Aktuelles
In eigener Sache: Diese Webseite verwendet ab sofort die hybride Schlüsselvereinbarung "X25519MLKEM768" als bevorzugtes Verfahren. Die Kombination aus dem bewährten klassischem X25519 und dem quantensicheren ML-KEM (FIPS 203) wird von den Browsern Mozilla Firefox, Google Chrome und Microsoft Edge in den aktuellen Versionen unterstützt. Dies ist die erste kleine technische Umsetzung im Sinne des "Fahrplans für den Übergang zur Post-Quantum-Kryptographie" der Europäischen Kommission. Die Umstellung war einfacher als erwartet. (10.8.)
Das Bundesministerium des Innern hat einen Referentenentwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung mit Stand 23.6.2025 veröffentlicht.
Ob der Enrwurf besser geworden ist, als der Entwurf der letzten Regierung, der schon in 1. Lesung im Bundestag war? Nicht wirklich. Es gibt viele kleine Verschlimmbesserungen. Es zeigt sich jedenfalls, dass wir dringend ein Cybersicherheitsgesetz benötigen, in dem die Cybersicherheitsregulierung an einer Stelle zusammengefasst wird. Zu viele Regelungen sind über zu viele Gesetze verstreut. Ein Beispiel aus dem Entwurf: Die Auflistung von Maßnahmen in Art. 21 Abs. 2 NIS2-Richtlinie wird in drei deutsche Gesetze eingefügt: § 30 Abs. 2 BSIG-E, § 165 Abs. 2a TKG-E und § 5c Abs. 4 EnWG-E. Und natürlich sind sie leicht unterschiedlich formuliert:
| Art. 21 Abs. 2 Lit. g NIS2 | grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit |
| § 30 Abs. 2 Nr. 7 BSIG-E | grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik |
| § 165 Abs. 2a Nr. 7 TKG-E | Grundlegende Verfahren und Schulungen im Bereich der Sicherheit von Netzen und Diensten |
| § 5c Abs. 4 Nr. 7 EnWG-E | grundlegende Verfahren im Bereich der Cyberhygiene und für Schulungen im Bereich der Sicherheit der Informationstechnik |
Die Begriffe "Informationssicherheit" (Definition § 2 Nr. 17 BSIG-E), "Datensicherheit" (§ 20 Abs. 3 Nr. 1 BSIG-E), "Netzsicherheit" (§ 20 Abs. 3 Nr. 1 BSIG-E), "Netz- und Informationssicherheit" (z.B. § 23 Abs. 2 Lit. a BSIG-E), "IT-Sicherheit" (z.B. § 55 BSIG-E oder § 5c EnWG-E), "Cybersicherheit" (im Kontext von Zertifizierung, z.B. § 3 Nr. 9 BSIG-E) oder "Sicherheit in der Informationstechnik" (Definition § 2 Nr. 39 BSIG-E) verwendet, ohne dass immer der Unterschied der Bedeutung erkennbar wird. (30.6.)
Koalitionsvertrag: Was ändert sich im Datenschutz?
Die Koalitionsverhandlungen zwischen CDU/CSU und der SPD sind abgeschlossen. Der Koalitionsvertrag ist auch verfügbar. Das Word "Datenschutz" (auch als Bestandteil eines Wortes wie z.B. „Datenschutzbeauftragter“) kommt insgesamt 25-mal im Koalitionsvertrag vor.
Wer Datenschutz für unnötige Bürokratie hält, hält möglicherweise auch Grundrechte für unnötige Bürokratie.
Lesen Sie die geplanten Änderungen im Datenschutz in meinem Blog. (14.4.)
In eigener Sache: Diese Webseite ist auf eine aktuelle Plattform umgezogen. Seit Juli 1999 lief die Web-Seite im bewährten Webhosting von 1&1 und später IONOS. Es war an der Zeit die Plattform zu modernisieren. Sie läuft jetzt auf einem virtuellen Server mit aktuellem Debian im IONOS Rechenzentrum. Das Zertifikat kommt jetzt nicht mehr von Sectigo sondern von Let's Encrypt. (18.3.)
Microsoft hat eine neue Version des Data Protection Addendums (DPA) mit Datum 18. Februar 2025 (internes Datum 16. Februar 2025) veröffentlicht. Derzeit (16. März) ist nur die englische Version verfügbar. Die anderen Sprachversionen sollen erscheinen, wenn sie verfügbar sind.
Neben Layoutänderungen zur besseren Lesbarkeit scheint es nur eine Änderung zu geben. Diese hat Relevanz für europäische Kunden. Im Abschnitt „Location of Customer Data“ (Seite 18 oben) lautet der zweite Satz: „For EU Data Boundary Online Services, Microsoft will store and process Customer Data and, Personal Data, and store Professional Services Data at rest within the European Union as set forth in the Product Terms.“
Die ruhenden (also die auf Datenträger gespeicherten) "Professional Service Data" werden auch in den EU-Datengrenzen-Onlinedienste („Data Boundary Online Services“) gespeichert, aber möglicherweise außerhalb verarbeitet.
Als „Professional Services-Daten“ bezeichnet Microsoft „alle Daten, einschließlich sämtlicher Text-, Ton-, Video-, Bilddateien oder Software, die Microsoft vom oder im Namen eines Kunden zur Verfügung gestellt werden (oder für die der Kunde Microsoft ermächtigt, sie von einem Produkt zu erlangen) oder die anderweitig von oder im Namen von Microsoft im Zuge einer Vereinbarung mit Microsoft über die Erlangung von Professional Services erlangt oder verarbeitet werden.“ (16.3.)
Update: Seit gestern ist auch die deutsche Version verfügbar. Der geänderte Satz lautet: "Für EU-Datengrenzen-Onlinedienste („Data Boundary Online Services“) speichert und verarbeitet Microsoft Kundendaten kunden- und personenbezogene Daten und speichert ruhende Professional Services-Daten innerhalb der Europäischen Union, wie in den Produktbestimmungen beschrieben." Währen es im englischen Text bei dem Wort "Customer Data" bleibt, werden in der deutschen Übersetzung aus "Kundendaten" "kundenbezogene Daten". (19.3.)
Das Buch "IT-Sicherheit für Dummies", das ich zusammen mit Sebastian R. Gerling geschrieben habe, ist jetzt erschienen und wir haben heute die ersten Exemplare erhalten. Damit können wir das Ergebnis der Arbeit der letzten eineinhalb Jahre buchstäblich in die Hand nehmen. Weitere Informationen - Inhaltsverzeichnis, Probeseiten und alle Links aus dem Buch - finden Sie auf der Web-Seite zum Buch. (20.4.22)
Ältere aktuelle Nachrichten sind hier archiviert
