Von: Joachim Lindenberg <****@lindenberg.one>
Gesendet: 21.05.2022 14:16
An: <mailbox@datenschutz.hamburg.de>
Betreff: M1/1031/2022 – Dataport

 

Sehr geehrter ***********,

 

vielen Dank für Ihr Schreiben vom 05.05.2022. Die mangelhaften, nicht den Artikeln 28 und 32 DSGVO entsprechenden Security Service Agreements habe ich inzwischen auf https://blog.lindenberg.one/BeschwerdeDataport veröffentlicht, zusammen mit den Berichten zur Kurz-Revision.

 

Das Sicherheitskonzept in der Fassung die ich erhalten habe finden Sie jetzt unter https://blog.lindenberg.one/documents/Dataport/OSI – IT-Sicherheitskonzept.zip, verschlüsselt mit dem von Ihnen gewählten Passwort. Ich glaube nicht, dass das wesentlich weiterentwickelt wurde, denn sowohl ********************* als auch *************** haben als IT-Sicherheitskoordinatoren OSI verlassen, ************** Dataport insgesamt, ************ nur die Abteilung.

 

Wesentliche Kritikpunkte:

 

Zum Datenschutz:

 

Selbst wenn man unterstellen würde, dass das Sicherheitskonzept grundsätzlich geeignet gewesen wäre, wurde es allenfalls ausnahmsweise beachtet und umgesetzt. Denn in der Entwicklung hatte niemand Zugriff darauf. Es hat auch keine Qualitätssicherung oder Teststrategie dafür gegeben.

 

Letztendlich basiert Sicherheit bei Dataport auf dem Beton des Rechenzentrums, der Netzwerkarchitektur, für die es aber laut i-KFZ Audit kein geeignetes Management gibt, und Geheimhaltung – was einen ernsthaften Angreifer nicht abhalten wird. Ich muss an dieser Stelle auf meine Artikel https://blog.lindenberg.one/VerschlusselungPflicht und https://blog.lindenberg.one/SecurityByObscurity hinweisen, und auch auf meine Ausführungen zu Zertifizierungen und Audits in https://fragdenstaat.de/anfrage/it-komponente/612491/anhang/bsi-grundschutz-gesammelt_geschwaerzt.pdf, Email an das BSI vom 23.06.2021 17:35. Ein Angreifer wird keine Hilfe brauchen um das Sicherheitskonzept von Dataport zu überwinden.

 

Sollte unklar sein, ob das OSI Management Kenntnis davon hatte, kann ich gerne entsprechende Emails heraussuchen, aber die Email von Herr Hammer spricht meiner Meinung nach Bände.

 

Wenn Sie weitere Unterlagen benötigen lassen Sie es mich bitte wissen. Aber eigentlich sollte Dataport Ihnen gegenüber verpflichtet sein, selbst alle relevanten Unterlagen herauszugeben.

 

Mit freundlichen Grüßen

Joachim Lindenberg