Schwerpunkt: IT-Sicherheit
Eine ganze Reihe meiner Beiträge befasst sich mit IT-Sicherheit. Mit Sicherheit habe ich mich schon im Studium befasst, und die Beschäftigung wurde im Laufe meines beruflichen Werdegangs immer intensiver.
Nicht auf dieser Seite verlinkt sind Beiträge zur Email-Sicherheit.
Die weiteren Beiträge im Überblick:
Mythos Ende-zu-Ende-Verschlüsselung
Leider sehe ich immer wieder Sätze wie "Ende-zu-Ende-Verschlüsselung ist inzwischen der anerkannte Mindeststandard in der elektronischen Kommunikation." Ich werde das genauer beleuchten und versuchen, diesen Mythos zu entzaubern. Außerdem werfe ich einen Blick auf den Referentenentwurf, mit dem die Koalition ein Recht auf Verschlüsselung einführen will.Veröffentlicht am 24.04.2024, Reaktionen 05.04.2025
Grundwissen Verschlüsselung
Ich unterrichte immer mal wieder. Und sehe natürlich auch fremdes Kursmaterial, Bücher, oder Internetseiten, die mich oft nicht überzeugen. Oft viele Details, wenig Überblick. Also will ich Mal das Thema Verschlüsselung im Überblick beleuchten.Veröffentlicht am 16.04.2024, Reaktionen 30.04.2024
Schwachstellen-Management
Schwachstellen Management? Will man wirklich immer erst ein Risiko abschätzen oder ist es nicht besser gleich zu patchen? Ich denke: besser gleich patchen und nur wenn es Probleme gibt oder kein Patch existiert über das Risiko nachdenken. Und bei der Gelegenheit: warum wird der Grundschutz an dieser Stelle schlechter?Veröffentlicht am 01.10.2023, zuletzt geändert am 13.11.2023.
CIA, (to) DIE, or CAP?
TLAs. Drei-Buchstaben-Abkürzungen. Wenn Sie nicht alle kennen, dann ist das ganz normal. Ich beleuchte ein paar davon im Zusammenhang, und wenn Sie danach (besser) verstehen, dass Verfügbarkeit etwas besonderes ist, dann hat der Buchstabensalat etwas gebracht.Veröffentlicht am 31.08.2023.
Offener Brief zu Sicherheitsfragen an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
Der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit hat eine andere Auffassung zu Sicherheitsfragen als ich. Ein offener Brief...Veröffentlicht am 03.04.2023, Reaktionen 25.10.2024
Angriff auf Karlsruher Schulen
Karlsruher Schulen gehackt. Nur leider scheint die Stadt Karlsruhe ihre Verpflichtungen aus der Datenschutzgrundverordnung nicht so ernst zu nehmen...Letzte Aktualisierung 03.03.2023: Ein Problem kommt selten allein... Nutzung privater Computer, weitere veraltetete Komponenten, möglicherweise fehlende Verschlüsselung.
Veröffentlicht am 22.02.2023, zuletzt geändert am 03.03.2023, Reaktionen 28.02.2023
Verwaltungsportale – was macht die Aufsicht?
Christina Franke hat im letzten Herbst Beschwerde über 16 deutsche Verwaltungsportale bei 16 Aufsichten eingereicht, und jetzt Auskunft, Akteneinsicht und Standmitteilung beantragt. Das Ergebnis: die Aufsichten haben massive Defizite – mindestens beim Personal, oft auch mit der DSGVO, aber auch beim Verfolgen von Sicherheitsproblemen. Nur Hessen hat anscheinend soweit untersucht, dass man etwas gefunden hat...Aktualisierung 07.10.2022: Bei Akteneinsicht (Teil der Datenkopie) mussten wir die Jas zu teilweise abwerten. Es gab im Arbeitskreis Verwaltung Diskussionen über die Beschwerden die nicht beauskunftet wurden. Auch ohne Namensnennung sind das aber personenbezogene Daten. Richtig traurig ist, wie einige Aufsichten – Bayern, Brandenburg, Niedersachen – versuchen Transparenz zu verhindern. Außerdem jetzt mit einer Beschreibung und Tabelle über die Beschwerdeinhalte. Die Kommunikation deckt jetzt alle Aufsichten ab und wird kontinuierlich ergänzt.
Veröffentlicht am 20.09.2022, zuletzt geändert am 07.10.2022.
Sicherheit? Nein Unsinn!
In letzter Zeit häufen sich zumindest in meiner Wahrnehmung unsinnige Verifikationen oder Multi-Faktor-Authentifizierung (MFA). Auch die Verschlüsselung mit dem Geburtsdatum hat wenig mit Sicherheit zu tun. Also mal ein kleiner Exkurs zu MFA und anderen fragwürdigen Verfahren, deren Verbreitung in Deutschland leider eher zu als abnimmt.Aktualisierung 14.10.2022: Sicherheitsfragen in einigen Verwaltungsportalen.
Veröffentlicht am 01.09.2022, zuletzt geändert am 14.10.2022, Reaktionen 09.05.2024
Digitale Selbstverteidigung
Ich will Sicherheit und Datenschutz voranbringen. Das wollen andere auch, darunter digitalcourage, netzpolitik, mobilsicher, und andere. Aber nicht alles was dann als "Digitale Selbstverteidigung" propagiert wird ist für Normalanwender verständlich und umsetzbar, und leider oft auch nicht ausreichend. Vielleicht sollten man auch genauer hinsehen, welche Pflichten den Anwender und welche den Verantwortlichen treffen.Letzte Aktualisierung 31.01.2023: Abschnitt zu Windows vs. Linux, mehr Infos zu Verschlüsselung, weitere Anbieter: D64, Digitale Gesellschaft. Alle Änderungen auf der Seite dokumentiert.
Veröffentlicht am 20.07.2022, zuletzt geändert am 31.01.2023, Reaktionen 15.05.2024
Dataport – kann man nur verpfeifen!
Dataport nimmt Sicherheit und Datenschutz nicht ernst. Man spricht zwar über den Grundschutz und hat ein zertifiziertes Rechenzentrum, aber die Zertifizierung ist auf niedrigem Niveau und erfüllt nicht den festgestellten Schutzbedarf der Verfahren. Und weder das Management noch die Aufsicht wird wegen der Verletzung der Artikel 28, 30, und 32 Datenschutzgrundverordnung tätig...Deutschland braucht dringend die Umsetzung der Whistle-Blower-Richtlinie in das Hinweisgeberschutzgesetz.
Veröffentlicht am 02.05.2022, Reaktionen 12.04.2024
Bundesamt für (Un)Sicherheit in der Informationstechnik
Seit letztem Jahr beschäftige ich mich intensiv mit dem BSI Grundschutz oder Kompendium. Der ist nach meinem Verständnis mehr eine Arbeitsbeschaffungsmaßnahme denn eine Hilfe, man kann alle Bausteine umsetzen und vom BSI zertifiziert werden und trotzdem unsicher sein. Das gibt das BSI sogar zu...Aktualisierung 29.08.2022: Man will jetzt doch Auskunft und Akteneinsicht per Email schicken – nur ist es keine gute Idee, Zertifikate und damit Schlüssel über den gleichen Kanal wie die zu verschlüsselnden Inhalte zu übertragen. Es erstaunt mich schon, dass das BSI an solchen Selbstverständlichkeiten scheitert. Aktualisierung 03.11.2022: Beispiele von Unsicherheit ergänzt – VMware ESXi und Reverse-Proxy/Web-Application-Firewalls.
Veröffentlicht am 25.03.2022, zuletzt geändert am 03.11.2022.
Ist Verschlüsselung Pflicht?
Wenn man die Kommentare zur Datenschutzgrundverordnung oder den BSI Grundschutz liest, dann denkt man vermutlich nein, oder allenfalls bei öffentlichen Netzen oder hohem Schutzbedarf. Aber das stimmt nicht, Verschlüsselung ist eine Basisanforderung...Veröffentlicht am 05.01.2022.
Bedrohungsmodellierung
Bedrohungsmodellierung, aka Threat-Modeling – wie geht das ohne großen Aufwand? Muss man das dauernd wiederholen oder reicht es zu bestimmten Zeitpunkten?Veröffentlicht am 10.10.2021, zuletzt geändert am 15.12.2021.
Security by Obscurity
Das BSI will Dinge geheimhalten wegen der „öffentlichen Sicherheit“ – aber das ist keine gute Idee... Geheimnisse schaden der Sicherheit.Veröffentlicht am 28.09.2021, zuletzt geändert am 26.05.2023.
Zuletzt geändert am 29.05.2025.
© 2025 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.