Auf Mastodon teilen

Sehr geehrte<Information-entfernt> ich danke Ihnen für Ihre Antwort. Gerne möchte ich Ihre Begründung nachvollziehen können. In Ihrer Begründung beziehen Sie sich bezüglich § 3 Nr. 4 IFG auf eine "aktuell materiell-rechtmäßig[e], besonder[e] Geheimhaltungs- und Vertraulichkeitsverpflichtung". Können Sie gemeinte Rechtsnorm genauer verorten? Mit freundlichen Grüßen <Information-entfernt> <Information-entfernt> Anfragenr: 167295 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/167295

Sehr geehrte<Information-entfernt> ich hatte Sie gebeten Ihren Bescheid durch die Nennung Rechtsnorm, auf die sie sich im Hinblick des § 3 Nr. 4 IFG beziehen, auszubessern. Aktuell sind die rechtlichen Gründe, die Sie zur Entscheidung bewogen haben, nicht vollständig erkennbar: 1. ob Sie sich auf eine "Rechtsvorschrift" (nach meiner Zählung: 1. Var.) oder eine "allgemeine Verwaltungsvorschrift" (2. Var.) beziehen. Falls 1.Var.: welche Rechtsvorschrift? Falls 2. Var.: . Soweit das erwähnte "Informationssicherheitsmanagement für den Digitalfunk BOS" eine allgemeine Verwaltungsvorschrift sein soll, ist nicht zu erkennen, ob (a) eine solche existiert (b) auf welcher Rechtsgrundlage sie (c) durch welche Behörde erlassen wurde und (d) ob diese eine solche Verschlusssacheneinstufung enthält. Ich ersuche Sie daher erneut, diesen Formfehler nach § 39 Abs. 1 S. 2 VwVfG gemäß § 45 Abs. 1 Nr. 2 VwVfG nachzubessern. Mit freundlichen Grüßen <Information-entfernt> <Information-entfernt> Anfragenr: 167295 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/r/167295

Sehr geehrte<Information-entfernt> ich hatte Sie gebeten Ihren Bescheid durch die Nennung Rechtsnorm, auf die sie sich im Hinblick des § 3 Nr. 4 IFG beziehen, auszubessern. Aktuell sind die rechtlichen Gründe, die Sie zur Entscheidung bewogen haben, nicht vollständig erkennbar: 1. ob Sie sich auf eine "Rechtsvorschrift" (nach meiner Zählung: 1. Var.) oder eine "allgemeine Verwaltungsvorschrift" (2. Var.) beziehen. Falls 1.Var.: welche Rechtsvorschrift? Falls 2. Var.: . Soweit das erwähnte "Informationssicherheitsmanagement für den Digitalfunk BOS" eine allgemeine Verwaltungsvorschrift sein soll, ist nicht zu erkennen, ob (a) eine solche existiert (b) auf welcher Rechtsgrundlage sie (c) durch welche Behörde erlassen wurde und (d) ob diese eine solche Verschlusssacheneinstufung enthält. Ich ersuche Sie daher erneut, diesen Formfehler nach § 39 Abs. 1 S. 2 VwVfG gemäß § 45 Abs. 1 Nr. 2 VwVfG nachzubessern. Mit freundlichen Grüßen <Information-entfernt> <Information-entfernt> Anfragenr: 167295 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/r/167295

Sehr geehrte<Information-entfernt> ich schlage vor, dass wir gemeinsam versuchen das Verfahren möglichst unkompliziert durchzuführen: Es genügt mir, wenn Sie mir per E-Mail die fehlende rechtliche Grundlage der Verschlusssacheneinstufung mitteilen. Auf dieser Basis kann ich dann entscheiden, ob die Aufrechterhaltung des Antrags aus meiner Sicht sinnvoll ist. Sollte nach Ihrer Mittelung zwischen uns weiterhin ein Dissens bestehen, schlage ich vor, dass wir in diesem Fall zunächst den BfDI um Vermittlung bitten. Eine förmliche Bescheidung würde hier nur eine Rechtsbehelfsfrist auslösen, die typischerweise kürzer ist, als die Bearbeitungsdauer der Vermittlung. Mir erscheint es unzweckmäßig durch eine Bescheidung parallel ein Widerspruchsverfahren durchzuführen zu müssen. Ich würde mich freuen, wenn wir die Angelegenheit zunächst auf diese Weise angehen können. Mit freundlichen Grüßen <Information-entfernt> <Information-entfernt> Anfragenr: 167295 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/167295

Sehr [geschwärzt], Ihrer Bitte nach Mitteilung einer Postanschrift komme ich zum jetzigen Zeitpunkt nicht nach. Bevor ich den BfDI bitten muss, mir durch seine Vermittlung zu helfen, möchte ich erneut meinen guten Willen Ihnen gegenüber zeigen, indem ich Ihnen meine Bedenken offen lege und Sie erneut um Prüfung Ihrer Begründung ersuche (Art. 17 GG); mangels hinreichender Begründung kann ich das jedoch nur so weit tun, wie auch Ihre Argumente vollständig waren. [ (I.) Zusammenfassung ] Im Verhältnis zwischen den Tatsachenlagen von Spam-Abwehr im Allgemeinen und DNSBL im Speziellen haben Sie totum pro parte subsumiert. Ihre Argumente müssen aber nicht generell auf Spam-Abwehr, sondern speziell auf DNS-BL als Antragsgegenstand zutreffend sein. [ (II.) Sicherheitsrelevanz und Funktionsweise von DNS-BL ] Für meinen Auskunftsanspruch ist es im Hinblick auf beide Ausschlusstatbestände von Bedeutung, welchen Stellenwert DNS-BL innerhalb der Sicherheitsarchitektur eines Antispam-Systems darstellen. [[ (a.) Technische Funktion von DNS-BL in Antispam-Systemen ]] DNS-BL ermöglichen es per DNS-Abfrage IP-Adressen, Domains-/Hostnames oder auch URLs (URIBL über DNS) mit großen Negativlisten abzugleichen. Auf solchen Listen landet in der Regel, wer in einem gewissen größeren Umfang durch das massenhaften Spam- und/ oder Schadsoftwareversand aufgefallen ist. Diese bilden in aller Regel eine äußere Bastion der Spam-Abwehr und sind allenfalls gegen ungezielten, häufig primitiven Spam wirksam. [[ (b.) Einordnung von Blacklisten in die Sicherheitsarchitektur eines Antispam-Systems ]] Ein Blacklist-Einsatz hat aus administrativer Sicht vor Allem den Zweck etwas Last vom Antispam-System zu nehmen. Der Abgleich von Listen benötigt nämlich nur eine marginale Menge an Systemresourcen im Vergleich zu anderen Spam- und Schadprogrammprüfungen. Andere Spam- und Schadsoftwareprüfungen bilden den sicherheitsrelevanteren Teil der Spam-Filterung, der gezielten Angreifern nicht bekannt werden sollte; so beispielsweise verschiedene Spamerkennungsalgorithmen sowie Virenscanner und Quarantäneregeln. [[ (c.) Nicht DNS-basierte externe Blacklisten ]] Auf DNS-Abfragen aufbauende Blacklists sind nicht das einzige wirksame Mittel Blacklisten zu nutzen. So bieten die Anbieter typischerweise auch Datenfeeds über rsync oder andere Protokolle. [[ (d.) Öffentlichkeit von Blacklisten ]] Der weit überwiegende Teil der Blacklisten ist öffentlich abfragbar, sodass auch ein Spammer/ Angreifer erkennen kann, ob seine IP-Adresse/ Domain/ URL gelistet wurde. [ (III.) Schutz der inneren- und äußeren Sicherheit, § 3 Nr. 1 lit. c IFG ] [[ (a.) Schutzgut ]] Die Sicherheit von Informationssystemen des Bundes, wie Sie der BDBOS pflegt, kann man als vom Schutzgut "innere und äußere Sicherheit" iSv § 3 Nr. 1 lit. c IFG erfasst ansehen. [[ (b.) Bekanntwerden ]] Durch den Antrag würde im Hinblick auf das Schutzgut "Bundes-IT" nur die Tatsache bekannt, ob der BDBOS DNS-BL nutzt. [[ (c.) Nachteilige Auswirkungen ]] Das Bekanntwerden der Tatsache, ob DNS-BL durch den BDBOS verwendet werden, wäre nachteilig für das Schutzgut, wenn ein potentieller Angreifer die Kenntnis dieser Tatsache für einen erfolgreichen Angriff auf die Bundes-IT nutzen könnte, der allein ohne die Kenntnis dieser Tatsache praktisch nicht durchführbar wäre. Angreifer wäre in diesem Sinne nur derjenige, der es gezielt auf die Bundes-IT abgesehen hätte; denn für ordinäre Massen-Spammer spielen solche Überlegungen gemäß der Natur Ihrer Tätigkeit ohnehin keine Rolle. Ein solcher gezielt vorgehender Angreifer würde einfach eine IP-Adresse/ Domain verwenden, die in keiner DNS-Blacklist verzeichnet ist. Darüber hinaus müsste es ohnehin zum Einmaleins eines solchen gezielt vorgehenden Angreifers gehören, mindestens die allerbanalsten Maßnahmen gegen Massen-Spammer durch überwinden zu können. Darüber hinaus wüsste ein Angreifer, der wüsste, dass oder dass keine DNS-BL verwendet werden, wiederum nicht, ob nicht die selben oder ganz andere Blacklisten über andere Internetprotokolle (z.B. rsync) abgefragt werden. Er müsste sich daher, selbst wenn der BDBOS bestätigen würde, überhaupt keine DNS-BL zu verwenden, damit rechnen, dass der BDBOS genau diese Blacklisten auf anderem Weg abgefragt haben könnte. Jeder denkbare gezielt an Ihren Netzen interessierte Spam- und Schadsoftwareversender würde daher einfach antizipieren, dass solche oder andere Blacklisten verwendet werden, da es aus dessen Sicht aufwendiger wäre sich hierüber Gedanken zu machen. [ (IV.) Besonderer Geheimnisschutz, § 3 Nr. 4 IFG ] Auch wenn Sie ohne förmliche Bescheidung darauf verzichten wollen die genaue Rechtsgrundlage zu nennen, ist mir kein Gesetz ersichtlich, das für die Verwendung von DNS-BL besonderen Geheimnisschutz anordnen könnte; Verschlusssachenanweisungen jedweder Form hätten im Hinblick auf das unter Ziffer römisch-III Vorgetragene wohl auch keine standfeste materielle Berechtigung. Soweit dieser Aspekt den Knackpunkt darstellen würde, könnte auch die Vermittlung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit einen Erkenntnisgewinn für Sie und mich versprechen. [ (V.) Sonstiges ] Ich habe mich mit den Nachforschungen, welche Meinungen staatliche Autoritäten in der Frage der datenschutzrechtlichen Zulässigkeit von DNS-BL vertreten, an den BDBOS gewandt, weil mir das durch den BfDI nahe gelegt wurde (Geschäftszeichen: [geschwärzt]#[geschwärzt], Schreiben vom 24.09.2019, https://fragdenstaat.de/anfrage/zulassi…). Mit freundlichen Grüßen [geschwärzt] Anfragenr: 167295 Antwort an: [geschwärzt] Laden Sie große Dateien zu dieser Anfrage hier hoch: [geschwärzt]

Sehr [geschwärzt], ich bitte um Vermittlung bei einer Anfrage nach dem Informationsfreiheitsgesetz. Die bisherige Korrespondenz finden Sie hier: [geschwärzt] Ich habe die Anfrage an den BDBOS gestellt, weil ich untersuchen möchte, welche datenschutzrechtliche Auffassungen zum Thema Domain Name System-based Blackhole Lists (DNSBL) bei deutschen Behörden vorliegen. In diesem Zuge habe ich auch eine ähnlich lautende Anfrage bei Ihnen im Haus gestellt, wo man mir sogar empfahl beim BDBOS nachzufragen (Geschäftszeichen: 25-780/006 II#0332, Schreiben vom 24.09.2019, Bearbeiterin: [geschwärzt]). Der BDBOS hat die Anfrage durch Bescheid vom 22. Oktober 2019 unter Verweis auf nicht näher bezeichnete Geheimhaltungsvorschriften (§ 3 Nr. 4 IFG) sowie Risiken für die äußere und innere Sicherheit (§ 3 Nr. 1 lit. c. IFG) abgelehnt. # Meine Argumentation gegenüber dem BDBOS # Während man Spam- und Malwareschutz bei einer unpräzisen Rundumschlag-Subsumption als allgemein geheimhaltungsbedürftig und sicherheitskritisch einordnen könnte, erscheint dies im Speziellen für DNS-BL extrem fernliegend. Dies habe ich dem BDBOS durch Schreiben vom 15. November durch umfangreiche wohlwollende Erläuterungen mitgeteilt. Diesbezüglich bitte ich Sie um Prüfung und Vermittlung. # Teilablehung? # Darüber hinaus verbleibt durch den BDBOS unbegründet, inwiefern der für mich wesentlichere zweite Teil meiner Anfrage, nämlich der nach datenschutzrechtlichen Fragestellungen zum Thema DNSBL die Schutzgüter nach § 3 Abs. 1 lit. c, Nr. 4 IFG überhaupt tangiert und ob dann nicht wenigstens ein Teilablehnungsbescheid hätte erstellt werden müssen. # Datenschutzrechtliche Fragestellung # Zusätzlich zu diesen Erläuterungen *können* Sie gerne auch unter Ausübung Ihrer datenschutzrechtlichen Kompetenz die Frage in Ihre Prüfung einfließen lassen, ob es rechssystematisch unkohärent wäre, die Nutzung von DNS-BL allgemein im IFG-Zusammenhang geheim zu halten, während einem datenschutzrechtlich Betroffenen, der einen privaten E-Mail-Servers betreibt, möglicherweise sogar die konkreten Empfänger seiner IP-Adresse und Domainnamen zu benennen wären (Art. 15 Abs. 1 lit. c. DS-GVO) und in die Datenschutzinformationen nach Art. 13 und 14 Abs. 1 lit. e DS-GVO aufzunehmen wären. # Andere Behörden # Die Landesoberbehörde IT Baden-Württemberg hat zwischenzeitlich Auskunft darüber gegeben keine DNS-BL zu nutzen: https://fragdenstaat.de/anfrage/nutzung-von-domain-name-system-based-blackhole-lists-dnsbl-1/ Folgt man der Auffassung des BDBOS ist damit die äußere und innere Sicherheit von Baden-Württemberg bedroht. Umgekehrt hat der Brandenburgische IT-Dienstleister auch keine Probleme darin gesehen die Nutzung von DNS-BL einzuräumen: https://fragdenstaat.de/anfrage/nutzung-von-domain-name-system-based-blackhole-lists-dnsbl-5/ # Rechtsbehelfsfrist # Der Bescheid war, wie ich dem BDBOS mitteilte, nicht ausreichend begründet. So wurde keine Rechts- oder allgemeine Verwaltungsvorschrift iSv § 3 Nr. 4 IFG benannt. Da der Bescheid so nicht erkennen lässt, welche rechtlichen Gründe die Behörde zu ihrer Entscheidung bewogen haben, wäre dieser nach § 45 Abs. 1 Nr. 2 iVm 39 Abs. 1 S. 2 VwVfG nachzubessern. Dies hat die Behörde nicht getan, weshalb die Rechtsbehelfsfrist momentan als gemäß § 45 Abs. 3 S. 1 VwVfG als nicht verschuldet anzusehen ist. Solange dies so bleibt, können auch Sie sich bei der Antragsbearbeitung Zeit lassen! Sie finden auch alle Dokumente zu dieser Anfrage als Anhang zu dieser E-Mail. Sie dürfen meinen Namen gegenüber der Behörde nennen. Ich danke Ihnen außerordentlich für die Vermittlung! Mit freundlichen Grüßen [geschwärzt] Anhänge: - 167295.pdf - 2019-10-22_1-20191022_Antwortschreiben_IFG-Anfrage_25.09.2019_Az.100102_9_31_Org.docx Anfragenr: 167295 Antwort an: [geschwärzt] Laden Sie große Dateien zu dieser Anfrage hier hoch: [geschwärzt]