Neben rund 100 wissenschaftlichen Publikationen zum Thema habe ich auch viele allgemeinverständliche Artikel geschrieben.
IT-Sicherheit
- CrowdStrike oder: Wie eine Closed-Source-Firma fast die Welt lahmlegte (DNIP, 2024-07-22) und Wie können wir ein zweites «CrowdStrike» vermeiden? (DNIP, 2024-07-23; kurz: «CrowdStrike»: Ausfälle verstehen und vermeiden)
Ein Überblick über die Geschehnisse am Freitag, wie es dazu kam und was wie wir alle dazu beitragen können, das zukünftig zu vermeiden. - Wieso wir «Move fast and break things» falsch verstehen — und wie wir Software besser machen können (2024-06-13; Kurzversion: «Move fast and break things» richtig verstehen und nutzen)
Übersetzung eines Essays von Glyph, das die moderne, sichere und zuverlässige Softwareentwicklung erklärt und begründet. - «QualityLand» sagt die Gegenwart voraus und erklärt sie (2024-06-12)
Eine Buchempfehlung, für alle, die hinter die Kulissen der Gegenwart und einer mögliche Zukunft schauen möchten. - 50 Jahre «unentdeckbare Sicherheitslücke» (2024-06-10; Kurzbeschreibung zu Patrick Seemanns DNIP-Artikel: «Die Sache mit dem Vertrauen»)
Wie eine vor 50 Jahren erfundene Sicherheitslücke funktioniert und wieso sie uns immer noch beschäftigt. - Wer ist «Jia Tan»? Eine Spurensuche zur xz-Backdoor (DNIP, 2024-05-14; Kurzversion: Mutmassungen über «Jia Tan»: Spuren eines Hackers)
Was wir aus Spuren über eine Backdoor lernen können. Und wie wir uns und unsere Umgebung effektiv schützen können. - Wie viel Swissness (und Bitcoin) steckt in SwissBitcoin ETF? Oder: Das 1×1 der Betrugserkennung (DNIP, 2024-04-24; Kurzversion: Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen Spamwelle)
Betrugserkennung an einem praktischen Beispiel, aber auch mit Hintergrund zu Vertrauen und einer Liste an Werkzeugen, um Informationen zu verfizieren. - xz oder: Wie die Open-Source-Community an Ostern die Welt gerettet hat (DNIP, 2024-04-02; Kurzversion: Wie die Open-Source-Community an Ostern die (IT-)Welt rettete)
Wir sind wahrscheinlich gerade haarscharf an der grössten IT-Sicherheitskatastrophe vorbeigeschrammt. Aus purem Glück. Auf dieses Glück dürfen wir uns nicht verlassen; wir müssen strukturell etwas ändern. - Y2K38: Timed Obsolescence (DNIP, 2024-01-19; Kurzversion: Endet die Zeit im Jahr 2038?)
Wieso wir bereits jetzt dafür sorgen müssen, damit unsere Geräte und Firmen 2038 kein Probleme haben. - Zählen wie ein Computer (DNIP, 2024-01-18; Kurzversion: Wie zählt ein Computer?)
Computer haben Limiten. Diese zeigen sich ganz besonders bei Zahlen. Und haben Auswirkungen, ob ein Programm funktioniert bzw. sicher ist. - Nicht wirklich «Responsible Disclosure»: Die Extraportion Spam über die Festtage (DNIP, 2023-12-22; Kurzversion: Spamwelle zu Weihnachten?)
Wie man eine Sicherheitslücke nicht kommunizieren sollte. - Cloud untergräbt Sicherheit von Zwei-Faktor-Authentifizierung (2023-09-19; tags zuvor hier noch etwas kürzer als 2FA verschwindet in der Cloud)
Wieso ein Backup der 2FA-Daten gut ist, aber auch gut geplant sein will. - IT-Sicherheit ist kein Bürostuhl (DNIP, 2023-08-01; Kurzversion)
Wieso IT-Sicherheit uns alle angeht und nicht mit einem zweiseitigen Brief des Bundes gelöst werden kann. - Was uns Ransomware zu Datenschutz und Datensicherheit lehrt (2022-12-05)
IT-Sicherheit und ein paar einfache aber effektive Massnahmen einfach erklärt. Mit Checklisten. - Erklärt: Das Kleingedruckte bei Cyber-Versicherung (2022-07-14)
Ein Restrisiko der IT-Sicherheit kann durch eine Versicherung abgedeckt werden. Aber hilft diese dann auch? - Sicherheitstipps (nicht nur) fürs Homeoffice (2020-04-20)
Ein paar einfach Sicherheitstipps. Vorgänger von «Was uns Ransomware zu Datenschutz und Datensicherheit lehrt»; mit Informationen rund um die organisierte Cyberkriminalität. - Ransomware ist anders (2018-09-26)
Wie Ransomware funktioniert und was wir dagegen tun können. - Ist 1234 ein gutes Passwort? (2018-09-23)
Wieso brauchen wir Passwörter? Und sind 8 Zeichen genug? Passwörter und ihre Hintergründe erklärt. - Meltdown und Spectre: Lesen ohne zu lesen (2018-01-15)
Die Prozessor-Sicherheitslücke anhand eines staubigen Schachspiels erklärt. - Weg vom Internet der (unsicheren) Dinge (2017-03-28)
Viele Gerätschaften, die als „Internet der Dinge“ („IoT“, Internet of Things) verkauft werden, haben Sicherheitsprobleme. Hintergründe und Lösungsmöglichkeiten. - DDoS: What we can do to prevent it (Englisch 🇬🇧; 2016-09-27)
Wie DDoS-Angriffe ermöglicht werden, wieso die Anreize dagegen falsch verteilt sind und was man trotzdem dagegen tun kann/müsste.
Cloud und Verschlüsselung
Die Serie «Cloud+Sicherheit»:
- «Die Cloud» gibt es nicht (DNIP, 2022-09-30; Englisch 🇬🇧: «“The Cloud“ does not exist», 2022-11-06)
Wieso wir nicht alles, was Cloud heisst, in einen Topf werfen sollten, wenn es um Sicherheit geht. - Was ist eigentlich Sicherheit? (demnächst)
- Wie schütze ich meine Daten in der Cloud (demnächst)
Sonstige Artikel:
- 📹 Cloud: Technologie für Datenschutz? (2023-03-17)
Wo hilft uns Technologie und wo nicht? Vortrag mit Aufzeichnung. - Post Quantum and Homomorphic Encryption made easy (2023-02-23, nur Englisch 🇬🇧; auf Deutsch etwa: «Quantensichere Verschlüsselung und Homomorphe Verschlüsselung einfach erklärt»)
Homomorphe Verschlüsselung wird als Hoffnung für Cloud-Sicherheit verkauft. Die Grundlagen einfach erklärt mit Kinderrätseln. - Vortrag: Cloud-Sicherheit am Winterkongress (2023-02-14)
Wieso man «Die Cloud» nicht in einen Topf werfen sollte und was das für die Sicherheit heisst. Und wieso Hoffnungen auf zukünftige Errungenschaften übertrieben sind. - «Die Cloud» gibt es nicht (2022-09-30; Englisch 🇬🇧: «“The Cloud“ does not exist», 2022-11-06)
Wieso wir nicht alles, was Cloud heisst, in einen Topf werfen sollten, wenn es um Sicherheit geht. - Hinter den Kulissen der Verschlüsselung (2022-09-28)
Wie Verschlüsselung funktioniert und welche verschiedenen Möglichkeiten sie bietet.
Datenschutz, Privatsphäre, Demokratie
- Auch du, mein Sohn Firefox (2024-07-17)
Dass Firefox jetzt auch Werbetracking macht. Und wie man es ausschaltet. - Stimmbeteiligung erhöhen ohne eVoting (DNIP, 2024-05-27; Kurzversion)
Eine Stimmpflicht „light“ wie im Kanton Schaffhausen erhöht sie um 20 Prozentpunkte. - «Right to be Forgotten» void with AI? (2023-03-02, nur Englisch 🇬🇧; auf Deutsch etwa: «Verschwindet das „Recht auf Vergessenwerden“ durch die KI?»)
Löschen von Informationen aus Sprachmodellen wie ChatGPT ist schwierig. Alternativen und Implikationen. - SBB-Kundentracking: Offene Fragen (2023-02-22; Vorabversion)
Wenn es der SBB nur um Frequenz- und Wegedaten ginge, liesse sich dies auch privatsphärefreundlicher lösen. - Jugendschutzgesetz in den Medien, ein kleiner Faktencheck (2023-01-16)
Wieso das Jugendschutzgesetz eine Ausweispflicht im Internet ergibt. Und die Jugend nicht schützt. Und damit unnötig an unserer Privatsphäre nagt. - Datenschutz und IT in der Arztpraxis: ein Fass mit Boden (2018-05-23)
Einige Tipps für Hausarztpraxen rund um Datenschutz und Datensicherheit. - Kontrolle über die eigenen Daten: Einfach! (2018-02-26)
Dezentrale und föderierte Systeme helfen, die Kontrolle über die eigenen Daten zu behalten. Hier mit Fokus Instant Messaging. - Spiegel: „Deutschland schleichend zum Überwachungsstaat“ (2016-11-28)
Statt in Überwachungsmassnahmen sollte in die Bekämpfung der Ursachen investiert werden.
Zeit und Zeitstempel
- Endet die Zeit im Jahr 2038? (2024-01-19; Langversion: Y2K38: Timed Obsolescence)
Wieso wir bereits jetzt dafür sorgen müssen, damit unsere Geräte und Firmen 2038 kein Probleme haben - Network Time Security (2022-01-18; fünfteilige Serie auf Englisch 🇬🇧)
Wie kann man nachvollziehbare, vertrauenswürdige Uhrzeit verteilen? - Git, PGP, and the Blockchain: A Comparison (2022-02-04 🇬🇧)
Wahrscheinlich reichen Zeitstempel, wenn man glaubt, eine Blockchain zu brauchen. - A brief history of time(stamping) (2019-03-29 🇬🇧)
Kurzer Überblick über die Geschichte von Zeitstempeln
Vorträge
- Vortrag: Cloud-Sicherheit am Winterkongress (2023-02-14)
Wieso man «Die Cloud» nicht in einen Topf werfen sollte und was das für die Sicherheit heisst. Und wieso Hoffnungen auf zukünftige Errungenschaften übertrieben sind. - Workshops Datenschutz und Datensicherheit in der Arztpraxis im Auftrag der EQUAM Stiftung (2016-2018).
- Diverse Schulungen und Workshops zum Thema.
Falls Sie einen Vortrag oder Kurs wünschen, mit diesem oder einem anderen Fokus oder Format, nehmen Sie bitte Kontakt mit mir auf.
Weitere Dossiers
Überblick über Sicherheit+Privatsphäre
-
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir… → Mehr
-
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen. → Mehr
-
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung. → Mehr
-
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards,… → Mehr
-
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige… → Mehr
-
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am… → Mehr
-
Ich bin regelmässig unterwegs mit Vorträgen, Podiumsdiskussionen und Workshops. Hier ein kleiner Ausschnitt: → Mehr
-
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte. → Mehr
-
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz… → Mehr
-
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter… → Mehr
-
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen… → Mehr
-
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer. → Mehr
-
Generative Sprachmodelle wie beispielsweise ChatGPT erwecken den Eindruck, Neues zu erzeugen. Dabei kombinieren sie nur Muster neu. Wobei: Diese Kombinationen sind nicht immer wirklich neu. Mit ein bisschen Geschick kann… → Mehr
-
Wenige Tage bevor alle Systemadministratoren sich zu ihren Familien in die verdienten Weihnachtsferien zurückziehen, lässt SEC Consult die Bombe platzen: Die Antispam-Massnahmen der weitverbreitesten Mailserver können ausgehebelt werden. Sogar die… → Mehr
-
«Überwachungskapitalismus» wird der Versuch vieler Webseiten auch genannt, uns dauernd zu überwachen und aus diesen persönlichen Daten Kapital zu schlagen. Trotz vieler Fortschritte helfen Gesetze da bisher nur Ansatzweise. «Eigenverantwortung»… → Mehr
-
Der Dachverband der Lehrerinnen und Lehrer (LCH) sei besorgt, dass es in der Schweiz keine einheitliche Regelung gäbe, wie Lehrpersonen mit Daten ihrer Schützlinge umgehen sollen und ob sie dafür… → Mehr
-
Das Recht auf Vergessenwerden soll Menschen erlauben, dass Daten über sie nicht unnötig lange digital gespeichert oder verfügbar gemacht werden. Doch KI vergisst nicht gerne. Wie passt das zusammen? → Mehr
-
Zwei-Faktor-Authentifizierung (2FA bzw. MFA) ist ein wichtiger Sicherheitsmechanismus, der effizient gegen den Missbrauch von erratenen, ergaunerten oder kopierten Passwörtern schützt. Durch Googles Synchronisation in die Cloud wird der Schutz aber… → Mehr