In eigener Sache: Den Nachfragen, ob es den Beitrag “Sicherheitsrisiken beim Rechnungsversand per Email”1 nicht auch als PDF geben könnte, komme ich gerne nach. Dank meines pandoc PDF-Workflows2 und md2pdf Bash-Skriptes umgehend gemacht: Hier die PDF zum Download (279 KB) Euer, Tomas Jakobs https://blog.jakobs.systems/blog/20250805-risiko-rechnung-emails/ ↩︎ https://blog.jakobs.systems/micro/20210427-pandoc-workflow/ ↩︎

Anfang des Jahres sorgte ein Urteil des Schleswig-Holsteinischen Oberlandesgerichts (Az. 12 U 9/24) für Aufmerksamkeit in Blogs und Newstickern. Aus diesem geht hervor, dass Unternehmen schadensersatzpflichtig werden, sollten sie ohne Sicherheitsmaßnahmen Ihre Rechnungen unverschlüsselt per Email verschicken und es in Folge zu einer Manipulation und Überweisung an unberechtigte Dritte kommt.1 Grundlage des Verfahrens war, dass der Anhang einer E-Mail, genauer eine Rechnung im PDF-Format, verändert wurde. Die Manipulation war eine Änderung der IBAN des rechnungausstellenden Unternehmens. Read more

Just gestern bei einem der typischen “wir gehen all-in auf Microsoft” Unternehmen passiert: Meine Email kam nicht durch. Der Blick in die Fehlermeldung offenbart die Fehlkonfiguration des Mailservers. EMails werden “im Namen” des Absenders neu versendet, was natürlich an der gesetzten DMARC-Policy effektiv verhindert wird. Den gleichen Schmus versuchen auch Betrüger mit ihren Phishingversuchen. Meine Damen und Herren, das genau bekommt man geliefert, wenn man offenkundig von seinem Handwerk nichts versteht. Im Falle dieses einen besonderen Unternehmens bemerkenswert, da es kürzlich von einer Ransomware für mehrere Wochen “ausgeknipst” war. Der Trend geht bekanntlich zum Zweit- und Drittbefall bis irgendwann der Groschen fällt. Read more

Anbieter von Websites, die extern eingebundene Google Fonts verwenden ohne zuvor die Einverständniserklärung des Besuchers eingeholt zu haben, verstoßen gegen die DSGVO und machen sich Schadensersatzpflichtig. Das sagt das Münchner Landgericht in seinem Urteil vom 20.01.2022 (Aktenzeichen 3 O 17493/20)1. Die Mär vom berechtigten Interesse Das pauschale Abbügeln mit einem berechtigten Interesse ist vorbei. Die Richter haben im Falle der gegenständlichen Fonts richtigerweise nicht nur die illegale Praxis festgestellt sondern auch die technischen Begebenheiten in Ihrem Urteil berücksichtigt. Read more

Heute hat das VG Wiesbaden bekannt gegeben, im Eilverfahren der Hochschule Rhein-Main die Nutzung von Cookiebot untersagt zu haben (Az.: 6L 738/21.WI).1 Der dänische Anbieter hinter Cookiebot ist in der Branche kein Unbekannter und wirbt mit dem windigen Versprechen, DSGVO-konforme Cookie-Zustimmungen von Website-Besuchern einzuholen. Kompletter Humbug wie das Gericht treffend feststellt: Cookiebot verarbeite die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde. Hierdurch entstehe ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs so unzulässig sei. Die Nutzer der Webseite (…) würden nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten werden. Es fände auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den sog. Cloud-Act statt. Read more

Drei Amazon Angestellte, einer aus Europa, zwei aus den USA der “High-Level” Informationssicherheit wenden sich als Whistleblower an die Öffentlichkeit. Sie warnen vor schwerwiegenden, internen Missständen bei Amazon. Dem Nachrichten-Portal POLITICO1 liegen die Aussagen sowie interne Memos und Dokumente vor. Diesem Gang in die Öffentlichkeit ging offenbar ein längerer Weg durch die betrieblichen Eskalationsebenen bis zum obersten Management in Seattle voraus. Im Ergebnis skizzieren die Drei aus unterschiedlichen Konzernbereichen unabhängig voneinander ein gemeinsames Bild. Amazon, Hauptakteur für Big-Data, Business-Intelligence, KI und Cloud-Computing, hat seine Daten nicht im Griff. Read more

Viele nutzen MS Teams unter der Annahme, dass Gäste problemlos in einem Webbrowser an Meetings teilnehmen könnten. Es ist Zeit, mit dieser Lüge aufzuräumen und sie endgültig in die Welt der Mythen zu verbannen. Folgende Einladung habe ich heute erhalten: Gleich aus mehreren Gründen sind solche Emails abzuweisen. Erstens unterlaufen Sie jede Awareness-Schulung zur IT-Sicherheit durch Auffordern des Anwenders zum Anklicken von Links in einer Email. Zweitens entspricht das nicht der Best-Practice und in seriösen Email-Programmen werden solche Mausklicks unterbunden. Drittens wäre es schön, wenigstens den vollständigen Link sehen und markieren zu können. Gerade für jene, die Ihr Handwerkszeug professionell und überwiegend mit der Tastatur bedienen ist jeder Griff in Richtung Maus oder Trackpad einer zu viel. Read more

Einen Stich ins Herz bekomme ich immer, wenn ich Vereine mit vermeintlich kostenlosen Diensten von Verhaltensdatensammlern sehe. Daher habe ich dieses Jahr beschlossen, Datenschutz und digitale Souveränität zu verschenken. Das gibt es Ich möchte einem Verein eine von mir wiederaufbereitete ZOTAC-Barebone1 aus Reparatur- und Austauschvorgängen verschenken. Das ist ein kleiner Server ideal für eine Nextcloud2 und/oder ipfire.org Firewall3 und/oder zentralen Fileserver in einem Büro. Dazu gibt es einen Vor-Ort Arbeitstag zur Inbetriebnahme und Einweisung eines oder einer Verantwortlichen. Ein Gesamtpaket aus Hardware und meiner Zeit. Read more

Für ein Online-Meeting in einem Beraternetzwerk erhielt ich folgende Einladung: Der EU-US Privacy Shield ist vom EuGH gekippt worden. Was bedeutet das für Unternehmen und Dienstleister? Welche Dienste dürfen jetzt noch genutzt und welche Daten übertragen werden? Mein Thema dachte ich und las weiter. Der Link am Ende der Mail führte zu einem Meetingraum auf der Plattform discord.com. Treffer und versenkt! Ein kurzer Blick in die Datenschutzrichtlinie1, abgerufen am gestrigen Nachmittag, zuletzt aktualisiert am 23. Juni 2020. Read more