Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: 14.07.2023 15:24
An: <zentrale.presse@arbeitsagentur.de>
Betreff: WG: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail
Anlagen: Aufsichten.html, Presseausweis.png, Test result for arbeitsagentur.de (arbeitsagentur.de)

 

Sehr geehrter Herr Rompf, sehr geehrte Damen und Herren bei der Bundesanstalt für Arbeit,

 

leider habe ich keine Emailadresse von Herrn Rompf gefunden, aber Sie finden die bestimmt und können ihn beteiligen.

 

Da ich die Umsetzung u.a. anhand von Behörden-Emailadressen von FragDenStaat prüfe, ist mir die Bundesanstalt für Arbeit aufgefallen, die mit rund 500 Mal Agenturen und Jobcentern und damit mit den Domänen arbeitsagentur.de und jobcenter-ge.de vertreten ist. Auch die Bundesanstalt für Arbeit verfehlt in meinen Augen das Ziel wie der beigefügte Testbericht zeigt: weder obligatorische noch qualifizierte Transportverschlüsselung. Und auch hier sieht die Empfangsseite – immerhin wird da MTA-STS unterstützt – besser aus als die Sendeseite. Ist das Marketing? Denn die Mehrheit der deutschen Bürger hat nichts von MTA-STS, denn der Standard wird eigentlich nur von Google verfolgt.

 

Wollen Sie da nicht besser werden?

 

Vielen Dank und viele Grüße

Joachim Lindenberg

(Presseausweis anbei)

 

 

Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: Freitag, 7. Juli 2023 14:00
An: 'pressestelle@bfdi.bund.de' <pressestelle@bfdi.bund.de>; 'pressestelle@lfdi.bwl.de' <pressestelle@lfdi.bwl.de>; 'poststelle@datenschutz-bayern.de' <poststelle@datenschutz-bayern.de>; 'presse@lda.bayern.de' <presse@lda.bayern.de>; 'presse@datenschutz-berlin.de' <presse@datenschutz-berlin.de>; 'Poststelle@LDA.Brandenburg.de' <Poststelle@LDA.Brandenburg.de>; 'office@datenschutz.bremen.de' <office@datenschutz.bremen.de>; 'presse@datenschutz.hamburg.de' <presse@datenschutz.hamburg.de>; 'pressestelle@datenschutz-hessen.de' <pressestelle@datenschutz-hessen.de>; 'info@datenschutz-mv.de' <info@datenschutz-mv.de>; 'pressestelle@lfd.niedersachsen.de' <pressestelle@lfd.niedersachsen.de>; 'pressestelle@ldi.nrw.de' <pressestelle@ldi.nrw.de>; 'presse@datenschutz.rlp.de' <presse@datenschutz.rlp.de>; 'poststelle@datenschutz.saarland.de' <poststelle@datenschutz.saarland.de>; 'saechsdsb@slt.sachsen.de' <saechsdsb@slt.sachsen.de>; 'poststelle@lfd.sachsen-anhalt.de' <poststelle@lfd.sachsen-anhalt.de>; 'mail@datenschutzzentrum.de' <mail@datenschutzzentrum.de>; 'poststelle@datenschutz.thueringen.de' <poststelle@datenschutz.thueringen.de>
Betreff: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail

 

Sehr geehrte Damen und Herren Datenschutzbeauftragte, sehr geehrte Pressesprecherinnen und Pressesprecher,

 

die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ ist jetzt gut zwei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (16.06.2021) – bzw. drei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (13.06.2020) – Jahre alt. Nur leider kann ich nicht feststellen, dass sie in der Praxis angekommen oder von Ihnen durchgesetzt wird.  Sogar bei Ihnen selbst – siehe Anlage – gibt es Defizite. Von 18 Aufsichten unterstützen nur 3 eingangsseitig die in der Orientierungshilfe definierte qualifizierte Transportverschlüsselung. Erfahrungsgemäß setzen deutlich weniger Organisationen sendeseitig qualifizierte Transportverschlüsselung oder auch die dafür geeigneten Standards BSI-TR 03108-1 /  RFC 7672 ein, als die Unterstützung eingangsseitig veröffentlicht wird.

 

Wie viele von Ihnen sendeseitig die obligatorische Transportverschlüsselung verwenden weiß ich bisher nicht, aber ich weiß sicher, dass mindestens zwei Aufsichten durchfallen, also unverschlüsselt senden obwohl mein Emailserver RFC 7672 in beiden Richtungen unterstützt. Ich will die Aufsichten hier mal nicht nennen, stattdessen darf ich Sie alle bitten, den Test auf https://blog.lindenberg.one/EmailSicherheitsTest zu machen, und Sie alle fragen, bis wann Sie gedenken, Ihrer eigenen Empfehlung nachzukommen?

 

Oder planen Sie eine neue Orientierungshilfe mit anderem Inhalt? In der vielleicht die BSI-TR 03108-1 oder der weitgehend übereinstimmende RFC 7672 nicht nur empfohlen sondern eingefordert wird, wie das auch bei unseren Nachbarn in den Niederlanden der Fall ist, und den mehr als die Hälfte der Bundesbürger meist ohne ihr Wissen verwenden, denn beim – nach eigenen Behauptungen – mit 50% Marktanteil Marktführer United Internet wird dieser Standard verwendet, bei vielen anderen öffentlichen Anbietern auch, bei Verantwortlichen egal ob im öffentlichen oder privaten Bereich sehe ich das bisher nicht.

 

Vielen Dank und viele Grüße

Joachim Lindenberg

(Presseausweis anbei)