Themen

Verwaltungsportale – was macht die Aufsicht?

Christina Franke hat im letzten Herbst Beschwerde über 16 deutsche Verwaltungsportale bei 16 Aufsichten eingereicht, und jetzt Auskunft, Akteneinsicht und Standmitteilung beantragt. Das Ergebnis: die Aufsichten haben massive Defizite – mindestens beim Personal, oft auch mit der DSGVO, aber auch beim Verfolgen von Sicherheitsproblemen. Nur Hessen hat anscheinend soweit untersucht, dass man etwas gefunden hat...
Aktualisierung 07.10.2022: Bei Akteneinsicht (Teil der Datenkopie) mussten wir die Jas zu teilweise abwerten. Es gab im Arbeitskreis Verwaltung Diskussionen über die Beschwerden die nicht beauskunftet wurden. Auch ohne Namensnennung sind das aber personenbezogene Daten. Richtig traurig ist, wie einige Aufsichten – Bayern, Brandenburg, Niedersachen – versuchen Transparenz zu verhindern. Außerdem jetzt mit einer Beschreibung und Tabelle über die Beschwerdeinhalte. Die Kommunikation deckt jetzt alle Aufsichten ab und wird kontinuierlich ergänzt.
Veröffentlicht am 20.09.2022, zuletzt geändert am 07.10.2022.

Sicherheit? Nein Unsinn!

In letzter Zeit häufen sich zumindest in meiner Wahrnehmung unsinnige Verifikationen oder Multi-Faktor-Authentifizierung (MFA). Auch die Verschlüsselung mit dem Geburtsdatum hat wenig mit Sicherheit zu tun. Also mal ein kleiner Exkurs zu MFA und anderen fragwürdigen Verfahren, deren Verbreitung in Deutschland leider eher zu als abnimmt.
Aktualisierung 14.10.2022: Sicherheitsfragen in einigen Verwaltungsportalen.
Veröffentlicht am 01.09.2022, zuletzt geändert am 14.10.2022.

Digitale Selbstverteidigung

Ich will Sicherheit und Datenschutz voranbringen. Das wollen andere auch, darunter digitalcourage, netzpolitik, mobilsicher, und andere. Aber nicht alles was dann als "Digitale Selbstverteidigung" propagiert wird ist für Normalanwender verständlich und umsetzbar, und leider oft auch nicht ausreichend. Vielleicht sollten man auch genauer hinsehen, welche Pflichten den Anwender und welche den Verantwortlichen treffen.
Aktualisierung 20.07.2022: Hinweis auf die digitalcourage Klage gegen den Bahn-Navigator. Aktualisierung 30.08.2022: Abschnitt "Wem kann ich vertrauen?"
Veröffentlicht am 20.07.2022, zuletzt geändert am 30.08.2022.

Auskunft – selten korrekt

Einige haben vielleicht schon eine Auskunft angefordert. Dann kommen meist per Post ein paar Seiten Papier mit Stammdaten wie Namen, Emailadresse, und welchen Vertrag man hat. Ist das alles? Sehr wahrscheinlich nicht. Von meinen Auskunftsanfragen sind etwa 2/3 mangelhaft und haben zu einer Beschwerde geführt. Ich will versuchen zu erklären, worauf es ankommt...
Aktualisierung 14.10.2022: Details im Ablauf, zur Anfrage und zur Vollständigkeit, und zu Behörden ergänzt.
Veröffentlicht am 14.07.2022, zuletzt geändert am 14.10.2022.

Nutzung privater Mittel durch die Organisation vs. private Nutzung von Mitteln der Organisation

Darf ein Mitarbeiter einer Organisation für seine Tätigkeit private Mittel, z.B. einen privaten Computer oder eine private Emailadresse verwenden? Und umgekehrt, darf er seine Emailadresse oder den Computer der Organisation privat nutzen? Ich weiß, dass das in vielen Organisationen normal ist, aber ich rate davon ab. Die konsequenteste Lösung ist die beste – trenne Deine Mittel nach Rollen. Klingt nach Schizophrenie – genau das sollte man hier üben. ...
Veröffentlicht am 02.07.2022.

Vergleich RFC 7672 vs. PGP / S/MIME

Weder das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) haben bisher ihre Gründe für die Verwendung von PGP oder S/MIME veröffentlicht. Also will ich meine eigenen Erkenntnisse etwas übersichtlicher und durchaus plakativer veröffentlichen. Und auch... mir ist bewusst, dass andere wie Digitalcourage (Open)PGP empfehlen. Aber wir sollten stattdessen eher die Aufsichten auffordern, die Einhaltung des Fernmeldegeheimnisses von Telekommunikationsdiensten einzufordern – und da macht RFC 7672 mehr Sinn als PGP oder S/MIME.
Veröffentlicht am 25.05.2022.

Dataport – kann man nur verpfeifen!

Dataport nimmt Sicherheit und Datenschutz nicht ernst. Man spricht zwar über den Grundschutz und hat ein zertifiziertes Rechenzentrum, aber die Zertifizierung ist auf niedrigem Niveau und erfüllt nicht den festgestellten Schutzbedarf der Verfahren. Und weder das Management noch die Aufsicht wird wegen der Verletzung der Artikel 28, 30, und 32 Datenschutzgrundverordnung tätig...
Deutschland braucht dringend die Umsetzung der Whistle-Blower-Richtlinie in das Hinweisgeberschutzgesetz.
Veröffentlicht am 02.05.2022.

Aufsicht – ohne Orientierung?

Nach Artikel 51 (1) DSGVO soll die Aufsicht unabhängig sein, nach Artikel 57 (1) a) soll sie "die Anwendung dieser Verordnung überwachen und durchsetzen". Leider Fehlanzeige. Auch wenn das BfDI meine IFG-Anfrage immer noch nicht abgearbeitet hat, liegen mir inwischen aufgrund einer Auskunftsanfrage Dokumente vor, die meiner Meinung nach das Versagen der Aufsicht dokumentieren. Schon allein dass diese Dokumente nicht veröffentlicht wurden, mir aber dennoch ungeschwärzt geschickt wurden, verstößt gegen Artikel 15 (4). Was ich sonst herauslesen kann, verstößt nicht nur gegen die genannten Artikel der DSGVO sondern auch gegen das Grundgesetz...
Aktualisierung 10.04.2022: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit empfiehlt Verschlüsselung – nur will er sie auch durchsetzen?
Veröffentlicht am 28.03.2022, zuletzt geändert am 10.04.2022.

Vodafone – das Kabel-Gate

Seit Monaten habe ich immer wieder gestörtes Internet. OK, es gab Ende Februar einen Kaskadenausfall in Wolfartsweier, da war 28 Stunden alles kaputt. Aber auch davor und danach immer wieder Aufälle. Inzwischen glaube ich dass Vodafone schummelt – wie VW beim Diesel. Das Kabel-Gate?
Veröffentlicht am 30.03.2022, zuletzt geändert am 05.04.2022.

Bundesamt für (Un)Sicherheit in der Informationstechnik

Seit letztem Jahr beschäftige ich mich intensiv mit dem BSI Grundschutz oder Kompendium. Der ist nach meinem Verständnis mehr eine Arbeitsbeschaffungsmaßnahme denn eine Hilfe, man kann alle Bausteine umsetzen und vom BSI zertifiziert werden und trotzdem unsicher sein. Das gibt das BSI sogar zu...
Aktualisierung 29.08.2022: Man will jetzt doch Auskunft und Akteneinsicht per Email schicken – nur ist es keine gute Idee, Zertifikate und damit Schlüssel über den gleichen Kanal wie die zu verschlüsselnden Inhalte zu übertragen. Es erstaunt mich schon, dass das BSI an solchen Selbstverständlichkeiten scheitert. Aktualisierung 03.11.2022: Beispiele von Unsicherheit ergänzt – VMware ESXi und Reverse-Proxy/Web-Application-Firewalls.
Veröffentlicht am 25.03.2022, zuletzt geändert am 03.11.2022.

RFC 7672 mit Mailcow / Postfix

Was können Sie tun, um bei der Sicherheit von Email besser zu werden? Implementieren Sie den RFC 7672. Zumindest was ich denke, die Bundesnetzagentur hat ja noch keine Erwartung veröffentlicht...
Veröffentlicht am 28.02.2022.

Emailsicherheit – der Test

Jetzt schreibe ich seit Monaten immer mal wieder über Emailsicherheit und Verschlüsselung – aber wie soll ich als Otto Normalverbraucher herausfinden, was mein Anbieter macht? Ich biete einen Test an...
Aktualisierung 29.06.2022: Auf Wunsch von Lesern jetzt mit Beschreibung wie der Test funktionert. Aktualisierung 08.03.2022: Informationen zum BSI IT-Sicherheitskennzeichen und der TR03108-1 ergänzt. Außerdem werden kontinuierlich Testergebnisse ergänzt.
Veröffentlicht am 04.02.2022, zuletzt geändert am 29.06.2022.

Emailsicherheit bei Anwälten

Rechtsanwälte nehmen sich in ihrer Berufsordnung ein Sonderrecht heraus – unverschlüsselte Kommunikation mit Einwilligung des Mandanten. Das ist nach Ansicht der Datenschutzkonferenz nicht erlaubt oder allenfalls auf ausdrücklichen aktiven Wunsch des Kunden, und der wird selten vorliegen. Da sollten die Anwälte besser werden...
Veröffentlicht am 04.02.2022.

Emailsicherheit bei öffentlichen Einrichtungen

Vor einigen Monaten habe ich schon meine Erkenntnisse zur Emailverschlüsselung veröffentlicht. Das BfDI überlegt anscheinend immer noch, ob man die eigenen Überlegungen veröffentlicht oder vielleicht lieber gleich die Orientierungshilfe überarbeitet. Das BSI hat anscheinend gar kein Interesse daran, seine widersprüchlichen Empfehlungen zu überdenken. Um mal ein Gefühl dafür zu bekommen wie das "öffentliche Deutschland" mit Emailverschlüsselung umgeht, habe ich einen Test gestartet...
Veröffentlicht am 18.01.2022, zuletzt geändert am 08.04.2022.

Ist Verschlüsselung Pflicht?

Wenn man die Kommentare zur Datenschutzgrundverordnung oder den BSI Grundschutz liest, dann denkt man vermutlich nein, oder allenfalls bei öffentlichen Netzen oder hohem Schutzbedarf. Aber das stimmt nicht, Verschlüsselung ist eine Basisanforderung...
Veröffentlicht am 05.01.2022.

Datenschutz im Koalitionsvertrag

Der Koalitionsvertrag wurde veröffentlicht. Während andere mehr auf die Digitalisierungschancen achten, wären mir konkrete Aussagen zu Sicherheit und Datenschutz wichtiger. Nur leider finden sich nur wenige konkrete Aussagen zum Datenschutz, und die werfen mehr Fragen als Antworten auf...
Veröffentlicht am 01.12.2021.

Auftragsverarbeitung bei Email

Wer als Verantwortlicher personenbezogene Daten von jemand anderem verarbeiten lässt, braucht dafür einen Auftragsverarbeitungsvertrag. Wohl auch bei Email. Das hat sich vor allem bei Kleinstunternehmen oder Freiberuflern noch nicht wirklich rumgesprochen.
Aktualisierung 20.12.2021: So viele Unklarheiten hätte ich nicht erwartet...
Veröffentlicht am 01.12.2021, zuletzt geändert am 20.12.2021.

Ist Artikel 32 DSGVO dispositiv?

Ich bin dieses Jahr mehrfach darüber gestolpert, dass ein Verantwortlicher meine Zustimmung dazu wollte, Informationen unverschlüsselt per Email zu verschicken – entsprechende Beschwerden bei der jeweils zuständigen Aufsicht laufen noch. Letztendlich habe ich den Eindruck, da steckt ein Muster dahinter, und dem will ich im folgenden nachgehen...
Aktualisierung 26.11.2021: sehr erfreulich, die Datenschutzkonferenz hat am 24.11.2021 beschlossen, dass ein Verzicht auf TOMs (Artikel 32) nur in Ausnahmefällen und auf ausdrückliche Initiative des Betroffenen erlaubt ist. Jede formularmäßige Verwendung dürfte damit ausscheiden.
Veröffentlicht am 23.11.2021, zuletzt geändert am 27.11.2021.

Bedrohungsmodellierung

Bedrohungsmodellierung, aka Threat-Modeling – wie geht das ohne großen Aufwand? Muss man das dauernd wiederholen oder reicht es zu bestimmten Zeitpunkten?
Veröffentlicht am 10.10.2021, zuletzt geändert am 15.12.2021.

Security by Obscurity

Das BSI will Dinge geheimhalten wegen der „öffentlichen Sicherheit“ – aber das ist keine gute Idee... Geheimnisse schaden der Sicherheit.
Veröffentlicht am 28.09.2021, zuletzt geändert am 15.10.2021.

Sicherheitsanforderungen

Ich werde immer mal nach Sicherheitsanforderungen gefragt, die in Software umgesetzt werden sollen. Diese Seite fasst Sicherheitsanforderungen zusammen, die nach meiner Erfahrung für fast alle Anwendungen gelten, egal ob sie selbst erstellt oder zugekauft werden...
Veröffentlicht am 29.08.2021, zuletzt geändert am 15.10.2021.

Email-Verschlüsselung

Die Datenschutzkonferenz hat im Juni 2021 eine neue Orientierungshilfe zur Emailverschlüsselung veröffentlicht. Auch das BSI hat eine Richtline zu sicherer Email – nur werfen leider beide Fragen auf...
Veröffentlicht am 31.07.2021, zuletzt geändert am 26.09.2021.

Frag-den-Staat

Seit März 2021 lerne ich den BSI Grundschutz und das Online Zugangsgesetz kennen. Leider lässt der BSI Grundschutz an einigen Stellen doch viele Unklarheiten offen, die ich gerne geschlossen sehen würde. Ich habe dazu und zu einigen anderen Beobachtungen Anfragen auf FragDenStaat gestellt.
Veröffentlicht am 31.07.2021, zuletzt geändert am 20.12.2021.


© 2022 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.