Zum Wochenende habe ich auf Codeberg ein Beispiel-Repository veröffentlicht.1 Es enthält den methodischen Vorschlag, eine ISMS-Dokumentation wie Code zu behandeln. Konkretes Beispiel ist die ISO 27001 Risikobewertung von Assets in Organisationen. Im Mittelpunkt steht dabei weniger das konkrete Dokument als vielmehr das dahinterstehende Konzept. Geschrieben ist alles in einem universellen Text-Only-Format, das garantiert auch noch in 50 Jahren in jedem Editor bearbeitet werden kann: Markdown.2 Markdown hat dabei einige praktische Eigenschaften: Read more

Destruktive Kommunikation ist selten laut. Sie klingt höflich, sachlich, mitunter sogar freundlich. Und trotzdem bleibt bei mancher Mail ein “Geschmäckle” zurück. Das unbestimmte Gefühl: Liege ich wirklich so falsch neben der Sache? Der heutige Blogbeitrag ist ein Erfahrungsbericht aus über zwei Jahrzehnten IT Operations und Projektarbeit samt der typischen Signalwörter und Phrasen, die vermutlich schon jeder in Mails oder Chats gelesen hat. Alles nicht ohne den von mir gewohnten Disclaimer: Kein Anspruch auf Vollständigkeit oder Richtigkeit. Wahrnehmung ist immer subjektiv. Der Kontext ist immer entscheidend. Eine einzelne Formulierung kann noch komplett harmlos sein. Manifestiert sich ein bestimmter Kommunikationsstil über Wochen oder Monate, so ist das schon ein deutlich stärkeres Indiz. Your mileage may vary. Read more

In Schweden ist es zu einem massiven IT-Sicherheitsvorfall gekommen. Betroffen ist Miljödata, eine Software-HR Bude, dessen Systeme in rund 80% der schwedischen Kommunen und Städte zum Einsatz kommt. Die Plattform verarbeitet besonders sensible Personaldaten, dem zentralsten Datenpool des öffentlichen Sektors mit:1 Personalakten Arbeitsunfälle und Vorfälle medizinische Bescheinigungen Rehabilitationsfälle Daten zum Arbeitsschutzmanagement Der Fall erinnert stark an den Angriff auf den kommunalen Zweckverband SIT.2 Auch da fielen in Südwestfalen großflächig zahlreiche kommunale Systeme aus. Wie der öffentlich gewordene Incident Report damals zeigte: Fehlende bzw. keine Auswertung von Protokollen und Logs, keine Segmentierung, keine Systemhärtung: Völliger Blindflug im Betrieb eines Rechenzentrums.3 Read more

In eigener Sache: Den Nachfragen, ob es den Beitrag “Sicherheitsrisiken beim Rechnungsversand per Email”1 nicht auch als PDF geben könnte, komme ich gerne nach. Dank meines pandoc PDF-Workflows2 und md2pdf Bash-Skriptes umgehend gemacht: Hier die PDF zum Download (279 KB) Euer, Tomas Jakobs https://blog.jakobs.systems/blog/20250805-risiko-rechnung-emails/ ↩︎ https://blog.jakobs.systems/micro/20210427-pandoc-workflow/ ↩︎

Anfang des Jahres sorgte ein Urteil des Schleswig-Holsteinischen Oberlandesgerichts (Az. 12 U 9/24) für Aufmerksamkeit in Blogs und Newstickern. Aus diesem geht hervor, dass Unternehmen schadensersatzpflichtig werden, sollten sie ohne Sicherheitsmaßnahmen Ihre Rechnungen unverschlüsselt per Email verschicken und es in Folge zu einer Manipulation und Überweisung an unberechtigte Dritte kommt.1 Grundlage des Verfahrens war, dass der Anhang einer E-Mail, genauer eine Rechnung im PDF-Format, verändert wurde. Die Manipulation war eine Änderung der IBAN des rechnungausstellenden Unternehmens. Read more

Wir schreiben das Jahr 2025 - sechzig Jahre nach der ersten Email.1 Und trotzdem haben viele dieses Medium nicht verstanden. Besonders Menschen in Unternehmen mißbrauchen regelrecht das täglich eingesetzte Werkzeug mit einer Mischung aus Ahnungslosigkeit und Ignoranz. Es geht um Disclaimer, jenem Quatsch am Ende von Mails: Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser E-Mail ist nicht gestattet. Read more

Es sind knapp 60 Jahre nach der ersten Email1 und 35 Jahre nach dem ersten Webbrowser.2 Seit 30 Jahren gibt es dokumentierte Phishing-Fälle.3 Und dennoch gibt es im Neuland,4 im Jahr 2025 noch Unternehmen, die solche Emails schreiben: Wie soll ein normaler Anwender hier Legitimität prüfen können, wenn weiterführende Links auf unbekannte Drittparteien mit anderen Top-Level-Domains verweisen? Gleichzeitig ist die Mail voll von persönliche Daten und Informationen zur Bestellung, die es jedem sehr leicht machen, diese zu mißbrauchen. Read more

Ein größerer ISP aus München hat derzeit thermische Probleme und wird in diversen Foren und Newsseiten mit erzürnten Postings und Hasstiraden beschimpft.1 Dabei täte es den meisten Schreiberlingen gut, vorher in Ihre Verträge und AGBs geschaut zu haben.2 Der Provider stellt eine Verfügbarkeit der physikalischen Anbindung seiner Object Storage Infrastruktur, Webspace-Pakete, Dedicated Server, Virtual Dedicated Server sowie VPS von 95% im Jahresmittel her. 95% ist im Vergleich mit anderen ISPs eine geringe Verfügbarkeit. Das sind volle 18 Tage Downtime im Jahr, mehr als ein halber Monat. Netcup hat zum Beispiel 99,6%, was nur 1,5 Tage wären.3 Read more

Wer einmal mit Handelsregister-Eintragungen zu tun hatte kennt die phishy Rechnungen und Zahlungsaufforderungen von “Trittbrettfahrern”. Trotz einer Fülle von Transparenzgesetzen und Dokumentationspflichten, wollen solche “Geschäftsmodelle” einfach nicht versiegen. Eine vergleichbare Masche habe ich kürzlich bei einem Kunden entdeckt: Per Post kam eine Rechnung mit erstaunlich genauen Details: Vom Aussehen, den Kontaktdaten, der Abteilung bis hin zu E-Mail und Telefon-Durchwahl des Ansprechpartners stimmte alles. Auch die Positionen mit Preisen waren schlüssig und gaben zunächst keinen Anlass, warum die Rechnung nicht echt sein sollte. Read more

Geschichten sind unterhaltsam, spannend, manchmal sogar lehrreich. Sie orientieren sich an Genres und einige wenige schaffen es zu allgemein anerkannten Mythen und Legenden. Zu einer solchen “urbanen Legende”1 aus der digitalen Welt möchte ich heute etwas schreiben. Eine besonders alte Legende, so alt wie die Schrift selbst. Die Kraft des geschriebenen Wortes mit der Menschen andere Menschen zu bestimmten Handlungen bringen wollen. Es geht um Phishing2. Kontextualisierung Phishing ist wie in der Einleitung angedeutet eine seit Jahrtausenden normale Begleiterscheinung. Von den ersten Tontafeln über Papyrusrollen, Büchern bis hin zur E-Mail- und Chatnachricht. Es ist weder Plage noch irgendein besonderes Merkmal unserer digitalen Zeit. Read more