ComFor-IT, Bahnhofstraße 6, Dorfen (2026)

13/04/2026

🔐 Was ist ein SSL-Zertifikat (Secure Socket Layer)?

Zuerst vorweg: Obwohl häufig noch von SSL gesprochen wird, gibt es nur noch TLS-Zertifikate (Transport Layer Security). Beide sind kryptografische Protokolle, die Daten verschlüsseln und damit eine sichere Übertragung im Internet ermöglichen. TLS ist der aktuelle Standard, der SSL abgelöst hat. Der Begriff „SSL-Zertifikat“ wird jedoch weiterhin genutzt.

Ein SSL-/TLS-Zertifikat ist ein elektronisches Dokument, das die Identität einer Webseite oder einer Organisation bestätigt. Ein Zertifikat enthält u. a. den Domainnamen, Betreiberinformationen, eine Seriennummer und den Gültigkeitszeitraum.

Erkennbar ist eine Webseite mit einem gültigen SSL/TLS-Zertifikat durch:
• das Schlosssymbol neben der URL (hier kann die Verbindung eingesehen werden)
• https am Anfang der Webadresse

Das Zertifikat sorgt dafür, dass die Verbindung zwischen Browser und Webseite verschlüsselt ist und somit eingegebene sensible Daten wie E-Mail-Adressen oder Bankdaten geschützt sind und nicht von Cyberkriminellen abgefangen werden können. Aber der reine Besuch einer unsicheren Webseite kann gefährlich sein, da Malware hier Geräte des Nutzers infizieren kann.

Beim Aufrufen einer Webseite werden im Hintergrund fortlaufend Datenpakete zwischen Browser und Webserver ausgetauscht – z. B. HTML Codes, CSS und JavaScript Dateien sowie Bilder und Videos. Erst durch das Zusammensetzen dieser Datenpakete entsteht die Webseite im Browser. SSL/TLS-Zertifikate sorgen dafür, dass dieser gesamte Austausch geschützt und nicht mitlesbar ist.

📡 Ablauf einer sicheren Verbindung
1. Der Browser des Nutzers baut eine Verbindung zur Webseite auf.
2. Der Webserver sendet sein SSL/TLS-Zertifikat (inkl. Public Key), an den Browser.
3. Der Browser prüft, ob das Zertifikat gültig ist.
4. Beide einigen sich auf einen gemeinsamen Sitzungsschlüssel.
5. Die Verbindung ist nun sicher und alle übertragenen Daten sind verschlüsselt.

🎯 Hauptfunktionen eines SSL-/TLS-Zertifikats
Identitätsnachweis:
Das Zertifikat bestätigt, dass die Webseite dem angegebenen Betreiber gehört.
Über das „Schlosssymbol“ → „Verbindung ist sicher“ → „Zertifikat anzeigen“ kann das Zertifikat eingesehen werden.
Sichere Verschlüsselung:
Alle Daten werden verschlüsselt zwischen Browser und Server übertragen, sodass Unbefugte keinen Zugriff darauf erhalten. Passwörter oder Zahlungsdaten sind somit geschützt und selbst abgefangene Daten bleiben unlesbar.

🕒 Gültigkeit & Erneuerung
SSL/TLS-Zertifikate werden von Zertifizierungsstellen (Certification Authorities = Zusammenschluss von Zertifizierungsstellen) ausgestellt. Mitglieder des CA/Browser Forums (z. B. Apple, Cisco, Microsoft) legen fest, welche Mindestanforderungen diese Stellen erfüllen müssen.
• Die Zertifikate sind 1 bis 13 Monate gültig.
• Nutzer erhalten meist Browserwarnungen wie „Keine sichere Verbindung“ oder werden vollständig blockiert.
• Eine Umgehung der Warnungen ist manuell möglich bei abgelaufenen Zertifikaten, aber riskant da sensible Bankdanken abgefangen werden könnten oder von einer Schadsoftware infiziert werden könnten.

Regelmäßige Erneuerungen stellen sicher, dass:
• Sicherheitsstandards aktuell bleiben
• veraltete Schlüssel ersetzt werden
• Unternehmens- und Domaininformationen weiterhin korrekt sind
Bei Änderungen wie Domain‑, Inhaber‑ oder Unternehmenswechsel muss das Zertifikat neu ausgestellt werden.

🔐 Arten von Zertifikaten und wie man sie erkennt
Welche Zertifikatsart auf eine Webseite zutrifft, lässt sich im Browser prüfen – über das „Schlosssymbol“ → „Verbindung ist sicher“ → „Zertifikat anzeigen“ → „Details“ → „Antragsteller“. Alternativ kann die Zertifikatsart auch über Online-Tools ermittelt werden (z. B. SSLLabs oder crt.sh).

Domain Validation (DV):
DV ist die schnellste Form der Zertifikatsprüfung. Es wird nur bestätigt, dass der Antragsteller die Domain besitzt. Die Datenübertragung ist zwar verschlüsselt, jedoch wird die Identität des Betreibers nicht überprüft.
→ Wenn keine Organisation (O) im Zertifikat eingetragen ist, handelt es sich um ein DV-Zertifikat.

Organization Validation (OV):
Hier wird zusätzlich geprüft, ob das Unternehmen hinter der Webseite wirklich existiert. Die Zertifizierungsstelle kontrolliert dafür offizielle Firmendaten, wie z. B. Handelsregistereinträge, Adresse oder Telefonnummer.
→ Wenn eine Organisation (O) und ein Standort (L, ST, C) genannt sind, handelt es sich um ein OV-Zertifikat.

Extended Validation (EV):
Bei EV weist das Unternehmen seine Existenz und die Berechtigung zur Nutzung der Domain nach. Außerdem prüft die Zertifizierungsstelle den Standort, offizielle Geschäftsunterlagen und eine vertretungsberechtigte Person des Unternehmens. Diese Form bietet die höchste Sicherheit und wird deshalb oft beim Online-Banking oder im E-Commerce eingesetzt.
→ Wenn Organisation (O) und Standort (L, ST, C) angegeben sind und zusätzlich Informationen wie
• Unternehmensnummer (serialNumber),
• Business-Kategorie (businessCategory),
• rechtlicher Sitz (jurisdictionLocalityName, jurisdictionStateOrProvinceName, jursidictionCountryName),
vorhanden sind, dann handelt es sich um ein EV-Zertifikat.

🛡️Wie bewegt man sich sicher im Netz?
• Korrekte Schreibweise der Domain beachten:
Betrüger nutzen oft ähnlich aussehende Adressen.
• Seriöse Informationen auf der Webseite prüfen:
Impressum, Datenschutzerklärung, Kontaktmöglichkeiten, Rückgabe‑ und Erstattungsrichtlinien.
• Sicherheitsfunktionen nutzen:
Browser Einstellungen oder Sicherheitsapps, da auch betrügerische Seiten DV-Zertifikate nutzen können.

🔜 Im Slide findest du hierzu alle Infos.

✨ Ich hoffe, die Informationen haben dir weitergeholfen!

Für mehr Tipps rund um:
🔍 IT-Forensik
🛡️ IT-Sicherheit
📜 Datenschutz

👉 Folge uns für regelmäßige Updates.

Eure Melissa 💙

09/04/2026

🐟 Phishing-Awareness-Kampagne – eine gute Idee?

🛡️ Phishing bleibt eine große Gefahr
Phishing zählt weiterhin zu den häufigsten Cyber-Angriffen. Für Unternehmen stellen Phishing-Angriffe daher ein erhebliches Risiko dar. Deshalb nutzen viele simulierte Phishing-Kampagnen, um Mitarbeitende zu sensibilisieren und das Sicherheitsbewusstsein im Unternehmen zu stärken. Doch solche Kampagnen, bei denen realitätsnahe, aber ungefährliche Phishing-Nachrichten versendet werden, sind durchaus aufwändig und bergen bei mangelnder Organisation zudem selbst Risiken.

🎯 Ziele von simulierten Phishing-Kampagnen
• Analyse des aktuellen Sicherheitsverhaltens im Umgang mit Phishing-Nachrichten.
• Schulung der Mitarbeitenden durch praxisnahe Beispielnachrichten.
• Überprüfung und Optimierung bestehender Awareness-Maßnahmen.

🔓 Risiken während einer laufenden Kampagne
• Herabsetzen technischer Sicherheitsprüfungen, um externe Nachrichten durchzulassen, wenn ein Dienstleister für die Kampagne eingesetzt wird.
• Wenn keine Regelungen zur internen Meldung von Phishing-Nachrichten bestehen, kann das zu Chaos und Verunsicherung führen.
• Fehlende interne Kommunikation, die das Vertrauen der Mitarbeitenden schwächt.
• Zu viele Meldungen über einen Meldebutton können dazu führen, dass echte Angriffe in dieser Zeit erst spät bemerkt werden.
• Unsicherheit oder Frust bei Mitarbeitenden, was sich negativ auf die Produktivität auswirkt.
• Riskantes Verhalten, wenn Mitarbeitende aus Neugier oder Frust auf tatsächlich gefährliche Links klicken.

📨 Wichtige Punkte bei der Durchführung einer Phishing-Kampagne:
• Melde- und Rückfrageprozesse: Diese müssen klar definiert und bestenfalls bereits im Arbeitsalltag etabliert sein.
• Gegenseitiges Warnen: Kollegen soll erlaubt sein, sich untereinander bei Eingang einer Phishing-E-Mail auszutauschen.
• Vishing, Smishing, Social Engineering: Es sollten verschiedene Phishing-Methoden eingesetzt werden, um auf alles vorbereitet zu sein.
• Transparente Kommunikation: Mitarbeitende sollten vorab umfassend über die geplante Maßnahme informiert werden, um Vertrauen zu schaffen und Missverständnisse zu vermeiden.
• False Positives: Es soll berücksichtigt werden, dass reguläre E-Mails versehentlich als Phishing erkannt werden könnten.
• Mehrwöchige Durchführung: Die Maßnahme sollte zu unterschiedlichen Tageszeiten durchgeführt werden, um verschiedene Situationen abzudecken.
• Feedback: Am Ende der Maßnahme kann den Mitarbeitenden die Ergebnisse mit Verbesserungsvorschlägen mitgeteilt werden.
• Sofortige Schulung: Den größten Effekt haben Phishing-Kampagnen, wenn die Mitarbeitenden bei einem Fehler sofort z. B. durch ein Programm darauf hingewiesen werden, was sie falsch gemacht haben und wie sie die Phishing-E-Mail hätten erkennen können.

⚖️ Rechtliche und organisatorische Anforderungen
• Einbindung des Betriebsrats vor Start der Phishing-Kampagne aufgrund des Mitbestimmungsrechts sowie bei betrieblichen Schulungs- und Trainingsmaßnahmen.
• Die Ergebnisse der Phishing‑Kampagne dürfen nicht zur Bewertung individueller Arbeitsleistung herangezogen werden und auch nicht als Grundlage für arbeitsrechtliche Maßnahmen wie Abmahnungen, Kündigungen oder negative Leistungsbeurteilungen genutzt werden.
• Phishing-Kampagnen sollten nicht personenbezogen durchgeführt werden, das heißt Anonymisierung der Ergebnisse oder automatische Warnhinweise einsetzen beim Anklicken auf simulierte Links. Die Auswertungsergebnisse können am Ende z. B. wie folgt unterteilt werden:
- Öffnungsrate: Anteil der Mitarbeitenden, die die simulierten Phishing-E-Mails öffnen.
- Klick- und Eingaberate: Anteil der Mitarbeitenden, die auf Links klicken und versuchen Daten (z. B. E Mail Adressen/Passwörter) einzugeben.
- Melderate: Anteil der Mitarbeitenden, die die Phishing-E Mails melden.

🧾 Fazit
Der Aufwand für eine Phishing-Kampagne ist hoch, während der tatsächliche Nutzen weiterhin umstritten bleibt. Gleichzeitig können Nachteile wie Vertrauensverlust, zusätzliche Sicherheitsrisiken und organisatorische Belastungen den Nutzen überwiegen. Phishing-Kampagnen sollte daher im Unternehmen mit Bedacht eingesetzt und gut organisiert werden.

Als Alternative bieten sich andere Maßnahmen an, z. B.:
• regelmäßige Schulungen und kurze Lernmodule
• wiederkehrende Awareness-Hinweise in den Kommunikationsdiensten (z. B. E-Mail)
• technische Schutzmechanismen wie erweiterte E-Mail-Sicherheitsfilter oder Warnmeldungen in verdächtigen oder externen Nachrichten

🔜 Im Slide findest du hierzu alle Infos.

✨ Ich hoffe, die Informationen haben dir weitergeholfen!

Für mehr Tipps rund um:
🔍 IT-Forensik
🛡️ IT-Sicherheit
📜 Datenschutz

👉 Folge uns für regelmäßige Updates.

Eure Melissa 💙

06/04/2026

🛡️ Datenschutz im Unternehmen – Deine Pflichten auf einen Blick: Verarbeitungsverzeichnis

🗂️ Was ist das Verarbeitungsverzeichnis?
Ein Verarbeitungsverzeichnis oder Verzeichnis von Verarbeitungstätigkeiten, ist eine schriftliche oder elektronische Dokumentation. Unternehmen listen hier alle Abläufe auf, bei denen personenbezogene Daten verarbeitet werden. Es dient als Nachweis dafür, dass die Vorgaben der DS-GVO im Unternehmen eingehalten werden. Für die Erstellung und regelmäßige Aktualisierung des Verarbeitungsverzeichnisses ist das Unternehmen selbst verantwortlich.

❗ Warum ist das Verarbeitungsverzeichnis wichtig?
• Vorlage an die Aufsichtsbehörde: Bei Prüfungen muss das Verzeichnis auf Anfrage der Aufsichtsbehörde vorgelegt werden.
• Vermeidung von Bußgeldern: Fehlende oder unvollständige Verzeichnisse können Sanktionen nach sich ziehen.
• Rechenschaftspflicht: Unternehmen müssen nachweisen können, dass sie die DS-GVO Vorgaben einhalten. Das geht nur mit einer schriftlichen Dokumentation.
• Bearbeitung von Betroffenenanfragen: Die Dokumentation erleichtert die Auskunft an Betroffene bei einer Anfrage.
• Übersicht über interne Prozesse: Dokumentierte Datenflüsse schaffen Klarheit was im Unternehmen passiert und ermöglichen es Verarbeitungen zu prüfen.
• Einarbeitung & Übergaben: Dokumentierte Tätigkeiten helfen neuen Mitarbeitern Verarbeitungen schneller zu erfassen.

🧾 Was muss im Verarbeitungsverzeichnis stehen?
Folgende Angaben sind nach Art. 30 DS-GVO erforderlich:
Wer verarbeitet die Daten?
• Name und Kontaktdaten des Verantwortlichen z. B. Firmenanschrift
Wofür werden die Daten verwendet?
• Zweck der Verarbeitung, wie z. B. Arbeitszeiterfassung
Welche Arten von Daten werden verarbeitet?
• Kategorien der Datenverarbeitung beschreiben, wie z. B. Arbeitszeitdaten, Stammdaten der Mitarbeiter
Welche Personen sind betroffen?
• Kategorien betroffener Personen auflisten, wie z. B. Mitarbeiter
Wer empfängt die Daten?
• Alle Empfänger, an die personenbezogenen Daten weitergegeben werden (inkl. Empfänger in Drittländern) z. B. Anbieter des Zeiterfassungsprogramms
Wann werden die Daten wieder gelöscht?
• Soweit möglich voraussichtliche Fristen für die Löschung angeben

📂 Wann wird kein Verarbeitungsverzeichnis benötigt?
In der Praxis greifen die Ausnahmen (Art. 30 Abs. 5 DS-GVO) kaum – nahezu jedes Unternehmen muss ein Verarbeitungsverzeichnis führen, da in einem Unternehmen beim Verkauf von Waren oder dem Angebot von Dienstleistungen fast immer personenbezogene Daten verarbeitet werden und diese Verarbeitungen ein Risiko für die betroffenen Personen darstellen können.

💡 Hinweis: Der BfDI stellt Hinweise sowie Musterformulare für das Verarbeitungsverzeichnis zur Verfügung. Unternehmen sind aber frei darin wie sie das Verzeichnis anlegen und führen wollen, auf Papier, digital oder in einer Datenschutz-Management-Software (DSMS).

📘 Muss bald kein Verarbeitungsverzeichnis mehr geführt werden?
Die EU Kommission plant mit dem vierten Omnibuspaket, die Ausnahmegrenze in Art. 30 DS-GVO von 250 auf 750 Mitarbeitende anzuheben. Andernfalls liegt man darunter müsste das Verzeichnis nur geführt werden, wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Ziel ist es, die Bürokratie für kleine und mittlere Unternehmen zu reduzieren.

Trotz der Anpassung bleibt das Verarbeitungsverzeichnis weiterhin wichtig, denn es:
• schafft eine klare Übersicht über Verarbeitungstätigkeiten im Unternehmen.
• hilft, rechtliche Risiken frühzeitig zu erkennen und zu minimieren.
• bildet die Grundlage für die Erfüllung der Informationspflichten und Rechenschaftspflicht. Nur wenn klar ist, welche Daten im Unternehmen zu welchem Zweck aufgrund welcher Rechtsgrundlage verarbeitet und weitergegeben werden, kann das Unternehmen prüfen, ob diese Datenverarbeitung auch rechtmäßig ist.

Auch künftig werden Unternehmen daher ihre Verarbeitungstätigkeiten in irgendeiner Form auflisten müssen, um dem Überblick zu behalten und der Aufsichtsbehörde bei Anfrage eine vollständige Übersicht ihrer Datenverarbeitungen und der Rechtmäßigkeit dieser Datenverarbeitungen bereitstellen zu können.

Selbst wenn das nicht mehr in Gestalt des Verarbeitungsverzeichnisses erfolgen muss, wird eine ähnliche Lösung benötigt.

🔜 Im Slide findest du hierzu alle Infos.

✨ Ich hoffe, die Informationen haben dir weitergeholfen!

Für mehr Tipps rund um:
🔍 IT-Forensik
🛡️ IT-Sicherheit
📜 Datenschutz

👉 Folge uns für regelmäßige Updates.

Eure Melissa 💙

02/04/2026

🛡️ Digital aBSIchern
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) sorgt dafür, dass Deutschland digital sicherer unterwegs ist. Mit kostenlosen Informationen zu aktuellen Risiken, entwickelten Sicherheitsstandards und praxisorientierter Beratung hilft das BSI dabei Staat, Wirtschaft und Bürger vor Cyberangriffen zu schützen.

Gegründet wurde das BSI im Jahr 1991 – also als die Digitalisierung mit der Freigabe des Internets zur kommerziellen Nutzung gerade eine neue Dimension annahm. Hier war das BSI am Puls der Zeit. Und schon seit 2017 baut das Bundesamt seine Expertise im Bereich KI-Einsatz auf. Der Hauptsitz des BSI befindet sich in Bonn. Weitere Standorte sind in Freital (Sachsen) und Saarbrücken.

🎯 Auftrag & Ziele
Das BSI möchte:
• den sicheren Einsatz von Informations- und Kommunikationstechnik in unserer Gesellschaft ermöglichen.
• klare Sicherheitsstandards für die Beschaffung und den Einsatz von IT entwickeln, um ein einheitliches Mindestniveau für die IT-Sicherheit des Bundes zu etablieren und damit die Netzsicherheit in kritischen Infrastrukturen zu erhöhen.
• die Digitalisierung in Deutschland mit Forschung, Zertifizierungen und Technologieberatung unterstützen.
• die Absicherung einer digitalisierten Verkehrsinfrastruktur unterstützen, in der autonomes Fahren möglich wird.
• Sicherheitsrisiken kontinuierlich auf Schwachstellen analysieren und deren Auswirkungen bewerten, um gezielt warnen zu können.
• zuverlässige Verschlüsselungstechnologien für die IT-Systeme des Bundes entwickeln, um vertrauliche Daten zu schützen.

👥 BSI für Verbraucher
Das BSI bietet:
• einfache Tipps zur digitalen Sicherheit z. B. zu Onlinebanking oder für Soziale Netzwerke.
• Beratung per Telefon oder E-Mail zur IT- und Internetsicherheit.
• einen kostenlosen Bürger-CERT-Dienst, der vor Schadsoftware und Betrugsmaschen warnt.
• Sicherheitsstandards und Zertifizierungen für digitale Identitäten z. B. dem Online-Ausweis (eID) oder der EU Digital Identity Wallet (EUDI Wallet).
• den Newsletter „Einfach • Cybersicher“ mit Alltagtipps zur IT-Sicherheit.
• ein Medienpaket „Cybersicherheit für 10- bis 14-Jährige“ für Schulen.

🏛️ BSI für den Bund
Zu den Aufgaben des BSI in diesem Bereich gehören:
• Schutz der Bundesnetzwerke und Abwehr von Cyberangriffen.
• IT-Beratung für Behörden und den Bundesnachrichtendienst.
• Entwicklung von Mindeststandards für die IT‑Sicherheit von Behörden, z. B. für Mobile Device Management.

🏢 BSI für Unternehmen
Das BSI unterstützt Unternehmen mit:
• dem IT Grundschutz-Katalog, der Standards der Informationssicherheit aufführt z. B. zu Themen wie E-Mail-Kommunikation, Client-Anwendungen, Cloud-Nutzung oder Notfallmanagement.
• Informationen zu Sicherheitslücken bei IT-Produkten und Schadsoftware z. B. durch die Publikationsreihe „Management Blitzlicht“.
• konkreten Cyber-Sicherheitsempfehlungen zum Download z. B. bei Remote-Arbeit.
• dem IT Sicherheitskennzeichen für IoT- und Smart Home-Produkte, das Hersteller beantragen können.
• dem jährlichen Cyber-Sicherheitstag, bei dem über aktuelle IT-Sicherheitsthemen praxisnah gesprochen wird.

📊 Cybersicherheitsmonitor und Lageberichte
• Seit 2024 wurden die Lagezentren erweitert und analysieren rund um die Uhr die Cybersicherheitslage in Deutschland.
• Der Cybersicherheitsmonitor gibt Einblicke in das Informations- und Schutzverhalten der Bevölkerung, um festzustellen wo noch Handlungsbedarf besteht und zielgerichtetes Informationsmaterial und Präventionstipps zur Verfügung stellen zu können.

📅 Kommunikation und Bildung
• IT Sicherheitskongresse bei denen Experten aus Verwaltung, Wirtschaft und Wissenschaft aktuelle Themen der Cybersicherheit interaktiv diskutieren.
• Cybernation Blog zu aktuellen Cybergefahren und Sicherheitstrends.
• Podcast „Update verfügbar“ über Digitalisierung, Betrugsmaschen und Zukunftstechnologien.
• Magazin „Mit Sicherheit“ wird 2-mal jährlich veröffentlicht.

🔜 Im Slide findest du hierzu alle Infos.

✨ Ich hoffe, die Informationen haben dir weitergeholfen!

Für mehr Tipps rund um:
🔍 IT-Forensik
🛡️ IT-Sicherheit
📜 Datenschutz

👉 Folge uns für regelmäßige Updates.

Eure Melissa 💙

30/03/2026

🛡️ Mobile Firmengeräte sicher verwalten mit MDM
📱 Was ist ein MDM?
Ein Mobile Device Management (MDM) ist ein Sicherheits- und Verwaltungskonzept, das definiert, wie mobile Geräte – Smartphones, Tablets oder Laptops – sicher betrieben, kontrolliert und in Arbeitsprozesse eingebunden werden.

Dafür kann eine MDM Software eingesetzt werden, mit der Geräte zentral verwaltet, abgesichert und konfiguriert werden können. Das sorgt dafür, dass mobile Firmengeräte geschützt mit dem Unternehmensnetzwerk verbunden sind und ermöglicht es dem Unternehmen die Geräte zu verwalten und deren Nutzung zu regeln.

🧱 Warum braucht man ein MDM?
Mobile Geräte greifen ständig auf geschäftskritische Daten zu und stellen bei Manipulation, Verlust oder Diebstahl ein erhebliches Risiko dar.
Deshalb liegt es in der Verantwortung des Unternehmens und der IT diese Geräte:
• sicher einzurichten,
• kontinuierlich zu verwalten und
• wirksam zu schützen.

Eine MDM-Software ermöglicht es, diese Aufgaben zentral und zuverlässig umzusetzen.

🔒 MDM-Software bei erlaubter Privatnutzung von mobilen Firmengeräten
Gerade wenn Mitarbeitende mobile Firmengeräte auch privat nutzen dürfen, sollte man über den Einsatz einer MDM-Software nachdenken, denn:
• das Unternehmen ist weiterhin für alle Unternehmensdaten auf den Geräten verantwortlich.
• eine uneingeschränkte Privatnutzung von Firmengeräten kann problematisch sein, wenn Mitarbeitende:
- beliebige Apps installieren können, die unter Umständen auf gespeicherte Unternehmensdaten auf dem Gerät zugreifen (z. B. WhatsApp).
- durch die Installation von unsicheren Apps auch das Unternehmensnetzwerk gefährden.
- mobile Firmengeräte nicht angemessen vor fremdem Zugriff schützen z. B. eine Passwortsperre deaktivieren.
- mobile Firmengeräte bei einer Privatnutzung verlieren (z. B. im Urlaub).

🛠️ Kernfunktionen einer MDM-Software
📋 Geräteverwaltung
• Geräte zentral hinzufügen, verwalten und entfernen
• Geräteinventar & Übersicht aller registrierten Devices
• Verwaltung von Mail Accounts
• Verwaltung und Ausrollen von Zertifikaten für sicheren Zugriff

🔁 Gerätelebenszyklus (Device Lifecycle Management)
• Geräte für neue Mitarbeitende einrichten
• Bei Benutzerwechsel: Entfernen aller Daten & Zugänge
• Zurücksetzen von Geräten inkl. Löschen von eSIM‑Profilen

🔄 Updates & Konfigurationen
• Verteilung von Software Updates
• Übersicht installierter Applikationen inkl. Versionen
• Bereitstellung von Backups zur Datenwiederherstellung
• Vorgabe von Passwort-Einstellungen
• Überwachung von sicherheitsrelevanten Ereignissen

📦 App- und Softwarebereitstellung
• Bereitstellung von Unternehmens Apps über einen eigenen, verwalteten App Store (z. B. Managed Google Play, Apple Managed Apps, Intune Company Portal)
• Zentrale Steuerung, welche Apps erlaubt sind (Whitelist)
• Sperrung unerwünschter Apps (Blacklist)

🚨 Notfallmaßnahmen
• Remote Ortung von Geräten (z. B. um ein verlorenes oder gestohlenes Gerät schnell wiederzufinden)
• Remote Löschung (Wipe) aller Unternehmensdaten auf dem Gerät bei Verlust oder Diebstahl

💡 Hinweis:
Andere Möglichkeiten zur Trennung von privatem und geschäftlichem Bereich auf mobilen Firmengeräten sind Dual SIM/eSIM, Android Arbeitsprofile oder Container Apps. Damit bleibt ersichtlich, welche Inhalte privat und welche dienstlich sind.

Wenn keine MDM-Software verwendet wird, sollten stattdessen Dienstanweisungen oder Richtlinien für Mitarbeitende, z. B. in Form von Geräteverwaltung, Sicherheitsrichtlinien oder einem Berechtigungsmanagement erstellt und eingesetzt werden.

✨ Ich hoffe, die Informationen haben dir weitergeholfen!

Für mehr Tipps rund um:
🔍 IT-Forensik
🛡️ IT-Sicherheit
📜 Datenschutz

👉 Folge uns für regelmäßige Updates.

Eure Melissa 💙

26/03/2026

Warum Cookie-Banner bleiben – und PIMS nicht helfen
🍪 Was machen Cookie Banner?
Cookie Banner sind Pop ups, die beim Besuch einer Webseite erscheinen. Eigentlich heißen diese Tools Consent-Manager. Sie informieren darüber, welche personenbezogene Daten (z. B. IP Adresse, Nutzerverhalten) vom Besucher einer Webseite zu Marketing , Analyse und Tracking Zwecken erfasst und verarbeitet werden und sollen Einwilligungen (Consent) für die Nutzung dieser Tools einholen.

🔒 Warum haben die meisten Webseiten einen Consent-Manager?
Wenn Webseitenbetreiber Tools einsetzen möchten, die Daten der Nutzer speichern oder Cookies setzen, müssen sie die gesetzlichen Anforderungen einhalten. Zwei Rechtsgrundlagen sind hier entscheidend:

Einwilligung nach der DS-GVO (Art. 7 Abs. 1 DS-GVO):
Schutz personenbezogener Daten:
• Für die Verarbeitung personenbezogener Daten, benötigt der Webseitenbetreiber eine Einwilligung des Nutzers.
• Diese Einwilligung muss freiwillig, informiert, eindeutig und widerrufbar sein.

Einwilligung nach dem TDDDG (§ 25 TDDDG):
Technische Vorgänge auf dem Endgerät:
• Eine Webseite darf Informationen nur dann auf einem Gerät speichern oder auslesen, wenn eine Einwilligung vorliegt.
• Vor der Einwilligung muss der Nutzer klar und umfassend darüber informiert werden, was mit seinen Daten geschieht.

Fazit:
Diese Gesetze schützen Privatpersonen im Internet und verhindern Tracking ohne, dass Nutzer es mitbekommen. Webseiten, die Daten sammeln oder Tracking-Tools wie Google Analytics einsetzen, müssen eine Einwilligung einholen und das geht nur mit einem Consent-Manager.
Schuld an den Cookie-Bannern sind also nicht die DS-GVO oder das TDDDG, sondern die Webseitenbetreiber, die Analyse-Tools auf Ihren Webseiten einsetzen.

🚫 Die meisten Cookie-Banner sind allerdings unwirksam
Die meisten Consent-Manager auf Webseiten sind aufgrund von Fehlern aber meist gar nicht in der Lage eine wirksame Einwilligung einzuholen. Verantwortlich für die Einholung der Einwilligung ist der Webseitenbetreiber. Er muss dafür sorgen, dass er ein Consent-Manager-Tool einsetzt, das alle Anforderungen der DS-GVO und des TDDDG erfüllen kann. Viele Anbieter werben jedoch mit „datenschutzkonformen Tools“, obwohl sie es nicht sind.

Häufige Probleme sind:
• Dark Patterns (manipulative Gestaltung): Farblich hervorgehobene „Akzeptieren“-Buttons, um Besucher zur Zustimmung zu bewegen.
• Auf der ersten Stufe lässt sich „Alles akzeptieren“ aber nicht auch „Alles abzulehnen“.
• Der Cookie-Banner kann nicht wieder aufgerufen werden und damit besteht keine Widerrufsmöglichkeit für eine erteilte Einwilligung.
• Unverständlicher Einwilligungstext mit irreführenden Formulierungen wie: „Alles akzeptieren für das beste Nutzererlebnis“.
• Versteckte oder unklare Ablehnungsoptionen oder eine vorangekreuzte Auswahl, die das Ablehnen erschweren.

🔒 PIMS sollten das Ende der Cookie-Banner sein
Was sind PIMS und wie funktionieren sie?
PIMS (Personal Information Management Services) sind softwarebasierte Dienste, mit denen Nutzer ihre Präferenzen einmalig und zentral festlegen und verwalten können. Beispielsweise kann eingestellt werden, dass nie eine Zustimmung zum Einsatz von Google Analytics auf eine Webseite erteilt werden soll. Diese Einstellungen würden bei jedem Webseiten-Aufruf automatisch übermittelt werden und Consent-Manager sollten so gar nicht mehr erscheinen.
Ermöglicht wurden PIMS durch eine deutsche Verordnung (EinwV) die im April 2025 in Kraft getreten ist. Ziel der Verordnung sollte es sein, die nervigen Cookie-Banner verschwinden zu lassen.

Wer verwaltet PIMS?
PIMS-Dienste dürfen:
• kein wirtschaftliches Interesse an Einwilligungen haben.
• nur nach Anerkennung durch den Bundesdatenschutzbeauftragten (BfDI) betrieben werden.

Erfolgreich geprüfte Anbieter werden in ein öffentliches Register des BfDI aufgenommen. Ein aktueller Anbieter ist Consenter, gefördert durch das Bundesministerium für Forschung, Technologie und Raumfahrt (BMFTR).

Warum sind die Cookie-Banner dann immer noch da?
Es fehlt an einer Verpflichtung der Anbieter digitaler Dienste (z. B. Webseitenbetreiber). Die EinwV regelt nämlich nicht, dass Webseiten die PIMS verwenden müssen. Auch wenn Nutzer ihre Präferenzen zentral über PIMS festgelegt haben, dürfen Webseitenbetreiber weiterhin Cookie-Banner einblenden und erneut nach einer Einwilligung fragen.
Bereits beim ersten Entwurf des Gesetzes wurde von der Verbraucherzentrale und mehreren Datenschutzorganisationen kritisiert, dass PIMS nur funktionieren können, wenn eine gesetzliche Verpflichtung der Dienste zur Beachtung der PIMS geregelt wäre.

Fazit: Die Cookie-Banner werden uns also weiterhin begleiten, wenn Webseitenbetreiber Analyse- und Tracking-Tools auf ihren Webseiten einsetzen, um Daten der Webseitenbesucher zu sammeln.

✨ Ich hoffe, die Informationen haben dir weitergeholfen!

Für mehr Tipps rund um:
🔍 IT-Forensik
🛡️ IT-Sicherheit
📜 Datenschutz

👉 Folge uns für regelmäßige Updates.

Eure Melissa 💙

23/03/2026

👓 Smart Glasses auf – Privatsphäre aus?
🔒 Smart Glasses: Praktisch – aber ein Risiko für die Privatsphäre?
Mit vielen Geräten ist es mittlerweile möglich, schnell Aufnahmen der eigenen Umgebung zu machen, sogenannte POV Aufnahmen (Point of View = Videoaufnahmen aus der Ich-Perspektive). Wird dazu ein Smartphone vor sich gehalten oder eine GoPro auf dem Skihelm montiert, ist das für die umstehenden Personen erkennbar. Smart Glasses hingegen sehen aus wie normale Brillen, sind aber in Wahrheit am Kopf getragene Computer mit einer Vielzahl an Funktionen.

📸 Beispiel: Ray Ban Meta Smart Glasses (2. Generation)
Diese Brille zeigt, wie leistungsfähig solche Systeme mittlerweile geworden sind: Sie besitzt Kameras und Mikrofone, ermöglicht Fotos, Videos und Livestreams und bietet KI Funktionen wie Sprachsteuerung und Übersetzung, um in Echtzeit auf die aufgenommene Umgebung zu reagieren und dem Nutzer den Alltag zu erleichtern.

⚠️ Risiken bei der Nutzung der Funktionen
Die Smart Glasses bergen dabei aber erhebliche Datenschutzrisiken, weil:
• Mikrofone und Sensoren automatisch Gesichter, Stimmen und Verhalten erfassen, teils mit KI Analyse und diese Daten in der Cloud des Herstellers speichern.
• eine leuchtende LED zwar auf das Anfertigen von Foto‑ und Videoaufnahmen hinweisen soll, diese aber oft schlecht sichtbar ist, besonders bei Tageslicht.
• Betroffene weder über die genaue Datenverarbeitung informiert werden noch eingewilligt haben und auch keine Möglichkeit haben, zu widersprechen.

⚖️ Was ist erlaubt – und was nicht?
📌 Grundsätzlich gilt:
• Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 GG (Grundgesetz) i. V. m. Art. 1 Abs. 1 GG) und das daraus abgeleitete Recht auf informationelle Selbstbestimmung geben jeder Person das Recht, nicht auf Schritt und Tritt gefilmt zu werden und selbst zu entscheiden, welche Daten man von sich preisgeben möchte.
• Sobald eine Person auf einer Aufnahme identifizierbar ist, handelt es sich um die Verarbeitung von personenbezogenen Daten; dafür ist eine Rechtsgrundlage nach dem Datenschutz erforderlich (z. B. eine Einwilligung).
• Derjenige, der solche Aufnahmen anfertigen und verwenden möchte, ist nach der DS-GVO der Verantwortliche und muss die Vorgaben des Datenschutzes einhalten. Die Verantwortung für die Nutzung und die Einhaltung der datenschutzrechtlichen Vorgaben bei der Verarbeitung von personenbezogenen Daten liegt also beim Nutzer, der das Gerät verwendet und nicht beim Hersteller des Geräts.
• Auch Privatpersonen müssen die DS GVO beachten, sobald sie bei einer Datenverarbeitung den persönlichen oder familiären Bereich verlassen.
• Tonaufnahmen sind besonders kritisch: Nichtöffentliche Gespräche aufzunehmen kann strafbar sein (§ 201 StGB).

🏙️ Öffentlicher vs. privater Raum
Öffentlicher Raum (= Straßen, Parks, Einkaufszentren)
• Privatpersonen dürfen andere Personen grundsätzlich nicht gezielt ohne deren Zustimmung filmen oder fotografieren.
• Der Staat darf bestimmte Bereiche und gefährdete Plätze – wie etwa Bahnhöfe – mittels Kameras aufnehmen und überwachen.
• In Einkaufszentren gilt das Hausrecht des Eigentümers.

Privater Raum (= Wohnungen, Häuser, private Gärten)
• Bereich, der der Privatsphäre zuzuordnen ist. Das ist der persönliche, nicht-öffentliche Lebensbereich.
• Nach §201a StGB kann es strafbar sein, andere Personen unbefugt im höchstpersönlichen Lebensbereich zu filmen oder zu fotografieren.
• Als Privatperson darf man z. B. mit einer Kamera oder einer smarten Türklingel nur das eigene Grundstück erfassen und überwachen.

✅ Wichtig zu wissen:
Auch wenn Hersteller Geräte mit Kameras, Mikrofonen und KI Funktionen verkaufen, bedeutet das nicht, dass diese Funktionen ohne Weiteres genutzt werden dürfen.
• Nutzer müssen sich vor dem Kauf informieren, welche Funktionen rechtlich (Datenschutz und Strafrecht) zulässig sind.
• Der Hersteller haftet nicht, wenn der Nutzer das Gerät verwendet und dabei die datenschutzrechtlichen oder strafrechtlichen Vorgaben verletzt.

✨ Ich hoffe, die Informationen haben dir weitergeholfen!

Für mehr Tipps rund um:
🔍 IT-Forensik
🛡️ IT-Sicherheit
📜 Datenschutz

👉 Folge uns für regelmäßige Updates.

Eure Melissa 💙

ComFor-IT

13/04/2026

09/04/2026

06/04/2026

02/04/2026

30/03/2026

26/03/2026

23/03/2026

Adresse

Telefon

Webseite

Benachrichtigungen

Verknüpfungen

Teilen