Ihre Nachricht vom 21. September 2022

Von: ********************* <********************@datenschutz-mv.de>
Gesendet: 22.09.2022 12:17
An: Joachim Lindenberg <************@lindenberg.one>
Betreff: Ihre Nachricht vom 21. September 2022

Sehr geehrter Herr Lindenberg,

ich danke Ihnen vielmals für Ihre Nachricht.

Sie beziehen sich in Ihrer Nachricht auf eine Stellungnahme des
Ministeriums für Inneres, Bau und Digitalisierung
Mecklenburg-Vorpommern, die als Verantwortlicher für das
MV-Serviceportal abgegeben wurde. Diese Stellungnahme bezieht sich
jedoch lediglich auf das durch die Beschwerde von Frau Franke
eingeleitete Verfahren bzgl. des MV-Serviceportals. Hieran ist die
Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH beteiligt, jedoch
nicht - wie mir auch vom Verantwortlichen mitgeteilt wurde - Dataport.

Für Rückfragen stehe ich Ihnen gerne zur Verfügung.

Mit freundlichen Grüßen
im Auftrag
*********************

--
c/o
Der Landesbeauftragte fuer Datenschutz und Informationsfreiheit
Mecklenburg-Vorpommern
Lennéstraße 1, Schloss Schwerin
D-19053 Schwerin
Telefon +49-385-59494-**
https://www.datenschutz-mv.de * https://www.informationsfreiheit-mv.de

Allgemeiner Hinweis: Auf elektronischem Weg sollten vertrauliche
Informationen stets verschlüsselt übertragen werden. Unser öffentlicher
PGP-Schlüssel ist über unsere Internetseite abrufbar
(https://www.datenschutz-mv.de/datenschutzerklaerung/#email).

Informationen nach Art. 13 DS-GVO zu der Verarbeitung
personenbezogener Daten durch unsere Behörde finden Sie unter
https://www.datenschutz-mv.de/behoerde/art13

Am 21.09.22 um 09:06 schrieb Joachim Lindenberg:
> Sehr geehrter ****************,
>
> Christina hat mir Ihre Dokumente weitergeleitet, vielen Dank von uns
> beiden für diesen Einblick. Beim Überfliegen ist mir folgendes
> aufgefallen: in der Email von IM_Datenschutz vom 2.5.2022 13:18 steht
> unter dem Punkt "Verschlüsselung der Daten bei dem Verantwortlichen bzw.
> Sicherheit bei Hacking-Versuchen" auf Seite 5(Seite 25 im GesamtPDF zu
> 3.0.5.004-076): "Die Daten zu einem Fall werden nur im Postfach des
> Nutzerkontos und im Antrag gespeichert. Hier liegen alle Daten
> verschlüsselt vor. Dies ist in einem entsprechenden Sicherheitskonzept
> hinterlegt. Die Umsetzung erfolgt entsprechend dem Stand der Technik
> gemäß des BSI."
>
> Daran ist richtig, dass das Postfach und möglicherweise auch der Antrag
> verschlüsselt gespeichert werden. Aber nur auf Anwendungsebene, nicht
> auf Infrastrukturebene. Das entspricht zwar dem Sicherheitskonzept von
> Dataport und man kann das als BSI-konform ansehen, weil der Grundschutz
> da – zu viele – Wahlrechte lässt, ist aber nicht wirklich sicher. Daten
> im virtuellen Speicher, temporäre Daten im Dateisystem, beim
> Virenscanner oder auf internen Übertragungswegen werden (oder wurden
> Stand November 2021) bei Dataport nicht verschlüsselt. Auch basiert die
> Sicherheit einer VMware-ESXi-Infrastruktur wie bei Dataport einzig und
> allein auf der Netzwerk- und damit auch der Gebäudesicherheit, und wie
> die iKFZ-Revision gezeigt hat, hat Dataport massive Probleme auch mit
> der Netzwerkverwaltung.
>
> Bitte besorgen Sie sich das Sicherheitskonzept bei IhremHamburger
> KollegenHerrn Wagner oder direkt bei Dataport– dann ggfs. auch in
> neuerer Fassung. Das Sicherheitskonzept ist bzw. war so mangelhaft, dass
> ich Dataport keine Daten anvertrauen würde. Und verzichten Sie bitte
> darauf, sich vom Verantwortlichen oder Dataport die Fakten
> interpretieren zu lassen. Ich musste selbst miterleben, dass Dataport
> geschickt auf Anfragen nur die positiven Aspekte zusammengestellt hat
> und die Probleme unerwähnt lies.
>
> Sie finden weitere Informationen auf
> https://blog.lindenberg.one/BundesamtUnsicherheit
> <https://blog.lindenberg.one/BundesamtUnsicherheit>,
> https://blog.lindenberg.one/BeschwerdeDataport
> <https://blog.lindenberg.one/BeschwerdeDataport>, und
> https://blog.lindenberg.one/UnsichereProdukte
> <https://blog.lindenberg.one/UnsichereProdukte> (die letzte Seite noch
> in Arbeit und bisher unveröffentlicht). Wesentlich sicherer wäre eine
> konsequente Verschlüsselung und Authentifizierung in der ganzen
> Infrastruktur (die Amerikaner nennen das Zero Trust).
>
> Ich muss hier auch noch einmal erwähnen, dass selbst das BSI indirekt
> zugibt, dass man nach Grundschutz zertifiziert sein kann, aber trotzdem
> unsicher sein kann. Anders kann ich
> https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/678340/anhang/stellungnahme-bsi-20012022_geschwaerzt.pdf <https://fragdenstaat.de/anfrage/verschlusselung-im-bsi-grundschutz/678340/anhang/stellungnahme-bsi-20012022_geschwaerzt.pdf> nicht interpretieren.
>
> Vielen Dank und viele Grüße
>
> Joachim Lindenberg