Ein Fachkanal abseits der Kundenseite. Regelmäßig beleuchten wir hier technische Neuerungen
und Herausforderungen, gehen aber auch ins Detail zu den Implementierungen hinter Derniums
Werkzeugen.
Ein IR-Playbook ist dann wertvoll, wenn man es im Stressfall ohne Nachdenken durchgehen kann. Dieser Beitrag stellt ein schlankes Template vor, mit Rollen, Eskalations-Matrix, Kommunikationspfaden und einer Checkliste der ersten 60 Minuten.
Das BSI hat im April 2026 das Methoden-Kapitel zu IT-Grundschutz++ veröffentlicht. Die Anforderungen werden in maschinenlesbarer OSCAL-Form geliefert; der Kompendiums-Text schrumpft, die Verantwortung für die technische Konkretisierung wandert zum Anwender.
Das Zentrum für Digitale Souveränität der öffentlichen Verwaltung (ZenDiS) hat im März 2026 ein Diskussionspapier mit einem messbaren Kriterienkatalog vorgelegt. Der Katalog liegt als offene Konsultation auf openCode; jeder kann mitlesen und Vorschläge einbringen.
Das CA/Browser Forum senkt die maximale TLS-Zertifikatslaufzeit bis 2029 stufenweise auf 47 Tage. Wir erklären, warum das die Sicherheit erhöht und warum nur Automatisierung per ACME tragfähig bleibt.
Die erste Frist ist verstrichen, erst knapp 18.500 Einrichtungen sind registriert. Wer unter NIS2 fällt, was die Pflicht umfasst und welche Schritte jetzt zählen.
Viele mittelständische IT-Organisationen starten ISO 27001 entweder zu groß (alle 93 Controls gleichzeitig) oder zu halbherzig. Dieser Beitrag gibt einen realistischen 90-Tage-Fahrplan, der zum ersten Pre-Audit reicht.
C3A (Criteria Enabling Cloud Computing Autonomy) ergänzt den C5-Sicherheits-Katalog des BSI um eine Souveränitäts-Dimension. Der Beitrag erklärt die sechs Zielfelder, den Bezug zum EU Cloud Sovereignty Framework und wo C3A im Vergaberecht greift.
Der Cyber Resilience Act trifft Hersteller "digitaler Elemente" - von der Software-Stückliste über Risiko- und Konformitätsbewertung, die Pflicht-Dokumente und die Drittkomponenten-Sorgfalt bis zur Meldepflicht. Dernium CRA deckt dabei die Pflichten ab, die sich durch ein Werkzeug abnehmen lässt, für Sie übersichtlich aufbereitet an einer Stelle und mit deutscher Datenresidenz. Dieser Beitrag bildet die CRA-Pflichten auf den passenden Bausteinen ab, zeigt die Reihenfolge und gibt Ihnen einen Überblick.
Der EU-US-Angemessenheitsbeschluss (DPF) ist seit 2023 in Kraft und steht unter Klage. Was bedeutet das operativ für TIA-Pflichten, Standardvertragsklauseln und die Frage 'dürfen wir AWS weiter nutzen?'. Mit einer Entscheidungshilfe für Inhouse-Datenschutzteams.
Der Cyber Resilience Act besteht aus vielen einzelnen Pflichten - Stückliste, Schwachstellenbehandlung, Risikobewertung, Konformitätsbewertung, EU-Konformitätserklärung, technische Dokumentation, Nutzerinformationen, Drittkomponenten-Sorgfalt, Meldewege. Wer den Überblick verliert, übersieht eine Lücke. Das CRA-Readiness-Dashboard von Dernium CRA-Nachweis bündelt den Stand all dieser Bausteine je Produkt an einer Stelle: pro Bereich erledigt, teilweise oder offen, mit Sprung direkt zum jeweiligen Werkzeug. Dieser Beitrag zeigt, wie das Dashboard zusammenführt - und wo bewusst die Verantwortung beim Hersteller bleibt.
Wie BIMI verifizierte Markenlogos in Gmail, Yahoo und Apple Mail bringt, wofür VMC und CMC stehen, welche DMARC-Voraussetzungen gelten und wo die Datenschutzfallen liegen.
Bei manchen Produkten genügt unter dem CRA keine Selbstbewertung - es braucht eine notifizierte Stelle (Art. 32, Anhang VIII): bei wichtigen Produkten der Klasse II, bei Klasse I ohne vollständig angewandte harmonisierte Normen und bei kritischen Produkten. Dieses Engagement ist ein eigener Prozess: die richtige Stelle finden, die technische Dokumentation übergeben, die Prüfung begleiten, die Bescheinigung verwalten. Dernium CRA führt dafür einen Engagement-Tracker - Stelle, Verfahren, Status, Bescheinigung, Übergabe-Checkliste und Modul-H-Überwachung. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.
Das BSI hat den C5-Kriterienkatalog am 14. Mai 2026 in neuer Fassung veröffentlicht. 39 neue und 129 überarbeitete Kriterien, eine Übergangsfrist bis 1. Juni 2027 für Audits, und neue Schwerpunkte bei Verschlüsselung, Datenverarbeitung und Daten-Mapping.
Ein Software-Fehler in DENICs eigenem Code führte am 5. Mai 2026 dazu, dass drei HSMs jeweils ein eigenes Schlüsselpaar erzeugten, obwohl nur eines gemeinsam genutzt werden sollte. DENIC hat die Ursache am 11. Mai im eigenen Blog technisch aufgearbeitet.
Der Digital Operational Resilience Act (EU 2022/2554) ist seit Januar 2025 wirksam. Dieser Beitrag geht die praktische Mindestliste durch: ICT-Risk-Register, Incident-Reporting im BaFin-Format, Drittanbieter-Registrierung, Resilienz-Tests und Informationsaustausch.
Wie öffentliche CT-Logs Fehl- und Missbrauchsausstellungen von TLS-Zertifikaten sichtbar machen und wie sich daraus ein brauchbares Frühwarnsystem bauen lässt.
Nicht jede Produktänderung löst den CRA neu aus - aber eine wesentliche Veränderung schon: dann gilt das Produkt als neu in Verkehr gebracht und braucht eine neue Konformitätsbewertung samt aktualisierter Dokumente. Der Test (Art. 3 Nr. 30) ist ein ODER: beeinträchtigt die Änderung die Konformität (und war nicht in der Risikobewertung vorhergesehen) ODER ändert sie den Verwendungszweck. Dernium CRA stuft jede Version geführt ein und sagt klar, ob eine Neubewertung fällig ist. Dieser Beitrag zeigt die Logik - und wo bewusst die Verantwortung beim Hersteller bleibt.
Am Abend des 5. Mai 2026 lieferte die .de-Zone fehlerhafte DNSSEC-Signaturen aus. Validierende Resolver verwarfen sämtliche Antworten als ungültig. Was passiert ist, warum DNSSEC genau so reagieren muss und wie wir bei Dernium auf solche Vorgänge schauen.
Der Cyber Resilience Act verpflichtet Hersteller, beim Einbinden von Komponenten Dritter - ausdrücklich auch Open-Source - Sorgfalt walten zu lassen, damit diese die Sicherheit des Produkts nicht gefährden (Art. 13 Abs. 5). Der Maßstab ist risikoabhängig (Erwägungsgrund 34), und bei einer Schwachstelle in einer Komponente kommt die Upstream-Meldepflicht hinzu (Art. 13 Abs. 6). Dernium CRA-Nachweis führt die Sorgfaltsbewertung je Komponente direkt auf der Stückliste - org-weit, stabil über Re-Ingests. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.
Eine Executive Order in Washington kann den Login einer ganzen Organisation in Europa abschalten. Der IStGH-Vorfall zeigt, warum vertragliche und juristische Trennung von US-Anbietern keine akademische Frage mehr ist.
Die geplante dritte Auflage der IP-Vorratsdatenspeicherung verspricht Identifikationskraft, die unter CGNAT und IPv6-Privacy-Extensions in der Praxis kaum noch gegeben ist. Was IP plus Zeitstempel als Identifikator wirklich leisten und wo der EuGH-Korridor sie überhaupt zulässt.
Das NIS2UmsuCG gilt seit Dezember 2025 ohne Übergangsfrist. Dieser Beitrag zeigt, was operativ bis 2026/2027 in internen Prozessen, Lieferketten und IT-Haushaltsplanung angefasst werden muss, und welche Dernium-Bausteine dabei direkt nützlich sind.
Der Cyber Resilience Act verlangt, dass jedem Produkt strukturierte Informationen und Anleitungen für die Nutzer beiliegen (Anhang II) - neun feste Punkte von Hersteller-Kontakt über Support-Ende bis zu Update- und Außerbetriebnahme-Anleitungen. Dernium CRA-Nachweis hat dafür einen Generator: Sie füllen die Punkte aus, wiederkehrende Angaben kommen aus dem, was Sie ohnehin pflegen, leere Pflichtteile erscheinen sichtbar als „zu ergänzen", und heraus fällt ein PDF mit Ihrem Briefkopf. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.
Der Cyber Resilience Act schreibt je nach Einstufung ein bestimmtes Konformitätsbewertungsverfahren vor (Art. 32): Standardprodukte dürfen sich selbst bewerten, wichtige Produkte der Klasse I nur unter Bedingungen, Klasse II und kritische Produkte brauchen eine Dritt-Prüfung. Dernium CRA-Nachweis hat dafür einen Lotsen, der aus der Einstufung den zulässigen Pfad bestimmt, die Verfahrenswahl konsistent hält und eine Abdeckungs-Checkliste der wesentlichen Anforderungen (Anhang I) bietet. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.
Der Cyber Resilience Act verlangt eine dokumentierte Cybersicherheits-Risikobewertung (Art. 13). Sie ist kein Beiwerk, sondern bestimmt, welche der wesentlichen Anforderungen aus Anhang I Teil I Nr. 2 für Ihr Produkt gelten - und nicht anwendbare müssen begründet werden. Dernium CRA-Nachweis führt diese Bewertung strukturiert: Kontext, Anwendbarkeit je Anforderung mit Begründungspflicht, Risiko-Register; das Ergebnis fließt automatisch in die technische Dokumentation (Anhang VII Nr. 3). Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.
Viele Login-Seiten verraten ungewollt, wer Kunde ist. Warum das ein DSGVO-Problem ist, wie man es in allen Schichten vermeidet und wie der Dernium-Login von der ersten Abfrage bis zur kryptografischen Verifikation keine Konten-Existenz preisgibt.
Der Cyber Resilience Act verlangt, Schwachstellen über den gesamten Support-Zeitraum unverzüglich zu behandeln und die Nutzer zu informieren. Dernium CRA-Nachweis schließt diese Schleife: Aus den Funden je Produkt entsteht eine Behebungs-Liste mit dem Lebenslauf jeder Schwachstelle - Schweregrad, Erst-Erkennung, Fristen-Uhr, Status, behebende Version und das Advisory als Nutzerinfo - samt verwaltetem Support-Zeitraum. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.
Dernium CRA-Nachweis erzeugt die EU-Konformitätserklärung (Anhang V) und die technische Dokumentation (Anhang VII) als fertiges PDF: das Werkzeug assembliert die laufend gepflegte Evidenz - Versionen, Stückliste, Schwachstellen- und VEX-Stand - und der Hersteller ergänzt nur die beschreibenden Teile. Dieser Beitrag zeigt, wie der DoC- und der Tech-Doc-Generator arbeiten und wo bewusst die Verantwortung beim Hersteller bleibt.
Deutsche Behörden und kommunale IT-Dienstleister dürfen Cloud-Souveränität als Zuschlagskriterium werten. Dieser Beitrag zeigt konkrete Klauselbeispiele mit Vergaberechts-Bezug, die in Vergabeverfahren Bestand haben, plus Beispiele aus realen Verfahren 2023-2025.
Der Cyber Resilience Act verlangt von Herstellern eine Richtlinie zur koordinierten Schwachstellenoffenlegung, einen auffindbaren Meldekontakt und die Veröffentlichung behobener Schwachstellen. Dernium CRA-Nachweis hostet die CVD-Policy auf einer öffentlichen PSIRT-Seite, erzeugt die security.txt (RFC 9116) und veröffentlicht produktgebundene Advisories - menschen- und maschinenlesbar als CSAF 2.0 mit Revisionshistorie. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.
Ab dem 11. Dezember 2027 greifen die CRA-Hauptpflichten: EU-Konformitätserklärung nach Anhang V, technische Dokumentation nach Anhang VII und CE-Kennzeichnung nach einer Konformitätsbewertung. Dieser Beitrag erklärt, was Hersteller dafür brauchen, warum die nötige Evidenz schon heute aufgebaut werden muss und wie Dernium dabei assistiert, ohne die Erklärung im Namen des Herstellers auszustellen.
Ab dem 11. September 2026 verlangt der EU-Cyber-Resilience-Act, dass Hersteller aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle binnen 24 Stunden frühwarnen und binnen 72 Stunden melden. Wir erklären die zwei Meldespuren, die Fristen, die Single Reporting Platform und wie unsere Assistenz dabei unterstützt, ohne die Meldung für Sie abzusenden.
Fremde Dateien anzunehmen oder vertrauliche weiterzugeben ist einer der häufigsten und riskantesten Vorgänge im Geschäftsalltag. Je nach Situation passt ein Ende-zu-Ende-verschlüsselter Versand, ein geprüftes Upload-Feld auf der Website oder eine API. Wann welcher Weg.
Wie CycloneDX, SPDX, cosign, Fulcio und Rekor zusammen belegen, wer eine Binary gebaut hat und woraus. Einordnung von SLSA, in-toto und dem Cyber Resilience Act.
Scope, Meldepflichten, SBOM und Bussgelder des EU Cyber Resilience Act (Verordnung 2024/2847), mit Fristen bis 2027 und Einordnung für SaaS und Open Source.
Die meisten Online-Office-Werkzeuge verschlüsseln nur die Leitung, auf dem Server liegt Ihr Text im Klartext. Echte Ende-zu-Ende-Verschlüsselung verschiebt den Schlüssel in Ihren Browser. Was das praktisch bedeutet und wo die Grenzen liegen.
Pfeile, Schwärzungen und Notizen auf Bildern setzt man meist mit Werkzeugen, die das Bild in eine fremde Cloud laden. Es geht auch lokal im Browser, mit quelloffenem Code. Wie das funktioniert und warum Offenheit hier mehr ist als ein Etikett.
Eine Content Security Policy stoppt den Großteil der klassischen XSS- und Datenexfiltrations-Angriffe. SameSite-Cookies entschärfen CSRF. Richtig konfiguriert bilden sie eine zweite Verteidigungsschicht, die nur dann sichtbar wird, wenn die erste versagt. Wie eine strikte, aber praxistaugliche Header-Konfiguration aussieht.
Ein Dienst, der seinen eigenen Inhalt nicht entschlüsseln kann, hat eine Eigenschaft, die die meisten "Ende-zu-Ende-verschlüsselten" Anbieter nicht haben. Warum das URL-Fragment das entscheidende Detail ist und wie One-View-Garantien sauber umgesetzt werden.
Browser-Isolation bedeutet, dass das Surfen und das Öffnen fremder Dateien in einer abgeschotteten virtuellen Maschine passiert statt auf Ihrem Rechner. Wie das Modell funktioniert, was es schützt und wo seine Grenzen liegen.
Container teilen sich den Host-Kernel. Für eine Malware-Scan-Pipeline ist das zu wenig. Warum gVisor als User-Space-Kernel die richtige zweite Schicht ist und wie ein Scanner gänzlich ohne Netzwerk gebaut wird.
Apple hat am 21. Februar 2025 Advanced Data Protection für britische iCloud-Nutzer abgeschaltet, nachdem das UK-Innenministerium eine technical capability notice erlassen hat. Der erste öffentliche IPA-Präzedenzfall.
Ein einzelner Virenscanner erkennt neue Samples in erstaunlich wenigen Fällen. Die Lösung ist nicht, einen besseren Scanner zu finden, sondern mehrere unterschiedliche zu kombinieren. Welche Engine-Familien es gibt, was jede einzelne gut kann und wie die Aggregation aussieht.
Die EU-Frist zur nationalen Umsetzung ist am 17. Oktober 2024 abgelaufen. Das deutsche NIS2UmsuCG hat den Bundestag bis dahin nicht passiert. Was das für Durchsetzung und Vorbereitung heißt.
Wie Dernium Clean aus einem eingehenden Dokument ein sicheres PDF baut, ohne jemals Inhalte aus dem Original zu vertrauen. Was das Verfahren CDR (Content Disarm and Reconstruction) leistet und was seine Grenzen sind.
Das NIST hat am 13. August 2024 FIPS 203 in der finalen Fassung veröffentlicht. ML-KEM ist damit offiziell Post-Quantum-Schlüsselaustausch-Standard; FIPS 204 und 205 ergänzen für Signaturen.
BYOK klingt wie HYOK, ist es aber nicht. Was die Modelle unterscheidet, warum ein HSM allein kein HYOK macht, und wie eine belastbare Schlüsselinfrastruktur jenseits des Produktions-Rechenzentrums aussieht.
Store-now, decrypt-later ist kein akademisches Szenario. Warum Quantum-resistenter Schlüsselaustausch heute in TLS 1.3 gehört, wie der Hybrid-Modus aussieht und was bei der Einführung so schiefgehen kann.
Seit dem 1. Februar 2024 setzen Gmail und Yahoo SPF/DKIM/DMARC-Mindestanforderungen für Versender mit mehr als 5000 Nachrichten pro Tag durch. Was das für Transaktions- und Newsletter-Mails heißt.
SPF allein schützt nicht, DKIM ohne DMARC auch nicht, und Transport-Sicherheit ohne MTA-STS oder DANE bleibt Vertrauenssache. Welche Schicht was leistet, und wie eine Domain aussieht, die alle fünf sauber konfiguriert.
Passwörter lecken, werden wiederverwendet und lassen sich phishen. Passkeys sind die einzige weit verfügbare Authentifizierungsmethode, die alle drei Probleme strukturell löst. Wie sie funktionieren, woran man echte von fiktiven Passkey-Implementierungen unterscheidet und warum man die Account-Wiederherstellung mitdenken muss.
Die EU-Kommission hat am 10. Juli 2023 den Angemessenheitsbeschluss zum EU-US DPF erlassen. Was das praktisch für Datenübermittlungen bedeutet und warum die juristische Unsicherheit bleibt.
NIS-2 erweitert den Kreis regulierter Organisationen deutlich. Wer fällt hinein, welche Pflichten entstehen, und warum die Meldung binnen 24 Stunden der härteste Teil der Umsetzung ist.
Server in Deutschland schützen nicht, solange der Anbieter unter US-Jurisdiktion steht. Was CLOUD-Act, FISA-702 und UK IPA tatsächlich erzwingen können, und woran man einen Anbieter erkennt, der sich dem entzieht.
Die meisten Kontaktformulare schicken jeden Besucher heimlich zu Google oder Cloudflare. Wir lösen Spam-Schutz anders: mit einem kleinen Rechen-Rätsel direkt im Browser, ganz ohne Drittanbieter. Wie das funktioniert und wo seine Grenzen liegen.