Sehr geehrter Herr Lindenberg,

 

anbei die Rückmeldung zu Ihrer Nachfrage. Ihre Anfrage sehen wir damit als erledigt an.

 

„JMO war und ist eine BSI-Empfehlung“ – was hat denn das BSI der Stadt Karlsruhe konkret empfohlen? Das Produkt pauschal oder auch konkrete Konfigurationen? Immerhin gibt Allgeier in der beigefügten Email zu, dass die Konfiguration bei Ihnen mangelhaft ist. Hat das BSI keine Warnung für die von Karlsruhe genutzte Konfiguration ausgesprochen?

Diese Empfehlung war auf der Homepage des BSI ersichtlich, Warnungen gab es von Seiten des BSI nicht.

 

“S/MIME läuft teilweise über das Formularwesen auf karlsruhe.de – der Schlüsselaustausch wird nicht weiter kommuniziert.“ – mit anderen Worten, Sie bzw. Ihre IT wollen die Defizite auch da unter den Teppich kehren statt zu lernen und auszuräumen?

Die IT lernt regelmäßig dazu. Heute getroffene Entscheidungen werden immer wieder auf das Neue in Frage gestellt.

 

„Eine Datenschutzfolgeabschätzung wurde nicht durchgeführt – eine technische Abschätzung ist vor ca. zwölf Jahren erfolgt.“  - die Stadt Karlsruhe überträgt meines Wissens auch Daten die Artikel 9 oder dem Sozialgeheimnis unterliegen über Email bzw. JMO. Bei derart sensiblen Daten ist nach meinem Verständnis eine Datenschutzfolgenabschätzung erforderlich. Warum hat keine stattgefunden?

Zum Zeitpunkt der Einführung von JuliaMailOffice (JMO) galt noch das Landesdatenschutzgesetz Baden-Württemberg in alter Fassung (LDSG a. F.). Das Pendent zur heutigen DSFA war früher die sogenannte Vorabkontrolle (§ 12 LDSG a. F.). Gegenstand dieser Vorabkontrolle waren Verfahren und nicht wie heute Verarbeitungstätigkeiten. Eine Verschlüsselungssoftware wie JMO galt nicht als Verfahren im Sinne von § 12 LDSG a. F. Selbst wenn man nach heutigen Maßstäben damals bereits den Verarbeitungsbegriff angewandt hätte, wäre man weder damals noch würde man heute zu dem Ergebnis kommen, dass eine Vorabkontrolle oder eine DSFA durchzuführen wäre, da eine Verschlüsselung nicht vom Verarbeitungsbegriff erfasst wird (§ 3 Absatz 2 LDSG a. F. und Artikel 4 Nr. 2 DSGVO). Verschlüsselungssoftware ist eine technisch-organisatorische Maßnahme aber weder Verfahren noch Verarbeitungstätigkeit. Den Kommentierungen ist nichts Gegenteiliges zu entnehmen.

 

„eine technische Abschätzung ist vor ca. zwölf Jahren erfolgt.“ – wer hat die durchgeführt und was war das Ergebnis der technischen Abschätzung? Warum wurde nach Snowden bzw. zu Inkrafttreten der DSGVO keine neue durchgeführt?

Die technische Abschätzung wurde vom damals zuständigen Medienbüro durchgeführt. Das Produkt hat vor allem in der Kategorie Interoperabilität sehr gut abgeschnitten, was auch im Testergebnis vom BSI festgehalten war. Eine neue Abschätzung war nicht notwendig

 

„Es wird kein sicherer Kanal Richtung Stadtverwaltung angeboten“ und „die Resonanz war null“ – das deckt sich leider mit meinen Erfahrungen, entbindet aber weder die Kommunikationspartner noch die Stadt davon Artikel 32 DSGVO zu erfüllen. Warum haben Sie aufgegeben statt sich ggfs. gemeinsam mit dem LfDI für eine sichere Lösung einzusetzen?

An einer sicheren Lösung wird momentan gearbeitet.

 

Freundliche Grüße
Ihr Presse- und Informationsamt

 

 

Sehr geehrte Damen und Herren,

 

vielen Dank für diese ersten Antworten. Ich darf nachfragen:

• „JMO war und ist eine BSI-Empfehlung“ – was hat denn das BSI der Stadt Karlsruhe konkret empfohlen? Das Produkt pauschal oder auch konkrete Konfigurationen? Immerhin gibt Allgeier in der beigefügten Email zu, dass die Konfiguration bei Ihnen mangelhaft ist. Hat das BSI keine Warnung für die von Karlsruhe genutzte Konfiguration ausgesprochen?
• “S/MIME läuft teilweise über das Formularwesen auf karlsruhe.de – der Schlüsselaustausch wird nicht weiter kommuniziert.“ – mit anderen Worten, Sie bzw. Ihre IT wollen die Defizite auch da unter den Teppich kehren statt zu lernen und auszuräumen?
• „Eine Datenschutzfolgeabschätzung wurde nicht durchgeführt – eine technische Abschätzung ist vor ca. zwölf Jahren erfolgt.“  - die Stadt Karlsruhe überträgt meines Wissens auch Daten die Artikel 9 oder dem Sozialgeheimnis unterliegen über Email bzw. JMO. Bei derart sensiblen Daten ist nach meinem Verständnis eine Datenschutzfolgenabschätzung erforderlich. Warum hat keine stattgefunden?
• „eine technische Abschätzung ist vor ca. zwölf Jahren erfolgt.“ – wer hat die durchgeführt und was war das Ergebnis der technischen Abschätzung? Warum wurde nach Snowden bzw. zu Inkrafttreten der DSGVO keine neue durchgeführt?
• „Es wird kein sicherer Kanal Richtung Stadtverwaltung angeboten“ und „die Resonanz war null“ – das deckt sich leider mit meinen Erfahrungen, entbindet aber weder die Kommunikationspartner noch die Stadt davon Artikel 32 DSGVO zu erfüllen. Warum haben Sie aufgegeben statt sich ggfs. gemeinsam mit dem LfDI für eine sichere Lösung einzusetzen?

 

Vielen Dank und viele Grüße

Joachim Lindenberg

 

 

 

Sehr geehrter Herr Lindenberg,

anbei die Antworten der Stadt Karlsruhe auf Ihre Fragen:

 

Mit welchen Kommunikationspartnern wird JMO eingesetzt? Nur institutionellen oder auch mit Bürgern? In welchem Verhältnis kommen dabei PGP, S/MIME oder verschlüsselte PDFs zum Einsatz, und wie werden dabei Schlüssel ausgetauscht, wenn nicht per Email?

JMO wird bei „sensiblen Inhalten“ nach Entscheidung der Mail versendenden Person mit allen externen Kommunikationspartnern eingesetzt, die nicht an das Kommunale bzw. Landesverwaltungsnetz (KVN/LVN) oder an andere sichere Netze angebunden sind. Das können Bürgerinnen und Bürger, andere private Betroffene sowie auch private und öffentliche Stellen sein.

Versand zweier E-Mails (E-Mail als verschlüsseltes PDF und E-Mail mit Passwort).

PGP ist nicht im Einsatz, S/MIME läuft teilweise über das Formularwesen auf karlsruhe.de – der Schlüsselaustausch wird nicht weiter kommuniziert.

 

Mit der Erfahrung, dass fast nie ein sinnvolles Schlüsselmanagement verwendet wird: wie konnte die Stadt Karlsruhe eine derart ungeeignete Lösung auswählen bzw. ungeeignet konfigurieren?

Niederschwelliger Austausch mit Bürgern sollte ermöglicht werden; eine Ersatzlösung wurde vor drei Jahren geprüft und war seinerzeit nicht wirtschaftlich einsetzbar.

 

Wie ist der Rückkanal, also von Kommunikationspartnern zur Stadt Karlsruhe organisiert?

Es wird kein sicherer Kanal Richtung Stadtverwaltung angeboten.

 

Wurde eine Technikbeurteilung oder Datenschutzfolgenabschätzung gemacht? Falls ja, darf ich Sie bitten mir diese zuzusenden.

Eine Datenschutzfolgeabschätzung wurde nicht durchgeführt – eine technische Abschätzung ist vor ca. zwölf Jahren erfolgt.

 

Warum hat Karlsruhe sich für JMO und nicht für ein zentrales Gateway entschieden?

Eine Gateway-Verschlüsselung ist nicht im Einsatz.

JMO war und ist eine BSI-Empfehlung, die unter Berücksichtigung bzw. nach Maßgabe von Artikel 32 Absatz 1 Satz 1 erster Halbsatz realisiert wurde.

 

Wann fiel die Entscheidung für JMO?

Vor ca. zwölf Jahren.

 

Wie viele Lizenzen von JMO und mit welchen Gesamtkosten wurden über die Zeit verteilt eingekauft?

Da es sich hierbei um Betriebs- und Geschäftsgeheimnisse eines Geschäftspartners handelt, wird eine Rückfrage an den Geschäftspartner gestellt und die Auskunft davon abhängig gemacht.

 

Warum hat man nicht die Empfehlungen des BSI – ********** schreibt: "Die Empfehlungen des BSI zu den Erweiterungen DANE und MTA-STS sind uns bekannt und bereits in der Umsetzungsplanung, sodass wir auch zeitnah den neuesten Stand der Verschlüsselungsmethoden unterstützen können." – vorgezogen? Immerhin existiert die erste Version der BSI TR 03108 –  mit DANE aber ohne MTA-STS – seit 2016. Bleiben danach überhaupt Anwendungsfälle für JMO übrig, insbesondere wenn man institutionelle Kommunikationspartner ggfs. auffordert, mitzugehen?

Wir haben einige Kommunikationspartner, die nicht an das KVN bzw. LVN oder andere sichere Netze angebunden sind hinsichtlich einer verschlüsselten Kommunikation angesprochen, die Resonanz war null.

 

 

 

 

Sehr geehrte Damen und Herren,

 

im Vorfeld meiner Veröffentlichung https://blog.lindenberg.one/AufsichtEmail habe ich auch mit Ihrem Datenschutz, ***********, Kontakt aufgenommen. In seiner Mail vom 19.07.2023 schreibt **********: "So verwenden insbesondere die Ämter JMO, bei denen Daten verarbeitet werden, die einer besonderen gesetzlichen oder berufsständischen Schweigepflicht unterliegen (z. B. Sozial- und Jugendbehörde, Steueramt, Personalamt, Stellen, bei denen Beschäftigte der Strafandrohung von § 203 Strafgesetzbuch unterliegen, …). Hierfür wurden hunderte evtl. bereits auch tausende Arbeitsplatzlizenzen beschafft."

 

So wie Julia Mailoffice (JMO) von der Stadt Karlsruhe mit verschlüsselten PDFs eingesetzt wird, bietet JMO zumindest keinen besseren Schutz als unverschlüsselte normale Email, denn die Email selbst wird zwar als passwort-verschlüsseltes PDF versandt, aber das Passwort wird ebenfalls und fast zeitgleich per Email verschickt, und das ohne obligatorische oder qualifizierte Transportverschlüsselung und damit ohne Sicherung gegen Downgrade- oder MitM-Angriffe. Damit erfüllt die Stadt Karlsruhe ihre Verpflichtung als Verantwortliche aus Artikel 32 DSGVO nicht. Nach Rücksprache mit dem Hersteller handelt es sich dabei ganz offensichtlich um einen Konfigurationsfehler der IT, allerdings darf ich vermuten, dass bei Beseitigung des Konfigurationsfehlers ganz viele Anwendungsfälle von JMO wegfallen.

 

Der Informationsaustauch den ich mit *********** vereinbart hatte wurde vermutlich vom Amt für Informationstechnik und Digitalisierung – im folgenden IT – sabotiert. ********** hat mir gegenüber zugegeben, dass er sich auf das Recht konzentriert und die Sicherheit der IT überlassen muss. Dass die IT diesen Austausch behindert steht meines Erachtens im Widerspruch zu Artikel 38 DSGVO. Auch halte ich es für sehr wahrscheinlich, dass die IT diesen Austausch behindert hat, weil sie befürchten musste, dass ich ihr Tun oder Entscheidungen hinterfragen würde.

 

Ich darf Sie fragen:

• mit welchen Kommunikationspartnern wird JMO eingesetzt? Nur institutionellen oder auch mit Bürgern? In welchem Verhältnis kommen dabei PGP, S/MIME oder verschlüsselte PDFs zum Einsatz, und wie werden dabei Schlüssel ausgetauscht, wenn nicht per Email?
• mit der Erfahrung, dass fast nie ein sinnvolles Schlüsselmanagement verwendet wird: wie konnte die Stadt Karlsruhe eine derart ungeeignete Lösung auswählen bzw. ungeeignet konfigurieren?
• wie ist der Rückkanal, also von Kommunikationspartnern zur Stadt Karlsruhe organisiert?
• wurde eine Technikbeurteilung oder Datenschutzfolgenabschätzung gemacht? Falls ja, darf ich Sie bitten mir diese zuzusenden.
• warum hat Karlsruhe sich für JMO und nicht für ein zentrales Gateway entschieden?
• wann fiel die Entscheidung für JMO?
• wie viele Lizenzen von JMO und mit welchen Gesamtkosten wurden über die Zeit verteilt eingekauft?
• warum hat man nicht die Empfehlungen des BSI – ********** schreibt: "Die Empfehlungen des BSI zu den Erweiterungen DANE und MTA-STS sind uns bekannt und bereits in der Umsetzungsplanung, sodass wir auch zeitnah den neuesten Stand der Verschlüsselungsmethoden unterstützen können." – vorgezogen? Immerhin existiert die erste Version der BSI TR 03108 –  mit DANE aber ohne MTA-STS – seit 2016. Bleiben danach überhaupt Anwendungsfälle für JMO übrig, insbesondere wenn man institutionelle Kommunikationspartner ggfs. auffordert, mitzugehen?

 

Vielen Dank und viele Grüße

Joachim Lindenberg