Zensus 2022: Wie das Statistische Bundesamt Vertrauen verspielt

1. Cloudflare

Am 15. Mai erfolgte der Startschuss zum Zensus 2022, bei dem Haushalte in persönlichen Interviews befragt werden und ebenfalls einen Online-Fragebogen ausfüllen sollen. Die Zensus-Daten erfasst Destatis bzw. das Statistische Bundesamt über die Website zensus2022.de. Die technische Umsetzung sorgte letzte Woche allerdings für Kritik: Zensus 2022: Statistisches Bundesamt hostet bei Cloudflare.

Für mich ist aus unterschiedlichen Gründen nicht nachvollziehbar, weshalb im Zusammenhang mit dem Zensus auf einen umstrittenen Dienstleister wie Cloudflare gesetzt wird, obwohl Alternativen vorhanden sind. Drei der Anbieter kommen sogar aus Deutschland und bieten aus meiner Sicht alle notwendigen Funktionen wie Content Delivery Network (CDN), DDoS-Schutz bzw. eine Web Application Firewall:

• Myra Security GmbH (Deutschland, München)
• Link11 GmbH (Deutschland, Frankfurt)

Destatis bzw. das Statistische Bundesamt hat in den letzten Tagen auf die Kritik reagiert und (etwas) nachgebessert. Im vorliegenden Beitrag möchte ich nochmal ausführlicher auf die getroffenen Maßnahmen eingehen und aufzeigen, was aus meiner Sicht weiterhin problematisch ist.

2. Erweiterung der Datenschutzerklärung

Nach der Kritik zu Cloudflare hat man die Datenschutzerklärung um das Kapitel »Einsatz von Content Delivery Network« angepasst bzw. ergänzt – die alte Version ist hier einsehbar. Dort wird nun über Cloudflare und die damit einhergehenden Risiken transparent aufgeklärt. Ob dies genügt, kann ich nicht abschließend einschätzen. Das dürfen gerne die Juristen übernehmen. Auf eine Passage möchte ich allerdings aufmerksam machen:

In diesem Zusammenhang weisen wir daraufhin, dass unter Umständen die genannten Daten von Cloudflare in einen Drittstaat (insbesondere USA) transferiert werden können, wenn dies zur Einhaltung eines Gesetzes oder aufgrund einer verbindlichen Anordnung einer Regierungsbehörde in den USA erforderlich ist.

Wenn man dies weiß, weshalb wählt man dann dennoch einen US-Anbieter? Gibt es dafür nachvollziehbare Gründe?

3. Übermittlung sensibler Bürgerdaten

Die Erfassung der Zensus-Daten erfolgt über die (Sub-)Domain fragebogen.zensus2022.de. Diese wird mit einem Zertifikat vom »Informationstechnikzentrum Bund (ITZBund)« ausgeliefert:

Das bedeutet: Cloudflare kann diese Eingaben nicht mitlesen. Das Statistische Bundesamt sagt nun, dass die dort erhobenen Daten ausschließlich auf europäischen Servern verarbeitet werden. Nachvollziehen können wir dies nicht. Wohin die Daten im Backend letztendlich fließen, ist technisch von »außen« nicht prüfbar. Da müssen wir der Aussage vertrauen.

Das Zertifikat erscheint mir mit einer Schlüssellänge von RSA-2048 als etwas knapp bemessen. Das Bundesamt für Sicherheit in der Informationstechnik hält das im Jahr 2022 (bis einschließlich 2023) allerdings noch für ausreichend – siehe Dokument Kryptographische Verfahren: Empfehlungen und Schlüssellängen (Version 2022-01 vom 28. Januar 2022). Das BSI sagt auf Seite 19 aber auch:

Für einen Einsatzzeitraum über das Jahr 2022 hinaus wird durch die vorliegende Technische Richtlinie empfohlen, eine Schlüsselange von 3000 Bits zu nutzen, um ein vergleichbares Sicherheitsniveau für alle asymmetrischen Verfahren zu erreichen. Eine Schlüssellange von ≥ 3000 Bits wird ab dem Jahr 2023 für kryptographische DLIES- und DSA-Implementierungen verbindlich, die zu der vorliegenden Technischen Richtlinie konform sein sollen; für eine Konformität im Jahr 2022 reicht eine Schlussellänge von ≥ 2000 Bits aus. Als Übergangsregelung ist außerdem die Nutzung von RSA-Schlüsseln mit einer Lange ab ≥ 2000 Bits bis Ende 2023 ebenfalls noch konform; ab dem Jahr 2024 wird eine RSA-Schlussellange von ≥ 3000 Bits verbindlich.

Eine Frage ist allerdings bis dato ungeklärt: Der Login zum Fragebogen, bei dem eine Zugangsnummer und ein Aktivierungscode angegeben werden muss, wird weiterhin über Cloudflare ausgeliefert. Landen die dort eingegebenen Daten dann bei Cloudflare? Nein, wie eine Prüfung zeigt:

POST /idev HTTP/1.1
Host: fragebogen.zensus2022.de
Cookie: __cf_bm=KPzqy6UaD.R56bknj.P2jfG_c8F4chujAJm0fncRqSw-1652769428-0-AeNpjnipSgzC7pcMXe/yyyajrvtHf6xa4DDwZCbxuXU797DvdabP+v6/o953DpFbGsdLv0R4hcbU3q84qz1VwTg=; __cfruid=f75eb2d5b3544959865394eff5af466d38c5c9d4-1652769428
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 137
Origin: null
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-site
Sec-Fetch-User: ?1
Te: trailers
Connection: close

ident1=1111&ident2=2222&ident3=3333&passwort=KHDef32xws234&lang=de&lang.GROUP=1&login=Anmelden&aktion=create_session&kennung=111122223333

Die Gegenstelle, an die die Formulardaten übermittelt werden, ist die Domain fragebogen.zensus2022.de – also außerhalb der Reichweite bzw. Zugriffsmöglichkeit von Cloudflare. Bei den von mir eingegebenen Daten

• Zugangscode: 1111 2222 3333
• Aktivierungscode: KHDef32xws234

handelt es sich allerdings um keine gültigen Zugangsdaten. Ich kann daher technisch nicht prüfen, ob danach eine Weiterleitung auf die Domain fragebogen.zensus2022.de erfolgt bzw. welche Daten der Browser an wen, wann absendet. Ist Cloudflare an der Datenübergabe/Schnittstelle beteiligt? Das wäre noch zu prüfen – aufgrund mangelnder Voraussetzungen (Zugangscode und Aktivierungscode) allerdings nicht möglich.

4. Blinder Fleck: Kontaktformular

Die Eingabe bzw. Übermittlung der Zensus-Daten ist allerdings nicht das einzige Formular, bei dem personenbeziehbare Daten übermittelt werden. Über ein Kontaktformular kann man ebenfalls Kontakt zum Statistischen Bundesamt bzw. einem Bundesland aufnehmen:

Bei diesem Kontaktformular werden zahlreiche personenbeziehbaren Daten abgefragt:

• Vorname/Nachname
• PLZ
• Ort
• Land
• E-Mail
• Telefon
• Nutzergruppe

Vor dem Absenden muss der Betroffene ein Häkchen bei

Die datenschutzrechtlichen Hinweise und Informationen nach Art. 13 DS-GVO unter „Anfragen über das Kontaktformular“ habe ich zur Kenntnis genommen.

setzen. Bis vor ein paar Tagen konnten sich betroffene Personen allerdings nicht darüber informieren, dass ihre Daten unter Umständen in ein Drittland (insbesondere USA) transferiert und mitgelesen werden können.

Außer an der Tatsache, dass sich Betroffene nun vorab informieren können und die Risiken mit dem Setzen eines Häkchens zur Kenntnis nehmen, hat sich nichts geändert. Das Formular inkl. aller personenbeziehbaren Daten wird weiterhin über Cloudflare abgewickelt. Damit bewegen wir uns rechtlich betrachtet weiterhin auf sehr dünnem Eis, das bereits erhebliche Risse aufweist und jederzeit droht einzubrechen.

5. Datenschutzfolgenabschätzung (DSFA) | Zusammenarbeit BfDI/BSI

In einer Präsentation vom 01.06.2021 hat das Statistische Bundesamt unter anderem eine Datenschutzfolgenabschätzung (S. 8) zum Zensus 2022 angekündigt. Eine weitere Ankündigung auf Seite 18 ist ebenfalls bemerkenswert:

Aufgrund des fragwürdigen Einsatzes von Cloudflare würde es mich brennend interessieren, ob diese »enge Zusammenarbeit« zwischen BfDI und BSI tatsächlich stattgefunden hat. Persönlich hege ich daran erhebliche Zweifel.

Gerne würde ich auch einen Blick in die Datenschutzfolgenabschätzung werfen. Wurden die Risiken, die mit der Nutzung eines US-Anbieters wie Cloudflare einhergehen, ausreichend beleuchtet bzw. berücksichtigt? Der fehlende Passus zu Cloudflare, der in der Datenschutzerklärung erst nach Kritik ergänzt wurde, lässt vermuten, dass hier jemand seine Hausaufgaben nur oberflächlich gemacht hat.

6. Fazit

Das Statistische Bundesamt hat nachgebessert – zumindest auf dem Papier bzw. der Datenschutzerklärung. Am umstrittenen CDN-Anbieter Cloudflare hält man allerdings weiterhin fest. Aufgrund der rechtlichen Situation und den damit einhergehenden Fragen bzw. Probleme ist diese Entscheidung für mich nicht nachvollziehbar.

Die Aufregung rund um die Website des Zensus 2022 wäre mit etwas mehr Sorgfalt und Sensibilität vermeidbar gewesen. So verspielt das Statistische Bundesamt wichtiges Vertrauen – und das ist einer Bundesbehörde, die sensible Bürgerdaten erhebt bzw. verarbeitet, nicht gerade zuträglich. Ganz zu schweigen von der fehlenden Vorbildfunktion.

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Ähnliche Beiträge

10. September 2023

Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test

Manche Ladeapps sind eine Datenschutzkatastrophe. Wir haben 41 Apps getestet und geben Tipps für datensparsames Laden.

12. Mai 2022

Zensus 2022: Statistisches Bundesamt hostet bei Cloudflare

Es ist einfach unglaublich. Die Website zum Zensus 2022 wird bei Cloudflare (US-Unternehmen) gehostet bzw. ein Reverse-Proxy genutzt. Selbst der…

11. Juli 2022

FragDenStaat: Antwort vom Zensus bezüglich Cloudflare

Wir erinnern uns: Zensus 2022: Wie das Statistische Bundesamt Vertrauen verspielt. Bei FragDenStaat hat jemand dazu eine IFG-Anfrage an das…

1. Dezember 2022

Kuketz-Blog: Jahresrückblick 2022 und Ausblick

Jahresrückblick 2022, Spendenaufruf und Ausblick für das Jahr 2023 vom Kuketz-Blog.

24. Oktober 2022

eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3

Der Datenschutz verkommt bei eBay Kleinanzeigen zur Ramschware. Am Ende heißt es »Datenschutz: Was letzte Preis?«.

Weitere Themen

AndroidAuditAutonomieBackupBezahlenBrowserCloudDatenschutzDatensendeverhaltenDigitalpolitikDSGVOE-MailFirewallHackingHärteniOSKuketz-BlogLinuxmacOSMessengerOpenWrtPasswortPentestRaspberryPiRechtSicherheitslückeSicherheitsmaßnahmeTorTrackingTTDSGÜberwachungVerschlüsselungWindowsWordPressXMPP

---

Diskussion

1 Ergänzungen zu “Zensus 2022: Wie das Statistische Bundesamt Vertrauen verspielt”

1. rugk sagt:

   19. Mai 2022 um 23:29 Uhr

   Ich habe mal Datenschutzfolgeabschätzung sowie die Auftragsverarbeitungsverträge angefragt:

   * https://fragdenstaat.de/anfrage/zensus-2022-auftragsverabeitungsvertraege-avv/
   * https://fragdenstaat.de/projekt/datenschutzfolgeabschaetzung-zensus-2022/

Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.