In eigener Sache: Den Nachfragen, ob es den Beitrag “Sicherheitsrisiken beim Rechnungsversand per Email”1 nicht auch als PDF geben könnte, komme ich gerne nach. Dank meines pandoc PDF-Workflows2 und md2pdf Bash-Skriptes umgehend gemacht: Hier die PDF zum Download (279 KB) Euer, Tomas Jakobs https://blog.jakobs.systems/blog/20250805-risiko-rechnung-emails/ ↩︎ https://blog.jakobs.systems/micro/20210427-pandoc-workflow/ ↩︎

Anfang des Jahres sorgte ein Urteil des Schleswig-Holsteinischen Oberlandesgerichts (Az. 12 U 9/24) für Aufmerksamkeit in Blogs und Newstickern. Aus diesem geht hervor, dass Unternehmen schadensersatzpflichtig werden, sollten sie ohne Sicherheitsmaßnahmen Ihre Rechnungen unverschlüsselt per Email verschicken und es in Folge zu einer Manipulation und Überweisung an unberechtigte Dritte kommt.1 Grundlage des Verfahrens war, dass der Anhang einer E-Mail, genauer eine Rechnung im PDF-Format, verändert wurde. Die Manipulation war eine Änderung der IBAN des rechnungausstellenden Unternehmens. Read more

Wir schreiben das Jahr 2025 - sechzig Jahre nach der ersten Email.1 Und trotzdem haben viele dieses Medium nicht verstanden. Besonders Menschen in Unternehmen mißbrauchen regelrecht das täglich eingesetzte Werkzeug mit einer Mischung aus Ahnungslosigkeit und Ignoranz. Es geht um Disclaimer, jenem Quatsch am Ende von Mails: Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser E-Mail ist nicht gestattet. Read more

Just gestern bei einem der typischen “wir gehen all-in auf Microsoft” Unternehmen passiert: Meine Email kam nicht durch. Der Blick in die Fehlermeldung offenbart die Fehlkonfiguration des Mailservers. EMails werden “im Namen” des Absenders neu versendet, was natürlich an der gesetzten DMARC-Policy effektiv verhindert wird. Den gleichen Schmus versuchen auch Betrüger mit ihren Phishingversuchen. Meine Damen und Herren, das genau bekommt man geliefert, wenn man offenkundig von seinem Handwerk nichts versteht. Im Falle dieses einen besonderen Unternehmens bemerkenswert, da es kürzlich von einer Ransomware für mehrere Wochen “ausgeknipst” war. Der Trend geht bekanntlich zum Zweit- und Drittbefall bis irgendwann der Groschen fällt. Read more

Aktuell geht durch Medien und Community ein Aufschrei wegen der EU-Chatkontrolle1, genauer des Verordnungsentwurfes 2022/0155 (COD) der EU-Kommission. Die Grundrechte eines jeden einzelnen seien bedroht. Die Privatsphäre, das freiheitliche-demokratische Zusammenleben sei in seinen Grundfesten erschüttert. Geht’s auch eine Nummer kleiner? Als ob Google, Facebook, Microsoft oder Apple Garanten der Privatsphäre, Sicherheit oder digitalen Freiheit wären. Sie sind es nicht. Sie waren es nie - keiner der Genannten. In Wirklichkeit sind die BigTechs mit Ihrem von Shoshana Zuboff manifestierten Begriff des Überwachungskapitalismus2 und Ihrer Monopolbildung eine reale Gefahr für unser soziales3 und wirtschaftliches Zusammenleben.4 Ihre zentralisierte, steuer-optimierte, intransparente, von Multi-Millardären teilweise erratisch5 geführte Unternehmen arbeiten hart an der Grenze der Legalität und überbieten sich gegenseitig und regelmäßig mit Rekordsummen an Millionenstrafen. Menschenbild, Demokratie- und Staatsverständnis der führenden Köpfe des Silicon Valley stehen unseren Vorstellungen diametral entgegen, wie stellvertretend an der Person Peter Thiel deutlich wird.6 Read more

Geschichten sind unterhaltsam, spannend, manchmal sogar lehrreich. Sie orientieren sich an Genres und einige wenige schaffen es zu allgemein anerkannten Mythen und Legenden. Zu einer solchen “urbanen Legende”1 aus der digitalen Welt möchte ich heute etwas schreiben. Eine besonders alte Legende, so alt wie die Schrift selbst. Die Kraft des geschriebenen Wortes mit der Menschen andere Menschen zu bestimmten Handlungen bringen wollen. Es geht um Phishing2. Kontextualisierung Phishing ist wie in der Einleitung angedeutet eine seit Jahrtausenden normale Begleiterscheinung. Von den ersten Tontafeln über Papyrusrollen, Büchern bis hin zur E-Mail- und Chatnachricht. Es ist weder Plage noch irgendein besonderes Merkmal unserer digitalen Zeit. Read more

Hauptangriffsvektor für Malware sind geschickt getarnte Mailanlagen. Leider auch eine oft anzutreffe Praxis im Jahr 2021 sind noch immer offene Office-Dateien in Emails, die naiv und unbedarft durch die Gegend als Anlage verschickt werden. Verhaltensänderungen sind schwierig und ich kenne leider zu viele Diskussionen mit den sogenannten “heiligen Kühen” in Unternehmen, wo behauptet wird, mit derart geblockten Office-Dateiformaten in Emails, nicht mehr arbeiten zu können. Ein entlarvendes Scheinargument! Wenn die digitale Kompetenz daran scheitert, ist es um diese nicht sehr gut bestellt. Read more

Meldungen zu großen Hacks und Datenleaks hinterlassen ein ungutes Gefühl. Bin ich auch betroffen? Leak Checker versprechen Antworten. Das Hasso-Plattner-Institut (HPI) in Potsdam betreibt eine medial bekannte1 Plattform - die Lösung der Universität Bonn2 ist etwas weniger bekannt. Beide teilen sich das gleiche Funktionsprinzip: Email eingeben, Abgleich mit einer Datenbank aller Leaks, Antwort zurücksenden. Die Unterschiede liegen in den Details und sind leider weniger erfreulich. Einbindung von Google Ressourcen Das HPI disqualifiziert sich mit Einbindung einer extern verlinkter Javascript-Ressource von ajax.googleapis.com. Es handelt sich um eine JQuery-Bibliothek in der veralteten Version 1.11.0 mit zahlreichen dokumentierten Schwachstellen3. Ein Besucher wird zu der Datenweitergabe seiner IP, Browserdaten und dem Zeitpunkt des Abrufes an Google nicht gefragt. Eine Information in der Datenschutzerklärung fehlt4. Read more