Von: Joachim Lindenberg <****@lindenberg.one>
Gesendet: 21.05.2022 14:16
An: <mailbox@datenschutz.hamburg.de>
Betreff: M1/1031/2022 – Dataport
Sehr geehrter ***********,
vielen Dank für Ihr Schreiben vom 05.05.2022. Die mangelhaften, nicht den Artikeln 28 und 32 DSGVO entsprechenden Security Service Agreements habe ich inzwischen auf https://blog.lindenberg.one/BeschwerdeDataport veröffentlicht, zusammen mit den Berichten zur Kurz-Revision.
Das Sicherheitskonzept in der Fassung die ich erhalten habe finden Sie jetzt unter https://blog.lindenberg.one/documents/Dataport/OSI – IT-Sicherheitskonzept.zip, verschlüsselt mit dem von Ihnen gewählten Passwort. Ich glaube nicht, dass das wesentlich weiterentwickelt wurde, denn sowohl ********************* als auch *************** haben als IT-Sicherheitskoordinatoren OSI verlassen, ************** Dataport insgesamt, ************ nur die Abteilung.
Wesentliche Kritikpunkte:
- Entgegen der Schutzbedarfsfeststellung „hoch“ gibt es kein durchgehendes Verschlüsselungskonzept. Das ist insbesondere sichtbar in der Sicherheitsrichtlinie Speicherlösungen/ Cloud Storage in der es heißt: „Die Absicherung von Daten mit hohem oder sehr hohem Schutzbedarf bezüglich der Vertraulichkeit und/ oder Integrität ist durch die Anwendung sicherzustellen, die auch für die Verarbeitung der Daten zuständig ist.“ Davon findet sich dann wiederum nichts in den OSI Dokumenten, und selbst wenn das Postfach tatsächlich einige Daten verschlüsselt, werden trotzdem unverschlüsselte Daten im virtuellen Speicher oder auf zentralen Diensten wie dem Virenscanner zu finden sein, und ein Angreifer kann die verwendeten Schlüssel auch von unverschlüsselten Datenträgern extrahieren.
- Es gibt kein Authentifizierungskonzept für die VMware-basierten virtuellen Systeme. Die virtuellen Systeme laufen auf diskless-Knoten die sich nicht am Speichernetzwerk authentifizieren müssen, der einzige Schutz ist also der Bunker und das Netzwerk, beides ist sowohl für Insider als auch für Eindringlinge überwindbar. Analog dazu verwendet OSI dieselben Zertifikate für verschiedene Dienste. Beides verstößt gegen ORP.4 „Benutzer und IT-Komponenten müssen zweifelsfrei identifiziert und authentisiert werden“.
- Eingabevalidierung findet nicht systematisch statt, und öffnet damit das Tor für fast alle Top 10 von OWASP. Das eingesetzte Tool SonarQube kann fehlende Eingabevalidierungen nicht erkennen, s.a. https://community.sonarsource.com/t/input-validations-in-c-net-web-applications/46309/10. Eine Initiative von mir, XML Validierung systematisch zu beleuchten wurde abgebrochen. Dass im Audit XSS-Schwachstellen gefunden wurde ist daher nicht wirklich überraschend, sondern wird wie bei allen Pentests nur die Spitze des Eisbergs darstellen.
- Patches werden nicht systematisch konsumiert, Bibliotheken mit bekannten Schwachstellen werden weiterhin eingesetzt.
- Ein durchgängiges Protokollierungskonzept für sicherheitsrelevante Ereignisse mit Anschluss an das SIEM existiert nicht.
Zum Datenschutz:
- Matomo wird verwendet ohne dass geklärt wurde, was der Gesetzgeber genau für Nutzungsdaten erwartet. Dataport konfiguriert lieber entlang der Neugier als einer Rechtsgrundlage. Das ist sogar öffentlich sichtbar in den AVB Dataport Teil II 5.3.
- Ein Verzeichnis aller Verarbeitungstätigkeiten im Auftrag, sowie Unterauftragnehmer und Kommunikationspartner konnte Dataport nicht vollständig benennen. Damit ist es sehr unwahrscheinlich, dass Dataport als Verantwortlicher oder auch im Auftrag der Länder die Betroffenenrechte aus Artikel 12ff gewährleisten kann.
- Protokollierung von Zugriffen auf personenbezogene Daten findet allenfalls rudimentär statt.
Selbst wenn man unterstellen würde, dass das Sicherheitskonzept grundsätzlich geeignet gewesen wäre, wurde es allenfalls ausnahmsweise beachtet und umgesetzt. Denn in der Entwicklung hatte niemand Zugriff darauf. Es hat auch keine Qualitätssicherung oder Teststrategie dafür gegeben.
Letztendlich basiert Sicherheit bei Dataport auf dem Beton des Rechenzentrums, der Netzwerkarchitektur, für die es aber laut i-KFZ Audit kein geeignetes Management gibt, und Geheimhaltung – was einen ernsthaften Angreifer nicht abhalten wird. Ich muss an dieser Stelle auf meine Artikel https://blog.lindenberg.one/VerschlusselungPflicht und https://blog.lindenberg.one/SecurityByObscurity hinweisen, und auch auf meine Ausführungen zu Zertifizierungen und Audits in https://fragdenstaat.de/anfrage/it-komponente/612491/anhang/bsi-grundschutz-gesammelt_geschwaerzt.pdf, Email an das BSI vom 23.06.2021 17:35. Ein Angreifer wird keine Hilfe brauchen um das Sicherheitskonzept von Dataport zu überwinden.
Sollte unklar sein, ob das OSI Management Kenntnis davon hatte, kann ich gerne entsprechende Emails heraussuchen, aber die Email von Herr Hammer spricht meiner Meinung nach Bände.
Wenn Sie weitere Unterlagen benötigen lassen Sie es mich bitte wissen. Aber eigentlich sollte Dataport Ihnen gegenüber verpflichtet sein, selbst alle relevanten Unterlagen herauszugeben.
Mit freundlichen Grüßen
Joachim Lindenberg