In eigener Sache: Den Nachfragen, ob es den Beitrag “Sicherheitsrisiken beim Rechnungsversand per Email”1 nicht auch als PDF geben könnte, komme ich gerne nach. Dank meines pandoc PDF-Workflows2 und md2pdf Bash-Skriptes umgehend gemacht: Hier die PDF zum Download (279 KB) Euer, Tomas Jakobs https://blog.jakobs.systems/blog/20250805-risiko-rechnung-emails/ ↩︎ https://blog.jakobs.systems/micro/20210427-pandoc-workflow/ ↩︎

Anfang des Jahres sorgte ein Urteil des Schleswig-Holsteinischen Oberlandesgerichts (Az. 12 U 9/24) für Aufmerksamkeit in Blogs und Newstickern. Aus diesem geht hervor, dass Unternehmen schadensersatzpflichtig werden, sollten sie ohne Sicherheitsmaßnahmen Ihre Rechnungen unverschlüsselt per Email verschicken und es in Folge zu einer Manipulation und Überweisung an unberechtigte Dritte kommt.1 Grundlage des Verfahrens war, dass der Anhang einer E-Mail, genauer eine Rechnung im PDF-Format, verändert wurde. Die Manipulation war eine Änderung der IBAN des rechnungausstellenden Unternehmens. Read more

Es sind knapp 60 Jahre nach der ersten Email1 und 35 Jahre nach dem ersten Webbrowser.2 Seit 30 Jahren gibt es dokumentierte Phishing-Fälle.3 Und dennoch gibt es im Neuland,4 im Jahr 2025 noch Unternehmen, die solche Emails schreiben: Wie soll ein normaler Anwender hier Legitimität prüfen können, wenn weiterführende Links auf unbekannte Drittparteien mit anderen Top-Level-Domains verweisen? Gleichzeitig ist die Mail voll von persönliche Daten und Informationen zur Bestellung, die es jedem sehr leicht machen, diese zu mißbrauchen. Read more

Wer einmal mit Handelsregister-Eintragungen zu tun hatte kennt die phishy Rechnungen und Zahlungsaufforderungen von “Trittbrettfahrern”. Trotz einer Fülle von Transparenzgesetzen und Dokumentationspflichten, wollen solche “Geschäftsmodelle” einfach nicht versiegen. Eine vergleichbare Masche habe ich kürzlich bei einem Kunden entdeckt: Per Post kam eine Rechnung mit erstaunlich genauen Details: Vom Aussehen, den Kontaktdaten, der Abteilung bis hin zu E-Mail und Telefon-Durchwahl des Ansprechpartners stimmte alles. Auch die Positionen mit Preisen waren schlüssig und gaben zunächst keinen Anlass, warum die Rechnung nicht echt sein sollte. Read more

Das Zitat des Tages ist ein Tröt von Dr. Malte Engeler1, bekannter Rechtsanwalt in der Datenschutz-Bubble, zur Abgrenzung von Urheber- und Datenschutzrecht und warum von beiden der Datenschutz angeblich immer das Hindernis sei: Urheberrecht schützt Informationen der Medienunternehmen vor „uns“. Datenschutz schützt „unsere“ Informationen vor Unternehmen. Mehr muss man eigentlich nicht dazu sagen, warum Datenschutz ein Hindernis, Urheberrecht aber eine heilige Errungenschaft der Moderne sind. In diesem Sinne. Ein schönes Pfingstwochenende. Read more

Heute am 14.05.2024 tritt das Digitale-Dienste-Gesetz (DDG) in Kraft.1 Wie so oft, wenn EU-Verordnungen und Normen in Landesgesetze umzusetzen sind, hat es etwas gedauert. Wer denkt, das betrifft nur die “Großen” Plattformbetreiber, denkt falsch. Das Gesetz über Digitale Dienste trifft alle Anbieter kommerzieller Webseiten. Wie bisher gilt eine Befreiung der Haftung für Nutzerbeiträge. Es ändert sich somit das Gesetz, nicht jedoch die geltende Praxis nach Eingang von Hinweisen, zügig zu reagieren. Read more

Diese Stellungnahme ist unter https://digikoletter.github.io zu finden und wurde von 77 renommierten und anerkannten Sicherheitsforschern erstunterzeichnet. Ich habe mich dieser Stellungnahme als weiterer Mitunterzeichner angeschlossen. Darüber hinaus kann ich nur empfehlen, die gegenständliche App nicht zu installieren und Geschäfte, welche diese verpflichtend einfordern, zu meiden. Digitale Werkzeuge, wie Apps zur Kontaktnachverfolgung, können einen unterstützenden Beitrag zur Bewältigung einer Pandemie leisten. Um ihr Potential voll entfalten zu können, müssen solche Werkzeuge zielgerichtet in eine Gesamtstrategie eingebettet werden und das Vertrauen der Bevölkerung genießen. Wenn durch ihre Einführung auch neue Risiken für Bürger:innen und Gesellschaftsgruppen entstehen, muss ihr Nutzen gegen diese Risiken abgewogen werden. Read more

Das heutige Zitat stammt aus dem Fediverse von Mike Kuketz1: Wer Daten kontrolliert, kontrolliert die Gesellschaft. Digitalisierung muss das berücksichtigen und den Datenschutz als hohen gesellschaftlichen Wert begreifen. Datenschutz und Digitalisierung schließen sich nicht aus - auch wenn viele dieser Meinung sind. In der täglichen Praxis begegnen mir Menschen, die Datenschutz und Digitalisierung gegeneinander ausspielen. Vor dieser eristischen Dialektik2 kann nur gewarnt und eine Diskussionen rasch beendet werden. Es ist ein falsches Dilemma3, das meist in Ermangelung an Fachkenntnissen und -argumenten eingesetzt wird. Read more

Was kommt nach Datenschutzverstößen? Weitere Verstöße. Ich habe meine Liste an Vergehen heute aufgrund dieses Heise-Artikels “Anwenderüberwachung durch Microsofts Office-Software” um einen weiteren Punkt ergänzt. Hier die vollständige Liste (free to copy/use): Das Sammeln von Benutzerdaten in einem Windows 10 basierten Unternehmensnetzwerk lässt sich nicht mit verhältnismäßigen Mitteln unterbinden.1 Ein Microsoft Office Paket sammelt mit 23.000 bis 25.000 Datenpunkten deutlich mehr Metriken als ein Windows 10.2 Das Sammeln von Metriken umfasst auch Dokumenteninhalte.3 Mit Nutzung mobiler Endgeräte mit O365- oder Azure Cloudangebote erhält Microsoft by Design einen direkten Zugang auf die Postfächer lokaler Echange-Server Instanzen und speichert Daten (Emails, Kontakte, Termine) unverschlüsselt auf eigenen Servern.4 Die Abhängigkeit von Microsoftprodukten, auch Lock-In5 genannt, blockiert den technischen Fortschritt und stellt zunehmend einen strukturellen Standortnachteil dar.6 Microsoft untergräbt systematisch Best-Practice Empfehlungen und EU-Standards7 im Beschaffungs- und Wettbewerbsrecht.8 Microsoft schafft es nicht darzulegen, auf welcher Grundlage es eigene Interessen inkl. Datenweitergabe an Dritte als Auftragsdatenverarbeiter eines Auftraggebers beansprucht.9 Microsoft sammelt Arbeitsgepflogenheiten der Anwender und stellt Arbeitgebern einen minuziösen, personalisierten “Productivity Score” zur Mitarbeiterüberwachung.10 Diese neu hinzugekommene Mitarbeiterüberwachung ist nur ein Recycling einer bestehenden Funktion, die Microsoft intern seit Jahren nutzt. Dass daraus jetzt ein Produkt “Workplace Analytics” geformt wurde, überrascht nicht wirklich. Es ist ein bekanntes Anti-Pattern mit dem Namen “Function Creep”.11 Read more

Die eigene gitea Instanz - Teil V So weiter gehts in Sachen gitea: Hier die CSP in der vhost Config des Apache Reverse hinterlegt: Header add Content-Security-Policy "default-src 'self' 'unsafe-eval' 'unsafe-inline' data: 'self' *.domain.de; worker-src 'self' *.domain.de; frame-ancestors 'self' *.domain.de; img-src 'self' data: 'self' *.domain.de; object-src 'self'; style-src 'self' 'unsafe-inline' *.domain.de" Ja mir ist bewusst, daß mit eval und inline zwei sehr mächtige Funktionen erlaubt sind. Diese werden aber auch für einige Bereiche und Funktionen (z.B. die Heatmaps unter Aktivitäten) benötigt. Wer einen nginx hat möge sich diese CSP bitte anpassen. Selbstverständlich ist domain.de nur ein Platzhalter für die eigene Domain. Read more