Frag-den-Staat

Seit März 2021 lerne ich den BSI Grundschutz und das Online Zugangsgesetz kennen. Leider lässt der BSI Grundschutz an einigen Stellen doch viele Unklarheiten offen, die ich gerne geschlossen sehen würde. Ich habe dazu und zu einigen anderen Beobachtungen Anfragen auf FragDenStaat gestellt.

Aktualisierung 20.12.2021: inzwischen sind es einige Anfragen mehr geworden und nicht nur an das BSI. Die Übersicht auf FragDenStaat überzeugt nicht so ganz. Also unten eine Tabelle, generiert über das API von FragDenStaat.

ErstelltGeändertStatusBehördeThema
03.06.202107.07.2021Information nicht vorhandenBundesamt für Sicherheit in der InformationstechnikIT-Komponente
Der Grundschutz lässt halt viele Möglichkeiten offen. Man kann beliebig modellieren, man kann SOLLs wie Verschlüsselung abwählen. Eine Begründung wird zwar erwartet, aber im Zertifikat steht nichts davon. Letztendlich garantiert ein Grundschutzzertifikat keine Umsetzung auf dem Stand der Technik. Wie bei jedem Audit muss man den Bericht bekommen, oder in einem Vertrag konkrete Vereinbarungen treffen.Mehr auf https://blog.lindenberg.one/BundesamtUnsicherheit
07.07.202125.05.2022Warten auf Antwort (verspätet)Bundesamt für Sicherheit in der InformationstechnikSicherheitsaudits des Projekts "Sichere Implementierung einer allgemeinen Kryptobibliothek"
07.07.202113.09.2022VermittlungBundesamt für Sicherheit in der InformationstechnikVerschlüsselung im BSI Grundschutz?
Das BSI erwartet zu wenig Sicherheit. Mehr dazu auf https://blog.lindenberg.one/BundesamtUnsicherheit und speziell zu Verschlüsselung auf https://blog.lindenberg.one/VerschlusselungPflicht.Öffentliche Sicherheit ist dabei eine Phrase die alles mögliche enthält – s.a. https://de.wikipedia.org/wiki/%C3%96ffentliche_Sicherheit. Konkret gefährdet ist der Anspruch der Bürger auf Datenschutz (EU Grundrechte-Charta Artikel 8). Einen Angreifer wird Geheimhaltung der Sicherheitskonzepte nicht wirklich abhalten – s.a. https://blog.lindenberg.one/SecurityByObscurity.
01.08.202104.02.2022EingeschlafenBundesamt für Sicherheit in der InformationstechnikSicherheit von Software und Systemen?
Mal sehen ob das BMI noch etwas antwortet. Feststellen kann ich immerhin, dass zumindest kleine Unternehmen den Anbietern ausgeliefert sind. Woher soll ein kleines Unternehmen die Expertise haben, zu beurteilen ob die eingesetzten Systeme oder die eingesetzte Software sicher ist. Die Auswahl findet meist über Funktionen statt, die für den Anwender wichtiger sind – und oft auch über den Preis.Dabei stelle ich immer wieder fest, dass der Stand der Technik ignoriert wird. Aber dazu muss man das Kleingedruckte von Verträgen lesen und Software selbst unter die Lupe nehmen. Wer kann das schon? Und welche Alternativen hat man, wenn man feststellt dass die meisten Auftragsverarbeitungsverträge oder Produktbeschreibungen sehr lückenhaft sind?
02.08.202110.02.2022Information nicht vorhandenFITKO (Föderale IT-Kooperation) AöRLeitlinie Informationssicherheit des IT-Planungsrats
15.08.202109.06.2022Warten auf Antwort (verspätet)Kassenärztliche BundesvereinigungIT-Sicherheitsrichtlinie nach SGB V §75b
04.09.202104.03.2022Information nicht vorhandenBundesamt für Sicherheit in der InformationstechnikLeitlinie Informationssicherheit des IT -Planungsrats
formal hat das BSI den Antrag abgelehnt, aber das ist sehe ich als Nebelkerze. Das BSI hat keine Informationen oder – meine Vermutung – will sie nicht herausgeben. Das ist leider ein Muster das ich in fast allen Anfragen an das BSI beobachte.Mehr dazu auf https://blog.lindenberg.one/BundesamtUnsicherheit.
17.09.202106.07.2022VermittlungBundesministerium des Innern und für HeimatVerwendung von YouTube im Blick der Datenschutzkonvention 108 des Europarats
18.09.202119.04.2022Warten auf Antwort (verspätet)Bundesamt für Sicherheit in der InformationstechnikSichere Email nach BSI TR-03108
Das BSI kann ganz offensichtlich keine klaren Empfehlungen geben und verbrennt damit Zeit und Geld aller die sich mit Sicherheit intensiv befassen wollen oder müssen. Mehr dazu auf https://blog.lindenberg.one/BundesamtUnsicherheit.Speziell hier: widersprüchliche Empfehlungen in Grundschutz und BSI TR 03108, keine Übernahme von Internet-Standards, so daß unklar bleibt welche Produkte geeignet sind, und Testanleitungen die unklar bleiben und offensichtlich nur selten praktiziert werden. So skaliert Sicherheit nicht. Das gefährdet unsere Grundrechte auf Privatheit (Artikel 7 EU-Grundrechtecharta) und Datenschutz (Artikel 8) – mehr dazu auf https://blog.lindenberg.one/AufsichtOhneOrientierung.
23.09.202108.10.2021Information nicht vorhandenBundesamt für Sicherheit in der InformationstechnikBausteine NET.2.1 und NET.2.2 – 802.1X Sicherheit
Grundschutz – leider kann man den erfüllen und doch unsicher sein. Das BSI tut nicht genug, Sicherheit zu unterstützen. Mehr zu 802.1X und Eduroam auf https://blog.lindenberg.one/BundesamtUnsicherheit.
24.09.202128.03.2022EingeschlafenKonferenz der unabhängigen Datenschutzbehörden des Bundes und der LänderOrientierungshilfe Emailverschlüsselung – Sichere Email beim BSI?
https://blog.lindenberg.one/AufsichtOhneOrientierung
12.10.202120.07.2022Warten auf Antwort (verspätet)Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-WürttembergVerschlüsselung im Verwaltungsportal?
Es gibt keinen Grund für mich anzunehmen, dass Baden-Württemberg besser als die von Dataport betriebenen Nordländer sind – siehe https://blog.lindenberg.one/BeschwerdeDataport. Auch das BSI gibt zu, man kann zertifiziert sein, aber unsicher. Dazu mehr auf https://blog.lindenberg.one/BundesamtUnsicherheit. Wenn die Aufsicht nichts unternimmt, dann kann ich Bürgern nur raten, dem Staat keine Daten anzuvertrauen. Der LfDI BW hat sich bei all meinen Beschwerden und Anfragen – https://blog.lindenberg.one/BeschwerdenLfdiBw – nicht mit Ruhm bekleckert. Zwei Beschwerden laufen, die anderen dümpeln vor sich hin.
11.11.202113.06.2022Warten auf Antwort (verspätet)Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-PfalzAntrag nach dem LTranspG RLP zu 4.02.20.365
23.11.202103.03.2022ErfolgreichKonferenz der unabhängigen Datenschutzbehörden des Bundes und der LänderArtikel 32 DSGVO – Dispositiv?
Die Datenschutzkonferenz hat am 24.11.2021 beschlossen, dass ein Verzicht auf TOMs (Artikel 32) nur in Aunahmefällen und auf ausdrückliche Initiative des Betroffenen erlaubt ist. Jede formularmäßige Verwendung dürfte damit ausscheiden.
26.11.202114.04.2022VermittlungBundesrechtsanwaltskammerVerzicht auf TOMs, insbesondere Verschlüsselung – BRAO §2?
08.12.202109.09.2022Warten auf Antwort (verspätet)Konferenz der unabhängigen Datenschutzbehörden des Bundes und der LänderAuftragsverarbeitung bei Email?
Der BfDI hat also keine Unterlagen zur Auftragsverarbeitung bei Email die er nach dem IFG herausgeben kann. Aber er ist m.W. auch zuständig für die Beratung, mal sehen ob da etwas kommt. Oder vielleicht aus Baden-Württemberg? Die haben bisher auch nicht reagiert (https://blog.lindenberg.one/BeschwerdenLfdiBw).Weitere Informationen auf https://blog.lindenberg.one/AuftragsverarbeitungEmail und https://blog.lindenberg.one/AufsichtOhneOrientierung.
18.12.202111.06.2022Warten auf Antwort (verspätet)Bundesnetzagenturöffentlich zugängliche Telekommunikationsdienste?
18.12.202121.06.2022Warten auf Antwort (verspätet)BundesnetzagenturSchutzmaßnahmen und Sicherheitsanforderungen in TKG §§165ff
07.02.202224.05.2022Warten auf Antwort (verspätet)Bundesamt für Sicherheit in der InformationstechnikPGP/S/MIME vs RFC 7672 und DKIM?
Das BSI hat anscheinend keine (Er-)Kenntnisse, wie leider an so vielen anderen Stellen auch. Allen die hier vorbeilesen oder folgen daher zum Lesen empfohlen, vom speziellen (PGP) zum allgemeineren:https://blog.lindenberg.one/VergleichRfc7672PgpSmimehttps://blog.lindenberg.one/AufsichtOhneOrientierunghttps://blog.lindenberg.one/BundesamtUnsicherheitund natürlich freue ich mich auch über Feedback und Diskussionen.
15.02.202211.05.2022Warten auf Antwort (verspätet)Bundesamt für Sicherheit in der InformationstechnikSchwachstelle vs. fehlende Unterstützung von Best Practices
Das BSI hat anscheinend keine (Er-)Kenntnisse, wie leider an so vielen anderen Stellen auch. Allen die hier vorbeilesen oder folgen daher zum Lesen empfohlen, vom speziellen (PGP) zum allgemeineren:https://blog.lindenberg.one/VergleichRfc7672PgpSmimehttps://blog.lindenberg.one/BundesamtUnsicherheitund natürlich freue ich mich auch über Feedback und Diskussionen.
19.02.202221.06.2022Warten auf Antwort (verspätet)BundesnetzagenturFernmeldegeheimnis und Email-Anbieter?
04.03.202227.05.2022Warten auf Antwort (verspätet)Landesbeauftragter für den Datenschutz Sachsen-AnhaltDie kleinen hängt man, die großen lässt man laufen?
07.03.202215.09.2022VermittlungBundesamt für Sicherheit in der InformationstechnikIT-Sicherheitskongress – Programmkommittee, Auswahl von Beiträgen, etc.?
24.03.202227.03.2022ZurückgezogenBundesministerium für Wirtschaft und KlimaschutzStand des Regierungsvorhabens „Whistleblower-Gesetz“
24.03.202226.04.2022Warten auf Antwort (verspätet)BundesnetzagenturBreitbandmessung – Messkampagne?
27.03.202226.04.2022Warten auf Antwort (verspätet)Bundesministerium der JustizStand des Regierungsvorhabens „Whistleblower-Gesetz“
Ich betrachte das zumindest vorläufig als "Information nicht vorhanden", denn das Bundesamt für Justiz hat meine Anfrage https://fragdenstaat.de/anfrage/externe-meldestelle/ noch nicht beantwortet, und in meiner Anfrage habe ich nach bereits aktiven Meldestellen gefragt.Die Zwischenfrage nach Bürgerfrage werde ich nochmal separat stellen.
28.03.202221.06.2022AbgelehntBundesministerium des Innern und für HeimatStand des Regierungsvorhabens „Recht auf Verschlüsselung“
eigentlich traurig, Mitarbeiter unserer Behörden können nicht lesen. Ich habe nicht nach Entwürfen gefragt sondern nach Evaluierungen warum man ein neues Recht braucht. Diese Bedarfs-Evaluierungen fallen in meinen Augen nicht unter IFG §4.
28.03.202208.04.2022Warten auf Antwort (verspätet)Bundesministerium des Innern und für HeimatStand des Regierungsvorhabens „Stärkung des BSI“
28.03.202214.09.2022VermittlungKraftfahrt-BundesamtBeschwerde Dataport
28.03.202213.05.2022Warten auf Antwort (verspätet)Der Hamburgische Beauftragte für Datenschutz und InformationsfreiheitBeschwerde Dataport
28.03.202220.04.2022Warten auf Antwort (verspätet)Landesbeauftragter für den Datenschutz Sachsen-AnhaltBeschwerde Dataport
28.03.202205.04.2022Warten auf Antwort (verspätet)Die Landesbeauftragte für Datenschutz und Informationsfreiheit BremenBeschwerde Dataport
28.03.202207.05.2022Warten auf Antwort (verspätet)Die Landesbeauftragte für den Datenschutz NiedersachsenBeschwerde Dataport
28.03.202207.04.2022Warten auf Antwort (verspätet)Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-VorpommernBeschwerde Dataport
30.03.202230.03.2022Warten auf Antwort (verspätet)BundesnetzagenturInternetausfall während/durch Messkampagne
30.03.202231.03.2022Warten auf Antwort (verspätet)BundesnetzagenturGeschwindigkeit wichtiger als Verfügbarkeit?
30.03.202205.04.2022Information nicht vorhandenDer Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-WürttembergFinanzierung des LfDI, Abweisung von Beschwerden/Hinweisen
31.03.202206.04.2022ErfolgreichBundesanstalt für FinanzdienstleistungsaufsichtWhistleblower außerhalb Banken und Versicherungen?
21.04.202209.05.2022AbgelehntBundesamt für JustizExterne Meldestelle
26.04.202211.05.2022Warten auf Antwort (verspätet)Bundesministerium der JustizBürgeranfrage vs. Anfrage nach Informationsfreiheits- bzw. Transparenzgesetzen
04.05.202224.06.2022Information nicht vorhandenMinisterium für Energiewende, Klimaschutz, Umwelt und NaturInterview von Herrn Albrecht ?
09.05.202209.08.2022Warten auf Antwort (verspätet)Bundesbeauftragter für den Datenschutz und die InformationsfreiheitVerhaltensregeln für Notare – ohne Verschlüsselung von Emails?
Ist halt peinlich für den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit: er fordert Verschlüsselung wenn es selbstverständlich ist oder wo man die Forderung nicht selbst durchsetzen muss. Aber warum die Webseite aber nicht Emails verschlüsselt werden sollen – das möchte ich schon gerne wissen.Siehe auch https://blog.lindenberg.one/AufsichtOhneOrientierung die Anfragen dort.
23.06.202214.07.2022Information nicht vorhandenHessisches KultusministeriumZoom Auftragsverbeiter?
14.07.202203.08.2022Warten auf Antwort (verspätet)Konferenz der unabhängigen Datenschutzbehörden des Bundes und der LänderAuskunft nach Artikel 15 DSGVO – nervige Dauerbrenner??
Bei Auskunftsanfragen erlebe ich immer wieder die gleichen Probleme: die Frage nach einer Kopie des Personalausweises, nach PGP-Schlüsseln (lehne ich ab), und Papier statt einer elektronischen Auskunft. Nicht dass jede Auskunft frei von diesen Problemen wäre, aber eine klare Aussage der DSK wäre wünschenswert. Mehr dazu auf https://blog.lindenberg.one/AuskunftInhalte.
20.07.202226.08.2022Warten auf Antwort (verspätet)Hessisches Ministerium für Wissenschaft und KunstZoom Auftragsverbeiter?
02.08.202217.08.2022Warten auf Antwort (verspätet)Bayerisches Landesamt für DatenschutzaufsichtBeschwerde IDnow – Aktenzeichen LDA-1085.1-5176/22-F
02.08.202212.09.2022Klassifizierung nötigBundesanstalt für FinanzdienstleistungsaufsichtAnbieter von Identitätsprüfungen
04.08.202220.09.2022Warten auf Antwort (verspätet)Universität KasselAuftragsverarbeitung Zoom – "Hessisches Model"

Veröffentlicht am 31.07.2021, zuletzt geändert am 20.12.2021.

© 2021 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.