Security Spike anmelden

Security Spikes auf eine Blick

ISMS – Einführung und jüngste Updates

Ein ISMS ist ein unabdingbares System, um die IT-Sicherheit in Ihrem Unternehmen zu garantieren.  

Bei einem ISMS handelt es sich nicht wie der Name suggeriert um ein IT-System, sondern um eine Sammlung von Dokumenten aus Leitlinien, Richtlinien und Verfahren – teilweise mit engem Bezug zur Organisation, zu Stellenbeschreibungen sowie zu vertraglichen Dokumenten zwischen Arbeitgeber und Arbeitnehmern oder Lieferanten.  

Alle, die den internationalen IT-Betriebsstandards ITIL kennen, wissen, dass es zwischen ITIL und Betriebshandbüchern auf der einen Seite und einem ISMS auf der anderen Seite eine große inhaltliche Überlappung gibt! Hier ist man als Verantwortlicher in einem Dilemma, wenn man die Doppelpflege vermeiden will. Ein sinnvoller Master-Plan ist am Anfang nötig, um eine saubere Dokumententrennung und ein Referenzieren zu ermöglichen. 

Auch Cyber-Versicherungen fordern zumindest Teile eines ISMS ab, um den eventuellen Schaden überhaupt zu übernehmen.

Sie erweitern ständig ihre Checklisten, auch bei laufenden Verträgen, weshalb ein ISMS sinnvoll ist. Compliance-Normen geben die Richtung und Struktur für ein ISMS vor. Allerdings sind diese Standards entweder sehr konkret und kleinteilig formuliert – mit Umfängen von bis zu 5.000 Seiten (z. B. BSI IT-Grundschutz, ISO 27000) – oder sie sind mittelstandsgerecht kompakt gehalten, mit etwa 50 Seiten und flexiblen Kategorien (z. B. VdS 10000). Letztere fordern jedoch keine konkreten IT-Prozesse und Verfahren ein. 

Völlig unabhängig davon, welcher Norm Sie folgen möchten: Eine ISMS-Dokumentenstruktur oder der Umfang selbst ist nicht vorgegeben. Ein ISMS muss lediglich alle Anforderungen abdecken und gleichzeitig praktikabel nutzbar sein. Der praktische Nutzen ist erfüllt, wenn das ISMS für alle Mitarbeitenden leicht, schnell lesbar und verständlich ist, konkret in der Anwendung bleibt und zudem einfach zu pflegen ist. 

Aufbau eines ISMS

Ein umfangreiches ISMS, das auch dazu dient, IT-Audits erfolgreich zu gestalten, erfordert ein größeres mehrmonatiges Projekt. Faktisch ist es eher ein Unternehmens-Steuerungsprojekt als ein reines IT-Projekt. 
Das ISMS besteht am Ende aus: 

  • 1 Leitlinie 

  • 20-30 Richtlinien (mit Arbeitsrollen, OrgCharts) 

  • 20-30 Verfahren und Handlungsanweisungen (mit Tools, Arbeitsrollen) 

  • 10 Prozess-Plänen, die die Abhängigkeiten und Reihenfolge der Richtlinien und Verfahren beschreiben 

  • Zusatz-Dokumente wie Formulare und Checklisten 

Als Alternative und für den ersten, schnellen positiven Effekt kann man sich begrenzen auf: 

  • Aufbau eines Asset-Registers mit Assets und Asset-Typen – immer beginnend mit den Applikationen als Träger von Geschäftsprozessen 

  • Definition und Beschreibung von „kritischen Systemen“ (Geschäftsprozesse, Daten) von den Applikationen zu den IT-Infrastruktur-Assets, inkl. Netzwerk: 

    • Benutzer 

    • Abhängigkeiten und Schutzklassen-Definitionen 

    • BCM-Maßnahmen 

    • Backup & Restore & Recovery (am besten ein 3-2-1 Backup) 

    • Risiko-Analyse (auch nach NIS-2 im Fokus) 

  • Notfallpläne für IT und Anwender 

 In beiden Fällen reduziert der CAIRO Baukasten die Aufwendungen erheblich. 

Jüngste Updates

Seit 12 Monaten erweitern alle Nutzer das ISMS um viele KI-Aspekte bzgl. der KI-Nutzung durch die Anwender, aber auch bzgl. der in Hersteller-Produkte eingegebenen Nutzerdaten und Verwendung dieser durch die Hersteller-KI (Beispiel: Microsoft Copilot). 

Auch hat die Risiko-Analyse wegen NIS-2 eine höhere Bedeutung erfahren und wird immer sorgfältiger ausgeführt. In diesem Zuge werden auch die 
Cyber Security Versicherungs-Checklisten erneut geprüft und referenziert. 

Bei Fragen stehen Ihnen unsere CAIRO-Security-Experten jederzeit gerne zur Verfügung. 

 

Security Awareness Lösungen jüngster Stand

Es gibt verschiedene Security Awareness Lösungen im Markt, die sich bezüglich ihrer Eigenschaften deutlich unterscheiden. Daher unterstützen wir unsere Kunden bei der Auswahl und Einführung der passenden Produkte. Deren Hersteller versuchen ständig, die neuen und immer intelligenteren Attacken mit besseren Funktionen abzuwehren. Insofern lohnt sich ein Blick auf die neuen Features, um genau diese schwer zu erkennenden Angriffsvektoren zu verstehen.

Wir empfehlen oft das Produkt „Phished“ der gleichnamigen Firma  www.pished.io und geben Ihnen daher anhand der Neuigkeiten dieses Produktes einige Einblicke.

Der Name „Phished“ ist erstmal irreführend, aber das belgische Produkt punktet mit reichhaltigen Funktionsumfang, neuen Features und sehr günstigen Preisen!

Security-Awareness-Trainings inkl. KI-gesteuerter Phishing-Simulationen lassen sich individuell konfigurieren – abgestimmt auf Kompetenzniveau, Rolle, Abteilung und verwendete Apps & Geräte. Mehr als 6000 Firmenkunden setzen bereits auf Phished.

Die Angriffe werden mit Social Engineering – gepaart mit KI – immer ausgefeilter und gezielter, sodass klassische Erkennungsmechanismen zunehmend versagen. Das Training der Endbenutzer wird dadurch immer wichtiger. Gleichzeitig schreibt NIS-2 (Art. 20 & 21) verpflichtende Cybersicherheitsschulungen für alle Mitarbeitenden sowie ein spezielles Management-Training vor (inklusive Risikobewertungen und Nachweispflicht).

Phished hat sein Portfolio gezielt um Schutzlösungen erweitert, die über reines Training hinausgehen. Diese dienen dazu, die auch nach intensivem Training verbleibenden Rest-Klickraten auf Phishing-Mails auf nahe 0% zu reduzieren. Selbst ein einziger Fehl-Klick kann einen schwerwiegenden Cybervorfall auslösen. Die Logik dahinter: Bedrohungen werden immer durchkommen, deshalb muss der Schutz im Moment der Interaktion ansetzen, nicht nur bei der Erkennung.

So werden z.B. im neuen Produkt „Zero Incident Mail™“ (ZIM) alle E-Mails und Links aus unbekannten Domänen automatisch in einem digitalen Silo geöffnet – vollständig isoliert von der IT-Infrastruktur des Unternehmens. Das Silo löscht sich nach der Sitzung selbst, ohne Daten zu speichern. ZIM analysiert Links in Echtzeit und warnt den Nutzer sofort über das Risikolevel. Es lässt sich auch nahtlos in bestehende SOC-, SIEM- und SOAR-Umgebungen integrieren.

Zusätzlich steht ein vollautomatischer Modus zur Verfügung: ZIM übernimmt die KI-gesteuerte Analyse vollständig im Hintergrund, ohne dass der Nutzer aktiv eingreifen muss. Phishing-bezogene IT-Tickets werden so drastisch reduziert. Die meisten Spamfilter werden damit überflüssig.

Aktuell ist das Produkt verfügbar für M365 Exchange Online und für Exchange OnPrem in Q2/2026.

Sollten diese automatischen Mechanismen nicht gewünscht sein, gibt es den neuen „Phished Assistant“. Dieser erlaubt mit „Secure before you click“ eine durch den Endanwender gestartete, schnelle E-Mail-Analyse im Verdachtsfall. Verdächtige E-Mails oder Links werden dabei in einer vollständig isolierten Browser-Umgebung geöffnet – ohne Zugriff auf das Endgerät oder die Unternehmensinfrastruktur. KI-gestützte Echtzeit-Analyse hebt Phishing-Indikatoren hervor und liefert klare Handlungsempfehlungen.

Da immer mehr Angriffe über verkürzte Links in E-Mails, Teams, Slack oder SMS erfolgen, können mit dem Assistenten auch Links aus diesen Kanälen sicher geprüft werden, ohne die IT-Sicherheit zu gefährden.

Das Ergebnis: Zero Trust = Zero Incidents, ohne zusätzlichen IT-Aufwand.

Unsere allgemeine Handlungsempfehlung 

Nutzen Sie eine professionelle und leichtgewichtige Lösung wie Phished, um sich dem Ziel „Zero Incident Mail™“ zu nähern und gleichzeitig den Umgang mit E-Mails für Ihre Mitarbeitenden einfach und sicher zu gestalten. Phished erfüllt dabei gleichzeitig die NIS-2-Anforderungen an Cybersicherheitsschulungen und liefert mit dem Behavioral Risk Score™ eine messbare, auditierbare Risikobewertung für das Management.

Bei Fragen zu Phished oder für eine Produktvorstellung stehen Ihnen unsere   CAIRO-Security-Experten jederzeit gerne zur Verfügung.

OnPrem-Exchange Schwachstelle und deren Mitigation

Microsoft hat am 14. Mai 2026 die Schwachstelle CVE-2026-42897 für Microsoft Exchange Server offengelegt. Sie liegt im Outlook-Web-Access-Stack und erlaubt einem unauthentifizierten Angreifer, über eine speziell präparierte E-Mail JavaScript im Browser-Kontext des Empfängers auszuführen.

Der CVSS-Basisscore liegt bei 8.1, eingestuft als High, der Temporal Score bei 7.5. Ein klassisches Security Update ist noch nicht verfügbar.

Microsoft stellt zunächst eine Mitigation bereit, die über den Exchange Emergency Mitigation Service automatisch ausgerollt wird oder per Skript nachgezogen werden kann. Ein dedizierter Patch ist angekündigt, aber zum jetzigen Zeitpunkt noch nicht freigegeben.

Betroffen sind Exchange Server 2016 Cumulative Update 23, Exchange Server 2019 Cumulative Updates 14 und 15 sowie Exchange Server Subscription Edition RTM.

Exchange Online (M365) ist von der Schwachstelle nicht betroffen!

Unsere allgemeine Handlungsempfehlung  

Microsoft rollt die Mitigation über den Exchange Emergency Mitigation Service aus, kurz EM Service oder EEMS.

Der Dienst ist auf den unterstützten Exchange-Versionen standardmäßig aktiv.

Solange er nicht explizit deaktiviert wurde, wird die Mitigation für CVE-2026-42897 automatisch eingespielt. Die zugehörige Mitigation-ID lautet M2.1.x. EEMS-Mitigationen sind generell keine Codepatches im klassischen Sinn, sondern Konfigurationsänderungen, die der lokal laufende MS Exchange Mitigation-Dienst auf Anweisung des Cloud-Endpoints anwendet.

Für Organisationen, die EEMS deaktiviert haben oder in einem disconnected oder air-gapped Setup arbeiten, bleibt das Exchange On-Premises Mitigation Tool (EOMT) als Alternative.

Dieses Skript wird aus einer elevated Exchange Management Shell ausgeführt und kann die Mitigation entweder auf einen einzelnen Server oder auf alle Exchange-Server einer Organisation anwenden, mit Ausnahme von Edge-Servern.

Microsoft pflegt EOMT.ps1 im offiziellen CSS-Exchange-Repository auf GitHub.

Nebenwirkung der Mitigation 

Mit der Mitigation gehen zwei dokumentierte OWA-Einschränkungen einher. Die „Print Calendar“-Funktion in OWA funktioniert möglicherweise nicht mehr, als Work-around nennt Microsoft das Kopieren der Kalenderdaten, einen Screenshot oder den Wechsel auf den Outlook-Desktop-Client. Außerdem werden Inline-Bilder im Reading Pane des Empfängers nicht zuverlässig dargestellt. Hier hilft es, Bilder als Anhang zu versenden oder ebenfalls Outlook Desktop zu verwenden.

Beide Einschränkungen verschwinden, sobald Microsoft das eigentliche Security-Update veröffentlicht hat und der Patch eingespielt ist.

Kontrolle für den Erfolg der Mitigation

Für die Kontrolle, ob die Mitigation tatsächlich greift, ist der „Exchange Health Checker“ der pragmatische Standardweg. Das Skript prüft den Zustand des MS Exchange Mitigation-Dienstes (Startup Automatic, Status Running), die Erreichbarkeit des Office Config Endpoints unter officeclient.microsoft.com/GetExchangeMitigations  und listet die aktuell angewendeten und blockierten Mitigationen im HTML-Report auf. Wer pro Server prüfen möchte, findet in der Microsoft-Doku „Viewing Applied Mitigations“ einen eigenen Pfad mit den passenden Cmdlets.

Ein optisches Detail führt in der Praxis zu Rückfragen. In den Mitigation Details kann der Text „Mitigation invalid for this exchange version“ erscheinen, obwohl die Mitigation korrekt eingespielt wurde. Microsoft bestätigt das als rein kosmetischen Effekt. Solange der Status „Applied“ steht, ist die Mitigation aktiv.

Bei Fragen zu der Schwachstelle und den notwendigen Maßnahmen stehen Ihnen die  CAIRO-Exchange-Experten und Security-Experten jederzeit gerne zur Verfügung.

Schwachstellen in OpenSSL

OpenSSL: 12 neue Schwachstellen, geschlossen im Release vom 27.Januar 2026

Am 27. Januar 2026 wurden im Rahmen eines OpenSSL-Updates insgesamt 12 Sicherheitslücken geschlossen. OpenSSL ist eine weit verbreitete Technologie zur Absicherung von Datenübertragungen im Internet und wird von vielen Systemen und Anwendungen genutzt. 

Die veröffentlichten Schwachstellen können potenziell die Sicherheit von IT-Systemen beeinträchtigen, sofern keine zeitnahe Aktualisierung erfolgt. Eine Übersicht finden Sie unter: 

 https://openssl-library.org/news/vulnerabilities/

Empfohlene Maßnahmen 

Um Ihre Systeme bestmöglich zu schützen, empfehlen wir folgende Schritte:

  • Systeme aktualisieren: 
    Stellen Sie sicher, dass Ihre Server und Systeme (insbesondere Unix/Linux) auf dem neuesten Stand sind und alle sicherheitsrelevanten Updates installiert wurden. 

  • Anwendungen prüfen und aktualisieren: 
    Viele Anwendungen wie Webserver (z. B. Apache), Versionsverwaltungssysteme (z. B. Git) oder weitere Dienste nutzen OpenSSL intern. Bitte stellen Sie sicher, dass auch diese Anwendungen auf aktuelle Versionen aktualisiert werden. 

  • Besonderheit bei Windows-Systemen: 
    Auf Windows-Servern wird OpenSSL in der Regel nicht vollständig über die regulären Windows-Updates gepflegt. Daher ist hier eine separate Aktualisierung erforderlich, beispielsweise über den offiziellen Win32OpenSSL-Installer. 

Transparenz über eingesetzte Software

Eine zentrale Voraussetzung für wirksame Sicherheitsmaßnahmen ist die vollständige Transparenz über die eingesetzte Softwarelandschaft. Nur wenn bekannt ist, auf welchen Systemen und in welchen Anwendungen OpenSSL verwendet wird, können betroffene Komponenten gezielt identifiziert und aktualisiert werden. 

Wir empfehlen daher dringend den Einsatz einer strukturierten Software-Inventarisierung in Kombination mit kontinuierlichem Schwachstellenmonitoring. Auf dieser Basis lassen sich veraltete OpenSSL-Versionen zuverlässig erkennen und die notwendigen Maßnahmen zur Behebung der Sicherheitslücken ableiten. 

In der Praxis zeigt sich häufig, dass diese Transparenz nicht vollständig gegeben ist, wodurch Sicherheitsrisiken unbemerkt bestehen bleiben können. 

 


Bei Fragen oder zur gemeinsamen Bewertung stehen Ihnen  CAIRO-Experten jederzeit gerne zur Verfügung. 

Großer Schaden durch DNS-Tunneling

DNS – Was war passiert?

Das DNS ist das zentrale und ständig verwendete Domain Name System, um IP-Adressen und Rechnernamen zuzuordnen. Somit das Herz Ihrer IT. Was war passiert:   
Ein mittelständisches Unternehmen bemerkte zunächst nichts Ungewöhnliches: Die Firewall-Logs zeigten normalen DNS‑Verkehr, die Systeme liefen stabil, es gab keine offensichtlichen Warnmeldungen. Wochen später stellte sich jedoch heraus, dass sensible Kundendaten das Netzwerk unbemerkt via DNS-Tunneling als „Schleuse“ verlassen hatten.

Was ist DNS-Tunneling?

DNS‑Tunneling ist eine Angriffstechnik, bei der das Domain Name System (DNS) zur Umgehung von Sicherheitsmechanismen ausgenutzt wird. Da DNS ein grundlegender Netzwerkdienst ist und selbst in stark eingeschränkten Umgebungen nahezu immer erlaubt wird, eignet er sich besonders gut als verdeckter Kommunikationskanal.

Beim DNS‑Tunneling werden Daten wie Steuerbefehle oder exfiltrierte Informationen kodiert und innerhalb von DNS‑Anfragen oder DNS‑Antworten übertragen. Diese Daten werden häufig in langen oder ungewöhnlich aufgebauten Subdomains versteckt und an einen vom Angreifer kontrollierten DNS‑Server gesendet. Da DNS‑Verkehr im normalen Betrieb als legitim gilt und meist ungefiltert passiert, bleibt diese Kommunikation für klassische Sicherheitslösungen oft unentdeckt und erlaubt eine unauffällige, persistente Verbindung zwischen Angreifer und kompromittierten Systemen.

DNS-Tunneling erkennen 

DNS‑Tunneling lässt sich anhand auffälliger Merkmale im DNS‑Verkehr erkennen. Dazu gehören ungewöhnlich lange oder zufällig wirkende Domainnamen, eine erhöhte Anzahl von DNS‑Anfragen einzelner Endgeräte sowie die Nutzung untypischer Record‑Typen. Verdächtig sind zudem Anfragen an unbekannte oder neu registrierte Domains mit auffälligen Antwortgrößen oder -mustern. Eine effektive Detektion erfordert eine kontinuierliche Analyse des DNS‑Traffics auf Anomalien, etwa hinsichtlich Abfragelänge, Frequenz und Entropie, sowie eine zentrale Protokollierung und Korrelation mit Endpoint‑ und Netzwerkdaten. Sicherheitslösungen mit integrierten DNS‑Security‑Funktionen und Threat‑Intelligence‑Anbindung unterstützen zusätzlich bei der frühzeitigen Erkennung bekannter schädlicher Domains.

Handlungsempfehlungen

Um DNS‑Tunneling wirksam zu verhindern, empfehlen wir folgende Gegenmaßnahmen:

  • Zentrale DNSKontrolle sicherstellen
  • DNSTraffic gezielt analysieren
  • Bekannte Bedrohungen durch Threat Intelligence und Sinkholing stoppen
  • Präventiven DNSSchutz implementieren

 Die Netzwerk- und Security-Experten der CAIRO AG unterstützen Sie gerne bei der Umsetzung dieser Maßnahmen.

Strukturierung von IT-Zugriffsrechten mit dem Tier-Konzept

Worum geht es?

In modernen IT-Infrastrukturen ist Active Directory nach wie vor das Rückgrat der Identitäts- und Zugriffsverwaltung, auch in hybriden Szenarien mit Microsoft Entra ID (M365).

Gleichzeitig stellt Active Directory eines der attraktivsten Angriffsziele dar:
Wer die Kontrolle über das Verzeichnis erlangt, kann in der Regel die gesamte IT-Landschaft übernehmen.

Bekannte Angriffsmethoden wie Pass-the-HashKerberoasting oder gezielte Privilege Escalation zeigen deutlich, dass klassische Sicherheitsmechanismen allein nicht ausreichen, um insbesondere privilegierte Konten wirksam zu schützen.

Die Realität aus vielen Sicherheitsanalysen: Angreifer bewegen sich nach der initialen Kompromittierung häufig lateral durch die Umgebung, mit dem klaren Ziel, Domänen-Admin-Rechte zu erlangen.

Ziel des Admin-Tier-Konzepts

Das Admin-Tier-Konzept verfolgt das Ziel, administrative Zugriffe strikt zu segmentieren und voneinander zu isolieren, um zu verhindern, dass eine Kompromittierung auf einer niedrigen Ebene (z. B. Client) unmittelbar zu einem vollständigen Kontrollverlust über das Active Directory führt.

Dabei geht es nicht nur um Technik, sondern um einen grundlegenden Paradigmenwechsel:

Weg vom universellen „Super-Admin“ – hin zu klar getrennten Verantwortungs- und Sicherheitszonen.

Die Tier-Struktur (0 / 1 / 2) 

Der Begriff „Tier“ beschreibt eine Sicherheitsstufe, der sowohl Systeme als auch Benutzerkonten zugeordnet werden.

Zentrale Sicherheitsregel

Die wichtigste Regel des Tier-Konzepts lautet:

Keine übergreifenden Anmeldungen zwischen den Tiers.

Konkret bedeutet das:

  • Tier‑0‑Administratoren arbeiten ausschließlich auf Tier‑0-Systemen
  • Tier‑1‑Administratoren haben keinen Zugriff auf Tier 0 oder Tier 2
  • Tier‑2 ist bewusst die am wenigsten vertrauenswürdige Ebene

Konsequenz: Eine Kompromittierung eines Arbeitsplatzrechners (Tier 2) darf keinen direkten Pfad zu privilegierten Konten oder kritischen Systemen eröffnen.

Ende des „Super-Admins

In vielen gewachsenen IT-Umgebungen existieren noch immer „Allzweck-Administratoren“, die:

  • auf Domain Controllern arbeiten
  • gleichzeitig Server administrieren
  • und sich parallel auf Clients anmelden

Dieses Modell stellt ein erhebliches Sicherheitsrisiko dar.

Das Tier-Konzept ersetzt es durch:

  • dedizierte Admin-Konten je Tier
  • klare Trennung von Rollen und Verantwortlichkeiten
  • Umsetzung des Least-Privilege-Prinzips

Technische Umsetzung (Auszug)

Die Einführung des Admin-Tier-Konzepts umfasst typischerweise:

  • Klassifizierung aller Systeme und Konten in Tier 0 / 1 / 2
  • Anpassung der Active Directory Struktur (OUs, Gruppen)
  • Härtung der Anmeldepfade (z. B. mittels GPOs)
  • Netzwerksegmentierung zwischen den Tiers
  • Einsatz separater Administrationsarbeitsplätze (PAWs)

Organisatorische Herausforderungen

Neben der technischen Umsetzung sind insbesondere organisatorische Aspekte entscheidend für den Erfolg:

  • Akzeptanz bei Administratoren
    (eingeschränkte Flexibilität wird zunächst oft als hinderlich wahrgenommen)
  • Anpassung bestehender Betriebsprozesse
    (z. B. Rollenkonzepte, Incident Handling, Deployment-Prozesse)
  • Schulung und Sensibilisierung
    (Verständnis für Bedrohungslage und Schutzmaßnahmen)

Das Admin-Tier-Konzept ist kein „Nice-to-have“, sondern ein zentraler Baustein moderner AD-Sicherheitsarchitekturen.

Es reduziert signifikant das Risiko, dass ein isolierter Sicherheitsvorfall zu einer vollständigen Domänenkompromittierung eskaliert.

Gerade vor dem Hintergrund zunehmender Cyberangriffe und regulatorischer Anforderungen (z. B. NIS2) gewinnt die konsequente Trennung administrativer Ebenen weiter an Bedeutung.

Unsere allgemeinen Handlungsempfehlungen

Erstellen Sie ein für Ihr Unternehmen passendes Admin-Tier Konzept, wenn nicht vorhanden.

Bei Fragen oder zur gemeinsamen Bewertung stehen Ihnen CAIRO-Experten rund um das Active Directory jederzeit gerne zur Verfügung. 

Phishing und MFA – Erfolgreiche Attacken

…wieder mal passiert

Kennworte von Accounts wurden mit den üblichen Phishing Methoden gestohlen & Anmeldungen wurden – trotz aktiver MFA-Methode – mit einem zweiten Faktor durchgeführt. Dies hatte natürlich ein erhebliches Schadenspotential und ist ein meldepflichtiger Vorgang nach NIS-2!

Was war passiert:

Die Abfolge mittels einer „Man in the Middle“ Attacke zur Ermittlung des MFA-Codes war: 

Mit einer Phishing-E-Mail und Webseiten Anmeldung wurde das Benutzer-Kennwort gestohlen. Normalerweise denkt man: „Kein Problem – ich habe ja noch MFA und der Hacker kann sich nicht anmelden“ ABER, dann kam eine zweite „offizielle“ Webseite, die den MFA-Token anfragt. Auch diese Webseite wurde von dem Hacker betrieben. Dabei wählte dieser eine Webseite aus, die den üblichen Microsoft-Webseiten sehr ähnlich ist. Der Benutzer gab den zweiten Token ein und der Hacker verwendete diesen, um sich final am Tenant und anderen Systemen (siehe SSO) anzumelden.

Was kann die IT tun, um dies in Zukunft zu vermeiden:

Natürlich die üblichen Security Awareness Trainings noch regelmäßiger durchführen und auch interne Phishing-Tests als Kontrolle organisieren. Hier gibt es z.B. auch kostengünstige Produkte wie „Phished“ (www.phished.io) oder auch entsprechende CAIRO Services. Man sollte als Benutzer bei Verdacht immer auch die URL/Sende-Domäne prüfen.

Als wesentliche IT-Zusatzmaßnahme ist es unbedingt nötig, den Firmen-Account im M365 Tenant entsprechend visuell so aufzubereiten und zu markieren, dass klar ist, welches die offiziellen und im täglichen Gebrauch benutzten Firmen-Microsoft-Seiten sind oder gerade eine Phishing-Attacke vorliegt.  

Dazu bieten sich individuelle Firmen-Hintergrundbilder oder Logos auf den Microsoft Anmeldeseiten an, die im M365-Tenant entsprechend einstellbar sind. 

Unsere allgemeinen Handlungsempfehlungen

Überprüfen Sie, ob Sie Ihren M365 Tenant auch an dieser Stelle entsprechend konfiguriert und gehärtet haben. 

Prüfen Sie auch Ihre Security Awareness Trainings und Ihre Methoden-Tools.

Bei Fragen oder zur gemeinsamen Bewertung stehen Ihnen CAIRO M365- und Security-Experten jederzeit gerne zur Verfügung. 

 

Microsoft 365 Exchange Online (Eol) beendet SMTP-Support – Handlungsbedarf für Ihre IT

Worum geht es?

Es geht um eine veraltete und unsichere Nutzung des Verschlüsselungsalgorithmus RC4 im Kerberos-Authentifizierungsprotokoll in Active-Directory-Umgebungen.

Obwohl seit Windows Server 2008 standardmäßig AES verwendet wird, taucht RC4 weiterhin in Eventlogs von Domain Controllern auf. RC4 gilt seit Jahren als unsicher und wird unter anderem bei Angriffen wie Kerberoasting ausgenutzt.

Warum wird RC4 noch verwendet?

  • Das KRBTGT-Konto wurde nie aktualisiert.

  • Alte oder migrierte Benutzer- und Servicekonten mit unveränderten Passwörtern.

  • Veraltete Systeme (z. B. alte Windows- oder Linux-Versionen), die nur RC4 unterstützen.

Aktuelle Entwicklung:

Microsoft plant, RC4 vollständig zu deaktivieren:

  • Mit Windows Server 2025 wird RC4 gar nicht mehr unterstützt.

  • Für Systeme ab Windows Server 2008 soll RC4 bis Mitte 2026 abgeschaltet werden.

Handlungsbedarf für Unternehmen:

  • Prüfen, ob noch Systeme im Netzwerk ausschließlich RC4 unterstützen (Eventlog-Analyse).

  • Alte Systeme migrieren oder ersetzen.

  • Service- und Benutzerkennwörter aktualisieren.

  • Abhängigkeiten identifizieren und bereinigen.

RC4 im Active Directory identifizieren:
Wir bieten ein „Active Directory Deep Scan“ an, der unter anderem RC4-Nutzung identifiziert, Sicherheitsrisiken bewertet (inkl. Mapping auf MITRE ATT&CK) und bei der sicheren Deaktivierung von RC4 unterstützt.

Das CAIRO SMTP Relay 

Das CAIRO SMTP Relay löst das Problem und ist bereits bei vielen unserer Kunden im Einsatz. Es ist sowohl als virtuelle Appliance (Software) auf jeder VM schnell installierbar als auch als Hardware-Variante verfügbar. Das Relay lässt sich nahtlos in bestehende Microsoft-365-Umgebungen integrieren. Dabei erfüllt es aktuelle gesetzliche sowie regulatorische Anforderungen und sorgt für eine durchgängig verschlüsselte Kommunikation. 

 

So funktioniert’s  

  • Einfache Integration über eine Azure-App 
  • Sichere Anbindung an die Microsoft Graph API 
  • Verschlüsselte und stabile Übertragung an Microsoft 365 
  • Unterstützung sämtlicher Geräte und Anwendungen mit SMTP-Funktion 

 

Buchen Sie jetzt einen unverbindlichen Beratungstermin mit einem unserer CAIRO-Experten.

Support-Ende von Windows Server 2016 & 2022

Am 14. Oktober 2025 hat Microsoft den Support für Microsoft Apps (M365 Apps) wie Office, Teams, SharePoint, Exchange auf Windows Server 2016 und Windows Server 2022 eingestellt. Das Support Ende von Windows Server 2016 zum 12.01.27 betrifft das ganze Betriebssystem. 

Seit diesem Zeitpunkt gilt: 

  • Keine weiteren Funktionsupdates 
  • Sicherheitsupdates nur noch bis 10. Oktober 2026 
  • Kein offizieller Microsoft-Support bei Problemen 

Die betroffenen lokalen Umgebungen (oft in Kombination mit Citrix Technologie) funktionieren grundsätzlich weiter. Allerdings verbleiben sie dauerhaft auf der letzten unterstützten Office-Version (2602/2608). Das bedeutet konkret, dass es zu Einschränkungen bei Kompatibilität, Sicherheit und Supportfähigkeit kommen kann, besonders im Zusammenhang mit neuen M365-Apps oder Drittanwendungen. 

Wichtige Termine für die Betriebssysteme sind: 

  • Windows Server 2016 – Generelles Support-Ende am 12.01.27 
  • Windows Server 2022 – Support für Microsoft Apps bis Oktober 2026 

 

Unsere Handlungsempfehlung  

Überprüfen Sie den aktuellen Server-Status sowie den der verwendeten Microsoft Apps & anderer Apps inklusiver der Kompatibilitäten zu Releases anderer Software wie z.B. Citrix. 

Um Risiken frühzeitig zu vermeiden, empfehlen wir zudem die Bewertung möglicher Migrations- oder Upgrade-Szenarien. 

 

Bei Fragen oder zur gemeinsamen Bewertung Ihrer Windows-Umgebung steht Ihnen ein  CAIRO-Experte jederzeit gerne zur Verfügung. 

Kerberos Verschlüsselungstyp RC4 wird abgeschafft

Worum geht es?

Es geht um eine veraltete und unsichere Nutzung des Verschlüsselungsalgorithmus RC4 im Kerberos-Authentifizierungsprotokoll in Active-Directory-Umgebungen.

Obwohl seit Windows Server 2008 standardmäßig AES verwendet wird, taucht RC4 weiterhin in Eventlogs von Domain Controllern auf. RC4 gilt seit Jahren als unsicher und wird unter anderem bei Angriffen wie Kerberoasting ausgenutzt.

Warum wird RC4 noch verwendet?

  • Das KRBTGT-Konto wurde nie aktualisiert.

  • Alte oder migrierte Benutzer- und Servicekonten mit unveränderten Passwörtern.

  • Veraltete Systeme (z. B. alte Windows- oder Linux-Versionen), die nur RC4 unterstützen.

Aktuelle Entwicklung:

Microsoft plant, RC4 vollständig zu deaktivieren:

  • Mit Windows Server 2025 wird RC4 gar nicht mehr unterstützt.

  • Für Systeme ab Windows Server 2008 soll RC4 bis Mitte 2026 abgeschaltet werden.

Handlungsbedarf für Unternehmen:

  • Prüfen, ob noch Systeme im Netzwerk ausschließlich RC4 unterstützen (Eventlog-Analyse).

  • Alte Systeme migrieren oder ersetzen.

  • Service- und Benutzerkennwörter aktualisieren.

  • Abhängigkeiten identifizieren und bereinigen.

RC4 im Active Directory identifizieren:
Wir bieten ein „Active Directory Deep Scan“ an, der unter anderem RC4-Nutzung identifiziert, Sicherheitsrisiken bewertet (inkl. Mapping auf MITRE ATT&CK) und bei der sicheren Deaktivierung von RC4 unterstützt.

Bei weiterem Fragen stimmen Sie sich mit einem unserer CAIRO-Experten ab. 

NIS2 – Pflichten aus Management-Perspektive

Seit dem 6. Dezember 2025 müssen sich Geschäftsführer konkret fragen:
Sind wir von NIS2 betroffen?

Im Kern bedeutet NIS2: Das Management muss IT-Risiken aktiv steuern und entsprechende Maßnahmen selbst treffen. Delegation allein reicht nicht – NIS2 schreibt ausdrücklich die Nicht-Delegierbarkeit vor.

Als Hilfestellung hat das BSI einen Leitfragen-Katalog für die Geschäftsleitung veröffentlicht, der als praxisnahe Schulung dient.

  • Ab Seite 15 finden Sie die wichtigsten Fragen, die ein gut abgesichertes Unternehmen beantworten sollte
  • Dazu gibt es praktische Beispiele für passende Antworten und typische Antworten, die nicht ausreichend sind
  • Geschäftsführer und Manager sollten diese Fragen selbst beantworten können, um im Ernstfall vorbereitet zu sein

Beispiel einer der 10 essenziellen Fragen:

Bei weiterem Fragen stimmen Sie sich mit einem unserer CAIRO-Compliance-Experten ab. 

Wir unterstützen Sie bei der praktischen Umsetzung und helfen, Sicherheit effizient zu gestalten.

20 praktische Checklisten auf dem Weg zur BSI-Grundschutz Absicherung

Der BSI-Grundschutz umfasst inzwischen über 5.000 Seiten und ist mindestens so umfangreich wie eine ISO 27000-Zertifizierung. Damit auch kleinere Firmen oder Verwaltungen ein praktikables Sicherheitsniveau erreichen, hat das BSI drei kompakte Varianten entwickelt – von groß nach klein:

  1. BSI Basis-Absicherung
  2. BSI Grundschutz für Kommunale Verwaltung
  3. BSI Weg in die Basisabsicherung (WiBa) – 20 praktische Checklisten auf 200 Seiten

Die Checklisten sind praktisch, leicht verständlich und direkt anwendbar – auch für IT-Teams ohne ISB- oder CISO-Hintergrund.

  • Die Checklisten decken technische und organisatorische Maßnahmen ab
  • Sie eignen sich perfekt für neue ISBs oder IT-Verantwortliche, die schnell einsteigen möchten
  • Einfach nach Kapiteln gegliedert, leicht verständlich und sofort nutzbar

Mit einem Klick können Sie hier die WiBa-Checklisten direkt beziehen.

Wir unterstützen Sie bei der praktischen Umsetzung und helfen, Sicherheit effizient zu gestalten.

Bei komplexeren Fragen zu einem Lean-ISMS, Notfallplänen oder Schutzklassen-Definitionen können Sie sich jederzeit mit einem unserer CAIRO-Experten ab.

Schutzklassen und IT-Risiken richtig festlegen

Viele Unternehmen stehen vor der Frage, wie sie Daten und IT-Systeme korrekt klassifizieren und Risiken verlässlich bewerten können. Entscheidend ist die enge Zusammenarbeit zwischen IT, Fachbereichen und Informationssicherheit. Das Ziel ist eine einheitliche Vorgehensweise im Unternehmen zur Bestimmung von Schutzklassen (SK) und zur Berechnung von Unternehmensrisiken.

Der etablierte Ablauf

  1. Begriffsverständnis schaffen
    IT erklärt Fachbereichen den Schutzklassen-Begriff – Grundlage für einheitliche Bewertung.
  2. Vorbewertung durch Fachbereich
    Fachbereich legt erste SK fest (ohne finalen Schadensbezug) – nur hier ist die fachliche Kritikalität bekannt.
  3. Kritische Systeme beschreiben (ab SK ≥ 2)
    IT ergänzt technische Perspektive: Benutzer, Berechtigungen, Komponenten, Abhängigkeiten, Schutzmaßnahmen.
  4. Risikobewertung durchführen
    Gemeinsame Analyse von:
    • wirtschaftlichem Schaden
    • Eintrittswahrscheinlichkeit
    Ergebnis: finale SK auf Basis Schadenshöhe.
  5. SLAs fachlich definieren
    Fachbereich beschreibt Anforderungen ähnlich einem Lastenheft:
    • MTD (Datenverlust)
    • MTA (Ausfallzeit)
    • BCM-Überlegungen für Notfälle
  6. SLAs technisch garantieren
    IT liefert passende Lösungen (Pflichtenheft) und zeigt Gap-Analyse zwischen Bedarf und Machbarkeit.

Warum sich der Aufwand lohnt:

Die monetäre Bewertung der Risiken schafft Entscheidungsgrundlagen für:

  • Cyber-Versicherungen
  • Budget- und Investitionsplanung
  • Priorisierung von Sicherheitsmaßnahmen
  • BCM- & Notfallstrategien

Typische Schäden bei Ausfall oder Cyberangriff

  • Verlust von Unternehmenswert
  • Umsatz- & Produktivitätsverluste
  • zusätzlicher IT-Aufwand / externe Experten
  • Hardware-Kosten
  • DSGVO-Bußgelder

Bei weiterem Fragen stimmen Sie sich mit einem unserer CAIRO-Experten ab.

Maximale Datensicherheit in M365 – mit der Purview Suite

Microsoft Purview ist die Datenschutz-, Compliance- und Governance-Plattform innerhalb von Microsoft 365. Sie integriert sich nahtlos in Dienste wie SharePoint, Teams und Exchange und hilft Unternehmen, sensible Daten zu erkennen, zu schützen und Aktivitäten revisionssicher nachzuverfolgen.

Die Purview Suite gliedert sich in mehrere spezialisierte Funktionsbereiche: 

  • Information Protection: Schutz sensibler Daten mithilfe von Sensitivity Labels, Verschlüsselung und granularen Zugriffskontrollen. 
  • Data Loss Prevention: Verhindert unbeabsichtigte Datenabflüsse und schützt vertrauliche Informationen – vollständig integriert mit Sensitivity Labels. 
  • Insider Risk Management: Identifiziert und bewertet potenzielle Risiken durch auffälliges Benutzerverhalten, z. B. ungewöhnlich große Daten-Exports. 
  • eDiscovery & Audit: Umfassende Protokollierung von Benutzeraktivitäten, Änderungen, Zugriffen und Berechtigungen – inklusive 80 detaillierter Audit-Bereiche. 
  • Records Management & Retention: Effiziente Steuerung von Aufbewahrungsrichtlinien für Daten, Dokumente und strukturierte Inhalte. 
  • Message Encryption & Customer Key: Sichere E-Mail-Verschlüsselung und Kontrolle über eigene Schlüssel – besonders relevant für regulierte Branchen wie Finanzwesen, Gesundheitswesen oder öffentliche Verwaltung. 
  • Records & Lifecycle Management: Automatisierte, richtlinienkonforme Aufbewahrungs- und Löschprozesse. 
  • Compliance Management: Zentrales Dashboard zur Verwaltung und Umsetzung von regulatorischen Anforderungen wie DSGVO oder ISO 27000. 
  • Data Map: Aktuelle, durchsuchbare Übersicht aller relevanten Datenquellen im Unternehmen. 
  • Unified Data Catalog: Zentraler Katalog zur Verwaltung, Kuratierung und Governance sämtlicher Datenquellen. 

Bei Fragen zur Purview-Implementierung stehen die  CAIRO M365-Experten zur Verfügung.

Entdecken Sie 185 mögliche Lücken im Benutzer-Management

Viele Mitarbeitende nutzen täglich AD oder Entra ID, weshalb starke Sicherheitsmaßnahmen essenziell sind. Dennoch finden sich in fast allen Organisationen kritische, oft jahrelang unentdeckte Fehlkonfigurationen.

Der AD Deep Scan von CAIRO bietet dafür einen automatisierten Sicherheitscheck mit 185 Tests für AD, Entra ID und angebundene Systeme wie Okta.

Sie erhalten: 

  • einen deutschsprachigen, ausführlichen Report mit klaren Handlungsempfehlungen 
  • eine interaktive Expertenbesprechung Ihrer Ergebnisse 
  • die Identifikation von Indicators of Exposure (IoE) und tatsächlichen Indicators of Compromise (IoC). Die Prüfung umfasst Fehlkonfigurationen in den Bereichen AD-Infrastruktur, Kontosicherheit, Delegationen, Gruppenrichtlinien und Kerberos-Sicherheit. 
  • eine Bewertung nach DISA-Best Practices und dem MITRE ATT&CK®-Framework 

Möchten Sie wissen, wie Ihr AD wirklich dasteht? 
Dann sichern Sie sich unverbindlich Ihren Deep-Scan-Termin und stimmen Sie sich mit einem unserer CAIRO IT-Experten ab.

Ihre IT ist nur so stark wie Ihr schwächstes System

IT-Systeme in Unternehmen sind durch neue Features, Konfigurationsänderungen und hybride Cloud-Umgebungen ständig Angriffen ausgesetzt. Effektiver Schutz gelingt durch Systemhärtung:
Mit Maßnahmen von der Applikation bis zum Netzwerk reduzieren Sie die Angriffsfläche und steigern die IT-Resilienz.

Eine kompakte Checkliste hilft beim direkten Einstieg.

Sie zeigt die wichtigsten Schritte, um: 

  • Sicherheitslücken schnell zu erkennen und zu schließen
  • Systeme effizient zu härten 
  • Compliance-Anforderungen einfach zu erfüllen 
Checkliste herunterladen

BSI veröffentlicht neues Framework für IT-Verteidigungsfähigkeit

Anfang November 2025 veröffentlichte das BSI gemeinsam mit internationalen Partnern ein neues Framework zur modernen verteidigungsfähigen IT-Architektur (MDA).
Ziel ist es, IT-Nutzern und IT-Management die Umsetzung von „Security by Design & Default“ und „Zero Trust“ zu erleichtern.

Das Framework besteht aus 10 zentralen Foundations:

  1. Centrally managed enterprise identities
  2. High confidence authentication
  3. Contextual authorisation
  4. Reliable asset inventory
  5. Secure endpoints
  6. Reduced attack surface
  7. Resilient networks
  8. Secure-by-Design
  9. Comprehensive validation and assurance
  10. Continuous and actionable monitoring

Die detaillierten Leitfäden für die jeweiligen Bereiche finden Sie hier.

Die Leitfäden unterstützen beim Abschluss einer Cyberversicherung, beim Aufbau eines ISMS und bei der Vorbereitung auf eine ISO-27001-Zertifizierung.

NIS2 wird Gesetz – was Sie in der IT jetzt tun müssen

Die NIS2-Richtlinie wird bald in deutsches Recht umgesetzt und betrifft über 30.000 Unternehmen. Sie macht Cybersecurity, stabile IT-Strukturen und sichere Prozesse zur Pflicht.

Die Anforderungen steigen deutlich: Risikomanagement, Meldepflichten, technische Schutzmaßnahmen und Schulungen werden verbindlich – auch für Mittelständler, selbst wenn sie bisher nicht als KRITIS galten.

Der CAIRO NIS2-Plan zeigt:

  • welche Pflichten und Fristen gelten,
  • wie Ihr Unternehmen gesetzeskonform und effizient vorgeht,
  • welche Technologien und Prozesse Priorität haben (z. B. ISMS, Schwachstellenmanagement, MFA, IDS/IPS, Schulungen)
  • und wie Sie Bußgelder vermeiden.
Plan herunterladen

NIS2: So machen Sie den ersten Schritt

Ab Anfang 2026 wird die EU-Richtlinie NIS2 in deutsches Recht umgesetzt. Für Unternehmen bedeutet das: Informationssicherheit ist Pflicht. Wer die Vorgaben nicht erfüllt, riskiert Bußgelder und schwächt die eigene IT-Sicherheit.

Um den Überblick zu behalten, haben wir eine kompakte NIS2-Checkliste erstellt. Sie fasst die wichtigsten technischen und organisatorischen Maßnahmen zusammen und ermöglicht eine schnelle Eigenüberprüfung, ganz ohne Gesetzestexte.

Checkliste herunterladen

Schneller Einstieg ins ISMS

Ein ISMS hilft, Risiken systematisch zu erkennen und zu minimieren. Im Alltag fehlt oft die Zeit, Richtlinien und Verfahren zu entwickeln und umzusetzen.

Unser Ansatz bietet einen kompakten Überblick und zeigt, dass bereits ein praktisches „Mini-ISMS“ die Sicherheit spürbar erhöhen kann. Laden Sie jetzt unseren kostenlosen Plan herunter und starten Sie direkt in die ISMS-Erstellung.

Plan herunterladen

Ihre IT-Sicherheit im Blick

2024 wurde jedes zweite mittelständische Unternehmen in Deutschland Opfer eines Cyberangriffs. Hohe Kosten, Ausfallzeiten und Reputationsschäden sind die Folge. Oft fehlt im Alltag der klare Blick auf eigene Sicherheitslücken.

Unsere kompakte Checkliste zeigt die 20 häufigsten Schwachstellen – z. B. VPN-Nutzer auf Firewalls – und bietet Ihnen ein praktisches Werkzeug zur schnellen Selbsthilfe.

Checkliste herunterladen