Ein Fachkanal abseits der Kundenseite. Regelmäßig beleuchten wir hier technische Neuerungen und Herausforderungen, gehen aber auch ins Detail zu den Implementierungen hinter Derniums Werkzeugen.
Der EU-US-Angemessenheitsbeschluss (DPF) ist seit 2023 in Kraft und steht unter Klage. Was bedeutet das operativ für TIA-Pflichten, Standardvertragsklauseln und die Frage 'dürfen wir AWS weiter nutzen?'. Mit einer Entscheidungshilfe für Inhouse-Datenschutzteams.
Wie BIMI verifizierte Markenlogos in Gmail, Yahoo und Apple Mail bringt, wofuer VMC und CMC stehen, welche DMARC-Voraussetzungen gelten und wo die Datenschutzfallen liegen.
Das BSI hat den C5-Kriterienkatalog am 14. Mai 2026 in neuer Fassung veröffentlicht. 39 neue und 129 überarbeitete Kriterien, eine Übergangsfrist bis 1. Juni 2027 für Audits, und neue Schwerpunkte bei Verschlüsselung, Datenverarbeitung und Daten-Mapping.
Ein Software-Fehler in DENICs eigenem Code führte am 5. Mai 2026 dazu, dass drei HSMs jeweils ein eigenes Schlüsselpaar erzeugten, obwohl nur eines gemeinsam genutzt werden sollte. DENIC hat die Ursache am 11. Mai im eigenen Blog technisch aufgearbeitet.
Der Digital Operational Resilience Act (EU 2022/2554) ist seit Januar 2025 wirksam. Dieser Beitrag geht die praktische Mindestliste durch: ICT-Risk-Register, Incident-Reporting im BaFin-Format, Drittanbieter-Registrierung, Resilienz-Tests und Informationsaustausch.
Wie öffentliche CT-Logs Fehl- und Missbrauchsausstellungen von TLS-Zertifikaten sichtbar machen und wie sich daraus ein brauchbares Frühwarnsystem bauen laesst.
Dernium CRA-Nachweis erzeugt die EU-Konformitätserklärung (Anhang V) und die technische Dokumentation (Anhang VII) als fertiges PDF: das Werkzeug assembliert die laufend gepflegte Evidenz - Versionen, Stückliste, Schwachstellen- und VEX-Stand - und der Hersteller ergänzt nur die beschreibenden Teile. Dieser Beitrag zeigt, wie der DoC- und der Tech-Doc-Generator arbeiten und wo bewusst die Verantwortung beim Hersteller bleibt.
Am Abend des 5. Mai 2026 lieferte die .de-Zone fehlerhafte DNSSEC-Signaturen aus. Validierende Resolver verwarfen sämtliche Antworten als ungültig. Was passiert ist, warum DNSSEC genau so reagieren muss und wie wir bei Dernium auf solche Vorgänge schauen.
Eine Executive Order in Washington kann den Login einer ganzen Organisation in Europa abschalten. Der IStGH-Vorfall zeigt, warum vertragliche und juristische Trennung von US-Anbietern keine akademische Frage mehr ist.
Die geplante dritte Auflage der IP-Vorratsdatenspeicherung verspricht Identifikationskraft, die unter CGNAT und IPv6-Privacy-Extensions in der Praxis kaum noch gegeben ist. Was IP plus Zeitstempel als Identifikator wirklich leisten und wo der EuGH-Korridor sie überhaupt zulässt.
Das NIS2UmsuCG gilt seit Dezember 2025 ohne Übergangsfrist. Dieser Beitrag zeigt, was operativ bis 2026/2027 in internen Prozessen, Lieferketten und IT-Haushaltsplanung angefasst werden muss, und welche Dernium-Bausteine dabei direkt nützlich sind.
Der Cyber Resilience Act verlangt von Herstellern eine Richtlinie zur koordinierten Schwachstellenoffenlegung, einen auffindbaren Meldekontakt und die Veröffentlichung behobener Schwachstellen. Dernium CRA-Nachweis hostet die CVD-Policy auf einer öffentlichen PSIRT-Seite, erzeugt die security.txt (RFC 9116) und veröffentlicht produktgebundene Advisories - menschen- und maschinenlesbar als CSAF 2.0 mit Revisionshistorie. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.
Viele Login-Seiten verraten ungewollt, wer Kunde ist. Warum das ein DSGVO-Problem ist, wie man es in allen Schichten vermeidet und wie der Dernium-Login von der ersten Abfrage bis zur kryptografischen Verifikation keine Konten-Existenz preisgibt.
Ab dem 11. Dezember 2027 greifen die CRA-Hauptpflichten: EU-Konformitätserklärung nach Anhang V, technische Dokumentation nach Anhang VII und CE-Kennzeichnung nach einer Konformitätsbewertung. Dieser Beitrag erklärt, was Hersteller dafür brauchen, warum die nötige Evidenz schon heute aufgebaut werden muss und wie Dernium dabei assistiert, ohne die Erklärung im Namen des Herstellers auszustellen.
ITAR taintet einen ganzen Stapel, sobald nur eine kontrollierte US-Komponente drinsteckt. Was hilft: diese Komponenten gar nicht erst hereinziehen
Deutsche Behörden und kommunale IT-Dienstleister dürfen Cloud-Souveränität als Zuschlagskriterium werten. Dieser Beitrag zeigt konkrete Klauselbeispiele mit Vergaberechts-Bezug, die in Vergabeverfahren Bestand haben, plus Beispiele aus realen Verfahren 2023-2025.
Ab dem 11. September 2026 verlangt der EU-Cyber-Resilience-Act, dass Hersteller aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle binnen 24 Stunden frühwarnen und binnen 72 Stunden melden. Wir erklären die zwei Meldespuren, die Fristen, die Single Reporting Platform und wie unsere Assistenz dabei unterstützt, ohne die Meldung für Sie abzusenden.
Wie CycloneDX, SPDX, cosign, Fulcio und Rekor zusammen belegen, wer eine Binary gebaut hat und woraus. Einordnung von SLSA, in-toto und dem Cyber Resilience Act.
Scope, Meldepflichten, SBOM und Bussgelder des EU Cyber Resilience Act (Verordnung 2024/2847), mit Fristen bis 2027 und Einordnung für SaaS und Open Source.
Eine Content Security Policy stoppt den Großteil der klassischen XSS- und Datenexfiltrations-Angriffe. SameSite-Cookies entschärfen CSRF. Richtig konfiguriert bilden sie eine zweite Verteidigungsschicht, die nur dann sichtbar wird, wenn die erste versagt. Wie eine strikte, aber praxistaugliche Header-Konfiguration aussieht.
Ein Dienst, der seinen eigenen Inhalt nicht entschlüsseln kann, hat eine Eigenschaft, die die meisten "Ende-zu-Ende-verschlüsselten" Anbieter nicht haben. Warum das URL-Fragment das entscheidende Detail ist und wie One-View-Garantien sauber umgesetzt werden.
Container teilen sich den Host-Kernel. Für eine Malware-Scan-Pipeline ist das zu wenig. Warum gVisor als User-Space-Kernel die richtige zweite Schicht ist und wie ein Scanner gänzlich ohne Netzwerk gebaut wird.
Apple hat am 21. Februar 2025 Advanced Data Protection für britische iCloud-Nutzer abgeschaltet, nachdem das UK-Innenministerium eine technical capability notice erlassen hat. Der erste öffentliche IPA-Präzedenzfall.
Ein einzelner Virenscanner erkennt neue Samples in erstaunlich wenigen Fällen. Die Lösung ist nicht, einen besseren Scanner zu finden, sondern mehrere unterschiedliche zu kombinieren. Welche Engine-Familien es gibt, was jede einzelne gut kann und wie die Aggregation aussieht.
Die EU-Frist zur nationalen Umsetzung ist am 17. Oktober 2024 abgelaufen. Das deutsche NIS2UmsuCG hat den Bundestag bis dahin nicht passiert. Was das für Durchsetzung und Vorbereitung heißt.
Wie Dernium Clean aus einem eingehenden Dokument ein sicheres PDF baut, ohne jemals Inhalte aus dem Original zu vertrauen. Was das Verfahren CDR (Content Disarm and Reconstruction) leistet und was seine Grenzen sind.
Das NIST hat am 13. August 2024 FIPS 203 in der finalen Fassung veröffentlicht. ML-KEM ist damit offiziell Post-Quantum-Schlüsselaustausch-Standard; FIPS 204 und 205 ergaenzen für Signaturen.
BYOK klingt wie HYOK, ist es aber nicht. Was die Modelle unterscheidet, warum ein HSM allein kein HYOK macht, und wie eine belastbare Schlüsselinfrastruktur jenseits des Produktions-Rechenzentrums aussieht.
Store-now, decrypt-later ist kein akademisches Szenario. Warum Quantum-resistenter Schlüsselaustausch heute in TLS 1.3 gehört, wie der Hybrid-Modus aussieht und was bei der Einführung so schiefgehen kann.
Seit dem 1. Februar 2024 setzen Gmail und Yahoo SPF/DKIM/DMARC-Mindestanforderungen für Versender mit mehr als 5000 Nachrichten pro Tag durch. Was das für Transaktions- und Newsletter-Mails heißt.
SPF allein schützt nicht, DKIM ohne DMARC auch nicht, und Transport-Sicherheit ohne MTA-STS oder DANE bleibt Vertrauenssache. Welche Schicht was leistet, und wie eine Domain aussieht, die alle fünf sauber konfiguriert.
Passwörter lecken, werden wiederverwendet und lassen sich phishen. Passkeys sind die einzige weit verfügbare Authentifizierungsmethode, die alle drei Probleme strukturell löst. Wie sie funktionieren, woran man echte von fiktiven Passkey-Implementierungen unterscheidet und warum man die Account-Wiederherstellung mitdenken muss.
Die EU-Kommission hat am 10. Juli 2023 den Angemessenheitsbeschluss zum EU-US DPF erlassen. Was das praktisch für Datenübermittlungen bedeutet und warum die juristische Unsicherheit bleibt.
NIS-2 erweitert den Kreis regulierter Organisationen deutlich. Wer fällt hinein, welche Pflichten entstehen, und warum die Meldung binnen 24 Stunden der härteste Teil der Umsetzung ist.
Server in Deutschland schützen nicht, solange der Anbieter unter US-Jurisdiktion steht. Was CLOUD-Act, FISA-702 und UK IPA tatsächlich erzwingen können, und woran man einen Anbieter erkennt, der sich dem entzieht.