Statistisches Bundesamt hostet seinen Zensus 2022 über Cloudflare

Sicherheit (Pexels, allgemeine Nutzung)Ab Sonntag, den 15. Mai 2022, läuft eine neue "Volkszählung" in Deutschland, der Zensus 2022, bei dem eine Bevölkerungs-, Gebäude- und Wohnungszählung erfolgt. Ich habe die Tage bereits einen entsprechenden Fragebogen per Post erhalten und soll die notwendigen Daten in einer Webseite Zensus 2022 eintragen. Das Statistische Bundesamt (Destatis), welches diesen Zensus 2022 durchführt, erklärt zwar, dass man den Datenschutz ernst nehme. Aber die Formulare und Webseiten werden über die US-Dienst Cloudflare gehostet bzw. es ist ein entsprechender Redirekt eingerichtet.


Anzeige

Der Zensus 2022

Der "Zensus 2022" ist eine Bevölkerungs-, Gebäude- und Wohnungszählung, den die statistischen Ämter des Bundes und der Länder auf Grund der Vorgaben der Europäischen Union, im Jahr 2011 beginnend, durchführen. Die Erfassung wäre eigentlich bereits 2021 erforderlich gewesen (Ablauf der 10 Jahres-Frist für den Zensus), wurde aber wegen der Coronavirus-Pandemie um ein Jahr verschoben. Die Erhebung für den Zensus startet am 15. Mai 2022 (Zensusstichtag).

Ein Leserhinweis auf Ungereimtheiten

Blog-Leser Michael V. hat mich vor einigen Stunden per Mail kontaktiert und mich über einige Ungereimtheiten im Umfeld dieser Zensus 2022-Erhebung aufmerksam gemacht. Michael schrieb:

bin bei Mike Kuketz auf diese Meldung gestoßen: Zensus 2022: Statistisches Bundesamt hostet bei Cloudflare

Ich jedenfalls finde das höchst bedenklich, könntest Du das Thema vll auch bei Dir mal aufgreifen und damit Deine Leserschaft informieren bzw. sensibilisieren?

Mike Kuketz weist in seinem oben verlinkten Beitrag darauf hin, dass das Statistische Bundesamt seine Webseiten zur Durchführung des Zensus 2022 über den Anbieter Cloudflare ausliefert bzw. hostet. Bei Cloudflare handelt es sich um ein US-Unternehmen, welches gerne zur Auslieferung von Webseiten oder als Redirect zur Abwehr von DDoS-Angriffen verwendet wird.

Einige Details

Die an der Erhebung Beteiligten haben per Post eine Aufforderung bekommen, mit Hilfe der im Brief mitgeteilten Zugangsdaten ihre Mitteilungen möglichst online über die Webseite www.zensus2022.de zu tätigen. Dort wird ein Online-Fragebogen samt der Anmeldeseite bereitgestellt.

Webseite Zensus 2022

Beim Aufruf der Webseite erscheint ein Cookie-Hinweis samt Schaltfläche zum Schließen. Dort findet sich auch ein Link in diese Datenschutzerklärung des Statistischen Bundesamts, welches dort erklärt:

Das Statistische Bundesamt nimmt den Schutz Ihrer Privat- und Persönlichkeitssphäre ernst und beachtet die datenschutzrechtlichen Bestimmungen. Ihr Vertrauen ist uns wichtig!

Mit diesen Hinweisen kommen wir auch unseren Informationspflichten nach Artikel 13 der Datenschutz-Grundverordnung (DS-GVO) bei der Erhebung personenbezogener Daten nach. Personenbezogene Daten erheben wir beim Zugriff auf unser Internet-Angebot.

Wir haben technische und organisatorische Maßnahmen getroffen, die sicherstellen, dass die Vorschriften über den Datenschutz sowohl von uns als auch von unseren Dienstleistern beachtet werden.

Nach dem obigen Hinweis des Blog-Lesers habe ich dann mal die URL der Webseite www.zensus2022.de beim Qualsys SSL-Test eingegeben und erhielt die folgenden Daten:


Anzeige

 www.zensus2022.de-Check bei Qualsys SSL-Test
www.zensus2022.de-Check bei Qualsys SSL-Test

Die IP-Adresse 141.101.90.2 habe ich dann bei who.is überprüft. Der IP-Adressbereich, in dem die obige IP liegt, wurde vom RIPE Network Coordination Centre (RIPE) in Amsterdam vergeben. Der who.is-DNS-Record der IP 141.101.90.2 (zensus2022.de) verweist auf darl.ns.cloudflare.com. Der Anbieter Cloudflare ist in der Tat in das Hosting der Webseite zensus2022.de involviert.

who.is-DNS-Record von 141.101.90.2 (zensus2022.de)

Maik Kuketz hat die Analyse noch ein Stück weiter verfeinert und den CNAME-Lookup-Eintrag der Webseite zensus2022.de auflösen lassen. Dieser verweist auf:

www.zensus2022.de.cdn.cloudflare.net

also das Content Delivery Network (CDN) von Cloudflare. Ruf man den Standort der IP-Adresse über diese Webseite auf, erhält man (wegen des CDN) verschiedene Standorte – unter andere ein Server in Chicago / USA. 

Server-Standort von Cloudflare für die IP 141.101.90.2
Server-Standort von Cloudflare für die IP 141.101.90.2

Nun ist die Übertragung der sehr persönlichen Daten im Rahmen des Zensus 2022 an einen Cloudflare-Webserver in den USA nicht so sonderlich prickelnd. Die vollmundige Aussage des Statistischen Bundesamts in der Datenschutzerklärung Ihr Vertrauen ist uns wichtig! kann in diesem Kontext nur als Realsatire gesehen werden. Beim Schreiben dieses Blog-Beitrags enthielt die Datenschutzerklärung keinerlei Hinweise auf Cloudflare und die Übertragung der Daten über deren CDN.

Da gibt es in meinen Augen gleich zwei Probleme: Eine Kollision mit der Datenschutzgrundverordnung (DSGVO) sowie mit dem letzten Schrems II-Urteil, welches die Übertragung persönlicher Daten in die USA untersagt (die Geheimdienste haben ja wegen des US Cloud Service Act Zugriff auf die Daten. Cloudflare hat den TLS-Schlüssel, könnte also SSL-verschlüsselte Daten mitlesen.

Denn sie wissen nicht, was sie tun

Mike Kuketz schreibt, dass er diesen Ansatz als "unterirdisch" empfindet, da jeder Bürger eine Mitwirkungspflicht beim Zensus 2022 hat. Blog-Leser Michael V. hat dann eine Mail an das Statistische Bundesamt geschickt und folgende Antwort bekommen:

Von: zensus2022@noreply.bund.de <zensus2022@noreply.bund.de>
Gesendet: Freitag, 13. Mai 2022 10:19
An: Michael V. <michaelxxxxx>
Betreff: Ihre Anfrage zum Zensus 2022, GZ ****

Zensusauskunft

Statistisches Bundesamt (Destatis)

Tel. +49 391 79 29 2022

https://www.zensus2022.de/kontakt

www.destatis.de

www.dashboard-deutschland.de

Sehr geehrter Herr V.,

vielen Dank für Ihre Anfrage vom 13. Mai 2022.

Es werden alle zur Gewährleistung des Datenschutzes und der Informationssicherheit erforderlichen technisch-organisatorischen Maßnahmen getroffen. Die erforderlichen technischen und organisatorischen Maßnahmen werden dabei systematisch aus dem Informationssicherheitsvorgaben des Bundesamtes für Sicherheit (BSI) wie den BSI-Standards, dem aktuellen Grundschutzkatalog und den Mindeststandards Bund abgeleitet und orientieren sich darüber hinaus stets am aktuellen Stand der Technik. Für jede Datenübermittlung gelten die höchsten Sicherheitsanforderungen. Die Daten sind bestmöglich davor geschützt, von Unbefugten gelesen, kopiert, verändert oder entfernt werden zu können. Die Umsetzung des Datenschutzes entspricht den Anforderungen der neuen Datenschutz-Grundverordnung (DS-GVO). Darüber hinaus gibt es für betroffene Personen die Möglichkeit Anträge hinsichtlich Ihrer Rechte nach §§ 15 ff. der Datenschutz-Grundverordnung (DS-GVO) zu stellen.

Der Zensus 2022 hält datenschutzrechtliche Bestimmungen ein und wahrt das Grundrecht auf informationelle Selbstbestimmung. Das Recht auf informationelle Selbstbestimmung bedeutet das Recht, „selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen" (BVerfG, Urteil des Ersten Senats vom 15. Dezember 1983 – 1 BvR 209/83 -, Rn. 1-215). Dieses Recht kann durch Gesetz eingeschränkt werden, wenn ein überwiegendes Allgemeininteresse an der Verarbeitung personenbezogener Daten vorliegt. Dies ist beim Zensus gegeben, weil die Daten zur Bevölkerung und zu deren Wohn- und Arbeitssituation Grundlage vieler wichtiger Entscheidungen in Politik, Wirtschaft und Gesellschaft sind. Zur Sicherung des Rechts auf informationelle Selbstbestimmung gibt es besondere Vorkehrungen, nämlich das Statistikgeheimnis, das Abschottungs- und Trennungsgebot und das Rückspielverbot.

Bei weiteren Fragen stehen wir Ihnen gern zur Verfügung.

Bitte nutzen Sie dafür unser Kontaktformular https://www.zensus2022.de/kontakt/

Mit freundlichen Grüßen

Im Auftrag

Ihr Zensus-Auskunftsdienst

______________________________________________________________________

Zur Beantwortung Ihrer Anfrage haben wir die von Ihnen mitgeteilten personenbezogenen Daten gespeichert. Die Informationen und Hinweise zum Datenschutz nach Art. 13 der Datenschutzgrundverordnung (DS-GVO) finden Sie unter: https://www.zensus2022.de/DE/Service/Datenschutz/datenschutz.html.

Hier wird in keinem Wort auf das Thema Cloudflare und die Übertragung der Daten an Server in den USA eingegangen. Es muss der Eindruck entstehen, dass dem antwortenden Zensus-Auskunftsdienst die Problematik unbekannt ist.

heise hat auch nachgefragt

Während ich noch für diesen Artikel recherchierte, haben die Kollegen von heise diesen Beitrag zum gleichen Thema veröffentlicht und weisen ebenfalls auf Datenschutzprobleme beim Online-Portal zensus 2022 hin. Die Redaktion hat bei der Behörde bezüglich der Cloudflare-Thematik nachgefragt und erfahren:

bei einem Angebot mit großer Reichweite und Relevanz absolut notwendig, um einen störungsfreien Betrieb, insbesondere die Erreichbarkeit, Performance und Zuverlässigkeit der Website, sicherzustellen

Und bezüglich der von den Befragten eingegebenen persönliche Daten heißt es, dass diese mit einem Zertifikat des ITZBund Ende-zu-Ende verschlüsselt seien. Dazu zitiert heise Destatis mit der Aussage:

Die von den Auskunftspflichtigen bereitgestellten Informationen sind in diesem Bereich als private Daten sicher und werden ausschließlich auf europäischen Servern verarbeitet.

Wie diese Aussage zustande kommt, ist unklar. Bei heise gibt man an, dass ausschließlich europäische Cloudflare-Server zum Einsatz kommen, was vertraglich so vereinbart sei. Zumindest besteht nach obigen Auswertungen der Verdacht, dass die Daten nicht in allen Fällen auf europäische Cloudflare-Servern verarbeitet werden. Zumindest steht die datenschutzrechtlichen Grundlage zum Einbinden von Cloudflare auf wackeligen Füßen. Transparent ist das alles nicht und im Sinne der Aussage "Ihr Vertrauen ist uns wichtig!" passt es hinten und vorne nicht.

Auf Grund der Anfragen von heise will das Statistische Bundesamt (Destatis) wohl nachbessern und einen Hinweis auf Cloudflare in der Datenschutzerklärung einbauen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ( BfDI), Ulrich Kelber, der für die Aufsicht zuständig ist, hat am Freitag, den 13. Mai 2022, laut heise, mit der Prüfung der Cloudflare-Einbindung auf zensus2022.de begonnen. Es sollen wohl eine Reihe "offener Fragen" aufgetaucht sein.

Leute, fordert den Papierfragebogen an

Im Anschreiben heißt es auf Seite 2: "Sollte Ihnen eine Online-Datenübermittlung nicht möglich sein, fordern Sie bitte unter der Servicenummer 611-952249071 einen kostenlosen Papier-Fragebogen an." Das ist rund um die Uhr möglich. Angesichts der obigen Ungereimtheiten dürfte dies die einzige Option für den Datenschutz-affinen Bürger sein – auch wenn dadurch einige Bäume zu Papier werden müssen.

PS: Irgendwie steuern wir in der EU und in Deutschland, aus Unkenntnis oder Ignoranz auf das zu, was im Beitrag Data Driven Deportation in the 21st Century für US-Behörden (Immigration and Customs Enforcement (ICE)) beschrieben wird.

Ähnliche Artikel:
Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Keine Karenzfrist für Unternehmen nach Privacy Shield-EU-Urteil
Datenschützer plant durchgreifen bei Privacy Shield-Verstößen
Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework
Expertenkommentare zum Datenschutztag 2022: Unternehmen vor neuen Herausforderungen
Gehärteter Online-Banking-Browser S-Protect, ein Totalausfall
Festes SA SQL-Passwort bei windata 9-Banking-Software
Microsoft 365 an Schulen, Baden-Württembergs Datenschützer sagt Nein


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Datenschutz, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

26 Antworten zu Statistisches Bundesamt hostet seinen Zensus 2022 über Cloudflare

  1. janil sagt:

    Ist eben immer noch alles Neuland in der bunten Republik…
    Es ist erschütternd zu sehen, wie scheißegal(sorry) dem Staat und den Institutionen Datenschutz ist.
    Also bleibt tatsächlich nichts anderes übrig, als den Papierkram per Post anzufordern.
    Macht das Finanzamt das bei der Feststellungserklärung zur neuen Grundsteuer eigentlich genauso?

  2. ThBock sagt:

    Ich würde vermuten dass, wenn das Papierformular verwendet wurde, die Daten übertragen werden und dann ebenfalls in der Cloud landen.

    • Wil Ballerstedt sagt:

      Diese Vermutung liegt Nahe. Hier in Deutschland.

    • Anonymous sagt:

      Vermutlich ist das so. Anderes Beispiel: Ich wollte letzens einen Tisch in einem deutschen Restaurant buchen, die webseite nutze aber einen Dienst bei dem am Ende Stand "wenn Sie in Kalifornien wohne können sie beantragen das wir ihre Daten nicht verkaufen" waaaaas!? NICHT?!
      Ich hab dan telefonisch gebucht. Ihm Nachgang ist mir aber aufgegangen dass das Restaurant die Daten dort vermutlich eh eingibt ;( Zumindest hatten die so weniger Daten, denn die Webseite wollte alle möglichen Daten. Man kommt auch offline oft nicht mehr aus der Sache raus.

  3. Stephan sagt:

    Ich habe diesen mist auch bekommen, und es steht leider auch drin, das man zur Angabe Verpflichtet ist.
    Also egal wo die Daten gespeichert werden oder Offen auf irgendeiner Tafel im Ort aushängen.
    Man muss es Ausfüllen und kann nichts dagegen machen.

  4. Tim B. sagt:

    Dann werden die Daten also zu Cloudflare gefaxt? Spannend. 🤪

  5. Tom sagt:

    Das passt gar nicht zu den Bedingungen, die die Kommunen erfüllen müssen. Abgesicherte Netzwerk ohne Verbindung zum LAN, besonders konfigurierten PCs, etc. Aber dann Cloudspeicher in USA. Peinlich.

  6. Anonymous sagt:

    "Abgesicherte Netzwerk ohne Verbindung zum LAN"
    ohne Verbindung zu Internet meinst du?
    Ein abgesichertes Netzwerk ist ja schon LAN

  7. GP2000 sagt:

    "Die Datenverarbeitung durch Cloudflare ist erforderlich, um die hohe Verfügbarkeit der Webseite auch in unsicheren Zeiten im Internet zu ermöglichen. Wir wollen damit eine hohe Funktionsfähigkeit und Sicherheit unserer Systeme für die Nutzer gewährleisten."
    (Stand: 14.05.2022, 12:05 Uhr – Quelle: https://www.zensus2022.de/DE/Service/Datenschutz/_inhalt.html)
    Frage als Laie an die Profis:
    Bedeutet dies, dass die behördlichen IT-Systeme in Deutschland (oder ggfs. auch in Europa) nicht in der Lage sind, die o.g. Voraussetzungen zu erfüllen??

    • Ralf S. sagt:

      Bin zwar kein "Profi", aber so schaut es wohl aus, ja! Die ganzen wirklich leistungsfähigen Cloud-Anbieter befinden sich leider fast alle in den USA. Dieses Thema zieht sich ja schon seit langer Zeit hin. Nicht nur bei der Cloud, sondern auch sonst, z. B. bei der elendigen Abhängigkeit von MS-Produkten generell im (und nicht nur) staatlichen Bereich … Wie aktuell gerade hier gelesen, will sich China diesbzgl. ja nun mehr oder weniger komplett unabhängig machen. Die wissen schon warum: "Stecker ziehen" und dgl. mehr, falles es "im Sinne der USA mal nötig sein sollte" … ;-) Ist eine Schande, dass ein Kontinent wie Europa es nicht schafft, eine eigene IT-Infrastruktur zu entwickeln, aufzubauen und einzuführen. Über Deutschland und seine "IT-affinen" Politiker brauchen wir diesbzgl. gleich gar nicht reden … Da ist wohl eh alles mehr oder weniger zu spät inzwischen! Und wenn man sich ansieht, wer in der EU gerade das Sagen hat, dann dürfte sich dieses Thema wohl auch dort so gut wie erledigt haben … Wenn solch eine wichtige Stelle wie das Amt des/der Kommissionspräsidenten/-präsidentin mit einer durchweg gescheiterten Person besetzt wird, braucht man sich nicht zu wundern! War im Übrigen Betrug an den Wählern damals, da es angeblich eine Personenwahl war und eigentlich ein gewisser Manfred Weber gewonnen hatte. Nur hatte der eben keine so guten Connections zu Frau Merkel – und wir hatten eh gerade eine gescheiterte Verteidigungsministerin zu entsorgen, die übrigens bis heute nicht für ihre "Berateraffäre", die Segelschiffrestaurierung und die gelöschten SMS-Nachrichten ihrer Diensthandys zur Rechenschaft gezogen wurde! Dafür darf sie jetzt das EU-Parlament mit ihrem in Stein gemeißelten Dauerlächeln bezaubern – und ab und zu großspurige Reden von sich geben, in der Art "die KI wird uns in Zukunft von sehr vielen wichtigen Problemen befreien …" Ja stimmt, vor allem kann man damit herrlich einfach unpopuläre Meinungen unterdrücken. Also Meinungen, die vor allem ihr und ihren Kollegen u. U. gehörig gegen den Strich gehen … Allerdings wird sie mit Sicherheit NICHT dafür sorgen, dass sich die IT-Landschaft in der EU im Sinne der EU positiv verändern wird!

      • Steter Tropfen sagt:

        Es ist in Deutschland (vielleicht auch anderswo) seit jeher Tradition, ausgemusterte Politiker nach Brüssel zu „entsorgen". Stoiber fällt mir da spontan ein, ist aber nur einer von vielen. Wenn man in die EU nur reinsteckt, was man zuhause nicht mehr haben will, kann einfach nichts Gutes rauskommen.

        Abgesehen davon lautet das Credo der globalisierten Marktwirtschaft doch: Wir kaufen nur dort/lagern dahin aus, wo es am allerbilligsten ist. Weltweite Spezialisierung konzentriert den Wettbewerb und drückt nochmal die Kosten. Sind ja alles unsere Freunde da draußen.
        Wir alle haben gern von den resultierenden Billigangeboten profitiert. Also woher jetzt plötzlich diese Skrupel?

  8. Blupp sagt:

    Diesen Brief haben wir auch bekommen und müssen die Daten als CSV hochladen, wegen größerer Anzahl Wohnungen. Man war auch so nett eine Datensatzbeschreibung beizulegen und weil die schwer bis teilweise nicht zu entziffern war (ich bin erstaunt wie klein man heute mit mangelnder Deckung noch drucken kann) musste ich telefonisch nachfragen. Was ich da am Telefon hatte, empfand ich als Krönung der Inkompetenz: "Sie habben Schein bekohmen, dann alles gut" So hat sich das jedenfalls für mich angehört (phonetische Wiedergabe). Konkrete fachliche Fragen konnten nicht beantwortet werden. Ein Rückruf wurde mir zugesagt weil erst der Chef gefragt werden müsste, auf den Rückruf warte ich noch immer.

    Neben dem Hosting darf man sich auch gern mal die Datenschutzerklärung ansehen, da besonders den Part zu sozialen Medien. Anfangs war auch Facebook darin bedacht und auf deren Seite wurde auch ein Script von Facebook nachgeladen.

    Die machen eigentlich alles falsch was man falsch machen kann, auch richtiger Datenschutz sieht anders aus. Aber wenn man bei dieser Idiotie nicht mitspielt wird man glatt mit 5.000,- € Bußgeld bedroht, ohne aufschiebende Wirkung natürlich, sollte man dagegen vorgehen wollen. Das Wegelagerei zu nennen ist schon extrem geschönt.

  9. Thomas Schulz sagt:

    Hauptsache Ihr kämpft weiter brav mit gegen Rechte und wählt und werbt bloß nicht für 50+x% AfD bei Wahlen zum Entfernen der üüüberhaupt nicht mit Methode irre "Regierenden" aus den uns ausblutenden Ämtern und Mandaten.

    Was ist eigentlich davon zu halten, dass die neuen beA-Karten der Bundesnotarkammer die qualifizierte elektronische Signatur nur noch als Fernsignatur realisieren?
    https://newsletter.brak.de/mailing/186/5289301/0/833b9aa90d/index.html

  10. xexex sagt:

    Jetzt kommen wieder die "ich hab eigentlich nichts zu verbergen aber ich tu es trotzdem" Fraktion. Wie selbstverliebt muss man eigentlich sein um zu meinen daß andere solche Daten interessieren? Mal ganz nebenbei ist eine solche Maßnahme zwingend erforderlich. Passt euch nicht? Dann verweigert einfach. Sollte dann mit einer Gebühr erledigt sein. Dürfte gut investiert sein.

  11. Herr IngoW sagt:

    Es steht auf der Datenschutz-Seite auch vollendes:
    Zitat:
    "Die Datenverarbeitung durch Cloudflare betrifft nicht die Befragungsdaten der Auskunftspflichtigen zum Zensus, sondern lediglich die allgemein zugänglichen Informationen auf der Website http://www.zensus2022.de. Nach erfolgreichem Einloggen werden Sie auf die Seite "fragebogen.zensus2022.de" weitergeleitet. Die Daten, die an "fragebogen.zensus2022.de" übermittelt werden, sind mit einem Sicherheitszertifikat des ITZBund Ende-zu-Ende-verschlüsselt und werden ohne Nutzung des CDN Cloudflare weitergeleitet. Die von den Auskunftspflichtigen bereitgestellten Informationen sind in diesem Bereich als private Daten sicher und werden ausschließlich in Rechenzentren des Bundes in Deutschland verarbeitet."

    man wird also nach dem login auf "fragebogen.zensus2022.de" weitergeleitet.
    Habe ich auch mal hier eigegeben: "https://www.ssllabs.com/ssltest/analyze.html?d=fragebogen.zensus2022.de"
    Kommt die IP: "80.245.152.163" raus.
    Diese IP bei "IP Location Finder" eingegeben: "https://tools.keycdn.com/geo?host=80.245.152.163"
    Kommt dann raus das der Server in Deutschland steht und Mit Zertifikat gesichert ist!

    • Günter Born sagt:

      Diese Information ist heute (15.5.2022) nachgetragen worden – die Berichte bei Kuketz, heise und hier im Blog zeigen Wirkung – auch WinFuture hat es aufgegriffen.

      Für Interessierte: Der Snapshot der Datenschutzerklärung vom 13.4.2022.

      Auf reddit.com gibt es inzwischen auch einen Diskussionsthread.

      Und ich habe auf netzpolitik.org einen Bericht aus 2015 gefunden, wo der Bundestag Cloudflare genutzt hat – ist wohl auch abgestellt – sie versuchen es immer wieder.

      A bisserl Conspiration Theory habe ich in Form dieses heise-Leserkommentars.

      • Anonymous sagt:

        Auszug aus der DSGVO:
        "Straferhöhend wirken dabei unter anderem die Vorsätzlichkeit des Verstoßes,…"
        (Vorsätzlich Cloudflare zunächst nicht in der Datenschutzerklärung angegeben)

        "… Bußgeldrahmen bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr…"

        Joha, 4% der Einnahmen des Öffentlichen Gesamthaushalts, das lohnt sich schon mal. Damit könnte der BfDI locker Gehälter für weitere Datenschützer bereitstellen. Da hat Deutschland aber Glück, dass es kein Unternehmen ist.
        ;)

  12. Blackii sagt:

    Moin,

    der Datenschutzbeauftragte bei denen hat grünes Licht gegeben, weil der ja zu beteiligen ist. Also können wir auf die Kompetenz der Person vertrauen, dass alles nach geltenden Gesetzen eingerichtet wurde *zwinkersmiley*

    MfG,
    Blackii

  13. Georg sagt:

    Und die Gültigkeit vom Zertifikat beginnt in der Zukunft:
    fragebogen.zensus2022.de
    Begins On:: Thu, 17 Mar 2022 11:39:17 GMT
    sha256 key: D1:6F:9D:FF:A9:05:2B:5C:4F:0B:3E:9B:68:9E:AA:C9:98:B5:88:A9:6D:52:D4:DD:75:80:3D:33:0F:DF:D4:FD

  14. Ernst sagt:

    Habe eingegeben über iPad und bei Fertigstellung konnte ich Ergebnis in pdf nicht speichern als Beweis für spätere Nachfragen.
    Erneut gemacht über mein Notebook und pdf gespeichert.
    Offensichtlich gibt es keine Sperre um Duplizität zu vermeiden.

    • Herr IngoW sagt:

      Mit einem Computer geht das speichern.
      Man meldet sich ja mit den gleichen Zugangs-Daten an, also werden die alten Daten sicher überschrieben. Und wenn sie doppelt sind und (eventuell) nicht übereinstimmen wird man sehen was passiert.
      Nach einmaliger Eingabe sollte eigentlich Schluß sein, oder es ist gewollt.

  15. DerEine sagt:

    Ich arbeite im öffentlichen Dienst. Die Sicherheitsanforderungen für den Zensus sind extrem hoch, so dass kleine Kommunen vermutlich total überfordert sein dürften. Das dann aber auf der anderen Seite Cloudflare genutzt wird macht die Sache lächerlich.
    Hier ein kurzer Auszug zu den Anforderungen die der Zensus an die Kommunen stellt:

    Alle Schnittstellen wie USB (Anmerkung: wir setzen tatsächlich PS/2 Tastaturen und Mäuse ein), Firewire, Laufwerke, Netzwerkboot, etc. sind zu sperren, wenn sie nicht benötigt werden (Checkliste Nr. 1.6d). Dies kann sowohl in den BIOS-Einstellungen des PCs als auch über Software gesteuert werden.
    Aktive Inhalte werden auf dem PC nicht benötigt. Deswegen sind Flash, Silverlight, DirectX und ähnliche Software nicht zulässig. Makros, Skript-Dateien wie Powershell, Batchprogramm oder die Konsole im Allgemeinen sind so einzuschränken, dass nur geprüfte Dateien ausgeführt werden können (Checkliste Nr. 1.6c). Als geprüft gilt eine Datei, die im Vieraugenprinzip selbstsigniert wurde oder vom EHU, Statistischen Bundesamt bzw. Statistischen Landesamt bereitgestellt wird.
    Datenablagen, aber auch verbaute Festplatten und Storage-Systeme, sind nach dem aktuellen Stand der Technik zu verschlüsseln (Checkliste Nr. 1.5b). Stand der Technik bedeutet unter anderem, die Passwörter sind per Zufallszahlengenerator als eine mindestens 20-stellige Zeichenkette zu erzeugen. Der Zeichensatz muss aus Groß- und Kleinbuchstaben, Ziffern wie auch Sonderzeichen bestehen. Das generierte Passwort ist auf sicherem Wege und getrennt vom Speichermedium zu übermitteln. Zulässige Verschlüsselungsmethoden können der BSI TR-02102-1 vom 24.03.21 entnommen werden. Die meiste Hardware stellt geeignete Sicherheitsfeatures bereits zur Verfügung z. B. Bitlocker-Laufwerksverschlüsselung mittels TPM 2.0.

    Um sicherstellen zu können, dass ausschließlich autorisierte Personen Zutritt zu den Räumlichkeiten der EHST, insbesondere den Räumen in denen Zensus-Daten verarbeitet oder gelagert werden, haben, sind die Räume gegen unbefugten Zutritt zu sichern.

    Dann wollen Sie noch:
    – Technische Dokumentation der Firewall, insbesondere des Regelwerks.
    – Dokumentation der verwendeten Mechanismen zur Sicherstellung der Integrität und Authentizität.
    – Betriebs- und Abschottungskonzept für die verwendeten IT-Systeme.
    – Technische/Organisatorische Regelungen zum Umgang mit aktiven Inhalten
    – Clientschnittstellenkonzept
    – Ausfall-/Notfallplan für die relevanten IT-Systeme
    usw.

    Damit andere kommunale Stellen keinen Einblick in Zensus-Angelegenheiten erhalten, die postalisch eingehen, bspw. Erhebungsunterlagen oder Widersprüche von Auskunftspflichtigen, ist eine eigene Postanschrift für die EHST einzurichten.

    Wenn ich dann wiederum sehe, dass hier im Umkreis kleine Kommunen IT-Allrounder-Stellen ausschreiben, die möglichst von Virtualisierung, Storage, AD, Exchange etc. pp. alles können sollen (von Security ist praktisch nie die Rede) und dann mit E9a oder E9b ausgeschrieben werden wird mir ganz anders, wenn ich an meine Daten denke. ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.