Sicherheit der Bürgerportale - wohl eher nicht?

Die Digitalisierung in Deutschland ist auf dem Vormarsch, bis Ende 2022 soll das OZG umgesetzt werden. Dabei scheint der Fokus mehr auf Quantität als Qualität zu liegen, jedenfalls wird das klar wenn man den Entwurf zur “Verordnung zur Gewährleistung der IT-Sicherheit der im Portalverbund
und zur Anbindung an den Portalverbund genutzten IT-Komponenten
(IT-Sicherheitsverordnung Portalverbund) – PVV
” liest. Wenn man sich wie ich in Sicherheit und Datenschutz auskennt, und auch weiß wie Zertifizierungen typisch ablaufen, dann stellen sich einem die Nackenhaare. Oder mit anderen Worten: da ist die Sicherheit der Daten von uns Bürgern in Gefahr. Ich würde lieber persönlich zum Amt gehen, als eines dieser Portale zu benutzen. Dahinter ist ja sowieso noch viel manuell…

Ich habe alle Portalverantwortlichen mit einer Anfrage bedacht, um zumindest mal nach den nach Art 32 DSGVO notwendigen technischen und organisatorischen Maßnahmen (TOMs) zu fragen. Inzwischen würde ich auch nach dem Maßnahmenkatalog nach Standard-Datenschutz-Modell (SDM) fragen, aber schon die ersten Rückläufe deuten maximal auf Grundschutz hin, und der gewährleistet nunmal keinen Datenschutz.

Die Rückläufe - der Staat mauert. In einigen Bundesländern gibt es kein Transparenzgesetz, in Niedersachsen gibt es eine Ausnahme für TOMs nach der DSGVO. Interessant auch, dass Hamburg mauert, obwohl die eigentlich aktiv veröffentlichen müssten.Ansonsten abschreckende Gebühren, Verweis auf personenbezogene Daten, Betriebsgeheimnisse und die öffentliche Sicherheit.

Nein, die öffentliche Sicherheit ist ganz bestimmt nicht in Gefahr, wenn man Sicherheit und Datenschutz transparent macht. Es gilt Kerckhoffs Prinzip, dass das Verfahren öffentlich, nur die Schlüssel geheim bleiben sollen. Geheimhaltung braucht man nur, wenn man etwas zu verbergen hat, nämlich, dass die Daten nicht wirklich geschützt sind.

Ich würde mir eine Kampange wünschen, mit möglichst vielen Anfrager(inne)n, die auch nach den Maßnahmen - sei es die TOMs oder SDM - fragen, denn dann entsteht öffentliches Interesse und Druck. Ggfs. können wir ja auch mal sammeln für eine Anfrage und so zumindest teilweise Einblick bekommen.

Wer macht mit?

Viele Grüße
Veronika

2 „Gefällt mir“

Nur als Information für das nächste Mal: Für deinen Fall einer Massenanfrage an verschiedene Behörden mit dem gleichen Text hätte sich perfeckt für FragDenStaat Plus geeignet, das kann FragDenStaat bei berechtigtem Interesse durchaus freischalten. Dann hätte man auch direkt eine Übersicht über alle Anfragen.

Dennoch in jedem Fall viel Erfolg bei den Anfragen, das sieht sehr spannend aus.

1 „Gefällt mir“

HugoM fragt in https://fragdenstaat.de/anfrage/sicherheit-des-burgerportals-15/: "“es sei nach CON.2 verfahren worden. Warum wurde nicht ein Maßnahmenkatalog nach Standard-Datenschutzmodell erstellt?”:
Das ist doch zB nach CON.2.A1 kein Widerspruch?
Bzw. sollte ein Siko auf Maßnahmekalatoge nach SDM verweisen können. Oder?

Und gehören in ein Siko nicht auch Umsetzungsdetails rein? (vgl. Antworten an die anderen BL). Gerade die TOMs sollten doch diese umgesetzten Maßnahmen sein, oder nicht?

Jaja ich weiß: Das geht in die Richtung: Wie kann BSI und SDM sinnvoll zusammen funktionieren aus Sicht Datenschutz."


Zunächst einmal - ich habe das SDM erst nach Beginn meiner Kampange begonnen genauer anzusehen. Inzwischen denke ich, es wäre konsequenter mit dem SDM anzufangen und daraus auch das Sicherheitskonzept abzuleiten, statt mit dem Grundschutz und dann das SDM allenfalls über CON.2 A1 einzubeziehen. Praxis im öffentlichen Bereich ist aber wohl eher beim Grundschutz anzufangen. Und leider auch: in beiden Vorgehensweisen gibt es Interpretationsspielräume die ausgeräumt gehören.

Die Frage nach den TOMs hat meiner Meinung nach den Vorteil dass die direkt in Artikel 32 DSGVO stehen und sich an Verantwortlichen und Auftragsverarbeiter richten, Artikel 28 (3) DSGVO erfordert einen Vertrag, in dem diese nach Buchstabe c fixiert werden - insofern ist meine Annahme gewesen, dass zumindest über TOMs Dokumente existieren müssen. Aus den Rückläufen ist unklar, ob man in diese TOMs Betriebsgeheimnisse etc. eingestrickt hat oder ob diese Verträge gar nicht existieren.

Ich habe viele Auftragsverarbeitungsverträge schon gesehen, meist findet man die auf der Webseite eines Anbieters, manchmal muss man nachfragen. Einige Anbieter drücken sich auch.
Betriebsgeheimnisse habe ich da noch in keinem gefunden. Allerdings beobachte ich, dass in Deutschland Verschlüsselung nicht so ernst genommen wird wie in den Vereinigten Staaten.

Ja, IMHO steht das SDM am Anfang, das sollte Maßgabe für das Konzept (SOLL) sein. BSI mit CON.2 dokumentiert dann eher, was alles gemacht wurde. Dazu gibt es Maßnahmeempfehlungen vom BSI, damit man möglichst “vollständig” ist, also alles “bedacht” hat.
Konkrete technische Umsetzungsvorgaben stehen dann wieder in Technischen Richtlinien wie der TR 03160 zu Servicekonten, die natürlich verbindlich sein sollten, um Wahlfreiheiten zu vermeiden.

Macht man BSI Grundschutz (mit “hohem Schutzbedarf”) dokumentiert man das alles in einem ISMS, also einer Datenbank. Da nicht öffentlicht gedacht auch inkl. verantwortlicher Personen mit Telefonnummern usw. - also inkl. eines Teiles Betriebsdokumentation. Natürlich gibt es Exporte bzw. vordefinierte Berichte, die vor einer Herausgabe aber durchgesehen und “geschwärzt” werden müssen, weil die eben personenbezogene Daten und “Schlüssel” enthalten können. Vorher idR wohl niemand drauf geachtet, dass aussen vor zu lassen.

Und man hat also in einer Datenbank ganz viele Maßnahmen zur Umsetzung von IT-Sicherheit und Datenschutz → TOMs.
Auf die zu verweisen hat IMHO eine gewisse Konsequenz.

Das hat den Fokus aber eher auf Betrieb. Da steht wenn es gut läuft ein Verweis auf die Wikis, auch in den RZ der Verwaltung gerne Confluence mit Jira dran, in denen die Entwicklung konzeptionell beschrieben und Abnahmen o.ä. dokumentiert sind.

Einsichten funktionieren IMHO über Audits. Die gehen hin, sehen rein und forschen nach. Wenige Personen, die bestimmt auch vereidigt oder sonstwie verpflichtet werden.

Soweit ich weiß existieren diese AVVs und TOMs sogar.
Aber die AVVs die ich kenne enthalten wenig konkrete Verpflichtungen “auf Recht und Gesetz” und entweder allgemeine und kaum konkrete TOMs, oder eben Verweise auf die ISMS und interne Wikis dieser Welt, die nicht herausgegeben werden.

Ich glaube vor allem wegen des Aufwandes, das alles zu suchen und zusammenzustellen.

So las ich auch die Rückmeldungen.

Das das aus Sicht der Transparenz nicht gut ist, ist wohl unstrittig.
Es ist wie beim Datenschutz: Was man nicht am Anfang beachtet erzeugt im Nachherein richtig Aufwand und wird geblockt.

Vielleicht könnte man noch einzelne Fragen stellen, um aus “TOMs enthalten Betriebsgeheimnisse und sind nicht öffentlich” rumzukommen.
“Mit welchen technischen Maßnahmen wird Sicherheit und Datenschutz in Verwaltungsportalen und Nutzerkonten inkl. Postfächer sichergestellt.
Gibt es zentrale Einsichtmöglichkeiten in den Daten des Nutzers, inkl. durch technische oder fachliche Administratoren. Wenn ja durch wen und warum. Wie wird Mißbrauch verhindert”.
Sowas in der Art. Nur als Idee.

ich würde mich sehr freuen wenn Du Deine Ideen umsetzen würdest. Ich glaube je mehr Leute Fragen stellen, und je unterschiedlicher sie sind, desto eher bekommen wir antworten.
Vielen Dank im Voraus!
Veronika

VG Christina

1 „Gefällt mir“

Ich weiß nicht wie es in anderen Bundesländern aussieht, aber zumindest in NRW sind TOMs nach § 3 Abs. 3 DSG NRW vom IFG ausgenommen.