Kaum war gestern der Microblog zu meinen CSS-Verbesserungen geschrieben, kamen die nächsten Ideen. Einmal im Flow kann ich doch nicht mittendrin aufhören. Und so ging’s heute Nachmittag weiter: Wie eine leere Dose über den Schulhof kicke ich den Bilderordner schon länger vor mir her. Im Laufe der Zeit habe ich allerlei Zeugs reingekippt und verlinkt. Ein Wildwuchs an Dateiformaten, den a) niemand mehr durchblickt und b) niemand auch freiwillig anpacken würde, da zahlreiche Links auf diese verweisen. Eine ungnädige Fleissarbeit. Und wenn wir schon bei Bildern und unterschiedlichen Bildformaten sind: JPG und PNG sind sowas von 1990. Mit WebP gibt es ein moderneres und deutlich besseres Format. Read more

Diese Stellungnahme ist unter https://digikoletter.github.io zu finden und wurde von 77 renommierten und anerkannten Sicherheitsforschern erstunterzeichnet. Ich habe mich dieser Stellungnahme als weiterer Mitunterzeichner angeschlossen. Darüber hinaus kann ich nur empfehlen, die gegenständliche App nicht zu installieren und Geschäfte, welche diese verpflichtend einfordern, zu meiden. Digitale Werkzeuge, wie Apps zur Kontaktnachverfolgung, können einen unterstützenden Beitrag zur Bewältigung einer Pandemie leisten. Um ihr Potential voll entfalten zu können, müssen solche Werkzeuge zielgerichtet in eine Gesamtstrategie eingebettet werden und das Vertrauen der Bevölkerung genießen. Wenn durch ihre Einführung auch neue Risiken für Bürger:innen und Gesellschaftsgruppen entstehen, muss ihr Nutzen gegen diese Risiken abgewogen werden. Read more

In der Softwareentwicklung und im IT-Operations existiert ein ungeschriebenes Gesetz. Ein Anti-Pattern1 zur nachhaltigen Problemlösung und Komplexitätsreduktion. Niemand ist irre genug, es vorzuschlagen. Kein Kunde der Welt bereit, es zu bezahlen. Doch es gibt sie, die lichten Momente im Lebenszyklus eines Unternehmens, wo dieses Gesetz zur Anwendung kommen kann. Es lässt sich wie folgt beschreiben: Wenn Du eine Aufgabe oder Problemstellung hast und Du weißt, wie die Lösung dazu funktioniert, dann wirf nach Fertigstellung Deinen Code weg und reiß’ eine Installation wieder auseinander. Read more

Heute frisch aus dem Ticker: RFC 8997 “Deprecation of TLS 1.1 for Email Submission and Access”1, endlich! Es ist kein Geheimnis, dass ich auf meinem Mailserver diese schon länger nicht mehr akzeptiert habe und damit nicht wirklich 100% RFC-konform war. Diese kleine Unanständigkeit ist beendet! Ich darf offiziell “any version of SSL or TLS earlier than TLS 1.2” ablehnen. Und noch ein kleines Detail. Ungültige oder falsche Server Zertifikate führen zur Unzustellbarkeit: Read more

Zum Wochenende dieses Bild für alle Gesprächspartner der vergangenen Jahre, mit denen ich mich allgemein zur Digitalisierung oder ganz konkret bei der Frage nach Integration von Tablets oder Notebooks in einem Unternehmensnetzwerk gefetzt habe. Meine Empfehlung damals wie heute: Zero-Trust! Isoliert und segmentiert potentiell unsichere, closed-source AD-Infrastrukturen! Haltet Smartphones, Tablets oder Laptops außerhalb! Das gilt auch für unbekannte, nicht vertrauenswürdige Anwendungen. “Springer-Notebooks” sind für diese der bessere Ort. Packt Fachanwendungen auf RDP/RDS-Terminalserver1 und schafft einheitliche, web-basierte, offene Schnittstellen, die im Monitoring überwachbar bleiben. Für den Zugriff auf SMB-Dateien eignet sich Nextcloud2, für den RDP-Zugriff über HTTPS ein Apache Guacamole3. Nutzt RFC-standardisierte4 Mehrfaktor-Authentifizierungen! Technologien wie Keycloak5 oder PrivacyIDEA6 ermöglichen das unternehmensweit. Read more

Auf der Suche nach einer griffigen Beschreibung komplexer Systeme reichte mir der karge Wikipedia-Artikel1 nicht. Auch die komplexen adaptiven Systeme2 wollten nicht passen. Ich fand Professor Emeritus Richard Cook. Sein Forschungsgebiet war das “Resilience Engineering” und er begann dort, wo James Reason 1990 mit seinem Buch “Human Error” aufhörte. Wem das Buch nichts sagt: Wenn Menschen mit 100%ig funktionierender Technik katastrophale Unfälle bauen, wird es als Standardwerk zitiert. Das Schweizer-Käse-Modell3 ist nichts als eine bildhafte Umschreibung seiner “Defence-in-Depth”. In den letzten fünf Jahren Thema in meinen Blogs zu Informationssicherheit4 und Flugunfällen5. Read more

Viele nutzen MS Teams unter der Annahme, dass Gäste problemlos in einem Webbrowser an Meetings teilnehmen könnten. Es ist Zeit, mit dieser Lüge aufzuräumen und sie endgültig in die Welt der Mythen zu verbannen. Folgende Einladung habe ich heute erhalten: Gleich aus mehreren Gründen sind solche Emails abzuweisen. Erstens unterlaufen Sie jede Awareness-Schulung zur IT-Sicherheit durch Auffordern des Anwenders zum Anklicken von Links in einer Email. Zweitens entspricht das nicht der Best-Practice und in seriösen Email-Programmen werden solche Mausklicks unterbunden. Drittens wäre es schön, wenigstens den vollständigen Link sehen und markieren zu können. Gerade für jene, die Ihr Handwerkszeug professionell und überwiegend mit der Tastatur bedienen ist jeder Griff in Richtung Maus oder Trackpad einer zu viel. Read more

Jeder kennt die Warnung bei Besuch einer Internetseite mit abgelaufenem Zertifikat. Einmal im Monat stolpere ich mindestens über eine oder erhalte Tickets mit Nachfragen, was zu tun sei. “Nichts” antworte ich meist. “Der Fehler liegt bei der Gegenseite”. An dieser Stelle mein spezieller Dank an die Betreiber oder Admins solcher Seiten für die zusätzliche Arbeit. Der naheliegende Lösungsvorschlag zur Vermeidung solcher Peinlichkeiten: Eine Software oder Dienst mit periodischer Überprüfung und rechtzeitiger Benachrichtigung. Klingt einfach, funktioniert aber leider nicht immer. Read more

Binnen weniger Tage warnt die deutsche EU-Vertretung vor Phishing-Emails.1 Seit Juli 20202 ist das die 4. Warnung vor Datenklau von Reinhard Hönighaus, Pressesprecher und Leiter der Presse und Medienstelle. Offensichtlich gibt es einen dringenden Handlungsbedarf. In seiner aktuellen Warnung vom 26.11.2020, nur zwei Tage nach der Vorherigen, identifiziert er T-Online Nutzer als Ziel derartiger Phishing Mails und liefert auch gleich die Begründung: Wie bei einigen anderen Anbietern führt die Empfängerinfrastruktur hinter @t-online.de keine SPF-Prüfung durch. Read more

Die Black Friday Woche ist da. Und mit Weihnachten ante portas beginnt für Techies die Zeit mit den härtesten Endgegnern auf BOSS-Level im IT Support: Die eigenen Eltern, Partner oder Kinder mit Ihren neuen oder alten digitalen Geräten. Die Grundlagen werden in den kommenden Tagen und Wochen gelegt wenn Zeugs mit mehr oder minder technischen Schulden1 eingekauft wird. Im Grunde handelt es sich zum Zeitpunkt des Kaufes bereits um IT Schrott und um eine Umweltsauerei. Ein Beispiel, exemplarisch für viele andere: Read more