Security Spike anmelden

Security Spikes auf eine Blick

Phishing und MFA – Erfolgreiche Attacken

…wieder mal passiert

Kennworte von Accounts wurden mit den üblichen Phishing Methoden gestohlen & Anmeldungen wurden – trotz aktiver MFA-Methode – mit einem zweiten Faktor durchgeführt. Dies hatte natürlich ein erhebliches Schadenspotential und ist ein meldepflichtiger Vorgang nach NIS-2!

Was war passiert:

Die Abfolge mittels einer „Man in the Middle“ Attacke zur Ermittlung des MFA-Codes war: 

Mit einer Phishing-E-Mail und Webseiten Anmeldung wurde das Benutzer-Kennwort gestohlen. Normalerweise denkt man: „Kein Problem – ich habe ja noch MFA und der Hacker kann sich nicht anmelden“ ABER, dann kam eine zweite „offizielle“ Webseite, die den MFA-Token anfragt. Auch diese Webseite wurde von dem Hacker betrieben. Dabei wählte dieser eine Webseite aus, die den üblichen Microsoft-Webseiten sehr ähnlich ist. Der Benutzer gab den zweiten Token ein und der Hacker verwendete diesen, um sich final am Tenant und anderen Systemen (siehe SSO) anzumelden.

Was kann die IT tun, um dies in Zukunft zu vermeiden:

Natürlich die üblichen Security Awareness Trainings noch regelmäßiger durchführen und auch interne Phishing-Tests als Kontrolle organisieren. Hier gibt es z.B. auch kostengünstige Produkte wie „Phished“ (www.phished.io) oder auch entsprechende CAIRO Services. Man sollte als Benutzer bei Verdacht immer auch die URL/Sende-Domäne prüfen.

Als wesentliche IT-Zusatzmaßnahme ist es unbedingt nötig, den Firmen-Account im M365 Tenant entsprechend visuell so aufzubereiten und zu markieren, dass klar ist, welches die offiziellen und im täglichen Gebrauch benutzten Firmen-Microsoft-Seiten sind oder gerade eine Phishing-Attacke vorliegt.  

Dazu bieten sich individuelle Firmen-Hintergrundbilder oder Logos auf den Microsoft Anmeldeseiten an, die im M365-Tenant entsprechend einstellbar sind. 

Unsere allgemeinen Handlungsempfehlungen

Überprüfen Sie, ob Sie Ihren M365 Tenant auch an dieser Stelle entsprechend konfiguriert und gehärtet haben. 

Prüfen Sie auch Ihre Security Awareness Trainings und Ihre Methoden-Tools.

Bei Fragen oder zur gemeinsamen Bewertung stehen Ihnen CAIRO M365- und Security-Experten jederzeit gerne zur Verfügung. 

 

Microsoft 365 Exchange Online (Eol) beendet SMTP-Support – Handlungsbedarf für Ihre IT

Worum geht es?

Es geht um eine veraltete und unsichere Nutzung des Verschlüsselungsalgorithmus RC4 im Kerberos-Authentifizierungsprotokoll in Active-Directory-Umgebungen.

Obwohl seit Windows Server 2008 standardmäßig AES verwendet wird, taucht RC4 weiterhin in Eventlogs von Domain Controllern auf. RC4 gilt seit Jahren als unsicher und wird unter anderem bei Angriffen wie Kerberoasting ausgenutzt.

Warum wird RC4 noch verwendet?

  • Das KRBTGT-Konto wurde nie aktualisiert.

  • Alte oder migrierte Benutzer- und Servicekonten mit unveränderten Passwörtern.

  • Veraltete Systeme (z. B. alte Windows- oder Linux-Versionen), die nur RC4 unterstützen.

Aktuelle Entwicklung:

Microsoft plant, RC4 vollständig zu deaktivieren:

  • Mit Windows Server 2025 wird RC4 gar nicht mehr unterstützt.

  • Für Systeme ab Windows Server 2008 soll RC4 bis Mitte 2026 abgeschaltet werden.

Handlungsbedarf für Unternehmen:

  • Prüfen, ob noch Systeme im Netzwerk ausschließlich RC4 unterstützen (Eventlog-Analyse).

  • Alte Systeme migrieren oder ersetzen.

  • Service- und Benutzerkennwörter aktualisieren.

  • Abhängigkeiten identifizieren und bereinigen.

RC4 im Active Directory identifizieren:
Wir bieten ein „Active Directory Deep Scan“ an, der unter anderem RC4-Nutzung identifiziert, Sicherheitsrisiken bewertet (inkl. Mapping auf MITRE ATT&CK) und bei der sicheren Deaktivierung von RC4 unterstützt.

Das CAIRO SMTP Relay 

Das CAIRO SMTP Relay löst das Problem und ist bereits bei vielen unserer Kunden im Einsatz. Es ist sowohl als virtuelle Appliance (Software) auf jeder VM schnell installierbar als auch als Hardware-Variante verfügbar. Das Relay lässt sich nahtlos in bestehende Microsoft-365-Umgebungen integrieren. Dabei erfüllt es aktuelle gesetzliche sowie regulatorische Anforderungen und sorgt für eine durchgängig verschlüsselte Kommunikation. 

 

So funktioniert’s  

  • Einfache Integration über eine Azure-App 
  • Sichere Anbindung an die Microsoft Graph API 
  • Verschlüsselte und stabile Übertragung an Microsoft 365 
  • Unterstützung sämtlicher Geräte und Anwendungen mit SMTP-Funktion 

 

Buchen Sie jetzt einen unverbindlichen Beratungstermin mit einem unserer CAIRO-Experten.

Support-Ende von Windows Server 2016 & 2022

Am 14. Oktober 2025 hat Microsoft den Support für Microsoft Apps (M365 Apps) wie Office, Teams, SharePoint, Exchange auf Windows Server 2016 und Windows Server 2022 eingestellt. Das Support Ende von Windows Server 2016 zum 12.01.27 betrifft das ganze Betriebssystem. 

Seit diesem Zeitpunkt gilt: 

  • Keine weiteren Funktionsupdates 
  • Sicherheitsupdates nur noch bis 10. Oktober 2026 
  • Kein offizieller Microsoft-Support bei Problemen 

Die betroffenen lokalen Umgebungen (oft in Kombination mit Citrix Technologie) funktionieren grundsätzlich weiter. Allerdings verbleiben sie dauerhaft auf der letzten unterstützten Office-Version (2602/2608). Das bedeutet konkret, dass es zu Einschränkungen bei Kompatibilität, Sicherheit und Supportfähigkeit kommen kann, besonders im Zusammenhang mit neuen M365-Apps oder Drittanwendungen. 

Wichtige Termine für die Betriebssysteme sind: 

  • Windows Server 2016 – Generelles Support-Ende am 12.01.27 
  • Windows Server 2022 – Support für Microsoft Apps bis Oktober 2026 

 

Unsere Handlungsempfehlung  

Überprüfen Sie den aktuellen Server-Status sowie den der verwendeten Microsoft Apps & anderer Apps inklusiver der Kompatibilitäten zu Releases anderer Software wie z.B. Citrix. 

Um Risiken frühzeitig zu vermeiden, empfehlen wir zudem die Bewertung möglicher Migrations- oder Upgrade-Szenarien. 

 

Bei Fragen oder zur gemeinsamen Bewertung Ihrer Windows-Umgebung steht Ihnen ein  CAIRO-Experte jederzeit gerne zur Verfügung. 

Kerberos Verschlüsselungstyp RC4 wird abgeschafft

Worum geht es?

Es geht um eine veraltete und unsichere Nutzung des Verschlüsselungsalgorithmus RC4 im Kerberos-Authentifizierungsprotokoll in Active-Directory-Umgebungen.

Obwohl seit Windows Server 2008 standardmäßig AES verwendet wird, taucht RC4 weiterhin in Eventlogs von Domain Controllern auf. RC4 gilt seit Jahren als unsicher und wird unter anderem bei Angriffen wie Kerberoasting ausgenutzt.

Warum wird RC4 noch verwendet?

  • Das KRBTGT-Konto wurde nie aktualisiert.

  • Alte oder migrierte Benutzer- und Servicekonten mit unveränderten Passwörtern.

  • Veraltete Systeme (z. B. alte Windows- oder Linux-Versionen), die nur RC4 unterstützen.

Aktuelle Entwicklung:

Microsoft plant, RC4 vollständig zu deaktivieren:

  • Mit Windows Server 2025 wird RC4 gar nicht mehr unterstützt.

  • Für Systeme ab Windows Server 2008 soll RC4 bis Mitte 2026 abgeschaltet werden.

Handlungsbedarf für Unternehmen:

  • Prüfen, ob noch Systeme im Netzwerk ausschließlich RC4 unterstützen (Eventlog-Analyse).

  • Alte Systeme migrieren oder ersetzen.

  • Service- und Benutzerkennwörter aktualisieren.

  • Abhängigkeiten identifizieren und bereinigen.

RC4 im Active Directory identifizieren:
Wir bieten ein „Active Directory Deep Scan“ an, der unter anderem RC4-Nutzung identifiziert, Sicherheitsrisiken bewertet (inkl. Mapping auf MITRE ATT&CK) und bei der sicheren Deaktivierung von RC4 unterstützt.

Bei weiterem Fragen stimmen Sie sich mit einem unserer CAIRO-Experten ab. 

NIS2 – Pflichten aus Management-Perspektive

Seit dem 6. Dezember 2025 müssen sich Geschäftsführer konkret fragen:
Sind wir von NIS2 betroffen?

Im Kern bedeutet NIS2: Das Management muss IT-Risiken aktiv steuern und entsprechende Maßnahmen selbst treffen. Delegation allein reicht nicht – NIS2 schreibt ausdrücklich die Nicht-Delegierbarkeit vor.

Als Hilfestellung hat das BSI einen Leitfragen-Katalog für die Geschäftsleitung veröffentlicht, der als praxisnahe Schulung dient.

  • Ab Seite 15 finden Sie die wichtigsten Fragen, die ein gut abgesichertes Unternehmen beantworten sollte
  • Dazu gibt es praktische Beispiele für passende Antworten und typische Antworten, die nicht ausreichend sind
  • Geschäftsführer und Manager sollten diese Fragen selbst beantworten können, um im Ernstfall vorbereitet zu sein

Beispiel einer der 10 essenziellen Fragen:

Bei weiterem Fragen stimmen Sie sich mit einem unserer CAIRO-Compliance-Experten ab. 

Wir unterstützen Sie bei der praktischen Umsetzung und helfen, Sicherheit effizient zu gestalten.

20 praktische Checklisten auf dem Weg zur BSI-Grundschutz Absicherung

Der BSI-Grundschutz umfasst inzwischen über 5.000 Seiten und ist mindestens so umfangreich wie eine ISO 27000-Zertifizierung. Damit auch kleinere Firmen oder Verwaltungen ein praktikables Sicherheitsniveau erreichen, hat das BSI drei kompakte Varianten entwickelt – von groß nach klein:

  1. BSI Basis-Absicherung
  2. BSI Grundschutz für Kommunale Verwaltung
  3. BSI Weg in die Basisabsicherung (WiBa) – 20 praktische Checklisten auf 200 Seiten

Die Checklisten sind praktisch, leicht verständlich und direkt anwendbar – auch für IT-Teams ohne ISB- oder CISO-Hintergrund.

  • Die Checklisten decken technische und organisatorische Maßnahmen ab
  • Sie eignen sich perfekt für neue ISBs oder IT-Verantwortliche, die schnell einsteigen möchten
  • Einfach nach Kapiteln gegliedert, leicht verständlich und sofort nutzbar

Mit einem Klick können Sie hier die WiBa-Checklisten direkt beziehen.

Wir unterstützen Sie bei der praktischen Umsetzung und helfen, Sicherheit effizient zu gestalten.

Bei komplexeren Fragen zu einem Lean-ISMS, Notfallplänen oder Schutzklassen-Definitionen können Sie sich jederzeit mit einem unserer CAIRO-Experten ab.

Schutzklassen und IT-Risiken richtig festlegen

Viele Unternehmen stehen vor der Frage, wie sie Daten und IT-Systeme korrekt klassifizieren und Risiken verlässlich bewerten können. Entscheidend ist die enge Zusammenarbeit zwischen IT, Fachbereichen und Informationssicherheit. Das Ziel ist eine einheitliche Vorgehensweise im Unternehmen zur Bestimmung von Schutzklassen (SK) und zur Berechnung von Unternehmensrisiken.

Der etablierte Ablauf

  1. Begriffsverständnis schaffen
    IT erklärt Fachbereichen den Schutzklassen-Begriff – Grundlage für einheitliche Bewertung.
  2. Vorbewertung durch Fachbereich
    Fachbereich legt erste SK fest (ohne finalen Schadensbezug) – nur hier ist die fachliche Kritikalität bekannt.
  3. Kritische Systeme beschreiben (ab SK ≥ 2)
    IT ergänzt technische Perspektive: Benutzer, Berechtigungen, Komponenten, Abhängigkeiten, Schutzmaßnahmen.
  4. Risikobewertung durchführen
    Gemeinsame Analyse von:
    • wirtschaftlichem Schaden
    • Eintrittswahrscheinlichkeit
    Ergebnis: finale SK auf Basis Schadenshöhe.
  5. SLAs fachlich definieren
    Fachbereich beschreibt Anforderungen ähnlich einem Lastenheft:
    • MTD (Datenverlust)
    • MTA (Ausfallzeit)
    • BCM-Überlegungen für Notfälle
  6. SLAs technisch garantieren
    IT liefert passende Lösungen (Pflichtenheft) und zeigt Gap-Analyse zwischen Bedarf und Machbarkeit.

Warum sich der Aufwand lohnt:

Die monetäre Bewertung der Risiken schafft Entscheidungsgrundlagen für:

  • Cyber-Versicherungen
  • Budget- und Investitionsplanung
  • Priorisierung von Sicherheitsmaßnahmen
  • BCM- & Notfallstrategien

Typische Schäden bei Ausfall oder Cyberangriff

  • Verlust von Unternehmenswert
  • Umsatz- & Produktivitätsverluste
  • zusätzlicher IT-Aufwand / externe Experten
  • Hardware-Kosten
  • DSGVO-Bußgelder

Bei weiterem Fragen stimmen Sie sich mit einem unserer CAIRO-Experten ab.

Maximale Datensicherheit in M365 – mit der Purview Suite

Microsoft Purview ist die Datenschutz-, Compliance- und Governance-Plattform innerhalb von Microsoft 365. Sie integriert sich nahtlos in Dienste wie SharePoint, Teams und Exchange und hilft Unternehmen, sensible Daten zu erkennen, zu schützen und Aktivitäten revisionssicher nachzuverfolgen.

Die Purview Suite gliedert sich in mehrere spezialisierte Funktionsbereiche: 

  • Information Protection: Schutz sensibler Daten mithilfe von Sensitivity Labels, Verschlüsselung und granularen Zugriffskontrollen. 
  • Data Loss Prevention: Verhindert unbeabsichtigte Datenabflüsse und schützt vertrauliche Informationen – vollständig integriert mit Sensitivity Labels. 
  • Insider Risk Management: Identifiziert und bewertet potenzielle Risiken durch auffälliges Benutzerverhalten, z. B. ungewöhnlich große Daten-Exports. 
  • eDiscovery & Audit: Umfassende Protokollierung von Benutzeraktivitäten, Änderungen, Zugriffen und Berechtigungen – inklusive 80 detaillierter Audit-Bereiche. 
  • Records Management & Retention: Effiziente Steuerung von Aufbewahrungsrichtlinien für Daten, Dokumente und strukturierte Inhalte. 
  • Message Encryption & Customer Key: Sichere E-Mail-Verschlüsselung und Kontrolle über eigene Schlüssel – besonders relevant für regulierte Branchen wie Finanzwesen, Gesundheitswesen oder öffentliche Verwaltung. 
  • Records & Lifecycle Management: Automatisierte, richtlinienkonforme Aufbewahrungs- und Löschprozesse. 
  • Compliance Management: Zentrales Dashboard zur Verwaltung und Umsetzung von regulatorischen Anforderungen wie DSGVO oder ISO 27000. 
  • Data Map: Aktuelle, durchsuchbare Übersicht aller relevanten Datenquellen im Unternehmen. 
  • Unified Data Catalog: Zentraler Katalog zur Verwaltung, Kuratierung und Governance sämtlicher Datenquellen. 

Bei Fragen zur Purview-Implementierung stehen die  CAIRO M365-Experten zur Verfügung.

Entdecken Sie 185 mögliche Lücken im Benutzer-Management

Viele Mitarbeitende nutzen täglich AD oder Entra ID, weshalb starke Sicherheitsmaßnahmen essenziell sind. Dennoch finden sich in fast allen Organisationen kritische, oft jahrelang unentdeckte Fehlkonfigurationen.

Der AD Deep Scan von CAIRO bietet dafür einen automatisierten Sicherheitscheck mit 185 Tests für AD, Entra ID und angebundene Systeme wie Okta.

Sie erhalten: 

  • einen deutschsprachigen, ausführlichen Report mit klaren Handlungsempfehlungen 
  • eine interaktive Expertenbesprechung Ihrer Ergebnisse 
  • die Identifikation von Indicators of Exposure (IoE) und tatsächlichen Indicators of Compromise (IoC). Die Prüfung umfasst Fehlkonfigurationen in den Bereichen AD-Infrastruktur, Kontosicherheit, Delegationen, Gruppenrichtlinien und Kerberos-Sicherheit. 
  • eine Bewertung nach DISA-Best Practices und dem MITRE ATT&CK®-Framework 

Möchten Sie wissen, wie Ihr AD wirklich dasteht? 
Dann sichern Sie sich unverbindlich Ihren Deep-Scan-Termin und stimmen Sie sich mit einem unserer CAIRO IT-Experten ab.

Ihre IT ist nur so stark wie Ihr schwächstes System

IT-Systeme in Unternehmen sind durch neue Features, Konfigurationsänderungen und hybride Cloud-Umgebungen ständig Angriffen ausgesetzt. Effektiver Schutz gelingt durch Systemhärtung:
Mit Maßnahmen von der Applikation bis zum Netzwerk reduzieren Sie die Angriffsfläche und steigern die IT-Resilienz.

Eine kompakte Checkliste hilft beim direkten Einstieg.

Sie zeigt die wichtigsten Schritte, um: 

  • Sicherheitslücken schnell zu erkennen und zu schließen
  • Systeme effizient zu härten 
  • Compliance-Anforderungen einfach zu erfüllen 
Checkliste herunterladen

BSI veröffentlicht neues Framework für IT-Verteidigungsfähigkeit

Anfang November 2025 veröffentlichte das BSI gemeinsam mit internationalen Partnern ein neues Framework zur modernen verteidigungsfähigen IT-Architektur (MDA).
Ziel ist es, IT-Nutzern und IT-Management die Umsetzung von „Security by Design & Default“ und „Zero Trust“ zu erleichtern.

Das Framework besteht aus 10 zentralen Foundations:

  1. Centrally managed enterprise identities
  2. High confidence authentication
  3. Contextual authorisation
  4. Reliable asset inventory
  5. Secure endpoints
  6. Reduced attack surface
  7. Resilient networks
  8. Secure-by-Design
  9. Comprehensive validation and assurance
  10. Continuous and actionable monitoring

Die detaillierten Leitfäden für die jeweiligen Bereiche finden Sie hier.

Die Leitfäden unterstützen beim Abschluss einer Cyberversicherung, beim Aufbau eines ISMS und bei der Vorbereitung auf eine ISO-27001-Zertifizierung.

NIS2 wird Gesetz – was Sie in der IT jetzt tun müssen

Die NIS2-Richtlinie wird bald in deutsches Recht umgesetzt und betrifft über 30.000 Unternehmen. Sie macht Cybersecurity, stabile IT-Strukturen und sichere Prozesse zur Pflicht.

Die Anforderungen steigen deutlich: Risikomanagement, Meldepflichten, technische Schutzmaßnahmen und Schulungen werden verbindlich – auch für Mittelständler, selbst wenn sie bisher nicht als KRITIS galten.

Der CAIRO NIS2-Plan zeigt:

  • welche Pflichten und Fristen gelten,
  • wie Ihr Unternehmen gesetzeskonform und effizient vorgeht,
  • welche Technologien und Prozesse Priorität haben (z. B. ISMS, Schwachstellenmanagement, MFA, IDS/IPS, Schulungen)
  • und wie Sie Bußgelder vermeiden.
Plan herunterladen

NIS2: So machen Sie den ersten Schritt

Ab Anfang 2026 wird die EU-Richtlinie NIS2 in deutsches Recht umgesetzt. Für Unternehmen bedeutet das: Informationssicherheit ist Pflicht. Wer die Vorgaben nicht erfüllt, riskiert Bußgelder und schwächt die eigene IT-Sicherheit.

Um den Überblick zu behalten, haben wir eine kompakte NIS2-Checkliste erstellt. Sie fasst die wichtigsten technischen und organisatorischen Maßnahmen zusammen und ermöglicht eine schnelle Eigenüberprüfung, ganz ohne Gesetzestexte.

Checkliste herunterladen

Schneller Einstieg ins ISMS

Ein ISMS hilft, Risiken systematisch zu erkennen und zu minimieren. Im Alltag fehlt oft die Zeit, Richtlinien und Verfahren zu entwickeln und umzusetzen.

Unser Ansatz bietet einen kompakten Überblick und zeigt, dass bereits ein praktisches „Mini-ISMS“ die Sicherheit spürbar erhöhen kann. Laden Sie jetzt unseren kostenlosen Plan herunter und starten Sie direkt in die ISMS-Erstellung.

Plan herunterladen

Ihre IT-Sicherheit im Blick

2024 wurde jedes zweite mittelständische Unternehmen in Deutschland Opfer eines Cyberangriffs. Hohe Kosten, Ausfallzeiten und Reputationsschäden sind die Folge. Oft fehlt im Alltag der klare Blick auf eigene Sicherheitslücken.

Unsere kompakte Checkliste zeigt die 20 häufigsten Schwachstellen – z. B. VPN-Nutzer auf Firewalls – und bietet Ihnen ein praktisches Werkzeug zur schnellen Selbsthilfe.

Checkliste herunterladen