Themen
Sichere Kommunikation bei Email
Ich habe ein Video zur sicheren Kommunikation bei Email produziert. Natürlich wird der eine oder andere sagen, alles bekannt. Bei regelmäßigen Lesern hier vermutlich einige, aber wenn ich so die Reaktionen in meinen Kursen sehe, leider nicht die Mehrheit.Veröffentlicht am 09.11.2023.
Schwachstellen-Management
Schwachstellen Management? Will man wirklich immer erst ein Risiko abschätzen oder ist es nicht besser gleich zu patchen? Ich denke: besser gleich patchen und nur wenn es Probleme gibt oder kein Patch existiert über das Risiko nachdenken. Und bei der Gelegenheit: warum wird der Grundschutz an dieser Stelle schlechter?Veröffentlicht am 01.10.2023, zuletzt geändert am 13.11.2023.
CIA, (to) DIE, or CAP?
TLAs. Drei-Buchstaben-Abkürzungen. Wenn Sie nicht alle kennen, dann ist das ganz normal. Ich beleuchte ein paar davon im Zusammenhang, und wenn Sie danach (besser) verstehen, dass Verfügbarkeit etwas besonderes ist, dann hat der Buchstabensalat etwas gebracht.Veröffentlicht am 31.08.2023.
Emailsicherheit und die Aufsichten
Einige meiner Leser werden natürlich denken, schon wieder Email. Stimmt. Ich werde in diesem Artikel auch so wenig wie möglich aus den vorhergehenden Artikeln wiederholen sondern aufzeigen, wie wenig sich seit Veröffentlichung der Orientierungshilfe geändert hat und woran ich das Scheitern sehe. An Email kann man das Sicherheitsbewusstsein der Nation oder Verwaltung und die Trägheit der Aufsicht (leider) sehr gut ablesen. Dass die Aufsicht über die Schonfrist von Mai 2016 bis Mai 2018 hinaus und drei Jahre nach Veröffentlichung der ersten Orientierungshilfe diese selbst nicht umsetzt, ist ein Verstoß gegen Artikel 32 DSGVO, dass sie bei anderen Verantwortlichen die Datenschutzgrundverordnung nicht durchsetzt, ist in meinen Augen Rechtsbeugung, denn Artikel 57 Abs. 1 lit. a erklärt mit die Anwendung dieser Verordnung überwachen und durchzusetzen das eindeutig zur Aufgabe der Aufsicht, und Artikel 58 liefert auch entsprechende Möglichkeiten dazu.Veröffentlicht am 28.07.2023.
Die Aufsicht schläft
Die Datenschutzgrundverordnung (DSGVO) trat am 25. Mai 2018 in Kraft – vor rund fünf Jahren. Anfangs gab es riesen Diskussionen über Umsetzung und Strafen – aber beides ist eher ausgeblieben. Oder am ehesten wahrnehmbar im Gesundheitswesen und bei außereuropäischen oder in Irland ansässigen Anbietern. Warum? Die Aufsicht schläft. Nicht nur meine Wahrnehmung...Veröffentlicht am 22.05.2023.
Offener Brief zu Sicherheitsfragen an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
Der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit hat eine andere Auffassung zu Sicherheitsfragen als ich. Ein offener Brief...Veröffentlicht am 03.04.2023.
Vodafone, der Datenschutz und Verbraucherrechte
Vodafone missachtet Gesetze. Datenschutz, Telekommunikationsgesetz, und andere Verbraucherrechte. Und statt gesetzestreu zu sein oder zu werden, kündigt man anscheinend lieber Kunden die versuchen, ihre Rechte ernst zu nehmen oder gar durchzusetzen. Bei mir entsteht der Eindruck, Gesetzestreue ist beim Geldverdienen von Vodafone nicht eingepreist.Veröffentlicht am 24.03.2023.
Angriff auf Karlsruher Schulen
Karlsruher Schulen gehackt. Nur leider scheint die Stadt Karlsruhe ihre Verpflichtungen aus der Datenschutzgrundverordnung nicht so ernst zu nehmen...Letzte Aktualisierung 03.03.2023: Ein Problem kommt selten allein... Nutzung privater Computer, weitere veraltetete Komponenten, möglicherweise fehlende Verschlüsselung.
Veröffentlicht am 22.02.2023, zuletzt geändert am 03.03.2023.
Sicherheit? Nein Unsinn!
In letzter Zeit häufen sich zumindest in meiner Wahrnehmung unsinnige Verifikationen oder Multi-Faktor-Authentifizierung (MFA). Auch die Verschlüsselung mit dem Geburtsdatum hat wenig mit Sicherheit zu tun. Also mal ein kleiner Exkurs zu MFA und anderen fragwürdigen Verfahren, deren Verbreitung in Deutschland leider eher zu als abnimmt.Aktualisierung 14.10.2022: Sicherheitsfragen in einigen Verwaltungsportalen.
Veröffentlicht am 01.09.2022, zuletzt geändert am 14.10.2022.
Digitale Selbstverteidigung
Ich will Sicherheit und Datenschutz voranbringen. Das wollen andere auch, darunter digitalcourage, netzpolitik, mobilsicher, und andere. Aber nicht alles was dann als "Digitale Selbstverteidigung" propagiert wird ist für Normalanwender verständlich und umsetzbar, und leider oft auch nicht ausreichend. Vielleicht sollten man auch genauer hinsehen, welche Pflichten den Anwender und welche den Verantwortlichen treffen.Letzte Aktualisierung 31.01.2023: Abschnitt zu Windows vs. Linux, mehr Infos zu Verschlüsselung, weitere Anbieter: D64, Digitale Gesellschaft. Alle Änderungen auf der Seite dokumentiert.
Veröffentlicht am 20.07.2022, zuletzt geändert am 31.01.2023.
Auskunft – selten korrekt
Einige haben vielleicht schon eine Auskunft angefordert. Dann kommen meist per Post ein paar Seiten Papier mit Stammdaten wie Namen, Emailadresse, und welchen Vertrag man hat. Ist das alles? Sehr wahrscheinlich nicht. Von meinen Auskunftsanfragen sind etwa 2/3 mangelhaft und haben zu einer Beschwerde geführt. Ich will versuchen zu erklären, worauf es ankommt...Aktualisierung 14.10.2022: Details im Ablauf, zur Anfrage und zur Vollständigkeit, und zu Behörden ergänzt.
Veröffentlicht am 14.07.2022, zuletzt geändert am 14.10.2022.
Nutzung privater Mittel durch die Organisation vs. private Nutzung von Mitteln der Organisation
Darf ein Mitarbeiter einer Organisation für seine Tätigkeit private Mittel, z.B. einen privaten Computer oder eine private Emailadresse verwenden? Und umgekehrt, darf er seine Emailadresse oder den Computer der Organisation privat nutzen? Ich weiß, dass das in vielen Organisationen normal ist, aber ich rate davon ab. Die konsequenteste Lösung ist die beste – trenne Deine Mittel nach Rollen. Klingt nach Schizophrenie – genau das sollte man hier üben. ...Veröffentlicht am 02.07.2022.
Vergleich RFC 7672 vs. PGP / S/MIME
Weder das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) haben bisher ihre Gründe für die Verwendung von PGP oder S/MIME veröffentlicht. Also will ich meine eigenen Erkenntnisse etwas übersichtlicher und durchaus plakativer veröffentlichen. Und auch... mir ist bewusst, dass andere wie Digitalcourage (Open)PGP empfehlen. Aber wir sollten stattdessen eher die Aufsichten auffordern, die Einhaltung des Fernmeldegeheimnisses von Telekommunikationsdiensten einzufordern – und da macht RFC 7672 mehr Sinn als PGP oder S/MIME.Veröffentlicht am 25.05.2022, zuletzt geändert am 08.11.2023.
Dataport – kann man nur verpfeifen!
Dataport nimmt Sicherheit und Datenschutz nicht ernst. Man spricht zwar über den Grundschutz und hat ein zertifiziertes Rechenzentrum, aber die Zertifizierung ist auf niedrigem Niveau und erfüllt nicht den festgestellten Schutzbedarf der Verfahren. Und weder das Management noch die Aufsicht wird wegen der Verletzung der Artikel 28, 30, und 32 Datenschutzgrundverordnung tätig...Deutschland braucht dringend die Umsetzung der Whistle-Blower-Richtlinie in das Hinweisgeberschutzgesetz.
Veröffentlicht am 02.05.2022.
Aufsicht – ohne Orientierung?
Nach Artikel 51 (1) DSGVO soll die Aufsicht unabhängig sein, nach Artikel 57 (1) a) soll sie "die Anwendung dieser Verordnung überwachen und durchsetzen". Leider Fehlanzeige. Auch wenn das BfDI meine IFG-Anfrage immer noch nicht abgearbeitet hat, liegen mir inwischen aufgrund einer Auskunftsanfrage Dokumente vor, die meiner Meinung nach das Versagen der Aufsicht dokumentieren. Schon allein dass diese Dokumente nicht veröffentlicht wurden, mir aber dennoch ungeschwärzt geschickt wurden, verstößt gegen Artikel 15 (4). Was ich sonst herauslesen kann, verstößt nicht nur gegen die genannten Artikel der DSGVO sondern auch gegen das Grundgesetz...Aktualisierung 10.04.2022: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit empfiehlt Verschlüsselung – nur will er sie auch durchsetzen?
Veröffentlicht am 28.03.2022, zuletzt geändert am 10.04.2022.
Vodafone – das Kabel-Gate
Seit Monaten habe ich immer wieder gestörtes Internet. OK, es gab Ende Februar einen Kaskadenausfall in Wolfartsweier, da war 28 Stunden alles kaputt. Aber auch davor und danach immer wieder Aufälle. Inzwischen glaube ich dass Vodafone schummelt – wie VW beim Diesel. Das Kabel-Gate?Veröffentlicht am 30.03.2022, zuletzt geändert am 05.04.2022.
Bundesamt für (Un)Sicherheit in der Informationstechnik
Seit letztem Jahr beschäftige ich mich intensiv mit dem BSI Grundschutz oder Kompendium. Der ist nach meinem Verständnis mehr eine Arbeitsbeschaffungsmaßnahme denn eine Hilfe, man kann alle Bausteine umsetzen und vom BSI zertifiziert werden und trotzdem unsicher sein. Das gibt das BSI sogar zu...Aktualisierung 29.08.2022: Man will jetzt doch Auskunft und Akteneinsicht per Email schicken – nur ist es keine gute Idee, Zertifikate und damit Schlüssel über den gleichen Kanal wie die zu verschlüsselnden Inhalte zu übertragen. Es erstaunt mich schon, dass das BSI an solchen Selbstverständlichkeiten scheitert. Aktualisierung 03.11.2022: Beispiele von Unsicherheit ergänzt – VMware ESXi und Reverse-Proxy/Web-Application-Firewalls.
Veröffentlicht am 25.03.2022, zuletzt geändert am 03.11.2022.
RFC 7672 mit Mailcow / Postfix
Was können Sie tun, um bei der Sicherheit von Email besser zu werden? Implementieren Sie den RFC 7672. Zumindest was ich denke, die Bundesnetzagentur hat ja noch keine Erwartung veröffentlicht...Veröffentlicht am 28.02.2022.
Emailsicherheit – der Test
Jetzt schreibe ich seit Monaten immer mal wieder über Emailsicherheit und Verschlüsselung – aber wie soll ich als Otto Normalverbraucher herausfinden, was mein Anbieter macht? Ich biete einen Test an...Aktualisierung 29.06.2022: Auf Wunsch von Lesern jetzt mit Beschreibung wie der Test funktionert. Aktualisierung 08.03.2022: Informationen zum BSI IT-Sicherheitskennzeichen und der TR03108-1 ergänzt. Außerdem werden kontinuierlich Testergebnisse ergänzt.Aktualisierung 28.06.2023: Der Test der Empfangsseite wurde überarbeitet und das Ergebnis wird jetzt tabellarisch dargestellt.
Veröffentlicht am 04.02.2022, zuletzt geändert am 28.06.2023.
Emailsicherheit bei Anwälten
Rechtsanwälte nehmen sich in ihrer Berufsordnung ein Sonderrecht heraus – unverschlüsselte Kommunikation mit Einwilligung des Mandanten. Das ist nach Ansicht der Datenschutzkonferenz nicht erlaubt oder allenfalls auf ausdrücklichen aktiven Wunsch des Kunden, und der wird selten vorliegen. Da sollten die Anwälte besser werden...Veröffentlicht am 04.02.2022.
Emailsicherheit bei öffentlichen Einrichtungen
Vor einigen Monaten habe ich schon meine Erkenntnisse zur Emailverschlüsselung veröffentlicht. Das BfDI überlegt anscheinend immer noch, ob man die eigenen Überlegungen veröffentlicht oder vielleicht lieber gleich die Orientierungshilfe überarbeitet. Das BSI hat anscheinend gar kein Interesse daran, seine widersprüchlichen Empfehlungen zu überdenken. Um mal ein Gefühl dafür zu bekommen wie das "öffentliche Deutschland" mit Emailverschlüsselung umgeht, habe ich einen Test gestartet...Veröffentlicht am 18.01.2022, zuletzt geändert am 08.04.2022.
Ist Verschlüsselung Pflicht?
Wenn man die Kommentare zur Datenschutzgrundverordnung oder den BSI Grundschutz liest, dann denkt man vermutlich nein, oder allenfalls bei öffentlichen Netzen oder hohem Schutzbedarf. Aber das stimmt nicht, Verschlüsselung ist eine Basisanforderung...Veröffentlicht am 05.01.2022.
Datenschutz im Koalitionsvertrag
Der Koalitionsvertrag wurde veröffentlicht. Während andere mehr auf die Digitalisierungschancen achten, wären mir konkrete Aussagen zu Sicherheit und Datenschutz wichtiger. Nur leider finden sich nur wenige konkrete Aussagen zum Datenschutz, und die werfen mehr Fragen als Antworten auf...Veröffentlicht am 01.12.2021.
Auftragsverarbeitung bei Email
Wer als Verantwortlicher personenbezogene Daten von jemand anderem verarbeiten lässt, braucht dafür einen Auftragsverarbeitungsvertrag. Wohl auch bei Email. Das hat sich vor allem bei Kleinstunternehmen oder Freiberuflern noch nicht wirklich rumgesprochen.Aktualisierung 20.12.2021: So viele Unklarheiten hätte ich nicht erwartet...
Veröffentlicht am 01.12.2021, zuletzt geändert am 20.12.2021.
Ist Artikel 32 DSGVO dispositiv?
Ich bin dieses Jahr mehrfach darüber gestolpert, dass ein Verantwortlicher meine Zustimmung dazu wollte, Informationen unverschlüsselt per Email zu verschicken – entsprechende Beschwerden bei der jeweils zuständigen Aufsicht laufen noch. Letztendlich habe ich den Eindruck, da steckt ein Muster dahinter, und dem will ich im folgenden nachgehen...Aktualisierung 26.11.2021: sehr erfreulich, die Datenschutzkonferenz hat am 24.11.2021 beschlossen, dass ein Verzicht auf TOMs (Artikel 32) nur in Ausnahmefällen und auf ausdrückliche Initiative des Betroffenen erlaubt ist. Jede formularmäßige Verwendung dürfte damit ausscheiden.
Veröffentlicht am 23.11.2021, zuletzt geändert am 27.11.2021.
Bedrohungsmodellierung
Bedrohungsmodellierung, aka Threat-Modeling – wie geht das ohne großen Aufwand? Muss man das dauernd wiederholen oder reicht es zu bestimmten Zeitpunkten?Veröffentlicht am 10.10.2021, zuletzt geändert am 15.12.2021.
Security by Obscurity
Das BSI will Dinge geheimhalten wegen der „öffentlichen Sicherheit“ – aber das ist keine gute Idee... Geheimnisse schaden der Sicherheit.Veröffentlicht am 28.09.2021, zuletzt geändert am 26.05.2023.
Sicherheitsanforderungen
Ich werde immer mal nach Sicherheitsanforderungen gefragt, die in Software umgesetzt werden sollen. Diese Seite fasst Sicherheitsanforderungen zusammen, die nach meiner Erfahrung für fast alle Anwendungen gelten, egal ob sie selbst erstellt oder zugekauft werden...Veröffentlicht am 29.08.2021, zuletzt geändert am 15.10.2021.
Email-Verschlüsselung
Die Datenschutzkonferenz hat im Juni 2021 eine neue Orientierungshilfe zur Emailverschlüsselung veröffentlicht. Auch das BSI hat eine Richtline zu sicherer Email – nur werfen leider beide Fragen auf...Veröffentlicht am 31.07.2021, zuletzt geändert am 26.09.2021.
Frag-den-Staat
Seit März 2021 lerne ich den BSI Grundschutz und das Online Zugangsgesetz kennen. Leider lässt der BSI Grundschutz an einigen Stellen doch viele Unklarheiten offen, die ich gerne geschlossen sehen würde. Ich habe dazu und zu einigen anderen Beobachtungen Anfragen auf FragDenStaat gestellt.Veröffentlicht am 31.07.2021, zuletzt geändert am 20.12.2021.
© 2023 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.