GEGENDARSTELLUNG Destatis zu „Zensus 2022: Detlef Schmuck warnt vor Risiken wegen Nutzung einer US-Cloud“

Statistisches Bundesamt bittet um „Richtigstellung“

[datensicherheit.de 12.08.2022] Das Statistische Bundesamt (Destatis) hat in einem Schreiben vom 12. August 2022 eine „Richtigstellung“ zu folgendem ds-Artikel erbeten:

datensicherheit.de, 12.08.2022
Zensus 2022: Detlef Schmuck warnt vor Risiken der Nutzung einer US-Cloud / Gefahr, dass mit dem Zensus gewonnene Informationen von US-Behörden ausgewertet werden

Die ds-Redaktion gibt nachfolgend das Schreiben unkommentiert und ohne Bewertung im Originalwortlaut wieder:

Sehr geehrter Herr Pinnow,

in Ihrem Artikel „Zensus 2022: Detlef Schmuck warnt vor Risiken der Nutzung einer US-Cloud“ vom 12. August 2022 (https://www.datensicherheit.de/zensus-2022-detlef-schmuck-warnung-risiken-nutzung-us-cloud) sind falsche Informationen zum Zensus 2022 zu finden, um deren Richtigstellung wir bitten.

So heißt es in Ihrem Artikel u.a.:
„Die deutschen Behörden arbeiteten bei der bundesweiten Datenerfassung mit dem US-„Cloud“-Anbieter Cloudflare zusammen. Dadurch bestehe die Gefahr, dass die mit dem Zensus 2022 gewonnenen Informationen teilweise von US-Behörden ausgewertet werden könnte.“

„Schmuck führt aus: ‚Es ist völlig absurd, dass eine bundesdeutsche Behörde die Bevölkerung unter Androhung von Zwangsgeld dazu auffordert, persönliche Daten beim ,Zensus 2022′ bei einem US-Anbieter offenzulegen.‘

Wer ‚www.zensus2022.de‘ eintippt, werde zunächst mit einem deutschen Server verbunden, ‚den der US-Anbieter Cloudflare hostet‘. Sogar das SSL-Sicherheitszertifikat sei auf diese US-Firma ausgestellt.

Erst nach der dortigen Anmeldung werde man auf den sicheren Server der deutschen Behörde weitergeleitet. ‚Das ist absurd, weil die US-Company dadurch sowohl personenbezogene als auch personenbeziehbare Daten erhält, die sie laut US-Gesetzgebung auf Aufforderung an US-Behörden weiterzugeben hat.'“

Hierzu stellen wir fest:

1. Allgemeines zum Verantwortungsbereich des Statistischen Bundesamts und des Informationstechnikzentrums Bund
Das Statistische Bundesamt führt in Zusammenarbeit mit den Statistischen Ämtern der Länder den Zensus 2022 durch. Hierbei verantwortet das Statistische Bundesamt den Webauftritt www.zensus2022.de. Gemäß Zensusvorbereitungsgesetz ist für den technischen Betrieb das Informationstechnikzentrum Bund (ITZBund) als Dienstleister des Bundes für das Statistische Bundesamt tätig. Über ITZBund sind die weiteren IT-Dienstleistungen für den technischen Betrieb beauftragt, wozu auch der Einsatz von Cloudflare zählt.

Die Beauftragung von Cloudflare erfolgte über ein Vergabeverfahren des Informationstechnikzentrums Bund (ITZBund). Es existiert kein Vertragsverhältnis zwischen dem Statistischen Bundesamt und Cloudflare.

2. Webseiten des Zensus 2022 und Einsatz von Cloudflare
Die Webseiten des Zensus 2022 werden ausschließlich in den Rechenzentren des ITZBund gehostet.

Hier muss unterschieden werden zwischen
(1) der öffentlichen Informationsseite (www.zensus2022.de) und
(2) dem Online-Fragebogen (fragebogen.zensus2022.de).

Zur Absicherung der öffentlichen Informationsseite (1) wird auf ein Content Delivery Network eines Dienstleisters (in diesem Fall Cloudflare) zurückgegriffen. Damit können gezielte DDoS-Angriffe und sonstige Lastspitzen abgefangen werden. Solche Maßnahmen sind bei einem Angebot mit großer Reichweite und Relevanz notwendig, um einen störungsfreien Betrieb – insbesondere die Erreichbarkeit, Performance und Zuverlässigkeit der Website – sicherzustellen.

Der Online-Fragebogen (2) wird nach erfolgreicher Anmeldung mit Zugangsnummer mit zugehörigem Aktivierungscode im Webbrowser sichtbar. Die Daten, die dort übermittelt werden, sind mit einem Sicherheitszertifikat des ITZBund Ende-zu-Ende-verschlüsselt und werden ohne Nutzung von Cloudflare weitergeleitet. Die von den Auskunftspflichtigen bereitgestellten In-formationen sind in diesem Bereich als private Daten besonders sicher und werden ausschließlich in Rechenzentren des Bundes in Deutschland verarbeitet.

3. Einbindung von Cloudflare auf fragebogen.zensus2022.de bis zum 13. Mai 2022
Ursprünglich wurde Cloudflare als Content Delivery Network auch im Online-Fragebogen genutzt – alle Fragebogendaten waren und sind aber zu jedem Zeitpunkt durch ein Sicherheitszertifikat des Bundes Ende-zu-Ende-verschlüsselt. Der hierfür erforderliche private Schlüssel liegt im Informationstechnikzentrum Bund (ITZBund) – Cloudflare hatte zu keinem Zeitpunkt Zugriff auf den privaten Schlüssel. Etwaige Netzwerkkomponenten, Proxyserver o.ä. im Internet und bei Cloudflare haben keinen Einblick in die übertragenen Daten, da diese verschlüsselt sind.

Nach Rücksprache mit dem BfDI und um Missverständnissen in der Bevölkerung vorzubeugen, hat das ITZBund die ursprüngliche Nutzung von Cloudflare-Diensten bei der Übertragung der Online-Fragebogen am 13. Mai 2022 entfernt. Alle Daten der Online-Fragebogen sind weiterhin Ende-zu-Ende-verschlüsselt und werden in den Rechenzentren des Bundes verarbeitet. Es erfolgt keine Übermittlung von Metadaten bei der Meldung im Fragebogen.

Zu keinem Zeitpunkt bestand eine Gefahr für die in den Online-Fragebogen eingegebenen personenbezogenen Daten. Dies hat auch eine Überprüfung des unabhängigen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) ergeben (https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2022/05_Zensus-2022-Cloudflare.html). Die Verarbeitung erfolgt nach den Vorgaben des Zensusgesetzes in Verbindung mit dem Bundesstatistikgesetz. Hierüber können Sie sich ebenfalls auf der Zensus-Website informieren: https://www.zensus2022.de/DE/Was-ist-der-Zensus/Gesetze/_inhalt.html. Selbstverständlich werden hierbei die Vorgaben des Bundesverfassungsgerichts und die notwendige Abschottung der statistischen Einzeldaten eingehalten.

Im öffentlichen Bereich www.zensus2022.de ist Cloudflare weiterhin als Absicherung gegen Angriffe eingebunden, da dieser Bereich vielen Zugriffen – auch durch Hack-Angriffe – gleichzeitig standhalten muss. Hier erfolgt die Datenverarbeitung auf Grundlage der DS-GVO. Dies wird in der Datenschutzerklärung der Zensus-Website erläutert: https://www.zensus2022.de/DE/Service/Datenschutz/_inhalt.html

4. Wie können Befragte prüfen, dass Ihre privaten Daten sicher verschlüsselt übertragen werden?
Sie können nach erfolgter Anmeldung beim Online-Fragebogen durch Doppelklick auf das Schlosssymbol im Browser den sicheren und verschlüsselten Übertragungskanal ins Rechenzentrum des Informationstechnikzentrum Bund (ITZBund) mithilfe des Zertifikates nachvollziehen. Es zeigt, dass ein sicherer Übertragungskanal zwischen dem Webbrowser der Befragten und den im Rechenzentrum des ITZBund befindlichen Servern hergestellt wurde. Das Zertifikat enthält z. B. Angaben zum Eigentumsverhältnis (ITZBund) der Domain fragebogen.zensus2022.de und zur Verschlüsselung.

5. Warum gab es auf zensus2022.de vorübergehend amerikanische IP-Adressen?
Der Anbieter Cloudflare ist ein amerikanisches Unternehmen und verfügt über öffentliche IP-Adressen aus dem amerikanischen sowie dem europäischen Raum. Die Verarbeitung von Informationen findet auf Basis vertraglicher Vereinbarungen zwischen dem Informationstechnikzentrum Bund (ITZBund) und dem Anbieter ausschließlich in europäischen Rechenzentren von Cloudflare statt.
Um Missverständnisse zu vermeiden, werden nur noch europäisch registrierte IP-Adressen genutzt.

6. Begründung für den Einsatz eines CDN
Die Datenverarbeitung durch einen externen Anbieter wie Cloudflare auf der öffentlichen Informationsseite www.zensus2022.de ist erforderlich, um die hohe Verfügbarkeit der Website im Internet zu ermöglichen. Wir gewährleisten damit eine hohe Erreichbarkeit unserer Systeme für die Nutzenden.

7. Weitere Informationen
Auf unserer Seite zum Datenschutz und zur Informationssicherheit beim Zensus 2022 gibt es weitere Informationen rund um das Thema Datenschutz: https://www.zensus2022.de/DE/Wie-funktioniert-der-Zensus/Datenschutz-Informationssicherheit.html
Weitere Informationen finden sich außerdem in der Datenschutzerklärung: https://www.zensus2022.de/DE/Service/Datenschutz/datenschutz.html

___________________________________________

Presse, Newsroom | Zensus 2022
Statistisches Bundesamt (Destatis)