Dataport – kann man nur verpfeifen!
Ich war vom 15.03.2021 bis 15.11.2021 externer Mitarbeiter bei Dataport AöR, OSI Plattform, offizielle Tätigkeit "Coach im Bereich Security Standards" und im Organigramm auch als "Security Champion" bezeichnet.
Zu meinen Aufgaben zählte ich
- Schulung und Coaching der Softwareentwicklung, Code-Reviews, Prozessunterstützung bis hin zu https://blog.lindenberg.one/Bedrohungsmodellierung, Toolerstellung (in C#) wie z.B. basierend auf der Roslyn Analyzer Technologie.
- Sicherheitsanforderungen zunächst bei Dataport intern veröffentlicht, inzwischen fast identisch auf https://blog.lindenberg.one/Sicherheitsanforderungen, aber natürlich ohne interne Informationen. Abgeleitet aus Datenschutzgesetzgebung, Grundschutz, und gesammelter Erfahrung.
- Identifizierung von Verbesserungsmöglichkeiten und Erarbeitung von Handlungsempfehlungen für das Management der Abteilung.
Soweit was ich bisher in meinem Lebenslauf oder Projekt-CV schreibe.
Nur leider war Dataport völlig beratungsresistent. Ich durfte zwar jede Menge Missstände entdecken, aber beseitigen wollte man die nicht. Um es deutlich zu sagen: die OSI Plattform — die Kernkomponenten der Verwaltungsportale nach dem Online-Zugangsgesetz (OZG) — verstößt nicht gegen eine sondern gegen alle meine Sicherheitsanforderungen. Zugegeben, meine Anforderungen sind teilweise etwas schärfer als der Grundschutz auf Standard, aber mit Grundschutz ist man ja nicht sicher – das gibt inzwischen sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Stellungnahme zu meiner Anfrage zur Verschlüsselung im Grundschutz zu – mehr zum Grundschutz in Bundesamt für (Un)Sicherheit in der Informationstechnik? Und was taugt der Grundschutz? Diese und andere – nicht alle – Anfragen entstanden aufgrund meiner Tätigkeit bei Dataport. Die OSI Plattform will sogar hohen Schutzbedarf erreichen – hat oder hatte dafür aber nicht wirklich ein taugliches Sicherheitskonzept. Vielleicht ist OSI aufgrund der inzwischen vielleicht unterschriebenen Verträge weitergekommen, vielleicht auch nicht. Als ich das dann auch an das Management von Dataport meldete, wurde mein Vertrag erst fristlos, als ich nach Gründen fragte, dann fristgemäß gekündigt. Einen Grund wollte man nicht kommunizieren, bzw. der Mitarbeiter der mir dann Gründe kommunizieren musste hat mich – Pardon – angelogen. Auffällig ist natürlich, dass Herr Hammer die Unternehmenskultur lobt – "Ich lege Wert auf unsere Fehlerkultur, die solche Hinweise zulasst bzw. sogar fördert und niemanden unbeliebt macht." – während die Kündigung fast zeitgleich eintrifft. Ich will nicht mal behaupten, dass er log, da weiß oft links nicht was rechts tut.
Ich habe gleich Auskunft nach Artikel 15 eingefordert, auch in Hinblick auf Beweissicherung, und als die unvollständig blieb, Beschwerde beim Unabhängiges Landeszentrum für Datenschutz (ULD) Schleswig-Holstein eingereicht. Beschwerde nicht nur wegen der unvollständigen Auskunft sondern auch wegen fehlendem Verfahrensverzeichnis (Artikel 30), fehlenden Auftragsverarbeitungsverträgen (Artikel 28) und mangelhaften technischen und organisatorischen Maßnahmen (Artikel 32). Was ich vom Unabhängiges Landeszentrum dann als Antworten bekomme, ist mindestens so katastrophal wie Dataport. Von Unabhängigkeit lese ich wenig, man verteidigt Dataport statt den Problemen nachzugehen.
Obwohl die Auskunft unvollständig ist, erlaubt sie Einblicke in die Abgründe bei Dataport gegeben. Dass ein Kunde Sicherheit nicht so ernst nimmt wie ich – das kommt vor. Dass er Sicherheitsbedenken gegen mich behauptet, wo er selbst unsicher ist, das ist ungewöhnlich – und üble Nachrede. Ich habe natürlich auch Beweise für meine Behauptungen, aber die stelle ich (noch) nicht auf meine Webseite, kann sie aber gerne der Aufsicht zur Verfügung stellen, wenn sie den Fall dann irgendwann doch untersucht. Und wenn ich jetzt noch an das Einer-Für-Alle-Prinzip bei der Umsetzung des Online-Zugangs-Gesetzes denke, dann sind irgendwann die Daten von uns 80 Millionen Deutschen unsicher. Da kann ich nicht nichts tun.
Eigentlich wollte ich bis zum 17.12.2021 warten, denn bis zu diesen Termin hätte die Bundesrepublik Deutschland die "Whistle-Blower"-Richtlinie (EU) 2019-1937 in nationales Recht umsetzen müssen. "Whistle-Blowing" – Verpfeifen. Nur hat sie das nicht. Natürlich hab ich Beschwerde bei der Europäischen Kommission eingereicht und die hat inzwischen ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland eingeleitet – vielleicht nicht nur auf meine Beschwerde hin. Nur leider klärt das nicht welche Behörde für Beschwerden zuständig ist – ich versuche es erstmal weiter beim Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, denn die sind zumindest auch die Datenschutzaufsicht für Dataport. Und veröffentliche hier mal die Kommunikation zwischen Dataport, Allgeier, dem Unabhängiges Landeszentrum für Datenschutz, und mir. Dabei habe ich mich entschlossen die Namen des Dataport-Managements und der Landesbeauftragten für den Datenschutz nicht zu schwärzen sondern nur die Kontaktdaten von ihnen. Die Namen stehen sowieso im Internet und ich darf zumindest fordern, dass sie die Verantwortung übernehmen und geschlossen zurücktreten müssten.
Wer leistet hier (k)einen Beitrag?
- das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht Standards, mit denen man trotzdem unsicher sein kann und zertifiziert auf unsicherem Niveau – siehe Bundesamt für Unsicherheit,
- Dataports Rechenzentrum wird auf niedrigem Niveau zertifiziert, Dataport ignoriert den Grundschutz aber – nicht nur – in der OSI-Platform-Softwareentwicklung,
- die Bundesländer, die Kunden von Dataport, interessieren sich mehr für Funktionen als für Sicherheit und Datenschutz,
- das Kraftfahrt-Bundesamt stellt eigene Anforderungen auf und lässt sie sogar überprüfen, reagiert aber nicht wenn die nicht umgesetzt werden – oder ignoriert das Informationsfreiheitsgesetz,
- die Datenschutzaufsichten handeln nicht,
- die Bundesreplublik Deutschland mit der Straffreiheit für Behörden und sonstige öffentliche Stellen in §43 (3) BDSG,
- und die Bundesreplublik Deutschland hat die Whistle-Blower-Richtlinie noch nicht umgesetzt und wohl auch keine handlungsfähige Meldestelle.
Wer nimmt Meldungen entgegen? Im Zweifelsfall die Öffentlichkeit
Deutschland hat die Whistle-Blower-Richtlinie immer noch nicht umgesetzt. Es existiert nur ein Entwurf dazu, und wie das darin als externe Meldestelle benannte Bundesamt für Justiz schreibt, ein Aufbauteam, aber funktionsfähig ist man anscheinend noch nicht. Auch die Datenschutzaufsichten der beteiligten Bundesländer sind offensichtlich nicht in der Lage, Dataport zu überprüfen, obwohl die Datenschutzgrundverordnung ihnen in Artikel 57 den Auftrag und in Artikel 58 die Mittel in die Hand gibt. Die Whistle-Blower-Richtlinie sieht als letztes Mittel den Gang an die Öffentlichkeit vor, was ich mit dieser Veröffentlichung angehe.
Ich will nicht alle Dokumente veröffentlichen die mir vorliegen – vor allem weil das Schwärzen enorm viel Zeit kostet. Ich veröffentliche hier zunächst den Bericht zur IS-Kurzrevision und den Abschlussbericht Dataport iKfz Audit und Pentests, die dazu geeignet gewesen wären, das Verfahren stillzulegen. Und darin kommt Dataport sogar noch gut weg, denn die Zertifizierung des Rechenzentrums wurde gar nicht in Frage gestellt – obwohl das sinnvoll gewesen wäre. Die oben angeführte Anfrage in der das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Veröffentlichung der Zertifizierungsdokumente ablehnt – die entstand aufgrund von Mängeln bei Dataport. Sicherheit nach Stand der Technik (Artikel 32)? Fehlanzeige! Außerdem die Security-Service-Level-Agreements (SSLA)
Teil A und Teil B, die im wesentlichen gar nichts aussagen und damit in meinen Augen nicht geeignet sind Artikel 28 und 32 zu erfüllen. Dass man einen Teil B hat bestätigt allerdings, dass Schutzbedarf hoch festgestellt wurde. Bremen hat den Vertrag veröffentlicht, Teil A (Anlage 8a, ab Seite 60) ist sichtbar, Teil B (Anlage 8b, ab Seite 74) hat man lieber geschwärzt – das scheint man selbst nicht für ausreichend zu halten. Vielleicht zur Erinnerung – Security by Obscurity hält Angreifer nicht ab, das wusste schon Alfred Charles Hobbs im Jahr 1851. Und bitte lesen Sie genau: es wird im SSLA nur der grundschutzkonforme Betrieb, nicht eine grundschutzkonforme Entwicklung versprochen.
Bei Dataport glaubt man, man sei besser als die anderen Verwaltungsportale. Wenn das stimmt, dann sind unsere Daten in allen Verwaltungsportalen in Gefahr. Wenn ich mir die Stellenangebote auf den Portalen für Freiberufler ansehe, dann befürchte ich, dass sie Recht haben könnten — und das muss sich ändern.
Kommunikation mit Dataport und dem Unabhängigen Landeszentrum für Datenschutz
Hier meine Kommunikation mit Dataport und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein:| Datum/Zeit | Sender | Empfänger | Thema |
|---|---|---|---|
| 11.11.2021 18:04 | Joachim Lindenberg | Dataport AöR | Zusammenarbeit, Qualitätsmanagement, Sicherheit, und andere Defizite bei OSI und Dataport |
| 15.11.2021 13:40 | Dataport AöR | Joachim Lindenberg | Zusammenarbeit, Qualitätsmanagement, Sicherheit, und andere Defizite bei OSI und Dataport |
| 15.11.2021 14:12 | Allgeier Experts | Joachim Lindenberg | Kündigung des Dataporteinsatzes |
| 15.11.2021 18:08 | Joachim Lindenberg | Dataport AöR | Auskunft nach Artikel 15 DSGVO |
| 16.11.2021 06:20 | Dataport AöR | Dataport AöR | Sperrung der Accounts von Joachim Lindenberg |
| 18.11.2021 17:09 | Dataport AöR | Allgeier Experts | Rücknahme Sofortige Kündigung Jaochim Lindenberg |
| 14.12.2021 | Dataport AöR | Joachim Lindenberg | Auskunftsschreiben |
| 14.12.2021 15:13 | Dataport AöR | Joachim Lindenberg | Auskunft nach Artikel 15 DSGVO |
| 18.12.2021 09:37 | Joachim Lindenberg | Dataport AöR | Auskunft nach Artikel 15 DSGVO |
| 22.12.2021 09:52 | Dataport AöR | Joachim Lindenberg | Auskunft nach Artikel 15 DSGVO |
| 22.12.2021 12:45 | Joachim Lindenberg | Dataport AöR | Auskunft nach Artikel 15 DSGVO |
| 27.12.2021 15:49 | Dataport AöR | Joachim Lindenberg | Auskunft nach Artikel 15 DSGVO |
| 27.12.2021 17:08 | Joachim Lindenberg | Unabhängiges Landeszentrum für Datenschutz | Auskunft nach Artikel 15 DSGVO – Beschwerde |
| 18.01.2022 | Unabhängiges Landeszentrum für Datenschutz | Joachim Lindenberg | Beschwerde gegen Dataport |
| 23.01.2022 08:32 | Joachim Lindenberg | Unabhängiges Landeszentrum für Datenschutz | Auskunft nach Artikel 15 DSGVO – Aktenzeichen LD42.26.01722.00 |
| 17.02.2022 | European Commission | Joachim Lindenberg | Pre-closure letter to CHAP(2022)00147 – Ares(2022)1192438 |
| 10.03.2022 | Unabhängiges Landeszentrum für Datenschutz | Joachim Lindenberg | Beschwerde gegen Dataport |
| 18.03.2022 17:55 | Joachim Lindenberg | Unabhängiges Landeszentrum für Datenschutz | Auskunft nach Artikel 15 DSGVO – Aktenzeichen LD42.26.01722.00 |
| 01.04.2022 | Landesbeauftragter für den Datenschutz Sachsen-Anhalt | Joachim Lindenberg | Antrag auf Zugang zu Informationen nach dem IZG LSA |
| 05.04.2022 | Landesbeauftragter für den Datenschutz und die Informationsfreiheit Mecklenburg-Vorpommern | Joachim Lindenberg | Beschwerde nach Art. 77 DSGVO |
| 05.04.2022 13:00 | Joachim Lindenberg | Aufsichten | Kernaufgabe DSGVO Artikel 57 |
| 27.04.2022 | Landesbeauftragte für den Datenschutz Niedersachsen | Joachim Lindenberg | Landesbeauftragte sieht sich nicht zuständig |
| 07.05.2022 15:30 | Joachim Lindenberg | Landesbeauftragte für den Datenschutz Niedersachsen | Rückfrage zu Landesbeauftragte sieht sich nicht zuständig |
| 10.05.2022 | Unabhängiges Landeszentrum für Datenschutz | Joachim Lindenberg | Beschwerde gegen Dataport |
| 21.05.2022 14:16 | Joachim Lindenberg | Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit | M1_1031_2022 – Dataport |
| 15.06.2022 13:14 | Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit | Joachim Lindenberg | M1_1031_2022 – Dataport |
| 15.06.2022 14:59 | Joachim Lindenberg | Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit | M1_1031_2022 – Dataport |
| 14.07.2022 17:28 | Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit | Joachim Lindenberg | M1_1031_2022 – Dataport |
Kommunikation mit den Aufsichten der anderen beteiligten Ländern, dem Kraftfahrt-Bundesamt, dem Bundesministerium für Justiz und dem Bundesamt für Justiz
Manche reagieren gar nicht, andere ausweichend, und dass die Aufsichten sich an Ihre eigene Orientierungshilfe zur Emailverschlüsselung nicht halten – dazu mehr in Emailsicherheit bei öffentlichen Einrichtungen und Aufsicht – ohne Orientierung?
| Erstellt | Geändert | Status | Behörde | Thema |
|---|---|---|---|---|
| 27.03.2022 | 26.04.2022 | Warten auf Antwort (verspätet) | Bundesministerium der Justiz | Stand des Regierungsvorhabens „Whistleblower-Gesetz“ |
| Ich betrachte das zumindest vorläufig als "Information nicht vorhanden", denn das Bundesamt für Justiz hat meine Anfrage https://fragdenstaat.de/anfrage/externe-meldestelle/ noch nicht beantwortet, und in meiner Anfrage habe ich nach bereits aktiven Meldestellen gefragt.Die Zwischenfrage nach Bürgerfrage werde ich nochmal separat stellen. | ||||
| 28.03.2022 | 26.07.2022 | Warten auf Antwort (verspätet) | Kraftfahrt-Bundesamt | Beschwerde Dataport |
| 28.03.2022 | 13.05.2022 | Warten auf Antwort (verspätet) | Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit | Beschwerde Dataport |
| 28.03.2022 | 20.04.2022 | Warten auf Antwort (verspätet) | Landesbeauftragter für den Datenschutz Sachsen-Anhalt | Beschwerde Dataport |
| 28.03.2022 | 05.04.2022 | Warten auf Antwort (verspätet) | Die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen | Beschwerde Dataport |
| 28.03.2022 | 07.05.2022 | Warten auf Antwort (verspätet) | Die Landesbeauftragte für den Datenschutz Niedersachsen | Beschwerde Dataport |
| 28.03.2022 | 07.04.2022 | Warten auf Antwort (verspätet) | Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern | Beschwerde Dataport |
| 21.04.2022 | 09.05.2022 | Abgelehnt | Bundesamt für Justiz | Externe Meldestelle |
Veröffentlicht am 02.05.2022.
©2022 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.