Moderne Käsblättle

Manchmal kann ich meine schwäbische Herkunft nicht verleugnen. Ein Käsblättle ist eine Zeitung oder Zeitschrift, die man nicht ernst nehmen muss oder darf. Beispiele dafür z.B. in Käsplättle ond Käsblättle oder Die junge Speyerer Morgenpost hat eine lange Geschichte und einen gewitzten Verleger: Die Käsblättle der Familienmafia, und über diesen Artikel hat der Begriff sogar den Einzug in die deutsche Wikipedia geschafft. Im Saarland findet sich es Käsblättsche, die den Namen angenommen hat, nur halt mit dem saarländischen Äquivalent -sche statt -le.

Zwei Beispiele für Käsblättle bzw. Zeitschriften im IT-Bereich mit fragwürdigem Inhalt will ich aufgreifen, vielleicht wird die Liste in der Zukunft auch erweitert. Beiden Beispielen ist gemeinsam, dass die Zeitschriften zwar gegen teuer Geld abonniert werden können, aber auch ganz oder teilweise kostenlos im Internet einsehbar sind. Gemeinsam haben sie auch, dass kritische Leserbriefe offensichtlich nicht erwünscht sind.

Natürlich kann ich nicht den Inhalt jedes Artikels beurteilen. Ich beschränke mich daher auf die, bei denen ich denke, wirklich mitreden zu können. Aber vertrauenswürdig ist es nicht, da scheint jedenfalls kein ernsthafter Review stattzufinden. Mir liefern diese Zeitschriften allenfalls Hinweise, womit ich mich noch befassen könnte, dann aber an anderer Stelle recherchieren muss.

Linux-Magazin

Diese Zeitschrift adressiert vermutlich, was ich mit meiner Freundin scherzhaft die Keller-Kinder der IT nenne, den Administrator der die IT am laufen hält, und gelegentlich neue Produkte ausprobiert, wobei nicht immer klar ist, ob die für den heimischen oder den Organisationskeller sein sollen. Dort aufgefallen sind mir mehrere Artikel von Martin Loschwitz, die in meinen Augen unnötig gedrucktes Papier belegen. Über einen – NAS im Eigenbau statt vorkonfektionierter Fertigsysteme – habe ich mich schon in CIA, (to) DIE, or CAP? ausgelassen. Einen anderen darf ich hier nennen: Sicher mailen. Ich musste den Artikel mehrfach lesen um etwas mit Bezug zu Sicherheit zu entdecken. Tatsächlich gäbe es einiges was man ansehen könnte:

Sicherheit des Emailservers selbst
Den Emailserver verschlüsseln? Das hätte ich auch beim Artikel zu NAS erwartet, aber in beiden Fällen Fehlanzeige. Dass Docker den Emailserver sicherer macht? Hängt davon ab wie die Container konfiguriert werden, aber das wird nur angesprochen, nicht aber ausgeführt. Im Link zum Artikel findet sich etwas zu Beispiel-Container mit Postfix und Rspamd. Im dortigen Dockerfile ist jedenfalls kein USER-Statement enthalten.
Sicherheit der Authentifizierung der eigenen Benutzer
Im Artikel wird ein SASL LDAP Plugin erwähnt, das man für postfix und hoffentlich auch für dovecot einsetzen kann. Wie man das konfiguriert wird aber leider nicht erwähnt. Das wäre interessant, denn die extern verwendeten Emailadressen stimmen bei vielen Organisationen nicht mit dem Benutzernamen überein, so dass ein Mapping erforderlich ist.
Sichere Kommunikation
In Abschnitt Das Medium absichern steht Sinnvoller ist es dagegen, den Mailserver mit SSL zu betreiben oder ihm zumindest einen SSL-Terminator voranzustellen. Das oder ... SSL-Terminator ist in meinen Augen ein Fehler, nicht nur weil SSL veraltet und TLS aktuell ist, sondern ich rate davon ab, denn zwischen SSL-Terminator und Mailserver kann dann ein Angreifer alles mitlesen. In den Abschnitten Senden und Empfangen und DMARC, DANE und mehr tauchen dann die Begriffe SPF, DKIM, DMARC und DANE auf, aber wenig strukturiert. Dass SPF, DKIM, DMARC der Authentifizierung des sendenden Servers dient findet sich leider erst im unpassenden Abschnitt DMARC, DANE und mehr, dass DANE (oder auch das gar nicht erwähnte MTA-STS) nicht nur zur Erzwingung von STARTTLS sondern auch der Authentifizierung des empfangenden Servers dient fehlt ganz. Dass ein Emailserver eine Email zurückweist, wenn die DKIM-Signatur falsch ist – das ist eher selten, denn das erlaubt eigentlich nur die Kombination mit DMARC, und dass DMARC empfangsseitig verwendet wird ist eine seltene Ausnahme. Dass man all diese Standards in Sende- und Empfangsrichtung verwenden sollte wird leider nicht erwähnt, die Beispiele von DNS-Einträgen beziehen sich immer nur auf eine davon. Vielleicht erklärt das, warum so viele Organisationen SPF, DKIM und DMARC nur beim Senden und DANE oder MTA-STS nur beim Empfangen, selten aber in beiden Richtungen können? Die Ausführungen zu Mailinglisten sind meiner Auffassung nach überwiegend falsch, aber das ist weder mein Spezialgebiet noch würde eine ernsthafte Kritik allein vom Umfang in diesen Artikel passen.
Sicherheit vor Spam, Viren, Phishing
Hier werden Amavisd, SpamAssassin, ClamAV und Rspamd erwähnt, aber eigentlich keine konkreten Empfehlungen gegeben. Einiges finde ich verwirrend oder irreführend. Natürlich kann postfix mit rspamd und ClamAV zusammenarbeiten und Spam zurückweisen statt akzeptieren.

Ein Artikel zum Absichern und vielleicht dann auch Testen eines Mailservers wäre durchaus interessant. Aber warum sollte man überhaupt bei 0 anfangen? mailcow: dockerized liefert einen vollständigen und vorkonfigurierten Emailserver auf Basis von Docker, setzt die gleichen Komponenten zusammen wie im Artikel, und fügt weitere hinzu. Um die rspamd- und ClamAV-Konfiguration muss man sich nicht kümmern – funktioniert out-of-the-box. Ich betreibe meinen mailcow seit April 2018 und musste bei Inbetriebnahme noch nicht einmal die Dokumentation der integrierten Komponenten lesen. Das ist erst erforderlich, wenn man Details ändern will, z.B. DANE aka RFC 7672 (s.a. RFC 7672 mit Mailcow / Postfix). Aber auf eine weitgehend fertige Lösung wollte man wohl nicht hinweisen, denn dann wären mindestens 5 der 6 Seiten Artikel unnötig gewesen. Zugegeben: von einem SASL-LDAP-Plugin steht bei mailcow nichts, vermutlich weil das im kostenpflichtigen Supports angeboten wird, aber eine echte Anleitung findet sich im Artikel halt auch nicht. Da die Konfigurationsdateien von postfix und dovecot bei mailcow zugänglich sind, kann man die auch ändern, sollte aber natürlich den Testaufwand nicht unterschätzen.

Letztendlich liefert der Artikel kaum Hilfestellung, einen Emailserver wirklich sicher zu konfigurieren. Er reißt Themen an ohne weiterführende Information oder Anleitungen zur Konfiguration zu liefern.

Mein Verdikt: Vorsicht vor unreflektierter Übernahme irgendwelcher Informationen aus Artikeln. Ich habe die Redaktion angeschrieben. Eine Emailadresse von Herrn Loschwitz habe ich nicht.

IT-Sicherheit

Bei IT-Sicherheit ist die Grenze zwischen Anzeige und Artikel äußerst fließend. Es gibt auch Advertorials, ein Kunstwort aus Advertisement und Editorial, aber leider findet sich auch in vielen Artikeln wenig konzeptionelles sondern nur Marketing. Zwei Beispiele greife ich aus der IT-Sicherheit 04/2024 heraus und habe damit auch den Chefredakteur konfrontiert:

Anfrage an den Chefredakteur der IT-Sicherheit

Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: 19.08.2024 15:50
An: 'Frank, Sebastian' <s.frank@kes.de>
Betreff: AW: Leserbriefe in IT-SICHERHEIT
Anlagen: Artikel "E­MAIL WAR GESTERN" IT-SICHERHEIT-4/2024

 

Sehr geehrter Herr Frank,

 

vielen Dank für Ihre Antwort.

 

Besonders ins Auge sind mir die Artikel „E­Mail war gestern“ (S.58>
Gesendet: Montag, 19. August 2024 12:10
An: Joachim Lindenberg <************@lindenberg.one>
Betreff: AW: Leserbriefe in IT-SICHERHEIT

 

Hallo Herr Lindenberg,

 

vielen Dank für Ihre E-Mail. Ihre Kritik an den Artikeln in der aktuellen Ausgabe interessiert mich natürlich sehr, besonders wenn einzelne Artikel bei Ihnen einen einseitigen oder irreführenden Eindruck hinterlassen haben.

 

Eine Leserbriefrubrik haben wir leider nicht. Bisher genügte immer der direkte Austausch mit unseren Lesern bzw. in manchen Fällen auch der direkte Kontakt mit dem Autor des jeweiligen Beitrags.

 

Um welche Artikel geht es denn genau? Wenn Sie mir die beiden Artikel nennen und die Kritik grob umreißen, könnte ich eventuell besser auf Ihr Anliegen eingehen. 

 

Vielen Dank für Ihre Unterstützung und viele Grüße

 

Sebastian Frank

 

 

--

Sebastian Frank

Chefredakteur IT-SICHERHEIT

stellv. Chefredakteur <kes>

 

Tel.:   +49 2234 9894922

E-Mail: s.frank@kes.de

 

Interessant ist der Hinweis im Impressum:

Mit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar .
Impressum IT-Sicherheit, Seite 66

Für mich bleibt da offen, ob die Redaktion überhaupt eine Meinung hat.

Weil mir das zumindest grenzwertig erschien habe ich die Landesanstalt für Medien Nordrhein-Westfalen dazu befragt. Die sieht aber keinen Verstoß darin:

Antwort der Landesanstalt für Medien Nordrhein-Westfalen

Von: ***************** <****************@medienanstalt-nrw.de>
Gesendet: 20.08.2024 11:04
An: ************@lindenberg.one <************@lindenberg.one>
Betreff: AW: IT-Sicherheit 04/2024

 

Sehr geehrter Herr Lindenberg,

 

in dem von Ihnen beanstandeten IT-Sicherheitsbericht der Webseite https://www.itsicherheit-online.com/, Ausgabe 04/2024 (August/September), abrufbar unter https://www.datakontext.com/media/archive/a8/db/97/epaper-IT-SICHERHEIT_4-2024/epaper/ausgabe.pdf, können wir keine Verstöße gegen den Medienstaatsvertrag (MStV) erkennen.

Für die Durchsetzung des Landespressegesetzes NRW (LPresseG NRW) sind wir als Landesanstalt für Medien NRW nicht zuständig. Unsere Zuständigkeit beschränkt sich gemäß § 88 Abs. 1 LMG NRW auf die Vorschriften des Landesmediengesetz NRW (LMG NRW) sowie auf den Medienstaatsvertrag (MStV).

 

Insbesondere verstößt der Bericht sowie die darin veröffentlichten Artikel nicht gegen die anerkannten journalistischen Grundsätze gemäß § 19 Abs. 1 MStV.

Die journalistischen Grundsätze fordern von Anbietern journalistisch-redaktionell gestalteter Telemedien u.a. folgendes:

•           Ordnungsgemäße Recherche und sorgfältige Quellenauswahl: Veröffentlichte Informationen müssen mit der nach den Umständen gebotenen Sorgfalt auf ihren Wahrheitsgehalt geprüft und wahrheitsgetreu wiedergegeben werden.

•           Unbestätigte Meldungen, Gerüchte und Vermutungen sind als solche kenntlich zu machen.

•           Inhalte dürfen nicht aus dem Zusammenhang gerissen werden; sie dürfen insbesondere nicht irreführend sein und den Sachverhalt falsch darstellen.

•           Werden nicht unerhebliche Teile von Fremdinhalten aus einer Drittquelle übernommen, so ist die Quelle zu benennen. Gleiches gilt für Zitatsammlungen.

•           Anonyme Quellen sind als solche zu kennzeichnen.

•           Zitate müssen unverfälscht aus Drittquellen übernommen werden.

•           Die Grundsätze der Verdachtsberichterstattung sind einzuhalten.

•           Werbung ist von redaktionellen Inhalten zu trennen.

 

Vorliegend bestehen keine Anhaltspunkte dafür, dass die Herausgeber des IT-Sicherheitsbericht der Webseite https://www.itsicherheit-online.com/ gegen diese journalistischen Sorgfaltspflichten verstoßen.

 

Anhaltspunkte dafür, dass es sich bei den Artikeln um werbliche Beiträge handelt, die als solche zu kennzeichnen wären, sind nicht ersichtlich. Insbesondere ist es hier wichtig zu betonen, dass Presseinhalte nicht neutral formuliert sein müssen. Sie dürfen eine gewisse Tendenz aufweisen (sog. „Tendenzfreiheit der Presse“). So ist es nicht zu beanstanden, dass der Manager der gemeinnützigen Signal Stiftung seinen Artikel auf den Nachrichtendienst „Signal“ fokussiert und sich anhand dieses Beispiels mit dem Thema der Sicherheit von Nachrichtendiensten auseinandersetzt. Hier wird der notwendigen Transparenz dadurch Rechnung getragen, dass in der Autorenbeschreibung sein beruflicher Hintergrund und eine evtl. Tendenz zum eigenen Produkt offengelegt wird. Dadurch kann der Leser eine entsprechende Färbung des Textes entsprechend einordnen.

 

Darüber hinaus ist auch der Inhalt der jeweiligen Beiträge nicht zu beanstanden.

Zunächst einmal ist in diesem Zusammenhang zu betonen, dass eine bloße falsche Information nicht automatisch gegen die journalistischen Sorgfaltspflichten gemäß § 19 Abs. 1 MStV verstößt. Erst wenn diese Falschinformation auf unsorgfältiger Recherche, unseriösen Quellen oder einer falschen Wiedergabe der Quelle beruht, kann diese eine Verletzung der journalistischen Grundsätze iSv § 19 Abs. 1 MStV begründen. Im vorliegenden Fall haben die Autoren aber offensichtlich sorgfältig recherchiert. Zudem werden die Inhalte nicht aus dem Zusammenhang gerissen, sodass kein falscher Eindruck beim Leser entsteht. Die Aufbereitung der Themen erfolgte journalistisch sorgfaltsgemäß.

Auch der von Ihnen beanstandete Abschnitt zu IT- und OT-Netzwerken auf Seite 46 begegnet keinen rechtlichen Bedenken. In dieser Gegenüberstellung ist es durchaus korrekt, für den OT-Bereich der Aufrechterhaltung der Betriebszeit Priorität einzuräumen. So schreiben z. B. auch andere Webseiten über OT-Netzwerke, dass im OT-Bereich – anders als bei IT-Netzwerken – die Verfügbarkeit an erster Stelle stehe, nicht die Vertraulichkeit (vgl. https://www.cisco.com/site/de/de/learn/topics/security/what-is-ot-security.html).

 

Damit werden aus unserer Sicht die anerkannten journalistischen Grundsätze beachtet; ein Verstoß gegen § 19 Abs. 1 MStV liegt nicht vor.

 

Ich hoffe, dass ich Ihnen damit weiterhelfen konnte. Für Rückfragen stehe ich Ihnen jederzeit zur Verfügung.

 

Mit freundlichen Grüßen

Im Auftrag

 

****************

Sachbearbeiterin Aufsicht

Recht

 

Landesanstalt für Medien NRW

Zollhof 2 

40221 Düsseldorf

Postfach 10 34 43

40025 Düsseldorf

 

T + 49 211 77007-0

F + 49 211 77007-***

 

****************@medienanstalt-nrw.de

www.medienanstalt-nrw.de

 

 

Von: ************@lindenberg.one <************@lindenberg.one>
Gesendet: Dienstag, 20. August 2024 09:29
An: ***************** <****************@medienanstalt-nrw.de>
Betreff: IT-Sicherheit 04/2024

 

Sehr geehrte Damen und Herren,

bei meinen Recherchen zu https://blog.lindenberg.one/ModerneKaesblaettle frage ich mich, ob das Vorgehen der Datakontext GmbH Frechen mit dem Pressegesetz NRW und dem Medienstaatsvertrag vereinbar ist. Ich vermute stark, dass bei den kritisierten Artikeln auf Seite 45 bzw. 58 der IT-Sicherheit 04/2024 für die „Artikel“ kein Geld geflossen ist, also § 10 PresseG NRW nur dann anwendbar ist, wenn man – wie auch sonst im Internet – auch Aufmerksamkeit oder Reichweite als Entgelt auffasst. §6 PresseG und §19 Abs. 1 MStV erscheinen mir aber in jedem Fall verletzt, denn die Redaktion hat die kritisierten Artikel ganz offensichtlich nicht inhaltlich geprüft sondern den Autoren freie Hand gelassen.

Wie sehen Sie das?

Vielen Dank und viele Grüße

Joachim Lindenberg

Nicht gefragt habe ich den Presserat, denn der Pressekodex ist freiwillig und es gibt keinen Hinweis darauf, dass IT-Sicherheit sich dem unterwirft. Dort heißt es:

Recherche ist unverzichtbares Instrument journalistischer Sorgfalt. Zur Veröffentlichung bestimmte Informationen in Wort, Bild und Grafik sind mit der nach den Umständen gebotenen Sorgfalt auf ihren Wahrheitsgehalt zu prüfen und wahrheitsgetreu wiederzugeben. Ihr Sinn darf durch Bearbeitung, Überschrift oder Bildbeschriftung weder entstellt noch verfälscht werden. Unbestätigte Meldungen, Gerüchte und Vermutungen sind als solche erkennbar zu machen.
Pressekodex, Ziffer 2 – Sorgfalt

Statt dass man also das Durchrutschen von fragwürdiger Meinung ohne Tatsachen einräumt, droht man mir mit der Rechtsabteilung als ich nachhake.

Was lernen wir daraus? Wir müssen selbst prüfen und entscheiden, was wir für richtig halten. Presse darf zwar keine bekannt falschen Fakten verbreiten, aber das Weglassen von Fakten bis zur vollständigen Sinnentleerung ist alleine kein Verstoß gegen die Sorgfaltspflicht. Und Meinung darf sie im Rahmen der Meinungsfreiheit eben auch tendenziöse haben. Auch ich! Nur dass ich versuche, meinen Lesern auch die Fakten oder Quellen meiner Meinung offenzulegen.

Kommunikation

Datum/ZeitSenderEmpfängerThema

Linux-Magazin (Redaktion)

30.07.2023 19:27Joachim LindenbergLinux MagazinNAS im Eigenbau statt vorkonfektionierter Fertigsysteme
30.07.2023 22:53Linux MagazinJoachim LindenbergAW NAS im Eigenbau statt vorkonfektionierter Fertigsysteme
02.08.2023 15:00Joachim LindenbergLinux MagazinAW NAS im Eigenbau statt vorkonfektionierter Fertigsysteme
02.08.2023 15:51Linux MagazinJoachim Lindenberg,
Linux Magazin		AW NAS im Eigenbau statt vorkonfektionierter Fertigsysteme
03.08.2023 10:30Joachim LindenbergLinux MagazinAW NAS im Eigenbau statt vorkonfektionierter Fertigsysteme
03.08.2023 10:40Linux MagazinJoachim LindenbergAW NAS im Eigenbau statt vorkonfektionierter Fertigsysteme
20.08.2023 10:52Joachim LindenbergLinux MagazinAW NAS im Eigenbau statt vorkonfektionierter Fertigsysteme
20.08.2023 15:43Linux MagazinJoachim LindenbergAW NAS im Eigenbau statt vorkonfektionierter Fertigsysteme
20.08.2023 21:00Joachim LindenbergLinux MagazinAW NAS im Eigenbau statt vorkonfektionierter Fertigsysteme

IT-Sicherheit (Redaktion)

18.08.2024 12:38Joachim LindenbergIT-SicherheitLeserbriefe in IT-SICHERHEIT
19.08.2024 12:10IT-SicherheitJoachim LindenbergRe Leserbriefe in IT-SICHERHEIT
19.08.2024 15:50Joachim LindenbergIT-SicherheitRe Leserbriefe in IT-SICHERHEIT
26.08.2024 11:00Joachim LindenbergIT-SicherheitRe Leserbriefe in IT-SICHERHEIT
27.08.2024 12:48IT-SicherheitJoachim LindenbergRe Leserbriefe in IT-SICHERHEIT
27.08.2024 16:19Joachim LindenbergIT-SicherheitRe Leserbriefe in IT-SICHERHEIT

IT-Sicherheit: Email war gestern (Signal)

19.08.2024 10:48Joachim LindenbergSignalArtikel 'E MAIL WAR GESTERN' IT-SICHERHEIT-4_2024
26.08.2024 11:04Joachim LindenbergSignalRe Artikel 'E MAIL WAR GESTERN' IT-SICHERHEIT-4_2024

Landesanstalt für Medien Nordrhein-Westfalen

20.08.2024 09:29Joachim LindenbergLandesanstalt für Medien Nordrhein-WestfalenIT-Sicherheit 04_2024
20.08.2024 11:04Landesanstalt für Medien Nordrhein-WestfalenJoachim LindenbergRe IT-Sicherheit 04_2024
23.08.2024 12:34Joachim LindenbergLandesanstalt für Medien Nordrhein-WestfalenRe IT-Sicherheit 04_2024
26.08.2024 11:04Landesanstalt für Medien Nordrhein-WestfalenJoachim LindenbergRe IT-Sicherheit 04_2024

Veröffentlicht am 06.09.2024.

© 2024 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.