Von: ************* <************@datenschutz.hamburg.de>
Gesendet: 15.06.2022 13:14
An: <***********@lindenberg.one>
Betreff: AW: [EXTERN]-M1/1031/2022 - Dataport

 

Sehr geehrter Herr Lindenberg,

 

das Archiv lässt sich diesseits mit dem gespeicherten Passwort nicht entschlüsseln, so dass ich keine Einsicht in die Daten nehmen kann. Könnten Sie die Richtigkeit des Passworts noch einmal überprüfen?

 

Mit freundlichen Grüßen,

 

************

---

Referent für Datenschutz
Referat M


Freie und Hansestadt Hamburg
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

Anschrift:

  Ludwig-Erhard-Str. 22 · 20459 Hamburg

Geschäftsst.:

  Telefon: +49 (0)40 428 54-**** Fax: +49 (0)40 428 54-****

 

 

E-Mail:

************@datenschutz.hamburg.de

Website:

datenschutz-hamburg.de


Abhängig vom Anlass Ihrer oder unserer Kontaktaufnahme werden Ihre personenbezogenen Daten von uns verarbeitet. Nähere Informationen dazu erhalten Sie hier oder auf Nachfrage bei unserer behördlichen Datenschutzbeauftragten.

Bitte beachten Sie auch, dass vertrauliche Informationen auf elektronischem Wege nur verschlüsselt an uns übermittelt werden sollten.

 

Von: Mailbox (HmbBfDI) [mailto:mailbox@datenschutz.hamburg.de]
Gesendet: Montag, 23. Mai 2022 06:03
An: ************* <************@datenschutz.hamburg.de>
Betreff: WG: [EXTERN]-M1/1031/2022 - Dataport

 

 

 

Mit freundlichen Grüßen

 

 

*************
Referat Z
Sachbearbeiterin, Z4

Freie und Hansestadt Hamburg
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

Anschrift:

  Ludwig-Erhard-Str. 22 · 20459 Hamburg

Geschäftsstelle:

  Telefon: +49 (0)40 428 54-****   Fax: +49 (0)40 428 54-****

 

Durchwahl

 Büro: +49 (0)40 428 54-****

E-Mail

 heidi.*******@datenschutz.hamburg.de

Webauftritt

datenschutz-hamburg.de


Abhängig vom Anlass Ihrer oder unserer Kontaktaufnahme werden Ihre personenbezogenen Daten von uns verarbeitet. Nähere Informationen dazu erhalten Sie hier

oder auf Nachfrage bei unserer behördlichen Datenschutzbeauftragten.

Bitte beachten Sie auch, dass vertrauliche Informationen auf elektronischem Wege nur verschlüsselt an uns übermittelt werden sollten.

 

Von: Joachim Lindenberg [mailto:***********@lindenberg.one]
Gesendet: Samstag, 21. Mai 2022 14:17
An: Mailbox (HmbBfDI) <mailbox@datenschutz.hamburg.de>
Betreff: [EXTERN]-M1/1031/2022 - Dataport

 

Sehr geehrter ***********,

 

vielen Dank für Ihr Schreiben vom 05.05.2022. Die mangelhaften, nicht den Artikeln 28 und 32 DSGVO entsprechenden Security Service Agreements habe ich inzwischen auf https://blog.lindenberg.one/BeschwerdeDataport veröffentlicht, zusammen mit den Berichten zur Kurz-Revision.

 

Das Sicherheitskonzept in der Fassung die ich erhalten habe finden Sie jetzt unter https://blog.lindenberg.one/documents/Dataport/OSI - IT-Sicherheitskonzept.zip, verschlüsselt mit dem von Ihnen gewählten Passwort. Ich glaube nicht, dass das wesentlich weiterentwickelt wurde, denn sowohl ********************* als auch *************** haben als IT-Sicherheitskoordinatoren OSI verlassen, ************** Dataport insgesamt, ************ nur die Abteilung.

 

Wesentliche Kritikpunkte:

 

Zum Datenschutz:

 

Selbst wenn man unterstellen würde, dass das Sicherheitskonzept grundsätzlich geeignet gewesen wäre, wurde es allenfalls ausnahmsweise beachtet und umgesetzt. Denn in der Entwicklung hatte niemand Zugriff darauf. Es hat auch keine Qualitätssicherung oder Teststrategie dafür gegeben.

 

Letztendlich basiert Sicherheit bei Dataport auf dem Beton des Rechenzentrums, der Netzwerkarchitektur, für die es aber laut i-KFZ Audit kein geeignetes Management gibt, und Geheimhaltung – was einen ernsthaften Angreifer nicht abhalten wird. Ich muss an dieser Stelle auf meine Artikel https://blog.lindenberg.one/VerschlusselungPflicht und https://blog.lindenberg.one/SecurityByObscurity hinweisen, und auch auf meine Ausführungen zu Zertifizierungen und Audits in https://fragdenstaat.de/anfrage/it-komponente/612491/anhang/bsi-grundschutz-gesammelt_geschwaerzt.pdf, Email an das BSI vom 23.06.2021 17:35. Ein Angreifer wird keine Hilfe brauchen um das Sicherheitskonzept von Dataport zu überwinden.

 

Sollte unklar sein, ob das OSI Management Kenntnis davon hatte, kann ich gerne entsprechende Emails heraussuchen, aber die Email von Herr Hammer spricht meiner Meinung nach Bände.

 

Wenn Sie weitere Unterlagen benötigen lassen Sie es mich bitte wissen. Aber eigentlich sollte Dataport Ihnen gegenüber verpflichtet sein, selbst alle relevanten Unterlagen herauszugeben.

 

Mit freundlichen Grüßen

Joachim Lindenberg