<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Blog on Datargo</title><link>https://datargo.com/blog/</link><description>Recent content in Blog on Datargo</description><generator>Hugo</generator><language>de-DE</language><lastBuildDate>Tue, 23 Jun 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://datargo.com/blog/index.xml" rel="self" type="application/rss+xml"/><item><title>APIs als Teil der Lieferkette: warum Schnittstellensicherheit zur Nachweispflicht wird</title><link>https://datargo.com/blog/api-sicherheit-lieferkette/</link><pubDate>Tue, 23 Jun 2026 00:00:00 +0000</pubDate><guid>https://datargo.com/blog/api-sicherheit-lieferkette/</guid><description>&lt;p&gt;Software ist heute selten ein Monolith. Module, Partnerdienste und Mandanten reden über Schnittstellen miteinander, und genau diese APIs sind die stillen Verbindungsstücke der Lieferkette. NIS2 verlangt in der Risikobetrachtung ausdrücklich die Sicherheit der Lieferkette. Damit rückt eine Frage in den Vordergrund, die lange als rein technisch galt: Wie sicher und wie prüfbar sind die eigenen Schnittstellen?&lt;/p&gt;
&lt;h2 id="die-schnittstelle-ist-die-angriffsfläche"&gt;Die Schnittstelle ist die Angriffsfläche&lt;/h2&gt;
&lt;p&gt;Die häufigsten API-Schwachstellen sind keine exotischen Exploits, sondern Berechtigungsfehler. In der OWASP API Security Top 10 steht Broken Object Level Authorization an erster Stelle: Eine API liefert Daten aus, ohne sauber zu prüfen, ob der anfragende Account sie überhaupt sehen darf. Eine veränderte Objekt-ID im Request genügt dann, um fremde Datensätze abzurufen. Drei Kontrollpunkte entscheiden in der Praxis über die Robustheit:&lt;/p&gt;</description></item><item><title>Der EU Data Act und das Ende der Wechselgebühren: Cloud-Switching wird zur Pflicht</title><link>https://datargo.com/blog/data-act-cloud-switching/</link><pubDate>Tue, 23 Jun 2026 00:00:00 +0000</pubDate><guid>https://datargo.com/blog/data-act-cloud-switching/</guid><description>&lt;p&gt;Anbieterbindung war lange ein kommerzielles Druckmittel: Wer wechseln wollte, zahlte für den Ausgang, kämpfte mit proprietären Formaten und verlor Wochen an Migrationsarbeit. Der EU Data Act (Verordnung (EU) 2023/2854) dreht diese Logik um. Seit dem 12. September 2025 ist die Verordnung anwendbar, und ihr Kapitel VI macht den Wechsel des Cloud-Anbieters zu einem durchsetzbaren Recht der Kundinnen und Kunden.&lt;/p&gt;
&lt;h2 id="was-seit-september-2025-gilt"&gt;Was seit September 2025 gilt&lt;/h2&gt;
&lt;p&gt;Anbieter von Datenverarbeitungsdiensten (IaaS, PaaS, SaaS) müssen alle Hindernisse abbauen, die einen Wechsel erschweren, also vorkommerzielle, kommerzielle, technische, vertragliche und organisatorische Hürden. Konkret heißt das: eine maximale Kündigungsfrist von zwei Monaten, eine Übergangsphase von 30 Tagen für den eigentlichen Umzug (bei technischer Unmöglichkeit auf bis zu sieben Monate verlängerbar) und das Recht, Daten und digitale Vermögenswerte mitzunehmen. Für Neuverträge gelten diese Pflichten bereits.&lt;/p&gt;</description></item><item><title>Passkeys im Unternehmen: phishing-resistente Anmeldung jenseits von Passwort und OTP</title><link>https://datargo.com/blog/passkeys-unternehmen/</link><pubDate>Tue, 23 Jun 2026 00:00:00 +0000</pubDate><guid>https://datargo.com/blog/passkeys-unternehmen/</guid><description>&lt;p&gt;Phishing bleibt das verlässlichste Einfallstor in Unternehmensnetze, und die meisten Zweitfaktoren ändern daran wenig. Passwort plus SMS-Code, TOTP-App oder Push-Bestätigung gilt als Mehrfaktor-Authentifizierung, ist aber im Kern angreifbar: Wer die Nutzerin auf eine gefälschte Seite lockt, kann auch den Zweitfaktor in Echtzeit abgreifen. FIDO2-Passkeys setzen an genau dieser Stelle an.&lt;/p&gt;
&lt;h2 id="warum-klassische-mfa-phishbar-bleibt"&gt;Warum klassische MFA phishbar bleibt&lt;/h2&gt;
&lt;p&gt;Das Problem ist nicht die Anzahl der Faktoren, sondern ihre Übertragbarkeit. Ein Einmalcode ist ein geteiltes Geheimnis: Er funktioniert überall dort, wo er eingegeben wird, auch auf der Phishing-Seite. Es fehlt die Bindung an die echte Gegenstelle. Genau diese Bindung leistet WebAuthn, der Standard hinter Passkeys.&lt;/p&gt;</description></item><item><title>Wenn der Chatbot sich zu erkennen geben muss: KI-Transparenz im Kundenservice ab August 2026</title><link>https://datargo.com/blog/ki-transparenzpflicht-kundenservice/</link><pubDate>Tue, 23 Jun 2026 00:00:00 +0000</pubDate><guid>https://datargo.com/blog/ki-transparenzpflicht-kundenservice/</guid><description>&lt;p&gt;Automatisierte Erstantworten, KI-gestützte Ticket-Vorklassifikation, generierte Antwortvorschläge: Im Kundenservice ist KI längst Alltag. Ab dem 2. August 2026 wird Artikel 50 des EU AI Act durchsetzbar, und damit gelten verbindliche Transparenzpflichten für genau diese Systeme. Diese Pflichten sind von den Vorgaben für Anbieter universeller KI-Modelle (GPAI) zu trennen: Hier geht es nicht um das Modell, sondern um die Interaktion mit Menschen.&lt;/p&gt;
&lt;h2 id="was-artikel-50-verlangt"&gt;Was Artikel 50 verlangt&lt;/h2&gt;
&lt;p&gt;Der Kern ist eine Hinweispflicht. Anbieter von KI-Systemen, die zur direkten Interaktion mit Menschen bestimmt sind (etwa Chatbots), müssen sicherstellen, dass die betroffene Person erkennt, dass sie mit einem KI-System kommuniziert. Der Hinweis muss spätestens zum Zeitpunkt der ersten Interaktion erfolgen, es sei denn, der KI-Einsatz ist aus den Umständen offensichtlich. Hinzu kommt: KI-erzeugte oder bearbeitete Inhalte müssen maschinenlesbar als solche markiert werden, und Inhalte von öffentlichem Interesse, die als echt erscheinen könnten, sind gesondert zu kennzeichnen.&lt;/p&gt;</description></item><item><title>47-Tage-Zertifikate: Der CA/Browser-Fahrplan bis 2029</title><link>https://datargo.com/blog/47-tage-tls-zertifikate/</link><pubDate>Tue, 09 Jun 2026 00:00:00 +0000</pubDate><guid>https://datargo.com/blog/47-tage-tls-zertifikate/</guid><description>&lt;p&gt;Die Diskussion ist entschieden, und ein Teil davon ist bereits Betriebsrealität: Seit dem 15. März 2026 dürfen öffentlich vertrauenswürdige TLS-Zertifikate höchstens &lt;strong&gt;200 Tage&lt;/strong&gt; gültig sein, nicht mehr 398. Das ist die erste Stufe eines Fahrplans, den das CA/Browser-Forum im April 2025 mit Ballot &lt;strong&gt;SC-081v3&lt;/strong&gt; beschlossen hat: einstimmig, mit 29 Ja-Stimmen und keiner Gegenstimme. Am Ende dieses Fahrplans steht eine maximale Laufzeit von &lt;strong&gt;47 Tagen&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Wer Zertifikate noch von Hand bestellt und im Kalender notiert, sollte die nächsten drei Jahre als Umbauprojekt einplanen, nicht als Reihe von Einzelterminen.&lt;/p&gt;</description></item><item><title>Cyber Resilience Act: Was der 11. September 2026 für Hersteller digitaler Produkte bedeutet</title><link>https://datargo.com/blog/cyber-resilience-act-meldepflicht-2026/</link><pubDate>Tue, 09 Jun 2026 00:00:00 +0000</pubDate><guid>https://datargo.com/blog/cyber-resilience-act-meldepflicht-2026/</guid><description>&lt;p&gt;In knapp drei Monaten wird aus einer Verordnung Betriebsrealität. Ab dem &lt;strong&gt;11. September 2026&lt;/strong&gt; greifen die ersten verbindlichen Pflichten des Cyber Resilience Act (Verordnung (EU) 2024/2847), und zwar genau die, die am meisten Prozess voraussetzen: die Meldung aktiv ausgenutzter Schwachstellen und schwerer Sicherheitsvorfälle. Die übrigen Produkt- und Konformitätspflichten folgen mit der vollständigen Anwendung am &lt;strong&gt;11. Dezember 2027&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Wer Produkte mit digitalen Elementen in der EU herstellt, importiert oder vertreibt, sollte den September daher nicht als fernes Datum behandeln, sondern als den Tag, an dem ein funktionierender Meldeweg vorhanden sein muss.&lt;/p&gt;</description></item><item><title>eIDAS 2.0 und das EUDI-Wallet: Was akzeptierende Stellen bis Ende 2026 vorbereiten müssen</title><link>https://datargo.com/blog/eidas-2-eudi-wallet/</link><pubDate>Tue, 09 Jun 2026 00:00:00 +0000</pubDate><guid>https://datargo.com/blog/eidas-2-eudi-wallet/</guid><description>&lt;p&gt;In rund einem halben Jahr läuft eine Frist ab, die viele Unternehmen noch als ferne Regulierung behandeln: Bis zum &lt;strong&gt;24. Dezember 2026&lt;/strong&gt; müssen alle 27 EU-Mitgliedstaaten ihren Bürgerinnen und Bürgern mindestens ein &lt;strong&gt;European Digital Identity Wallet (EUDI-Wallet)&lt;/strong&gt; bereitstellen. Grundlage ist die Verordnung (EU) 2024/1183 („eIDAS 2.0&amp;quot;), die seit dem 20. Mai 2024 in Kraft ist.&lt;/p&gt;
&lt;p&gt;Für die Mehrzahl der Unternehmen ist die spannendere Frage nicht, wann das Wallet kommt, sondern wann sie es &lt;strong&gt;akzeptieren&lt;/strong&gt; müssen. Und diese Frist folgt unmittelbar.&lt;/p&gt;</description></item><item><title>Datensouveränität nach dem Data Privacy Framework: warum EU-Hosting zur Architekturfrage wird</title><link>https://datargo.com/blog/datensouveraenitaet-data-privacy-framework/</link><pubDate>Tue, 02 Jun 2026 00:00:00 +0000</pubDate><guid>https://datargo.com/blog/datensouveraenitaet-data-privacy-framework/</guid><description>&lt;p&gt;Wer personenbezogene Daten in die USA übermittelt, stützt sich seit 2023 auf den Angemessenheitsbeschluss zum EU-US Data Privacy Framework (DPF). Im September 2025 hat das Gericht der Europäischen Union (EuG) eine Klage dagegen abgewiesen, das Framework bleibt damit gültige Rechtsgrundlage. Doch der Fall ist nicht abgeschlossen: Ende Oktober 2025 wurde Rechtsmittel zum Europäischen Gerichtshof eingelegt (Rechtssache C-703/25 P). Ein erneutes Kippen, ein „Schrems III&amp;quot;, ist nicht ausgeschlossen.&lt;/p&gt;
&lt;p&gt;Diese Unsicherheit ist kein Grund zur Panik, aber ein guter Anlass, eine Frage von der Compliance-Ebene auf die Architekturebene zu heben.&lt;/p&gt;</description></item><item><title>EU AI Act: GPAI-Durchsetzung ab 2. August 2026 und was der Digital Omnibus verschoben hat</title><link>https://datargo.com/blog/ai-act-gpai-durchsetzung-2026/</link><pubDate>Tue, 26 May 2026 00:00:00 +0000</pubDate><guid>https://datargo.com/blog/ai-act-gpai-durchsetzung-2026/</guid><description>&lt;p&gt;Der EU AI Act gilt seit August 2024, doch viele seiner Pflichten greifen gestaffelt. Ein Datum sticht heraus: Am &lt;strong&gt;2. August 2026&lt;/strong&gt; beginnt die aktive Durchsetzung gegenüber Anbietern von General-Purpose-AI-Modellen (GPAI) durch das EU AI Office, und parallel werden die nationalen Sanktionsregime wirksam. In Deutschland greift dazu das KI-Maßnahmen- und Innovationsgesetz (KI-MIG). Wer KI einsetzt oder bereitstellt, sollte den Stichtag kennen, aber auch die jüngsten Verschiebungen.&lt;/p&gt;
&lt;h2 id="was-am-2-august-2026-beginnt"&gt;Was am 2. August 2026 beginnt&lt;/h2&gt;
&lt;p&gt;Die Pflichten für GPAI-Modelle sind seit August 2025 anwendbar. Was im August 2026 dazukommt, ist die Durchsetzung: Ein Jahr nach Anwendbarkeit erhält das AI Office die Befugnisse, sie auch tatsächlich zu vollziehen. Dazu gehören Informationsanforderungen, der Zugang zu Modellen und, als äußerstes Mittel, der Rückruf eines Modells. Aus einer Pflicht auf dem Papier wird damit eine durchsetzbare Pflicht.&lt;/p&gt;</description></item><item><title>SD-JWT VC und OpenID4VP: die Protokolle hinter dem EUDI-Wallet</title><link>https://datargo.com/blog/eudi-wallet-protokolle-sdjwt-openid4vp/</link><pubDate>Tue, 12 May 2026 00:00:00 +0000</pubDate><guid>https://datargo.com/blog/eudi-wallet-protokolle-sdjwt-openid4vp/</guid><description>&lt;p&gt;Über das EUDI-Wallet wird viel auf der politischen und organisatorischen Ebene gesprochen: Bereitstellung durch die Mitgliedstaaten bis Ende 2026, Registrierungspflichten, Akzeptanzfristen. Wer das Wallet aber tatsächlich akzeptieren will, steht irgendwann vor einer technischen Frage: Wie prüfe ich konkret, dass ein vorgelegtes Attribut echt, gültig und für meinen Zweck ausreichend ist? Dieser Beitrag schaut auf die Verifikationsseite und die Bausteine, die dort zusammenkommen.&lt;/p&gt;
&lt;h2 id="drei-formate-ein-zusammenspiel"&gt;Drei Formate, ein Zusammenspiel&lt;/h2&gt;
&lt;p&gt;Die Architecture and Reference Framework (ARF), inzwischen in Version 2.x, legt die technischen Standards fest. Für akzeptierende Stellen sind drei davon zentral.&lt;/p&gt;</description></item><item><title>Strukturierte E-Rechnungen GoBD-konform aufbewahren: die 8-Jahres-Frage</title><link>https://datargo.com/blog/e-rechnung-archivierung-gobd/</link><pubDate>Tue, 21 Apr 2026 00:00:00 +0000</pubDate><guid>https://datargo.com/blog/e-rechnung-archivierung-gobd/</guid><description>&lt;p&gt;Die Diskussion um die E-Rechnung dreht sich meist um das Ausstellen und Empfangen. Die unauffälligere, aber langlebigere Pflicht beginnt erst danach: die Aufbewahrung. Eine strukturierte Rechnung ist kein Dokument im klassischen Sinn, sondern ein Datensatz, und der muss über Jahre unveränderbar und maschinell auswertbar erhalten bleiben. Wer das beim Aufbau seiner Prozesse mitdenkt, vermeidet später teure Nacharbeit.&lt;/p&gt;
&lt;h2 id="was-sich-an-der-frist-geändert-hat"&gt;Was sich an der Frist geändert hat&lt;/h2&gt;
&lt;p&gt;Lange galt für Buchungsbelege eine zehnjährige Aufbewahrungsfrist. Das vierte Bürokratieentlastungsgesetz (BEG IV) hat sie zum 1. Januar 2025 auf &lt;strong&gt;acht Jahre&lt;/strong&gt; verkürzt. Die neue Frist gilt für alle Belege, deren bisherige Zehnjahresfrist zu diesem Zeitpunkt noch nicht abgelaufen war.&lt;/p&gt;</description></item><item><title>NIS2 in der Praxis: Von der Meldepflicht zum belastbaren Nachweis</title><link>https://datargo.com/blog/nis2-praxis-nachweis/</link><pubDate>Tue, 14 Apr 2026 00:00:00 +0000</pubDate><guid>https://datargo.com/blog/nis2-praxis-nachweis/</guid><description>&lt;p&gt;Seit dem 6. Dezember 2025 ist NIS2 in Deutschland geltendes Recht. Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde am 13. November 2025 vom Bundestag beschlossen, am 20. November vom Bundesrat bestätigt und ist ohne Übergangsfrist in Kraft getreten. Betroffen sind rund 29.500 Unternehmen in 18 Sektoren. Die BSI-Registrierungsfrist am 6. März 2026 ist verstrichen, eine verspätete Registrierung bleibt möglich und ist ratsam.&lt;/p&gt;
&lt;p&gt;Viele Häuser haben die Umsetzung als Registrierungs- und Dokumentationsaufgabe behandelt. Der schwierigere Teil beginnt danach: im Ernstfall belegen zu können, was passiert ist.&lt;/p&gt;</description></item><item><title>ACME jenseits des Webservers: Zertifikatsautomatisierung für interne Dienste und mTLS</title><link>https://datargo.com/blog/acme-interne-pki-mtls/</link><pubDate>Tue, 17 Mar 2026 00:00:00 +0000</pubDate><guid>https://datargo.com/blog/acme-interne-pki-mtls/</guid><description>&lt;p&gt;Die Verkürzung öffentlicher TLS-Laufzeiten auf perspektivisch 47 Tage hat ein Bewusstsein dafür geschaffen, dass manuelle Erneuerung nicht mehr skaliert. Was dabei oft übersehen wird: Im Inneren eines Unternehmens stecken meist deutlich mehr Zertifikate als an der nach außen sichtbaren Kante. Service-zu-Service-Kommunikation, mTLS in einem Service-Mesh, interne APIs und Datenbankverbindungen leben alle von Zertifikaten, und diese folgen anderen Mustern als das öffentliche Web.&lt;/p&gt;
&lt;h2 id="warum-intern-nicht-einfacher-heißt"&gt;Warum „intern&amp;quot; nicht „einfacher&amp;quot; heißt&lt;/h2&gt;
&lt;p&gt;Am öffentlichen Webserver ist die Lage übersichtlich: eine Handvoll Domains, eine öffentliche CA, ein klar definierter Validierungsweg. Im Inneren kehrt sich das Verhältnis um. Hier gibt es oft hunderte oder tausende kurzlebiger Endpunkte, die dynamisch entstehen und vergehen, etwa wenn ein Orchestrator neue Container startet. Eine interne CA stellt für sie Zertifikate aus, die niemand öffentlich sieht, die aber genauso ablaufen, sich genauso erneuern müssen und im Fehlerfall genauso einen Dienst lahmlegen.&lt;/p&gt;</description></item><item><title>DORA für IKT-Dienstleister: Drittparteienrisiko und Incident-Reporting</title><link>https://datargo.com/blog/dora-drittparteienrisiko/</link><pubDate>Tue, 09 Dec 2025 00:00:00 +0000</pubDate><guid>https://datargo.com/blog/dora-drittparteienrisiko/</guid><description>&lt;p&gt;DORA, der Digital Operational Resilience Act (Verordnung (EU) 2022/2554), gilt seit dem 17. Januar 2025 für den europäischen Finanzsektor. Seit dem 19. November 2025 ist die Aufsicht konkret geworden: Die europäischen Aufsichtsbehörden EBA, EIOPA und ESMA haben die erste offizielle Liste von 19 als kritisch eingestuften IKT-Drittdienstleistern veröffentlicht, darunter AWS, Google Cloud, Microsoft, Oracle, SAP, IBM und die Deutsche Telekom. Die Liste wird jährlich fortgeschrieben.&lt;/p&gt;
&lt;p&gt;Die naheliegende Reaktion vieler IT-Dienstleister lautet: betrifft mich nicht, ich bin keine Bank. Das ist ein Trugschluss. DORA wandert über die Lieferkette.&lt;/p&gt;</description></item><item><title>Post-Quantum-Kryptografie: Warum die Migration 2026 beginnt, nicht 2030</title><link>https://datargo.com/blog/post-quantum-migration/</link><pubDate>Tue, 16 Sep 2025 00:00:00 +0000</pubDate><guid>https://datargo.com/blog/post-quantum-migration/</guid><description>&lt;p&gt;Seit August 2024 sind die ersten drei Post-Quantum-Standards final. NIST hat FIPS 203 (ML-KEM, abgeleitet von Kyber), FIPS 204 (ML-DSA, aus Dilithium) und FIPS 205 (SLH-DSA, aus SPHINCS+) veröffentlicht und damit einen achtjährigen Auswahlprozess abgeschlossen. Viele lesen die Schlagzeile, sehen die oft genannte Jahreszahl 2030 und legen das Thema wieder weg. Das ist ein Missverständnis: 2030 ist eine Frist, kein Startschuss.&lt;/p&gt;
&lt;h2 id="harvest-now-decrypt-later-macht-die-sache-dringend"&gt;&amp;ldquo;Harvest now, decrypt later&amp;rdquo; macht die Sache dringend&lt;/h2&gt;
&lt;p&gt;Die Bedrohung wartet nicht auf den ersten leistungsfähigen Quantenrechner. Angreifer fangen heute verschlüsselten Verkehr ab und speichern ihn, um ihn später zu entschlüsseln. Alles, was lange schützenswert bleibt, ist damit schon jetzt exponiert: Verträge, Gesundheits- und Personaldaten, langlebige Schlüssel, geistiges Eigentum, Staats- und Geschäftsgeheimnisse. Für diese Daten zählt nicht, wann ein Quantenrechner praktisch wird, sondern wie lange sie geheim bleiben müssen.&lt;/p&gt;</description></item><item><title>E-Rechnungspflicht in Deutschland: Der Stufenplan 2025 bis 2028 ohne Mythen</title><link>https://datargo.com/blog/e-rechnungspflicht-stufenplan/</link><pubDate>Tue, 11 Feb 2025 00:00:00 +0000</pubDate><guid>https://datargo.com/blog/e-rechnungspflicht-stufenplan/</guid><description>&lt;p&gt;Seit dem 1. Januar 2025 ist die E-Rechnung im deutschen B2B-Geschäft keine Kür mehr. Die erste Stufe der neuen Pflicht gilt: Jedes inländische Unternehmen muss strukturierte elektronische Rechnungen empfangen können. Versenden muss man noch nicht zwingend elektronisch, empfangen aber schon. Rechtsgrundlage ist das Wachstumschancengesetz, das der Bundesrat am 22. März 2024 verabschiedet hat; die Details regelt das BMF-Schreiben vom 15. Oktober 2024.&lt;/p&gt;
&lt;p&gt;Rund um diese Pflicht kursieren mehr Halbwahrheiten als bei den meisten Steuerthemen. Drei davon lohnt es sich auszuräumen.&lt;/p&gt;</description></item></channel></rss>