Haftungsausschluss: Das Original dieser Seite wurde auf Niederländisch verfasst. Diese Seite wurde mit DeepL automatisch in andere Sprachen übersetzt. Dies kann zu Unterschieden in Nuancen, Ton und Bedeutung führen. Im Zweifelsfall sollten Sie immer zuerst die niederländische Version konsultieren. Aufgrund der hohen Kosten für Übersetzungen kann diese Seite inhaltlich hinter der niederländischen Version zurückbleiben. Wir betrachten die niederländische Version dieser Seite als führend.
0: Zusammenfassung
Ihre Organisation hat am 9. oder 10. Februar eine E-Mail erhalten, in der es darum geht, die Online-Sicherheit von Regierungen transparent zu machen. Diese E-Mail kam von der Internet Cleanup Foundation und wurde an alle regionalen Regierungen und CERT-/CISRT-Organisationen aller europäischen Mitgliedsstaaten geschickt.
Ab dem 10. Mai wird die Online-Sicherheit Ihrer Organisation auf der Website SecurityBaseline.eu veröffentlicht. Vom 10. Februar bis zum 10. Mai wird diese Website über den direkten Link in der erhaltenen E-Mail zugänglich sein. Auf diese Weise können die Messergebnisse eingesehen werden, so dass vor der Veröffentlichung noch Verbesserungen vorgenommen werden können. Wir messen Ihre Online-Sicherheit täglich bis wöchentlich, damit auch Verbesserungen sichtbar werden. Wir messen weiter, auch nach der Veröffentlichung.
Die gemessenen Dienste und veröffentlichten Informationen sind sorgfältig durchdacht und stellen keine neuen Risiken für Ihre Online-Umgebungen dar. Unser Ansatz macht Ihre Umgebungen transparenter, besser verwaltbar und damit sicherer. Wir tun dies auf eigene Initiative, von einer gemeinnützigen Stiftung aus, in unserer Freizeit. Als europäische Bürger sind wir intrinsisch motiviert, unseren Teil dazu beizutragen, ein sicheres, souveränes und datenschutzfreundliches Online-Europa zu schaffen, und wir verfügen über umfangreiche Erfahrungen auf diesem Gebiet.
Die Initiative zur Messung von Europa kopiert unseren Ansatz zur Messung der Online-Sicherheit von wichtigen Organisationen in den Niederlanden. Wir haben damit 2016 begonnen. Sie war so erfolgreich und praktisch, dass unsere Website und unsere Aktivitäten in politische Dokumente des niederländischen Ministeriums für Sicherheit und Justiz und des niederländischen Ministeriums für Inneres und Königreichsbeziehungen aufgenommen wurden.
Angesichts der zunehmenden Digitalisierung der Regierungen und des in letzter Zeit gestiegenen Drucks auf die Souveränität von Online-Regierungen haben wir beschlossen, mit der Messung aller Regierungen in Europa zu beginnen. Wir messen Regierungen als ersten Sektor nach Land, weil sie in der Lage sind, Richtlinien und Gesetze für sich selbst und andere zu erlassen.
Ausführliche Hintergrundinformationen über uns und diese Initiative finden Sie auf dieser Seite. Die Internet Cleanup Foundation wünscht allen ein sicheres Online-Europa.
Elger Jonker, Johan Bloemberg, Wouter Goyen
Inhaltsverzeichnis
- Was wird passieren
- Fallstudie: Niederlande gemessen seit 2016
- Zeitplan für Einsichtnahme, Veröffentlichung und Umfang
- Politik der Internet Cleanup Foundation
- Zugänglichkeit
- Wie kam es zu den Karten und Ankündigungen?
- Finanzieller Überblick
1: Was passieren wird
Ab dem 10. Mai wird die grundlegende Online-Sicherheit Ihres Unternehmens unter https://securitybaseline.eu veröffentlicht. Die veröffentlichten Informationen können Schwachstellen in Ihrer Online-Infrastruktur enthalten, erhöhen aber nicht das bestehende Risiko. Bis zur Veröffentlichung können Sie über die Links, die Sie in dieser E-Mail erhalten haben, auf Ihre Schwachstellen zugreifen.
Es gibt drei Monate zwischen dem 10. Februar und dem 10. Mai. Wir nennen diese drei Monate den Vorlaufzeitraum. Dieser Zeitraum steht im Einklang mit dem Zeitrahmen, der in den „Coordinated Vulnerability Disclosure“-Richtlinien mehrerer europäischer Mitgliedsstaaten üblich ist. Im Prinzip ist alles, was wir messen und veröffentlichen, bereits öffentlich bekannt. Wir nutzen diesen Zeitraum also nicht, um den Prozess der „Coordinated Vulnerability Disclosure“ einzuhalten, sondern um die bestehenden Wege und Prozesse innerhalb der europäischen Mitgliedsstaaten zu nutzen, die zur Stärkung der Informationssicherheit eingerichtet wurden.
Auf unserer Website sehen Sie Karten der verschiedenen Ebenen Ihrer Regierung. Auf diesen Karten wird die Sicherheit durch die Farbe einer Ampel angezeigt: rot, orange und grün. Grün bedeutet, dass alles in Ordnung ist, und rot bedeutet, dass eine oder mehrere Schwachstellen vorhanden sind. Bei Orange besteht zwar Handlungsbedarf, aber weniger schnell als bei Rot. Die Fallstudie zu den Niederlanden weiter unten auf dieser Seite zeigt, wie die Niederlande vorgehen. Diese Karte ist bereits öffentlich zugänglich, da sie seit vielen Jahren öffentlich bekannt ist.
Wir sind uns bewusst, dass unser Ansatz Fragen aufwerfen oder nicht sofort als angenehm oder wertvoll empfunden werden kann. Wir sind uns auch bewusst, dass die Kulturen in den verschiedenen europäischen Ländern sehr unterschiedlich sind. Unser Ziel ist es, ein widerstandsfähigeres Online-Europa zu schaffen. Transparenz ist ein geeignetes Mittel, um dieses Ziel zu erreichen. Wir gehen davon aus, dass die Regierung die europäischen Bürger gut schützen will. Dies sollte sich in qualitativ hochwertigen Online-Diensten niederschlagen. Genau das ist unabhängig messbar und überprüfbar: Das ist es, was wir anbieten.
2: Fallstudie: Niederlande gemessen seit 2016
Wir haben 2016 damit begonnen, die wichtigsten Websites der niederländischen Gemeinden zu messen. Im Laufe der Jahre hat sich dies auf alle Websites aller niederländischen Regierungen ausgeweitet. Die gleichen Messungen führen wir auch für alle niederländischen Bildungseinrichtungen, das Gesundheitswesen und kritische Infrastrukturen durch. Diese Daten sind für jeden öffentlich zugänglich. Es handelt sich um etwa 330.000 Adressen von 10.000 Organisationen, die in 25 Schlussfolgerungen gemessen werden. Diese Informationen können von jedermann eingesehen werden.
In den Niederlanden hat unsere Initiative zu Hunderttausenden von Verbesserungen der Informationssicherheit geführt. Durch die Verwendung führender Messungen, z. B. von internet.nl und unserer eigenen Datenschutzmessungen, haben wir dem Land, in dem wir leben, seit Jahren geholfen, sicher zu werden und zu bleiben.
Dieser Erfolg ist auch der Grund dafür, dass die Niederlande das einzige Land sind, das auf der SecurityBaseline.eu bereits öffentlich sichtbar ist: Fast alle Organisationen erhalten bereits die grüne Bewertung, während fast alle anderen europäischen Regierungsorganisationen im gleichen Umfang und bei den gleichen Messungen noch immer als unzureichend sicher eingestuft werden. Die Niederlande sind also dem Rest Europas bereits viele Jahre voraus. Das liegt nicht nur an uns, sondern auch daran, dass die Regierung Standards einführt und steuert und dass sie zum Beispiel Gesetze zur Verschlüsselung hat .
Die niederländische Regierung hat eine offene Kultur. Diese Kultur ist auch in der Gesetzgebung durch das„Open Government Act“ verankert: Es gibt jedem Bürger das Recht auf Zugang zu öffentlichen Informationen, ohne dass er irgendwelche Bedingungen erfüllen muss. Die niederländische Regierung will also transparent sein und ist daher ansprechbar. Die Regierung traut sich, darauf hinzuweisen, wo Verbesserungen notwendig sind. Deshalb ist auch unsere Initiative, die niederländische Regierung zu messen, gut aufgenommen worden.
Unsere Website und unsere Aktivitäten erscheinen in politischen Dokumenten des niederländischen Ministeriums für Sicherheit und Justiz und des Ministeriums für Inneres und Königreichsbeziehungen.
In den Niederlanden führen wir auch alle Arten von Forschung durch. Wir haben zum Beispiel die folgenden Entdeckungen gemacht, die Artikel sind auf Niederländisch:
- Die niederländische Regierung übersieht in ihren Übersichten viele Tausende von Standorten (2025)
- Regierung bittet um Erlaubnis, Besucher auf 100 verschiedene Arten zu verfolgen (2024)
- 4% der Regierungsseiten veröffentlichen unaufgefordert Tracking-Kekse, um Besucher zu verfolgen (2023)
- 33% der Regierungsseiten halten sich nicht an das Gesetz zur ordnungsgemäßen Verschlüsselung von Websites (2023)
- 7% der Post an die niederländische Regierung geht über nicht-europäische Parteien (2024)
Die Screenshots unten zeigen eine vorläufige Version der Karten der niederländischen Provinzen und Gemeinden. Diese wurde von SecurityBaseline.eu extrahiert und ist bereits öffentlich einsehbar, da fast alles in Ordnung ist.
Der folgende Screenshot stammt von unserer niederländischen Website: basisbeveiliging.nl. Er zeigt drei Ebenen der Regierung. Auffallend ist, dass die Farbe auf den Karten überwiegend rot ist. Das liegt daran, dass wir in den Niederlanden nicht nur den Hauptstandort einer Organisation messen, sondern auch alle Standorte für Projekte (z.B. neue Stadtteile, neue Autobahnen, Kampagnen usw.). Es ist zu erkennen, dass bei den Gemeinden 62% der 26.655 gemessenen Adressen von Gemeinden gut abschneiden.
3: Zeitleiste der Einsichtnahme, Veröffentlichung, Umfang
Der Zeitplan für die Veröffentlichung ist wie folgt:
- 10. Februar 2026: E-Mail mit kurzer Vorankündigung und Link zu diesem Text
- 10. Februar 2026: Beginn des Zeitraums für die Überprüfung der Messungen und Verbesserungen
- Inspektionszeitraum 10 Feb – 10 Mai:
- Vollständig vermessene Behörden
- Verschärfung der TLS-Messungen von internet.nl gemäß den NCSC-NL 2025 Richtlinien 11
- Mögliche Hinzufügung einer neuen Messung und Visualisierung der digitalen Souveränität
- Nur Hauptdomänen und Subdomänen Regierungen, keine Domänen für Projekte
- Änderungsanträge können gestellt werden, aber nur die offizielle Domain wird akzeptiert oder ersetzt. Andere Anträge für zusätzliche Domains werden bis nach diesem Zeitraum aufbewahrt
- 10. Mai 2026: Veröffentlichung der Ergebnisse mit einem ländervergleichenden Forschungsartikel
- Zeitraum nach dem 10. Mai 2026:
- Hinzufügen weiterer Behörden und Standorte, möglicherweise auch Projektdomänen
- Änderungsanträge für neue Domains akzeptiert
Die folgende Tabelle zeigt alle unsere Websites und die Informationen, die auf ihnen zu finden sind. Hier ist zu sehen, dass die Anzahl der Organisationen von SecurityBaseline mit über 75.000 groß ist. Die Zahl der zugehörigen Domains ist mit 120.000 noch gering: Sie wird auf durchschnittlich 10 Subdomains pro Domain anwachsen.
| Website | Organisationen | Größe von Internetadressen | Messungen |
|---|---|---|---|
| SecurityBaseline.eu (die neue Website) | Alle regionalen europäischen Behörden + CSIRT-Organisationen (76.575) | Hauptdomäne + Subdomänen (120.257) | Alle 25 Metriken: Sicherheit, Privatsphäre und Souveränität |
| basisbeveiliging.nl | Die gesamte niederländische Regierung, lebenswichtig, Bildung, Gesundheitswesen, Politik, Cybersicherheit (11,843) | Alle Domains, soweit wir sie finden können (361.688) | Alle 25 Metriken: Sicherheit, Privatsphäre und Souveränität |
| basisbeveiliging.be (nach dem 10. Mai nicht mehr benötigt) | Regionalregierungen von Belgien (640) | Hauptdomain + Subdomains (5.789) | FTP, DMARC, DKIM, SPF, DNSSEC |
| Basistoegankelijk.nl | Alle niederländische Regierung, lebenswichtig, Bildung, Gesundheitswesen, Politik, Cybersicherheit (11,843) | Alle Domains, soweit wir sie finden können (361.688) | 94 Metriken zur Zugänglichkeit von Websites |
4: Politik der Internet Cleanup Foundation
SecurityBaseline veröffentlicht Sicherheitsmessungen in einer überlegten Weise. Unsere Überlegungen sind in unserem Verhaltenskodex gebündelt. Wir messen täglich bis wöchentlich.
SecurityBaseline arbeitet nach dem folgenden Verfahren:
Welche Bereiche von Organisationen genau gemessen werden, ist in der Bereichsrichtlinie festgelegt. Alle Messungen, die in diesen Domänen durchgeführt werden, werden in der Messrichtlinie gebündelt. Da es unmöglich ist, alle Entscheidungen in der IT-Infrastruktur gleich zu behandeln, können Organisationen Ausnahmen erklären. Dies wird als „comply or explain“ oder „einhalten oder erklären“ bezeichnet. Viele dieser Erklärungen werden automatisch durch automatisierte Ausnahmen zur Messrichtlinie hinzugefügt. Eine gute Erklärung erfüllt eine Reihe von Anforderungen.
Was genau veröffentlicht wird und was nicht, ist in der Veröffentlichungsrichtlinie beschrieben. Die durchgeführten Scans verweisen so deutlich wie möglich auf SecurityBaseline zurück, wenn möglich direkt auf die Scaninfo-Seite (nur Englisch). Alle Messungen und Veröffentlichungen unterliegen diesem Haftungsausschluss (nur auf Englisch).
5: Zugänglichkeit
Die Internet Cleanup Foundation kann über zwei Wege erreicht werden:
1: E-Mail an info@internetcleanup.foundation. Wir werden fremdsprachige E-Mails ins Niederländische oder Englische konvertieren. Dadurch können Nuancen verloren gehen. Alle E-Mails werden gelesen, aber es kann manchmal mehrere Wochen dauern, bis wir Zeit finden, zu antworten.
2: Discord: Besuchen Sie unseren Discord-Kanal unter https://discord.gg/FzadeDrptx und fragen Sie nach Elger, Johan oder Wouter. Dort finden Sie auch einen Support-Kanal, in dem verschiedene Themen behandelt werden.
6: Wie kam es zu den Karten und Ankündigungen?
Die Karten beruhen auf öffentlichen Daten von Open Street Map (Gebiete und Namen von Regierungen), kombiniert mit öffentlichen Daten von Wikidata (Adressen von Websites). Für die CSIRT-Ebene wurde eine Liste von Organisationen und Standorten manuell zusammengestellt. Insgesamt wurden 90 Karten erstellt. Alle europäischen Länder, die den Vertrag über den Europäischen Wirtschaftsraum unterzeichnet haben, werden zusammen mit der Schweiz erfasst. Wir nehmen die Schweiz auf, weil sie eines der wenigen Länder ist, das alle seine Internetdomänen über offene Daten zur Verfügung stellt, was ein Fortschritt ist.
Wir haben die Haupt-Website der Regierung absichtlich zum Teil des CSIRT gemacht. Natürlich ist das nicht die Art und Weise, wie die Verantwortung formell angelegt ist. Wir sehen dies eher als eine soziale Verantwortung. Wir hoffen, dass die Hauptwebsite der Regierung auf diese Weise im Bedarfsfall besser abgesichert ist.
Aufgrund der 24 Sprachen, die in Europa gesprochen werden, wurden die Hauptseiten dieser Website und von SecurityBaseline.eu in alle diese Sprachen übersetzt. Die Übersetzung wurde von DeepL durchgeführt, es sei denn, die Sprache war nicht verfügbar (z. B. Maltesisch und Isländisch). Die Übersetzung von Websites in diesem Umfang ist sehr kostspielig. Wir sind stolz darauf, dass der größte Teil des Textes auf der Website in den meisten europäischen Sprachen verfügbar ist, einschließlich Irisch und Griechisch, auch wenn es manchmal Fehler in den Übersetzungen gibt.
Die Vorankündigung an die Regierungen und CSIRT-Organisationen erfolgte per E-Mail in den Amtssprachen des jeweiligen Mitgliedstaates. Diese Vorankündigung wurde an alle E-Mail-Adressen von lokalen Regierungen und CSIRT-Organisationen gesendet, soweit sie auffindbar waren. Ein Teil davon stammte aus Wikidata, ein anderer Teil wurde automatisch gesammelt und mit einer selbst geschriebenen Software gefiltert. Insgesamt wurden Zehntausende von E-Mails verschickt. Die E-Mails werden einmal verschickt, um Unannehmlichkeiten zu vermeiden. Wir gehen davon aus, dass die Regierungen miteinander reden und dass die Kommunikationswege zwischen dem CSIRT und den lokalen Regierungen gut sind. Sollten wir also eine Organisation vergessen haben oder nicht erreichen können, dient dieses bestehende soziale Netzwerk als Rückhalt.
Bei 90 neuen Karten und vielen Tausenden von Verwaltungen kann es sein, dass wir uns manchmal irren. Wir entschuldigen uns für die Unannehmlichkeiten. Wir werden die Zeit der Durchsicht nutzen, um die Karten und Informationen auf den Seiten weiter zu verfeinern.
7: Wie sieht es mit den Finanzen aus?
Wir sind die Internet Cleanup Foundation aus den Niederlanden. Wir sind ein kleines Team von drei Personen, die mit viel Wissen und einem kleinen Budget versuchen, die Welt zu einem besseren Ort zu machen. Kontaktinformationen und Details zu unserer Stiftung finden Sie auf der Seite„Über uns„.
Dieses Projekt wird auf eigene Initiative, mit eigenen Mitteln und in unserer eigenen Zeit durchgeführt. Für die Nutzung unserer Ergebnisse oder Berichte ist keine Zahlung oder ein Betrag erforderlich. Auch für die Einsicht in die Informationen oder deren Wiederverwendung durch andere gibt es keine Bezahlschranken. Alle unsere Ergebnisse sind als offene Daten verfügbar.
Wir führen diese Initiative also aus eigener Kraft durch. Aber unsere täglichen Aktivitäten werden u.a. vom SIDN-Fonds, dem Zentrum für Informationssicherheit und Datenschutz, der staatlichen Aufsichtsbehörde für digitale Infrastruktur, der niederländischen Regierung und mehr als 30 teilnehmenden Organisationen unserer Stiftung finanziell unterstützt. Technische Ressourcen erhalten wir von CoBytes, Procolix, SURF, Sentry, Hack42 und GitLab gesponsert.
Sonstige Einnahmen, die wir erzielen:
- Forschungsaufträge,
- Entwickeln Sie neue Messungen und Plattformen,
- Beiträge der Teilnehmer an unsere Stiftung,
- Durchführung von Messungen von Sektoren auf Anfrage.
Es ist möglich, uns von einer Regierung zu sponsern oder zu unterstützen, solange unsere unabhängige Position gewährleistet ist. Bitte kontaktieren Sie dazu elger@internetcleanup.foundation. Für alle anderen Fragen: verwenden Sie bitte die Adressen im Abschnitt Erreichbarkeit.
Es ist möglich, sich an unserer Stiftung zu beteiligen. Wir haben diese Option auf SecurityBaseline.eu absichtlich noch nicht zur Verfügung gestellt, da dies so gesehen werden könnte, als ob wir ein kommerzielles Unternehmen wären. Dies wird zu einem späteren Zeitpunkt mit ausreichender Klarstellung möglich sein. Für eine frühzeitige Beteiligung wenden Sie sich bitte an elger@internetcleanup.foundation.
8: Mehr über uns
Kontaktinformationen und Details zu unserer Stiftung finden Sie auf der Seite„Über uns„.