Sehr geehrter ****************,

Christina hat mir Ihre Dokumente weitergeleitet, vielen Dank von uns beiden für diesen Einblick. Beim Überfliegen ist mir folgendes aufgefallen: in der Email von IM_Datenschutz vom 2.5.2022 13:18 steht unter dem Punkt "Verschlüsselung der Daten bei dem Verantwortlichen bzw. Sicherheit bei Hacking-Versuchen" auf Seite 5 (Seite 25 im GesamtPDF zu 3.0.5.004-076): "Die Daten zu einem Fall werden nur im Postfach des Nutzerkontos und im Antrag gespeichert. Hier liegen alle Daten verschlüsselt vor. Dies ist in einem entsprechenden Sicherheitskonzept hinterlegt. Die Umsetzung erfolgt entsprechend dem Stand der Technik gemäß des BSI."

Daran ist richtig, dass das Postfach und möglicherweise auch der Antrag verschlüsselt gespeichert werden. Aber nur auf Anwendungsebene, nicht auf Infrastrukturebene. Das entspricht zwar dem Sicherheitskonzept von Dataport und man kann das als BSI-konform ansehen, weil der Grundschutz da – zu viele – Wahlrechte lässt, ist aber nicht wirklich sicher. Daten im virtuellen Speicher, temporäre Daten im Dateisystem, beim Virenscanner oder auf internen Übertragungswegen werden (oder wurden Stand November 2021) bei Dataport nicht verschlüsselt. Auch basiert die Sicherheit einer VMware-ESXi-Infrastruktur wie bei Dataport einzig und allein auf der Netzwerk- und damit auch der Gebäudesicherheit, und wie die iKFZ-Revision gezeigt hat, hat Dataport massive Probleme auch mit der Netzwerkverwaltung.

Bitte besorgen Sie sich das Sicherheitskonzept bei Ihrem Hamburger Kollegen ************ oder direkt bei Dataport – dann ggfs. auch in neuerer Fassung. Das Sicherheitskonzept ist bzw. war so mangelhaft, dass ich Dataport keine Daten anvertrauen würde. Und verzichten Sie bitte darauf, sich vom Verantwortlichen oder Dataport die Fakten interpretieren zu lassen. Ich musste selbst miterleben, dass Dataport geschickt auf Anfragen nur die positiven Aspekte zusammengestellt hat und die Probleme unerwähnt lies.

Sie finden weitere Informationen auf https://blog.lindenberg.one/BundesamtUnsicherheit, https://blog.lindenberg.one/BeschwerdeDataport, und https://blog.lindenberg.one/UnsichereProdukte (die letzte Seite noch in Arbeit und bisher unveröffentlicht). Wesentlich sicherer wäre eine konsequente Verschlüsselung und Authentifizierung in der ganzen Infrastruktur (die Amerikaner nennen das Zero Trust).

Ich muss hier auch noch einmal erwähnen, dass selbst das BSI indirekt zugibt, dass man nach Grundschutz zertifiziert sein kann, aber trotzdem unsicher sein kann. Anders kann ich https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/678340/anhang/stellungnahme-bsi-20012022_geschwaerzt.pdf nicht interpretieren.

Vielen Dank und viele Grüße

Joachim Lindenberg

-- 

c/o

Der Landesbeauftragte fuer Datenschutz und Informationsfreiheit

Mecklenburg-Vorpommern

Lennéstraße 1, Schloss Schwerin

D-19053 Schwerin

Telefon +49-385-59494-**

https://www.datenschutz-mv.de * https://www.informationsfreiheit-mv.de

Allgemeiner Hinweis: Auf elektronischem Weg sollten vertrauliche

Informationen stets verschlüsselt übertragen werden. Unser öffentlicher

PGP-Schlüssel ist über unsere Internetseite abrufbar

(https://www.datenschutz-mv.de/datenschutzerklaerung/#email).

Informationen nach Art. 13 DS-GVO zu der Verarbeitung

personenbezogener Daten durch unsere Behörde finden Sie unter

https://www.datenschutz-mv.de/behoerde/art13