Frag-den-Staat

Seit März 2021 lerne ich den BSI Grundschutz und das Online Zugangsgesetz kennen. Leider lässt der BSI Grundschutz an einigen Stellen doch viele Unklarheiten offen, die ich gerne geschlossen sehen würde. Ich habe dazu und zu einigen anderen Beobachtungen Anfragen auf FragDenStaat gestellt.

Aktualisierung 20.12.2021: inzwischen sind es einige Anfragen mehr geworden und nicht nur an das BSI. Die Übersicht auf FragDenStaat überzeugt nicht so ganz. Also unten eine Tabelle, generiert über das API von FragDenStaat.

ErstelltGeändertStatusBehördeThema
03.06.202107.07.2021Information nicht vorhandenBundesamt für Sicherheit in der InformationstechnikIT-Komponente
Der Grundschutz lässt halt viele Möglichkeiten offen. Man kann beliebig modellieren, man kann SOLLs wie Verschlüsselung abwählen. Eine Begründung wird zwar erwartet, aber im Zertifikat steht nichts davon. Letztendlich garantiert ein Grundschutzzertifikat keine Umsetzung auf dem Stand der Technik. Wie bei jedem Audit muss man den Bericht bekommen, oder in einem Vertrag konkrete Vereinbarungen treffen.Mehr auf https://blog.lindenberg.one/BundesamtUnsicherheit
07.07.202125.05.2022EingeschlafenBundesamt für Sicherheit in der InformationstechnikSicherheitsaudits des Projekts "Sichere Implementierung einer allgemeinen Kryptobibliothek"
07.07.202108.08.2023EingeschlafenBundesamt für Sicherheit in der InformationstechnikVerschlüsselung im BSI Grundschutz?
Das BSI erwartet zu wenig Sicherheit. Mehr dazu auf https://blog.lindenberg.one/BundesamtUnsicherheit und speziell zu Verschlüsselung auf https://blog.lindenberg.one/VerschlusselungPflicht.Öffentliche Sicherheit ist dabei eine Phrase die alles mögliche enthält – s.a. https://de.wikipedia.org/wiki/%C3%96ffentliche_Sicherheit. Konkret gefährdet ist der Anspruch der Bürger auf Datenschutz (EU Grundrechte-Charta Artikel 8). Einen Angreifer wird Geheimhaltung der Sicherheitskonzepte nicht wirklich abhalten – s.a. https://blog.lindenberg.one/SecurityByObscurity.Meine Beschwerde wurde abgelehnt, ich habe Klage eingereicht. Wer sich dafür interessiert darf mich gerne anschreiben.
01.08.202104.02.2022EingeschlafenBundesamt für Sicherheit in der InformationstechnikSicherheit von Software und Systemen?
Mal sehen ob das BMI noch etwas antwortet. Feststellen kann ich immerhin, dass zumindest kleine Unternehmen den Anbietern ausgeliefert sind. Woher soll ein kleines Unternehmen die Expertise haben, zu beurteilen ob die eingesetzten Systeme oder die eingesetzte Software sicher ist. Die Auswahl findet meist über Funktionen statt, die für den Anwender wichtiger sind – und oft auch über den Preis.Dabei stelle ich immer wieder fest, dass der Stand der Technik ignoriert wird. Aber dazu muss man das Kleingedruckte von Verträgen lesen und Software selbst unter die Lupe nehmen. Wer kann das schon? Und welche Alternativen hat man, wenn man feststellt dass die meisten Auftragsverarbeitungsverträge oder Produktbeschreibungen sehr lückenhaft sind?
02.08.202110.02.2022Information nicht vorhandenFITKO (Föderale IT-Kooperation) AöRLeitlinie Informationssicherheit des IT-Planungsrats
15.08.202109.06.2022EingeschlafenKassenärztliche BundesvereinigungIT-Sicherheitsrichtlinie nach SGB V §75b
04.09.202104.03.2022Information nicht vorhandenBundesamt für Sicherheit in der InformationstechnikLeitlinie Informationssicherheit des IT -Planungsrats
formal hat das BSI den Antrag abgelehnt, aber das ist sehe ich als Nebelkerze. Das BSI hat keine Informationen oder – meine Vermutung – will sie nicht herausgeben. Das ist leider ein Muster das ich in fast allen Anfragen an das BSI beobachte.Mehr dazu auf https://blog.lindenberg.one/BundesamtUnsicherheit.
17.09.202121.03.2024VermittlungBundesministerium des Innern und für HeimatVerwendung von YouTube im Blick der Datenschutzkonvention 108 des Europarats
18.09.202119.04.2022EingeschlafenBundesamt für Sicherheit in der InformationstechnikSichere Email nach BSI TR-03108
Das BSI kann ganz offensichtlich keine klaren Empfehlungen geben und verbrennt damit Zeit und Geld aller die sich mit Sicherheit intensiv befassen wollen oder müssen. Mehr dazu auf https://blog.lindenberg.one/BundesamtUnsicherheit.Speziell hier: widersprüchliche Empfehlungen in Grundschutz und BSI TR 03108, keine Übernahme von Internet-Standards, so daß unklar bleibt welche Produkte geeignet sind, und Testanleitungen die unklar bleiben und offensichtlich nur selten praktiziert werden. So skaliert Sicherheit nicht. Das gefährdet unsere Grundrechte auf Privatheit (Artikel 7 EU-Grundrechtecharta) und Datenschutz (Artikel 8) – mehr dazu auf https://blog.lindenberg.one/AufsichtOhneOrientierung.
23.09.202108.10.2021Information nicht vorhandenBundesamt für Sicherheit in der InformationstechnikBausteine NET.2.1 und NET.2.2 – 802.1X Sicherheit
Grundschutz – leider kann man den erfüllen und doch unsicher sein. Das BSI tut nicht genug, Sicherheit zu unterstützen. Mehr zu 802.1X und Eduroam auf https://blog.lindenberg.one/BundesamtUnsicherheit.
24.09.202113.02.2023Teilweise erfolgreichKonferenz der unabhängigen Datenschutzbehörden des Bundes und der LänderOrientierungshilfe Emailverschlüsselung – Sichere Email beim BSI?
https://blog.lindenberg.one/AufsichtOhneOrientierung
12.10.202120.07.2022EingeschlafenDer Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-WürttembergVerschlüsselung im Verwaltungsportal?
Es gibt keinen Grund für mich anzunehmen, dass Baden-Württemberg besser als die von Dataport betriebenen Nordländer sind – siehe https://blog.lindenberg.one/BeschwerdeDataport. Auch das BSI gibt zu, man kann zertifiziert sein, aber unsicher. Dazu mehr auf https://blog.lindenberg.one/BundesamtUnsicherheit. Wenn die Aufsicht nichts unternimmt, dann kann ich Bürgern nur raten, dem Staat keine Daten anzuvertrauen. Der LfDI BW hat sich bei all meinen Beschwerden und Anfragen – https://blog.lindenberg.one/BeschwerdenLfdiBw – nicht mit Ruhm bekleckert. Zwei Beschwerden laufen, die anderen dümpeln vor sich hin.
11.11.202113.06.2022EingeschlafenLandesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-PfalzAntrag nach dem LTranspG RLP zu 4.02.20.365
23.11.202103.03.2022ErfolgreichKonferenz der unabhängigen Datenschutzbehörden des Bundes und der LänderArtikel 32 DSGVO – Dispositiv?
Die Datenschutzkonferenz hat am 24.11.2021 beschlossen, dass ein Verzicht auf TOMs (Artikel 32) nur in Ausnahmefällen und auf ausdrückliche Initiative des Betroffenen erlaubt ist. Jede formularmäßige Verwendung dürfte damit ausscheiden.
26.11.202114.04.2022EingeschlafenBundesrechtsanwaltskammerVerzicht auf TOMs, insbesondere Verschlüsselung – BRAO §2?
Die Anwälte erlauben sich, Artikel 32 DSGVO zu ignorieren, und der BfDI unternimmt nichts. Mehr auf https://blog.lindenberg.one/EmailsicherheitAnwalte und https://blog.lindenberg.one/AufsichtOhneOrientierung.
08.12.202109.09.2022EingeschlafenKonferenz der unabhängigen Datenschutzbehörden des Bundes und der LänderAuftragsverarbeitung bei Email?
Der BfDI hat also keine Unterlagen zur Auftragsverarbeitung bei Email die er nach dem IFG herausgeben kann. Aber er ist m.W. auch zuständig für die Beratung, mal sehen ob da etwas kommt. Oder vielleicht aus Baden-Württemberg? Die haben bisher auch nicht reagiert (https://blog.lindenberg.one/BeschwerdenLfdiBw).Weitere Informationen auf https://blog.lindenberg.one/AuftragsverarbeitungEmail und https://blog.lindenberg.one/AufsichtOhneOrientierung.
18.12.202111.06.2022EingeschlafenBundesnetzagenturöffentlich zugängliche Telekommunikationsdienste?
Diese Anfrage ist Teil von https://blog.lindenberg.one/AufsichtOhneOrientierung. Über ein Jahr nach Inkrafttreten des neuen TTDSG und TKG ist immer noch nicht klar, wer wieviel Sicherheit gewährleisten soll.
18.12.202117.11.2023Warten auf Antwort (verspätet)BundesnetzagenturSchutzmaßnahmen und Sicherheitsanforderungen in TKG §§165ff
Diese Anfrage ist Teil von https://blog.lindenberg.one/AufsichtOhneOrientierung. Über ein Jahr nach Inkrafttreten des neuen TTDSG und TKG ist immer noch nicht klar, wer wieviel Sicherheit gewährleisten soll.
07.02.202224.05.2022EingeschlafenBundesamt für Sicherheit in der InformationstechnikPGP/S/MIME vs RFC 7672 und DKIM?
Das BSI hat anscheinend keine (Er-)Kenntnisse, wie leider an so vielen anderen Stellen auch. Allen die hier vorbeilesen oder folgen daher zum Lesen empfohlen, vom speziellen (PGP) zum allgemeineren:https://blog.lindenberg.one/VergleichRfc7672PgpSmimehttps://blog.lindenberg.one/AufsichtOhneOrientierunghttps://blog.lindenberg.one/BundesamtUnsicherheitund natürlich freue ich mich auch über Feedback und Diskussionen.
15.02.202211.05.2022EingeschlafenBundesamt für Sicherheit in der InformationstechnikSchwachstelle vs. fehlende Unterstützung von Best Practices
Das BSI hat anscheinend keine (Er-)Kenntnisse, wie leider an so vielen anderen Stellen auch. Allen die hier vorbeilesen oder folgen daher zum Lesen empfohlen, vom speziellen (PGP) zum allgemeineren:https://blog.lindenberg.one/VergleichRfc7672PgpSmimehttps://blog.lindenberg.one/BundesamtUnsicherheitund natürlich freue ich mich auch über Feedback und Diskussionen.
19.02.202221.06.2022EingeschlafenBundesnetzagenturFernmeldegeheimnis und Email-Anbieter?
Diese Anfrage ist Teil von https://blog.lindenberg.one/AufsichtOhneOrientierung. Über ein Jahr nach Inkrafttreten des neuen TTDSG und TKG ist immer noch nicht klar, wer wieviel Sicherheit gewährleisten soll.
04.03.202227.05.2022EingeschlafenLandesbeauftragter für den Datenschutz Sachsen-AnhaltDie kleinen hängt man, die großen lässt man laufen?
07.03.202224.11.2022EingeschlafenBundesamt für Sicherheit in der InformationstechnikIT-Sicherheitskongress – Programmkommittee, Auswahl von Beiträgen, etc.?
24.03.202227.03.2022ZurückgezogenBundesministerium für Wirtschaft und KlimaschutzStand des Regierungsvorhabens „Whistleblower-Gesetz“
24.03.202226.04.2022EingeschlafenBundesnetzagenturBreitbandmessung – Messkampagne?
Stabiles, dauerhaft verfügbares Internet ist wichtiger als maximale Bandbreite. Aber genau da versagt die von der Bundesnetzagentur in Auftrag gegebene Software. Mehr auf https://blog.lindenberg.one/VodafoneKabelGate.
27.03.202226.04.2022EingeschlafenBundesministerium der JustizStand des Regierungsvorhabens „Whistleblower-Gesetz“
Ich betrachte das zumindest vorläufig als "Information nicht vorhanden", denn das Bundesamt für Justiz hat meine Anfrage https://fragdenstaat.de/anfrage/externe-meldestelle/ noch nicht beantwortet, und in meiner Anfrage habe ich nach bereits aktiven Meldestellen gefragt.Die Zwischenfrage nach Bürgerfrage werde ich nochmal separat stellen.
28.03.202221.06.2022AbgelehntBundesministerium des Innern und für HeimatStand des Regierungsvorhabens „Recht auf Verschlüsselung“
eigentlich traurig, Mitarbeiter unserer Behörden können nicht lesen. Ich habe nicht nach Entwürfen gefragt sondern nach Evaluierungen warum man ein neues Recht braucht. Diese Bedarfs-Evaluierungen fallen in meinen Augen nicht unter IFG §4.
28.03.202208.04.2022EingeschlafenBundesministerium des Innern und für HeimatStand des Regierungsvorhabens „Stärkung des BSI“
28.03.202223.01.2023AbgelehntKraftfahrt-BundesamtBeschwerde Dataport
Sicherheit und Datenschutz im öffentlichen Bereich wird nicht so ernst genommen, denn §43 Abs. 3 BDSG sieht keine Strafen vor. Warum also die Gesetze einhalten? Leider sieht auch die Aufsicht ganz überwiegend weg. Mehr Informationen auf https://blog.lindenberg.one/BeschwerdeDataport.
28.03.202213.05.2022EingeschlafenDer Hamburgische Beauftragte für Datenschutz und InformationsfreiheitBeschwerde Dataport
Sicherheit und Datenschutz im öffentlichen Bereich wird nicht so ernst genommen, denn §43 Abs. 3 BDSG sieht keine Strafen vor. Warum also die Gesetze einhalten? Leider sieht auch die Aufsicht ganz überwiegend weg. Mehr Informationen auf https://blog.lindenberg.one/BeschwerdeDataport.
28.03.202220.04.2022EingeschlafenLandesbeauftragter für den Datenschutz Sachsen-AnhaltBeschwerde Dataport
Sicherheit und Datenschutz im öffentlichen Bereich wird nicht so ernst genommen, denn §43 Abs. 3 BDSG sieht keine Strafen vor. Warum also die Gesetze einhalten? Leider sieht auch die Aufsicht ganz überwiegend weg. Mehr Informationen auf https://blog.lindenberg.one/BeschwerdeDataport.
28.03.202205.04.2022EingeschlafenDie Landesbeauftragte für Datenschutz und Informationsfreiheit BremenBeschwerde Dataport
Sicherheit und Datenschutz im öffentlichen Bereich wird nicht so ernst genommen, denn §43 Abs. 3 BDSG sieht keine Strafen vor. Warum also die Gesetze einhalten? Leider sieht auch die Aufsicht ganz überwiegend weg. Mehr Informationen auf https://blog.lindenberg.one/BeschwerdeDataport.
28.03.202207.05.2022EingeschlafenDer Landesbeauftragte für den Datenschutz NiedersachsenBeschwerde Dataport
Sicherheit und Datenschutz im öffentlichen Bereich wird nicht so ernst genommen, denn §43 Abs. 3 BDSG sieht keine Strafen vor. Warum also die Gesetze einhalten? Leider sieht auch die Aufsicht ganz überwiegend weg. Mehr Informationen auf https://blog.lindenberg.one/BeschwerdeDataport.
28.03.202207.04.2022EingeschlafenDer Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-VorpommernBeschwerde Dataport
Sicherheit und Datenschutz im öffentlichen Bereich wird nicht so ernst genommen, denn §43 Abs. 3 BDSG sieht keine Strafen vor. Warum also die Gesetze einhalten? Leider sieht auch die Aufsicht ganz überwiegend weg. Mehr Informationen auf https://blog.lindenberg.one/BeschwerdeDataport.
30.03.202230.03.2022EingeschlafenBundesnetzagenturInternetausfall während/durch Messkampagne
Stabiles, dauerhaft verfügbares Internet ist wichtiger als maximale Bandbreite. Aber genau da versagt die von der Bundesnetzagentur in Auftrag gegebene Software. Mehr auf https://blog.lindenberg.one/VodafoneKabelGate.
30.03.202231.03.2022EingeschlafenBundesnetzagenturGeschwindigkeit wichtiger als Verfügbarkeit?
Stabiles, dauerhaft verfügbares Internet ist wichtiger als maximale Bandbreite. Aber genau da versagt die von der Bundesnetzagentur in Auftrag gegebene Software. Mehr auf https://blog.lindenberg.one/VodafoneKabelGate.
30.03.202205.04.2022Information nicht vorhandenDer Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-WürttembergFinanzierung des LfDI, Abweisung von Beschwerden/Hinweisen
31.03.202206.04.2022ErfolgreichBundesanstalt für FinanzdienstleistungsaufsichtWhistleblower außerhalb Banken und Versicherungen?
21.04.202209.05.2022AbgelehntBundesamt für JustizExterne Meldestelle
26.04.202211.05.2022EingeschlafenBundesministerium der JustizBürgeranfrage vs. Anfrage nach Informationsfreiheits- bzw. Transparenzgesetzen
04.05.202224.06.2022Information nicht vorhandenMinisterium für Energiewende, Klimaschutz, Umwelt und NaturInterview von Herrn Albrecht ?
09.05.202204.10.2022EingeschlafenBundesbeauftragter für den Datenschutz und die InformationsfreiheitVerhaltensregeln für Notare – ohne Verschlüsselung von Emails?
Ist halt peinlich für den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit: er fordert Verschlüsselung wenn es selbstverständlich ist oder wo man die Forderung nicht selbst durchsetzen muss. Aber warum die Webseite aber nicht Emails verschlüsselt werden sollen – das möchte ich schon gerne wissen.Siehe auch https://blog.lindenberg.one/AufsichtOhneOrientierung die Anfragen dort.
23.06.202214.07.2022Information nicht vorhandenHessisches Ministerium für Kultus, Bildung und ChancenZoom Auftragsverbeiter?
14.07.202203.08.2022EingeschlafenKonferenz der unabhängigen Datenschutzbehörden des Bundes und der LänderAuskunft nach Artikel 15 DSGVO – nervige Dauerbrenner??
Bei Auskunftsanfragen erlebe ich immer wieder die gleichen Probleme: die Frage nach einer Kopie des Personalausweises, nach PGP-Schlüsseln (lehne ich ab), und Papier statt einer elektronischen Auskunft. Nicht dass jede Auskunft frei von diesen Problemen wäre, aber eine klare Aussage der DSK wäre wünschenswert. Mehr dazu auf https://blog.lindenberg.one/AuskunftInhalte.
20.07.202226.08.2022EingeschlafenHessisches Ministerium für Wissenschaft und Forschung, Kunst und KulturZoom Auftragsverbeiter?
02.08.202228.10.2022AbgelehntBayerisches Landesamt für DatenschutzaufsichtBeschwerde IDnow – Aktenzeichen LDA-1085.1-5176/22-F
02.08.202206.02.2023EingeschlafenBundesanstalt für FinanzdienstleistungsaufsichtAnbieter von Identitätsprüfungen
04.08.202223.02.2023EingeschlafenUniversität KasselAuftragsverarbeitung Zoom – "Hessisches Model"
22.11.202217.03.2023ErfolgreichDie Berliner Beauftragte für Datenschutz und InformationsfreiheitSachstandsbericht zur Anpassung des Onlinezugangsgesetzes
Diese Anfrage entstand im Nachgang von https://blog.lindenberg.one/PortalBeschwerdenAuskunft – die Aufsichten ignorieren Beschwerden, wimmeln sie ab, oder verfolgen sie nur in Zeitlupe. Will man mittels Auskunft und Akteneinsicht genauer hinsehen, versucht man das mit Kreativität zu behindern.
22.11.202213.02.2023Information nicht vorhandenBundesministerium des Innern und für HeimatSachstandsbericht zur Anpassung des Onlinezugangsgesetzes
Diese Anfrage entstand im Nachgang von https://blog.lindenberg.one/PortalBeschwerdenAuskunft – die Aufsichten ignorieren Beschwerden, wimmeln sie ab, oder verfolgen sie nur in Zeitlupe. Will man mittels Auskunft und Akteneinsicht genauer hinsehen, versucht man das mit Kreativität zu behindern.
22.11.202228.03.2023ErfolgreichBundesbeauftragter für den Datenschutz und die InformationsfreiheitSachstandsbericht zur Anpassung des Onlinezugangsgesetzes
Diese Anfrage entstand im Nachgang von https://blog.lindenberg.one/PortalBeschwerdenAuskunft – die Aufsichten ignorieren Beschwerden, wimmeln sie ab, oder verfolgen sie nur in Zeitlupe. Will man mittels Auskunft und Akteneinsicht genauer hinsehen, versucht man das mit Kreativität zu behindern.
14.01.202331.01.2023EingeschlafenLandesbetrieb VerkehrGenaue Gründe
Sicherheit und Datenschutz im öffentlichen Bereich wird nicht so ernst genommen, denn §43 Abs. 3 BDSG sieht keine Strafen vor. Warum also die Gesetze einhalten? Leider sieht auch die Aufsicht ganz überwiegend weg. Mehr Informationen auf https://blog.lindenberg.one/BeschwerdeDataport.
14.03.202314.03.2023EingeschlafenMinisterium für Kultus, Jugend und Sport Baden-WürttembergNutzung privater Geräte und Auftragsverarbeitung durch Lehrer?
30.05.202302.06.2023Information nicht vorhandenBundesministerium des Innern und für HeimatOZG-Novelle: Postfach verpflichtend. Erfahrungsbericht dazu?
Man schraubt also rum ohne Erfahrungen gesammelt und aufbereitet zu haben.
12.06.202313.06.2023Information nicht vorhandenInformationstechnikzentrum BundSchnittstellenbeschreibung eID
13.06.202316.06.2023ErfolgreichBundesamt für Sicherheit in der InformationstechnikSchnittstellenbeschreibung eID
Zwei Links:1. https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Elektronische-Identitaeten/Technische-Richtlinien/technische-richtlinien_node.html2. https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Elektronische-Identitaeten/Elektronische-Ausweisdokumente/elektronische-ausweisdokumente_node.html
22.09.202313.12.2023VermittlungHEG Hamburger Entsorgungsgesellschaft mbHDatenschutzbeauftragter Hamburger Entsorgungsgesellschaft
13.11.202323.11.2023Teilweise erfolgreichBundesamt für Sicherheit in der InformationstechnikThreatmodell für (Easy)GPG
Man hat kein Threat-Modell, aber kann es "on-the-fly" herleiten. Stimmt, so ging es mir beim Lesen der entsprechenden Dokumente auch, ich musste dauernd den Kopf schütteln. Aber in Konsequenz heißt das auch, das Verfahren ist benutzerfreundlicher aber nicht wirklich sicherer als normale Email mit RFC76272/SMTP-DANE. Sicherer als WKD und Co ist übrigens RFC 7929, aber dafür braucht es sowohl DNSSEC als auch eine Domäne die sowohl Email als auch RFC 7929 umsetzt – die großen Anbieter tun das jedenfalls nicht.Nachbessern scheint man auch nicht für erforderlich zu halten, denn es liegt ganz bestimmt nicht daran, dass ich irgendeine Guideline nicht erfüllt habe. Das ist nur die formale Ausrede. Ketzerisch darf ich vermuten, dass man als nachgeordnete Behörde des BMIs die Möglichkeiten des Staates mitzulesen nicht einschränken will.Mehr auf https://blog.lindenberg.one/VergleichRfc7672PgpSmime und für Einsteiger auf https://blog.lindenberg.one/EmailVideo.

Veröffentlicht am 31.07.2021, zuletzt geändert am 20.12.2021.

© 2021 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.