Einige Benutzer versuchen, Kennworte mit KI zu generieren bzw. die Aufgabe an KI-Agenten zu übertragen.
Leider nutzen die zugrunde liegende Large Language Models (LLMs) bekannte Muster, die es einem Angreifer erlauben, diese Kennworte mit geringem Aufwand herauszufinden:
Alle Passwörter beginnen mit einem Buchstaben, meist einem großen G, auf das fast immer die Ziffer 7 folgt.
Die Auswahl der Zeichen ist sehr ungleichmäßig:
So kamen beispielsweise L, 9, m, 2, $ und # in allen 50 Passwörtern vor, während 5 und @ jeweils nur in einem Passwort vorkamen und die meisten Buchstaben des Alphabets gar nicht auftauchten.
Sogar ganze Passwörter wiederholen sich: In den oben genannten 50 Versuchen gibt es tatsächlich nur 30 eindeutige Passwörter. Das häufigste Passwort war G7$kL9#mQ2&xP4!w, das sich 18 Mal wiederholte, was diesem spezifischen Passwort in unserem Testsatz eine Wahrscheinlichkeit von 36% einräumte; weit höher als die erwartete Wahrscheinlichkeit von 2–100, wenn es sich wirklich um ein 100-Bit-Passwort handeln würde.
Handlungsempfehlung:
Generierte Kennworte sind typischerweise sicherer als Benutzer gewählte Kennworte aber es hängt stark davon ab, welcher Generator verwendet wird. Oft sind Kennwort-Manager wie heylogin mit eigenen Generatoren ausgestattet, die zufälliger agieren. In einer Kennwort-Policy – verankert in einem ISMS – sollte nach aktuellem Stand die Nutzung der KI-Generatoren für den Zwecke der Kennwort-Erzeugung ausgeschlossen werden.
Ein ISMS ist ein unabdingbares System, um die IT-Sicherheit in Ihrem Unternehmen zu garantieren.
Bei einem ISMS handelt es sich nicht wie der Name suggeriert um ein IT-System, sondern um eine Sammlung von Dokumenten aus Leitlinien, Richtlinien und Verfahren – teilweise mit engem Bezug zur Organisation, zu Stellenbeschreibungen sowie zu vertraglichen Dokumenten zwischen Arbeitgeber und Arbeitnehmern oder Lieferanten.
Alle, die den internationalen IT-Betriebsstandards ITIL kennen, wissen, dass es zwischen ITIL und Betriebshandbüchern auf der einen Seite und einem ISMS auf der anderen Seite eine große inhaltliche Überlappung gibt! Hier ist man als Verantwortlicher in einem Dilemma, wenn man die Doppelpflege vermeiden will. Ein sinnvoller Master-Plan ist am Anfang nötig, um eine saubere Dokumententrennung und ein Referenzieren zu ermöglichen.
Auch Cyber-Versicherungen fordern zumindest Teile eines ISMS ab, um den eventuellen Schaden überhaupt zu übernehmen.
Sie erweitern ständig ihre Checklisten, auch bei laufenden Verträgen, weshalb ein ISMS sinnvoll ist. Compliance-Normen geben die Richtung und Struktur für ein ISMS vor. Allerdings sind diese Standards entweder sehr konkret und kleinteilig formuliert – mit Umfängen von bis zu 5.000 Seiten (z. B. BSI IT-Grundschutz, ISO 27000) – oder sie sind mittelstandsgerecht kompakt gehalten, mit etwa 50 Seiten und flexiblen Kategorien (z. B. VdS 10000). Letztere fordern jedoch keine konkreten IT-Prozesse und Verfahren ein.
Völlig unabhängig davon, welcher Norm Sie folgen möchten: Eine ISMS-Dokumentenstruktur oder der Umfang selbst ist nicht vorgegeben. Ein ISMS muss lediglich alle Anforderungen abdecken und gleichzeitig praktikabel nutzbar sein. Der praktische Nutzen ist erfüllt, wenn das ISMS für alle Mitarbeitenden leicht, schnell lesbar und verständlich ist, konkret in der Anwendung bleibt und zudem einfach zu pflegen ist.
Aufbau eines ISMS
Ein umfangreiches ISMS, das auch dazu dient, IT-Audits erfolgreich zu gestalten, erfordert ein größeres mehrmonatiges Projekt. Faktisch ist es eher ein Unternehmens-Steuerungsprojekt als ein reines IT-Projekt. Das ISMS besteht am Ende aus:
1 Leitlinie
20-30 Richtlinien (mit Arbeitsrollen, OrgCharts)
20-30 Verfahren und Handlungsanweisungen (mit Tools, Arbeitsrollen)
10 Prozess-Plänen, die die Abhängigkeiten und Reihenfolge der Richtlinien und Verfahren beschreiben
Zusatz-Dokumente wie Formulare und Checklisten
Als Alternative und für den ersten, schnellen positiven Effekt kann man sich begrenzen auf:
Aufbau eines Asset-Registers mit Assets und Asset-Typen – immer beginnend mit den Applikationen als Träger von Geschäftsprozessen
Definition und Beschreibung von „kritischen Systemen“ (Geschäftsprozesse, Daten) von den Applikationen zu den IT-Infrastruktur-Assets, inkl. Netzwerk:
Benutzer
Abhängigkeiten und Schutzklassen-Definitionen
BCM-Maßnahmen
Backup & Restore & Recovery (am besten ein 3-2-1 Backup)
Risiko-Analyse (auch nach NIS-2 im Fokus)
Notfallpläne für IT und Anwender
In beiden Fällen reduziert der CAIRO Baukasten die Aufwendungen erheblich.
Jüngste Updates
Seit 12 Monaten erweitern alle Nutzer das ISMS um viele KI-Aspekte bzgl. der KI-Nutzung durch die Anwender, aber auch bzgl. der in Hersteller-Produkte eingegebenen Nutzerdaten und Verwendung dieser durch die Hersteller-KI (Beispiel: Microsoft Copilot).
Auch hat die Risiko-Analyse wegen NIS-2 eine höhere Bedeutung erfahren und wird immer sorgfältiger ausgeführt. In diesem Zuge werden auch die Cyber Security Versicherungs-Checklisten erneut geprüft und referenziert.
Es gibt verschiedene Security Awareness Lösungen im Markt, die sich bezüglich ihrer Eigenschaften deutlich unterscheiden. Daher unterstützen wir unsere Kunden bei der Auswahl und Einführung der passenden Produkte. Deren Hersteller versuchen ständig, die neuen und immer intelligenteren Attacken mit besseren Funktionen abzuwehren. Insofern lohnt sich ein Blick auf die neuen Features, um genau diese schwer zu erkennenden Angriffsvektoren zu verstehen.
Wir empfehlen oft das Produkt „Phished“ der gleichnamigen Firma www.pished.io und geben Ihnen daher anhand der Neuigkeiten dieses Produktes einige Einblicke.
Der Name „Phished“ ist erstmal irreführend, aber das belgische Produkt punktet mit reichhaltigen Funktionsumfang, neuen Features und sehr günstigen Preisen!
Security-Awareness-Trainings inkl. KI-gesteuerter Phishing-Simulationen lassen sich individuell konfigurieren – abgestimmt auf Kompetenzniveau, Rolle, Abteilung und verwendete Apps & Geräte. Mehr als 6000 Firmenkunden setzen bereits auf Phished.
Die Angriffe werden mit Social Engineering – gepaart mit KI – immer ausgefeilter und gezielter, sodass klassische Erkennungsmechanismen zunehmend versagen. Das Training der Endbenutzer wird dadurch immer wichtiger. Gleichzeitig schreibt NIS-2 (Art. 20 & 21) verpflichtende Cybersicherheitsschulungen für alle Mitarbeitenden sowie ein spezielles Management-Training vor (inklusive Risikobewertungen und Nachweispflicht).
Phished hat sein Portfolio gezielt um Schutzlösungen erweitert, die über reines Training hinausgehen. Diese dienen dazu, die auch nach intensivem Training verbleibenden Rest-Klickraten auf Phishing-Mails auf nahe 0% zu reduzieren. Selbst ein einziger Fehl-Klick kann einen schwerwiegenden Cybervorfall auslösen. Die Logik dahinter: Bedrohungen werden immer durchkommen, deshalb muss der Schutz im Moment der Interaktion ansetzen, nicht nur bei der Erkennung.
So werden z.B. im neuen Produkt „Zero Incident Mail™“ (ZIM) alle E-Mails und Links aus unbekannten Domänen automatisch in einem digitalen Silo geöffnet – vollständig isoliert von der IT-Infrastruktur des Unternehmens. Das Silo löscht sich nach der Sitzung selbst, ohne Daten zu speichern. ZIM analysiert Links in Echtzeit und warnt den Nutzer sofort über das Risikolevel. Es lässt sich auch nahtlos in bestehende SOC-, SIEM- und SOAR-Umgebungen integrieren.
Zusätzlich steht ein vollautomatischer Modus zur Verfügung: ZIM übernimmt die KI-gesteuerte Analyse vollständig im Hintergrund, ohne dass der Nutzer aktiv eingreifen muss. Phishing-bezogene IT-Tickets werden so drastisch reduziert. Die meisten Spamfilter werden damit überflüssig.
Aktuell ist das Produkt verfügbar für M365 Exchange Online und für Exchange OnPrem in Q2/2026.
Sollten diese automatischen Mechanismen nicht gewünscht sein, gibt es den neuen „Phished Assistant“. Dieser erlaubt mit „Secure before you click“ eine durch den Endanwender gestartete, schnelle E-Mail-Analyse im Verdachtsfall. Verdächtige E-Mails oder Links werden dabei in einer vollständig isolierten Browser-Umgebung geöffnet – ohne Zugriff auf das Endgerät oder die Unternehmensinfrastruktur. KI-gestützte Echtzeit-Analyse hebt Phishing-Indikatoren hervor und liefert klare Handlungsempfehlungen.
Da immer mehr Angriffe über verkürzte Links in E-Mails, Teams, Slack oder SMS erfolgen, können mit dem Assistenten auch Links aus diesen Kanälen sicher geprüft werden, ohne die IT-Sicherheit zu gefährden.
Das Ergebnis: Zero Trust = Zero Incidents, ohne zusätzlichen IT-Aufwand.
Unsere allgemeine Handlungsempfehlung
Nutzen Sie eine professionelle und leichtgewichtige Lösung wie Phished, um sich dem Ziel „Zero Incident Mail™“ zu nähern und gleichzeitig den Umgang mit E-Mails für Ihre Mitarbeitenden einfach und sicher zu gestalten. Phished erfüllt dabei gleichzeitig die NIS-2-Anforderungen an Cybersicherheitsschulungen und liefert mit dem Behavioral Risk Score™ eine messbare, auditierbare Risikobewertung für das Management.
Bei Fragen zu Phished oder für eine Produktvorstellung stehen Ihnen unsere CAIRO-Security-Experten jederzeit gerne zur Verfügung.
OnPrem-Exchange Schwachstelle und deren Mitigation
Microsoft hat am 14. Mai 2026 die Schwachstelle CVE-2026-42897 für Microsoft Exchange Server offengelegt. Sie liegt im Outlook-Web-Access-Stack und erlaubt einem unauthentifizierten Angreifer, über eine speziell präparierte E-Mail JavaScript im Browser-Kontext des Empfängers auszuführen.
Der CVSS-Basisscore liegt bei 8.1, eingestuft als High, der Temporal Score bei 7.5. Ein klassisches Security Update ist noch nicht verfügbar.
Microsoft stellt zunächst eine Mitigation bereit, die über den Exchange Emergency Mitigation Service automatisch ausgerollt wird oder per Skript nachgezogen werden kann. Ein dedizierter Patch ist angekündigt, aber zum jetzigen Zeitpunkt noch nicht freigegeben.
Betroffen sind Exchange Server 2016 Cumulative Update 23, Exchange Server 2019 Cumulative Updates 14 und 15 sowie Exchange Server Subscription Edition RTM.
Exchange Online (M365) ist von der Schwachstelle nicht betroffen!
Unsere allgemeine Handlungsempfehlung
Microsoft rollt die Mitigation über den Exchange Emergency Mitigation Service aus, kurz EM Service oder EEMS.
Der Dienst ist auf den unterstützten Exchange-Versionen standardmäßig aktiv.
Solange er nicht explizit deaktiviert wurde, wird die Mitigation für CVE-2026-42897 automatisch eingespielt. Die zugehörige Mitigation-ID lautet M2.1.x. EEMS-Mitigationen sind generell keine Codepatches im klassischen Sinn, sondern Konfigurationsänderungen, die der lokal laufende MS Exchange Mitigation-Dienst auf Anweisung des Cloud-Endpoints anwendet.
Für Organisationen, die EEMS deaktiviert haben oder in einem disconnected oder air-gapped Setup arbeiten, bleibt das Exchange On-Premises Mitigation Tool (EOMT) als Alternative.
Dieses Skript wird aus einer elevated Exchange Management Shell ausgeführt und kann die Mitigation entweder auf einen einzelnen Server oder auf alle Exchange-Server einer Organisation anwenden, mit Ausnahme von Edge-Servern.
Microsoft pflegt EOMT.ps1 im offiziellen CSS-Exchange-Repository auf GitHub.
Nebenwirkung der Mitigation
Mit der Mitigation gehen zwei dokumentierte OWA-Einschränkungen einher. Die „Print Calendar“-Funktion in OWA funktioniert möglicherweise nicht mehr, als Work-around nennt Microsoft das Kopieren der Kalenderdaten, einen Screenshot oder den Wechsel auf den Outlook-Desktop-Client. Außerdem werden Inline-Bilder im Reading Pane des Empfängers nicht zuverlässig dargestellt. Hier hilft es, Bilder als Anhang zu versenden oder ebenfalls Outlook Desktop zu verwenden.
Beide Einschränkungen verschwinden, sobald Microsoft das eigentliche Security-Update veröffentlicht hat und der Patch eingespielt ist.
Kontrolle für den Erfolg der Mitigation
Für die Kontrolle, ob die Mitigation tatsächlich greift, ist der „Exchange Health Checker“ der pragmatische Standardweg. Das Skript prüft den Zustand des MS Exchange Mitigation-Dienstes (Startup Automatic, Status Running), die Erreichbarkeit des Office Config Endpoints unter officeclient.microsoft.com/GetExchangeMitigations und listet die aktuell angewendeten und blockierten Mitigationen im HTML-Report auf. Wer pro Server prüfen möchte, findet in der Microsoft-Doku „Viewing Applied Mitigations“ einen eigenen Pfad mit den passenden Cmdlets.
Ein optisches Detail führt in der Praxis zu Rückfragen. In den Mitigation Details kann der Text „Mitigation invalid for this exchange version“ erscheinen, obwohl die Mitigation korrekt eingespielt wurde. Microsoft bestätigt das als rein kosmetischen Effekt. Solange der Status „Applied“ steht, ist die Mitigation aktiv.
OpenSSL: 12 neue Schwachstellen, geschlossen im Release vom 27.Januar 2026
Am 27. Januar 2026 wurden im Rahmen eines OpenSSL-Updates insgesamt 12 Sicherheitslücken geschlossen. OpenSSL ist eine weit verbreitete Technologie zur Absicherung von Datenübertragungen im Internet und wird von vielen Systemen und Anwendungen genutzt.
Die veröffentlichten Schwachstellen können potenziell die Sicherheit von IT-Systemen beeinträchtigen, sofern keine zeitnahe Aktualisierung erfolgt. Eine Übersicht finden Sie unter:
Um Ihre Systeme bestmöglich zu schützen, empfehlen wir folgende Schritte:
Systeme aktualisieren: Stellen Sie sicher, dass Ihre Server und Systeme (insbesondere Unix/Linux) auf dem neuesten Stand sind und alle sicherheitsrelevanten Updates installiert wurden.
Anwendungen prüfen und aktualisieren: Viele Anwendungen wie Webserver (z. B. Apache), Versionsverwaltungssysteme (z. B. Git) oder weitere Dienste nutzen OpenSSL intern. Bitte stellen Sie sicher, dass auch diese Anwendungen auf aktuelle Versionen aktualisiert werden.
Besonderheit bei Windows-Systemen: Auf Windows-Servern wird OpenSSL in der Regel nicht vollständig über die regulären Windows-Updates gepflegt. Daher ist hier eine separate Aktualisierung erforderlich, beispielsweise über den offiziellen Win32OpenSSL-Installer.
Transparenz über eingesetzte Software
Eine zentrale Voraussetzung für wirksame Sicherheitsmaßnahmen ist die vollständige Transparenz über die eingesetzte Softwarelandschaft. Nur wenn bekannt ist, auf welchen Systemen und in welchen Anwendungen OpenSSL verwendet wird, können betroffene Komponenten gezielt identifiziert und aktualisiert werden.
Wir empfehlen daher dringend den Einsatz einer strukturierten Software-Inventarisierung in Kombination mit kontinuierlichem Schwachstellenmonitoring. Auf dieser Basis lassen sich veraltete OpenSSL-Versionen zuverlässig erkennen und die notwendigen Maßnahmen zur Behebung der Sicherheitslücken ableiten.
In der Praxis zeigt sich häufig, dass diese Transparenz nicht vollständig gegeben ist, wodurch Sicherheitsrisiken unbemerkt bestehen bleiben können.
Bei Fragen oder zur gemeinsamen Bewertung stehen Ihnen CAIRO-Expertenjederzeit gerne zur Verfügung.
Großer Schaden durch DNS-Tunneling
DNS – Was war passiert?
Das DNS ist das zentrale und ständig verwendete Domain Name System, um IP-Adressen und Rechnernamen zuzuordnen. Somit das Herz Ihrer IT. Was war passiert: Ein mittelständisches Unternehmen bemerkte zunächst nichts Ungewöhnliches: Die Firewall-Logs zeigten normalen DNS‑Verkehr, die Systeme liefen stabil, es gab keine offensichtlichen Warnmeldungen. Wochen später stellte sich jedoch heraus, dass sensible Kundendaten das Netzwerk unbemerkt via DNS-Tunneling als „Schleuse“ verlassen hatten.
Was ist DNS-Tunneling?
DNS‑Tunneling ist eine Angriffstechnik, bei der das Domain Name System (DNS) zur Umgehung von Sicherheitsmechanismen ausgenutzt wird. Da DNS ein grundlegender Netzwerkdienst ist und selbst in stark eingeschränkten Umgebungen nahezu immer erlaubt wird, eignet er sich besonders gut als verdeckter Kommunikationskanal.
Beim DNS‑Tunneling werden Daten wie Steuerbefehle oder exfiltrierte Informationen kodiert und innerhalb von DNS‑Anfragen oder DNS‑Antworten übertragen. Diese Daten werden häufig in langen oder ungewöhnlich aufgebauten Subdomains versteckt und an einen vom Angreifer kontrollierten DNS‑Server gesendet. Da DNS‑Verkehr im normalen Betrieb als legitim gilt und meist ungefiltert passiert, bleibt diese Kommunikation für klassische Sicherheitslösungen oft unentdeckt und erlaubt eine unauffällige, persistente Verbindung zwischen Angreifer und kompromittierten Systemen.
DNS-Tunneling erkennen
DNS‑Tunneling lässt sich anhand auffälliger Merkmale im DNS‑Verkehr erkennen. Dazu gehören ungewöhnlich lange oder zufällig wirkende Domainnamen, eine erhöhte Anzahl von DNS‑Anfragen einzelner Endgeräte sowie die Nutzung untypischer Record‑Typen. Verdächtig sind zudem Anfragen an unbekannte oder neu registrierte Domains mit auffälligen Antwortgrößen oder -mustern. Eine effektive Detektion erfordert eine kontinuierliche Analyse des DNS‑Traffics auf Anomalien, etwa hinsichtlich Abfragelänge, Frequenz und Entropie, sowie eine zentrale Protokollierung und Korrelation mit Endpoint‑ und Netzwerkdaten. Sicherheitslösungen mit integrierten DNS‑Security‑Funktionen und Threat‑Intelligence‑Anbindung unterstützen zusätzlich bei der frühzeitigen Erkennung bekannter schädlicher Domains.
Handlungsempfehlungen
Um DNS‑Tunneling wirksam zu verhindern, empfehlen wir folgende Gegenmaßnahmen:
Zentrale DNS‑Kontrolle sicherstellen
DNS‑Traffic gezielt analysieren
Bekannte Bedrohungen durch Threat Intelligence und Sinkholing stoppen
Strukturierung von IT-Zugriffsrechten
mit dem Tier-Konzept
Worum geht es?
In modernen IT-Infrastrukturen ist Active Directory nach wie vor das Rückgrat der Identitäts- und Zugriffsverwaltung, auch in hybriden Szenarien mit Microsoft Entra ID (M365).
Gleichzeitig stellt Active Directory eines der attraktivsten Angriffsziele dar: Wer die Kontrolle über das Verzeichnis erlangt, kann in der Regel die gesamte IT-Landschaft übernehmen.
Bekannte Angriffsmethoden wie Pass-the-Hash, Kerberoasting oder gezielte Privilege Escalation zeigen deutlich, dass klassische Sicherheitsmechanismen allein nicht ausreichen, um insbesondere privilegierte Konten wirksam zu schützen.
Die Realität aus vielen Sicherheitsanalysen: Angreifer bewegen sich nach der initialen Kompromittierung häufig lateral durch die Umgebung, mit dem klaren Ziel, Domänen-Admin-Rechte zu erlangen.
Ziel des Admin-Tier-Konzepts
Das Admin-Tier-Konzept verfolgt das Ziel, administrative Zugriffe strikt zu segmentieren und voneinander zu isolieren, um zu verhindern, dass eine Kompromittierung auf einer niedrigen Ebene (z. B. Client) unmittelbar zu einem vollständigen Kontrollverlust über das Active Directory führt.
Dabei geht es nicht nur um Technik, sondern um einen grundlegenden Paradigmenwechsel:
Weg vom universellen „Super-Admin“ – hin zu klar getrennten Verantwortungs- und Sicherheitszonen.
Die Tier-Struktur (0 / 1 / 2)
Der Begriff „Tier“ beschreibt eine Sicherheitsstufe, der sowohl Systeme als auch Benutzerkonten zugeordnet werden.
Zentrale Sicherheitsregel
Die wichtigste Regel des Tier-Konzepts lautet:
Keine übergreifenden Anmeldungen zwischen den Tiers.
Konkret bedeutet das:
Tier‑0‑Administratoren arbeiten ausschließlich auf Tier‑0-Systemen
Tier‑1‑Administratoren haben keinen Zugriff auf Tier 0 oder Tier 2
Tier‑2 ist bewusst die am wenigsten vertrauenswürdige Ebene
Konsequenz: Eine Kompromittierung eines Arbeitsplatzrechners (Tier 2) darf keinen direkten Pfad zu privilegierten Konten oder kritischen Systemen eröffnen.
Ende des „Super-Admins“
In vielen gewachsenen IT-Umgebungen existieren noch immer „Allzweck-Administratoren“, die:
auf Domain Controllern arbeiten
gleichzeitig Server administrieren
und sich parallel auf Clients anmelden
Dieses Modell stellt ein erhebliches Sicherheitsrisiko dar.
Das Tier-Konzept ersetzt es durch:
dedizierte Admin-Konten je Tier
klare Trennung von Rollen und Verantwortlichkeiten
Umsetzung des Least-Privilege-Prinzips
Technische Umsetzung (Auszug)
Die Einführung des Admin-Tier-Konzepts umfasst typischerweise:
Klassifizierung aller Systeme und Konten in Tier 0 / 1 / 2
Anpassung der Active Directory Struktur (OUs, Gruppen)
Härtung der Anmeldepfade (z. B. mittels GPOs)
Netzwerksegmentierung zwischen den Tiers
Einsatz separater Administrationsarbeitsplätze (PAWs)
Organisatorische Herausforderungen
Neben der technischen Umsetzung sind insbesondere organisatorische Aspekte entscheidend für den Erfolg:
Akzeptanz bei Administratoren (eingeschränkte Flexibilität wird zunächst oft als hinderlich wahrgenommen)
Anpassung bestehender Betriebsprozesse (z. B. Rollenkonzepte, Incident Handling, Deployment-Prozesse)
Schulung und Sensibilisierung (Verständnis für Bedrohungslage und Schutzmaßnahmen)
Das Admin-Tier-Konzept ist kein „Nice-to-have“, sondern ein zentraler Baustein moderner AD-Sicherheitsarchitekturen.
Es reduziert signifikant das Risiko, dass ein isolierter Sicherheitsvorfall zu einer vollständigen Domänenkompromittierung eskaliert.
Gerade vor dem Hintergrund zunehmender Cyberangriffe und regulatorischer Anforderungen (z. B. NIS2) gewinnt die konsequente Trennung administrativer Ebenen weiter an Bedeutung.
Unsere allgemeinen Handlungsempfehlungen
Erstellen Sie ein für Ihr Unternehmen passendes Admin-Tier Konzept, wenn nicht vorhanden.
Bei Fragen oder zur gemeinsamen Bewertung stehen Ihnen CAIRO-Experten rund um das Active Directory jederzeit gerne zur Verfügung.
Phishing und MFA – Erfolgreiche Attacken
…wieder mal passiert
Kennworte von Accounts wurden mit den üblichen Phishing Methoden gestohlen & Anmeldungen wurden – trotz aktiver MFA-Methode – mit einem zweiten Faktor durchgeführt. Dies hatte natürlich ein erhebliches Schadenspotential und ist ein meldepflichtiger Vorgang nach NIS-2!
Was war passiert:
Die Abfolge mittels einer „Man in the Middle“ Attacke zur Ermittlung des MFA-Codes war:
Mit einer Phishing-E-Mail und Webseiten Anmeldung wurde das Benutzer-Kennwort gestohlen. Normalerweise denkt man: „Kein Problem – ich habe ja noch MFA und der Hacker kann sich nicht anmelden“ABER, dann kam eine zweite „offizielle“ Webseite, die den MFA-Token anfragt. Auch diese Webseite wurde von dem Hacker betrieben. Dabei wählte dieser eine Webseite aus, die den üblichen Microsoft-Webseiten sehr ähnlich ist. Der Benutzer gab den zweiten Token ein und der Hacker verwendete diesen, um sich final am Tenant und anderen Systemen (siehe SSO) anzumelden.
Was kann die IT tun, um dies in Zukunft zu vermeiden:
Natürlich die üblichen Security Awareness Trainings noch regelmäßiger durchführen und auch interne Phishing-Tests als Kontrolle organisieren. Hier gibt es z.B. auch kostengünstige Produkte wie „Phished“ (www.phished.io) oder auch entsprechende CAIRO Services. Man sollte als Benutzer bei Verdacht immer auch die URL/Sende-Domäne prüfen.
Als wesentliche IT-Zusatzmaßnahme ist es unbedingt nötig, den Firmen-Account im M365 Tenant entsprechend visuell so aufzubereiten und zu markieren, dass klar ist, welches die offiziellen und im täglichen Gebrauch benutzten Firmen-Microsoft-Seiten sind oder gerade eine Phishing-Attacke vorliegt.
Dazu bieten sich individuelle Firmen-Hintergrundbilder oder Logos auf den Microsoft Anmeldeseiten an, die im M365-Tenant entsprechend einstellbar sind.
Unsere allgemeinen Handlungsempfehlungen
Überprüfen Sie, ob Sie Ihren M365 Tenant auch an dieser Stelle entsprechend konfiguriert und gehärtet haben.
Prüfen Sie auch Ihre Security Awareness Trainings und Ihre Methoden-Tools.
Microsoft 365 Exchange Online (Eol) beendet
SMTP-Support – Handlungsbedarf für Ihre IT
Worum geht es?
Es geht um eine veraltete und unsichere Nutzung des Verschlüsselungsalgorithmus RC4 im Kerberos-Authentifizierungsprotokoll in Active-Directory-Umgebungen.
Obwohl seit Windows Server 2008 standardmäßig AES verwendet wird, taucht RC4 weiterhin in Eventlogs von Domain Controllern auf. RC4 gilt seit Jahren als unsicher und wird unter anderem bei Angriffen wie Kerberoasting ausgenutzt.
Warum wird RC4 noch verwendet?
Das KRBTGT-Konto wurde nie aktualisiert.
Alte oder migrierte Benutzer- und Servicekonten mit unveränderten Passwörtern.
Veraltete Systeme (z. B. alte Windows- oder Linux-Versionen), die nur RC4 unterstützen.
Aktuelle Entwicklung:
Microsoft plant, RC4 vollständig zu deaktivieren:
Mit Windows Server 2025 wird RC4 gar nicht mehr unterstützt.
Für Systeme ab Windows Server 2008 soll RC4 bis Mitte 2026 abgeschaltet werden.
Handlungsbedarf für Unternehmen:
Prüfen, ob noch Systeme im Netzwerk ausschließlich RC4 unterstützen (Eventlog-Analyse).
Alte Systeme migrieren oder ersetzen.
Service- und Benutzerkennwörter aktualisieren.
Abhängigkeiten identifizieren und bereinigen.
RC4 im Active Directory identifizieren: Wir bieten ein „Active Directory Deep Scan“ an, der unter anderem RC4-Nutzung identifiziert, Sicherheitsrisiken bewertet (inkl. Mapping auf MITRE ATT&CK) und bei der sicheren Deaktivierung von RC4 unterstützt.
Das CAIRO SMTP Relay
Das CAIRO SMTP Relay löst das Problem und ist bereits bei vielen unserer Kunden im Einsatz. Es ist sowohl als virtuelle Appliance (Software) auf jeder VM schnell installierbar als auch als Hardware-Variante verfügbar. Das Relay lässt sich nahtlos in bestehende Microsoft-365-Umgebungen integrieren. Dabei erfüllt es aktuelle gesetzliche sowie regulatorische Anforderungen und sorgt für eine durchgängig verschlüsselte Kommunikation.
So funktioniert’s
Einfache Integration über eine Azure-App
Sichere Anbindung an die Microsoft Graph API
Verschlüsselte und stabile Übertragung an Microsoft 365
Unterstützung sämtlicher Geräte und Anwendungen mit SMTP-Funktion
Buchen Sie jetzt einen unverbindlichen Beratungstermin mit einem unserer CAIRO-Experten.
Support-Ende von Windows Server 2016 & 2022
Am 14. Oktober 2025 hat Microsoft den Support für Microsoft Apps (M365 Apps) wie Office, Teams, SharePoint, Exchange auf Windows Server 2016 und Windows Server 2022 eingestellt. Das Support Ende von Windows Server 2016 zum 12.01.27 betrifft das ganze Betriebssystem.
Seit diesem Zeitpunkt gilt:
Keine weiteren Funktionsupdates
Sicherheitsupdates nur noch bis 10. Oktober 2026
Kein offizieller Microsoft-Support bei Problemen
Die betroffenen lokalen Umgebungen (oft in Kombination mit Citrix Technologie) funktionieren grundsätzlich weiter. Allerdings verbleiben sie dauerhaft auf der letzten unterstützten Office-Version (2602/2608). Das bedeutet konkret, dass es zu Einschränkungen bei Kompatibilität, Sicherheit und Supportfähigkeit kommen kann, besonders im Zusammenhang mit neuen M365-Apps oder Drittanwendungen.
Wichtige Termine für die Betriebssysteme sind:
Windows Server 2016 – Generelles Support-Ende am 12.01.27
Windows Server 2022 – Support für Microsoft Apps bis Oktober 2026
Unsere Handlungsempfehlung
Überprüfen Sie den aktuellen Server-Status sowie den der verwendeten Microsoft Apps & anderer Apps inklusiver der Kompatibilitäten zu Releases anderer Software wie z.B. Citrix.
Um Risiken frühzeitig zu vermeiden, empfehlen wir zudem die Bewertung möglicher Migrations- oder Upgrade-Szenarien.
Bei Fragen oder zur gemeinsamen Bewertung Ihrer Windows-Umgebung steht Ihnen einCAIRO-Experte jederzeit gerne zur Verfügung.
Kerberos Verschlüsselungstyp RC4 wird abgeschafft
Worum geht es?
Es geht um eine veraltete und unsichere Nutzung des Verschlüsselungsalgorithmus RC4 im Kerberos-Authentifizierungsprotokoll in Active-Directory-Umgebungen.
Obwohl seit Windows Server 2008 standardmäßig AES verwendet wird, taucht RC4 weiterhin in Eventlogs von Domain Controllern auf. RC4 gilt seit Jahren als unsicher und wird unter anderem bei Angriffen wie Kerberoasting ausgenutzt.
Warum wird RC4 noch verwendet?
Das KRBTGT-Konto wurde nie aktualisiert.
Alte oder migrierte Benutzer- und Servicekonten mit unveränderten Passwörtern.
Veraltete Systeme (z. B. alte Windows- oder Linux-Versionen), die nur RC4 unterstützen.
Aktuelle Entwicklung:
Microsoft plant, RC4 vollständig zu deaktivieren:
Mit Windows Server 2025 wird RC4 gar nicht mehr unterstützt.
Für Systeme ab Windows Server 2008 soll RC4 bis Mitte 2026 abgeschaltet werden.
Handlungsbedarf für Unternehmen:
Prüfen, ob noch Systeme im Netzwerk ausschließlich RC4 unterstützen (Eventlog-Analyse).
Alte Systeme migrieren oder ersetzen.
Service- und Benutzerkennwörter aktualisieren.
Abhängigkeiten identifizieren und bereinigen.
RC4 im Active Directory identifizieren: Wir bieten ein „Active Directory Deep Scan“ an, der unter anderem RC4-Nutzung identifiziert, Sicherheitsrisiken bewertet (inkl. Mapping auf MITRE ATT&CK) und bei der sicheren Deaktivierung von RC4 unterstützt.
Bei weiterem Fragen stimmen Sie sich mit einem unserer CAIRO-Experten ab.
NIS2 – Pflichten aus Management-Perspektive
Seit dem 6. Dezember 2025 müssen sich Geschäftsführer konkret fragen: Sind wir von NIS2 betroffen?
Im Kern bedeutet NIS2: Das Management muss IT-Risiken aktiv steuern und entsprechende Maßnahmen selbst treffen. Delegation allein reicht nicht – NIS2 schreibt ausdrücklich die Nicht-Delegierbarkeit vor.
Wir unterstützen Sie bei der praktischen Umsetzung und helfen, Sicherheit effizient zu gestalten.
20 praktische Checklisten auf dem Weg zur BSI-Grundschutz Absicherung
Der BSI-Grundschutz umfasst inzwischen über 5.000 Seiten und ist mindestens so umfangreich wie eine ISO 27000-Zertifizierung. Damit auch kleinere Firmen oder Verwaltungen ein praktikables Sicherheitsniveau erreichen, hat das BSI drei kompakte Varianten entwickelt – von groß nach klein:
BSI Basis-Absicherung
BSI Grundschutz für Kommunale Verwaltung
BSI Weg in die Basisabsicherung (WiBa) – 20 praktische Checklisten auf 200 Seiten
Die Checklisten sind praktisch, leicht verständlich und direkt anwendbar – auch für IT-Teams ohne ISB- oder CISO-Hintergrund.
Die Checklisten decken technische und organisatorische Maßnahmen ab
Sie eignen sich perfekt für neue ISBs oder IT-Verantwortliche, die schnell einsteigen möchten
Einfach nach Kapiteln gegliedert, leicht verständlich und sofort nutzbar
Wir unterstützen Sie bei der praktischen Umsetzung und helfen, Sicherheit effizient zu gestalten.
Bei komplexeren Fragen zu einem Lean-ISMS, Notfallplänen oder Schutzklassen-Definitionen können Sie sich jederzeit mit einem unserer CAIRO-Experten ab.
Schutzklassen und IT-Risiken richtig festlegen
Viele Unternehmen stehen vor der Frage, wie sie Daten und IT-Systeme korrekt klassifizieren und Risiken verlässlich bewerten können. Entscheidend ist die enge Zusammenarbeit zwischen IT, Fachbereichen und Informationssicherheit. Das Ziel ist eine einheitliche Vorgehensweise im Unternehmen zur Bestimmung von Schutzklassen (SK) und zur Berechnung von Unternehmensrisiken.
Der etablierte Ablauf
Begriffsverständnis schaffen IT erklärt Fachbereichen den Schutzklassen-Begriff – Grundlage für einheitliche Bewertung.
Vorbewertung durch Fachbereich Fachbereich legt erste SK fest (ohne finalen Schadensbezug) – nur hier ist die fachliche Kritikalität bekannt.
Kritische Systeme beschreiben(ab SK ≥ 2) IT ergänzt technische Perspektive: Benutzer, Berechtigungen, Komponenten, Abhängigkeiten, Schutzmaßnahmen.
Risikobewertung durchführen Gemeinsame Analyse von: • wirtschaftlichem Schaden • Eintrittswahrscheinlichkeit Ergebnis: finale SK auf Basis Schadenshöhe.
SLAs fachlich definieren Fachbereich beschreibt Anforderungen ähnlich einem Lastenheft: • MTD (Datenverlust) • MTA (Ausfallzeit) • BCM-Überlegungen für Notfälle
SLAs technisch garantieren IT liefert passende Lösungen (Pflichtenheft) und zeigt Gap-Analyse zwischen Bedarf und Machbarkeit.
Warum sich der Aufwand lohnt:
Die monetäre Bewertung der Risiken schafft Entscheidungsgrundlagen für:
Cyber-Versicherungen
Budget- und Investitionsplanung
Priorisierung von Sicherheitsmaßnahmen
BCM- & Notfallstrategien
Typische Schäden bei Ausfall oder Cyberangriff
Verlust von Unternehmenswert
Umsatz- & Produktivitätsverluste
zusätzlicher IT-Aufwand / externe Experten
Hardware-Kosten
DSGVO-Bußgelder
Bei weiterem Fragen stimmen Sie sich mit einem unserer CAIRO-Experten ab.
Maximale Datensicherheit in M365 – mit der Purview Suite
Microsoft Purview ist die Datenschutz-, Compliance- und Governance-Plattform innerhalb von Microsoft 365. Sie integriert sich nahtlos in Dienste wie SharePoint, Teams und Exchange und hilft Unternehmen, sensible Daten zu erkennen, zu schützen und Aktivitäten revisionssicher nachzuverfolgen.
Die Purview Suite gliedert sich in mehrere spezialisierte Funktionsbereiche:
Information Protection: Schutz sensibler Daten mithilfe von Sensitivity Labels, Verschlüsselung und granularen Zugriffskontrollen.
Data Loss Prevention: Verhindert unbeabsichtigte Datenabflüsse und schützt vertrauliche Informationen – vollständig integriert mit Sensitivity Labels.
Insider Risk Management: Identifiziert und bewertet potenzielle Risiken durch auffälliges Benutzerverhalten, z. B. ungewöhnlich große Daten-Exports.
eDiscovery & Audit: Umfassende Protokollierung von Benutzeraktivitäten, Änderungen, Zugriffen und Berechtigungen – inklusive 80 detaillierter Audit-Bereiche.
Records Management & Retention: Effiziente Steuerung von Aufbewahrungsrichtlinien für Daten, Dokumente und strukturierte Inhalte.
Message Encryption & Customer Key: Sichere E-Mail-Verschlüsselung und Kontrolle über eigene Schlüssel – besonders relevant für regulierte Branchen wie Finanzwesen, Gesundheitswesen oder öffentliche Verwaltung.
Records & Lifecycle Management: Automatisierte, richtlinienkonforme Aufbewahrungs- und Löschprozesse.
Compliance Management: Zentrales Dashboard zur Verwaltung und Umsetzung von regulatorischen Anforderungen wie DSGVO oder ISO 27000.
Data Map: Aktuelle, durchsuchbare Übersicht aller relevanten Datenquellen im Unternehmen.
Unified Data Catalog: Zentraler Katalog zur Verwaltung, Kuratierung und Governance sämtlicher Datenquellen.
Bei Fragen zur Purview-Implementierung stehen die CAIRO M365-Experten zur Verfügung.
Entdecken Sie 185 mögliche Lücken im Benutzer-Management
Viele Mitarbeitende nutzen täglich AD oder Entra ID, weshalb starke Sicherheitsmaßnahmen essenziell sind. Dennoch finden sich in fast allen Organisationen kritische, oft jahrelang unentdeckte Fehlkonfigurationen.
Der AD Deep Scan von CAIRO bietet dafür einen automatisierten Sicherheitscheck mit 185 Tests für AD, Entra ID und angebundene Systeme wie Okta.
Sie erhalten:
einen deutschsprachigen, ausführlichen Report mit klaren Handlungsempfehlungen
eine interaktive Expertenbesprechung Ihrer Ergebnisse
die Identifikation von Indicators of Exposure (IoE) und tatsächlichen Indicators of Compromise (IoC). Die Prüfung umfasst Fehlkonfigurationen in den Bereichen AD-Infrastruktur, Kontosicherheit, Delegationen, Gruppenrichtlinien und Kerberos-Sicherheit.
eine Bewertung nach DISA-Best Practices und dem MITRE ATT&CK®-Framework
Möchten Sie wissen, wie Ihr AD wirklich dasteht? Dann sichern Sie sich unverbindlich Ihren Deep-Scan-Termin und stimmen Sie sich mit einem unserer CAIRO IT-Experten ab.
Ihre IT ist nur so stark wie Ihr schwächstes System
IT-Systeme in Unternehmen sind durch neue Features, Konfigurationsänderungen und hybride Cloud-Umgebungen ständig Angriffen ausgesetzt. Effektiver Schutz gelingt durch Systemhärtung: Mit Maßnahmen von der Applikation bis zum Netzwerk reduzieren Sie die Angriffsfläche und steigern die IT-Resilienz.
Eine kompakte Checkliste hilft beim direkten Einstieg.
Sie zeigt die wichtigsten Schritte, um:
Sicherheitslücken schnell zu erkennen und zu schließen
BSI veröffentlicht neues Framework für IT-Verteidigungsfähigkeit
Anfang November 2025 veröffentlichte das BSI gemeinsam mit internationalen Partnern ein neues Framework zur modernen verteidigungsfähigen IT-Architektur (MDA). Ziel ist es, IT-Nutzern und IT-Management die Umsetzung von „Security by Design & Default“ und „Zero Trust“ zu erleichtern.
Das Framework besteht aus 10 zentralen Foundations:
Die Leitfäden unterstützen beim Abschluss einer Cyberversicherung, beim Aufbau eines ISMS und bei der Vorbereitung auf eine ISO-27001-Zertifizierung.
NIS2 wird Gesetz – was Sie in der IT jetzt tun müssen
Die NIS2-Richtlinie wird bald in deutsches Recht umgesetzt und betrifft über 30.000 Unternehmen. Sie macht Cybersecurity, stabile IT-Strukturen und sichere Prozesse zur Pflicht.
Die Anforderungen steigen deutlich: Risikomanagement, Meldepflichten, technische Schutzmaßnahmen und Schulungen werden verbindlich – auch für Mittelständler, selbst wenn sie bisher nicht als KRITIS galten.
Der CAIRO NIS2-Plan zeigt:
welche Pflichten und Fristen gelten,
wie Ihr Unternehmen gesetzeskonform und effizient vorgeht,
welche Technologien und Prozesse Priorität haben (z. B. ISMS, Schwachstellenmanagement, MFA, IDS/IPS, Schulungen)
Ab Anfang 2026 wird die EU-Richtlinie NIS2 in deutsches Recht umgesetzt. Für Unternehmen bedeutet das: Informationssicherheit ist Pflicht. Wer die Vorgaben nicht erfüllt, riskiert Bußgelder und schwächt die eigene IT-Sicherheit.
Um den Überblick zu behalten, haben wir eine kompakte NIS2-Checkliste erstellt. Sie fasst die wichtigsten technischen und organisatorischen Maßnahmen zusammen und ermöglicht eine schnelle Eigenüberprüfung, ganz ohne Gesetzestexte.
Ein ISMS hilft, Risiken systematisch zu erkennen und zu minimieren. Im Alltag fehlt oft die Zeit, Richtlinien und Verfahren zu entwickeln und umzusetzen.
Unser Ansatz bietet einen kompakten Überblick und zeigt, dass bereits ein praktisches „Mini-ISMS“ die Sicherheit spürbar erhöhen kann. Laden Sie jetzt unseren kostenlosen Plan herunter und starten Sie direkt in die ISMS-Erstellung.
2024 wurde jedes zweite mittelständische Unternehmen in Deutschland Opfer eines Cyberangriffs. Hohe Kosten, Ausfallzeiten und Reputationsschäden sind die Folge. Oft fehlt im Alltag der klare Blick auf eigene Sicherheitslücken.
Unsere kompakte Checkliste zeigt die 20 häufigsten Schwachstellen – z. B. VPN-Nutzer auf Firewalls – und bietet Ihnen ein praktisches Werkzeug zur schnellen Selbsthilfe.
Sie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Vimeo. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
