Neben rund 100 wissenschaftlichen Publikationen zum Thema habe ich auch viele allgemeinverständliche Artikel geschrieben.
IT-Sicherheit
- Petzt die KI? Schlimm? (DNIP, 2024-09-27; hier kurz als Was verraten KI-Chatbots?)
Kann es passieren, dass KI-Eingaben in falsche Hände kommen? Wie? Was kann ich dagegen tun? - Sicherheit versteckt sich gerne (2024-09-13)
Wieso man einer Firma von aussen nicht ansieht, ob sie sichere IT-Produkte und -Services liefert. Oder eben nicht. - CrowdStrike oder: Wie eine Closed-Source-Firma fast die Welt lahmlegte (DNIP, 2024-07-22);
Wie können wir ein zweites «CrowdStrike» vermeiden? (DNIP, 2024-07-23);
CrowdStrike: Sind EU und Ratingagenturen schuld? (Und: Updates) (DNIP, 2024-08-05);
kurz: «CrowdStrike»: Ausfälle verstehen und vermeiden und CrowdStrike, die Dritte.
Ein Überblick in drei Teilen über die Geschehnisse vom Freitag, 19. Juli, wie es dazu kam und was wie wir alle dazu beitragen können, das zukünftig zu vermeiden. - Unnützes Wissen zu CrowdStrike (2024-08-04).
Ein paar Hintergrundinformationen und Geschichtchen zu CrowdStrike und dem grossen Crash vom 19. Juli. - Wieso wir «Move fast and break things» falsch verstehen — und wie wir Software besser machen können (2024-06-13; Kurzversion: «Move fast and break things» richtig verstehen und nutzen)
Übersetzung eines Essays von Glyph, das die moderne, sichere und zuverlässige Softwareentwicklung erklärt und begründet. - «QualityLand» sagt die Gegenwart voraus und erklärt sie (2024-06-12)
Eine Buchempfehlung, für alle, die hinter die Kulissen der Gegenwart und einer mögliche Zukunft schauen möchten. - 50 Jahre «unentdeckbare Sicherheitslücke» (2024-06-10; Kurzbeschreibung zu Patrick Seemanns DNIP-Artikel: «Die Sache mit dem Vertrauen»)
Wie eine vor 50 Jahren erfundene Sicherheitslücke funktioniert und wieso sie uns immer noch beschäftigt. - Wer ist «Jia Tan»? Eine Spurensuche zur xz-Backdoor (DNIP, 2024-05-14; Kurzversion: Mutmassungen über «Jia Tan»: Spuren eines Hackers)
Was wir aus Spuren über eine Backdoor lernen können. Und wie wir uns und unsere Umgebung effektiv schützen können. - Wie viel Swissness (und Bitcoin) steckt in SwissBitcoin ETF? Oder: Das 1×1 der Betrugserkennung (DNIP, 2024-04-24; Kurzversion: Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen Spamwelle)
Betrugserkennung an einem praktischen Beispiel, aber auch mit Hintergrund zu Vertrauen und einer Liste an Werkzeugen, um Informationen zu verfizieren. - xz oder: Wie die Open-Source-Community an Ostern die Welt gerettet hat (DNIP, 2024-04-02; Kurzversion: Wie die Open-Source-Community an Ostern die (IT-)Welt rettete)
Wir sind wahrscheinlich gerade haarscharf an der grössten IT-Sicherheitskatastrophe vorbeigeschrammt. Aus purem Glück. Auf dieses Glück dürfen wir uns nicht verlassen; wir müssen strukturell etwas ändern. - Y2K38: Timed Obsolescence (DNIP, 2024-01-19; Kurzversion: Endet die Zeit im Jahr 2038?)
Wieso wir bereits jetzt dafür sorgen müssen, damit unsere Geräte und Firmen 2038 kein Probleme haben. - Zählen wie ein Computer (DNIP, 2024-01-18; Kurzversion: Wie zählt ein Computer?)
Computer haben Limiten. Diese zeigen sich ganz besonders bei Zahlen. Und haben Auswirkungen, ob ein Programm funktioniert bzw. sicher ist. - Nicht wirklich «Responsible Disclosure»: Die Extraportion Spam über die Festtage (DNIP, 2023-12-22; Kurzversion: Spamwelle zu Weihnachten?)
Wie man eine Sicherheitslücke nicht kommunizieren sollte. - Cloud untergräbt Sicherheit von Zwei-Faktor-Authentifizierung (2023-09-19; tags zuvor hier noch etwas kürzer als 2FA verschwindet in der Cloud)
Wieso ein Backup der 2FA-Daten gut ist, aber auch gut geplant sein will. - IT-Sicherheit ist kein Bürostuhl (DNIP, 2023-08-01; Kurzversion)
Wieso IT-Sicherheit uns alle angeht und nicht mit einem zweiseitigen Brief des Bundes gelöst werden kann. - Was uns Ransomware zu Datenschutz und Datensicherheit lehrt (2022-12-05)
IT-Sicherheit und ein paar einfache aber effektive Massnahmen einfach erklärt. Mit Checklisten. - Erklärt: Das Kleingedruckte bei Cyber-Versicherung (2022-07-14)
Ein Restrisiko der IT-Sicherheit kann durch eine Versicherung abgedeckt werden. Aber hilft diese dann auch? - Sicherheitstipps (nicht nur) fürs Homeoffice (2020-04-20)
Ein paar einfach Sicherheitstipps. Vorgänger von «Was uns Ransomware zu Datenschutz und Datensicherheit lehrt»; mit Informationen rund um die organisierte Cyberkriminalität. - Ransomware ist anders (2018-09-26)
Wie Ransomware funktioniert und was wir dagegen tun können. - Ist 1234 ein gutes Passwort? (2018-09-23)
Wieso brauchen wir Passwörter? Und sind 8 Zeichen genug? Passwörter und ihre Hintergründe erklärt. - Meltdown und Spectre: Lesen ohne zu lesen (2018-01-15)
Die Prozessor-Sicherheitslücke anhand eines staubigen Schachspiels erklärt. - Weg vom Internet der (unsicheren) Dinge (2017-03-28)
Viele Gerätschaften, die als „Internet der Dinge“ („IoT“, Internet of Things) verkauft werden, haben Sicherheitsprobleme. Hintergründe und Lösungsmöglichkeiten. - DDoS: What we can do to prevent it (Englisch 🇬🇧; 2016-09-27)
Wie DDoS-Angriffe ermöglicht werden, wieso die Anreize dagegen falsch verteilt sind und was man trotzdem dagegen tun kann/müsste.
Cloud und Verschlüsselung
Die Serie «Cloud+Sicherheit»:
- «Die Cloud» gibt es nicht (DNIP, 2022-09-30; Englisch 🇬🇧: «“The Cloud“ does not exist», 2022-11-06)
Wieso wir nicht alles, was Cloud heisst, in einen Topf werfen sollten, wenn es um Sicherheit geht. - Wo genau geht es in die Cloud? Ein Wegweiser durch den Dschungel (DNIP, 2024-10-21; kurz hier: Wegweiser in die Cloud)
Ein Überblick über die verschiedenen Cloudarten. Mit leicht verständlichen Analogien wie Schrebergärten, Schafweiden und Bürogebäuden.
Sonstige Artikel:
- Die Cloud, das geheimnisvolle Wesen (2024-10-21)
Einige Überlegungen, die man vor einem Schritt in die Cloud anstellen sollte. - Cloud: Virtualisierung und Container kurz erklärt (2024-10-16)
Die Zusammenhänge zwischen Virtualisierung, Containern usw. - Was Prozessoren und die Frequenzwand mit der Cloud zu tun hat (2024-10-12)
Vor rund 20 Jahren hat die CPU-Taktfrequenz ein Limit erreicht. Stattdessen wachsen die Anzahl Cores pro Prozessor. Und tragen damit «Mitschuld» an der Cloud. - Cloudspeicher sind nicht (immer) für die Ewigkeit (2024-09-09)
Viele nutzen Cloudspeicher, z.T. ohne es zu wissen. Und diese (und die Daten darauf) können dann plötzlich weg sein. - 📹 Cloud: Technologie für Datenschutz? (2023-03-17)
Wo hilft uns Technologie und wo nicht? Vortrag mit Aufzeichnung. - Post Quantum and Homomorphic Encryption made easy (2023-02-23, nur Englisch 🇬🇧; auf Deutsch etwa: «Quantensichere Verschlüsselung und Homomorphe Verschlüsselung einfach erklärt»)
Homomorphe Verschlüsselung wird als Hoffnung für Cloud-Sicherheit verkauft. Die Grundlagen einfach erklärt mit Kinderrätseln. - Vortrag: Cloud-Sicherheit am Winterkongress (2023-02-14)
Wieso man «Die Cloud» nicht in einen Topf werfen sollte und was das für die Sicherheit heisst. Und wieso Hoffnungen auf zukünftige Errungenschaften übertrieben sind. - «Die Cloud» gibt es nicht (2022-09-30; Englisch 🇬🇧: «“The Cloud“ does not exist», 2022-11-06)
Wieso wir nicht alles, was Cloud heisst, in einen Topf werfen sollten, wenn es um Sicherheit geht. - Hinter den Kulissen der Verschlüsselung (2022-09-28)
Wie Verschlüsselung funktioniert und welche verschiedenen Möglichkeiten sie bietet.
Datenschutz, Privatsphäre, Demokratie
- Facebook: Lieber Zensur als Datenschutz (DNIP, 2024-10-10; hier kurz: Facebook: Moderation für Geschäftsinteressenmaximierung, nicht für das Soziale im Netz
Facebook scheint dieses Jahr intensiver als zuvor kritische Beiträge als «irreführend» und «Spam» zu klassieren und damit ihre Veröffentlichung auf ihrer Plattform zu verunmöglichen. Echt irreführende Beiträge bleiben aber stehen, aus kommerziellen Interessen. - Chatkontrolle: Es geht weiter! (DNIP, 2024-09-09; hier kurz: «Chatkontrolle, die Schweiz und unsere Freiheit» und «Chatkontrolle: Schöner als Fiktion»)
Überblick über den Stand der Chatkontrolle und die Auswirkungen auf die Schweiz und unsere Freiheit. - Depeschen aus der Zukunft: Rückblick auf das erste Jahr Chatkontrolle (DNIP, 2024-09-10)
Eine wundervolle Fiktion von Jeremiah Lee, wie das erste Jahr nach der Einführung der Chatkontrolle aussehen könnte. Unterhaltsamer Einstieg in das Thema, ideal auch zum Teilen mit Freunden und Familie. - Marcel pendelt zwischem Spam und Scam (2024-08-02)
Ein paar Tipps zum Erkennen von Internet-Betrug. - Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht (2024-08-01)
Ein Überblick über die dunklen Seiten des Werbenetzwerks, motiviert durch einen DNIP-Artikel von Adrienne Fichter. - Auch du, mein Sohn Firefox (2024-07-17)
Dass Firefox jetzt auch Werbetracking macht. Und wie man es ausschaltet. - Stimmbeteiligung erhöhen ohne eVoting (DNIP, 2024-05-27; Kurzversion)
Eine Stimmpflicht „light“ wie im Kanton Schaffhausen erhöht sie um 20 Prozentpunkte. - «Right to be Forgotten» void with AI? (2023-03-02, nur Englisch 🇬🇧; auf Deutsch etwa: «Verschwindet das „Recht auf Vergessenwerden“ durch die KI?»)
Löschen von Informationen aus Sprachmodellen wie ChatGPT ist schwierig. Alternativen und Implikationen. - SBB-Kundentracking: Offene Fragen (2023-02-22; Vorabversion)
Wenn es der SBB nur um Frequenz- und Wegedaten ginge, liesse sich dies auch privatsphärefreundlicher lösen. - Jugendschutzgesetz in den Medien, ein kleiner Faktencheck (2023-01-16)
Wieso das Jugendschutzgesetz eine Ausweispflicht im Internet ergibt. Und die Jugend nicht schützt. Und damit unnötig an unserer Privatsphäre nagt. - Datenschutz und IT in der Arztpraxis: ein Fass mit Boden (2018-05-23)
Einige Tipps für Hausarztpraxen rund um Datenschutz und Datensicherheit. - Kontrolle über die eigenen Daten: Einfach! (2018-02-26)
Dezentrale und föderierte Systeme helfen, die Kontrolle über die eigenen Daten zu behalten. Hier mit Fokus Instant Messaging. - Spiegel: „Deutschland schleichend zum Überwachungsstaat“ (2016-11-28)
Statt in Überwachungsmassnahmen sollte in die Bekämpfung der Ursachen investiert werden.
Zeit und Zeitstempel
- Endet die Zeit im Jahr 2038? (2024-01-19; Langversion: Y2K38: Timed Obsolescence)
Wieso wir bereits jetzt dafür sorgen müssen, damit unsere Geräte und Firmen 2038 kein Probleme haben - Network Time Security (2022-01-18; fünfteilige Serie auf Englisch 🇬🇧)
Wie kann man nachvollziehbare, vertrauenswürdige Uhrzeit verteilen? - Git, PGP, and the Blockchain: A Comparison (2022-02-04 🇬🇧)
Wahrscheinlich reichen Zeitstempel, wenn man glaubt, eine Blockchain zu brauchen. - A brief history of time(stamping) (2019-03-29 🇬🇧)
Kurzer Überblick über die Geschichte von Zeitstempeln
Vorträge
- Vortrag: Cloud-Sicherheit am Winterkongress (2023-02-14)
Wieso man «Die Cloud» nicht in einen Topf werfen sollte und was das für die Sicherheit heisst. Und wieso Hoffnungen auf zukünftige Errungenschaften übertrieben sind. - Workshops Datenschutz und Datensicherheit in der Arztpraxis im Auftrag der EQUAM Stiftung (2016-2018).
- Diverse Schulungen und Workshops zum Thema.
Falls Sie einen Vortrag oder Kurs wünschen, mit diesem oder einem anderen Fokus oder Format, nehmen Sie bitte Kontakt mit mir auf.
Weitere Dossiers
Überblick über Sicherheit+Privatsphäre
-
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt. → Mehr
-
Hatte mich nach wahrscheinlich mehr als einem Jahr mal wieder bei Facebook eingeloggt. Das erste, was mir entgegenkam: Offensichtlicher Spam, der mittels falscher Botschaften auf Klicks abzielte. Aber beim Versuch,… → Mehr
-
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung… → Mehr
-
Wieso sieht man einer Firma nicht von aussen an, wie gut ihre IT-Sicherheit ist? Einige Überlegungen aus Erfahrung. → Mehr
-
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist. → Mehr
-
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz? → Mehr
-
Wieder streicht ein Cloudspeicher seine Segel. Was wir daraus lernen sollten. → Mehr
-
Oft wird die ganze IT-Abteilung aus Sicht der Geschäftsführung nur als Kostenfaktor angesehen. Wer das so sieht, macht es sich zu einfach. → Mehr
-
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu… → Mehr
-
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges… → Mehr
-
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen. → Mehr
-
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies… → Mehr
-
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich… → Mehr
-
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir… → Mehr
-
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen. → Mehr
-
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung. → Mehr
-
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards,… → Mehr
-
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige… → Mehr