#didit #dutgemacht

Der "digitale Unabhängigkeitstag" (DUT), bzw. "digital independence day" (did) ist eine Initiative, welche von dem bekannten Autor Marc Uwe Kling (Känguru Chroniken), zusammen mit dem Chaos Computer Club (CCC), auf dem letzten Chaos Computer Congress (39C3) in Hamburg ins Leben gerufe, siehe Vortrag auf dem 39C3.

Ziel des DUT ist es, ein typisch deutsches und auch typisch IT-Fachpersonal-spezifisches, Problem bei der Erreichung von digitaler Souveränität / digitaler Unabhängigkeit zu unterstützen: wir wollen gleich die "100%-Lösung mit Goldrand".

Der DUT geht in seiner Idee und seiner Gestaltung einen genial einfachen anderen Weg: Schritt für Schritt, Lösung für Lösung.
Anstatt eines, riesigen, Wechsels sind es viele Kleine.

Dazu hat der DUT einen "festen" Zeitplan: immer zum ersten Sonntag eines Monats soll der Wechsel erfolgen und, natürlich, breit kommuniziert werden - dazu werden die beiden Hashtags verwendet, diese sind sehr passend:

#didit

#dutgemacht

Dazu gibt es kleine "Kochrezepte" für einen Wechsel auf der dazugehörigen Webseite: di.day

Außerdem stehen an dem jeweiligen ersten Sonntag im Monat viele lokale NGOs bereit um Menschen auch vor Ort zu helfen, zu erklären, zu unterstützen und vor allem die Angst zu nehmen.

Wir als, Zempel IT Security, wollen auch unseren Beitrag leisten und werden unseren Weg zu mehr digitaler Unabhängigkeit hier dokumentieren.

Der Anfang wurde bereits am 26.11.2025 gemacht, also noch vor Start des DUT - aber es ist eben ein Weg mit vielen kleine Stufen: Die Unsicherheit reduzieren - die Abhängigkeit wird eine andere

In diesem Sinne #didit und #dutgemacht

Details

Geschrieben von: bz

Zuletzt aktualisiert: 13. Januar 2026

oder: der Weg von Zempel IT Security weg von M365 hin zu Open Xchange

Vor einiger Zeit schon wollte ich meine Firma etwas weniger abhängig von Clouddienstleistern machen, die einer Exekutive unterworfen sind, die dem Handeln eines meiner Kinder entspricht und nicht dem einer verantwortungsvollen Staatsführung.

Zu diesem Zeitpunkt war Zempel IT Security fest in einer Microsoft Umgebung eingebettet - einfach, funktional und praktisch: Microsoft Windows auf den Laptops, Intune zur Sicherung der Smartphones und zur Softwareverwaltung auf den Laptops, MS Office (O365) als Tools zum erledigen der typischen Consulting-Arbeit.

Dann kam die Wahl in den USA und die ersten Maßnahmen der neuen Regierung, einer der - für mich - entscheidendsten war die Aushöhlung der Datenschutzgarantien der US Regierung und damit der faktischen Wertlosigkeit der Garantien, die für das EU-US Data Privacy Framework notwendig sind. Ja, noch hat kein Gericht entschieden, dass das Framework damit nichtig ist.

Dann begann meine Suche nach Alternativen, die im Optimalfall, nicht mehr in den USA gehostet wird.
Man findet viel und reichlich, nur all zu oft ist es keine wirkliche Alternative.

Also fängt man an und sucht für einzelne Themen andere Anbieter, die als spezifische Alternative nutzen kann:

• Intune: Es gibt viele Lösungen am Markt, die sich besonders preislich stark unterscheiden - leider habe ich kein bezahlbares, europäisches Produkt gefunden. Also ja, MS raus, aber US Cloud.
• MS Windows: Die Lösung war schnell gefunden und auch schnell ausgerollt: Ubuntu für die Laptops, die notwendigen "Hausserver" liefen eh schon seit je her auf Ubuntu oder Rocky. Also eine komplette Abkehr möglich. Und heute, bis auf einzelne spezielle Anwendungen, kein Hinderungsgrund mehr.
• MS Office (O365): Es gibt viele lokale Lösungen, ob OpenOffice oder LibreOffice, alles tolle Alternativen. Aber für einen vollständigen Ersatz von O365 reicht die lokale Funktionalität nicht aus. Schnell war klar, es sollte Open Xchange werden. Leichter gesagt, als getan.

OX: Der Weg zu einem erfolgreichen Umzug war steinig und langwierig. Nach der Entscheidung kam die übliche "Make or Buy"-Entscheidung. Schnell war klar, es soll "Buy" werden - hier kam die erste Herausforderung für die Wahl von Open Xchange: man muss einen Implementierer finden, aber da hilft einem die Homepage von OX. Schnell kam es zu einem Kontakt und das Demo-Konto wurde getestet - zur vollsten Zufriedenheit. Also schnell ein Angebot eingeholt, geprüft, gerechnet und zugestimmt. Und dann passierte nichts...
Auch das Kontaktieren des Verkaufskontaktes brachte nicht recht den gewünschten Erfolg - aber es wurde ein Ticket erstellt. Nach dem geduldigen Abwarten von 6 Monaten wurde der Weg erneut beschritten und führte uns diesmal zur Laufzeit GmbH & Co. KG. Es durften die Anforderungen noch einmal erklärt werden und dann kam das Angebot. Auch hier wurde wieder geprüft, gerechnet und dann zugestimmt. Noch am selben Nachmittag kam die Anweisung zur Einrichtung von DNS und wie die Einrichtung der Mail-Konten über OX funktioniert.
Der Umzug der alten Mails und der Daten ging relativ problemlos. Die Einrichtung des OX Drives unter Ubuntu erfordert einige Linux-Kenntnisse, aber die Dokumentation dazu ist im Internet leicht zu finden und auch leicht verständlich.

Fazit

Der Umzug ist noch nicht all zu lange her, es gibt noch einiges an "Aufräumarbeiten" zu tun und dann kommt bald der letzte Schritt: die Abschaltung des M365-Tenants.
Uns ist klar, dass wir eine Abhängigkeit (M365) gegen eine andere (OX Cloud Suite) getauscht haben - aber es ist doch ein anderes Gefühl, wenn es um Datenschutz oder Informationssicherheit geht.

Details

Geschrieben von: bz

Zuletzt aktualisiert: 26. November 2025

NIS-2 in Deutschland: Bundestag beschließt Gesetz

Der Deutsche Bundestag hat Mitte November 2025 das Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie verabschiedet. Damit wird der regulatorische Rahmen für Cybersicherheit in Deutschland deutlich ausgeweitet und modernisiert. Die neuen Anforderungen betreffen nicht nur Betreiber kritischer Infrastrukturen, sondern eine große Zahl weiterer Unternehmen und Behörden – darunter auch viele mittelständische Organisationen.

Das Gesetz bringt umfangreiche Pflichten mit sich: Unternehmen müssen künftig striktere Anforderungen an Risikomanagement, Incident-Response, Backup-Konzepte, Verschlüsselung und organisatorische Sicherheitsmaßnahmen erfüllen. Zudem sieht NIS-2 verkürzte Meldefristen vor: Cybervorfälle müssen innerhalb von 24 Stunden gemeldet werden. Gleichzeitig erhält das Bundesamt für Sicherheit in der Informationstechnik (BSI) erweiterte Kontroll- und Eingriffsrechte. Bei Verstößen drohen spürbare Sanktionen.

Mit der späten Umsetzung der EU-Vorgaben entsteht für betroffene Unternehmen nun ein erheblicher Zeitdruck. Viele Organisationen müssen ihre Sicherheitsstrukturen überarbeiten, Prozesse formalisieren und neue Technologien einführen, um die gesetzlichen Anforderungen fristgerecht zu erfüllen.

Zempel IT Security unterstützt Unternehmen ganzheitlich bei der Erfüllung von NIS-2

Zempel IT Security bietet umfassende Dienstleistungen, um Organisationen sicher und effizient auf die neuen Anforderungen vorzubereiten:

1. Betroffenheits- und Risikoanalyse
Ermittlung, ob und in welchem Umfang das Unternehmen unter die NIS-2-Regulierung fällt. Darauf aufbauend erstellen wir individuelle Risikoanalysen nach gesetzlichen Vorgaben.

2. Entwicklung und Umsetzung von Sicherheitskonzepten
Aufbau oder Weiterentwicklung eines Informationssicherheits-Managementsystems (ISMS), inklusive Notfallmanagement, Backup-Strategien, technischen Schutzmaßnahmen und Sicherheitsrichtlinien.

3. Aufbau von Melde- und Incident-Response-Strukturen
Implementierung klarer Prozesse zur Erkennung, Bewertung und Meldung von Sicherheitsvorfällen innerhalb der vorgeschriebenen Fristen.

4. Technologische Absicherung
Auswahl und Integration moderner Sicherheitslösungen wie Monitoring, Verschlüsselung, Zugriffskontrolle, Endpoint-Security und SIEM-Systeme.

5. Schulungen und Sensibilisierung
Praxisorientierte Trainings für Geschäftsleitung, IT und Mitarbeitende, um Verantwortlichkeiten und Abläufe nach NIS-2 nachhaltig zu verankern.

6. Kontinuierliche Begleitung
Regelmäßige Audits, Updates, Tests und Beratung zur langfristigen Compliance sowie zur Vorbereitung auf BSI-Prüfungen.

NIS-2 ist für viele Unternehmen ein großer Schritt – aber auch eine Chance

„Die neuen Anforderungen wirken auf den ersten Blick anspruchsvoll, doch sie bieten Unternehmen die Möglichkeit, ihre Sicherheitsarchitektur nachhaltig zu stärken“, erklärt Björn Zempel, CEO Zempel IT Security. „Wir begleiten Organisationen ganzheitlich – von der Erstbewertung bis zur vollständigen Umsetzung und kontinuierlichen Weiterentwicklung.“

Details

Geschrieben von: bz

Zuletzt aktualisiert: 14. November 2025

PRESSEMITTEILUNG

+++ Aktionskampagne macht E-Mails in Deutschland sicherer: BSI, eco und Bitkom präsentieren „Hall of Fame der E-Mail-Sicherheit“ +++

In der digitalen Welt laufen über den Kommunikationskanal E-Mail nahezu alle Prozesse zusammen. Mit dem „E-Mail-Sicherheitsjahr 2025“ hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) daher gemeinsam mit eco – Verband der Internetwirtschaft e.V. und dem Digitalverband Bitkom eine Aktionskampagne zur Verbesserung der E-Mail-Sicherheit in Deutschland ins Leben gerufen. Nun veröffentlichen die Initiatoren erstmals eine „Hall of Fame der E-Mail-Sicherheit“ (https://bsi.bund.de/dok/E-Mail-Hall-of-Fame): Sie zeichnen damit rund 150 Unternehmen aus, die sich aktiv an der Umsetzung moderner E-Mail-Sicherheitsmaßnahmen beteiligen und so die E-Mail-Kommunikation in Deutschland messbar sicherer machen – sowohl für Organisationen, als auch für Verbraucherinnen und Verbraucher.

Die in der Hall of Fame gelisteten Unternehmen haben sich dazu verpflichtet, zwei Technische Richtlinien (TR) des BSI und damit zentrale Schutzmechanismen umzusetzen oder aktiv auf deren Implementierung hinzuarbeiten: In den Technischen Richtlinien TR-03108 (https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03108/tr03108_node.html) und TR-03182 (https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03182/TR-03182_node.html) legt das BSI Kriterien für den sicheren Transport von E-Mails und die sichere Authentifizierung fest. Erstere sorgt dafür, dass E-Mails auf dem Weg zum Server sowie zwischen Servern verschlüsselt werden. Dies erschwert es Unbefugten, E-Mail-Nachrichten zu lesen oder zu verändern. Zweitere bewirkt, dass E-Mail-Programme u. a. erkennen, welcher Absender eine E-Mail geschickt hat und ob dessen Adresse ggf. gefälscht ist. Das verhindert, dass Kriminelle sich als jemand anderes ausgeben.

BSI-Präsidentin Claudia Plattner: „Als Cybersicherheitsbehörde Deutschlands ist es unser Anspruch, die Bürgerinnen und Bürger nicht nur für die Gefahren im Netz zu sensibilisieren, sondern sie aktiv zu schützen. Das leistet das E-Mail-Sicherheitsjahr: Gemeinsam machen wir den E-Mail-Verkehr in Deutschland in der Fläche sicherer! Dazu haben wir Unternehmen, die E-Mail-Infrastruktur betreiben oder anbieten, dazu gewonnen, unsere Technischen Richtlinien zum Sicheren E-Mail-Transport und E-Mail-Authentifizierung umzusetzen – bei sich selbst oder für andere, die die Infrastruktur nutzen.“

Prof. Norbert Pohlmann, Vorstand IT-Sicherheit, eco – Verband der Internetwirtschaft e. V.: „Sichere E-Mail-Kommunikation ist ein zentraler Baustein für das Vertrauen in die Nutzung digitaler Dienste. Die Unternehmen, die sich jetzt engagieren, tragen nicht nur zur Stärkung der eigenen Marke bei – sie leisten einen wichtigen Beitrag zum Schutz der Verbraucherinnen und Verbraucher. Die Hall of Fame würdigt genau dieses Engagement, das wir als eco mit Nachdruck unterstützen.“

Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung: „Die Anbieter, die jeden Tag unseren E-Mail-Verkehr sicherstellen, tragen eine große Verantwortung für die digitale Kommunikation. Nur wenn E-Mails wirksam abgesichert sind, sind Geschäftsprozesse sowie Kundendaten geschützt und wird das Vertrauen in digitale Dienste gestärkt. Sicherheit entsteht aber nicht nur durch die beste digitale Infrastruktur, sondern braucht auch gezielte Aufklärung und Sensibilisierung. Das E-Mail-Sicherheitsjahr leistet deshalb nicht nur einen Beitrag zur technischen Absicherung von E-Mails, sondern vermittelt auch Unternehmen sowie Bürgerinnen und Bürgern das Wissen, sich wirksam zu schützen.“

Caroline Krohn, Fachbereichsleiterin für Digitalen Verbraucherschutz im BSI und Leiterin der Aktionskampagne: „Organisationen, die sich an unserer Initiative beteiligen, setzen nicht nur ein starkes Signal, sondern bewirken auch ganz direkt etwas: Sie übernehmen Verantwortung für die Integrität, Vertraulichkeit und Authentizität ihrer digitalen Kommunikation, indem sie ihre E-Mail-Systeme so absichern, dass Manipulationen erkannt, abgewehrt oder bestenfalls gar nicht erst möglich gemacht werden.“

Beruflich wie privat ist der persönliche E-Mail-Account das digitale Zuhause der allermeisten Bürgerinnen und Bürger in Deutschland – und damit attraktive Zielscheibe für Cyberkriminelle. Den meisten ist nicht bewusst, dass Cyberkriminelle in der Lage sind, E-Mail-Verkehr einfach mitzulesen. Unsichere E-Mails sind ein klassisches Einfallstor für Spionage- und Sabotageaktivitäten; Nutzende fallen häufig Betrugsmaschen wie Phishing und Identitätsdiebstahl zum Opfer. Daher wendet sich das BSI im Rahmen des E-Mail-Sicherheitsjahres zusätzlich mit einer multimedialen Awarenesskampagne an Verbraucherinnen und Verbraucher.

Mit dem E-Mail-Checker (https://bsi.bund.de/dok/E-Mail-Checker), einem neuen Online-Angebot des BSI, können Nutzende prüfen, ob ihr E-Mail-Anbieter die Kriterien der Technischen Richtlinien TR-03108 und TR-03182 einhält und E-Mails so vor unberechtigtem Mitlesen und Manipulation schützt. Der „Wegweiser Kompakt: 8 Tipps für mehr E-Mail-Sicherheit“ gibt zudem Handlungsempfehlungen für den digitalen Alltag – von der Absicherung des eigenen E-Mail-Kontos bis zum Schutz vor Phishing-Mails. Darüber hinaus erklärt eine von BSI und Polizei gemeinsam veröffentlichte „Checkliste für den Ernstfall“ (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Identitaetsdiebstahl/Hilfe-fuer-Betroffene/hilfe-fuer-betroffene_node.html) die wichtigsten Schritte, sollten Unbefugte ein E-Mail-Konto übernehmen.

Das Informationsangebot für Verbraucherinnen und Verbraucher wird am 23. August 2025 auf der BSI-Webseite www.einfachabsichern.de veröffentlicht. Beim Tag der offenen Tür der Bundesregierung am 23. und 24. August 2025 in Berlin berät das BSI Verbraucherinnen und Verbraucher zudem an seinem Stand im Bundesministerium des Innern (BMI).

Details

Geschrieben von: bz

Zuletzt aktualisiert: 14. November 2025