Dinosaurier des Datenschutzes

Sehr geehrter Herr Rompf, sehr geehrte Damen und Herren bei der Bundesanstalt für Arbeit,

leider habe ich keine Emailadresse von Herrn Rompf gefunden, aber Sie finden die bestimmt und können ihn beteiligen.

Da ich die Umsetzung u.a. anhand von Behörden-Emailadressen von FragDenStaat prüfe, ist mir die Bundesanstalt für Arbeit aufgefallen, die mit rund 500 Mal Agenturen und Jobcentern und damit mit den Domänen arbeitsagentur.de und jobcenter-ge.de vertreten ist. Auch die Bundesanstalt für Arbeit verfehlt in meinen Augen das Ziel wie der beigefügte Testbericht zeigt: weder obligatorische noch qualifizierte Transportverschlüsselung. Und auch hier sieht die Empfangsseite – immerhin wird da MTA-STS unterstützt – besser aus als die Sendeseite. Ist das Marketing? Denn die Mehrheit der deutschen Bürger hat nichts von MTA-STS, denn der Standard wird eigentlich nur von Google verfolgt.

Wollen Sie da nicht besser werden?

Vielen Dank und viele Grüße

Joachim Lindenberg

(Presseausweis anbei)

Sehr geehrte Damen und Herren Datenschutzbeauftragte, sehr geehrte Pressesprecherinnen und Pressesprecher,

die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ ist jetzt gut zwei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (16.06.2021) – bzw. drei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (13.06.2020) – Jahre alt. Nur leider kann ich nicht feststellen, dass sie in der Praxis angekommen oder von Ihnen durchgesetzt wird.  Sogar bei Ihnen selbst – siehe Anlage – gibt es Defizite. Von 18 Aufsichten unterstützen nur 3 eingangsseitig die in der Orientierungshilfe definierte qualifizierte Transportverschlüsselung. Erfahrungsgemäß setzen deutlich weniger Organisationen sendeseitig qualifizierte Transportverschlüsselung oder auch die dafür geeigneten Standards BSI-TR 03108-1 /  RFC 7672 ein, als die Unterstützung eingangsseitig veröffentlicht wird.

Wie viele von Ihnen sendeseitig die obligatorische Transportverschlüsselung verwenden weiß ich bisher nicht, aber ich weiß sicher, dass mindestens zwei Aufsichten durchfallen, also unverschlüsselt senden obwohl mein Emailserver RFC 7672 in beiden Richtungen unterstützt. Ich will die Aufsichten hier mal nicht nennen, stattdessen darf ich Sie alle bitten, den Test auf https://blog.lindenberg.one/EmailSicherheitsTest zu machen, und Sie alle fragen, bis wann Sie gedenken, Ihrer eigenen Empfehlung nachzukommen?

Oder planen Sie eine neue Orientierungshilfe mit anderem Inhalt? In der vielleicht die BSI-TR 03108-1 oder der weitgehend übereinstimmende RFC 7672 nicht nur empfohlen sondern eingefordert wird, wie das auch bei unseren Nachbarn in den Niederlanden der Fall ist, und den mehr als die Hälfte der Bundesbürger meist ohne ihr Wissen verwenden, denn beim – nach eigenen Behauptungen – mit 50% Marktanteil Marktführer United Internet wird dieser Standard verwendet, bei vielen anderen öffentlichen Anbietern auch, bei Verantwortlichen egal ob im öffentlichen oder privaten Bereich sehe ich das bisher nicht.

Vielen Dank und viele Grüße

Joachim Lindenberg

(Presseausweis anbei)

Sehr geehrte ***********, sehr geehrter ***********,
sehr geehrte Damen und Herren der Pressestelle bei der Bundesagentur,

am Freitag bzw. heute erreichte mich die neueste Auskunft der Bundesagentur. Ich kann nur den Kopf schütteln:

• Das Passwort scheint aus dem Betreff, meinen Initialen, einem _ und dem Datum (JJMMTT) zusammengesetzt zu sein. Kennt man dieses Muster, kann man vermutlich jedes Passwort mittels Durchprobieren von ein paar Tagen oder Monaten ermitteln. Vermutlich könnte man die Passwörter sekundenschnell durchprobieren wenn man wüsste, was die proprietäre Anwendung auf dem Stick tut. Das ist in meinen Augen Security by Obscurity.
• Passwort und USB Stick wurden über den gleichen Kanal, die Post transportiert. Würde jemand meine Post abfangen (z.B. per Nachsendeauftrag) käme er sehr wahrscheinlich an beides heran. Es sollte sich eigentlich herumgesprochen haben, dass Schlüssel und Inhalt auf unterschiedlichen Kanälen transportiert werden sollen, außer man verwendet ein Schlüsselaustauschprotokoll wie Diffie-Hellman, was für Menschen aber nicht praktikabel ist.
• Statt dass man einen preiswerten normalen USB-Stick und ein übliches passwortverschlüsseltes ZIP verwendet, das man bei gerade 5MB in der Auskunft auch völlig problemlos per Email verschicken könnte, wurde ein Kanguru Defender Elite 300 USB-Stick 8GB Stick verwendet – Einkaufspreis so ca. 100€, 8GB ist nicht mehr lieferbar – in jedem Fall eine Verschwendung von Steuergeldern. USB-Sticks muss man grundsätzlich als Sicherheitsproblem einstufen, in vielen Organisationen könnte man diesen Stick nicht verwenden, weil USB per Hardware oder Software gesperrt wird. Darüberhinaus ist der Stick aufgrund der notwendigen proprietären Software auch kein gängiges elektronisches Format im Sinne von Artikel 15 Abs. 3 Satz 3 DSGVO.
• Wenn man einen zentral-managebaren Stick verwendet, dann gehört m.E. ein Hinweis in den Brief oder die Datenschutzerklärung, ob diese Funktion genutzt wird oder nicht, und falls ja, wer den Dienst dazu verantwortet oder betreibt.
• Die Auskunft enthält keinerlei Angaben nach Artikel 15 Abs. 1 sondern lediglich meine Kommunikation sowie die des BfDI mit der Bundesagentur. Interne Kommunikation zwischen Stellen der Bundesagentur und meine Akte bei der Familienkasse fehlt. Es handelt sich also erneut um eine sehr unvollständige Teilauskunft.
• In der Datenschutzerklärung auf der Webseite gibt es nur einen Verantwortlichen, die Bundesagentur für Arbeit. Insofern greift die Stellungnahme vom 07.02.2024 „… möge der hierfür datenschutzrechtlich Verantwortliche Stellung nehmen“ völlig ins Leere, denn die interne Organisation ist für eine Auskunft nicht relevant, die „Guidelines 01/2022 on data subject rights – Right of access 2.0“ sieht vor, dass der Verantwortliche alle Daten einsammelt und gemeinsam beauskunftet.
• Insgesamt bezweifle ich, dass die Bundesagentur ein Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 DSGVO oder dem Risiko angemessene Sicherheitsvorkehrungen nach Artikel 32 DSGVO hat, einschließlich einer geeigneten Schulung für die Mitarbeiter. Sonst wäre dieses Chaos bei der Auskunft vermeidbar gewesen.
• Die Stellungnahme vom 22.09.2023 in der Akte_1401.07-1_2023 (Seiten 9 und 10 anbei) zeugt davon, dass die IT der Bundesagentur den Sinn einer obligatorischen oder qualifizierten Transportverschlüsselung nicht verstanden hat. Und ob „grundsätzlich“ hier als umgangssprachlicher oder wahrscheinlich eher als juristischer Terminus im Sinne von „nicht immer“ anzusehen ist, die Darstellung ist in beiden Fällen zumindest irreführend bis abwegig, zumal man auch nicht konsequent zwischen Emaileingang und -versand unterscheidet. Da die Bundesagentur nach meiner Anfrage oder Beschwerde keine Kopien von Anfragen über das Kontaktformular mehr versendet, muss ich vermuten, dass man weder beim Versenden weder obligatorische Verschlüsselung noch SMTP-DANE oder MTA-STS einsetzt.
• Die in der gleichen Stellungnahme erwähnte Zertifizierung nach Grundschutz Basis muss man bei vertraulichen Daten – *********** schreibt mir am 05.02.2024 „Bei Sozialdaten handelt es sich jedoch um besonders sensible Daten.“ – als unzureichend einstufen, insbesondere auch dann, wenn man behauptet S/MIME einzusetzen, das im Grundschutz oder auch der Orientierungshilfe erst bei Schutzbedarf hoch vorkommt, während das aktuelle Grundschutzkompendium (SMTP-)DANE und MTA-STS in APP.5.3 A9 schon auf Standard-Niveau erwarten lässt (so die BSI Interpretation von SOLL). Auch darf ich fragen, wie viele Kunden der Bundesagentur ein vertrauenswürdiges S/MIME-Zertifikat haben und wie die Bundesagentur diese Zertifikate auffindet, denn beim Kontaktformular Datenschutz finde ich keine Möglichkeit ein Zertifikat hochzuladen.

Ein erkennbares oder auch nur nachvollziehbares Konzept ist das nicht. An dieser Stelle möchte ich auch auf Ihr Schreiben vom 17.04.2024 reagieren: Die Fakten sprechen gegen Sie, die Frage ist, ob und wann Sie die Probleme abstellen werden?

Ich beabsichtige der Bundesagentur den Dinosaurier des Datenschutz – vergleichbar mit dem BigBrotherAward – zu verleihen. Eine Stellungnahme von Ihnen kann ich bis zum 24.05.2024 berücksichtigen.

Vielen Dank und viele Grüße

Joachim Lindenberg