Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: 27.10.2022 17:42
An: GP Presse <presse@bsi.bund.de>
Betreff: Re: Sicherheitsfragen in Verwaltungsportalen?

 

Sehr geehrte Pressestelle,

"nicht nachvollziehen" soll heißen, dass Sie entgegen der Darstellung des Bayerische Landesbeauftragten für den Datenschutz gar nicht beteiligt waren, oder dass Sie Empfehlungen herausgeben, ohne davon Aufzeichnungen anzulegen? Letzteres erscheint mir bei einer Behörde äußerst unwahrscheinlich, aber man lernt ja dazu.

Freemail-Postfächer sind ein schönes Beispiel. Wäre es nicht die Aufgabe des BSIs, Einfluss darauf zu nehmen, dass unsichere Verfahren ausgemerzt werden? Und was ist daran niedrigschwellig?

Mit freundlichen Grüßen
Joachim Lindenberg

Am 26.10.2022 um 11:32 schrieb GP Presse:

Sehr geehrter Herr Lindenberg,

 

vielen Dank für Ihre Anfrage.

Leider konnten wir den Sachverhalt in unserem Haus nicht nachvollziehen. Daher können wir Ihnen keine Rückmeldung auf Ihre konkrete Anfrage geben.

 

Grundsätzlich aber nachfolgende Information:

Da es sich laut dem verlinkten Text offenkundig um eine Basisregistrierung – also kein Vertrauensniveau nach eIDAS-Verordnung – handelt, wäre eine Absicherung des Zugangs zu einem derartigen Account mit Hilfe einer Sicherheitsabfrage bspw. bei einem vergessenen Passwort nicht unüblich.

Diese Vorgehensweise wird im Übrigen nach unsere Kenntnis noch bei vielen vergleichbar niedrigschwelligen privatwirtschaftlichen Angeboten gewählt (z.B. Wiederherstellung des Zugangs zu Freemail-Postfächern).

 

Mit freundlichen Grüßen

__________________________________________

Die Pressestelle

Bundesamt für Sicherheit in der Informationstechnik

 

Godesberger Allee 185 -189

53175 Bonn

 

Telefon:              0228-999582-5777

E-Mail:                 presse@bsi.bund.de

Internet:             www.bsi.bund.de

Twitter:               @BSI_Bund

 

#DeutschlandDigitalSicherBSI

 

Von: Joachim Lindenberg <************@lindenberg.one" moz-do-not-send="true" class="moz-txt-link-freetext">************@lindenberg.one>
Gesendet: Dienstag, 25. Oktober 2022 10:15
An: GP Presse <presse@bsi.bund.de>; presse@bmi.bund.de; presse@stmd.bayern.de
Betreff: Re: Sicherheitsfragen in Verwaltungsportalen?

 

Sehr geehrte Damen und Herren,

ich möchte Sie an meine Anfrage unten erinnern, die bisher unbeantwortet ist.

Mit freundlichen Grüßen
Joachim Lindenberg

Am 04.10.2022 um 15:18 schrieb Joachim Lindenberg:

Sehr geehrte Damen und Herren,

 

in https://fragdenstaat.de/anfrage/sicherheit-des-verwaltungsportals-1/721748/anhang/baylfd-25-07-2022_geschwaerzt.pdf schreibt der Bayerische Landesbeauftragte für den Datenschutz: „Bezüglich der offenen Punkte aus Ihrer Beschwerde teilte mir das StMD folgendes mit:  Die vier derzeit angebotenen Sicherheitsabfragen und der aktuelle Prozess der Sicherheitsabfrage seien gemeinsam mit dem BMI und dem BSI implementiert worden.“

 

Ich bitte um Auskunft darüber,

1.       welche Sicherheitsfragen und welcher Prozess hier besprochen wurde,

2.       warum entgegen den Empfehlungen von NISTOWASP, Bruce Schneier (2005), und anderen und trotz Studien von Microsoft (2009) und Google (2015) Sicherheitsfragen empfohlen wurden.

 

Vielen Dank und viele Grüße

Joachim Lindenberg

(freier Journalist, Presseausweis anbei)

 

 

Java, JavaScript sowie aktive Inhalte wurden aus dieser E-Mail herausgefiltert.