Themen

Die externe Meldestelle im Schneckentempo

Am 03.06.2023 trat das Hinweisgeberschutzgesetz mit gut 18 Monaten Verspätung in Kraft, Anfang Juli 2023 konnte man dann tatsächlich Meldungen bei der der externen Meldestelle des Bundes, angesiedelt beim Bundesamt für Justiz (BFJ), einreichen. Die externe Meldestelle macht den Aufsichten für den Datenschutz jedenfalls beim Tempo keine Konkurrenz.
Veröffentlicht am 03.12.2024.

Bewerbung beim schwarzen Loch

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat eine Stelle offen und ich bewerbe mich. Schade, es ist nichts daraus geworden...
Veröffentlicht am 30.10.2024.

Moderne Käsblättle

Manchmal kann ich meine schwäbische Herkunft nicht verleugnen. Ein Käsblättle ist eine Zeitung oder Zeitschrift, die man nicht ernst nehmen muss oder darf. Zwei Beispiele für "Käsblättle" bzw. Zeitschriften im IT-Bereich mit fragwürdigem Inhalt will ich aufgreifen, vielleicht wird die Liste in der Zukunft auch erweitert. Beiden Beispielen ist gemeinsam, dass die Zeitschriften zwar gegen teuer Geld abonniert werden können, aber auch ganz oder teilweise kostenlos im Internet einsehbar sind. Gemeinsam haben sie auch, dass kritische Leserbriefe offensichtlich nicht erwünscht sind.
Veröffentlicht am 06.09.2024.

Dinosaurier des Datenschutzes: Bundesagentur für Arbeit

Seit Inkrafttreten der DSGVO ärgere ich mich immer wieder über die eine oder andere Datenschutzaufsicht und über Verantwortliche, die den Datenschutz nicht ernst nehmen. Es wird Zeit, dafür einen Negativpreis, den Dinosaurier des Datenschutzes, zu kreieren und die krudesten Verhaltensweisen hervorzuheben. Den Anfang macht die Bundesagentur für Arbeit: Weder obligatorische noch qualifizierte Transportverschlüsselung, noch eine korrekte Auskunft. Über ersteres bin ich bei meinen Analysen von öffentlichen Einrichtungen gestolpert ...
Veröffentlicht am 26.05.2024.

Leserbriefe, Reaktionen, Ergänzungen

Natürlich freue ich mich über Zuschriften. Eine Auswahl habe ich zusammengestellt, mit Rücksicht auf die Betroffenen ohne Namensnennung. Auch werde ich manchmal zitiert, das freut mich natürlich auch. Weniger schön finde ich, wenn Werbetreibende meinen, ich könnte für Sie Werbung machen – die schweige ich dann lieber tot.
Veröffentlicht am 16.05.2024.

Mythos Ende-zu-Ende-Verschlüsselung

Leider sehe ich immer wieder Sätze wie "Ende-zu-Ende-Verschlüsselung ist inzwischen der anerkannte Mindeststandard in der elektronischen Kommunikation." Ich werde das genauer beleuchten und versuchen, diesen Mythos zu entzaubern. Außerdem werfe ich einen Blick auf den Referentenentwurf, mit dem die Koalition ein Recht auf Verschlüsselung einführen will.
Veröffentlicht am 24.04.2024.

Grundwissen Verschlüsselung

Ich unterrichte immer mal wieder. Und sehe natürlich auch fremdes Kursmaterial, Bücher, oder Internetseiten, die mich oft nicht überzeugen. Oft viele Details, wenig Überblick. Also will ich Mal das Thema Verschlüsselung im Überblick beleuchten.
Veröffentlicht am 16.04.2024, Reaktionen 30.04.2024

Sichere Kommunikation bei Email

Ich habe ein Video zur sicheren Kommunikation bei Email produziert. Natürlich wird der eine oder andere sagen, alles bekannt. Bei regelmäßigen Lesern hier vermutlich einige, aber wenn ich so die Reaktionen in meinen Kursen sehe, leider nicht die Mehrheit.
Veröffentlicht am 09.11.2023.

Schwachstellen-Management

Schwachstellen Management? Will man wirklich immer erst ein Risiko abschätzen oder ist es nicht besser gleich zu patchen? Ich denke: besser gleich patchen und nur wenn es Probleme gibt oder kein Patch existiert über das Risiko nachdenken. Und bei der Gelegenheit: warum wird der Grundschutz an dieser Stelle schlechter?
Veröffentlicht am 01.10.2023, zuletzt geändert am 13.11.2023.

CIA, (to) DIE, or CAP?

TLAs. Drei-Buchstaben-Abkürzungen. Wenn Sie nicht alle kennen, dann ist das ganz normal. Ich beleuchte ein paar davon im Zusammenhang, und wenn Sie danach (besser) verstehen, dass Verfügbarkeit etwas besonderes ist, dann hat der Buchstabensalat etwas gebracht.
Veröffentlicht am 31.08.2023.

Emailsicherheit und die Aufsichten

Einige meiner Leser werden natürlich denken, schon wieder Email. Stimmt. Ich werde in diesem Artikel auch so wenig wie möglich aus den vorhergehenden Artikeln wiederholen sondern aufzeigen, wie wenig sich seit Veröffentlichung der Orientierungshilfe geändert hat und woran ich das Scheitern sehe. An Email kann man das Sicherheitsbewusstsein der Nation oder Verwaltung und die Trägheit der Aufsicht (leider) sehr gut ablesen. Dass die Aufsicht über die Schonfrist von Mai 2016 bis Mai 2018 hinaus und drei Jahre nach Veröffentlichung der ersten Orientierungshilfe diese selbst nicht umsetzt, ist ein Verstoß gegen Artikel 32 DSGVO, dass sie bei anderen Verantwortlichen die Datenschutzgrundverordnung nicht durchsetzt, ist in meinen Augen Rechtsbeugung, denn Artikel 57 Abs. 1 lit. a erklärt mit die Anwendung dieser Verordnung überwachen und durchzusetzen das eindeutig zur Aufgabe der Aufsicht, und Artikel 58 liefert auch entsprechende Möglichkeiten dazu.
Veröffentlicht am 28.07.2023.

Die Aufsicht schläft

Die Datenschutzgrundverordnung (DSGVO) trat am 25. Mai 2018 in Kraft – vor rund fünf Jahren. Anfangs gab es riesen Diskussionen über Umsetzung und Strafen – aber beides ist eher ausgeblieben. Oder am ehesten wahrnehmbar im Gesundheitswesen und bei außereuropäischen oder in Irland ansässigen Anbietern. Warum? Die Aufsicht schläft. Nicht nur meine Wahrnehmung...
Veröffentlicht am 22.05.2023, Reaktionen 22.04.2024

Offener Brief zu Sicherheitsfragen an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit

Der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit hat eine andere Auffassung zu Sicherheitsfragen als ich. Ein offener Brief...
Veröffentlicht am 03.04.2023, Reaktionen 25.10.2024

Vodafone, der Datenschutz und Verbraucherrechte

Vodafone missachtet Gesetze. Datenschutz, Telekommunikationsgesetz, und andere Verbraucherrechte. Und statt gesetzestreu zu sein oder zu werden, kündigt man anscheinend lieber Kunden die versuchen, ihre Rechte ernst zu nehmen oder gar durchzusetzen. Bei mir entsteht der Eindruck, Gesetzestreue ist beim Geldverdienen von Vodafone nicht eingepreist.
Veröffentlicht am 24.03.2023, Reaktionen 16.05.2024

Angriff auf Karlsruher Schulen

Karlsruher Schulen gehackt. Nur leider scheint die Stadt Karlsruhe ihre Verpflichtungen aus der Datenschutzgrundverordnung nicht so ernst zu nehmen...
Letzte Aktualisierung 03.03.2023: Ein Problem kommt selten allein... Nutzung privater Computer, weitere veraltetete Komponenten, möglicherweise fehlende Verschlüsselung.
Veröffentlicht am 22.02.2023, zuletzt geändert am 03.03.2023, Reaktionen 28.02.2023

Verwaltungsportale – was macht die Aufsicht?

Christina Franke hat im letzten Herbst Beschwerde über 16 deutsche Verwaltungsportale bei 16 Aufsichten eingereicht, und jetzt Auskunft, Akteneinsicht und Standmitteilung beantragt. Das Ergebnis: die Aufsichten haben massive Defizite – mindestens beim Personal, oft auch mit der DSGVO, aber auch beim Verfolgen von Sicherheitsproblemen. Nur Hessen hat anscheinend soweit untersucht, dass man etwas gefunden hat...
Aktualisierung 07.10.2022: Bei Akteneinsicht (Teil der Datenkopie) mussten wir die Jas zu teilweise abwerten. Es gab im Arbeitskreis Verwaltung Diskussionen über die Beschwerden die nicht beauskunftet wurden. Auch ohne Namensnennung sind das aber personenbezogene Daten. Richtig traurig ist, wie einige Aufsichten – Bayern, Brandenburg, Niedersachen – versuchen Transparenz zu verhindern. Außerdem jetzt mit einer Beschreibung und Tabelle über die Beschwerdeinhalte. Die Kommunikation deckt jetzt alle Aufsichten ab und wird kontinuierlich ergänzt.
Veröffentlicht am 20.09.2022, zuletzt geändert am 07.10.2022.

Sicherheit? Nein Unsinn!

In letzter Zeit häufen sich zumindest in meiner Wahrnehmung unsinnige Verifikationen oder Multi-Faktor-Authentifizierung (MFA). Auch die Verschlüsselung mit dem Geburtsdatum hat wenig mit Sicherheit zu tun. Also mal ein kleiner Exkurs zu MFA und anderen fragwürdigen Verfahren, deren Verbreitung in Deutschland leider eher zu als abnimmt.
Aktualisierung 14.10.2022: Sicherheitsfragen in einigen Verwaltungsportalen.
Veröffentlicht am 01.09.2022, zuletzt geändert am 14.10.2022, Reaktionen 09.05.2024

Digitale Selbstverteidigung

Ich will Sicherheit und Datenschutz voranbringen. Das wollen andere auch, darunter digitalcourage, netzpolitik, mobilsicher, und andere. Aber nicht alles was dann als "Digitale Selbstverteidigung" propagiert wird ist für Normalanwender verständlich und umsetzbar, und leider oft auch nicht ausreichend. Vielleicht sollten man auch genauer hinsehen, welche Pflichten den Anwender und welche den Verantwortlichen treffen.
Letzte Aktualisierung 31.01.2023: Abschnitt zu Windows vs. Linux, mehr Infos zu Verschlüsselung, weitere Anbieter: D64, Digitale Gesellschaft. Alle Änderungen auf der Seite dokumentiert.
Veröffentlicht am 20.07.2022, zuletzt geändert am 31.01.2023, Reaktionen 15.05.2024

Auskunft – selten korrekt

Einige haben vielleicht schon eine Auskunft angefordert. Dann kommen meist per Post ein paar Seiten Papier mit Stammdaten wie Namen, Emailadresse, und welchen Vertrag man hat. Ist das alles? Sehr wahrscheinlich nicht. Von meinen Auskunftsanfragen sind etwa 2/3 mangelhaft und haben zu einer Beschwerde geführt. Ich will versuchen zu erklären, worauf es ankommt...
Aktualisierung 14.10.2022: Details im Ablauf, zur Anfrage und zur Vollständigkeit, und zu Behörden ergänzt.
Veröffentlicht am 14.07.2022, zuletzt geändert am 14.10.2022.

Nutzung privater Mittel durch die Organisation vs. private Nutzung von Mitteln der Organisation

Darf ein Mitarbeiter einer Organisation für seine Tätigkeit private Mittel, z.B. einen privaten Computer oder eine private Emailadresse verwenden? Und umgekehrt, darf er seine Emailadresse oder den Computer der Organisation privat nutzen? Ich weiß, dass das in vielen Organisationen normal ist, aber ich rate davon ab. Die konsequenteste Lösung ist die beste – trenne Deine Mittel nach Rollen. Klingt nach Schizophrenie – genau das sollte man hier üben. ...
Veröffentlicht am 02.07.2022.

Vergleich RFC 7672 vs. PGP / S/MIME

Weder das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) haben bisher ihre Gründe für die Verwendung von PGP oder S/MIME veröffentlicht. Also will ich meine eigenen Erkenntnisse etwas übersichtlicher und durchaus plakativer veröffentlichen. Und auch... mir ist bewusst, dass andere wie Digitalcourage (Open)PGP empfehlen. Aber wir sollten stattdessen eher die Aufsichten auffordern, die Einhaltung des Fernmeldegeheimnisses von Telekommunikationsdiensten einzufordern – und da macht RFC 7672 mehr Sinn als PGP oder S/MIME.
Veröffentlicht am 25.05.2022, zuletzt geändert am 08.11.2023.

Dataport – kann man nur verpfeifen!

Dataport nimmt Sicherheit und Datenschutz nicht ernst. Man spricht zwar über den Grundschutz und hat ein zertifiziertes Rechenzentrum, aber die Zertifizierung ist auf niedrigem Niveau und erfüllt nicht den festgestellten Schutzbedarf der Verfahren. Und weder das Management noch die Aufsicht wird wegen der Verletzung der Artikel 28, 30, und 32 Datenschutzgrundverordnung tätig...
Deutschland braucht dringend die Umsetzung der Whistle-Blower-Richtlinie in das Hinweisgeberschutzgesetz.
Veröffentlicht am 02.05.2022, Reaktionen 12.04.2024

Aufsicht – ohne Orientierung?

Nach Artikel 51 (1) DSGVO soll die Aufsicht unabhängig sein, nach Artikel 57 (1) a) soll sie "die Anwendung dieser Verordnung überwachen und durchsetzen". Leider Fehlanzeige. Auch wenn das BfDI meine IFG-Anfrage immer noch nicht abgearbeitet hat, liegen mir inwischen aufgrund einer Auskunftsanfrage Dokumente vor, die meiner Meinung nach das Versagen der Aufsicht dokumentieren. Schon allein dass diese Dokumente nicht veröffentlicht wurden, mir aber dennoch ungeschwärzt geschickt wurden, verstößt gegen Artikel 15 (4). Was ich sonst herauslesen kann, verstößt nicht nur gegen die genannten Artikel der DSGVO sondern auch gegen das Grundgesetz...
Aktualisierung 10.04.2022: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit empfiehlt Verschlüsselung – nur will er sie auch durchsetzen?
Veröffentlicht am 28.03.2022, zuletzt geändert am 10.04.2022.

Vodafone – das Kabel-Gate

Seit Monaten habe ich immer wieder gestörtes Internet. OK, es gab Ende Februar einen Kaskadenausfall in Wolfartsweier, da war 28 Stunden alles kaputt. Aber auch davor und danach immer wieder Aufälle. Inzwischen glaube ich dass Vodafone schummelt – wie VW beim Diesel. Das Kabel-Gate?
Veröffentlicht am 30.03.2022, zuletzt geändert am 05.04.2022.

Bundesamt für (Un)Sicherheit in der Informationstechnik

Seit letztem Jahr beschäftige ich mich intensiv mit dem BSI Grundschutz oder Kompendium. Der ist nach meinem Verständnis mehr eine Arbeitsbeschaffungsmaßnahme denn eine Hilfe, man kann alle Bausteine umsetzen und vom BSI zertifiziert werden und trotzdem unsicher sein. Das gibt das BSI sogar zu...
Aktualisierung 29.08.2022: Man will jetzt doch Auskunft und Akteneinsicht per Email schicken – nur ist es keine gute Idee, Zertifikate und damit Schlüssel über den gleichen Kanal wie die zu verschlüsselnden Inhalte zu übertragen. Es erstaunt mich schon, dass das BSI an solchen Selbstverständlichkeiten scheitert. Aktualisierung 03.11.2022: Beispiele von Unsicherheit ergänzt – VMware ESXi und Reverse-Proxy/Web-Application-Firewalls.
Veröffentlicht am 25.03.2022, zuletzt geändert am 03.11.2022.

RFC 7672 mit Mailcow / Postfix

Was können Sie tun, um bei der Sicherheit von Email besser zu werden? Implementieren Sie den RFC 7672. Zumindest was ich denke, die Bundesnetzagentur hat ja noch keine Erwartung veröffentlicht...
Veröffentlicht am 28.02.2022.

Emailsicherheit – der Test

Jetzt schreibe ich seit Monaten immer mal wieder über Emailsicherheit und Verschlüsselung – aber wie soll ich als Otto Normalverbraucher herausfinden, was mein Anbieter macht? Ich biete einen Test an...
Aktualisierung 29.06.2022: Auf Wunsch von Lesern jetzt mit Beschreibung wie der Test funktionert. Aktualisierung 08.03.2022: Informationen zum BSI IT-Sicherheitskennzeichen und der TR03108-1 ergänzt. Außerdem werden kontinuierlich Testergebnisse ergänzt.Aktualisierung 28.06.2023: Der Test der Empfangsseite wurde überarbeitet und das Ergebnis wird jetzt tabellarisch dargestellt.
Veröffentlicht am 04.02.2022, zuletzt geändert am 28.06.2023, Reaktionen 09.11.2023

Emailsicherheit bei Anwälten

Rechtsanwälte nehmen sich in ihrer Berufsordnung ein Sonderrecht heraus – unverschlüsselte Kommunikation mit Einwilligung des Mandanten. Das ist nach Ansicht der Datenschutzkonferenz nicht erlaubt oder allenfalls auf ausdrücklichen aktiven Wunsch des Kunden, und der wird selten vorliegen. Da sollten die Anwälte besser werden...
Veröffentlicht am 04.02.2022.

Emailsicherheit bei öffentlichen Einrichtungen

Vor einigen Monaten habe ich schon meine Erkenntnisse zur Emailverschlüsselung veröffentlicht. Das BfDI überlegt anscheinend immer noch, ob man die eigenen Überlegungen veröffentlicht oder vielleicht lieber gleich die Orientierungshilfe überarbeitet. Das BSI hat anscheinend gar kein Interesse daran, seine widersprüchlichen Empfehlungen zu überdenken. Um mal ein Gefühl dafür zu bekommen wie das "öffentliche Deutschland" mit Emailverschlüsselung umgeht, habe ich einen Test gestartet...
Veröffentlicht am 18.01.2022, zuletzt geändert am 08.04.2022.

Ist Verschlüsselung Pflicht?

Wenn man die Kommentare zur Datenschutzgrundverordnung oder den BSI Grundschutz liest, dann denkt man vermutlich nein, oder allenfalls bei öffentlichen Netzen oder hohem Schutzbedarf. Aber das stimmt nicht, Verschlüsselung ist eine Basisanforderung...
Veröffentlicht am 05.01.2022.

Datenschutz im Koalitionsvertrag

Der Koalitionsvertrag wurde veröffentlicht. Während andere mehr auf die Digitalisierungschancen achten, wären mir konkrete Aussagen zu Sicherheit und Datenschutz wichtiger. Nur leider finden sich nur wenige konkrete Aussagen zum Datenschutz, und die werfen mehr Fragen als Antworten auf...
Veröffentlicht am 01.12.2021.

Auftragsverarbeitung bei Email

Wer als Verantwortlicher personenbezogene Daten von jemand anderem verarbeiten lässt, braucht dafür einen Auftragsverarbeitungsvertrag. Wohl auch bei Email. Das hat sich vor allem bei Kleinstunternehmen oder Freiberuflern noch nicht wirklich rumgesprochen.
Aktualisierung 20.12.2021: So viele Unklarheiten hätte ich nicht erwartet...
Veröffentlicht am 01.12.2021, zuletzt geändert am 20.12.2021.

Ist Artikel 32 DSGVO dispositiv?

Ich bin dieses Jahr mehrfach darüber gestolpert, dass ein Verantwortlicher meine Zustimmung dazu wollte, Informationen unverschlüsselt per Email zu verschicken – entsprechende Beschwerden bei der jeweils zuständigen Aufsicht laufen noch. Letztendlich habe ich den Eindruck, da steckt ein Muster dahinter, und dem will ich im folgenden nachgehen...
Aktualisierung 26.11.2021: sehr erfreulich, die Datenschutzkonferenz hat am 24.11.2021 beschlossen, dass ein Verzicht auf TOMs (Artikel 32) nur in Ausnahmefällen und auf ausdrückliche Initiative des Betroffenen erlaubt ist. Jede formularmäßige Verwendung dürfte damit ausscheiden.
Veröffentlicht am 23.11.2021, zuletzt geändert am 27.11.2021.

Bedrohungsmodellierung

Bedrohungsmodellierung, aka Threat-Modeling – wie geht das ohne großen Aufwand? Muss man das dauernd wiederholen oder reicht es zu bestimmten Zeitpunkten?
Veröffentlicht am 10.10.2021, zuletzt geändert am 15.12.2021.

Security by Obscurity

Das BSI will Dinge geheimhalten wegen der „öffentlichen Sicherheit“ – aber das ist keine gute Idee... Geheimnisse schaden der Sicherheit.
Veröffentlicht am 28.09.2021, zuletzt geändert am 26.05.2023.

Sicherheitsanforderungen

Ich werde immer mal nach Sicherheitsanforderungen gefragt, die in Software umgesetzt werden sollen. Diese Seite fasst Sicherheitsanforderungen zusammen, die nach meiner Erfahrung für fast alle Anwendungen gelten, egal ob sie selbst erstellt oder zugekauft werden...
Veröffentlicht am 29.08.2021, zuletzt geändert am 15.10.2021.

Email-Verschlüsselung

Die Datenschutzkonferenz hat im Juni 2021 eine neue Orientierungshilfe zur Emailverschlüsselung veröffentlicht. Auch das BSI hat eine Richtline zu sicherer Email – nur werfen leider beide Fragen auf...
Veröffentlicht am 31.07.2021, zuletzt geändert am 26.09.2021.

Frag-den-Staat

Seit März 2021 lerne ich den BSI Grundschutz und das Online Zugangsgesetz kennen. Leider lässt der BSI Grundschutz an einigen Stellen doch viele Unklarheiten offen, die ich gerne geschlossen sehen würde. Ich habe dazu und zu einigen anderen Beobachtungen Anfragen auf FragDenStaat gestellt.
Veröffentlicht am 31.07.2021, zuletzt geändert am 20.12.2021.


© 2024 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.