Bundesamt für (Un)Sicherheit in der Informationstechnik? Und was taugt der Grundschutz?

Seit letztem Jahr beschäftige ich mich intensiv mit dem BSI Grundschutz oder Kompendium. Der ist nach meinem Verständnis mehr eine Arbeitsbeschaffungsmaßnahme denn eine Hilfe, denn es gibt ganz viele Bausteine ohne dass – abgesehen von den Gefahren – ein roter Faden erkennbar ist, und viele Bausteine bleiben ganz klar hinter meinen Erwartungen zurück, weil sie Fallstricke gar nicht adressieren. Mit anderen Worten: man kann alle Bausteine umsetzen und vom BSI zertifiziert werden und trotzdem unsicher sein. Das gibt das BSI in der Stellungname vom 20.01.2022 im Rahmen der Vermittlung durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) von sogar zu. Was soll das? Unsicherheit wird akzeptiert? Das verstößt in meinem Augen nicht nur ganz klar gegen Artikel 32 DSGVO sondern auch gegen das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG):

§3 BSIG
(1)
Das Bundesamt fördert die Sicherheit in der Informationstechnik mit dem Ziel, die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und deren Verarbeitung zu gewährleisten. ...
...
 

Beim besten Willen – von Gewährleistung der Vertraulichkeit kann ich da nichts erkennen.

Und außerdem verbrennen Sie viel Zeit und damit Geld, denn der rote Faden fehlt. Was den roten Faden angeht, kann ich sogar helfen und habe das auch bei BSI-Kunden schon gemacht oder versucht. Meine Sicherheitsanforderungen bestehen nicht aus geschätzt 60 System-Bausteinen mit ungezählten Detailanforderungen und in der Edition 2022 900 Seiten, sondern aus 15 + 1 Anforderungen. Einige davon – der Block Eingabevalidierung und Ausgabeaufbereitung – ergeben nur Sinn, wenn man Software entwickelt oder testet, aber alle anderen kann ich auch auf vorhandene Produkte und Infrastruktur anwenden und als Abnahmekriterium verwenden. Anforderungen für Gebäude und Prozessanforderungen habe ich da bisher nicht drin – nicht meine Kernkompetenz und die müssen ja auch zur jeweiligen Organisation passen. Dafür ist die + 1 – die Anforderung "alle Sicherheitsanforderungen können und sollen automatisch getestet werden" ganz wichtig, dazu unten mehr.

Ich habe das für meine eigene Infrastruktur gemacht, das Ergebnis finden Sie unter IT-Sicherheit@Lindenberg – gerade mal sechs Seiten Papier statt vielen hunderten. Und im Unterschied zum BSI und seinen Kunden, traue ich mich das öffentlich zu machen, denn Angreifer sind sowieso besser informiert als wir, und nur Kritik und offene Diskussion bringt einen weiter – siehe Security by Obscurity. Hunderte Seiten? Leider kein Witz. Habe ich bei Kunden gesehen, einschließlich der Defizite. In meinen Augen noch fataler, vor allem bei Software: die Autoren des Konzepts, die Entwickler oder Betreiber sind dann oft verschieden und reden zu wenig miteinander, damit sind selbst bei brauchbarem Konzept Umsetzungsfehler wahrscheinlich bis garantiert.

Wegen der vielen Mängel im Kompendium und auch aus anderen Gründen habe ich Fragen ans BSI gerichtet, aber keine einzige hat das BSI bisher ernsthaft beantwortet. Ist das BSI so ignorant und versteht nicht was es tut oder was es tun müsste, oder ist es so arrogant, dass es sich mit Fragen oder Vorschlägen gar nicht auseinandersetzen will? Immerhin hat es in der schon genannten Stellungname vom 20.01.2022 zugegeben, dass Einrichtungen nach Grundschutz unsicher sind. Mir sind noch einige weitere Mängel in Bausteinen bekannt, aber wenn ich die auch noch in Fragen gieße, unterstütze ich ja nur Angreifer (und zwar die schlechteren, die guten brauchen das nicht). Ich kenne auch nicht alle Bausteine im Detail – wer kann das schon bei 900 Seiten?

Beispiel: Eduroam

Ich will das Vorgehen mal an einem Beispiel erläutern, der Eduroam-Problematik. Das BSI schreibt ja, Eduroam sei bekannt, und Eduroam ging schon vor einigen Jahren durch die Presse. Insider und Hacker kennen die Technik und das Problem natürlich auch, schon deutlich länger – ich seit gut zehn Jahren. Das Problem ist leider nicht auf Hochschulen beschränkt, viele Unternehmen verwenden genau die gleiche Technik, nur dass sie keine Benutzer anderer Organisationen unterstützen. Das folgende Bild zeigt die typischen Komponenten für WPA-Enterprise (und ist nahezu identisch mit einem Bild aus dem Abschlusstest des Sicherheitskurses den ich mit IT-Nachwuchs eines DAX-Konzerns im September letzten Jahres hatte):

WPA-Enterprise Scenario

Das Problem ist die immer fehlende Authentifizierung des Access Points und die oft fehlende Authentifizierung des Authentication Servers durch den Client. Meine Sicherheitsanforderungen besagen "Verwende X.509 Zertifikate oder Kerberos zur Authentifizierung von Systemen oder Services (Server und Client)". Hier prüft der Client typsicherweise nur den Namen des Netzes und den kennt ja jeder. Wenn Sie jetzt in der Tabelle auf Bedrohungsmodellierung nachsehen, dann stehen da schon die Gefahren Spoofing – in diesem Kontext auch Fake- oder Rogue-Access-Point – und Denial-Of-Service – über den Fake kommen Sie meist nicht in Ihr Netzwerk. Wenn Sie sich noch klar machen, dass Berechtigungen Authentifizierung erfordert, haben Sie das volle Desaster, einschließlich der Datenpanne. Machen Sie sich klar, dass der Client die Credentials – Ihre Kronjuwelen – einem System anvertraut, das er nicht authentifiziert hat – danach ist alles möglich.

Natürlich kann man je nach verwendetem (P)EAP-Verfahren den Client richtig konfigurieren und eine Prüfung des Zertifikats des Authentication Servers konfigurieren, aber Eduroam zeigt, dass die Anwender damit überfordert sind, und es auch gerne in den sowieso nicht gelesenen Anleitungen fehlt. Wenn Sie nicht wissen wofür (P)EAP steht oder wie Zertifikate genau funktionieren, dann sind Sie in guter Gesellschaft. Also erreichen Sie Sicherheit nur dann, wenn Sie verhindern, dass Ihre Domänen-Passwörter dafür verwendet werden.

Welche Alternativen – ohne Anspruch auf Vollständigkeit – gibt es?

  • EAP-TLS und Zertifikate für Client und Server – so steht es in meinen Anforderungen, weil mit zertifikatsbasierter Authentifizierung geben Sie Schlüssel nie aus der Hand sondern beweisen nur dass Sie ihn haben. Das Problem ist, dass Sie einen Prozess für die Verteilung des Client-Zertifikats brauchen – es gibt kommerzielle, leider nicht ganz billige Lösungen dafür.
  • offenes WLAN – wenn Sie Sicherheit sonst ernst nehmen, dann verschlüsseln Sie jede Kommunikation, auch jede interne Kommunikation, mit TLS, https, oder anderen hinreichend guten Protokollen. Dann kommt es auf die WLAN-Verschlüsselung nicht wirklich an, oder nur um DNS privat und zuverlässig zu bekommen, aber dafür gibt es auch andere Möglichkeiten. Fragt sich aber, ob Sie dann zum öffentlichen Telekommunikationsnetzanbieter werden.
  • Preshared Key – immer anrüchig, weil die Sicherheit nur so gut wie die schwächste Stelle ist. Sie müssten formal auch jedesmal wenn ein Mitarbeiter die Firma verlässt den Key ändern, und das machen zu wenige Organisationen.
  • separates Directory (Benutzerverzeichnis) – das vermeidet die Probleme der obigen Alternativen. Habe ich bisher bei nur einer Firma und bei mir selbst gesehen.

Und warum habe ich dieses Beispiel vertieft? Weil selbstverständlich nicht überall Sicherheitsanforderungen ideal umgesetzt werden können, aber wenn eben nicht, dann müssen Sie nach Alternativen suchen, die das Risiko auf ein vertretbares Maß reduzieren. Als ich bei der Dualen Hochschule angefangen habe zu unterrichten und man mir schrieb, die Zugangsdaten gelten auch für Eduroam, hab ich gleich zurückgefragt, ob die Risiken bekannt sind. Antwort ja. Andere kennen nicht einmal das Risiko. Im Kompendium steht das Risiko, aber weder klare Anforderungen noch eine Musterlösung. Warum nicht?

Was wünsche ich mir?

Wenn ich drei Wünsche frei hätte:

  • Reduziert die Anforderungen auf so wenige wie irgend möglich, damit man den roten Faden erkennen kann. Diese allgemeinen Anforderungen sind gleichzeitig die, die in kundenspezifischer Software verwendet werden sollen. Als Vorschlag der erweitert werden kann, können meine Sicherheitsanforderungen herangezogen werden.
  • Wenn die Anforderungen gleich sind, kann man in den einzelnen Bausteinen aufzeigen, wie die generischen Anforderungen bei konkreten Systemen, Technologien oder Anwendungen umgesetzt werden sollen, und welche Ausnahmen oder Alternativen vielleicht erlaubt sind und welche Risiken damit einhergehen.
  • Und wenn die Anforderungen, Alternativen, und die Musterlösungen bekannt sind, dann ist auch standardisierbar wie man es testet. Testen, am besten automatisch. Dazu unten weiter.

Kommt Ihnen bekannt vor? Dann haben Sie vermutlich meinen Artikel Bedrohungsmodellierung und dieses Bild in Erinnerung:

Qualitätsmanagement

Testen oder Pentesten?

Nochmal zu + 1 Testen. Wenn man nur Anforderungen definiert, sie aber nicht überprüft, dann können sich ganz leicht Fehler einschleichen. Eigentlich logisch, oder nicht? Diese Fehler sind dann im Idealfall Beute für den Pentester, im schlechtesten Fall nutzt ein Angreifer sie aus. Anforderungen manuell zu testen ist bei der Komplexität heutiger Software und Systeme nicht effektiv, das muss auf Ausnahmen beschränkt sein – ganz unabhängig davon ob es sich um eine funktionale oder nicht-funktionale Anforderung wie Sicherheit handelt. Je weniger Anforderungen sie haben, desto leichter finden Sie nicht nur Musterlösungen, sondern auch standardisierte Testansätze. Das ist z.B. bei der TR-03108 und den Verwaltungsportalen ganz offensichtlich schief gegangen, nur ist völlig unklar an welcher Stelle. War unklar, dass RFC 7672 oder TR-03108 relevant ist? Oder einen Schritt zurück: wenn man – siehe Anforderungen – Verschlüsselung und Authentifizierung bei Email erreichen will, dass man dann RFC 7672 oder TR-03108 braucht? Wie man das mit Standardprodukten umzusetzen kann (s.a. RFC 7672 mit Mailcow/Postfix)? Was die relevanten Anforderungen" im Sinne von OPS.1.1.6 sind, die getestet werden sollen? Oder wie man sie automatisch überprüft? Details auf Emailsicherheit – der Test und vielleicht irgendwann in Anfrage Sichere Email nach BSI TR-03108 – wenn das BSI auf die Frage antwortet, und ich dann vielleicht verstehe, ob es Unterschiede zwischen RFC 7672 und TR-03108 gibt.

Dass auf Test zu wenig Wert gelegt wird ist leider ein Muster im Grundschutz. In der oben schon verlinkten Edition 2022 taucht "test" an 391 Stellen auf, einschließlich Treffern von "spätestens", "älteste", "weitestgehend". Echte Treffer des Wortstamms test in Kombination mit MUSS gibt es in nur 12 Anforderungen. SOLL ist auch MUSS? Habe ich bei keinem Kunden erlebt. Die meisten Treffer – nein, nicht in OPS sondern in INF, 3 in INF.2, 1 in INF.14. OPS folgt tatsächlich mit 3 Treffern in OPS 1.1.6, aber die sind wieder so abstrakt, dass man gleich interpretieren kann, man darf´s auch lassen. Weiter je 1 Treffer in CON.3, CON.8, APP.3.4, SYS.3.1, und NET.3.2. Wenn ich einen übersehen haben sollte schicken Sie mir bitte eine Email. Den Rest müssen Sie also nicht testen. Mit anderen Worten, ohne die Pentester finden Sie nichts, aber die sind ja auch nur ein SOLL in OPS.1.1.6. Also selbst wenn Ihr Sicherheitskonzept gut ist, über die Umsetzung wissen Sie effektiv nichts, wenn Sie nicht testen. Machen Sie die Pentester arbeitslos indem Sie selber testen und die Tests möglichst automatisieren. Viel mehr verkauft Ihnen der Pentester heute auch nicht, der lässt meist viele Tests automatisch laufen, erst wenn er da etwas beobachtet geht er in die Tiefe.

Auskunft, Akteneinsicht, Beschwerde

Um Licht in die Frage Arroganz vs. Ignoranz zu bringen habe ich Auskunft und Akteneinsicht beantragt. Auch hier will man erstmal mauern – aber die Beschwerde läuft. Am 29.08.2022 will man mir Akteneinsicht gewähren und um mir die Zuzusenden will man ein Zertifikat. Da ich nichts von PGP und S/MIME halte, muss ein anderer Weg her. Und die Beschwerde habe ich erweitert, weil man das Zertifikat anscheinend auch per Email akzeptieren würde. Dass Schlüssel und Inhalte getrennt kommuniziert werden müssen – das BSI scheint so etwas nicht zu wissen.

Datum/ZeitSenderEmpfängerThema
22.03.2022 08:58Joachim LindenbergBundesamt für Sicherheit in der InformationstechnikAuskunft nach Artikel 15 DSGVO
23.03.2022 12:28Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergIhre Anfrage vom 22.03.2022
23.03.2022 13:53Joachim LindenbergBundesamt für Sicherheit in der InformationstechnikIhre Anfrage vom 22.03.2022
23.03.2022 15:55Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergIhre Anfrage vom 22.03.2022
04.04.2022 12:20Joachim LindenbergBundesministerium für Inneres und HeimatBeschwerde über das Bundesamt für Sicherheit in der Informationstechnik
12.04.2022Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergAuskunftsschreiben
14.04.2022 15:45Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergIhre Anfrage vom 22.03.2022 -- § 29 VwVfG
14.04.2022 20:41Joachim LindenbergBundesamt für Sicherheit in der InformationstechnikIhre Anfrage vom 22.03.2022 -- § 29 VwVfG
21.04.2022 08:20Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergIhre Anfrage vom 22.03.2022 -- § 29 VwVfG
26.04.2022 08:30Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitWG Auskunft nach Artikel 15 DSGVO
27.04.2022 08:51Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergIhr Schreiben an den BfDI 'Auskunft nach Artikel 15 DSGVO'
27.04.2022 09:49Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Ihr Schreiben an den BfDI 'Auskunft nach Artikel 15 DSGVO' – 25-170 II#1143
28.04.2022 08:21Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergRe Ihr Schreiben an den BfDI 'Auskunft nach Artikel 15 DSGVO' – 25-170 II#1143
13.05.2022 11:23Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergRe Ihre Anfrage vom 22.03.2022 -- § 29 VwVfG
13.05.2022 11:51Joachim LindenbergBundesamt für Sicherheit in der InformationstechnikRe Betreff Ihre Anfrage vom 22.03.2022 _ § 29 VwVfG
13.05.2022 14:26Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergRe Ihre Anfrage vom 22.03.2022 -- § 29 VwVfG
27.05.2022 18:24Joachim LindenbergBundesamt für Sicherheit in der InformationstechnikWiderspruch Fax
25.07.2022 07:08Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergIhr Schreiben an den BfDI 'Auskunft nach Artikel 15 DSGVO'
29.08.2022 13:00Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergIhr Auskunftsbegehrens nach Art. 15 DSGVO vom 22. März 2022
29.08.2022 13:23Joachim LindenbergBundesamt für Sicherheit in der InformationstechnikRe Ihr Auskunftsbegehrens nach Art. 15 DSGVO vom 22. März 2022
29.08.2022 14:59Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergRe Ihr Auskunftsbegehrens nach Art. 15 DSGVO vom 22. März 2022
29.08.2022 16:34Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitWG Ihr Auskunftsbegehrens nach Art. 15 DSGVO vom 22. März 2022 – 25-170 II#1143
30.08.2022Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergBetreff Ihr Auskunftsersuchen gem. Art. 15 DSGVO
30.08.2022 16:01Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergBetreff Datenkopie Ihrer personenbezogenen Daten im BSI, Art. 15 Abs. 3 DSGVO – Teil 1
06.09.2022 11:35Joachim LindenbergBundesamt für Sicherheit in der Informationstechnik,Bundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Betreff Datenkopie Ihrer personenbezogenen Daten im BSI, Art. 15 Abs. 3 DSGVO – 25-170 II#1143
06.09.2022 17:36Joachim LindenbergBundesamt für Sicherheit in der Informationstechnik,Bundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Betreff Datenkopie Ihrer personenbezogenen Daten im BSI, Art. 15 Abs. 3 DSGVO – 25-170 II#1143
08.09.2022 17:29Bundesamt für Sicherheit in der InformationstechnikJoachim Lindenberg,Bundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Betreff Datenkopie Ihrer personenbezogenen Daten im BSI, Art. 15 Abs. 3 DSGVO – 25-170 II#1143
08.09.2022 18:23Joachim LindenbergBundesbeauftragter für den Datenschutz und die Informationsfreiheit,Bundesamt für Sicherheit in der InformationstechnikRe Betreff Datenkopie Ihrer personenbezogenen Daten im BSI, Art. 15 Abs. 3 DSGVO – 25-170 II#1143
12.09.2022 13:30Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergWiderspruchsbescheide auf Widersprüche vom 27.05.2022
19.09.2022 09:29Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergIhr Schreiben an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)
19.09.2022 12:59Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Ihr Schreiben an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)
19.09.2022 15:20Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergRe Ihr Schreiben an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)

Anfragen

Die Liste meiner Anfragen ans Bundesamt für (Un)Sicherheit in der Informationstechnik:

ErstelltGeändertStatusBehördeThema
03.06.202107.07.2021Information nicht vorhandenBundesamt für Sicherheit in der InformationstechnikIT-Komponente
Der Grundschutz lässt halt viele Möglichkeiten offen. Man kann beliebig modellieren, man kann SOLLs wie Verschlüsselung abwählen. Eine Begründung wird zwar erwartet, aber im Zertifikat steht nichts davon. Letztendlich garantiert ein Grundschutzzertifikat keine Umsetzung auf dem Stand der Technik. Wie bei jedem Audit muss man den Bericht bekommen, oder in einem Vertrag konkrete Vereinbarungen treffen.Mehr auf https://blog.lindenberg.one/BundesamtUnsicherheit
07.07.202125.05.2022Warten auf Antwort (verspätet)Bundesamt für Sicherheit in der InformationstechnikSicherheitsaudits des Projekts "Sichere Implementierung einer allgemeinen Kryptobibliothek"
07.07.202113.09.2022VermittlungBundesamt für Sicherheit in der InformationstechnikVerschlüsselung im BSI Grundschutz?
Das BSI erwartet zu wenig Sicherheit. Mehr dazu auf https://blog.lindenberg.one/BundesamtUnsicherheit und speziell zu Verschlüsselung auf https://blog.lindenberg.one/VerschlusselungPflicht.Öffentliche Sicherheit ist dabei eine Phrase die alles mögliche enthält – s.a. https://de.wikipedia.org/wiki/%C3%96ffentliche_Sicherheit. Konkret gefährdet ist der Anspruch der Bürger auf Datenschutz (EU Grundrechte-Charta Artikel 8). Einen Angreifer wird Geheimhaltung der Sicherheitskonzepte nicht wirklich abhalten – s.a. https://blog.lindenberg.one/SecurityByObscurity.
01.08.202104.02.2022EingeschlafenBundesamt für Sicherheit in der InformationstechnikSicherheit von Software und Systemen?
Mal sehen ob das BMI noch etwas antwortet. Feststellen kann ich immerhin, dass zumindest kleine Unternehmen den Anbietern ausgeliefert sind. Woher soll ein kleines Unternehmen die Expertise haben, zu beurteilen ob die eingesetzten Systeme oder die eingesetzte Software sicher ist. Die Auswahl findet meist über Funktionen statt, die für den Anwender wichtiger sind – und oft auch über den Preis.Dabei stelle ich immer wieder fest, dass der Stand der Technik ignoriert wird. Aber dazu muss man das Kleingedruckte von Verträgen lesen und Software selbst unter die Lupe nehmen. Wer kann das schon? Und welche Alternativen hat man, wenn man feststellt dass die meisten Auftragsverarbeitungsverträge oder Produktbeschreibungen sehr lückenhaft sind?
04.09.202104.03.2022Information nicht vorhandenBundesamt für Sicherheit in der InformationstechnikLeitlinie Informationssicherheit des IT -Planungsrats
formal hat das BSI den Antrag abgelehnt, aber das ist sehe ich als Nebelkerze. Das BSI hat keine Informationen oder – meine Vermutung – will sie nicht herausgeben. Das ist leider ein Muster das ich in fast allen Anfragen an das BSI beobachte.Mehr dazu auf https://blog.lindenberg.one/BundesamtUnsicherheit.
18.09.202119.04.2022Warten auf Antwort (verspätet)Bundesamt für Sicherheit in der InformationstechnikSichere Email nach BSI TR-03108
Das BSI kann ganz offensichtlich keine klaren Empfehlungen geben und verbrennt damit Zeit und Geld aller die sich mit Sicherheit intensiv befassen wollen oder müssen. Mehr dazu auf https://blog.lindenberg.one/BundesamtUnsicherheit.Speziell hier: widersprüchliche Empfehlungen in Grundschutz und BSI TR 03108, keine Übernahme von Internet-Standards, so daß unklar bleibt welche Produkte geeignet sind, und Testanleitungen die unklar bleiben und offensichtlich nur selten praktiziert werden. So skaliert Sicherheit nicht. Das gefährdet unsere Grundrechte auf Privatheit (Artikel 7 EU-Grundrechtecharta) und Datenschutz (Artikel 8) – mehr dazu auf https://blog.lindenberg.one/AufsichtOhneOrientierung.
23.09.202108.10.2021Information nicht vorhandenBundesamt für Sicherheit in der InformationstechnikBausteine NET.2.1 und NET.2.2 – 802.1X Sicherheit
Grundschutz – leider kann man den erfüllen und doch unsicher sein. Das BSI tut nicht genug, Sicherheit zu unterstützen. Mehr zu 802.1X und Eduroam auf https://blog.lindenberg.one/BundesamtUnsicherheit.
07.02.202224.05.2022Warten auf Antwort (verspätet)Bundesamt für Sicherheit in der InformationstechnikPGP/S/MIME vs RFC 7672 und DKIM?
Das BSI hat anscheinend keine (Er-)Kenntnisse, wie leider an so vielen anderen Stellen auch. Allen die hier vorbeilesen oder folgen daher zum Lesen empfohlen, vom speziellen (PGP) zum allgemeineren:https://blog.lindenberg.one/VergleichRfc7672PgpSmimehttps://blog.lindenberg.one/AufsichtOhneOrientierunghttps://blog.lindenberg.one/BundesamtUnsicherheitund natürlich freue ich mich auch über Feedback und Diskussionen.
15.02.202211.05.2022Warten auf Antwort (verspätet)Bundesamt für Sicherheit in der InformationstechnikSchwachstelle vs. fehlende Unterstützung von Best Practices
Das BSI hat anscheinend keine (Er-)Kenntnisse, wie leider an so vielen anderen Stellen auch. Allen die hier vorbeilesen oder folgen daher zum Lesen empfohlen, vom speziellen (PGP) zum allgemeineren:https://blog.lindenberg.one/VergleichRfc7672PgpSmimehttps://blog.lindenberg.one/BundesamtUnsicherheitund natürlich freue ich mich auch über Feedback und Diskussionen.
07.03.202215.09.2022VermittlungBundesamt für Sicherheit in der InformationstechnikIT-Sicherheitskongress – Programmkommittee, Auswahl von Beiträgen, etc.?

Veröffentlicht am 25.03.2022, zuletzt geändert am 29.08.2022.

© 2022 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.