Frag-den-Staat
Seit März 2021 lerne ich den BSI Grundschutz und das Online Zugangsgesetz kennen. Leider lässt der BSI Grundschutz an einigen Stellen doch viele Unklarheiten offen, die ich gerne geschlossen sehen würde. Ich habe dazu und zu einigen anderen Beobachtungen Anfragen auf FragDenStaat gestellt.
Aktualisierung 20.12.2021: inzwischen sind es einige Anfragen mehr geworden und nicht nur an das BSI. Die Übersicht auf FragDenStaat überzeugt nicht so ganz. Also unten eine Tabelle, generiert über das API von FragDenStaat.| Erstellt | Geändert | Status | Behörde | Thema |
|---|---|---|---|---|
| 03.06.2021 | 07.07.2021 | Information nicht vorhanden | Bundesamt für Sicherheit in der Informationstechnik | IT-Komponente |
| Der Grundschutz lässt halt viele Möglichkeiten offen. Man kann beliebig modellieren, man kann SOLLs wie Verschlüsselung abwählen. Eine Begründung wird zwar erwartet, aber im Zertifikat steht nichts davon. Letztendlich garantiert ein Grundschutzzertifikat keine Umsetzung auf dem Stand der Technik. Wie bei jedem Audit muss man den Bericht bekommen, oder in einem Vertrag konkrete Vereinbarungen treffen. Mehr auf https://blog.lindenberg.one/BundesamtUnsicherheit | ||||
| 07.07.2021 | 25.05.2022 | Eingeschlafen | Bundesamt für Sicherheit in der Informationstechnik | Sicherheitsaudits des Projekts "Sichere Implementierung einer allgemeinen Kryptobibliothek" |
| 07.07.2021 | 08.08.2023 | Eingeschlafen | Bundesamt für Sicherheit in der Informationstechnik | Verschlüsselung im BSI Grundschutz? |
| Das BSI erwartet zu wenig Sicherheit. Mehr dazu auf https://blog.lindenberg.one/BundesamtUnsicherheit und speziell zu Verschlüsselung auf https://blog.lindenberg.one/VerschlusselungPflicht. Öffentliche Sicherheit ist dabei eine Phrase die alles mögliche enthält – s.a. https://de.wikipedia.org/wiki/%C3%96ffentliche_Sicherheit. Konkret gefährdet ist der Anspruch der Bürger auf Datenschutz (EU Grundrechte-Charta Artikel 8). Einen Angreifer wird Geheimhaltung der Sicherheitskonzepte nicht wirklich abhalten – s.a. https://blog.lindenberg.one/SecurityByObscurity. Meine Beschwerde wurde abgelehnt, ich habe Klage eingereicht. Wer sich dafür interessiert darf mich gerne anschreiben. | ||||
| 01.08.2021 | 04.02.2022 | Eingeschlafen | Bundesamt für Sicherheit in der Informationstechnik | Sicherheit von Software und Systemen? |
| Mal sehen ob das BMI noch etwas antwortet. Feststellen kann ich immerhin, dass zumindest kleine Unternehmen den Anbietern ausgeliefert sind. Woher soll ein kleines Unternehmen die Expertise haben, zu beurteilen ob die eingesetzten Systeme oder die eingesetzte Software sicher ist. Die Auswahl findet meist über Funktionen statt, die für den Anwender wichtiger sind – und oft auch über den Preis. Dabei stelle ich immer wieder fest, dass der Stand der Technik ignoriert wird. Aber dazu muss man das Kleingedruckte von Verträgen lesen und Software selbst unter die Lupe nehmen. Wer kann das schon? Und welche Alternativen hat man, wenn man feststellt dass die meisten Auftragsverarbeitungsverträge oder Produktbeschreibungen sehr lückenhaft sind? | ||||
| 02.08.2021 | 10.02.2022 | Information nicht vorhanden | FITKO (Föderale IT-Kooperation) AöR | Leitlinie Informationssicherheit des IT-Planungsrats |
| 15.08.2021 | 09.06.2022 | Eingeschlafen | Kassenärztliche Bundesvereinigung | IT-Sicherheitsrichtlinie nach SGB V §75b |
| 04.09.2021 | 04.03.2022 | Information nicht vorhanden | Bundesamt für Sicherheit in der Informationstechnik | Leitlinie Informationssicherheit des IT -Planungsrats |
| formal hat das BSI den Antrag abgelehnt, aber das ist sehe ich als Nebelkerze. Das BSI hat keine Informationen oder – meine Vermutung – will sie nicht herausgeben. Das ist leider ein Muster das ich in fast allen Anfragen an das BSI beobachte. Mehr dazu auf https://blog.lindenberg.one/BundesamtUnsicherheit. | ||||
| 17.09.2021 | 31.01.2025 | Eingeschlafen | Bundesministerium des Innern | Verwendung von YouTube im Blick der Datenschutzkonvention 108 des Europarats |
| 18.09.2021 | 19.04.2022 | Eingeschlafen | Bundesamt für Sicherheit in der Informationstechnik | Sichere Email nach BSI TR-03108 |
| Das BSI kann ganz offensichtlich keine klaren Empfehlungen geben und verbrennt damit Zeit und Geld aller die sich mit Sicherheit intensiv befassen wollen oder müssen. Mehr dazu auf https://blog.lindenberg.one/BundesamtUnsicherheit. Speziell hier: widersprüchliche Empfehlungen in Grundschutz und BSI TR 03108, keine Übernahme von Internet-Standards, so daß unklar bleibt welche Produkte geeignet sind, und Testanleitungen die unklar bleiben und offensichtlich nur selten praktiziert werden. So skaliert Sicherheit nicht. Das gefährdet unsere Grundrechte auf Privatheit (Artikel 7 EU-Grundrechtecharta) und Datenschutz (Artikel 8) – mehr dazu auf https://blog.lindenberg.one/AufsichtOhneOrientierung. | ||||
| 23.09.2021 | 08.10.2021 | Information nicht vorhanden | Bundesamt für Sicherheit in der Informationstechnik | Bausteine NET.2.1 und NET.2.2 – 802.1X Sicherheit |
| Grundschutz – leider kann man den erfüllen und doch unsicher sein. Das BSI tut nicht genug, Sicherheit zu unterstützen. Mehr zu 802.1X und Eduroam auf https://blog.lindenberg.one/BundesamtUnsicherheit. | ||||
| 24.09.2021 | 13.02.2023 | Teilweise erfolgreich | Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder | Orientierungshilfe Emailverschlüsselung – Sichere Email beim BSI? |
| https://blog.lindenberg.one/AufsichtOhneOrientierung | ||||
| 12.10.2021 | 20.07.2022 | Eingeschlafen | Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg | Verschlüsselung im Verwaltungsportal? |
| Es gibt keinen Grund für mich anzunehmen, dass Baden-Württemberg besser als die von Dataport betriebenen Nordländer sind – siehe https://blog.lindenberg.one/BeschwerdeDataport. Auch das BSI gibt zu, man kann zertifiziert sein, aber unsicher. Dazu mehr auf https://blog.lindenberg.one/BundesamtUnsicherheit. Wenn die Aufsicht nichts unternimmt, dann kann ich Bürgern nur raten, dem Staat keine Daten anzuvertrauen. Der LfDI BW hat sich bei all meinen Beschwerden und Anfragen – https://blog.lindenberg.one/BeschwerdenLfdiBw – nicht mit Ruhm bekleckert. Zwei Beschwerden laufen, die anderen dümpeln vor sich hin. | ||||
| 11.11.2021 | 13.06.2022 | Eingeschlafen | Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz | Antrag nach dem LTranspG RLP zu 4.02.20.365 |
| 23.11.2021 | 03.03.2022 | Erfolgreich | Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder | Artikel 32 DSGVO – Dispositiv? |
| Die Datenschutzkonferenz hat am 24.11.2021 beschlossen, dass ein Verzicht auf TOMs (Artikel 32) nur in Ausnahmefällen und auf ausdrückliche Initiative des Betroffenen erlaubt ist. Jede formularmäßige Verwendung dürfte damit ausscheiden. | ||||
Server Error in '/' Application.
Runtime Error
Description: An application error occurred on the server. The current custom error settings for this application prevent the details of the application error from being viewed remotely (for security reasons). It could, however, be viewed by browsers running on the local server machine.Details: To enable the details of this specific error message to be viewable on remote machines, please create a <customErrors> tag within a "web.config" configuration file located in the root directory of the current web application. This <customErrors> tag should then have its "mode" attribute set to "Off".
|
Notes: The current error page you are seeing can be replaced by a custom error page by modifying the "defaultRedirect" attribute of the application's <customErrors> configuration tag to point to a custom error page URL.
|