Angefragte Informationen zu Softwareaudits beim BSI präzisieren

Hallo, ich benötige Hilfe bei meiner Anfrage.
Vor ein paar Wochen, wurde von einem Nutzer (und im Anschluss von einigen weiteren) beim BSI ein Audit der Software Truecrypt angefragt (z.b. https://fragdenstaat.de/a/172048).

Daher möchte ich in Erfahrung bringen, ob es weitere solcher Audits gibt, die man anfragen könnte und hab daher diese Anfrage (https://fragdenstaat.de/a/172725) gestellt.
Nun wurde ich um eine Eingrenzung der angefragten Infos gebeten.
Ich denke, als Zeitraum gebe ich 2019 an. Ich hoffe, dass durch den kleinen Zeitraum der Aufwand dieser Anfrage so klein bleibt, dass sie nicht gebührenpflichtig ist. Alle weiteren Jahre kann man ja jeweils in einer weiteren Anfrage abfragen.

Ich weiß aber nicht, wie ich den Begriff “Software” und “Analyse/Untersuchung” weiter definieren soll. Dazu kenne ich mich damit nicht gut genug aus.

Weiß hier jemand aus dem IT-Bereich, wie ich die Infos sinnvoll eingrenzen bzw. präzisieren kann?

Danke für eure Hilfe

1 Like

Moin,

Ich glaube, du kannst du schon von Software und Untersuchungen etc reden. Im BSI sitzen Leute vom Fach, die mit den Begriffen etwas anfangen können. Und falls nicht, werden sie sich noch mal melden.

Eventuell könnte man auch den Aktenplan des BSI anfragen. Ich denke mal, dass dort leicht die zutreffende Bezeichnung gefunden werden kann. (Eventuell ist der auch schon öffentlich, jedoch habe ich ihn nicht gefunden.)

4 Like

Hallo jakob,

ich denke du bist mit dem kurzen Zeitraum von einem Jahr gut beraten. Bei einer ähnlichen Anfrage (https://fragdenstaat.de/a/172317) wurde eine Zeitraum von 6 Jahren angegeben. Das BSI hat daraufhin eine Gebühr von bis zu 200 € festgesetzt, weshalb die Anfrage zurückgezogen wurde.

2 Like

Servus,

erstmal ist das eine sehr interessante Anfrage :slight_smile:
Solltest du deine Anfrage so auf einen Zeitraum eingrenzen können, dass das alles gebührenfrei wird, finden sich hier sicherlich Leute, die die fehlenden Zeiträume abfragen :sunglasses:

Ich weiß leider nicht, wie das BSI organisiert ist bzw. wie ihre Akten aussehen; eventuell wäre es für das BSI einfacher, nur die (Dokumenten-)Titel der Softwareaudits herauszugeben anstatt den Namen der Software (Hierbei gehe ich natürlich davon aus, dass die Software im Titel genannt wird).
Dann müsste das BSI die im Audit verwendete Software nicht extrahieren, sondern müsste im Idealfall einfach nur eine Liste der Titel schicken und du als Anfragesteller müsstest es dann selbst extrahieren.
Dürfte günstiger sein, wenn man annimmt, dass deine Arbeitszeit “kostenlos” ist.

3 Like

Der Aktenplan des BSI ist öffentlich. Allerdings weiß ich nicht wirklich was ich mit ihm anfangen soll. Sehe so etwas gerade zum ersten mal. Nach meinem Verständnis könnten solche Audits unter Punkt 230 01 zu finden sein.

Ah oke. Jetzt habe ich ihn auch gefunden^^.

Da wir jetzt wissen, um welche Aktes es geht (“Analyse von marktgängigen Produkten bzgl. Sicherheitsaspekten”), kannst du diese ja auch direkt erwähnen bzw sagen, dass eine Analyse im Sinne des Namens der Akte gemeint ist.

Sorry, wollte eigentlich das Verzeichnis verlinken. Hatte ich vergessen.
Hier für alle anderen: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/BSI/Gesamtaktenplan_IFG_pdf.pdf?__blob=publicationFile&v=3

Ich hab das nicht erwähnt. Das kam mir zu allgemein und weitgefasst vor. Ich weiß ja nicht, was die alles unter der Kategorie ablegen, was z.b. nur in einem weiteren Sinne mit Analysen von Software zu tun hat.

Ich habe den Aktenplan für die Teilbereiche “Softwareaudits” nochmal eine Gliederungsebene tiefer bekommen, als sie auf dem veröffentlichten Aktenplan war: https://fragdenstaat.de/anfrage/aktenplan-der-abteilung-tk-technik-kompetenzzentren/455463/anhang/20200130_Bescheid_Aktenplne_geschwaerzt.pdf

3 Like

Daran, dass man den Aktenplan detailliert anfragen kann, habe ich überhaupt nicht gedacht ^^

1 Like