Sehr geehrter Herr Lindenberg,

anbei die Antworten der Stadt Karlsruhe auf Ihre Fragen:

 

Mit welchen Kommunikationspartnern wird JMO eingesetzt? Nur institutionellen oder auch mit Bürgern? In welchem Verhältnis kommen dabei PGP, S/MIME oder verschlüsselte PDFs zum Einsatz, und wie werden dabei Schlüssel ausgetauscht, wenn nicht per Email?

JMO wird bei „sensiblen Inhalten“ nach Entscheidung der Mail versendenden Person mit allen externen Kommunikationspartnern eingesetzt, die nicht an das Kommunale bzw. Landesverwaltungsnetz (KVN/LVN) oder an andere sichere Netze angebunden sind. Das können Bürgerinnen und Bürger, andere private Betroffene sowie auch private und öffentliche Stellen sein.

Versand zweier E-Mails (E-Mail als verschlüsseltes PDF und E-Mail mit Passwort).

PGP ist nicht im Einsatz, S/MIME läuft teilweise über das Formularwesen auf karlsruhe.de – der Schlüsselaustausch wird nicht weiter kommuniziert.

 

Mit der Erfahrung, dass fast nie ein sinnvolles Schlüsselmanagement verwendet wird: wie konnte die Stadt Karlsruhe eine derart ungeeignete Lösung auswählen bzw. ungeeignet konfigurieren?

Niederschwelliger Austausch mit Bürgern sollte ermöglicht werden; eine Ersatzlösung wurde vor drei Jahren geprüft und war seinerzeit nicht wirtschaftlich einsetzbar.

 

Wie ist der Rückkanal, also von Kommunikationspartnern zur Stadt Karlsruhe organisiert?

Es wird kein sicherer Kanal Richtung Stadtverwaltung angeboten.

 

Wurde eine Technikbeurteilung oder Datenschutzfolgenabschätzung gemacht? Falls ja, darf ich Sie bitten mir diese zuzusenden.

Eine Datenschutzfolgeabschätzung wurde nicht durchgeführt – eine technische Abschätzung ist vor ca. zwölf Jahren erfolgt.

 

Warum hat Karlsruhe sich für JMO und nicht für ein zentrales Gateway entschieden?

Eine Gateway-Verschlüsselung ist nicht im Einsatz.

JMO war und ist eine BSI-Empfehlung, die unter Berücksichtigung bzw. nach Maßgabe von Artikel 32 Absatz 1 Satz 1 erster Halbsatz realisiert wurde.

 

Wann fiel die Entscheidung für JMO?

Vor ca. zwölf Jahren.

 

Wie viele Lizenzen von JMO und mit welchen Gesamtkosten wurden über die Zeit verteilt eingekauft?

Da es sich hierbei um Betriebs- und Geschäftsgeheimnisse eines Geschäftspartners handelt, wird eine Rückfrage an den Geschäftspartner gestellt und die Auskunft davon abhängig gemacht.

 

Warum hat man nicht die Empfehlungen des BSI – ********** schreibt: "Die Empfehlungen des BSI zu den Erweiterungen DANE und MTA-STS sind uns bekannt und bereits in der Umsetzungsplanung, sodass wir auch zeitnah den neuesten Stand der Verschlüsselungsmethoden unterstützen können." – vorgezogen? Immerhin existiert die erste Version der BSI TR 03108 –  mit DANE aber ohne MTA-STS – seit 2016. Bleiben danach überhaupt Anwendungsfälle für JMO übrig, insbesondere wenn man institutionelle Kommunikationspartner ggfs. auffordert, mitzugehen?

Wir haben einige Kommunikationspartner, die nicht an das KVN bzw. LVN oder andere sichere Netze angebunden sind hinsichtlich einer verschlüsselten Kommunikation angesprochen, die Resonanz war null.

 

 

 

 

Sehr geehrte Damen und Herren,

 

im Vorfeld meiner Veröffentlichung https://blog.lindenberg.one/AufsichtEmail habe ich auch mit Ihrem Datenschutz, ***********, Kontakt aufgenommen. In seiner Mail vom 19.07.2023 schreibt **********: "So verwenden insbesondere die Ämter JMO, bei denen Daten verarbeitet werden, die einer besonderen gesetzlichen oder berufsständischen Schweigepflicht unterliegen (z. B. Sozial- und Jugendbehörde, Steueramt, Personalamt, Stellen, bei denen Beschäftigte der Strafandrohung von § 203 Strafgesetzbuch unterliegen, …). Hierfür wurden hunderte evtl. bereits auch tausende Arbeitsplatzlizenzen beschafft."

 

So wie Julia Mailoffice (JMO) von der Stadt Karlsruhe mit verschlüsselten PDFs eingesetzt wird, bietet JMO zumindest keinen besseren Schutz als unverschlüsselte normale Email, denn die Email selbst wird zwar als passwort-verschlüsseltes PDF versandt, aber das Passwort wird ebenfalls und fast zeitgleich per Email verschickt, und das ohne obligatorische oder qualifizierte Transportverschlüsselung und damit ohne Sicherung gegen Downgrade- oder MitM-Angriffe. Damit erfüllt die Stadt Karlsruhe ihre Verpflichtung als Verantwortliche aus Artikel 32 DSGVO nicht. Nach Rücksprache mit dem Hersteller handelt es sich dabei ganz offensichtlich um einen Konfigurationsfehler der IT, allerdings darf ich vermuten, dass bei Beseitigung des Konfigurationsfehlers ganz viele Anwendungsfälle von JMO wegfallen.

 

Der Informationsaustauch den ich mit *********** vereinbart hatte wurde vermutlich vom Amt für Informationstechnik und Digitalisierung – im folgenden IT – sabotiert. ********** hat mir gegenüber zugegeben, dass er sich auf das Recht konzentriert und die Sicherheit der IT überlassen muss. Dass die IT diesen Austausch behindert steht meines Erachtens im Widerspruch zu Artikel 38 DSGVO. Auch halte ich es für sehr wahrscheinlich, dass die IT diesen Austausch behindert hat, weil sie befürchten musste, dass ich ihr Tun oder Entscheidungen hinterfragen würde.

 

Ich darf Sie fragen:

• mit welchen Kommunikationspartnern wird JMO eingesetzt? Nur institutionellen oder auch mit Bürgern? In welchem Verhältnis kommen dabei PGP, S/MIME oder verschlüsselte PDFs zum Einsatz, und wie werden dabei Schlüssel ausgetauscht, wenn nicht per Email?
• mit der Erfahrung, dass fast nie ein sinnvolles Schlüsselmanagement verwendet wird: wie konnte die Stadt Karlsruhe eine derart ungeeignete Lösung auswählen bzw. ungeeignet konfigurieren?
• wie ist der Rückkanal, also von Kommunikationspartnern zur Stadt Karlsruhe organisiert?
• wurde eine Technikbeurteilung oder Datenschutzfolgenabschätzung gemacht? Falls ja, darf ich Sie bitten mir diese zuzusenden.
• warum hat Karlsruhe sich für JMO und nicht für ein zentrales Gateway entschieden?
• wann fiel die Entscheidung für JMO?
• wie viele Lizenzen von JMO und mit welchen Gesamtkosten wurden über die Zeit verteilt eingekauft?
• warum hat man nicht die Empfehlungen des BSI – ********** schreibt: "Die Empfehlungen des BSI zu den Erweiterungen DANE und MTA-STS sind uns bekannt und bereits in der Umsetzungsplanung, sodass wir auch zeitnah den neuesten Stand der Verschlüsselungsmethoden unterstützen können." – vorgezogen? Immerhin existiert die erste Version der BSI TR 03108 –  mit DANE aber ohne MTA-STS – seit 2016. Bleiben danach überhaupt Anwendungsfälle für JMO übrig, insbesondere wenn man institutionelle Kommunikationspartner ggfs. auffordert, mitzugehen?

 

Vielen Dank und viele Grüße

Joachim Lindenberg