Frag-den-Staat
Seit März 2021 lerne ich den BSI Grundschutz und das Online Zugangsgesetz kennen. Leider lässt der BSI Grundschutz an einigen Stellen doch viele Unklarheiten offen, die ich gerne geschlossen sehen würde. Ich habe dazu und zu einigen anderen Beobachtungen Anfragen auf FragDenStaat gestellt.
Aktualisierung 20.12.2021: inzwischen sind es einige Anfragen mehr geworden und nicht nur an das BSI. Die Übersicht auf FragDenStaat überzeugt nicht so ganz. Also unten eine Tabelle, generiert über das API von FragDenStaat.| Erstellt | Geändert | Status | Behörde | Thema | |||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 03.06.2021 | 07.07.2021 | Information nicht vorhanden | Bundesamt für Sicherheit in der Informationstechnik | IT-Komponente | |||||||||||||||
| Der Grundschutz lässt halt viele Möglichkeiten offen. Man kann beliebig modellieren, man kann SOLLs wie Verschlüsselung abwählen. Eine Begründung wird zwar erwartet, aber im Zertifikat steht nichts davon. Letztendlich garantiert ein Grundschutzzertifikat keine Umsetzung auf dem Stand der Technik. Wie bei jedem Audit muss man den Bericht bekommen, oder in einem Vertrag konkrete Vereinbarungen treffen. Mehr auf https://blog.lindenberg.one/BundesamtUnsicherheit | |||||||||||||||||||
| 07.07.2021 | 25.05.2022 | Eingeschlafen | Bundesamt für Sicherheit in der Informationstechnik | Sicherheitsaudits des Projekts "Sichere Implementierung einer allgemeinen Kryptobibliothek" | |||||||||||||||
| 07.07.2021 | 08.08.2023 | Eingeschlafen | Bundesamt für Sicherheit in der Informationstechnik | Verschlüsselung im BSI Grundschutz? | |||||||||||||||
| Das BSI erwartet zu wenig Sicherheit. Mehr dazu auf https://blog.lindenberg.one/BundesamtUnsicherheit und speziell zu Verschlüsselung auf https://blog.lindenberg.one/VerschlusselungPflicht. Öffentliche Sicherheit ist dabei eine Phrase die alles mögliche enthält – s.a. https://de.wikipedia.org/wiki/%C3%96ffentliche_Sicherheit. Konkret gefährdet ist der Anspruch der Bürger auf Datenschutz (EU Grundrechte-Charta Artikel 8). Einen Angreifer wird Geheimhaltung der Sicherheitskonzepte nicht wirklich abhalten – s.a. https://blog.lindenberg.one/SecurityByObscurity. Meine Beschwerde wurde abgelehnt, ich habe Klage eingereicht. Wer sich dafür interessiert darf mich gerne anschreiben. | |||||||||||||||||||
| 01.08.2021 | 04.02.2022 | Eingeschlafen | Bundesamt für Sicherheit in der Informationstechnik | Sicherheit von Software und Systemen? | |||||||||||||||
| Mal sehen ob das BMI noch etwas antwortet. Feststellen kann ich immerhin, dass zumindest kleine Unternehmen den Anbietern ausgeliefert sind. Woher soll ein kleines Unternehmen die Expertise haben, zu beurteilen ob die eingesetzten Systeme oder die eingesetzte Software sicher ist. Die Auswahl findet meist über Funktionen statt, die für den Anwender wichtiger sind – und oft auch über den Preis. Dabei stelle ich immer wieder fest, dass der Stand der Technik ignoriert wird. Aber dazu muss man das Kleingedruckte von Verträgen lesen und Software selbst unter die Lupe nehmen. Wer kann das schon? Und welche Alternativen hat man, wenn man feststellt dass die meisten Auftragsverarbeitungsverträge oder Produktbeschreibungen sehr lückenhaft sind? | |||||||||||||||||||
| 02.08.2021 | 10.02.2022 | Information nicht vorhanden |
| 15.08.2021 | 09.06.2022 | Eingeschlafen | Kassenärztliche Bundesvereinigung | IT-Sicherheitsrichtlinie nach SGB V §75b | 04.09.2021 | 04.03.2022 | Information nicht vorhanden | Bundesamt für Sicherheit in der Informationstechnik | Leitlinie Informationssicherheit des IT -Planungsrats | formal hat das BSI den Antrag abgelehnt, aber das ist sehe ich als Nebelkerze. Das BSI hat keine Informationen oder – meine Vermutung – will sie nicht herausgeben. Das ist leider ein Muster das ich in fast allen Anfragen an das BSI beobachte.
Mehr dazu auf https://blog.lindenberg.one/BundesamtUnsicherheit.
| | |||||
Server Error in '/' Application.
Runtime Error
Description: An application error occurred on the server. The current custom error settings for this application prevent the details of the application error from being viewed remotely (for security reasons). It could, however, be viewed by browsers running on the local server machine.Details: To enable the details of this specific error message to be viewable on remote machines, please create a <customErrors> tag within a "web.config" configuration file located in the root directory of the current web application. This <customErrors> tag should then have its "mode" attribute set to "Off".
|
Notes: The current error page you are seeing can be replaced by a custom error page by modifying the "defaultRedirect" attribute of the application's <customErrors> configuration tag to point to a custom error page URL.
|