Verschlüsselung un Sicherheit der Verwaltungsportale

Sehr geehrte Damen und Herren,

Ich möchte analog Herrn Lindenberg in https://fragdenstaat.de/anfrage/verschl… anzweifeln, dass die Verantwortlichen ein dem Stand der Technik entsprechende Sicherheit gewährleisten und mich dementsprechend über die Verwaltungsportale beschweren. Ich habe mit Ausnahme des Saarlandes das noch kein Verwaltungsportal zu haben scheint in allen Bundesländern und beim Bund ein Benutzerkonto angelegt, und erfülle damit die genannte Eingangsvoraussetzung, dass tatsächlich personenbezogene Daten in - aller Wahrscheinlichkeit nach - nicht gesetzteskonformer Weise verarbeitet werden.

Abgesehen davon, dass auch ich vermute dass Daten nicht konsequent verschlüsselt werden, sind mir folgende Sicherheitsprobleme aufgefallen:

Sicherheitsfragen entsprechen nicht dem Stand der Technik, denn die meisten richtigen Antworten sind über soziale Netzwerke bekannt oder über social-Engineering leicht zu ermitteln. Bayern, Brandenburg, Berlin, Hessen und der Bund verwenden vorformulierte Sicherheitsfragen, Berlin hindert mich sogar daran Quatsch - die einzig sinnvolle Antwort - einzugeben. Baden-Württemberg und Sachsen erlauben mir eine beliebige Frage und Antwort einzugeben, aber der Durchschnittsbürger wird mangels digitaler Grundausbildung in den Schulen dem falschen Muster von Sicherheitsfragen folgen.

Auch bei Passwörtern fragwürdiges. Mecklenburg-Vorpommern will nur mindestens 5 Zeichen, davon mindestens einen Groß- und einen Kleinbuchstagen. Thüringen will nur 6 Zeichen - da konnte ich nicht widerstehen und habe "aaaaaa" getestet und das ging tatsächlich. Selbstverständlich habe ich das anschließend geändert. Aber sichere Passwörter gewährleistet das nicht.

Baden-Württemberg, Bayern, Bremen, Hamburg, Hessen, Mecklenburg-Vorpommern, Niedersachsen, Sachsen-Anhalt, und der Bund verwenden für Mails andere Domänen als für das Portal selbst - das erweckt bei mir den Eindruck von Phishing. Einige Mails musste ich im Junk-Ordner suchen, ein Misch von Domänen im Text und fehlende DKIM-Signatur würde ich als Ursache vermuten.

Rheinland-Pfalz ist das einzige Benutzerkonto, das das Postfach erkennbar optional macht, und damit OZG § 2 (7) und möglicherweise § 8 (4) umsetzt. Bei allen anderen muss ich das bezweifeln, da ich gar nicht erst gefragt wurde.

Bei einigen Portalen ist mir auch aufgefallen, dass andere Domains in den Webseiten verwendet werden - da frag ich mich dann auch, ob das alles Dienstleister sind, mit denen Auftragsverarbeitungsverträge bestehen. Ich habe diverse Cookie-Banner gesehen, die meiner Meinung nach nicht der Rechtslage entsprechen.

Sachsen antwortet auf die rhetorische Frage "Wie sicher sind meine Daten? ...entsprechend dem verfügbaren Stand der Technik..." - wer´s glaubt. Die Anfrage https://fragdenstaat.de/anfrage/sicherh… von Frau Maier hat Sachsen jedenfalls nicht beantwortet.

Mit freundlichen Grüßen

Ergebnis der Anfrage

Die Aufsichten bearbeiten diese Beschwerde(n) nur sehr schleppend. Mehr Informationen auf https://blog.lindenberg.one/PortalBesch….

Antwort verspätet

Warte auf Antwort
  • Datum
    10. Oktober 2021
  • Frist
    18. Januar 2022
  • 0 Follower:innen
Christina Franke
Sehr geehrte Damen und Herren, Ich möchte analog Herrn Lindenberg in https://fragdenstaat.de/anfrage/versc... anz…
An Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Details
Von
Christina Franke
Betreff
Verschlüsselung un Sicherheit der Verwaltungsportale [#230874]
Datum
10. Oktober 2021 08:43
An
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, Ich möchte analog Herrn Lindenberg in https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/ anzweifeln, dass die Verantwortlichen ein dem Stand der Technik entsprechende Sicherheit gewährleisten und mich dementsprechend über die Verwaltungsportale beschweren. Ich habe mit Ausnahme des Saarlandes das noch kein Verwaltungsportal zu haben scheint in allen Bundesländern und beim Bund ein Benutzerkonto angelegt, und erfülle damit die genannte Eingangsvoraussetzung, dass tatsächlich personenbezogene Daten in - aller Wahrscheinlichkeit nach - nicht gesetzteskonformer Weise verarbeitet werden. Abgesehen davon, dass auch ich vermute dass Daten nicht konsequent verschlüsselt werden, sind mir folgende Sicherheitsprobleme aufgefallen: Sicherheitsfragen entsprechen nicht dem Stand der Technik, denn die meisten richtigen Antworten sind über soziale Netzwerke bekannt oder über social-Engineering leicht zu ermitteln. Bayern, Brandenburg, Berlin, Hessen und der Bund verwenden vorformulierte Sicherheitsfragen, Berlin hindert mich sogar daran Quatsch - die einzig sinnvolle Antwort - einzugeben. Baden-Württemberg und Sachsen erlauben mir eine beliebige Frage und Antwort einzugeben, aber der Durchschnittsbürger wird mangels digitaler Grundausbildung in den Schulen dem falschen Muster von Sicherheitsfragen folgen. Auch bei Passwörtern fragwürdiges. Mecklenburg-Vorpommern will nur mindestens 5 Zeichen, davon mindestens einen Groß- und einen Kleinbuchstagen. Thüringen will nur 6 Zeichen - da konnte ich nicht widerstehen und habe "aaaaaa" getestet und das ging tatsächlich. Selbstverständlich habe ich das anschließend geändert. Aber sichere Passwörter gewährleistet das nicht. Baden-Württemberg, Bayern, Bremen, Hamburg, Hessen, Mecklenburg-Vorpommern, Niedersachsen, Sachsen-Anhalt, und der Bund verwenden für Mails andere Domänen als für das Portal selbst - das erweckt bei mir den Eindruck von Phishing. Einige Mails musste ich im Junk-Ordner suchen, ein Misch von Domänen im Text und fehlende DKIM-Signatur würde ich als Ursache vermuten. Rheinland-Pfalz ist das einzige Benutzerkonto, das das Postfach erkennbar optional macht, und damit OZG § 2 (7) und möglicherweise § 8 (4) umsetzt. Bei allen anderen muss ich das bezweifeln, da ich gar nicht erst gefragt wurde. Bei einigen Portalen ist mir auch aufgefallen, dass andere Domains in den Webseiten verwendet werden - da frag ich mich dann auch, ob das alles Dienstleister sind, mit denen Auftragsverarbeitungsverträge bestehen. Ich habe diverse Cookie-Banner gesehen, die meiner Meinung nach nicht der Rechtslage entsprechen. Sachsen antwortet auf die rhetorische Frage "Wie sicher sind meine Daten? ...entsprechend dem verfügbaren Stand der Technik..." - wer´s glaubt. Die Anfrage https://fragdenstaat.de/anfrage/sicherheit-des-burgerportals-11/ von Frau Maier hat Sachsen jedenfalls nicht beantwortet. Mit freundlichen Grüßen
Christina Franke Anfragenr: 230874 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/230874/ Postanschrift Christina Franke << Adresse entfernt >> << Adresse entfernt >>
Christina Franke
Sehr geehrte Damen und Herren, leider begrenzt FragDenStaat Texte. Daher muss noch hinzufügen, dass ich mir auch …
An Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Details
Von
Christina Franke
Betreff
AW: Verschlüsselung un Sicherheit der Verwaltungsportale [#230874]
Datum
10. Oktober 2021 08:46
An
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, leider begrenzt FragDenStaat Texte. Daher muss noch hinzufügen, dass ich mir auch die Datenschutzerklärungen angesehen habe. Eigentlich würde man erwarten, dass sich alle Portale auf das OZG und verwandte Gesetze berufen, ggfs. auch auf die EU-SDG-Verordnung (wegen Tracking und Feedback). Rechtsgrundlage ist damit meines Erachtens Art 6 (1) c DSGVO - Gesetz. Freiwilligkeit ist im OZG auch definiert, eine extra Einwilligung nach Art 6 (1) a braucht es m.E. nicht. Auch das Löschen ist in OZG § 8 (5) geregelt. Weit daneben. Jedes Portal nennt da so einen eigenen Mix. kleine Buchstaben in (x) stehen für Rechtsgrundlage nach Art 6 (1) (x): Baden-Württemberg: (a). Widerruf der Einwilligung = Löschen? Organisationskonten können anscheinend nie gelöscht werden, selbst wenn die Organisation erloschen ist? Bayern: (e) - öffentliches Interesse - wieso denn das? "Ihre Daten werden nach der Erhebung so lange gespeichert, wie dies unter Beachtung gesetzlicher Aufbewahrungsfristen für die jeweilige Aufgabenerfüllung erforderlich ist." - entgegen § 8 (5) OZG. Außerdem könnte man dann ja die Gesetze und Fristen gleich benennen. Berlin bennent gleich zwei Verantwortliche, schon allein das halte ich für rechtswidrig, insbesondere weil hier verschiedene Interessen und Rechtsgrundlagen vermischt werden. Brandenburg: (a) wegen Tracking, (e) sonst. Das OZG wird nicht erwähnt. Zum Nutzerkonto wird überhaupt nichts geschrieben. Bremen: (f) - berechtigtes Interesse - auch das m.E. unsinnig. Hamburg kann sich nicht entscheiden was die Rechtsgrundlage ist "...unter Beachtung der gesetzlichen Bestimmungen (Onlinezugangsgesetz (OZG), Hamburgisches Datenschutzgesetz, EU Datenschutzgrundverordnung (DSGVO), Telekommunikationsgesetz, Telemediengesetz sowie einschlägige Fachgesetze wie beispielsweise das Meldegesetz)." für jeden was dabei. Hessen (a) und (e) - sogar Kekse bekomme ich im öffentlichen Interesse. Mecklenburg-Vorpommern: §15 EGovG M-V, (a) und (e) - das OZG wird nicht erwähnt. Niedersachsen: (f) und für Servicekonten (a) - das OZG wird nicht erwähnt. Nordrhein-Westfalen: kann buchstabieren, von (a) bis (e) ist alles dabei. Aber das OZG nicht. Rheinland-Pfalz - (a) und (f) - kein OZG. Sachsen nennt § 8 OZG sowie § 11a SächsEGovG in Verbindung mit § 11 SächsEGovGDVO. Und dann trotzdem (a) statt (c). Sachsen-Anhalt - fast wie Hamburg, nur dass das OZG und (c) fehlt. Schleswig-Holstein - § 8 Onlinezugangsgesetz iVm § 1 Zentrale-Stelle-Basisdiensteverordnung und § 3 Abs. 1 Landesdatenschutzgesetz Schleswig-Holstein. Aber auch hier wieder (f). Thüringen - ThürEGovG und OZG werden genannt, aber auch (a). Ob eine IP-Adresse wirklich anonymisisert ist, wenn mann gleichzeitig noch Browserinformationen wegspeichert?? Bund - kennt nur (e), nennt aber auch das OZG. Da kann man eigentlich nur vermuten dass man die Datenschutzerklärung einer anderen Webseite kopiert und notdürftig angepasst hat. Oder man weiß, dass man das OZG nicht erfüllt und sucht deswegen nach einer Rechtsgrundlage? Mit freundlichen Grüßen Christina Franke Anfragenr: 230874 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/230874/
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
Verschlüsselung und Sicherheit der Verwaltungsportale [#230874] # 11-103 II#7156 Der Bundesbeauftragte für den Dat…
Von
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
Betreff
Verschlüsselung und Sicherheit der Verwaltungsportale [#230874] # 11-103 II#7156
Datum
9. November 2021 08:47
Status
Warte auf Antwort
geschwärzt
583,5 KB
signature.asc
813 Bytes


Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Aktenzeichen 11-103 II#7156 Sehr geehrte Frau Franke, anliegendes Schreiben erhalten Sie mit der Bitte um Kenntnisnahme. Die Übersendung erfolgt ausschließlich elektronisch. Mit freundlichen Grüßen
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
Ihre Eingabe beim BfDI; Verschlüsselung und Sicherheit der Verwaltungsportale 11-103 II#7156 Sehr geehrte Frau Fr…
Von
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
Betreff
Ihre Eingabe beim BfDI; Verschlüsselung und Sicherheit der Verwaltungsportale
Datum
16. November 2021 12:19
Status
Warte auf Antwort
11-103 II#7156 Sehr geehrte Frau Franke, anbei übersende ich Ihnen die Antwort des BfDI zu Ihrer Eingabe über FragdenStaat. Mit besten Grüßen
Christina Franke
AW: Ihre Eingabe beim BfDI; Verschlüsselung und Sicherheit der Verwaltungsportale [#230874] Sehr << Anrede &…
An Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Details
Von
Christina Franke
Betreff
AW: Ihre Eingabe beim BfDI; Verschlüsselung und Sicherheit der Verwaltungsportale [#230874]
Datum
18. November 2021 21:05
An
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> Vielen Dank für Ihre Antwort. Leider stellt die mich nicht zufrieden. 1. Sicherheitsfragen: das NIST, OWASP, und Bruce Schneier raten eindeutig von Sicherheitsfragen ab: https://pages.nist.gov/800-63-FAQ/#q-b15 https://cheatsheetseries.owasp.org/ch... https://www.schneier.com/essays/archi... Und natürlich viele andere weniger prominente Experten auch. Nur das BSI könnte deutlicher sein, in CON.5.M2 will es zwar OWASP beachtet wissen, aber konkreter wird es nicht. Es ist meiner Meinung völlig unerheblich, dass das nur auf Vertrauensniveau niedrig relevant ist, Sicherheitsfragen sind unabhängig vom Vertrauensniveau überholt und sowohl das BSI als auch das BfDI sollten das entsprechend kommunizieren. Wenn Sicherheitsfragen verwendet werden, dann zeigt das nur, dass die Implementierer zu wenig Kenntnisse haben, um Sicherheit zu gewährleisten. Das alleine lässt bei mir schon alle Alarmglocken angehen... 2. Domainabweichung: beim Nutzerkonto Bund ist tatsächlich nur eine Abweichung der Subdomain, bei Portalen der Länder war das teilweise eine Abweichung der Domäne selbst bzw. es wurde die Domäne des Auftragsverarbeiters verwendet. 3. Postfach: Es erscheint mir weltfremd, zu unterstellen, dass ein Postfach angelegt aber dann nicht benutzt wird. Dazu müsste dann bei jeder Benutzung des Kontos oder eines Dienstes gefragt werden, ob das Postfach benutzt werden soll oder nicht. In den FAQ https://id.bund.de/de/eservice/konto/faq oder der Datenschutzerklärung https://id.bund.de/de/eservice/konto/... steht nichts zur Freiwilligkeit oder OZG § 2 (7) Satz 2. Die Analogie zu einem konventionellen Briefkasten sagt ganz klar, irgendetwas landet immer darin. Freiwilligkeit ist in meinen Augen nur dann gewährleistet, wenn erst gar kein Postfach angelegt wird oder sofort abgefragt wird ob es benutzt werden soll. Aber bitte fragen Sie doch das BMI oder auch BSI wie das umgesetzt wird und interoperabel werden soll. 4. Datenschutzerklärung mich überzeugt Ihre Argumentation nicht, aber letztendlich ist das (c) oder (e) nicht wesentlich, sondern es ist erschreckend, dass der Föderalismus zu unterschiedlichen Antworten führt und alle Buchstaben von (a) bis (f) dabei sind - das ist schon ein Armutszeugnis. Zur Frage nach Verschlüsselung der gespeicherten Daten haben Sie sich leider gar nicht geäußert. Da Sie nur das Nutzerkonto Bund angesehen haben, werde ich für die anderen Verwaltungsportale weitere Anfragen bzw. Beschwerden stellen. Mit freundlichen Grüßen Christina Franke Anfragenr: 230874 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/230874/
Christina Franke
AW: Ihre Eingabe beim BfDI; Verschlüsselung und Sicherheit der Verwaltungsportale [#230874] Sehr geehrte Damen und…
An Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Details
Von
Christina Franke
Betreff
AW: Ihre Eingabe beim BfDI; Verschlüsselung und Sicherheit der Verwaltungsportale [#230874]
Datum
9. März 2022 09:32
An
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, zu meine Beschwerde „Verschlüsselung un Sicherheit der Verwaltungsportale“ vom 10.10.2021 (#230874) habe ich seit mehr als drei Monaten keine Standmitteilung erhalten, wie das in der DSGVO Artikel 78 vorgesehen ist. Bitte informieren Sie mich umgehend über den Stand meiner Beschwerde. Mit freundlichen Grüßen Christina Franke Anfragenr: 230874 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/230874/
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
Ihre Eingabe beim BfDI; Verschlüsselung und Sicherheit der Verwaltungsportale 11-103 II#7156 Sehr geehrte Frau Fr…
Von
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
Betreff
Ihre Eingabe beim BfDI; Verschlüsselung und Sicherheit der Verwaltungsportale
Datum
25. Mai 2022 09:15
Status
Warte auf Antwort
11-103 II#7156 Sehr geehrte Frau Franke, anbei übersende ich Ihnen eine weitere Antwort des BfDI zu Ihrer Eingabe über FragdenStaat. Mit besten Grüßen

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Christina Franke
AW: Ihre Eingabe beim BfDI; Verschlüsselung und Sicherheit der Verwaltungsportale [#230874] Sehr << Anrede &…
An Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Details
Von
Christina Franke
Betreff
AW: Ihre Eingabe beim BfDI; Verschlüsselung und Sicherheit der Verwaltungsportale [#230874]
Datum
1. Juni 2022 19:15
An
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> entschuldigen Sie bitte, wenn ich etwas spitz oder leicht polemisch formuliere. Zum einen frage ich mich ob die Fähigkeit Deutsch zu lesen und zu verstehen überhaupt noch bei Behörden erwartet werden kann. In meiner ersten Nachricht vom 10.10.2021 habe ich geschrieben, ich habe in allen Portalen ein Nutzerkonto und bin damit Betroffene. Das zitierte Faq gehört zur NIST 800-63. Das NIST ist trotz des Namens eine US-Behörde, und im Kontext der Sicherheit vielleicht am ehesten vergleichbar mit dem BSI. Das repräsentiert nicht immer den Stand der Wissenschaft sondern hinkt dem Stand der Technik gerne auch mal hinterher, von Ausnahmen wie der AES-Initiative abgesehen (und auch da vergleichbar mit dem Ruf des BSI nach Quantenkryptographie). Auch die OWASP-Cheatsheets sind keine Wissenschaft sondern Stand der Technik (seit über 10 Jahren) oder zumindest Erwartungshorizont für aktuelle Software. Und der Artikel von Bruce Schneier ist aus dem Jahr 2005, also auch bald zwei Jahrzehnte alt. Lebt der BfDI hinterm Mond oder auf der Erde und damit in einer Welt in der Sicherheitsprobleme real sind und zeitnah ausgemerzt gehören? Mit freundlichen Grüßen Christina Franke Anfragenr: 230874 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/230874/