Moderne Käsblättle
Manchmal kann ich meine schwäbische Herkunft nicht verleugnen. Ein Käsblättle
ist eine Zeitung oder Zeitschrift, die man nicht ernst nehmen muss oder darf. Beispiele dafür z.B. in Käsplättle ond Käsblättle oder Die junge Speyerer Morgenpost hat eine lange Geschichte und einen gewitzten Verleger: Die Käsblättle der Familienmafia, und über diesen Artikel hat der Begriff sogar den Einzug in die deutsche Wikipedia geschafft. Im Saarland findet sich es Käsblättsche, die den Namen angenommen hat, nur halt mit dem saarländischen Äquivalent -sche
statt -le
.
Zwei Beispiele für Käsblättle
bzw. Zeitschriften im IT-Bereich mit fragwürdigem Inhalt will ich aufgreifen, vielleicht wird die Liste in der Zukunft auch erweitert. Beiden Beispielen ist gemeinsam, dass die Zeitschriften zwar gegen teuer Geld abonniert werden können, aber auch ganz oder teilweise kostenlos im Internet einsehbar sind. Gemeinsam haben sie auch, dass kritische Leserbriefe offensichtlich nicht erwünscht sind.
Natürlich kann ich nicht den Inhalt jedes Artikels beurteilen. Ich beschränke mich daher auf die, bei denen ich denke, wirklich mitreden zu können. Aber vertrauenswürdig ist es nicht, da scheint jedenfalls kein ernsthafter Review stattzufinden. Mir liefern diese Zeitschriften allenfalls Hinweise, womit ich mich noch befassen könnte, dann aber an anderer Stelle recherchieren muss.
Linux-Magazin
Diese Zeitschrift adressiert vermutlich, was ich mit meiner Freundin scherzhaft die Keller-Kinder der IT
nenne, den Administrator der die IT am laufen hält, und gelegentlich neue Produkte ausprobiert, wobei nicht immer klar ist, ob die für den heimischen oder den Organisationskeller sein sollen. Dort aufgefallen sind mir mehrere Artikel von Martin Loschwitz, die in meinen Augen unnötig gedrucktes Papier belegen. Über einen – NAS im Eigenbau statt vorkonfektionierter Fertigsysteme – habe ich mich schon in CIA, (to) DIE, or CAP? ausgelassen. Einen anderen darf ich hier nennen: Sicher mailen. Ich musste den Artikel mehrfach lesen um etwas mit Bezug zu Sicherheit zu entdecken. Tatsächlich gäbe es einiges was man ansehen könnte:
- Sicherheit des Emailservers selbst
- Den Emailserver verschlüsseln? Das hätte ich auch beim Artikel zu NAS erwartet, aber in beiden Fällen Fehlanzeige. Dass Docker den Emailserver sicherer macht? Hängt davon ab wie die Container konfiguriert werden, aber das wird nur angesprochen, nicht aber ausgeführt. Im Link zum Artikel findet sich etwas zu
Beispiel-Container mit Postfix und Rspamd
. Im dortigen Dockerfile ist jedenfalls kein USER-Statement enthalten. - Sicherheit der Authentifizierung der eigenen Benutzer
- Im Artikel wird ein SASL LDAP Plugin erwähnt, das man für postfix und hoffentlich auch für dovecot einsetzen kann. Wie man das konfiguriert wird aber leider nicht erwähnt. Das wäre interessant, denn die extern verwendeten Emailadressen stimmen bei vielen Organisationen nicht mit dem Benutzernamen überein, so dass ein Mapping erforderlich ist.
- Sichere Kommunikation
- In Abschnitt
Das Medium absichern
stehtSinnvoller ist es dagegen, den Mailserver mit SSL zu betreiben oder ihm zumindest einen SSL-Terminator voranzustellen
. Dasoder ... SSL-Terminator
ist in meinen Augen ein Fehler, nicht nur weil SSL veraltet und TLS aktuell ist, sondern ich rate davon ab, denn zwischen SSL-Terminator und Mailserver kann dann ein Angreifer alles mitlesen. In den AbschnittenSenden und Empfangen
undDMARC, DANE und mehr
tauchen dann die Begriffe SPF, DKIM, DMARC und DANE auf, aber wenig strukturiert. Dass SPF, DKIM, DMARC der Authentifizierung des sendenden Servers dient findet sich leider erst im unpassenden AbschnittDMARC, DANE und mehr
, dass DANE (oder auch das gar nicht erwähnte MTA-STS) nicht nur zur Erzwingung von STARTTLS sondern auch der Authentifizierung des empfangenden Servers dient fehlt ganz. Dass ein Emailserver eine Email zurückweist, wenn die DKIM-Signatur falsch ist – das ist eher selten, denn das erlaubt eigentlich nur die Kombination mit DMARC, und dass DMARC empfangsseitig verwendet wird ist eine seltene Ausnahme. Dass man all diese Standards in Sende- und Empfangsrichtung verwenden sollte wird leider nicht erwähnt, die Beispiele von DNS-Einträgen beziehen sich immer nur auf eine davon. Vielleicht erklärt das, warum so viele Organisationen SPF, DKIM und DMARC nur beim Senden und DANE oder MTA-STS nur beim Empfangen, selten aber in beiden Richtungen können? Die Ausführungen zu Mailinglisten sind meiner Auffassung nach überwiegend falsch, aber das ist weder mein Spezialgebiet noch würde eine ernsthafte Kritik allein vom Umfang in diesen Artikel passen. - Sicherheit vor Spam, Viren, Phishing
- Hier werden Amavisd, SpamAssassin, ClamAV und Rspamd erwähnt, aber eigentlich keine konkreten Empfehlungen gegeben. Einiges finde ich verwirrend oder irreführend. Natürlich kann postfix mit rspamd und ClamAV zusammenarbeiten und Spam zurückweisen statt akzeptieren.
Ein Artikel zum Absichern und vielleicht dann auch Testen eines Mailservers wäre durchaus interessant. Aber warum sollte man überhaupt bei 0 anfangen? mailcow: dockerized liefert einen vollständigen und vorkonfigurierten Emailserver auf Basis von Docker, setzt die gleichen Komponenten zusammen wie im Artikel, und fügt weitere hinzu. Um die rspamd- und ClamAV-Konfiguration muss man sich nicht kümmern – funktioniert out-of-the-box. Ich betreibe meinen mailcow seit April 2018 und musste bei Inbetriebnahme noch nicht einmal die Dokumentation der integrierten Komponenten lesen. Das ist erst erforderlich, wenn man Details ändern will, z.B. DANE aka RFC 7672 (s.a. RFC 7672 mit Mailcow / Postfix). Aber auf eine weitgehend fertige Lösung wollte man wohl nicht hinweisen, denn dann wären mindestens 5 der 6 Seiten Artikel unnötig gewesen. Zugegeben: von einem SASL-LDAP-Plugin steht bei mailcow nichts, vermutlich weil das im kostenpflichtigen Supports angeboten wird, aber eine echte Anleitung findet sich im Artikel halt auch nicht. Da die Konfigurationsdateien von postfix und dovecot bei mailcow zugänglich sind, kann man die auch ändern, sollte aber natürlich den Testaufwand nicht unterschätzen.
Letztendlich liefert der Artikel kaum Hilfestellung, einen Emailserver wirklich sicher zu konfigurieren. Er reißt Themen an ohne weiterführende Information oder Anleitungen zur Konfiguration zu liefern.
Mein Verdikt: Vorsicht vor unreflektierter Übernahme irgendwelcher Informationen aus Artikeln. Ich habe die Redaktion angeschrieben. Eine Emailadresse von Herrn Loschwitz habe ich nicht.
IT-Sicherheit
Bei IT-Sicherheit ist die Grenze zwischen Anzeige und Artikel äußerst fließend. Es gibt auch Advertorials, ein Kunstwort aus Advertisement und Editorial, aber leider findet sich auch in vielen Artikeln wenig konzeptionelles sondern nur Marketing. Zwei Beispiele greife ich aus der IT-Sicherheit 04/2024 heraus und habe damit auch den Chefredakteur konfrontiert:
Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: 19.08.2024 15:50
An: 'Frank, Sebastian' <s.frank@kes.de>
Betreff: AW: Leserbriefe in IT-SICHERHEIT
Anlagen: Artikel "EMAIL WAR GESTERN" IT-SICHERHEIT-4/2024
Sehr geehrter Herr Frank,
vielen Dank für Ihre Antwort.
Besonders ins Auge sind mir die Artikel „EMail war gestern“ (S.58, Herr Bartenberger von Signal) und „Angriffserkennung mit IDS in Energieanlagen“ (S.45, Herren Teudeloff und Heindl von Omicron). Mit Herrn Bartenberger von Signal habe ich Kontakt aufgenommen, Sie finden meine Email an Herrn Bartenberger anbei.
An „Angriffserkennung mit IDS in Energieanlagen“ muss ich kritisieren, dass eine Abwägung zwischen den Schutzzielen Vertraulichkeit, Integrität, und Verfügbarkeit nicht nur in OT sondern auch in IT zugunsten der Verfügbarkeit ausgehen kann, und das eine bewusste Entscheidung des Risikomanagements sein sollte. Aber für OT den Primat der Verfügbarkeit zu postulieren und dann weiter zu schreiben, „Die Vertraulichkeit (Confidentiality) wird in einem OT-Netzwerk häufig am geringsten priorisiert. Schalt- oder Steuerbefehle werden meist unverschlüsselt und im Klartext im Netzwerk kommuniziert.“ um dann zu beschreiben wie man Spoofing-Angriffe erkennt, statt Verschlüsselung und Authentifizierung zu empfehlen – das ist in meinen Augen schon starker Tobak. Ähnliches findet sich leider zum Teil auch im Artikel „(K)ein Trauermärchen“ (S. 42, Herr Dietzmann, Rhebo).
Sie verwenden ja manchmal das Kunstwort Advertorial, z.B. auf Seite 14 der gleichen Ausgabe. Warum nicht bei diesen Artikeln? Weil dafür im Unterschied zu einer Anzeige kein Honorar bezahlt wurde?
Vielen Dank und viele Grüße
Joachim Lindenberg
Von: Frank, Sebastian <s.frank@kes.de>
Gesendet: Montag, 19. August 2024 12:10
An: Joachim Lindenberg <************@lindenberg.one>
Betreff: AW: Leserbriefe in IT-SICHERHEIT
Hallo Herr Lindenberg,
vielen Dank für Ihre E-Mail. Ihre Kritik an den Artikeln in der aktuellen Ausgabe interessiert mich natürlich sehr, besonders wenn einzelne Artikel bei Ihnen einen einseitigen oder irreführenden Eindruck hinterlassen haben.
Eine Leserbriefrubrik haben wir leider nicht. Bisher genügte immer der direkte Austausch mit unseren Lesern bzw. in manchen Fällen auch der direkte Kontakt mit dem Autor des jeweiligen Beitrags.
Um welche Artikel geht es denn genau? Wenn Sie mir die beiden Artikel nennen und die Kritik grob umreißen, könnte ich eventuell besser auf Ihr Anliegen eingehen.
Vielen Dank für Ihre Unterstützung und viele Grüße
Sebastian Frank
--
Sebastian Frank
Chefredakteur IT-SICHERHEIT
stellv. Chefredakteur <kes>
Tel.: +49 2234 9894922
E-Mail: s.frank@kes.de
Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: Sonntag, 18. August 2024 12:38
An: Frank, Sebastian <s.frank@kes.de>
Betreff: Leserbriefe in IT-SICHERHEIT
Sie erhalten nicht oft eine E-Mail von ************@lindenberg.one. Erfahren Sie, warum dies wichtig ist |
Sehr geehrter Herr Frank,
ich vermisse in Ihrer Zeitschrift IT-SICHERHEIT die Rubrik Leserbriefe, insbesondere weil ich mindestens zwei der Artikel der aktuellen Ausgabe 4/2024 für äußerst einseitig oder irreführend halte.
Wie handhaben Sie das?
Vielen Dank und viele Grüße
Joachim Lindenberg
Interessant ist der Hinweis im Impressum:
Mit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar .
Für mich bleibt da offen, ob die Redaktion überhaupt eine Meinung hat.
Weil mir das zumindest grenzwertig erschien habe ich die Landesanstalt für Medien Nordrhein-Westfalen dazu befragt. Die sieht aber keinen Verstoß darin:
Von: ***************** <****************@medienanstalt-nrw.de>
Gesendet: 20.08.2024 11:04
An: ************@lindenberg.one <************@lindenberg.one>
Betreff: AW: IT-Sicherheit 04/2024
Sehr geehrter Herr Lindenberg,
in dem von Ihnen beanstandeten IT-Sicherheitsbericht der Webseite https://www.itsicherheit-online.com/, Ausgabe 04/2024 (August/September), abrufbar unter https://www.datakontext.com/media/archive/a8/db/97/epaper-IT-SICHERHEIT_4-2024/epaper/ausgabe.pdf, können wir keine Verstöße gegen den Medienstaatsvertrag (MStV) erkennen.
Für die Durchsetzung des Landespressegesetzes NRW (LPresseG NRW) sind wir als Landesanstalt für Medien NRW nicht zuständig. Unsere Zuständigkeit beschränkt sich gemäß § 88 Abs. 1 LMG NRW auf die Vorschriften des Landesmediengesetz NRW (LMG NRW) sowie auf den Medienstaatsvertrag (MStV).
Insbesondere verstößt der Bericht sowie die darin veröffentlichten Artikel nicht gegen die anerkannten journalistischen Grundsätze gemäß § 19 Abs. 1 MStV.
Die journalistischen Grundsätze fordern von Anbietern journalistisch-redaktionell gestalteter Telemedien u.a. folgendes:
• Ordnungsgemäße Recherche und sorgfältige Quellenauswahl: Veröffentlichte Informationen müssen mit der nach den Umständen gebotenen Sorgfalt auf ihren Wahrheitsgehalt geprüft und wahrheitsgetreu wiedergegeben werden.
• Unbestätigte Meldungen, Gerüchte und Vermutungen sind als solche kenntlich zu machen.
• Inhalte dürfen nicht aus dem Zusammenhang gerissen werden; sie dürfen insbesondere nicht irreführend sein und den Sachverhalt falsch darstellen.
• Werden nicht unerhebliche Teile von Fremdinhalten aus einer Drittquelle übernommen, so ist die Quelle zu benennen. Gleiches gilt für Zitatsammlungen.
• Anonyme Quellen sind als solche zu kennzeichnen.
• Zitate müssen unverfälscht aus Drittquellen übernommen werden.
• Die Grundsätze der Verdachtsberichterstattung sind einzuhalten.
• Werbung ist von redaktionellen Inhalten zu trennen.
Vorliegend bestehen keine Anhaltspunkte dafür, dass die Herausgeber des IT-Sicherheitsbericht der Webseite https://www.itsicherheit-online.com/ gegen diese journalistischen Sorgfaltspflichten verstoßen.
Anhaltspunkte dafür, dass es sich bei den Artikeln um werbliche Beiträge handelt, die als solche zu kennzeichnen wären, sind nicht ersichtlich. Insbesondere ist es hier wichtig zu betonen, dass Presseinhalte nicht neutral formuliert sein müssen. Sie dürfen eine gewisse Tendenz aufweisen (sog. „Tendenzfreiheit der Presse“). So ist es nicht zu beanstanden, dass der Manager der gemeinnützigen Signal Stiftung seinen Artikel auf den Nachrichtendienst „Signal“ fokussiert und sich anhand dieses Beispiels mit dem Thema der Sicherheit von Nachrichtendiensten auseinandersetzt. Hier wird der notwendigen Transparenz dadurch Rechnung getragen, dass in der Autorenbeschreibung sein beruflicher Hintergrund und eine evtl. Tendenz zum eigenen Produkt offengelegt wird. Dadurch kann der Leser eine entsprechende Färbung des Textes entsprechend einordnen.
Darüber hinaus ist auch der Inhalt der jeweiligen Beiträge nicht zu beanstanden.
Zunächst einmal ist in diesem Zusammenhang zu betonen, dass eine bloße falsche Information nicht automatisch gegen die journalistischen Sorgfaltspflichten gemäß § 19 Abs. 1 MStV verstößt. Erst wenn diese Falschinformation auf unsorgfältiger Recherche, unseriösen Quellen oder einer falschen Wiedergabe der Quelle beruht, kann diese eine Verletzung der journalistischen Grundsätze iSv § 19 Abs. 1 MStV begründen. Im vorliegenden Fall haben die Autoren aber offensichtlich sorgfältig recherchiert. Zudem werden die Inhalte nicht aus dem Zusammenhang gerissen, sodass kein falscher Eindruck beim Leser entsteht. Die Aufbereitung der Themen erfolgte journalistisch sorgfaltsgemäß.
Auch der von Ihnen beanstandete Abschnitt zu IT- und OT-Netzwerken auf Seite 46 begegnet keinen rechtlichen Bedenken. In dieser Gegenüberstellung ist es durchaus korrekt, für den OT-Bereich der Aufrechterhaltung der Betriebszeit Priorität einzuräumen. So schreiben z. B. auch andere Webseiten über OT-Netzwerke, dass im OT-Bereich – anders als bei IT-Netzwerken – die Verfügbarkeit an erster Stelle stehe, nicht die Vertraulichkeit (vgl. https://www.cisco.com/site/de/de/learn/topics/security/what-is-ot-security.html).
Damit werden aus unserer Sicht die anerkannten journalistischen Grundsätze beachtet; ein Verstoß gegen § 19 Abs. 1 MStV liegt nicht vor.
Ich hoffe, dass ich Ihnen damit weiterhelfen konnte. Für Rückfragen stehe ich Ihnen jederzeit zur Verfügung.
Mit freundlichen Grüßen
Im Auftrag
| **************** Sachbearbeiterin Aufsicht Recht
Landesanstalt für Medien NRW Zollhof 2 40221 Düsseldorf Postfach 10 34 43 40025 Düsseldorf
T + 49 211 77007-0 F + 49 211 77007-***
|
Von: ************@lindenberg.one <************@lindenberg.one>
Gesendet: Dienstag, 20. August 2024 09:29
An: ***************** <****************@medienanstalt-nrw.de>
Betreff: IT-Sicherheit 04/2024
Sehr geehrte Damen und Herren,
bei meinen Recherchen zu https://blog.lindenberg.one/ModerneKaesblaettle frage ich mich, ob das Vorgehen der Datakontext GmbH Frechen mit dem Pressegesetz NRW und dem Medienstaatsvertrag vereinbar ist. Ich vermute stark, dass bei den kritisierten Artikeln auf Seite 45 bzw. 58 derIT-Sicherheit 04/2024 für die „Artikel“ kein Geld geflossen ist, also § 10 PresseG NRW nur dann anwendbar ist, wenn man – wie auch sonst im Internet – auch Aufmerksamkeit oder Reichweite als Entgelt auffasst. §6 PresseG und §19 Abs. 1 MStV erscheinen mir aber in jedem Fall verletzt, denn die Redaktion hat die kritisierten Artikel ganz offensichtlich nicht inhaltlich geprüft sondern den Autoren freie Hand gelassen.
Wie sehen Sie das?
Vielen Dank und viele Grüße
Joachim Lindenberg
Nicht gefragt habe ich den Presserat, denn der Pressekodex ist freiwillig und es gibt keinen Hinweis darauf, dass IT-Sicherheit sich dem unterwirft. Dort heißt es:
Recherche ist unverzichtbares Instrument journalistischer Sorgfalt. Zur Veröffentlichung bestimmte Informationen in Wort, Bild und Grafik sind mit der nach den Umständen gebotenen Sorgfalt auf ihren Wahrheitsgehalt zu prüfen und wahrheitsgetreu wiederzugeben. Ihr Sinn darf durch Bearbeitung, Überschrift oder Bildbeschriftung weder entstellt noch verfälscht werden. Unbestätigte Meldungen, Gerüchte und Vermutungen sind als solche erkennbar zu machen.
Statt dass man also das Durchrutschen von fragwürdiger Meinung ohne Tatsachen einräumt, droht man mir mit der Rechtsabteilung als ich nachhake.
Was lernen wir daraus? Wir müssen selbst prüfen und entscheiden, was wir für richtig halten. Presse darf zwar keine bekannt falschen Fakten verbreiten, aber das Weglassen von Fakten bis zur vollständigen Sinnentleerung ist alleine kein Verstoß gegen die Sorgfaltspflicht. Und Meinung darf sie im Rahmen der Meinungsfreiheit eben auch tendenziöse haben. Auch ich! Nur dass ich versuche, meinen Lesern auch die Fakten oder Quellen meiner Meinung offenzulegen.
Kommunikation
| Datum/Zeit | Sender | Empfänger | Thema |
|---|---|---|---|
Linux-Magazin (Redaktion) | |||
| 30.07.2023 19:27 | Joachim Lindenberg | Linux-Magazin | NAS im Eigenbau statt vorkonfektionierter Fertigsysteme |
| 30.07.2023 22:53 | Linux-Magazin | Joachim Lindenberg | AW NAS im Eigenbau statt vorkonfektionierter Fertigsysteme |
| 02.08.2023 15:00 | Joachim Lindenberg | Linux-Magazin | AW NAS im Eigenbau statt vorkonfektionierter Fertigsysteme |
| 02.08.2023 15:51 | Linux-Magazin | Joachim Lindenberg, Linux-Magazin | AW NAS im Eigenbau statt vorkonfektionierter Fertigsysteme |
| 03.08.2023 10:30 | Joachim Lindenberg | Linux-Magazin | AW NAS im Eigenbau statt vorkonfektionierter Fertigsysteme |
| 03.08.2023 10:40 | Linux-Magazin | Joachim Lindenberg | AW NAS im Eigenbau statt vorkonfektionierter Fertigsysteme |
| 20.08.2023 10:52 | Joachim Lindenberg | Linux-Magazin | AW NAS im Eigenbau statt vorkonfektionierter Fertigsysteme |
| 20.08.2023 15:43 | Linux-Magazin | Joachim Lindenberg | AW NAS im Eigenbau statt vorkonfektionierter Fertigsysteme |
| 20.08.2023 21:00 | Joachim Lindenberg | Linux-Magazin | AW NAS im Eigenbau statt vorkonfektionierter Fertigsysteme |
IT-Sicherheit (Redaktion) | |||
| 18.08.2024 12:38 | Joachim Lindenberg | IT-Sicherheit | Leserbriefe in IT-SICHERHEIT |
| 19.08.2024 12:10 | IT-Sicherheit | Joachim Lindenberg | Re Leserbriefe in IT-SICHERHEIT |
| 19.08.2024 15:50 | Joachim Lindenberg | IT-Sicherheit | Re Leserbriefe in IT-SICHERHEIT |
| 26.08.2024 11:00 | Joachim Lindenberg | IT-Sicherheit | Re Leserbriefe in IT-SICHERHEIT |
| 27.08.2024 12:48 | IT-Sicherheit | Joachim Lindenberg | Re Leserbriefe in IT-SICHERHEIT |
| 27.08.2024 16:19 | Joachim Lindenberg | IT-Sicherheit | Re Leserbriefe in IT-SICHERHEIT |
IT-Sicherheit: Email war gestern (Signal) | |||
| 19.08.2024 10:48 | Joachim Lindenberg | Signal | Artikel 'E MAIL WAR GESTERN' IT-SICHERHEIT-4_2024 |
| 26.08.2024 11:04 | Joachim Lindenberg | Signal | Re Artikel 'E MAIL WAR GESTERN' IT-SICHERHEIT-4_2024 |
Landesanstalt für Medien Nordrhein-Westfalen | |||
| 20.08.2024 09:29 | Joachim Lindenberg | Landesanstalt für Medien Nordrhein-Westfalen | IT-Sicherheit 04_2024 |
| 20.08.2024 11:04 | Landesanstalt für Medien Nordrhein-Westfalen | Joachim Lindenberg | Re IT-Sicherheit 04_2024 |
| 23.08.2024 12:34 | Joachim Lindenberg | Landesanstalt für Medien Nordrhein-Westfalen | Re IT-Sicherheit 04_2024 |
| 26.08.2024 11:04 | Landesanstalt für Medien Nordrhein-Westfalen | Joachim Lindenberg | Re IT-Sicherheit 04_2024 |
Veröffentlicht am 06.09.2024.
© 2024 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.