AW: Ihr Schreiben an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)

Von: <REFERAT25@bfdi.bund.de>
Gesendet: 19.09.2022 15:20
An: 'Joachim Lindenberg' <***@lindenberg.one>
Betreff: AW: Ihr Schreiben an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)

Der Bundesbeauftragte für den Datenschutz
und die Informationsfreiheit (BfDI)

Az.: 25-170 II#1143

Sehr geehrter Herr Lindenberg,

vielen Dank für Ihre Rückantwort. Sobald die Untersuchung der in Frage
stehenden Sachverhalte abgeschlossen ist, werde ich mich unaufgefordert
wieder mit Ihnen in Verbindung setzen.

Mit freundlichen Grüßen
********************

********************************************************************************
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Referat 25
Graurheindorfer Straße 153, 53117 Bonn
Fon: (0228) 997799-****
Fax: (0228) 99107799-****
E-Mail: referat25@bfdi.bund.de
Internet: https://www.bfdi.bund.de
********************************************************************************
Datenschutzrechtliche Erklärung des BfDI für den E-Mail-Verkehr und die
Erfüllung seiner öffentlichen Aufgaben insgesamt: (nachstehender Link führt
auf den Internetauftritt des BfDI unter www.bfdi.bund.de)

https://www.bfdi.bund.de/datenschutz

********************************************************************************
Hinweis: Dies ist eine vertrauliche Nachricht und nur für den Adressaten
bestimmt. Sollten Sie irrtümlich diese Nachricht erhalten haben, informieren
Sie bitte sofort den Absender und vernichten Sie diese E-Mail.

********************************************************************************
Privacy statement of the BfDI for correspondence by email and for managing
its overall public responsibility: (the following link is directing to the
web presence of the BfDI at www.bfdi.bund.de)

https://www.bfdi.bund.de/EN/Service/PrivacyStatement/PrivacyStatement-node.html

********************************************************************************
Confidentiality notice: This is a confidential message and it is intended
only for the addressee. If you have received this message by mistake, please
immediately inform the sender and destroy this email.

-----Ursprüngliche Nachricht-----
Von: Joachim Lindenberg <***@lindenberg.one>
Gesendet: Montag, 19. September 2022 13:00
An: Referat 25 Postfach <REFERAT25@bfdi.bund.de>
Betreff: AW: Ihr Schreiben an den Bundesbeauftragten für den Datenschutz und
die Informationsfreiheit (BfDI)

Sehr geehrter ***************,

bei (1) sind zwei verschiedene Gründe relevant, wenn das missverständlich
war bitte ich um Entschuldigung.

(1a) Die Orientierungshilfe nicht nur zur qualifizierten
Transportverschlüsselung ist
https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf,
qualifizierte Transportverschlüsselung ist in 5.2 definiert und in 4.1.2
gefordert - dort zusammen mit Ende-zu-Ende-Verschlüsselung. Eine
Auseinandersetzung mit dieser Orientierungshilfe und auch dass ich PGP
ablehne finden Sie in https://blog.lindenberg.one/AufsichtOhneOrientierung
und https://blog.lindenberg.one/VergleichRfc7672PgpSmime. Betonen möchte ich
dabei auch, dass PGP die Metadaten nicht hinreichend schützt (nicht schützen
kann) und damit das Fernmeldegeheimnis nicht eingehalten wird.

(1b) dass Schlüssel und Inhalte nicht über den gleichen Kanal kommuniziert
werden dürfen ist anerkannte Best-Practice in Sicherheitskreisen. Ein
ausdrückliches Verbot findet sich leider weder in Orientierungshilfen des
DSK noch im Grundschutz. In Grundschutz findet sich lediglich in CON.1
Kryptokonzept in der Gefährdungslage "2.1 Unzureichendes Schlüsselmanagement
bei Verschlüsselung": "Durch ein unzureichendes Schlüsselmanagement könnten
Angreifer auf verschlüsselte Daten zugreifen. So kann es beispielsweise
sein, dass sich aufgrund fehlender Regelungen verschlüsselte Informationen
mitsamt den dazugehörigen Schlüsseln auf demselben Datenträger befinden oder
über den selben Kommunikationskanal (unverschlüsselt) übertragen werden.
Dadurch kann bei symmetrischen Verfahren jeder, der auf den Datenträger oder
den Kommunikationskanal zugreifen kann, die Informationen entschlüsseln,
wenn das eingesetzte Verschlüsselungsverfahren bekannt ist.". Desweiteren
findet sich in CON.1 A4 " Geeignetes Schlüsselmanagement (S)": "... Wenn
Schlüssel verwendet werden, SOLLTE die authentische Herkunft und die
Integrität der Schlüsseldaten überprüft werden.

Den Schlüssel über Email zu akzeptieren ohne gleichzeitig qualifizierte
Transportverschlüsselung (Authentifizierung des Empfängers) und DKIM
(Authentifizierung des Senders) zu verwenden ist damit nicht sicher.

(1) Jetzt will ich gar nicht ausschließen, dass qualifizierte
Transportverschlüsselung zum Einsatz kommt, und damit PGP zumindest meiner
Meinung nach entbehrlich ist. Jedenfalls mein Emailserver kann das und
verwendet sie für bund.de, aber inwiefern das BSI verpflichtende oder
qualifizierte Transportverschlüsselung und DKIM (durchgängig) einsetzt und
auswertet, entzieht sich meiner Kenntnis.

(2) Dass ich überhaupt darüber diskutieren muss, welche Sicherheitsmaßnahmen
das BSI einsetzt oder einsetzen sollte, überschreitet meines Erachtens die
Grenze
https://www.datenschutzkonferenz-online.de/media/dskb/20211124_TOP_7_Beschluss_Verzicht_auf_TOMs.pdf.
Wenn es nicht nach eigener Prüfung zum Ergebnis kommt, dass qualifizierte
Transportverschlüsselung und DKIM eingesetzt wird und ausreichend ist, dann
hätte es von sich aus einen sicheren Kommunikationskanal oder
Schlüsseltauschmechanismus vorschlagen müssen. PGP ist dabei ein
ungeeigneter Vorschlag, denn damit können vermutlich 99% der Betroffenen
nicht umgehen und ich will es nicht. Dass ich einen sicheren Kanal
vorschlage - vermutlich 95% der Betroffenen könnten das weder beurteilen
noch ausdrücken. Warum wird Erwägungsgrund 63 S.4 nicht mehr Aufmerksamkeit
geschenkt?

Vielen Dank und viele Grüße
Joachim Lindenberg

-----Ursprüngliche Nachricht-----
Von: ********************@bfdi.bund.de <********************@bfdi.bund.de>
Im Auftrag von REFERAT25@bfdi.bund.de
Gesendet: Montag, 19. September 2022 09:30
An: 'Joachim Lindenberg' <***@lindenberg.one>
Betreff: Ihr Schreiben an den Bundesbeauftragten für den Datenschutz und die
Informationsfreiheit (BfDI)

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
(BfDI)

Az.: 25-170 II#1143

Sehr geehrter Herr Lindenberg,

zu Ihrer Nachricht vom 29. August 2022 haben sich noch zwei Rückfragen
ergeben:

(1) Sie monieren, dass das BSI mit seinem Vorgehen (Aufforderung zum Versand
eines Zertifikats zur verschlüsselten E-Mail-Kommunikation) gegen die
Empfehlungen der DSK zur qualifizierten Transportverschlüsselung verstoßen
habe. In diesem Kontext möchte ich Sie darum bitten, erstens den in Frage
stehenden Sachverhalt zu explizieren und zweitens das konkrete
Bezugsdokument (inkl. Verweis auf den entsprechenden Passus) zu nennen, auf
das Sie sich hier beziehen.

(2) Weiterhin suggerieren Sie nach hiesigem Verständnis durch den Verweis
auf
https://www.datenschutzkonferenz-online.de/media/dskb/20211124_TOP_7_Beschluss_Verzicht_auf_TOMs.pdf,
dass das BSI Ihre Wünsche zum Verzicht auf bestimmte TOMs nicht
berücksichtigt habe. Hier bitte ich um Erläuterung, den Erlass welcher TOMs
Sie beim BSI mit Blick auf Ihren Antrag nach Art. 15 DSGVO beantragt haben
und inwiefern das BSI diesem Antrag nicht nachgekommen ist.

Für eine Rückantwort bis zum 07.10.2022 wäre ich Ihnen dankbar.

Mit freundlichen Grüßen
********************

********************************************************************************
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Referat 25 Graurheindorfer Straße 153, 53117 Bonn
Fon: (0228) 997799-****
Fax: (0228) 99107799-****
E-Mail: referat25@bfdi.bund.de
Internet: https://www.bfdi.bund.de
********************************************************************************
Datenschutzrechtliche Erklärung des BfDI für den E-Mail-Verkehr und die
Erfüllung seiner öffentlichen Aufgaben insgesamt: (nachstehender Link führt
auf den Internetauftritt des BfDI unter www.bfdi.bund.de)

https://www.bfdi.bund.de/datenschutz

********************************************************************************
Hinweis: Dies ist eine vertrauliche Nachricht und nur für den Adressaten
bestimmt. Sollten Sie irrtümlich diese Nachricht erhalten haben, informieren
Sie bitte sofort den Absender und vernichten Sie diese E-Mail.

********************************************************************************
Privacy statement of the BfDI for correspondence by email and for managing
its overall public responsibility: (the following link is directing to the
web presence of the BfDI at www.bfdi.bund.de)

https://www.bfdi.bund.de/EN/Service/PrivacyStatement/PrivacyStatement-node.html

********************************************************************************
Confidentiality notice: This is a confidential message and it is intended
only for the addressee. If you have received this message by mistake, please
immediately inform the sender and destroy this email.