanten und dem erreichten Zustand beobachtet wurden und diese nicht zeitnah behoben wurden. In beiden Fällen ist – insbesondere bei den von mir genannten Anforderungen NET.1.1.A7 und SYS 1.8 A23 – davon auszugehen, dass die Anforderungen des Datenschutzes nicht erfüllt werden. Auf die Tatsache dass ein Zertifikat ohne Bericht keine Aussagekraft hat, habe ich bereits in der Anfrage https://fragdenstaat.de/anfrage/it-ko... hingewiesen. Wenn ein zertifiziertes Unternehmen sauber durch den Audit gekommen ist, dann braucht es auch die Veröffentlichung des Berichts nicht scheuen, die Werbung mit dem Zertifikat ohne Bericht muss ich schon fast als irreführende Werbung ansehen. Es würde der öffentlichen Sicherheit auch eher helfen, wenn die Berichte öffentlich wären, denn dann bestände ein Anreiz die Kriterien vollständig zu erfüllen bzw. Defizite abzustellen. Das umso mehr als die Unternehmen dafür Geld vom Staat und damit letztendlich von uns Bürgern bekommen. Ich halte daher weder Ihr Argument potentieller Betriebsgeheimnisse - § 3 Nr. 7 IFG – noch das der Gefährdung der öffentlichen Sicherheit - § 3 Nr. 2 IFG – für richtig und damit die Ablehnung für nicht gerechtfertigt. Es geht nicht um die Verarbeitung von Daten beim Verfassungsschutz oder ähnlichen Einrichtungen, sondern um die Verarbeitung von Daten von Bürgern im Auftrag des Staates, und hier hat der Schutz der Bürgerrechte meiner Meinung nach Vorrang vor möglichen Befindlichkeiten der verarbeitenden Stellen – zumal so ziemlich alle Unternehmen aus meiner Liste zumindest im Portalverbund wohl aus Steuermitteln finanziert werden. Meiner Meinung müssen sich die Interessen der Unternehmen und des BSIs den Interessen der Bürger unterordnen. Letztendlich ist für mich die einzig schlüssige Erklärung für Ihre Ablehnung, dass der Staat bzw. seine Verarbeiter Sicherheit und/oder Datenschutz missachten, und dass das nach Möglichkeit nicht öffentlich werden soll. Meiner Meinung nach ein Skandal. Umgekehrt sehe ich in einer Veröffentlichung die Chance, dass der Staat bzw. seine Verarbeiter darlegen könnten, dass die Daten der Bürger in guten Händen sind. Dem Staat auf die Finger schauen dürfen – genau das ist nach meinem Verständnis die Aufgabe des IFGs. Mir ist auch nicht entgangen, dass einige Teilnehmer am Portalverbund gar nicht in der Liste der Zertifizierungen auftauchen. Bei denen darf ich dann wohl auch vermuten, dass der Grundschutz nicht beachtet wird. Statt eines Widerspruchs im Sinne des VwVfG möchte ich Ihnen erstmal Gelegenheit geben, Ihre Ablehnung besser zu begründen oder zu überdenken. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr geehrte Damen und Herren, darf ich noch mit einer Antwort rechnen oder soll ich nach § 12 IFG Beschwerde bei…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Bescheid zu Ihrer IFG-Anfrage Verschlüsselung im BSI Grundschutz? [#224475]
Datum
24. September 2021 08:54
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, darf ich noch mit einer Antwort rechnen oder soll ich nach § 12 IFG Beschwerde beim BfDI einreichen? Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr geehrte Damen und Herren, ich möchte ausnutzen dass das BfDI sowohl die zuständige Beschwerdeinstanz nach de…
An Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
Vermittlung bei Anfrage „Verschlüsselung im BSI Grundschutz?“ [#224475]
Datum
3. Oktober 2021 08:59
An
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, ich möchte ausnutzen dass das BfDI sowohl die zuständige Beschwerdeinstanz nach dem IFG als auch die oberste Aufsichtsbehörde für den Datenschutz in Deutschland und die Anlaufadresse der Datenschutzkonferenz ist. Aus dem bisherigen Verlauf der Anfrage https://fragdenstaat.de/anfrage/versc... und der Geheimniskrämerei muss ich leider schließen, dass Verschlüsselung bei den angefragten Zertifizierungen nicht oder mangelhaft umgesetzt wurde - und dabei jedenfalls kein Schutzniveau angemessen für den Schutzbedarf hoch erreicht wird. Leider enthält der Grundschutz in SYS.1.8.A23 nur ein SOLL anstelle des MUSS das sich aus dem Baustein Aufbewahren des Standard-Datenschutzmodells (SDM) ergibt. M11.D07 im SDM ist zwar zunächst eine verfahrensspezifische Anforderung, allerdings indiziert das m.E. auch die Anwendung für alle gemeinsam genutzten Dienste wie z.B. Virenscanner, Virtualisierung, oder zentrale Protokollierung, mithin ist die sinnvollste Umsetzung, konsequent alles zu verschlüsseln. Analog ist zu befürchten, dass auch das MUSS in NET.1.1 A7 wegen "falls nicht über vertrauenswürdige dedizierte Netzsegmente" genauso wie das SOLL in A34 ins Leere laufen, ganz zu schweigen davon, dass 802.1AE auch 802.1X erfordert, und der Grundschutz keine Anforderungen enthält, die einen sicheren Betrieb von 802.1X oder 802.1AE gewährleisten würden. Meiner Meinung nach die sinnvollste Maßnahme wäre, die konsequente Verwendung von TLS auch innerhalb privater Netzsegmente zu fordern. Ich bitte zunächst um Vermittlung in meiner Anfrage https://fragdenstaat.de/anfrage/versc... nach dem Informationsfreiheitsgesetz. Geheimhaltung - Security by/through Obscurity - ist meiner Meinung und der vieler anderen Sicherheitsexperten kein geeignetes Mittel zur Gewährleistung von Sicherheit. Eine Aufstellung der mir bekannten Meinungen finden Sie unter https://blog.lindenberg.one/SecurityByObscurity. Ich möchte ungern das BSI und das BfDI als echte Gegenstimmen aufnehmen. Auch muss meiner Meinung nach das Interesse der zertifizierten Einrichtungen zurückstehen hinter dem Anspruch der Bürger, dass ihre personenbezogen Daten nach dem Stand der Technik geschützt werden, und das schließt die Veröffentlichung der Konzepte und die Möglichkeit eines öffentlichen Reviews ein. Ich möchte daher gleichzeitig als Betroffener, der nicht wissen kann, welcher der in der Anfrage genannten Verantwortlichen oder Auftragsverarbeiter ggfs. personenbezogene Daten über mich verabeitet, Beschwerde wegen Verstoß gegen Artikel 32 (1) DSGVO bzw. andere anwendbare Datenschutzgesetze einreichen. Bitte teilen Sie mir dazu auch zeitnah mit, ob Sie diese Beschwerde ggfs. über die Datenschutzkonferenz oder auch direkt an die jeweiligen LfDIs weitergeben oder ob ich diese Beschwerde jeweils getrennt einreichen muss. Sie finden auch alle Dokumente zu dieser Anfrage als Anhang zu dieser E-Mail. Sie dürfen meinen Namen gegenüber der Behörde nennen. Mit freundlichen Grüßen Joachim Lindenberg Anhänge: - 224475.pdf - 2021-07-19_1-bsi-antwort3.pdf - 2021-08-05_1-bsi-05082021.pdf - 2021-08-10_1-bsi-10082021.pdf - 2021-08-11_1-bsi-11082021.pdf - 2021-08-23_1-bsi-23082021.pdf - 2021-09-10_1-bsi-10092021-mit-anlage.pdf Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Gz. 25-725/005 II#0610 Sehr geehrter Her…
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
Vermittlung bei Anfrage „Verschlüsselung im BSI Grundschutz?“ [#224475] # 25-725/005 II#0610
Datum
4. Oktober 2021 14:14
Status
Warte auf Antwort
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Gz. 25-725/005 II#0610 Sehr geehrter Herr Lindenberg, in der Anlage finden Sie mein Schreiben in oben bezeichneter Angelegenheit. Mit freundlichen Grüßen
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Sehr geehrter Herr Lindenberg, der zweite Teil Ihres Schreibens ("Beschwerde", letzter Absatz Ihrer Mai…
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
WG: Vermittlung bei Anfrage „Verschlüsselung im BSI Grundschutz?“
Datum
4. Oktober 2021 15:16
Status
Warte auf Antwort
signature.asc
813 Bytes


Sehr geehrter Herr Lindenberg, der zweite Teil Ihres Schreibens ("Beschwerde", letzter Absatz Ihrer Mail) wird unter dem Aktenzeichen 23-170 II#1114 geführt und durch Referat 23 bearbeitet. Bitte konkretisieren Sie hinsichtlich Ihrer Beschwerde über eine unrechtmäßige Verarbeitung Ihrer personenbezogenen Daten Folgendes: a) welcher Verantwortliche hat Ihre personenbezogenen Daten widerrechtlich verarbeitet? b) welche konkreten personenbezogenen Daten Ihrer Person wurden widerrechtlich verarbeitet? Ich bitte Sie, diese Informationen bis zum 18.10.2021 nachzuliefern. Andernfalls kann Ihre Beschwerde ggf. nicht bearbeitet werden. Mit freundlichen Grüßen
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr << Anrede >> verstehe ich das richtig, dass ich erst meine Daten einem der Verantwortlichen zur …
An Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: WG: Vermittlung bei Anfrage „Verschlüsselung im BSI Grundschutz?“ [#224475]
Datum
5. Oktober 2021 11:02
An
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> verstehe ich das richtig, dass ich erst meine Daten einem der Verantwortlichen zur Verarbeitung anvertrauen soll, bevor Sie prüfen, ob die Verarbeitung den Stand der Technik erfüllt oder nicht? Ich sehe hier gleich mehrere Probleme: es gibt nach dem OZG 17 Verwaltungsportale und dahinter eine mir unbekannte Anzahl von Verantwortlichen von Bund, Ländern und Gemeinden, die Verwaltungsdienstleistungen erbringen oder erbringen lassen. Und wer dann als Auftragsverarbeiter im Einzelfall und unter Berücksichtigung des "Einer-für-Alle-Prinzips" tatsächlich die Daten verarbeitet - da müsste ich erstmal eine andere Kampange starten um das zu ermitteln. Da sollte es die Aufsicht m.E. leichter haben dem nachzugehen - und Transparenz stelle ich mir anders vor. Auch sind die in meiner Anfrage aufgezählten Einrichtungen nur solche, die aufgrund der Zertifizierung wohl behaupten könnten, sicher zu sein. Ich befürchte dass es noch viele andere Institutionen gibt, die noch keine Zertifizierung haben oder daran scheitern würden. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Sehr geehrter Herr Lindenberg, auf die erwähnten Problematiken haben Sie in Ihrem Ursprungsschreiben eindrücklich…
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
AW: WG: Vermittlung bei Anfrage „Verschlüsselung im BSI Grundschutz?“ [#224475]
Datum
5. Oktober 2021 12:10
Status
Warte auf Antwort
signature.asc
813 Bytes


Sehr geehrter Herr Lindenberg, auf die erwähnten Problematiken haben Sie in Ihrem Ursprungsschreiben eindrücklich hingewiesen. Ihre diesbezüglichen Anliegen werden durch den BfDI (Referat 25) ja bereits bearbeitet. Mit dem letzten Absatz Ihrer Mail formulieren Sie darüber hinausgehend aber eine Beschwerde über die unrechtmäßige Verarbeitung Ihrer personenbezogenen Daten. Mit anderen Worten: Sie monieren, dass ein Verantwortlicher Ihre personenbezogenen Daten unrechtmäßig verarbeitet hat. Eine solche Beschwerde setzt voraus, dass eine unrechtmäßige Verarbeitung Ihrer personenbezogenen Daten durch einen Verantwortlichen auch tatsächlich stattgefunden hat. Zumindest aber müssen konkrete Anhaltspunkte dafür existieren, dass ein Verantwortlicher Ihre personenbezogenen Daten unrechtmäßig verarbeitet hat. Wenn Sie weder einen konkreten Verantwortliche benennen können, noch diejenigen Ihrer personenbezogenen Daten, die unrechtmäßig verarbeitet worden sein sollen, dann verfügen Sie über kein Beschwerderecht nach Artikel 77 DSGVO. Siehe auch hier: https://www.bfdi.bund.de/DE/Buerger/Inh…. Sollte keine unrechtmäßige Verarbeitung Ihrer personenbezogenen Daten stattgefunden haben (gemessen an Art. 77 DSGVO), so möchte ich Sie mit Ihrem Anliegen auf die Antwort verweisen, die Ihnen im Rahmen Ihrer Anfrage/Ihres IFG-Antrags (25-725/005 II#0610) zugehen wird. Falls doch eine unrechtmäßige Verarbeitung Ihrer personenbezogenen Daten stattgefunden hat, bitte ich Sie, mir die im Schreiben vom 04.10.2021 angeforderten Informationen bis zum 18.10.2021 zukommen zu lassen. Mit freundlichen Grüßen
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr << Anrede >> ich habe Servicekonten beim Land Baden-Württemberg (Ministerium für Inneres, Digita…
An Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: WG: Vermittlung bei Anfrage „Verschlüsselung im BSI Grundschutz?“ [#224475]
Datum
9. Oktober 2021 19:55
An
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> ich habe Servicekonten beim Land Baden-Württemberg (Ministerium für Inneres, Digitalisierung und Kommunen Baden-Württemberg) und beim Bund (Bundesministerium des Innern, für Bau und Heimat). Beide sind m.W. nicht in der Liste der zertifizierten Einrichtungen enthalten, erfüllen also möglicherweise noch nicht mal das Standard-Niveau des Grundschutzes. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Sehr geehrter Herr Lindenberg, wenn ich Sie richtig verstehe, monieren Sie in u.a. Mail eine rechtswidrige Verarb…
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
AW: WG: Vermittlung bei Anfrage „Verschlüsselung im BSI Grundschutz?“ [#224475]
Datum
11. Oktober 2021 07:43
Status
Warte auf Antwort
signature.asc
813 Bytes


Sehr geehrter Herr Lindenberg, wenn ich Sie richtig verstehe, monieren Sie in u.a. Mail eine rechtswidrige Verarbeitung Ihrer personenbezogenen Daten (auf "Servicekonten") durch das "Ministerium für Inneres, Digitalisierung und Kommunen Baden-Württemberg" sowie durch das "Bundesministerium des Innern, für Bau und Heimat". Ihre Begründung: Beide Institutionen sind nicht nach BSI-Grundschutz zertifiziert bzw. erfüllen kein der DSGVO angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten. Ist das korrekt wiedergegeben? Mit freundlichen Grüßen
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Sehr geehrter Herr Lindenberg, in der Liste von Institutionen, für die Sie Prüfberichte beim BSI angefordert habe…
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
AW: WG: Vermittlung bei Anfrage „Verschlüsselung im BSI Grundschutz?“ [#224475]
Datum
11. Oktober 2021 07:59
Status
Warte auf Antwort
signature.asc
813 Bytes


Sehr geehrter Herr Lindenberg, in der Liste von Institutionen, für die Sie Prüfberichte beim BSI angefordert haben, fanden sich auch Institutionen, die nicht in die Zuständigkeit des BfDI fallen. Den Datenschutz im privaten Bereich (Unternehmen, Verbände, Selbständige usw.) kontrollieren die Datenschutzaufsichtsbehörden der Länder. Die örtliche Zuständigkeit richtet sich nach dem Sitz des Unternehmens. Den Datenschutz im Bereich der Verwaltungen der Länder und der Gemeinden kontrollieren Landesbeauftragte für den Datenschutz. Meiner Recherche nach wären durch Sie mindestens folgende Datenschutzaufsichtsbehörden zu informieren: Hessischer Beauftragter für Datenschutz und Informationsfreiheit, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Bayerisches Landesamt für Datenschutzaufsicht, Landesbeauftragter für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Landesbeauftragter für den Datenschutz Sachsen, LDA Brandenburg, Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, Landesbeauftragter für die Informationsfreiheit Sachsen-Anhalt. Aufgrund des Umfangs der Anhänge sowie der Vielzahl an betroffenen Aufsichtsbehörden möchte ich Sie bitten, diese Behörden selbstständig über ihr jeweiliges Anliegen zu informieren. Mit freundlichen Grüßen
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr geehrer Herr Koschatzky, Sie haben richtig verstanden. Aufgrund der Tatsache dass der Grundschutz Verschlüss…
An Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: WG: Vermittlung bei Anfrage „Verschlüsselung im BSI Grundschutz?“ [#224475]
Datum
11. Oktober 2021 15:28
An
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrer Herr Koschatzky, Sie haben richtig verstanden. Aufgrund der Tatsache dass der Grundschutz Verschlüsselung nur als Soll bei hohem Schutzbedarf vorsieht, unterstelle ich, dass alle genannten Unternehmen Verschlüsselung nicht oder nicht konsequent umsetzen - insbesondere NET.1.1.A7 und SYS 1.8 A23 - und damit auch gegen die DSGVO und andere Datenschutzvorschriften verstoßen. Wäre Verschlüsselung konsequent umgesetzt, hätte wohl weder das BSI noch die ggfs. zertifizierte Einrichtung ein Problem damit, hier Farbe zu bekennen. Auch ist anzuzweifeln, dass Verschlüsselung erst bei hohem Schutzbedarf relevant ist, meiner Meinung nach ist das eine Basisanforderung und längst Stand der Technik. Was die Zuständigkeit angeht: m.W. nehmen alle von mir genannten Einrichtungen als Verantwortliche oder Auftragsverarbeiter am Portalverbund teil oder verarbeiten Daten von Bürgern, weil die Daten vom Portalverbund an Fachverfahren von Bund, Ländern, Gemeinden und anderen öffentlichen Einrichtungen weitergeben werden. Insofern halte ich bei allen Einrichtungen zumindest auch öffentlicher Bereich für gegeben. Irrläufer kann ich natürlich nicht ausschließen, von daher wäre ich Ihnen dankbar wenn Sie die Einrichtungen konkret benennen würden, die Sie für rein privat halten. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Sehr geehrter Herr Lindenberg, bei den Institutionen, die die Rechtsform "AG", "GmbH" sowie "gGmbH" haben, handel…
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
AW: WG: Vermittlung bei Anfrage „Verschlüsselung im BSI Grundschutz?“ [#224475]
Datum
12. Oktober 2021 07:09
Status
Warte auf Antwort
signature.asc
813 Bytes


Sehr geehrter Herr Lindenberg, bei den Institutionen, die die Rechtsform "AG", "GmbH" sowie "gGmbH" haben, handelt es sich m.E. um privatwirtschaftliche Institutionen. Um die jeweiligen Zuständigkeiten für Ihre Anliegen herauszufinden, möchte ich Sie bitten, unseren "Kontaktfinder" zu nutzen: https://www.bfdi.bund.de/DE/Buerger/I.... Mit freundlichen Grüßen
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr << Anrede >> aus dem Kontaktfinder würde ich hinsichtlich meiner Datenschutzbeschwerden vermuten…
An Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: WG: Vermittlung bei Anfrage „Verschlüsselung im BSI Grundschutz?“ [#224475]
Datum
12. Oktober 2021 08:33
An
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> aus dem Kontaktfinder würde ich hinsichtlich meiner Datenschutzbeschwerden vermuten, dass Sie sich nur um die Beschwerde gegen das BMI kümmern. Oder auch die gegen das das Land Baden-Württemberg? Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Sehr geehrter Herr Lindenberg, Ihre Beschwerde gegen das BMI wird durch den BfDI bearbeitet. Ihre Beschwerde geg…
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
AW: WG: Vermittlung bei Anfrage „Verschlüsselung im BSI Grundschutz?“ [#224475]
Datum
12. Oktober 2021 08:49
Status
Warte auf Antwort
signature.asc
813 Bytes


Sehr geehrter Herr Lindenberg, Ihre Beschwerde gegen das BMI wird durch den BfDI bearbeitet. Ihre Beschwerde gegen das Innenministerium des Landes Baden-Württemberg richten Sie bitte an: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Lautenschlagerstraße 20 70173 Stuttgart Telefon: 0711/61 55 41 – 0 Telefax: 0711/61 55 41 – 15 E-Mail: <<E-Mail-Adresse>> Mit freundlichen Grüßen
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Gz. 25-206 II#1228 Sehr geehrter Herr Lin…
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
Ihre Datenschutzbeschwerde bei Anfrage „Verschlüsselung im BSI Grundschutz?“ [#224475] # 25-206 II#1228
Datum
17. November 2021 11:10
Status
Warte auf Antwort
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Gz. 25-206 II#1228 Sehr geehrter Herr Lindenberg, in der Anlage finden Sie mein Schreiben in oben bezeichneter Angelegenheit. Mit freundlichen Grüßen
Joachim Lindenberg (https://blog.lindenberg.one)
Gz. 25-206 II#1228 Sehr << Anrede >> wie Ihnen aus meiner parallelen Anfrage https://fragdenstaat.de…
An Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Ihre Datenschutzbeschwerde bei Anfrage „Verschlüsselung im BSI Grundschutz?“ [#224475] # 25-206 II#1228 [#224475]
Datum
17. November 2021 12:05
An
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Status
E-Mail wurde erfolgreich versendet.
Gz. 25-206 II#1228 Sehr << Anrede >> wie Ihnen aus meiner parallelen Anfrage https://fragdenstaat.de/anfrage/orien... bekannt ist, unterstützt mein Email-Server die qualifzierte Transportsignatur. Ich halte das für die weitere Kommunikation für ausreichend sicher. Als Adresse nehmen Sie bitte <<E-Mail-Adresse>>. Falls das BfDI keine qualifizierte Transportsignatur verwenden kann, dürfen Sie auch auf die Post ausweichen. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/ Postanschrift Joachim Lindenberg << Adresse entfernt >>
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Gz. 25-725/005 II#0610 Sehr geehrter Herr…
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
Zwischeninformation: Vermittlung bei Anfrage „Verschlüsselung im BSI Grundschutz?“ [#224475] # 25-725/005 II#0610
Datum
13. Dezember 2021 13:42
Status
Warte auf Antwort
signature.asc
1,2 KB


Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Gz. 25-725/005 II#0610 Sehr geehrter Herr Lindenberg, zu Ihrer Zwischeninformation: Die Kommunikation mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) dauert noch an. Ich hatte beim BSI weitere Informationen angefordert, die bislang noch nicht eingegangen sind. Heute habe ich beim BSI dazu telefonisch nachgefasst. Nach Eingang und Auswertung werde ich auf die Angelegenheit zurückkommen. Mit freundlichen Grüßen
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Ihre Datenschutzbeschwerde bei Anfrage „Verschlüsselung im BSI Grundschutz?" [#224475]
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Via
Briefpost
Betreff
Ihre Datenschutzbeschwerde bei Anfrage „Verschlüsselung im BSI Grundschutz?" [#224475]
Datum
21. Dezember 2021
Status
Warte auf Antwort
Joachim Lindenberg (https://blog.lindenberg.one)
Datenschutzbeschwerde bei Anfrage "Verschlüsselung im BSI Grundschutz?" --- Geschäftszeichen BfDI 25-206 II#1228
An Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Via
Briefpost
Betreff
Datenschutzbeschwerde bei Anfrage "Verschlüsselung im BSI Grundschutz?" --- Geschäftszeichen BfDI 25-206 II#1228
Datum
30. Dezember 2021
An
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Status
geschwärzt
971,1 KB
Joachim Lindenberg (https://blog.lindenberg.one)
AW: Datenschutzbeschwerde bei Anfrage "Verschlüsselung im BSI Grundschutz?" --- Geschäftszeichen BfDI 25-206 II#1…
An Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Datenschutzbeschwerde bei Anfrage "Verschlüsselung im BSI Grundschutz?" --- Geschäftszeichen BfDI 25-206 II#1228 [#224475]
Datum
18. Januar 2022 16:26
An
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> bezugnehmend auf https://fragdenstaat.de/anfrage/versc... - hat sich durch Inkrafttreten des TTDSG am 01.12.2021 und die Tatsache, dass es sich bei den Verwaltungsportalen im weiteren Sinne und das mitenhaltene Postfach im engeren um einen interpersonelle Telekommunikationsdienste im Sinne von §3 Nr. 40 TKG hält, nicht eine Zuständigkeitsänderung erbeben, dass das BfDI für alle Portale zuständig ist? Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/
Bundesamt für Sicherheit in der Informationstechnik
Ihre Datenschutzbeschwerde bei Anfrage „Verschlüsselung im BSI Grundschutz?" [#224475]
Von
Bundesamt für Sicherheit in der Informationstechnik
Via
Briefpost
Betreff
Ihre Datenschutzbeschwerde bei Anfrage „Verschlüsselung im BSI Grundschutz?" [#224475]
Datum
26. Januar 2022
Status
Warte auf Antwort
geschwärzt
578,9 KB
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
24-501-1 II#9888 Sehr geehrter Herr Lindenberg, gem. § 3 Nr. 24 letzter Halbsatz TKG liegt kein interpersoneller …
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
Re: WG: Datenschutzbeschwerde bei Anfrage "Verschlüsselung im BSI Grundschutz?" --- Geschäftszeichen BfDI 25-206 II#1228 [#224475]
Datum
27. Januar 2022 14:44
Status
Warte auf Antwort
signature.asc
813 Bytes


24-501-1 II#9888 Sehr geehrter Herr Lindenberg, gem. § 3 Nr. 24 letzter Halbsatz TKG liegt kein interpersoneller Kommunikationsdienst vor, bei Diensten "die eine interpersonelle und interaktive Telekommunikation lediglich als untrennbar mit einem anderen Dienst verbundene untergeordnete Nebenfunktion ermöglichen". Dies dürfte bei den genannten Verwaltungsportalen der Fall sein. Allein hieraus ergibt sich keine Zuständigkeit des BfDI. Der Vorgang ist hier abgeschlossen. Mit freundlichen Grüßen
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr geehrte Damen und Herren, abgeschlossen in Hinsicht auf eine Zuständigkeit für alle Verwaltungsportale? Die …
An Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Re: WG: Datenschutzbeschwerde bei Anfrage "Verschlüsselung im BSI Grundschutz?" --- Geschäftszeichen BfDI 25-206 II#1228 [#224475]
Datum
27. Januar 2022 15:12
An
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, abgeschlossen in Hinsicht auf eine Zuständigkeit für alle Verwaltungsportale? Die andere Fragen in dieser Angelegenheit (https://fragdenstaat.de/anfrage/versc...) sehe ich noch als offen an. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr << Anrede >> aufgrund meines Auskunftsersuchens beim BfDI kenne ich inzwischen die Stellungnahme…
An Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Re: WG: Datenschutzbeschwerde bei Anfrage "Verschlüsselung im BSI Grundschutz?" --- Geschäftszeichen BfDI 25-206 II#1228 [#224475]
Datum
15. März 2022 09:39
An
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> aufgrund meines Auskunftsersuchens beim BfDI kenne ich inzwischen die Stellungnahme des BSIs vom 20.01.2022 aus Vorgang 25-725/005 II#0610. Da Sie mir die bisher nicht auf mein Vermittlungsersuchen geschickt haben, darf ich vermuten, dass Sie diese Stellungnahme nicht überzeugt hat. Das BSI gibt letztendlich zu, dass die zertifizierten Einrichtungen Schwachstellen haben. Auch behauptet das BSI nicht, dass diese Einrichtungen den Stand der Technik hinsichtlich Sicherheit erfüllen, was in Anbetracht meiner Anfragen beim BSI und meiner Veröffentlichungen auf https://blog.lindenberg.one auch nicht glaubwürdig wäre. Meine Interpretation ist daher, dass diese Einrichtungen - mit Wissen und Duldung des BSIs - insofern sie personenbezogene Daten verarbeiten gegen Artikel 32 DSGVO verstoßen bzw. ggfs. Teil 3 BDSG. Ist das auch Ihr Verständnis? Was gedenkt der BfDI zu unternehmen um Artikel 32 bzw. dem BDSG Geltung zu verschaffen? Mit freundlichen Grüßen Joachim Lindenberg Anhänge: - stellungnahme-bsi-20012022.pdf Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Sachstandsmitteilung - das BMI träumt...
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Via
Briefpost
Betreff
Ihre Datenschutzbeschwerde bei Anfrage „Verschlüsselung im BSI Grundschutz?" [#224475]
Datum
16. März 2022
Status
Warte auf Antwort
geschwärzt
659,0 KB
Sachstandsmitteilung - das BMI träumt...
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Informationsfreiheitsgesetz (IFG) # IFG-725/005 II#0610 Der Bundesbeauftragte für den Datenschutz und die Informat…
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Betreff
Informationsfreiheitsgesetz (IFG) # IFG-725/005 II#0610
Datum
20. April 2022 09:27
Status
Warte auf Antwort
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Az.: IFG-725/005 II#0610 Sehr geehrter Herr Lindenberg, in der Anlage übersende ich Ihnen ein Schreiben in der oben genannten Angelegenheit. Mit freundlichen Grüßen
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Datenschutzaufsichtliches Verfahren Der BfDI weil meine Beschwerde abweisen.
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Via
Briefpost
Betreff
Datenschutzaufsichtliches Verfahren
Datum
19. Mai 2022
Status
Warte auf Antwort
Der BfDI weil meine Beschwerde abweisen.
Joachim Lindenberg (https://blog.lindenberg.one)
AW: Datenschutzaufsichtliches Verfahren - 16-206 II#1228 [#224475]
Sehr << Anrede >> vielen Dank für …
An Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Datenschutzaufsichtliches Verfahren - 16-206 II#1228 [#224475]
Datum
21. Mai 2022 16:15
An
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> vielen Dank für Ihr Schreiben vom 19.05.2022. Sie Schreiben auf Seite 2 zu SYS.1.8.A34 "Dies wurde im Rahmen der Risikoanalyse nach IT-Grundschutz Methode berücksichtigt". Sie schreiben nicht, es wird in Speicherlösungen verschlüsselt. Ein Soll im Grundschutz ist halt kein Muss. Dagegen ergibt eine Bedrohungsanalyse eigentlich immer, Verschlüsselung ist Pflicht - s.a. https://blog.lindenberg.one/VerschlusselungPflicht. Bitte klären Sie, ob tatsächlich verschlüsselt wird. Auch auf die Verschlüsselung in nicht öffentlichen Netzen gehen Sie nicht ein. Aus meiner Tätigkeit bei Dataport weiß ich, dass derartige Wahlrechte im Grundschutz gerne in Richtung "unsicher" ausgeübt werden. Ich möchte Sie daher auf meine Veröffentlichung https://blog.lindenberg.one/BeschwerdeDataport und ganz konkret mein Schreiben an den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit in https://blog.lindenberg.one/documents/LD42-26.01722.00/202205211416%20Lindenberg-LfDHH%20M1_1031_2022%20-%20Dataport.eml hinweisen. Auch hat das BSI Ihnen gegenüber bereits zugegeben - https://fragdenstaat.de/anfrage/versc... - dass eine Zertifizierung nicht bedeutet, dass Sicherheit umgesetzt wurde. Das aber dürfen die betroffenen Bürger meiner Meinung nach vom Staat erwarten. Hilfsweise beantrage ich Akteneinsicht nach §29 Verwaltunsverfahrensgesetz in den Vorgang BfDI 16-206 II#1228 und Ihre Kommunikation mit dem BMI mit aufschiebender Wirkung hinsichtlich Ihrer Entscheidung. Da der BfDI die Akten elektronisch führt, sollte es ein leichtes sein mir eine Kopie zuzusenden, am einfachsten als Antwort auf die Email von FragDenStaat. Vielen Dank und viele Grüße Joachim Lindenberg Anfragenr: 224475 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/224475/

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Ihre Datenschutzbeschwerde bei der Anfrage „Verschlüsselung im BSI Grundschutz?“
Von
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Via
Briefpost
Betreff
Ihre Datenschutzbeschwerde bei der Anfrage „Verschlüsselung im BSI Grundschutz?“
Datum
27. Mai 2022
Status
geschwärzt
532,2 KB