<?xml version="1.0" encoding="utf-8" standalone="yes"?><feed xmlns="http://www.w3.org/2005/Atom" xml:lang="de"><title>Datargo · Blog</title><subtitle>Fachbeiträge zu Compliance, Identität, PKI und Betrieb. Praxisnah und ohne Werbesprech.</subtitle><link href="https://datargo.com/blog/" rel="alternate" type="text/html"/><link href="https://datargo.com/blog/atom.xml" rel="self" type="application/atom+xml"/><id>https://datargo.com/blog/</id><updated>2026-06-23T00:00:00+00:00</updated><author><name>Datargo</name></author><entry><title>APIs als Teil der Lieferkette: warum Schnittstellensicherheit zur Nachweispflicht wird</title><link href="https://datargo.com/blog/api-sicherheit-lieferkette/" rel="alternate" type="text/html"/><id>https://datargo.com/blog/api-sicherheit-lieferkette/</id><published>2026-06-23T00:00:00+00:00</published><updated>2026-06-23T00:00:00+00:00</updated><category term="Sicherheit &amp; APIs"/><summary type="html">NIS2 zieht die Lieferkette in die Risikobetrachtung, und APIs sind ihre stillen Verbindungsstücke. Warum Berechtigungsfehler die größte API-Schwachstelle sind und warum sich nur absichern lässt, was sauber dokumentiert ist.</summary><content type="html">&lt;p&gt;Software ist heute selten ein Monolith. Module, Partnerdienste und Mandanten reden über Schnittstellen miteinander, und genau diese APIs sind die stillen Verbindungsstücke der Lieferkette. NIS2 verlangt in der Risikobetrachtung ausdrücklich die Sicherheit der Lieferkette. Damit rückt eine Frage in den Vordergrund, die lange als rein technisch galt: Wie sicher und wie prüfbar sind die eigenen Schnittstellen?&lt;/p&gt;
&lt;h2 id="die-schnittstelle-ist-die-angriffsfläche"&gt;Die Schnittstelle ist die Angriffsfläche&lt;/h2&gt;
&lt;p&gt;Die häufigsten API-Schwachstellen sind keine exotischen Exploits, sondern Berechtigungsfehler. In der OWASP API Security Top 10 steht Broken Object Level Authorization an erster Stelle: Eine API liefert Daten aus, ohne sauber zu prüfen, ob der anfragende Account sie überhaupt sehen darf. Eine veränderte Objekt-ID im Request genügt dann, um fremde Datensätze abzurufen. Drei Kontrollpunkte entscheiden in der Praxis über die Robustheit:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Autorisierung pro Objekt:&lt;/strong&gt; Jede Anfrage prüft, ob der Aufrufer genau dieses Objekt sehen oder ändern darf, nicht nur, ob er angemeldet ist.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Authentifizierung:&lt;/strong&gt; Tokens sind kurzlebig, gebunden und widerrufbar, statt langlebiger Allzweckschlüssel.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Begrenzung:&lt;/strong&gt; Rate-Limiting und Quoten verhindern, dass eine Schnittstelle zur Datenabflussstelle oder zum Lastvektor wird.&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id="was-man-nicht-dokumentiert-kann-man-nicht-absichern"&gt;Was man nicht dokumentiert, kann man nicht absichern&lt;/h2&gt;
&lt;p&gt;Viele Vorfälle gehen nicht auf bekannte, sondern auf vergessene Schnittstellen zurück: Shadow-APIs, die nie im Inventar landeten, und Zombie-APIs, die nach einem Versionswechsel offen blieben. Ohne vollständiges, aktuelles Inventar bleibt jede Absicherung lückenhaft. Eine gepflegte OpenAPI-Beschreibung ist dabei mehr als Komfort für Entwickler: Sie ist der Vertrag, gegen den sich Berechtigungen, Versionen und erwartetes Verhalten überhaupt prüfen lassen. Ein dediziertes Developer-Portal, das diese Beschreibungen mandantenfähig und versioniert vorhält, macht aus verstreutem Wissen ein nachvollziehbares Verzeichnis.&lt;/p&gt;
&lt;h2 id="sicherheit-als-nachweisbare-eigenschaft"&gt;Sicherheit als nachweisbare Eigenschaft&lt;/h2&gt;
&lt;p&gt;Im Prüfungsfall genügt es nicht zu sagen, die APIs seien abgesichert. Gefragt ist Evidenz: welche Schnittstellen existieren, in welcher Version, mit welchen Berechtigungen, und wer wann was abgerufen hat. Versionierung, Zugriffsprotokolle und ein gepflegtes Schnittstellenverzeichnis verwandeln Sicherheit von einer Behauptung in eine belegbare Eigenschaft. Das ist dieselbe Logik, die NIS2 an anderer Stelle für Monitoring und Meldung anlegt, nur angewandt auf die Verbindungsstücke zwischen den Systemen.&lt;/p&gt;
&lt;p&gt;Die Lieferkette ist nur so vertrauenswürdig wie ihre Schnittstellen. Und eine Schnittstelle, die niemand vollständig kennt, lässt sich weder absichern noch belegen.&lt;/p&gt;</content></entry><entry><title>Der EU Data Act und das Ende der Wechselgebühren: Cloud-Switching wird zur Pflicht</title><link href="https://datargo.com/blog/data-act-cloud-switching/" rel="alternate" type="text/html"/><id>https://datargo.com/blog/data-act-cloud-switching/</id><published>2026-06-23T00:00:00+00:00</published><updated>2026-06-23T00:00:00+00:00</updated><category term="EU-Souveränität"/><summary type="html">Seit September 2025 gelten die Switching-Regeln des Data Act für neue Cloud-Verträge, zum Januar 2027 fällt das Entgeltverbot. Warum Anbieterwechsel vom Verhandlungsthema zum gesetzlichen Anspruch wird und was das für die Architektur heißt.</summary><content type="html">&lt;p&gt;Anbieterbindung war lange ein kommerzielles Druckmittel: Wer wechseln wollte, zahlte für den Ausgang, kämpfte mit proprietären Formaten und verlor Wochen an Migrationsarbeit. Der EU Data Act (Verordnung (EU) 2023/2854) dreht diese Logik um. Seit dem 12. September 2025 ist die Verordnung anwendbar, und ihr Kapitel VI macht den Wechsel des Cloud-Anbieters zu einem durchsetzbaren Recht der Kundinnen und Kunden.&lt;/p&gt;
&lt;h2 id="was-seit-september-2025-gilt"&gt;Was seit September 2025 gilt&lt;/h2&gt;
&lt;p&gt;Anbieter von Datenverarbeitungsdiensten (IaaS, PaaS, SaaS) müssen alle Hindernisse abbauen, die einen Wechsel erschweren, also vorkommerzielle, kommerzielle, technische, vertragliche und organisatorische Hürden. Konkret heißt das: eine maximale Kündigungsfrist von zwei Monaten, eine Übergangsphase von 30 Tagen für den eigentlichen Umzug (bei technischer Unmöglichkeit auf bis zu sieben Monate verlängerbar) und das Recht, Daten und digitale Vermögenswerte mitzunehmen. Für Neuverträge gelten diese Pflichten bereits.&lt;/p&gt;
&lt;h2 id="die-gebührenbremse-bis-januar-2027"&gt;Die Gebührenbremse bis Januar 2027&lt;/h2&gt;
&lt;p&gt;Der Data Act reduziert Wechselentgelte schrittweise. Zum 12. Januar 2027 greift das vollständige Verbot: Für den Wechsel zwischen Datenverarbeitungsdiensten dürfen dann keine Entgelte mehr verlangt werden. Bis zum 12. September 2027 müssen zudem Altverträge im B2B-Bereich von unfairen Klauseln befreit werden. Wer seine Preis- und Vertragsmodelle auf Ausstiegskosten gestützt hat, verliert diese Grundlage absehbar.&lt;/p&gt;
&lt;h2 id="switching-ist-mehr-als-ein-datenexport"&gt;Switching ist mehr als ein Datenexport&lt;/h2&gt;
&lt;p&gt;Der praktische Knackpunkt liegt in der funktionalen Äquivalenz. Ein Export von Rohdaten genügt nicht, wenn die Zielumgebung damit nichts anfangen kann. Der Data Act verlangt offene Schnittstellen und, wo möglich, gängige Formate, damit ein Dienst beim Ziel wieder lauffähig wird. Drei Fragen entscheiden in der Praxis, ob ein Wechsel real durchführbar ist:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Datenmodell:&lt;/strong&gt; Liegen Inhalte in dokumentierten, offenen Strukturen vor oder in einem proprietären Schema?&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Schnittstellen:&lt;/strong&gt; Gibt es stabile, versionierte APIs für den Export laufender und historischer Daten?&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Metadaten:&lt;/strong&gt; Werden Konfiguration, Rechte und Verarbeitungslogik mit übergeben oder bleiben sie im alten System zurück?&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id="was-das-für-die-architektur-heißt"&gt;Was das für die Architektur heißt&lt;/h2&gt;
&lt;p&gt;Souveränität ist hier kein Häkchen, sondern eine Eigenschaft des Systementwurfs. Wer Portabilität erst beim Auszug bedenkt, hat sie verloren. Offene Datenmodelle, dokumentierte Exportwege und ein Hosting im europäischen Rechtsraum reduzieren nicht nur das Lock-in-Risiko, sie sind zunehmend die Voraussetzung dafür, die Data-Act-Pflichten überhaupt erfüllen zu können. Bei einer Suite, die ihre Module über offene Schnittstellen und ein Hosting in Frankfurt zusammenhält, ist der Anbieterwechsel keine Drohkulisse, sondern ein nachvollziehbarer Vorgang.&lt;/p&gt;
&lt;p&gt;Der Data Act fragt nicht, ob Sie Ihre Kundinnen und Kunden halten wollen. Er fragt, ob diese gehen könnten, wenn sie es wollten.&lt;/p&gt;</content></entry><entry><title>Passkeys im Unternehmen: phishing-resistente Anmeldung jenseits von Passwort und OTP</title><link href="https://datargo.com/blog/passkeys-unternehmen/" rel="alternate" type="text/html"/><id>https://datargo.com/blog/passkeys-unternehmen/</id><published>2026-06-23T00:00:00+00:00</published><updated>2026-06-23T00:00:00+00:00</updated><category term="Digitale Identität"/><summary type="html">Passwort plus SMS- oder TOTP-Code bleibt phishbar. Warum FIDO2-Passkeys das Origin-Problem lösen, wie ein risikobasierter Rollout aussieht und welche Fragen zu Wiederherstellung und Geräteverlust offen bleiben.</summary><content type="html">&lt;p&gt;Phishing bleibt das verlässlichste Einfallstor in Unternehmensnetze, und die meisten Zweitfaktoren ändern daran wenig. Passwort plus SMS-Code, TOTP-App oder Push-Bestätigung gilt als Mehrfaktor-Authentifizierung, ist aber im Kern angreifbar: Wer die Nutzerin auf eine gefälschte Seite lockt, kann auch den Zweitfaktor in Echtzeit abgreifen. FIDO2-Passkeys setzen an genau dieser Stelle an.&lt;/p&gt;
&lt;h2 id="warum-klassische-mfa-phishbar-bleibt"&gt;Warum klassische MFA phishbar bleibt&lt;/h2&gt;
&lt;p&gt;Das Problem ist nicht die Anzahl der Faktoren, sondern ihre Übertragbarkeit. Ein Einmalcode ist ein geteiltes Geheimnis: Er funktioniert überall dort, wo er eingegeben wird, auch auf der Phishing-Seite. Es fehlt die Bindung an die echte Gegenstelle. Genau diese Bindung leistet WebAuthn, der Standard hinter Passkeys.&lt;/p&gt;
&lt;h2 id="was-passkeys-anders-machen"&gt;Was Passkeys anders machen&lt;/h2&gt;
&lt;p&gt;Ein Passkey ist ein kryptografisches Schlüsselpaar. Der private Schlüssel verlässt das Gerät nie, signiert wird nur gegenüber der Domain, für die der Passkey registriert wurde. Diese Origin-Bindung macht die klassische Phishing-Umleitung wirkungslos: Eine gefälschte Domain erhält schlicht keine gültige Signatur. Es gibt kein Geheimnis, das man auf der falschen Seite eingeben könnte. Das BSI hat dazu ein formales Bedrohungsmodell veröffentlicht, und mit der Technischen Richtlinie BSI TR-03188 existiert eine Vorgabe für den Betrieb eines Passkey-Servers.&lt;/p&gt;
&lt;h2 id="synced-device-bound-oder-hardware-key"&gt;Synced, device-bound oder Hardware-Key&lt;/h2&gt;
&lt;p&gt;Passkey ist nicht gleich Passkey. Ein tragfähiger Rollout staffelt die Variante nach Schutzbedarf:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Hardware-Sicherheitsschlüssel:&lt;/strong&gt; für privilegierte Zugänge und Administration, wo höchste Sicherheit zählt.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Gerätegebundene Passkeys:&lt;/strong&gt; auf verwalteten Firmengeräten, an die Hardware gekoppelt und nicht synchronisierbar.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Synchronisierte Passkeys:&lt;/strong&gt; für die breite Belegschaft, komfortabel über mehrere Geräte, mit etwas geringerem Härtegrad.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Diese Abstufung deckt sich mit der Erwartung, die Aufsicht und Prüfwesen zunehmend formulieren: Für sensible administrative Zugänge gilt phishing-resistente Authentifizierung zunehmend als Anforderung, nicht als Empfehlung.&lt;/p&gt;
&lt;h2 id="die-offenen-fragen"&gt;Die offenen Fragen&lt;/h2&gt;
&lt;p&gt;Der schwierige Teil liegt nicht in der Anmeldung, sondern in den Randfällen. Was passiert beim Geräteverlust? Wie sieht ein Wiederherstellungsweg aus, der nicht selbst zur phishbaren Hintertür wird? Und wie geht man mit Altsystemen um, die WebAuthn noch nicht sprechen? Ein durchdachter Rollout beantwortet diese Fragen vorab, statt sie im Störfall zu improvisieren. Als Klammer der Plattform verankert Datargo ID Single Sign-On und MFA an einer Stelle, was diese Fragen bündelt, statt sie über jede Anwendung einzeln zu verteilen.&lt;/p&gt;
&lt;p&gt;Die entscheidende Verschiebung ist diese: weg von einem Geheimnis, das man kennen und damit verraten kann, hin zu einem Schlüssel, der an Gerät und Gegenstelle gebunden bleibt.&lt;/p&gt;</content></entry><entry><title>Wenn der Chatbot sich zu erkennen geben muss: KI-Transparenz im Kundenservice ab August 2026</title><link href="https://datargo.com/blog/ki-transparenzpflicht-kundenservice/" rel="alternate" type="text/html"/><id>https://datargo.com/blog/ki-transparenzpflicht-kundenservice/</id><published>2026-06-23T00:00:00+00:00</published><updated>2026-06-23T00:00:00+00:00</updated><category term="Regulierung &amp; KI"/><summary type="html">Ab dem 2. August 2026 sind die Transparenzpflichten aus Artikel 50 des EU AI Act durchsetzbar. Was die Hinweispflicht bei Chatbots und die Kennzeichnung KI-erzeugter Inhalte konkret für den Kundenservice bedeuten.</summary><content type="html">&lt;p&gt;Automatisierte Erstantworten, KI-gestützte Ticket-Vorklassifikation, generierte Antwortvorschläge: Im Kundenservice ist KI längst Alltag. Ab dem 2. August 2026 wird Artikel 50 des EU AI Act durchsetzbar, und damit gelten verbindliche Transparenzpflichten für genau diese Systeme. Diese Pflichten sind von den Vorgaben für Anbieter universeller KI-Modelle (GPAI) zu trennen: Hier geht es nicht um das Modell, sondern um die Interaktion mit Menschen.&lt;/p&gt;
&lt;h2 id="was-artikel-50-verlangt"&gt;Was Artikel 50 verlangt&lt;/h2&gt;
&lt;p&gt;Der Kern ist eine Hinweispflicht. Anbieter von KI-Systemen, die zur direkten Interaktion mit Menschen bestimmt sind (etwa Chatbots), müssen sicherstellen, dass die betroffene Person erkennt, dass sie mit einem KI-System kommuniziert. Der Hinweis muss spätestens zum Zeitpunkt der ersten Interaktion erfolgen, es sei denn, der KI-Einsatz ist aus den Umständen offensichtlich. Hinzu kommt: KI-erzeugte oder bearbeitete Inhalte müssen maschinenlesbar als solche markiert werden, und Inhalte von öffentlichem Interesse, die als echt erscheinen könnten, sind gesondert zu kennzeichnen.&lt;/p&gt;
&lt;h2 id="was-informiert-praktisch-heißt"&gt;Was &amp;ldquo;informiert&amp;rdquo; praktisch heißt&lt;/h2&gt;
&lt;p&gt;Eine Zeile im Impressum reicht nicht. Der Hinweis muss klar, vor oder zu Beginn des Gesprächs und für die Nutzerin verständlich sein. In der Praxis bedeutet das mehr als ein Banner:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Sichtbarkeit:&lt;/strong&gt; Der KI-Hinweis steht am Anfang des Dialogs, nicht in einer ausklappbaren Fußnote.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Sprache:&lt;/strong&gt; Der Hinweis erscheint in der Sprache, in der die Person den Kontakt aufnimmt, nicht nur auf Englisch.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Übergabe:&lt;/strong&gt; Beim Wechsel zwischen KI und menschlicher Bearbeitung sollte erkennbar bleiben, mit wem gerade gesprochen wird.&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id="mehr-als-ein-hinweisbanner"&gt;Mehr als ein Hinweisbanner&lt;/h2&gt;
&lt;p&gt;Die schwierigere Seite ist die Nachweisbarkeit. Wer im Prüfungsfall zeigen will, dass der Hinweis tatsächlich und konsistent ausgespielt wurde, braucht eine Protokollierung der Konfiguration und der ausgelieferten Hinweise. In mandantenfähigen Umgebungen kommt hinzu, dass jede Mandantin ihre eigenen Kanäle, Sprachen und Eskalationswege betreibt: Die Transparenzlogik muss pro Mandant greifen, nicht nur global. Ein Customer-Service-Hub wie Datargo CRM, der Live-Chat, Tickets und Kontakte mandantenfähig zusammenführt, bietet dafür den natürlichen Ort, um Hinweis, Sprachzuordnung und Mensch-Übergabe einheitlich zu verankern.&lt;/p&gt;
&lt;p&gt;Artikel 50 verbietet KI im Kundenservice nicht. Er verlangt nur, dass niemand im Unklaren darüber bleibt, mit wem oder mit was er spricht.&lt;/p&gt;</content></entry><entry><title>47-Tage-Zertifikate: Der CA/Browser-Fahrplan bis 2029</title><link href="https://datargo.com/blog/47-tage-tls-zertifikate/" rel="alternate" type="text/html"/><id>https://datargo.com/blog/47-tage-tls-zertifikate/</id><published>2026-06-09T00:00:00+00:00</published><updated>2026-06-09T00:00:00+00:00</updated><category term="PKI &amp; Zertifikate"/><summary type="html">Das CA/Browser-Forum senkt die maximale TLS-Laufzeit stufenweise auf 47 Tage. Was die Stufen 200, 100 und 47 Tage für Discovery, Renewal-Automatisierung und Betriebsteams bedeuten.</summary><content type="html">&lt;p&gt;Die Diskussion ist entschieden, und ein Teil davon ist bereits Betriebsrealität: Seit dem 15. März 2026 dürfen öffentlich vertrauenswürdige TLS-Zertifikate höchstens &lt;strong&gt;200 Tage&lt;/strong&gt; gültig sein, nicht mehr 398. Das ist die erste Stufe eines Fahrplans, den das CA/Browser-Forum im April 2025 mit Ballot &lt;strong&gt;SC-081v3&lt;/strong&gt; beschlossen hat: einstimmig, mit 29 Ja-Stimmen und keiner Gegenstimme. Am Ende dieses Fahrplans steht eine maximale Laufzeit von &lt;strong&gt;47 Tagen&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Wer Zertifikate noch von Hand bestellt und im Kalender notiert, sollte die nächsten drei Jahre als Umbauprojekt einplanen, nicht als Reihe von Einzelterminen.&lt;/p&gt;
&lt;h2 id="der-fahrplan-in-zahlen"&gt;Der Fahrplan in Zahlen&lt;/h2&gt;
&lt;p&gt;Die maximale Gültigkeit sinkt in klar terminierten Stufen:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;bis 14. März 2026:&lt;/strong&gt; 398 Tage (der bisherige Standard)&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;ab 15. März 2026:&lt;/strong&gt; 200 Tage (gilt heute)&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;ab 15. März 2027:&lt;/strong&gt; 100 Tage&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;ab 15. März 2029:&lt;/strong&gt; 47 Tage&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Parallel, und das ist der operativ anspruchsvollere Teil, verkürzt sich die Wiederverwendbarkeit der Domain-Validierung (Domain Control Validation, DCV). Die einmal geprüfte Kontrolle über eine Domain darf künftig deutlich kürzer „nachgenutzt&amp;quot; werden, bevor sie erneut bestätigt werden muss:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;ab 15. März 2026:&lt;/strong&gt; 200 Tage&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;ab 15. März 2027:&lt;/strong&gt; 100 Tage&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;ab 15. März 2029:&lt;/strong&gt; 10 Tage&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Für OV- und EV-Zertifikate sinkt zusätzlich die Wiederverwendbarkeit der geprüften Organisationsdaten (Subject Identity Information) zum 15. März 2026 von 825 auf 398 Tage.&lt;/p&gt;
&lt;p&gt;Die 47 Tage sind also nur die Schlagzeile. Die 10 Tage DCV-Reuse ab 2029 sind der eigentliche Taktgeber: Ab dann muss faktisch alle zehn Tage neu nachgewiesen werden, dass die Domain noch unter eigener Kontrolle steht.&lt;/p&gt;
&lt;h2 id="warum-die-verkürzung-kommt"&gt;Warum die Verkürzung kommt&lt;/h2&gt;
&lt;p&gt;Hinter dem Schritt steht eine einfache Sicherheitslogik. Ein Zertifikat ist eine Vertrauensaussage mit Verfallsdatum. Je länger es gültig ist, desto länger wirkt eine Fehlausstellung, ein kompromittierter Schlüssel oder ein veralteter kryptografischer Parameter fort. Der klassische Gegenmechanismus, die Sperrung über CRL und OCSP, funktioniert in der Praxis unzuverlässig: Sperrlisten werden nicht überall zeitnah ausgewertet, OCSP wird zunehmend abgekündigt. Kurze Laufzeiten ersetzen die Sperrung durch das Ablaufen. Ein Problem heilt sich, weil das betroffene Zertifikat ohnehin bald ungültig wird.&lt;/p&gt;
&lt;p&gt;Der zweite Treiber ist Krypto-Agilität. Wer Zertifikate regelmäßig erneuert, kann Algorithmen, Schlüssellängen und Profile im laufenden Betrieb wechseln, eine Grundvoraussetzung für die anstehende Migration zu Post-Quantum-Verfahren. Lange Laufzeiten zementieren dagegen den Status quo.&lt;/p&gt;
&lt;h2 id="was-das-für-den-betrieb-bedeutet"&gt;Was das für den Betrieb bedeutet&lt;/h2&gt;
&lt;p&gt;Die zentrale Folge ist banal und unausweichlich: &lt;strong&gt;Manuelle Erneuerung skaliert nicht mehr.&lt;/strong&gt; Ein 47-Tage-Zertifikat wird, mit vernünftigem Puffer, etwa alle 30 Tage ausgetauscht. Über einen mittelgroßen Bestand hinweg ist das kein Kalendereintrag mehr, sondern ein Prozess, der ohne menschliches Zutun laufen muss.&lt;/p&gt;
&lt;p&gt;Drei Fähigkeiten entscheiden darüber, ob dieser Umbau gelingt:&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Automatisierung.&lt;/strong&gt; ACME (RFC 8555) ist der etablierte Standard für automatische Ausstellung und Erneuerung, nicht nur für Let&amp;rsquo;s Encrypt, sondern zunehmend auch für kommerzielle und interne CAs. Wo ACME nicht greift, braucht es API-gestützte Renewal-Workflows mit Approval, damit Compliance-Kontrollen erhalten bleiben.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Discovery.&lt;/strong&gt; Automatisieren lässt sich nur, was man kennt. Der typische Ausfall im Jahr 2029 wird nicht das gut gepflegte Zertifikat auf dem Hauptsystem sein, sondern das vergessene auf einem Load-Balancer-Endpoint, einer Appliance oder in einem Cloud-Account, den niemand mehr auf dem Schirm hat. Aktive Netzscans und passive Cloud-Discovery sind die Voraussetzung dafür, dass kurze Laufzeiten nicht zu kurzfristigen Ausfällen werden.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Eigentümerschaft.&lt;/strong&gt; Jedes Zertifikat braucht einen klar zugeordneten Verantwortlichen, eine bekannte CA und ein hinterlegtes Erneuerungsverfahren. Ein Inventar, das diese drei Angaben pro Zertifikat führt, ist die eigentliche Versicherung gegen die 47-Tage-Realität.&lt;/p&gt;
&lt;p&gt;Genau dieses Muster (Discovery zuerst, dann CA-agnostische Automatisierung mit Approval) liegt unserem Modul NextPKI zugrunde. Die regulatorische Stoßrichtung ist davon unabhängig: Wer den Bestand sichtbar macht und die Erneuerung automatisiert, ist vorbereitet, ganz gleich mit welchem Werkzeug.&lt;/p&gt;
&lt;h2 id="was-jetzt-sinnvoll-ist"&gt;Was jetzt sinnvoll ist&lt;/h2&gt;
&lt;p&gt;Drei Jahre klingen nach viel Zeit, aber die 200-Tage-Stufe läuft bereits. Konkret lohnt sich jetzt: ein vollständiges Inventar aller TLS-Zertifikate über Netz, Cloud und Endpunkte hinweg; die Identifikation aller Stellen, an denen heute noch manuell erneuert wird; ein Pilot mit ACME-basiertem Auto-Renewal auf unkritischen Diensten; und die Klärung, welche internen Systeme bis 2029 zehntägige Domain-Revalidierung technisch überhaupt mittragen können.&lt;/p&gt;
&lt;p&gt;Die 47 Tage kommen nicht überraschend und nicht auf einmal. Sie kommen in Stufen, und die erste steht bereits.&lt;/p&gt;</content></entry><entry><title>Cyber Resilience Act: Was der 11. September 2026 für Hersteller digitaler Produkte bedeutet</title><link href="https://datargo.com/blog/cyber-resilience-act-meldepflicht-2026/" rel="alternate" type="text/html"/><id>https://datargo.com/blog/cyber-resilience-act-meldepflicht-2026/</id><published>2026-06-09T00:00:00+00:00</published><updated>2026-06-09T00:00:00+00:00</updated><category term="Compliance &amp; Produktsicherheit"/><summary type="html">Ab dem 11. September 2026 gelten die ersten verbindlichen CRA-Pflichten. Was die Meldung aktiv ausgenutzter Schwachstellen, SBOM und Security by Design für Hersteller, Importeure und Händler konkret heißt.</summary><content type="html">&lt;p&gt;In knapp drei Monaten wird aus einer Verordnung Betriebsrealität. Ab dem &lt;strong&gt;11. September 2026&lt;/strong&gt; greifen die ersten verbindlichen Pflichten des Cyber Resilience Act (Verordnung (EU) 2024/2847), und zwar genau die, die am meisten Prozess voraussetzen: die Meldung aktiv ausgenutzter Schwachstellen und schwerer Sicherheitsvorfälle. Die übrigen Produkt- und Konformitätspflichten folgen mit der vollständigen Anwendung am &lt;strong&gt;11. Dezember 2027&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Wer Produkte mit digitalen Elementen in der EU herstellt, importiert oder vertreibt, sollte den September daher nicht als fernes Datum behandeln, sondern als den Tag, an dem ein funktionierender Meldeweg vorhanden sein muss.&lt;/p&gt;
&lt;h2 id="was-am-11-september-2026-beginnt"&gt;Was am 11. September 2026 beginnt&lt;/h2&gt;
&lt;p&gt;Der CRA verpflichtet Hersteller, eine aktiv ausgenutzte Schwachstelle oder einen schweren Sicherheitsvorfall in einem gestaffelten Verfahren zu melden. Eine erste Frühwarnung geht binnen 24 Stunden an das zuständige CSIRT und an die ENISA, eine ausführlichere Meldung folgt binnen 72 Stunden, ein Abschlussbericht später. Adressiert wird das über eine zentrale europäische Meldeplattform.&lt;/p&gt;
&lt;p&gt;Wichtig ist die Abgrenzung zu NIS2: Dort meldet eine betroffene Einrichtung Vorfälle in ihrem eigenen Betrieb. Beim CRA meldet der Hersteller eine Schwachstelle in seinem Produkt, unabhängig davon, bei welchem Kunden sie ausgenutzt wird. Beide Regime können gleichzeitig gelten, und sie verlangen unterschiedliche Meldewege.&lt;/p&gt;
&lt;h2 id="was-bis-dezember-2027-dazukommt"&gt;Was bis Dezember 2027 dazukommt&lt;/h2&gt;
&lt;p&gt;Die Meldepflicht ist nur der erste Baustein. Mit der vollständigen Anwendung verlangt der CRA über den gesamten Produktlebenszyklus hinweg nachweisbare Sicherheit:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Security by Design:&lt;/strong&gt; Sicherheit ist Teil der Entwicklung, nicht ein nachträglicher Aufsatz. Das umfasst sichere Voreinstellungen und eine angreifbare Fläche, die so klein wie möglich gehalten wird.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Software Bill of Materials (SBOM):&lt;/strong&gt; Hersteller müssen die enthaltenen Komponenten und Abhängigkeiten kennen und dokumentieren. Ohne diese Stückliste lässt sich bei einer neuen Schwachstelle nicht beantworten, ob das eigene Produkt betroffen ist.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Schwachstellenmanagement und Updates:&lt;/strong&gt; Sicherheitsupdates müssen über mindestens fünf Jahre bereitgestellt werden, oder über die erwartbare Lebensdauer des Produkts, falls diese kürzer ist.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;CE-Kennzeichnung:&lt;/strong&gt; Ab Dezember 2027 dürfen Produkte mit digitalen Elementen ohne CRA-Konformität nicht mehr in der EU in Verkehr gebracht werden.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Eine Ausnahme für kleine und mittlere Unternehmen gibt es nicht. Wer betroffene Produkte herstellt oder importiert, fällt unabhängig von seiner Größe unter die Verordnung.&lt;/p&gt;
&lt;h2 id="was-das-praktisch-bedeutet"&gt;Was das praktisch bedeutet&lt;/h2&gt;
&lt;p&gt;Die Meldepflicht ab September ist organisatorisch anspruchsvoller, als die kurze Frist vermuten lässt. 24 Stunden bis zur Frühwarnung sind keine Zeit, um erst eine Zuständigkeit zu klären. Es braucht vorab einen benannten Verantwortlichen, einen dokumentierten Prozess und die technische Fähigkeit, einen Vorfall überhaupt zeitnah zu erkennen.&lt;/p&gt;
&lt;p&gt;Genau hier verbinden sich zwei Themen, die oft getrennt behandelt werden: das Erkennen (Monitoring und Security Posture) und das Belegen (eine nachvollziehbare Spur, wer wann was gemeldet hat). Wer beides bereits für NIS2 oder ISO 27001 aufgebaut hat, kann darauf aufsetzen. In unserem Modul Datargo Monitor ist dieses Muster aus kontinuierlicher Überwachung und auditierbarer Evidenz angelegt, doch die regulatorische Anforderung steht unabhängig vom Werkzeug: Ohne verlässliche Erkennung läuft jede Meldefrist ins Leere.&lt;/p&gt;
&lt;h2 id="was-jetzt-sinnvoll-ist"&gt;Was jetzt sinnvoll ist&lt;/h2&gt;
&lt;p&gt;Drei Schritte lohnen sich vor September: erstens klären, welche eigenen Produkte als „Produkte mit digitalen Elementen&amp;quot; gelten und damit in den Anwendungsbereich fallen. Zweitens den Meldeprozess für aktiv ausgenutzte Schwachstellen aufsetzen, mit klarer Zuständigkeit und den Fristen 24 Stunden, 72 Stunden und Abschlussbericht. Drittens mit dem Aufbau einer SBOM beginnen, denn sie ist die Voraussetzung dafür, im Ernstfall überhaupt sagen zu können, ob man betroffen ist.&lt;/p&gt;
&lt;p&gt;Der 11. September 2026 markiert nicht das Ende der Vorbereitung, sondern den Beginn der Pflicht. Die Arbeit dahinter, Erkennung und Dokumentation, lässt sich nicht in 24 Stunden nachholen.&lt;/p&gt;</content></entry><entry><title>eIDAS 2.0 und das EUDI-Wallet: Was akzeptierende Stellen bis Ende 2026 vorbereiten müssen</title><link href="https://datargo.com/blog/eidas-2-eudi-wallet/" rel="alternate" type="text/html"/><id>https://datargo.com/blog/eidas-2-eudi-wallet/</id><published>2026-06-09T00:00:00+00:00</published><updated>2026-06-09T00:00:00+00:00</updated><category term="Digitale Identität"/><summary type="html">Die EU-Staaten müssen das EUDI-Wallet bis Dezember 2026 bereitstellen. Ein nüchterner Überblick über die technischen und rechtlichen Weichen, die Unternehmen als Relying Party jetzt stellen sollten.</summary><content type="html">&lt;p&gt;In rund einem halben Jahr läuft eine Frist ab, die viele Unternehmen noch als ferne Regulierung behandeln: Bis zum &lt;strong&gt;24. Dezember 2026&lt;/strong&gt; müssen alle 27 EU-Mitgliedstaaten ihren Bürgerinnen und Bürgern mindestens ein &lt;strong&gt;European Digital Identity Wallet (EUDI-Wallet)&lt;/strong&gt; bereitstellen. Grundlage ist die Verordnung (EU) 2024/1183 („eIDAS 2.0&amp;quot;), die seit dem 20. Mai 2024 in Kraft ist.&lt;/p&gt;
&lt;p&gt;Für die Mehrzahl der Unternehmen ist die spannendere Frage nicht, wann das Wallet kommt, sondern wann sie es &lt;strong&gt;akzeptieren&lt;/strong&gt; müssen. Und diese Frist folgt unmittelbar.&lt;/p&gt;
&lt;h2 id="wo-der-rollout-im-juni-2026-steht"&gt;Wo der Rollout im Juni 2026 steht&lt;/h2&gt;
&lt;p&gt;Der regulatorische Unterbau ist weit gediehen. Das Architecture and Reference Framework (ARF) liegt in Version 2.8 vor, und es sind bereits 31 Durchführungsrechtsakte veröffentlicht, die auf Dutzende technischer Standards verweisen. Am 8. April 2026 hat die Europäische Kommission die Durchführungsverordnung zur Wallet-Registrierung (Enrollment) nachgelegt, einen zentralen Baustein, weil er regelt, wie Nutzer ihre Identität sicher ins Wallet bringen.&lt;/p&gt;
&lt;p&gt;Der Umsetzungsstand der Mitgliedstaaten ist allerdings ungleich. Frankreich gilt mit „France Identité&amp;quot; als am weitesten, betreibt bereits einen produktiven Dienst und baut ihn zum offiziellen EUDI-Wallet aus; Italien und Polen folgen dicht dahinter. &lt;strong&gt;Deutschland&lt;/strong&gt; hat angekündigt, seine staatlich getriebene Variante zum &lt;strong&gt;2. Januar 2027&lt;/strong&gt; zu starten, also kurz nach Ablauf der EU-Frist.&lt;/p&gt;
&lt;h2 id="relying-party-die-rolle-die-fast-jeden-betrifft"&gt;Relying Party: die Rolle, die fast jeden betrifft&lt;/h2&gt;
&lt;p&gt;Eine Relying Party (vertrauender Beteiligter, akzeptierende Stelle) ist jede Stelle, die sich für Identifizierung oder Authentifizierung auf Wallet-Nachweise stützen möchte, vom Onboarding über die Altersprüfung bis zur starken Kundenauthentifizierung.&lt;/p&gt;
&lt;p&gt;Die zeitliche Logik der Verordnung ist eindeutig: Sobald die Wallets verfügbar sind, müssen regulierte Sektoren und sehr große Online-Plattformen das EUDI-Wallet &lt;strong&gt;etwa ein Jahr später&lt;/strong&gt; zur Authentifizierung akzeptieren. Aus der Bereitstellungsfrist Ende 2026 wird damit für viele eine Akzeptanzpflicht ab etwa Ende 2027. Banken, Versicherer, Telekommunikations- und Energieversorger, das Gesundheitswesen und große Plattformen stehen dabei in der ersten Reihe; alle anderen können das Wallet freiwillig akzeptieren und tun gut daran, die Integration nicht erst kurz vor knapp zu beginnen.&lt;/p&gt;
&lt;h2 id="was-eine-relying-party-jetzt-klären-sollte"&gt;Was eine Relying Party jetzt klären sollte&lt;/h2&gt;
&lt;p&gt;&lt;strong&gt;Registrierung.&lt;/strong&gt; Akzeptierende Stellen müssen sich vor der ersten Nutzung bei einer nationalen Registrierungsstelle anmelden und dabei angeben, welche Attribute sie zu welchem Zweck abfragen. Diese Registrierung ist kein Formalakt, sondern die rechtliche Grundlage dafür, überhaupt Daten anfragen zu dürfen.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Datensparsamkeit.&lt;/strong&gt; Das Wallet ist auf selektive Offenlegung ausgelegt: Nutzer sollen genau die Attribute teilen, die ein Dienst wirklich braucht, etwa „über 18&amp;quot; statt des vollständigen Geburtsdatums. Wer mehr abfragt, als der Zweck rechtfertigt, gerät sowohl mit der eIDAS-Logik als auch mit der DSGVO in Konflikt. Die Definition des minimalen Attributsatzes pro Anwendungsfall ist deshalb die erste fachliche Aufgabe, nicht die letzte.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Technische Integration.&lt;/strong&gt; Die Präsentation von Nachweisen stützt sich auf etablierte offene Protokolle und Formate, darunter OpenID for Verifiable Presentations sowie die Nachweisformate ISO/IEC 18013-5 (mdoc) und SD-JWT VC. Hinzu kommen Vertrauenslisten, über die ein Dienst prüft, ob ein vorgelegtes Wallet und seine Aussteller echt und zugelassen sind. Wer hier auf Standards setzt statt auf proprietäre Adapter, hält sich die Wallets verschiedener Mitgliedstaaten offen.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Anwendungsfälle und Governance.&lt;/strong&gt; Onboarding und KYC, Altersnachweis, starke Kundenauthentifizierung und qualifizierte elektronische Signaturen über das Wallet sind die naheliegenden Felder. Jeder dieser Fälle braucht eine saubere Einwilligungs- und Protokollierungslogik: wer hat wann welches Attribut zu welchem Zweck angefragt und erhalten.&lt;/p&gt;
&lt;p&gt;In unserem Modul Datargo ID ist genau diese Relying-Party-Rolle der rote Faden: ein Login als Klammer, vorbereitet auf den EUDI-Pfad. Der eigentliche Punkt ist aber unabhängig vom Werkzeug: Die Weichen für Registrierung, Attributminimierung und standardbasierte Integration stellt jede akzeptierende Stelle für sich.&lt;/p&gt;
&lt;h2 id="der-nüchterne-zeitplan"&gt;Der nüchterne Zeitplan&lt;/h2&gt;
&lt;p&gt;Bis Ende 2026 werden die Wallets bereitgestellt, ab Anfang 2027 erscheinen die nationalen Lösungen (Deutschland am 2. Januar 2027), und etwa ein Jahr nach Verfügbarkeit greift die Akzeptanzpflicht für regulierte Sektoren. Das klingt nach 2027 und 2028, beginnt aber als Vorbereitungsaufgabe heute: Attributbedarf bestimmen, Registrierungsweg klären, eine standardbasierte Integration pilotieren. Die Frist ist gesetzt; die Vorbereitung ist freiwillig nur noch im Zeitpunkt, nicht im Ob.&lt;/p&gt;</content></entry><entry><title>Datensouveränität nach dem Data Privacy Framework: warum EU-Hosting zur Architekturfrage wird</title><link href="https://datargo.com/blog/datensouveraenitaet-data-privacy-framework/" rel="alternate" type="text/html"/><id>https://datargo.com/blog/datensouveraenitaet-data-privacy-framework/</id><published>2026-06-02T00:00:00+00:00</published><updated>2026-06-02T00:00:00+00:00</updated><category term="EU-Souveränität"/><summary type="html">Das EU-US Data Privacy Framework bleibt vorerst gültig, steht aber unter Revision. Warum Hosting-Standort, Betreiberkontrolle und Verschlüsselungshoheit keine Compliance-Häkchen sind, sondern Architekturentscheidungen mit langer Halbwertszeit.</summary><content type="html">&lt;p&gt;Wer personenbezogene Daten in die USA übermittelt, stützt sich seit 2023 auf den Angemessenheitsbeschluss zum EU-US Data Privacy Framework (DPF). Im September 2025 hat das Gericht der Europäischen Union (EuG) eine Klage dagegen abgewiesen, das Framework bleibt damit gültige Rechtsgrundlage. Doch der Fall ist nicht abgeschlossen: Ende Oktober 2025 wurde Rechtsmittel zum Europäischen Gerichtshof eingelegt (Rechtssache C-703/25 P). Ein erneutes Kippen, ein „Schrems III&amp;quot;, ist nicht ausgeschlossen.&lt;/p&gt;
&lt;p&gt;Diese Unsicherheit ist kein Grund zur Panik, aber ein guter Anlass, eine Frage von der Compliance-Ebene auf die Architekturebene zu heben.&lt;/p&gt;
&lt;h2 id="warum-das-mehr-als-ein-häkchen-ist"&gt;Warum das mehr als ein Häkchen ist&lt;/h2&gt;
&lt;p&gt;Der bequeme Umgang mit Datentransfers besteht darin, sie als Vertragsfrage zu behandeln: Solange ein gültiger Beschluss oder Standardvertragsklauseln vorliegen, ist die Übermittlung gedeckt. Das stimmt rechtlich, verkennt aber das eigentliche Risiko. Jede Rechtsgrundlage für Drittlandstransfers steht seit Jahren unter Vorbehalt. Safe Harbor fiel 2015, das Privacy Shield 2020, und der aktuelle Rahmen wird gerichtlich überprüft. Wer seine Architektur an einer Rechtsgrundlage ausrichtet, die alle paar Jahre wackelt, baut eine Abhängigkeit ein, die er nicht kontrolliert.&lt;/p&gt;
&lt;p&gt;Die robustere Frage lautet nicht „ist der Transfer gedeckt&amp;quot;, sondern „findet der Transfer überhaupt statt&amp;quot;. Daten, die die EU nicht verlassen und auf die kein Drittland-Zugriff besteht, brauchen keinen Angemessenheitsbeschluss.&lt;/p&gt;
&lt;h2 id="drei-architekturentscheidungen"&gt;Drei Architekturentscheidungen&lt;/h2&gt;
&lt;p&gt;&lt;strong&gt;Hosting-Standort.&lt;/strong&gt; Wo die Daten physisch liegen, ist die erste und sichtbarste Entscheidung. Ein Rechenzentrum in Frankfurt statt in einer US-Region ist die Grundlage, aber für sich allein nicht ausreichend, denn der Standort allein sagt nichts über die Kontrolle.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Betreiberkontrolle.&lt;/strong&gt; Entscheidend ist, wer rechtlich und tatsächlich Zugriff auf die Daten und die Infrastruktur hat. Ein in der EU stehender Server, der von einem Unternehmen betrieben wird, das einem Drittlandrecht mit weitreichenden Herausgabepflichten unterliegt, löst das Problem nur halb. Die Frage nach dem anwendbaren Recht des Betreibers gehört deshalb zur Architektur, nicht nur zum Vertrag.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Verschlüsselungshoheit.&lt;/strong&gt; Wer die Schlüssel hält, kontrolliert den Zugriff. Verschlüsselung, bei der ausschließlich der Kunde über die Schlüssel verfügt, macht einen Zugriff durch Dritte technisch wirkungslos, selbst wenn dieser rechtlich erzwungen würde. Schlüsselhoheit verlagert die Kontrolle von einer Zusage zu einer technischen Eigenschaft.&lt;/p&gt;
&lt;h2 id="souveränität-als-voreinstellung-nicht-als-nachrüstung"&gt;Souveränität als Voreinstellung, nicht als Nachrüstung&lt;/h2&gt;
&lt;p&gt;Diese drei Entscheidungen lassen sich nachträglich nur schwer und teuer ändern. Sie gehören an den Anfang einer Architektur, nicht in ein Projekt, das erst startet, wenn ein Gericht den nächsten Beschluss kippt. Genau das meint Souveränität by design: nicht die nachträgliche Absicherung eines Transfers, sondern eine Auslegung, die den problematischen Transfer gar nicht erst nötig macht.&lt;/p&gt;
&lt;p&gt;In unserer Plattform ist EU-Hosting in Frankfurt die Voreinstellung, nicht die Premium-Option. Der Punkt selbst ist jedoch unabhängig vom Anbieter: Wer Standort, Betreiberkontrolle und Schlüsselhoheit früh klärt, macht sich von der nächsten gerichtlichen Wendung unabhängig.&lt;/p&gt;
&lt;p&gt;Das Data Privacy Framework mag die aktuelle Prüfung überstehen oder nicht. Eine Architektur, die nicht von der Antwort abhängt, ist in beiden Fällen die ruhigere Wahl.&lt;/p&gt;</content></entry><entry><title>EU AI Act: GPAI-Durchsetzung ab 2. August 2026 und was der Digital Omnibus verschoben hat</title><link href="https://datargo.com/blog/ai-act-gpai-durchsetzung-2026/" rel="alternate" type="text/html"/><id>https://datargo.com/blog/ai-act-gpai-durchsetzung-2026/</id><published>2026-05-26T00:00:00+00:00</published><updated>2026-05-26T00:00:00+00:00</updated><category term="Regulierung &amp; KI"/><summary type="html">Ab August beginnt die aktive Durchsetzung der GPAI-Pflichten. Ein nüchterner Überblick, was jetzt gilt, was der Digital Omnibus vom Mai 2026 verschoben hat und welche Fristen bleiben.</summary><content type="html">&lt;p&gt;Der EU AI Act gilt seit August 2024, doch viele seiner Pflichten greifen gestaffelt. Ein Datum sticht heraus: Am &lt;strong&gt;2. August 2026&lt;/strong&gt; beginnt die aktive Durchsetzung gegenüber Anbietern von General-Purpose-AI-Modellen (GPAI) durch das EU AI Office, und parallel werden die nationalen Sanktionsregime wirksam. In Deutschland greift dazu das KI-Maßnahmen- und Innovationsgesetz (KI-MIG). Wer KI einsetzt oder bereitstellt, sollte den Stichtag kennen, aber auch die jüngsten Verschiebungen.&lt;/p&gt;
&lt;h2 id="was-am-2-august-2026-beginnt"&gt;Was am 2. August 2026 beginnt&lt;/h2&gt;
&lt;p&gt;Die Pflichten für GPAI-Modelle sind seit August 2025 anwendbar. Was im August 2026 dazukommt, ist die Durchsetzung: Ein Jahr nach Anwendbarkeit erhält das AI Office die Befugnisse, sie auch tatsächlich zu vollziehen. Dazu gehören Informationsanforderungen, der Zugang zu Modellen und, als äußerstes Mittel, der Rückruf eines Modells. Aus einer Pflicht auf dem Papier wird damit eine durchsetzbare Pflicht.&lt;/p&gt;
&lt;p&gt;Für die meisten Unternehmen ist nicht die Rolle des GPAI-Anbieters relevant, sondern die des Betreibers oder Anbieters nachgelagerter Systeme. Auch sie sollten wissen, welche Transparenz- und Dokumentationspflichten zu welchem Zeitpunkt greifen.&lt;/p&gt;
&lt;h2 id="was-der-digital-omnibus-vom-mai-2026-verschoben-hat"&gt;Was der Digital Omnibus vom Mai 2026 verschoben hat&lt;/h2&gt;
&lt;p&gt;Am 7. Mai 2026 hat die EU mit dem sogenannten Digital Omnibus einzelne Teilpflichten zeitlich gestreckt. Das ändert nichts am August-Stichtag für die GPAI-Durchsetzung, verschiebt aber andere Bausteine:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Hochrisiko-Systeme nach Anhang III:&lt;/strong&gt; verschoben auf den 2. Dezember 2027.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Hochrisiko-Systeme nach Anhang I:&lt;/strong&gt; verschoben auf den 2. August 2028.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Transparenzpflichten nach Artikel 50&lt;/strong&gt; (etwa Kennzeichnung von KI-generierten Inhalten): verschoben auf den 2. Dezember 2026.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;KI-Reallabore:&lt;/strong&gt; verschoben auf den 2. August 2027.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Diese Streckung ist kein Freibrief. Sie verschafft Zeit für die anspruchsvolleren Hochrisiko-Anforderungen, lässt aber die GPAI-Durchsetzung und die nationalen Sanktionen zum August unberührt.&lt;/p&gt;
&lt;h2 id="was-das-praktisch-heißt"&gt;Was das praktisch heißt&lt;/h2&gt;
&lt;p&gt;Drei Aufgaben sind unabhängig vom genauen Datum sinnvoll. Erstens eine Bestandsaufnahme: Welche KI-Systeme setzt das Unternehmen ein oder stellt es bereit, und in welche Risikoklasse fallen sie? Ohne diese Klarheit lässt sich keine Frist sinnvoll planen. Zweitens die Transparenz: Ab Dezember 2026 verlangt Artikel 50, dass bestimmte KI-Interaktionen und KI-generierte Inhalte erkennbar gemacht werden. Drittens die Dokumentation, denn die Durchsetzung ab August stützt sich darauf, dass Pflichten nicht nur erfüllt, sondern auch belegt sind.&lt;/p&gt;
&lt;p&gt;Dieser letzte Punkt verbindet den AI Act mit den übrigen Compliance-Regimen. Ob NIS2, DORA oder AI Act: Die wiederkehrende Anforderung ist eine nachvollziehbare, auditierbare Spur dessen, was ein System tut und wer es verantwortet. Eine Plattform, die diese Spur ohnehin als Nebenprodukt des Betriebs erzeugt, erleichtert die Vorbereitung, gleich für welches Regime. Die Aufgabe selbst bleibt jedoch dieselbe: erst wissen, was man betreibt, dann belegen, dass es den Regeln entspricht.&lt;/p&gt;
&lt;p&gt;Der 2. August 2026 ist kein abstrakter Termin. Er ist der Punkt, an dem die GPAI-Pflichten Zähne bekommen. Was der Digital Omnibus verschoben hat, betrifft die Hochrisiko-Schiene, nicht diesen Kern.&lt;/p&gt;</content></entry><entry><title>SD-JWT VC und OpenID4VP: die Protokolle hinter dem EUDI-Wallet</title><link href="https://datargo.com/blog/eudi-wallet-protokolle-sdjwt-openid4vp/" rel="alternate" type="text/html"/><id>https://datargo.com/blog/eudi-wallet-protokolle-sdjwt-openid4vp/</id><published>2026-05-12T00:00:00+00:00</published><updated>2026-05-12T00:00:00+00:00</updated><category term="Digitale Identität"/><summary type="html">Wie eine prüfende Stelle ein Wallet-Attribut tatsächlich validiert: ein technischer Blick auf selektive Offenlegung, Präsentationsprotokolle und Vertrauenslisten hinter dem EUDI-Wallet.</summary><content type="html">&lt;p&gt;Über das EUDI-Wallet wird viel auf der politischen und organisatorischen Ebene gesprochen: Bereitstellung durch die Mitgliedstaaten bis Ende 2026, Registrierungspflichten, Akzeptanzfristen. Wer das Wallet aber tatsächlich akzeptieren will, steht irgendwann vor einer technischen Frage: Wie prüfe ich konkret, dass ein vorgelegtes Attribut echt, gültig und für meinen Zweck ausreichend ist? Dieser Beitrag schaut auf die Verifikationsseite und die Bausteine, die dort zusammenkommen.&lt;/p&gt;
&lt;h2 id="drei-formate-ein-zusammenspiel"&gt;Drei Formate, ein Zusammenspiel&lt;/h2&gt;
&lt;p&gt;Die Architecture and Reference Framework (ARF), inzwischen in Version 2.x, legt die technischen Standards fest. Für akzeptierende Stellen sind drei davon zentral.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;SD-JWT VC&lt;/strong&gt; (Selective Disclosure JWT Verifiable Credential) ist ein Nachweisformat, das selektive Offenlegung ermöglicht. Der Aussteller signiert ein Bündel von Attributen, aber so, dass die nutzende Person einzelne davon offenlegen kann, ohne die übrigen preiszugeben. Technisch geschieht das über Salted Hashes: Jedes Attribut wird einzeln gehasht, signiert wird über die Hashes. Wer ein Attribut zeigt, liefert den passenden Klartext und Salt mit, der Rest bleibt verborgen, die Signatur bleibt prüfbar.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;ISO/IEC 18013-5 (mdoc)&lt;/strong&gt; ist das aus dem mobilen Führerschein stammende Format, das im EUDI-Kontext für bestimmte Nachweise parallel genutzt wird. Eine akzeptierende Stelle sollte beide Formate verarbeiten können, da die Mitgliedstaaten nicht überall identisch vorgehen.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;OpenID for Verifiable Presentations (OpenID4VP)&lt;/strong&gt; ist das Protokoll, über das die Präsentation läuft. Es definiert, wie eine prüfende Stelle eine Anfrage stellt (welche Attribute, zu welchem Zweck) und wie das Wallet die Antwort signiert zurückliefert.&lt;/p&gt;
&lt;h2 id="was-selektive-offenlegung-praktisch-ändert"&gt;Was selektive Offenlegung praktisch ändert&lt;/h2&gt;
&lt;p&gt;Das gängige Beispiel ist die Altersprüfung. Statt das volle Geburtsdatum zu übertragen, kann das Wallet allein das abgeleitete Attribut „über 18&amp;quot; offenlegen. Für die akzeptierende Stelle heißt das: Sie sollte ihre Anfragen so formulieren, dass sie genau das Prädikat erhält, das sie braucht, nicht den vollständigen Datensatz dahinter. Datenminimierung ist hier kein nachgelagerter Datenschutzgedanke, sondern in das Protokoll eingebaut.&lt;/p&gt;
&lt;h2 id="der-schwierige-teil-vertrauen-statt-gültigkeit"&gt;Der schwierige Teil: Vertrauen statt Gültigkeit&lt;/h2&gt;
&lt;p&gt;Eine Signatur zu prüfen ist die leichte Aufgabe. Die schwierige ist die Frage dahinter: Ist der Aussteller, der dieses Attribut signiert hat, überhaupt berechtigt und echt? Hier kommen &lt;strong&gt;Vertrauenslisten&lt;/strong&gt; ins Spiel. Die EU und die Mitgliedstaaten führen Register, über die eine prüfende Stelle verlässlich feststellt, ob ein Wallet und seine Aussteller authentisch und zugelassen sind. Ohne diese Anbindung prüft man zwar eine korrekte Signatur, weiß aber nicht, ob die dahinterstehende Identität vertrauenswürdig ist.&lt;/p&gt;
&lt;p&gt;Genauso wichtig ist die umgekehrte Richtung: Die prüfende Stelle selbst muss sich vor der ersten Nutzung bei einem nationalen Register registrieren und dabei angeben, welche Attribute sie zu welchem Zweck anfragt. Erst diese Registrierung ist die rechtliche Grundlage, überhaupt Daten anfragen zu dürfen.&lt;/p&gt;
&lt;h2 id="warum-sich-der-blick-auf-standards-lohnt"&gt;Warum sich der Blick auf Standards lohnt&lt;/h2&gt;
&lt;p&gt;Wer auf die offenen Formate und Protokolle setzt statt auf proprietäre Adapter, hält die Wallets unterschiedlicher Mitgliedstaaten in Reichweite, ohne pro Land neu integrieren zu müssen. In unserem Modul Datargo ID ist diese akzeptierende Rolle der rote Faden, vom Single Sign-On bis zum EUDI-Pfad. Der technische Kern gilt jedoch unabhängig vom Werkzeug: Wer SD-JWT VC, mdoc und OpenID4VP verarbeiten kann und die Vertrauenslisten korrekt anbindet, ist für die Verifikation gerüstet, gleich aus welchem Mitgliedstaat das Wallet stammt.&lt;/p&gt;
&lt;p&gt;Die Bereitstellung des Wallets ist eine politische Frist. Die Verifikation sauber aufzusetzen ist eine technische Aufgabe, und sie beginnt mit dem Verständnis dieser drei Bausteine.&lt;/p&gt;</content></entry><entry><title>Strukturierte E-Rechnungen GoBD-konform aufbewahren: die 8-Jahres-Frage</title><link href="https://datargo.com/blog/e-rechnung-archivierung-gobd/" rel="alternate" type="text/html"/><id>https://datargo.com/blog/e-rechnung-archivierung-gobd/</id><published>2026-04-21T00:00:00+00:00</published><updated>2026-04-21T00:00:00+00:00</updated><category term="Buchhaltung &amp; Compliance"/><summary type="html">Ab 2027 wird die strukturierte E-Rechnung zum Pflichtformat. Was revisionssichere Aufbewahrung, die verkürzte 8-Jahres-Frist und der Unterschied zwischen Sichtkopie und maßgeblichem Datensatz praktisch bedeuten.</summary><content type="html">&lt;p&gt;Die Diskussion um die E-Rechnung dreht sich meist um das Ausstellen und Empfangen. Die unauffälligere, aber langlebigere Pflicht beginnt erst danach: die Aufbewahrung. Eine strukturierte Rechnung ist kein Dokument im klassischen Sinn, sondern ein Datensatz, und der muss über Jahre unveränderbar und maschinell auswertbar erhalten bleiben. Wer das beim Aufbau seiner Prozesse mitdenkt, vermeidet später teure Nacharbeit.&lt;/p&gt;
&lt;h2 id="was-sich-an-der-frist-geändert-hat"&gt;Was sich an der Frist geändert hat&lt;/h2&gt;
&lt;p&gt;Lange galt für Buchungsbelege eine zehnjährige Aufbewahrungsfrist. Das vierte Bürokratieentlastungsgesetz (BEG IV) hat sie zum 1. Januar 2025 auf &lt;strong&gt;acht Jahre&lt;/strong&gt; verkürzt. Die neue Frist gilt für alle Belege, deren bisherige Zehnjahresfrist zu diesem Zeitpunkt noch nicht abgelaufen war.&lt;/p&gt;
&lt;p&gt;Zwei Einschränkungen sind wichtig. Erstens betrifft die Verkürzung Buchungsbelege wie Rechnungen, Quittungen und Zahlungsbelege. Jahresabschlüsse und die Verfahrensdokumentation bleiben bei zehn Jahren. Zweitens ist die kürzere Frist nicht nur eine Erleichterung: Wer Belege nach acht statt zehn Jahren löschen darf, sollte sein Löschkonzept entsprechend anpassen, auch mit Blick auf die DSGVO. Eine pauschale Verlängerung „sicherheitshalber&amp;quot; steht im Spannungsverhältnis zur Pflicht, personenbezogene Daten nicht länger als nötig vorzuhalten.&lt;/p&gt;
&lt;h2 id="was-revisionssicher-technisch-verlangt"&gt;Was „revisionssicher&amp;quot; technisch verlangt&lt;/h2&gt;
&lt;p&gt;Die GoBD fordern für aufbewahrungspflichtige elektronische Unterlagen im Kern drei Eigenschaften: Unveränderbarkeit, vollständige und zeitgerechte Erfassung sowie jederzeitige Verfügbarkeit und maschinelle Auswertbarkeit über die gesamte Frist. Unveränderbarkeit heißt nicht, dass eine Datei in einem Ordner liegt, den niemand anfasst. Sie heißt, dass nachträgliche Änderungen technisch ausgeschlossen oder lückenlos protokolliert sind und dass der Originalzustand wiederherstellbar bleibt.&lt;/p&gt;
&lt;p&gt;Für strukturierte Formate kommt eine zweite Anforderung hinzu, die oft unterschätzt wird.&lt;/p&gt;
&lt;h2 id="sichtkopie-ist-nicht-gleich-datensatz"&gt;Sichtkopie ist nicht gleich Datensatz&lt;/h2&gt;
&lt;p&gt;Eine XRechnung ist ein reiner XML-Datensatz. ZUGFeRD ist hybrid: ein PDF mit eingebettetem XML. Der entscheidende Punkt: Aufbewahrungspflichtig ist der &lt;strong&gt;strukturierte Datensatz&lt;/strong&gt;, nicht eine daraus erzeugte PDF-Sichtkopie. Wer eine eingehende XRechnung als PDF ausdruckt oder rendert und nur dieses Bild archiviert, hat den maßgeblichen Beleg nicht GoBD-konform aufbewahrt. Das Original ist die XML-Struktur, und genau sie muss über acht Jahre unverändert und auswertbar vorliegen.&lt;/p&gt;
&lt;p&gt;Das hat Folgen für die Architektur. Es reicht nicht, am Eingang eine schöne Ansicht zu erzeugen. Der Datensatz muss in seiner strukturierten Form abgelegt, indexiert und gegen Veränderung gesichert werden. Eine Verfahrensdokumentation hält fest, wie genau dieser Weg verläuft: vom Empfang über die Prüfung bis zur Ablage.&lt;/p&gt;
&lt;h2 id="wo-das-in-der-praxis-zusammenläuft"&gt;Wo das in der Praxis zusammenläuft&lt;/h2&gt;
&lt;p&gt;Spätestens ab 2027, wenn die strukturierte E-Rechnung im inländischen B2B-Verkehr zum Regelfall wird, treffen drei Dinge aufeinander: das Format (XRechnung oder ZUGFeRD nach EN 16931), die Buchung im kaufmännischen Kern und die revisionssichere Ablage. In unserem Modul Datargo ERP sind E-Rechnung nach EN 16931 und GoBD-Buchhaltung als ein durchgehender Weg angelegt, doch die Anforderung selbst ist werkzeugunabhängig: Der maßgebliche Datensatz muss unverändert, auswertbar und für die volle Frist auffindbar bleiben.&lt;/p&gt;
&lt;p&gt;Die 8-Jahres-Frist klingt nach weniger Aufwand als die alte. In der Sache verlagert sie den Aufwand nur: weg vom Löschen, hin zu sauberer Aufbewahrung des richtigen Objekts, nämlich des Datensatzes, nicht seines Abbilds.&lt;/p&gt;</content></entry><entry><title>NIS2 in der Praxis: Von der Meldepflicht zum belastbaren Nachweis</title><link href="https://datargo.com/blog/nis2-praxis-nachweis/" rel="alternate" type="text/html"/><id>https://datargo.com/blog/nis2-praxis-nachweis/</id><published>2026-04-14T00:00:00+00:00</published><updated>2026-04-14T00:00:00+00:00</updated><category term="NIS2 &amp; Resilienz"/><summary type="html">Seit Dezember 2025 ist NIS2 deutsches Recht. Was Monitoring, Meldung und Logging im Prüfungsfall wirklich belegen müssen, und wo Unternehmen jetzt stehen.</summary><content type="html">&lt;p&gt;Seit dem 6. Dezember 2025 ist NIS2 in Deutschland geltendes Recht. Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde am 13. November 2025 vom Bundestag beschlossen, am 20. November vom Bundesrat bestätigt und ist ohne Übergangsfrist in Kraft getreten. Betroffen sind rund 29.500 Unternehmen in 18 Sektoren. Die BSI-Registrierungsfrist am 6. März 2026 ist verstrichen, eine verspätete Registrierung bleibt möglich und ist ratsam.&lt;/p&gt;
&lt;p&gt;Viele Häuser haben die Umsetzung als Registrierungs- und Dokumentationsaufgabe behandelt. Der schwierigere Teil beginnt danach: im Ernstfall belegen zu können, was passiert ist.&lt;/p&gt;
&lt;h2 id="die-uhr-läuft-in-stunden-nicht-in-wochen"&gt;Die Uhr läuft in Stunden, nicht in Wochen&lt;/h2&gt;
&lt;p&gt;Die Meldepflichten (§32) sind gestuft und eng getaktet. Bei einem erheblichen Sicherheitsvorfall gilt: Frühwarnung innerhalb von 24 Stunden, Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats. Diese Fristen lassen sich nur halten, wenn ein Vorfall schnell erkannt und nachvollziehbar rekonstruiert werden kann. Wer erst beim Schreiben der Meldung merkt, dass die nötigen Daten fehlen, hat die Frist faktisch schon gerissen.&lt;/p&gt;
&lt;h2 id="was-der-prüfer-sehen-will"&gt;Was der Prüfer sehen will&lt;/h2&gt;
&lt;p&gt;§30 verlangt Risikomanagementmaßnahmen: Monitoring, Logging, Incident Handling, Business Continuity und Lieferkettensicherheit. Der entscheidende Unterschied liegt zwischen &amp;ldquo;wir betreiben Monitoring&amp;rdquo; und &amp;ldquo;wir können belegen, was wann passiert ist&amp;rdquo;. Eine Aufsicht akzeptiert keine Absichtserklärung, sie will Evidenz.&lt;/p&gt;
&lt;p&gt;Belastbar ist ein Nachweis dann, wenn er drei Eigenschaften hat:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Lückenlos:&lt;/strong&gt; Erkennung, Eskalation und Reaktion sind durchgängig zeitgestempelt, ohne dunkle Phasen im Verlauf.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Unveränderbar:&lt;/strong&gt; Logs und Incident-Verläufe liegen append-only vor, nachträglich nicht still korrigierbar.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Rekonstruierbar:&lt;/strong&gt; Aus dem Trail lässt sich die Vorfallchronik so ableiten, dass sie auf die 24-, 72- und 30-Tage-Fristen abbildet.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Genau hier scheitern viele Setups: Monitoring ist vorhanden, aber die Daten liegen verstreut, sind überschreibbar oder lassen sich nicht zu einer prüffesten Chronik zusammenfügen.&lt;/p&gt;
&lt;h2 id="verantwortung-lässt-sich-nicht-delegieren"&gt;Verantwortung lässt sich nicht delegieren&lt;/h2&gt;
&lt;p&gt;§38 nimmt die Geschäftsleitung in die Pflicht, die Maßnahmen zu billigen und ihre Umsetzung zu überwachen. Diese Verantwortung ist nicht an die IT abtretbar. §65 setzt den Rahmen mit Bußgeldern von bis zu 10 Millionen Euro. Das verschiebt NIS2 von einer technischen zu einer Leitungsaufgabe.&lt;/p&gt;
&lt;h2 id="was-jetzt-sinnvoll-ist"&gt;Was jetzt sinnvoll ist&lt;/h2&gt;
&lt;p&gt;Drei Schritte zahlen unmittelbar ein: die eigenen Pflichten sauber auf §30 und §32 mappen; die Erkennung so aufstellen, dass die 24-Stunden-Frühwarnung realistisch erreichbar ist; und die Protokollierung auf unveränderbare, ausreichend lang aufbewahrte Trails umstellen. Ein einmal durchgespielter Meldeablauf zeigt schnell, wo die Chronik reißt.&lt;/p&gt;
&lt;p&gt;In unserem Modul Datargo Monitor sind Monitoring, Security Posture und ein append-only Audit-Trail so verbunden, dass sich NIS2-Evidenz on demand erzeugen lässt. Der eigentliche Punkt ist aber unabhängig vom Werkzeug, nämlich Erkennung und Protokollierung so zu führen, dass am Ende eine prüffeste Chronik steht und nicht eine Sammlung verstreuter Logzeilen.&lt;/p&gt;
&lt;p&gt;NIS2 fragt nicht, ob Sie Monitoring betreiben. Es fragt, ob Sie es beweisen können.&lt;/p&gt;</content></entry><entry><title>ACME jenseits des Webservers: Zertifikatsautomatisierung für interne Dienste und mTLS</title><link href="https://datargo.com/blog/acme-interne-pki-mtls/" rel="alternate" type="text/html"/><id>https://datargo.com/blog/acme-interne-pki-mtls/</id><published>2026-03-17T00:00:00+00:00</published><updated>2026-03-17T00:00:00+00:00</updated><category term="PKI &amp; Zertifikate"/><summary type="html">Kurze Laufzeiten lassen sich nur automatisiert beherrschen. Warum interne PKI, Service-Mesh und mTLS anderen Mustern folgen als das öffentliche Web und wie ACME auch hinter der Firewall funktioniert.</summary><content type="html">&lt;p&gt;Die Verkürzung öffentlicher TLS-Laufzeiten auf perspektivisch 47 Tage hat ein Bewusstsein dafür geschaffen, dass manuelle Erneuerung nicht mehr skaliert. Was dabei oft übersehen wird: Im Inneren eines Unternehmens stecken meist deutlich mehr Zertifikate als an der nach außen sichtbaren Kante. Service-zu-Service-Kommunikation, mTLS in einem Service-Mesh, interne APIs und Datenbankverbindungen leben alle von Zertifikaten, und diese folgen anderen Mustern als das öffentliche Web.&lt;/p&gt;
&lt;h2 id="warum-intern-nicht-einfacher-heißt"&gt;Warum „intern&amp;quot; nicht „einfacher&amp;quot; heißt&lt;/h2&gt;
&lt;p&gt;Am öffentlichen Webserver ist die Lage übersichtlich: eine Handvoll Domains, eine öffentliche CA, ein klar definierter Validierungsweg. Im Inneren kehrt sich das Verhältnis um. Hier gibt es oft hunderte oder tausende kurzlebiger Endpunkte, die dynamisch entstehen und vergehen, etwa wenn ein Orchestrator neue Container startet. Eine interne CA stellt für sie Zertifikate aus, die niemand öffentlich sieht, die aber genauso ablaufen, sich genauso erneuern müssen und im Fehlerfall genauso einen Dienst lahmlegen.&lt;/p&gt;
&lt;p&gt;Der Unterschied zur öffentlichen Welt ist also nicht geringere Bedeutung, sondern höhere Frequenz und Dynamik. Bei mTLS, wo sich beide Seiten gegenseitig mit einem Zertifikat ausweisen, verdoppelt sich die Zahl der zu verwaltenden Identitäten zusätzlich.&lt;/p&gt;
&lt;h2 id="acme-ist-nicht-nur-für-lets-encrypt"&gt;ACME ist nicht nur für Let&amp;rsquo;s Encrypt&lt;/h2&gt;
&lt;p&gt;ACME (RFC 8555) ist als Protokoll für die automatische Ausstellung und Erneuerung bekannt geworden, vor allem über Let&amp;rsquo;s Encrypt im öffentlichen Web. Das Protokoll selbst ist aber CA-agnostisch. Eine interne CA kann eine ACME-Schnittstelle anbieten, und dann erneuern sich interne Dienste nach demselben Mechanismus selbst, ohne dass jemand ein Zertifikat von Hand bestellt.&lt;/p&gt;
&lt;p&gt;Für die interne Validierung greifen dabei andere Challenge-Typen als im öffentlichen Web. Die HTTP-Challenge, die für öffentliche Domains üblich ist, passt selten zu internen Diensten. Stattdessen kommen DNS-basierte Verfahren oder, je nach Umgebung, an die Plattform gebundene Identitätsnachweise zum Zug. Service-Meshes lösen das teils intern über eine eigene Identitätsschicht und kurzlebige Zertifikate mit Lebensdauern von Stunden statt Wochen.&lt;/p&gt;
&lt;h2 id="was-den-unterschied-macht"&gt;Was den Unterschied macht&lt;/h2&gt;
&lt;p&gt;Drei Fähigkeiten entscheiden darüber, ob interne Automatisierung trägt.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Discovery auch nach innen.&lt;/strong&gt; Der gefährliche Ausfall ist selten das gepflegte Frontend-Zertifikat. Es ist das vergessene Zertifikat auf einem internen Dienst, einer Appliance oder in einem Cluster, den niemand mehr aktiv beobachtet. Ein Inventar muss interne Endpunkte ebenso erfassen wie öffentliche.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Eine CA-agnostische Sicht.&lt;/strong&gt; In gewachsenen Umgebungen existieren meist mehrere CAs nebeneinander: eine öffentliche für die Außenkante, eine oder mehrere interne, dazu vielleicht eine Cloud-eigene. Eine Verwaltung, die über alle hinweg einen einheitlichen Blick und einheitliche Erneuerung bietet, verhindert, dass jede CA ihre eigene Insel mit eigenen Lücken wird.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Erneuerung mit Kontrolle.&lt;/strong&gt; Vollautomatik ist das Ziel, aber nicht um den Preis verlorener Nachvollziehbarkeit. Wo es nötig ist, gehört zum automatischen Renewal ein dokumentierter Genehmigungs- und Protokollschritt, damit auch bei hoher Frequenz nachvollziehbar bleibt, was wann ausgestellt wurde.&lt;/p&gt;
&lt;p&gt;Genau dieses Muster, Discovery zuerst, dann CA-agnostische Automatisierung mit Approval, liegt unserem Modul NextPKI zugrunde. Die Stoßrichtung gilt jedoch unabhängig vom Werkzeug: Wer die kurzen Laufzeiten der Außenkante beherrscht, aber das Innere übersieht, hat das eigentliche Volumen nicht im Griff.&lt;/p&gt;
&lt;p&gt;Die 47-Tage-Diskussion ist ein guter Anlass, den Blick zu weiten. Die meisten Zertifikate eines Unternehmens stehen nicht im Schaufenster, sondern im Maschinenraum.&lt;/p&gt;</content></entry><entry><title>DORA für IKT-Dienstleister: Drittparteienrisiko und Incident-Reporting</title><link href="https://datargo.com/blog/dora-drittparteienrisiko/" rel="alternate" type="text/html"/><id>https://datargo.com/blog/dora-drittparteienrisiko/</id><published>2025-12-09T00:00:00+00:00</published><updated>2025-12-09T00:00:00+00:00</updated><category term="DORA &amp; Finanzsektor"/><summary type="html">Seit Januar 2025 gilt DORA im Finanzsektor, mit Folgen für jeden Zulieferer. Was Auslagerungsregister, Meldeketten und die ersten kritischen Einstufungen bedeuten.</summary><content type="html">&lt;p&gt;DORA, der Digital Operational Resilience Act (Verordnung (EU) 2022/2554), gilt seit dem 17. Januar 2025 für den europäischen Finanzsektor. Seit dem 19. November 2025 ist die Aufsicht konkret geworden: Die europäischen Aufsichtsbehörden EBA, EIOPA und ESMA haben die erste offizielle Liste von 19 als kritisch eingestuften IKT-Drittdienstleistern veröffentlicht, darunter AWS, Google Cloud, Microsoft, Oracle, SAP, IBM und die Deutsche Telekom. Die Liste wird jährlich fortgeschrieben.&lt;/p&gt;
&lt;p&gt;Die naheliegende Reaktion vieler IT-Dienstleister lautet: betrifft mich nicht, ich bin keine Bank. Das ist ein Trugschluss. DORA wandert über die Lieferkette.&lt;/p&gt;
&lt;h2 id="warum-die-verordnung-jeden-zulieferer-erreicht"&gt;Warum die Verordnung jeden Zulieferer erreicht&lt;/h2&gt;
&lt;p&gt;Finanzunternehmen tragen das Risiko ihrer IKT-Auslagerungen selbst und müssen es nachweisbar steuern. Bis zum 30. April 2025 mussten sie ihr Informationsregister melden, ein vollständiges Verzeichnis aller vertraglichen Vereinbarungen mit IKT-Drittdienstleistern. Damit ist jede Auslagerung für die Aufsicht sichtbar, auch die zu nicht kritischen Anbietern.&lt;/p&gt;
&lt;p&gt;Was das Finanzunternehmen an Pflichten trägt, reicht es vertraglich an seine Dienstleister weiter. In der Praxis verlangen Finanzkunden inzwischen:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;DORA-konforme Vertragsklauseln&lt;/strong&gt; mit klaren Leistungs-, Sicherheits- und Beendigungsregelungen.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Audit- und Zugangsrechte&lt;/strong&gt;, damit Kunde und Aufsicht prüfen können.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Transparenz über Sub-Auslagerung&lt;/strong&gt;, also wer hinter dem Dienstleister noch beteiligt ist.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Meldeketten bei Vorfällen&lt;/strong&gt;, schnell genug, damit der Finanzkunde seine eigenen Fristen hält.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Exit- und Kontinuitätspläne&lt;/strong&gt; sowie Nachweise aus Resilienz-Tests.&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id="incident-reporting-ist-eine-kette-kein-formular"&gt;Incident-Reporting ist eine Kette, kein Formular&lt;/h2&gt;
&lt;p&gt;DORA verlangt für schwerwiegende IKT-Vorfälle eine gestufte Meldung: eine Erstmeldung binnen weniger Stunden nach Einstufung, einen Zwischenbericht und einen Abschlussbericht binnen eines Monats. Für Zulieferer heißt das: Der Vorfall muss nicht nur intern erkannt, sondern der Finanzkunde so rechtzeitig informiert werden, dass dieser seine regulatorische Uhr einhalten kann. Wer hier zu spät oder zu vage meldet, gefährdet die Compliance des Kunden und damit die eigene Geschäftsbeziehung.&lt;/p&gt;
&lt;h2 id="kritisch-eingestuft-heißt-direkte-aufsicht"&gt;Kritisch eingestuft heißt direkte Aufsicht&lt;/h2&gt;
&lt;p&gt;Wer als kritischer IKT-Drittdienstleister benannt wird, untersteht der direkten Aufsicht eines federführenden Overseers auf EU-Ebene. Da die Liste jährlich aktualisiert wird, ist die Einstufung kein statischer Zustand: Wer heute nicht gelistet ist, kann es mit wachsender Bedeutung im Finanzsektor werden.&lt;/p&gt;
&lt;h2 id="was-jetzt-sinnvoll-ist"&gt;Was jetzt sinnvoll ist&lt;/h2&gt;
&lt;p&gt;Für IKT-Dienstleister mit Finanzkunden lohnt sich, die eigenen Verträge auf DORA-Klauseln zu prüfen, die Sub-Auslagerung sauber zu dokumentieren und die Vorfallmeldung so zu proben, dass die Kette bis zum Finanzkunden in Stunden trägt. In unserem Modul Datargo Monitor greifen Monitoring, Incident-Engine und ein append-only Audit-Trail so ineinander, dass sich die Nachweise für solche Meldeketten erzeugen lassen. Der eigentliche Punkt ist aber unabhängig vom Werkzeug, nämlich die eigene Resilienz so zu dokumentieren, dass der Finanzkunde sich darauf verlassen kann.&lt;/p&gt;
&lt;p&gt;DORA ist kein reines Bankenthema. Es ist die Anforderung, die Ihre Finanzkunden ab sofort an Sie weiterreichen.&lt;/p&gt;</content></entry><entry><title>Post-Quantum-Kryptografie: Warum die Migration 2026 beginnt, nicht 2030</title><link href="https://datargo.com/blog/post-quantum-migration/" rel="alternate" type="text/html"/><id>https://datargo.com/blog/post-quantum-migration/</id><published>2025-09-16T00:00:00+00:00</published><updated>2025-09-16T00:00:00+00:00</updated><category term="Krypto &amp; PKI"/><summary type="html">Mit den finalen NIST-Standards und 'harvest now, decrypt later' wird Krypto-Agilität zur Betriebsaufgabe. Ein praxisnaher Einstieg in Inventar und schrittweise Umstellung.</summary><content type="html">&lt;p&gt;Seit August 2024 sind die ersten drei Post-Quantum-Standards final. NIST hat FIPS 203 (ML-KEM, abgeleitet von Kyber), FIPS 204 (ML-DSA, aus Dilithium) und FIPS 205 (SLH-DSA, aus SPHINCS+) veröffentlicht und damit einen achtjährigen Auswahlprozess abgeschlossen. Viele lesen die Schlagzeile, sehen die oft genannte Jahreszahl 2030 und legen das Thema wieder weg. Das ist ein Missverständnis: 2030 ist eine Frist, kein Startschuss.&lt;/p&gt;
&lt;h2 id="harvest-now-decrypt-later-macht-die-sache-dringend"&gt;&amp;ldquo;Harvest now, decrypt later&amp;rdquo; macht die Sache dringend&lt;/h2&gt;
&lt;p&gt;Die Bedrohung wartet nicht auf den ersten leistungsfähigen Quantenrechner. Angreifer fangen heute verschlüsselten Verkehr ab und speichern ihn, um ihn später zu entschlüsseln. Alles, was lange schützenswert bleibt, ist damit schon jetzt exponiert: Verträge, Gesundheits- und Personaldaten, langlebige Schlüssel, geistiges Eigentum, Staats- und Geschäftsgeheimnisse. Für diese Daten zählt nicht, wann ein Quantenrechner praktisch wird, sondern wie lange sie geheim bleiben müssen.&lt;/p&gt;
&lt;p&gt;Die NSA setzt mit CNSA 2.0 das Jahr 2030 als verbindliche Frist für nationale Sicherheitssysteme. Das BSI rät seit Jahren zur frühzeitigen Umstellung und zu Krypto-Agilität. Beides beschreibt ein Ziel, keinen bequemen Aufschub.&lt;/p&gt;
&lt;h2 id="warum-die-umstellung-jahre-dauert"&gt;Warum die Umstellung Jahre dauert&lt;/h2&gt;
&lt;p&gt;Wer einmal versucht hat, den eigenen Kryptografie-Bestand zu inventarisieren, kennt das Problem: Niemand weiß genau, wo überall welche Algorithmen, Schlüssel und Zertifikate im Einsatz sind. Hinzu kommen Abhängigkeiten von Bibliotheken, Hardware, Protokollen und Partnern, die nicht im eigenen Takt migrieren. Eine PQC-Umstellung ist deshalb kein Schalter, sondern ein mehrjähriges Programm.&lt;/p&gt;
&lt;p&gt;Der Weg ist in der Reihenfolge klar:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Inventarisieren:&lt;/strong&gt; sichtbar machen, wo welche Kryptografie steckt, inklusive eingebetteter und vergessener Nutzung.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Priorisieren:&lt;/strong&gt; zuerst die langlebigen Daten, die heute schon dem Harvest-now-Risiko unterliegen.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Krypto-Agilität herstellen:&lt;/strong&gt; Algorithmen so kapseln, dass sie ohne Codeänderung im aufrufenden System wechselbar sind.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Hybrid pilotieren:&lt;/strong&gt; klassische und Post-Quantum-Verfahren parallel, um Interoperabilität und Performance zu prüfen.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Automatisieren und fordern:&lt;/strong&gt; Erneuerung automatisieren und Lieferanten verbindlich auf PQC-Fähigkeit verpflichten.&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id="krypto-agilität-ist-der-eigentliche-hebel"&gt;Krypto-Agilität ist der eigentliche Hebel&lt;/h2&gt;
&lt;p&gt;Der häufigste Denkfehler ist, PQC als einmaligen Austausch zu sehen. Die Algorithmen werden sich weiterentwickeln, Parameter werden nachgeschärft, einzelne Verfahren könnten fallen. Was bleibt, ist die Anforderung, Algorithmen wechseln zu können, ohne jedes aufrufende System anzufassen. Wer diese Agilität heute einbaut, übersteht nicht nur die erste PQC-Welle, sondern auch die nächste.&lt;/p&gt;
&lt;p&gt;In unserem Modul NextPKI ist genau das angelegt: krypto-agil von Anfang an, RSA, ECDSA und Ed25519 heute, Post-Quantum-Verfahren vorbereitet, mit Policy je Tenant. Der eigentliche Punkt ist aber unabhängig vom Werkzeug, nämlich Agilität als Eigenschaft zu bauen und nicht als spätere Migration.&lt;/p&gt;
&lt;p&gt;2026 ist das Jahr, in dem Inventar und Pilot stehen sollten. Dann ist 2030 nur noch der Abschluss, kein Schreckdatum.&lt;/p&gt;</content></entry><entry><title>E-Rechnungspflicht in Deutschland: Der Stufenplan 2025 bis 2028 ohne Mythen</title><link href="https://datargo.com/blog/e-rechnungspflicht-stufenplan/" rel="alternate" type="text/html"/><id>https://datargo.com/blog/e-rechnungspflicht-stufenplan/</id><published>2025-02-11T00:00:00+00:00</published><updated>2025-02-11T00:00:00+00:00</updated><category term="E-Rechnung &amp; GoBD"/><summary type="html">Empfang seit Januar 2025, Versand ab 2027 und 2028. Was EN 16931, XRechnung und ZUGFeRD unterscheidet und welche Formatfallen in der Praxis wirklich zählen.</summary><content type="html">&lt;p&gt;Seit dem 1. Januar 2025 ist die E-Rechnung im deutschen B2B-Geschäft keine Kür mehr. Die erste Stufe der neuen Pflicht gilt: Jedes inländische Unternehmen muss strukturierte elektronische Rechnungen empfangen können. Versenden muss man noch nicht zwingend elektronisch, empfangen aber schon. Rechtsgrundlage ist das Wachstumschancengesetz, das der Bundesrat am 22. März 2024 verabschiedet hat; die Details regelt das BMF-Schreiben vom 15. Oktober 2024.&lt;/p&gt;
&lt;p&gt;Rund um diese Pflicht kursieren mehr Halbwahrheiten als bei den meisten Steuerthemen. Drei davon lohnt es sich auszuräumen.&lt;/p&gt;
&lt;h2 id="mythos-1-eine-pdf-ist-eine-e-rechnung"&gt;Mythos 1: &amp;ldquo;Eine PDF ist eine E-Rechnung&amp;rdquo;&lt;/h2&gt;
&lt;p&gt;Nein. Eine E-Rechnung im Sinne der Norm EN 16931 ist ein strukturierter Datensatz, den Software ohne Medienbruch verarbeiten kann. Eine klassische PDF, auch wenn sie per E-Mail kommt, ist ab Geltung der Pflicht nur eine &amp;ldquo;sonstige Rechnung&amp;rdquo;. Maßgeblich ist das maschinenlesbare XML, nicht das Bild für das menschliche Auge.&lt;/p&gt;
&lt;p&gt;In Deutschland erfüllen zwei Formate die Norm: XRechnung, ein reines XML nach der CIUS der EN 16931, und ZUGFeRD ab Version 2, ein Hybrid aus PDF/A-3 mit eingebettetem XML. Bei ZUGFeRD führt das XML, nicht das sichtbare PDF. Wichtig dabei: Nur die Profile ab &amp;ldquo;EN 16931&amp;rdquo; (Comfort) sind normkonform. Die kleineren Profile MINIMUM und BASIC WL tragen zu wenig Daten, um als vollwertige Rechnung zu gelten.&lt;/p&gt;
&lt;h2 id="mythos-2-das-betrifft-erst-2027-und-nur-die-großen"&gt;Mythos 2: &amp;ldquo;Das betrifft erst 2027, und nur die Großen&amp;rdquo;&lt;/h2&gt;
&lt;p&gt;Der Empfang betrifft seit Januar 2025 alle. Erst der Versand ist gestaffelt:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;seit 1.1.2025: Empfangspflicht für alle inländischen Unternehmen&lt;/li&gt;
&lt;li&gt;ab 1.1.2027: Versandpflicht für Unternehmen mit mehr als 800.000 Euro Vorjahresumsatz&lt;/li&gt;
&lt;li&gt;ab 1.1.2028: Versandpflicht für alle übrigen B2B-Beziehungen&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Bis Ende 2026 dürfen Papier und unstrukturierte Formate im Einvernehmen weiter genutzt werden, für kleinere Aussteller gibt es eine zusätzliche Schonfrist bis Ende 2027. Etablierte EDI-Verfahren bleiben unter Bedingungen zulässig, müssen aber an die Norm heranreichen. Wer den Versand erst 2027 anfasst, hat trotzdem heute schon eine Empfangsbaustelle.&lt;/p&gt;
&lt;h2 id="mythos-3-empfang-heißt-nur-dass-die-mail-ankommt"&gt;Mythos 3: &amp;ldquo;Empfang heißt nur, dass die Mail ankommt&amp;rdquo;&lt;/h2&gt;
&lt;p&gt;Rechtlich genügt eine E-Mail-Adresse, damit eine E-Rechnung zugestellt werden kann. Fachlich ist das die halbe Miete. Drei Dinge gehören dazu:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Validierung:&lt;/strong&gt; Das eingehende XML sollte gegen Schema und Geschäftsregeln der EN 16931 geprüft werden, sonst landen fehlerhafte Rechnungen unbemerkt im Bestand.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Sichtbarmachung:&lt;/strong&gt; Ein Viewer, der das XML lesbar darstellt, damit Fachabteilungen ohne XML-Kenntnisse prüfen können.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;GoBD-konforme Archivierung:&lt;/strong&gt; Aufbewahrt werden muss das strukturierte Original, unveränderbar und revisionssicher verkettet, nicht nur ein PDF-Ausdruck.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Gerade der letzte Punkt wird unterschätzt. Wer ausschließlich den Sichtbeleg archiviert und das XML verwirft, hat die Rechnung im rechtlichen Sinn nicht aufbewahrt.&lt;/p&gt;
&lt;h2 id="was-jetzt-sinnvoll-ist"&gt;Was jetzt sinnvoll ist&lt;/h2&gt;
&lt;p&gt;Der Empfang ist Pflicht und sollte sauber stehen: Validierung, Viewer, revisionssicheres Archiv des XML. Parallel lohnt der Blick auf den Versand. Welche Kundenbeziehungen fallen 2027 unter die Pflicht, welche Formate erwarten die Empfänger, und wie kommt das strukturierte Original sauber aus dem eigenen System. In unserem kaufmännischen Kern Datargo ERP sind EN 16931, XRechnung und ZUGFeRD sowie die GoBD-konforme Verkettung von Beginn an angelegt. Der eigentliche Punkt ist aber unabhängig vom Werkzeug, nämlich das strukturierte Original als führenden Beleg zu behandeln und nicht als Beiwerk zur PDF.&lt;/p&gt;
&lt;p&gt;Die Pflicht kommt nicht erst 2027. Sie hat 2025 begonnen, nur eben leise, auf der Empfangsseite.&lt;/p&gt;</content></entry></feed>