Dataport – kann man nur verpfeifen!
Ich war vom 15.03.2021 bis 15.11.2021 externer Mitarbeiter bei Dataport AöR, OSI Plattform, offizielle Tätigkeit "Coach im Bereich Security Standards" und im Organigramm auch als "Security Champion" bezeichnet.
Zu meinen Aufgaben zählte ich
- Schulung und Coaching der Softwareentwicklung, Code-Reviews, Prozessunterstützung bis hin zu https://blog.lindenberg.one/Bedrohungsmodellierung, Toolerstellung (in C#) wie z.B. basierend auf der Roslyn Analyzer Technologie.
- Sicherheitsanforderungen zunächst bei Dataport intern veröffentlicht, inzwischen fast identisch auf https://blog.lindenberg.one/Sicherheitsanforderungen, aber natürlich ohne interne Informationen. Abgeleitet aus Datenschutzgesetzgebung, Grundschutz, und gesammelter Erfahrung.
- Identifizierung von Verbesserungsmöglichkeiten und Erarbeitung von Handlungsempfehlungen für das Management der Abteilung.
Soweit was ich bisher in meinem Lebenslauf oder Projekt-CV schreibe.
Nur leider war Dataport völlig beratungsresistent. Ich durfte zwar jede Menge Missstände entdecken, aber beseitigen wollte man die nicht. Um es deutlich zu sagen: die OSI Plattform — die Kernkomponenten der Verwaltungsportale nach dem Online-Zugangsgesetz (OZG) — verstößt nicht gegen eine sondern gegen alle meine Sicherheitsanforderungen. Zugegeben, meine Anforderungen sind teilweise etwas schärfer als der Grundschutz auf Standard, aber mit Grundschutz ist man ja nicht sicher – das gibt inzwischen sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Stellungnahme zu meiner Anfrage zur Verschlüsselung im Grundschutz zu – mehr zum Grundschutz in Bundesamt für (Un)Sicherheit in der Informationstechnik? Und was taugt der Grundschutz? Diese und andere – nicht alle – Anfragen entstanden aufgrund meiner Tätigkeit bei Dataport. Die OSI Plattform will sogar hohen Schutzbedarf erreichen – hat oder hatte dafür aber nicht wirklich ein taugliches Sicherheitskonzept. Vielleicht ist OSI aufgrund der inzwischen vielleicht unterschriebenen Verträge weitergekommen, vielleicht auch nicht. Als ich das dann auch an das Management von Dataport meldete, wurde mein Vertrag erst fristlos, als ich nach Gründen fragte, dann fristgemäß gekündigt. Einen Grund wollte man nicht kommunizieren, bzw. der Mitarbeiter der mir dann Gründe kommunizieren musste hat mich – Pardon – angelogen. Auffällig ist natürlich, dass Herr Hammer die Unternehmenskultur lobt – "Ich lege Wert auf unsere Fehlerkultur, die solche Hinweise zulasst bzw. sogar fördert und niemanden unbeliebt macht." – während die Kündigung fast zeitgleich eintrifft. Ich will nicht mal behaupten, dass er log, da weiß oft links nicht was rechts tut.
Ich habe gleich Auskunft nach Artikel 15 eingefordert, auch in Hinblick auf Beweissicherung, und als die unvollständig blieb, Beschwerde beim Unabhängiges Landeszentrum für Datenschutz (ULD) Schleswig-Holstein eingereicht. Beschwerde nicht nur wegen der unvollständigen Auskunft sondern auch wegen fehlendem Verfahrensverzeichnis (Artikel 30), fehlenden Auftragsverarbeitungsverträgen (Artikel 28) und mangelhaften technischen und organisatorischen Maßnahmen (Artikel 32). Was ich vom Unabhängiges Landeszentrum dann als Antworten bekomme, ist mindestens so katastrophal wie Dataport. Von Unabhängigkeit lese ich wenig, man verteidigt Dataport statt den Problemen nachzugehen.
Obwohl die Auskunft unvollständig ist, erlaubt sie Einblicke in die Abgründe bei Dataport gegeben. Dass ein Kunde Sicherheit nicht so ernst nimmt wie ich – das kommt vor. Dass er Sicherheitsbedenken gegen mich behauptet, wo er selbst unsicher ist, das ist ungewöhnlich – und üble Nachrede. Ich habe natürlich auch Beweise für meine Behauptungen, aber die stelle ich (noch) nicht auf meine Webseite, kann sie aber gerne der Aufsicht zur Verfügung stellen, wenn sie den Fall dann irgendwann doch untersucht. Und wenn ich jetzt noch an das Einer-Für-Alle-Prinzip bei der Umsetzung des Online-Zugangs-Gesetzes denke, dann sind irgendwann die Daten von uns 80 Millionen Deutschen unsicher. Da kann ich nicht nichts tun.
Eigentlich wollte ich bis zum 17.12.2021 warten, denn bis zu diesen Termin hätte die Bundesrepublik Deutschland die "Whistle-Blower"-Richtlinie (EU) 2019-1937 in nationales Recht umsetzen müssen. "Whistle-Blowing" – Verpfeifen. Nur hat sie das nicht. Natürlich hab ich Beschwerde bei der Europäischen Kommission eingereicht und die hat inzwischen ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland eingeleitet – vielleicht nicht nur auf meine Beschwerde hin. Nur leider klärt das nicht welche Behörde für Beschwerden zuständig ist – ich versuche es erstmal weiter beim Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, denn die sind zumindest auch die Datenschutzaufsicht für Dataport. Und veröffentliche hier mal die Kommunikation zwischen Dataport, Allgeier, dem Unabhängiges Landeszentrum für Datenschutz, und mir. Dabei habe ich mich entschlossen die Namen des Dataport-Managements und der Landesbeauftragten für den Datenschutz nicht zu schwärzen sondern nur die Kontaktdaten von ihnen. Die Namen stehen sowieso im Internet und ich darf zumindest fordern, dass sie die Verantwortung übernehmen und geschlossen zurücktreten müssten.
Wer leistet hier (k)einen Beitrag?
- das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht Standards, mit denen man trotzdem unsicher sein kann und zertifiziert auf unsicherem Niveau – siehe Bundesamt für Unsicherheit,
- Dataports Rechenzentrum wird auf niedrigem Niveau zertifiziert, Dataport ignoriert den Grundschutz aber – nicht nur – in der OSI-Platform-Softwareentwicklung,
- die Bundesländer, die Kunden von Dataport, interessieren sich mehr für Funktionen als für Sicherheit und Datenschutz,
- das Kraftfahrt-Bundesamt stellt eigene Anforderungen auf und lässt sie sogar überprüfen, reagiert aber nicht wenn die nicht umgesetzt werden – oder ignoriert das Informationsfreiheitsgesetz,
- die Datenschutzaufsichten handeln nicht,
- die Bundesrepublik Deutschland mit der Straffreiheit für Behörden und sonstige öffentliche Stellen in §43 (3) BDSG,
- und die Bundesrepublik Deutschland hat die Whistle-Blower-Richtlinie noch nicht umgesetzt und wohl auch keine handlungsfähige Meldestelle.
Wer nimmt Meldungen entgegen? Im Zweifelsfall die Öffentlichkeit
Deutschland hat die Whistle-Blower-Richtlinie immer noch nicht umgesetzt. Es existiert nur ein Entwurf dazu, und wie das darin als externe Meldestelle benannte Bundesamt für Justiz schreibt, ein Aufbauteam, aber funktionsfähig ist man anscheinend noch nicht. Auch die Datenschutzaufsichten der beteiligten Bundesländer sind offensichtlich nicht in der Lage, Dataport zu überprüfen, obwohl die Datenschutzgrundverordnung ihnen in Artikel 57 den Auftrag und in Artikel 58 die Mittel in die Hand gibt. Die Whistle-Blower-Richtlinie sieht als letztes Mittel den Gang an die Öffentlichkeit vor, was ich mit dieser Veröffentlichung angehe.
Ich will nicht alle Dokumente veröffentlichen die mir vorliegen – vor allem weil das Schwärzen enorm viel Zeit kostet. Ich veröffentliche hier zunächst den
Bericht zur IS-Kurzrevision und den
Abschlussbericht Dataport iKfz Audit und Pentests, die dazu geeignet gewesen wären, das Verfahren stillzulegen. Und darin kommt Dataport sogar noch gut weg, denn die Zertifizierung des Rechenzentrums wurde gar nicht in Frage gestellt – obwohl das sinnvoll gewesen wäre. Die oben angeführte Anfrage in der das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Veröffentlichung der Zertifizierungsdokumente ablehnt – die entstand aufgrund von Mängeln bei Dataport. Sicherheit nach Stand der Technik (Artikel 32)? Fehlanzeige!
Außerdem die Security-Service-Level-Agreements (SSLA)
Teil A und Teil B, die im wesentlichen gar nichts aussagen und damit in meinen Augen nicht geeignet sind Artikel 28 und 32 zu erfüllen. Dass man einen Teil B hat bestätigt allerdings, dass Schutzbedarf hoch festgestellt wurde. Bremen hat den Vertrag veröffentlicht, Teil A (Anlage 8a, ab Seite 60) ist sichtbar, Teil B (Anlage 8b, ab Seite 74) hat man lieber geschwärzt – das scheint man selbst nicht für ausreichend zu halten. Vielleicht zur Erinnerung – Security by Obscurity hält Angreifer nicht ab, das wusste schon Alfred Charles Hobbs im Jahr 1851. Und bitte lesen Sie genau: es wird im SSLA nur der grundschutzkonforme Betrieb, nicht eine grundschutzkonforme Entwicklung versprochen.
Bei Dataport glaubt man, man sei besser als die anderen Verwaltungsportale. Wenn das stimmt, dann sind unsere Daten in allen Verwaltungsportalen in Gefahr. Wenn ich mir die Stellenangebote auf den Portalen für Freiberufler ansehe, dann befürchte ich, dass sie Recht haben könnten — und das muss sich ändern.
Kommunikation mit Dataport und dem Unabhängigen Landeszentrum für Datenschutz
Hier meine Kommunikation mit Dataport und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein:Kommunikation mit den Aufsichten der anderen beteiligten Ländern, dem Kraftfahrt-Bundesamt, dem Bundesministerium für Justiz und dem Bundesamt für Justiz
Manche reagieren gar nicht, andere ausweichend, und dass die Aufsichten sich an Ihre eigene Orientierungshilfe zur Emailverschlüsselung nicht halten – dazu mehr in Emailsicherheit bei öffentlichen Einrichtungen und Aufsicht – ohne Orientierung?
| Erstellt | Geändert | Status | Behörde | Thema |
|---|---|---|---|---|
| 27.03.2022 | 26.04.2022 | Eingeschlafen | Bundesministerium der Justiz und für Verbraucherschutz | Stand des Regierungsvorhabens „Whistleblower-Gesetz“ |
| Ich betrachte das zumindest vorläufig als "Information nicht vorhanden", denn das Bundesamt für Justiz hat meine Anfrage https://fragdenstaat.de/anfrage/externe-meldestelle/ noch nicht beantwortet, und in meiner Anfrage habe ich nach bereits aktiven Meldestellen gefragt. Die Zwischenfrage nach Bürgerfrage werde ich nochmal separat stellen. | ||||
| 28.03.2022 | 23.01.2023 | Abgelehnt | Kraftfahrt-Bundesamt | Beschwerde Dataport |
| Sicherheit und Datenschutz im öffentlichen Bereich wird nicht so ernst genommen, denn §43 Abs. 3 BDSG sieht keine Strafen vor. Warum also die Gesetze einhalten? Leider sieht auch die Aufsicht ganz überwiegend weg. Mehr Informationen auf https://blog.lindenberg.one/BeschwerdeDataport. | ||||
| 28.03.2022 | 13.05.2022 | Eingeschlafen | Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit | Beschwerde Dataport |
Server Error in '/' Application.
Runtime Error
Description: An application error occurred on the server. The current custom error settings for this application prevent the details of the application error from being viewed remotely (for security reasons). It could, however, be viewed by browsers running on the local server machine.Details: To enable the details of this specific error message to be viewable on remote machines, please create a <customErrors> tag within a "web.config" configuration file located in the root directory of the current web application. This <customErrors> tag should then have its "mode" attribute set to "Off".
|
Notes: The current error page you are seeing can be replaced by a custom error page by modifying the "defaultRedirect" attribute of the application's <customErrors> configuration tag to point to a custom error page URL.
|