Gesundheitsministerium setzt auf „Security through obscurity” bei Open-Source-Projekt SORMAS

Hintergrund

Auch im Zuge der Corona-Pandemie wurde viel über SORMAS diskutiert, dass Gesundheitsämter landesübergreifend das Tool „SORMAS“ nutzen könnten, welches zur Kontaktnachvervolgung genutzt werden könnte und so bspw. der Fax-Einsatz vermindert werden könnte. Das ganze schaffte es sogar in die ZDF-Kabarett-Show „Die Anstalt.

Sormas und andere Technologien , erklärt folgendes Zitat:

Das Deutsche Elektronische Melde- und Informationssystem für den Infektionsschutz (DEMIS) muss erst seit dem 1. Januar 2021 verpflichtend genutzt werden. Das Surveillance Outbreak Response Management and Analysis System eXchange (SORMAS-X), das – im Gegensatz zu bislang eingesetzten Systemen, wie z. B. SORMAS Local (SORMAS-L) – eine landkreisübergreifende Nachverfolgung von Kontaktketten ermöglicht, befindet sich noch immer in der Testphase.

aus einer Antwort der Bundesregierung auf eine kleine Anfrage der Grünen (Drucksache 19/27503)

Kritik gab es daran, dass es es nicht überall eingeführt wurde:

Laut dem Helmholtz-Zentrum hatten am 26. Februar 2021 lediglich 250 von 375 Gesundheitsämtern SORMAS installiert. Laut einer Umfrage des ARD Magazins Kontraste, war SORMAS Ende Februar 2021 lediglich bei 90 Gesundheitsämtern in Betrieb. Bei den übrigen Gesundheitsämtern wurde es noch nicht aktiv genutzt und befand sich im “Testbetrieb”.[23]

Nach Webseite des COVID-19 Moduls von ORMAS haben aktuell 347 Sormas installiert.

Was später noch wichtig wird: Das gesamte System ist open-source. Es wird vom Helmholtz-Zentrum für Infektionsforschung entwickelt.

Datenschutz-Problematik

Seitens des Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDIs) Baden-Württemberg wurde in sozialen Medien die Datenschutzkonformität von Sormas trotz der auf der Herstellerwebseite angegebenen Nachweise zumindest angezweifelt, während gleichzeitig die bisher nicht-quelloffene App „Luca“ empfohlen wurde.

Die FAQ von Sormas selbst sagt dazu:

SORMAS-X, DEMIS, SurvNet, andere IfSG-Fachanwendungen sowie das Climedo Syptomtagebuch arbeiten über Schnittstellen zusammen, sind aber als separate Produkte zu betrachten. Das Helmholtz Zentrum für Infektionsforschung verantwortet die Datenschutzkonzepte für SORMAS-X, SORMAS-SB und SORMAS-XL und SORMAS-SB und legt die diesbezüglichen Datenschutzunterlagen in der fortlaufend aktualisierten Fassung dem Bundesbeauftragten für Datenschutz und die Informationsfreiheit (BFDI) und den Datenschutzbeauftragten der Länder zur Prüfung vor.

Also: Datenschutzkonzept? Anfragen!

Nach einer gescheiterten Anfrage beim BfDI, aus Versehen ans BMI, an die Helmholtz-Zentrum für Infektionsforschung GmbH sowie schließlich an das BMG wissen wir: Niemand will es herausgeben.

Gemäß § 1 Abs 1. Satz 3 IFG i.V.m. § 7 Abs. 1 S. 2 müsste hierfür das BMG schlussendlich tatsächlich zuständig sein, denn es bedient sich zur Erfüllung der Aufgaben dem Helmholz-Institut.

Sicherheit? Wie jetzt?!

Deswegen ist die Ablehnung des Bundesministeriums für Gesundheit relevant.

Die Argumente sind:

  • Betriebs- und Geschäftsgeheimnisse… klar… :roll_eyes:

  • vermischt wird dies, mit dem folgenden IT-Sicherheits-Argument:

    Das Öffentlich-Werden der Datenschutzdokumentationen stelle ein potentielles erhebliches Sicherheitsrisiko für das ganze Projekt dar. In Bezug auf Datenschutzdokumentation und Dokumentation zu IT-Sicherheit kann schon die Information geheimhaltungsbedürftig sein, dass bestimmte Dokumente zu bestimmten Themen überhaupt bestehen.

    (Hervorhebung von mir)

Weiter heißt es:

Veröffentlichung erhöht die Gefahr potenzieller Angriffe und stellt damit ein Risiko für Datenschutz und -sicherheit dar. Daher ist nachvollziehbarerweise eine Geheimhaltung der beantragten Dokumente erforderlich.

(Hervorhebung von mir)

Schließlich wird geschlussfolgert, dass der Ausschlussgrund der Gefährdung der öffentlichen Sicherheit zutreffen würde.
DIe Erklärung geht soweit, dass man durch einen potentiellen „Cyber-Angriff” die „informationelle Selbstbestimmung“ von BürgerInnen verletzen würde:

Daneben besteht ein öffentliches Interesse an der Geheimhaltung der angeforderten Dokumente gemäß $ 3 Nummer 2 IFG, da mithilfe von SORMAS durch die Gesundheitsämter auch gesundheitsbezogene Daten der Bürgerinnen und Bürger verarbeitet werden, Die subjektiven Rechte des Einzelnen gilt es im Sinne der öffentlichen Sicherheit zu schützen. Die Veröffentlichung würde das Recht auf informationelle Selbstbestimmung der Bürgerinnen und Bürger betreffen, sofern die skizzierten Risiken potentieller Cyber-Angriffe eintreten.

(Hervorhebung von mir)

Wie bitte?

Nochmal als Hinweis: Das gesamte System ist Open-Source! Wie kann man da auf Geheimhaltung aka „Security through obscurity setzen?
Das ist alles andere als „nachvollziehbar”… :sweat_smile:

Insbesondere, da doch wohl abgesehen von vlt einigen organisatorischen oder die Server/Netzwerkinfrastruktur betreffenden Dingen – sofern vorhanden – ja wohl kaum mehr Informationen aus den Datenschutzberichten heraus zu lesen werden, als sowieso schon veröffentlicht sind?

Fragen

Denkt ihr, es lohnt sich hier ein Widerspruch?

Ich habe (auch aufgrund der obigen Drucksache) gemerkt, dass es offenbar weitere Sormas-* Versionen gibt, insbesondere “SORMAS-L”. Wer das Datenschutzkonzept verwaltet, ist aber unklar…
Meint ihr, man könnte die Anfrage jetzt noch darauf ausweiten, im Widerspruchsverfahren?

Ich würde im folgenden dann mal Argumente sammeln/einen Widerspruchsentwurf schreiben.

2 „Gefällt mir“

Hi @rugk,
puh ja die fahren alles auf und was mich immer wurmt ist, wenn die dann irgendwie alles miteinander vermischen. Das kenne ich so auch aus zwei meiner anderen Klagen. Das ist dann immer sehr mühsam und langwierig dem Gericht auseinanderzuklamüsern und den Unsinn darzulegen.
Also das Thema IT Sicherheit denke ich kann man sofort mit Open Source entkräften. Wenn vollständig Einblick in alle Programmteile gewährt wird, dann kann doch ein zusätzliches Dokument nur dann zur Unsicherheit der Software beitragen, wenn da bekannte Sicherheitsprobleme drinn aufgelistet sind, die dann auch noch kritisch sind. Dann darf man das Produkt aber nicht einsetzen. Also für mich erstmal unlogisch.
Dann hatte ich generel mal wegen Securtiy by Obscurity beim BSI gefragt. Das ist hier so zu lesen, dass die fehlende Kenntnis bestimmter Interna Angriffe erschweren kann. Sie kann sie aber nicht verhindern und weitergehend steht da, je mehr über den Untersuchungsgegenstand bekannt ist und dieser trotzdem sicher eingesetzt werden kann, desto sicherer ist das Produkt in Summe. Also genau umgekehrt wird ein Schuh draus.
Dein Punkt mit der “richtigen” Installation oder dem Betreiben einer sicheren Infrastruktur kann man mit dem BSI Grundschutz und ISO27001 begegnen. Da steht alles drinn und das Helmholtz Institut wird sich da wohl nichts ausdenken können, was sicherer ist.
Und die Behauptung es gäbe eine erhöhte Gefahr, wenn hier was bekannt würden, fehlt es an konkreten Anhaltspunkten. Dafür gibt es keine Belege. Letztlich kann bereits das Wissen um die Nutzung, dass es eben Sormas ist, eine Gefahr sein, weil dann weiß man ja, was man angreifen könnte. Oder die Farbe des Gehäuses des WLAN Accesspoints, weil man dann ja einen Laser mit einer besonders gut durchdringbaren Wellenlänge bauen kann, um den außer Gefecht zu setzen. Es fehlen eben Belege und konkrete Anhaltspunkte, die dem Recht auf Information ausreichend genug entgegenstehen.

Ich denke das haben die auch nur der Verwirrung wegen drinn. Schwieriger finde ich dann das Thema Betriebs- und Geschäftsgeheimnisse. Hier kann man wirklich annehmen, dass wenn die ähnlich einer auf den Kunden zugeschnittenen Handreichung eine einfach handhabbare ToDo gemacht haben, in der quasi so alles getailort für Behörden drinn steht, dann ist das schonmal eine Betriebliche Leistung, die den Anbieter von anderen unterscheidet und eventuell einen Marktvorteil verschafft. Die Frage ist nun, ob das auch überhaupt so am Markt “verkauft” wird. Also quasi nicht die Software, sondern dieser All In One Service, wo der Datenschutzbeauftragte vor Ort nur in seine Unterlagen übernehmen muss.
So und nun gibt es in meinem geliebten Brandenburg noch eine Regelung des BbgDSG, wonach in Verfahrensverzeichnisse nach DSGVO kostenfrei Einsicht genommen werden darf. Hier sind auch einige Elemente ausgeschlossen, aber eben nicht alles. Da müssten sich meiner Ansicht nach Überschneidungen mit deren Datenschutzkonzept ergeben. Wenn ein Petent in Brandenburg das also zumindest Teilweise einsehen kann, gibt es erstmal keinen Grund, warum nicht zumindest eine Teilauskunft möglich wäre.

Eins sehe ich aber. Die werden keinen Millimeter weit abrücken. Nachteilig ist hier, dass auch der BfDI zumindest ein Drittbeteiligungsverfahren für nötig erachtete. Also “klare” Antwort von mir: Wenn Du nicht vorhast zu klagen, dann würde ich auch keinen Widerspruch empfehlen. Die Mühe, das alles aufzuschreiben und sinnvoll auch später für ein Gericht nachvollziehbar (und das ist das wichtigste!) zu erläutern würde ich mir dann nicht machen. Hier auch vor dem Hintergrund, dass zumindest der BfDI, als halbwegs unabhängige Stelle die Unterlagen ja eingesehen hat.
LG

2 „Gefällt mir“

Danke schon mal für die lange Antwort. Und ja, ich denke auch, dass sie bei einem Widerspruch ihre Meinung eher kaum ändern werden.

Ob sich eine Klage lohnen würde, das frage ich mich hierbei durchaus. Genügend öffentlichen Interesse an dem Ergebnis sollte es geben, es geht ja um Corona. Und die juristischen Fragen der Betriebs- und Geschäftsgeheimnisse und vor allem diese absurde Argumentation der IT-Sicherheit bei einem Open-Source-Projekt (bzw. damit auch allgemein das Thema „Security through obscurity”) gerichtlich zu entkräften könnte auch hilfreich sein. Vlt. interessiert sich ja auch FragDenStaat potentiell dafür, deswegen pinge ich mal @arne.semsrott an. :slightly_smiling_face:

Zu den Erfolgsaussichten: Ich hoffe ja man könnte doch zumindest eine teilweise geschwärzte Kopie der Unterlagen erhalten.

Wie ist denn generell die Rechtsstellung des HZI bzgl. IFG?
Wem gehört die HZI GmbH?
Kann jemand hier mehr erläutern?

“Security by Obscurity” als Argument ist nicht totzukriegen. Schon deswegen würde ich klagen. Falls, wie LanMarc anmerkt, dort tatsächlich sensible Sachen drinstehen, dann könnte man die schwärzen. Aber im Großen und Ganzen sollte das Datenschutzkonzept herauszugeben sein.
Ich hatte “Security by Obscurity” bei ELSTER entgegengehalten bekommen und dann haben die auch noch behauptet, das sei gar kein “Security by Obscurity”-Argument. Es ging da um die Langfassungen der Gutachten, mit denen ELSTER auf seiner Seite für seine Sicherheit wirbt.

Aus Interesse: Magst du die Anfrage mal verlinken?
Ich dachte ELSTER wird von der bayrisches Steuerbehörde betrieben und die hat kein IFG und damit wäre so eine Anfrage sowieso nicht erfolgreich ganz prinzipiell.

Ja, in Bayern brauche ich wohl nicht nachfragen. Ich habe aber Gutachten angefragt, die in IFG-bewehrten Ländern über ELSTER angefertigt wurden:

1 „Gefällt mir“