Ein Fachkanal abseits der Kundenseite. Regelmäßig beleuchten wir hier technische Neuerungen und Herausforderungen, gehen aber auch ins Detail zu den Implementierungen hinter Svelnors Werkzeugen.
Eine Content Security Policy stoppt den Grossteil der klassischen XSS- und Datenexfiltrations-Angriffe. SameSite-Cookies entschärfen CSRF. Richtig konfiguriert bilden sie eine zweite Verteidigungsschicht, die nur dann sichtbar wird, wenn die erste versagt. Wie eine strikte, aber praxistaugliche Header-Konfiguration aussieht.
Einen einzigen Master-Key hütet kein Mensch verlässlich. Wie Shamirs Verfahren von 1979 ein Geheimnis so auf mehrere Personen aufteilt, dass zwei von drei genügen, keine einzelne aber etwas preisgibt - und warum das mehr als ein Krypto-Trick ist.
Ein Dienst, der seinen eigenen Inhalt nicht entschlüsseln kann, hat eine Eigenschaft, die die meisten "Ende-zu-Ende-verschlüsselten" Anbieter nicht haben. Warum das URL-Fragment das entscheidende Detail ist und wie One-View-Garantien sauber umgesetzt werden.
Container teilen sich den Host-Kernel. Für eine Malware-Scan-Pipeline ist das zu wenig. Warum gVisor als User-Space-Kernel die richtige zweite Schicht ist und wie ein Scanner gänzlich ohne Netzwerk-Egress gebaut wird.
Apple hat am 21. Februar 2025 Advanced Data Protection für britische iCloud-Nutzer abgeschaltet, nachdem das UK-Innenministerium eine technical capability notice erlassen hat. Der erste öffentliche IPA-Praezedenzfall.
Ein einzelner Virenscanner erkennt neue Samples in erstaunlich wenigen Fällen. Die Lösung ist nicht, einen besseren Scanner zu finden, sondern mehrere unterschiedliche zu kombinieren. Welche Engine-Familien es gibt, was jede einzelne gut kann und wie die Aggregation aussieht.
Die EU-Frist zur nationalen Umsetzung ist am 17. Oktober 2024 abgelaufen. Das deutsche NIS2UmsuCG hat den Bundestag bis dahin nicht passiert. Was das für Durchsetzung und Vorbereitung heißt.
Content Disarm and Reconstruction (CDR) ist das derzeit stärkste Verfahren gegen Dokumenten-Malware in PDFs und Office-Dateien. Warum Signaturscan allein nicht reicht, was Dangerzone konkret tut und welche Einschränkungen im Betrieb auftauchen.
Das NIST hat am 13. August 2024 FIPS 203 in der finalen Fassung veröffentlicht. ML-KEM ist damit offiziell Post-Quantum-Schlüsselaustausch-Standard; FIPS 204 und 205 ergaenzen für Signaturen.
BYOK klingt wie HYOK, ist es aber nicht. Was die Modelle unterscheidet, warum ein HSM allein kein HYOK macht, und wie eine belastbare Schlüsselinfrastruktur jenseits des Produktions-Rechenzentrums aussieht.
Harvest-now, decrypt-later ist kein akademisches Szenario. Warum Quantum-resistente Schlüsselaustausche heute in TLS 1.3 gehören, wie der Hybrid-Modus aussieht und was bei der Einführung schiefgehen kann.
Seit dem 1. Februar 2024 setzen Gmail und Yahoo SPF/DKIM/DMARC-Mindestanforderungen für Versender mit mehr als 5000 Nachrichten pro Tag durch. Was das für Transaktions- und Newsletter-Mails heißt.
SPF allein schützt nicht, DKIM ohne DMARC auch nicht, und Transport-Sicherheit ohne MTA-STS oder DANE bleibt Vertrauenssache. Welche Schicht was leistet, und wie eine Domain aussieht, die alle fünf sauber konfiguriert.
Passwörter lecken, werden wiederverwendet und lassen sich phishen. Passkeys sind die einzige weit verfügbare Authentifizierungsmethode, die alle drei Probleme strukturell löst. Wie sie funktionieren, woran man echte von fiktiven Passkey-Implementierungen unterscheidet und warum man die Account-Wiederherstellung mitdenken muss.
Die EU-Kommission hat am 10. Juli 2023 den Angemessenheitsbeschluss zum EU-US DPF erlassen. Was das praktisch für Datenübermittlungen bedeutet und warum die juristische Unsicherheit bleibt.
NIS-2 erweitert den Kreis regulierter Organisationen deutlich. Wer fällt hinein, welche Pflichten entstehen, und warum die Meldung binnen 24 Stunden der härteste Teil der Umsetzung ist.
Server in Deutschland schützen nicht, solange der Anbieter unter US-Jurisdiktion steht. Was CLOUD-Act, FISA-702 und UK IPA tatsächlich erzwingen können, und woran man einen Anbieter erkennt, der sich dem entzieht.