📦 Monat: November 2025   ▽ 2025   6 Ergebnisse

Inhaltsverzeichnis
  1. Exchange Online Sicherheitsmechanismen im Überblick 2 - 4
  2. Adventskalender 5
  3. NIS2: Jetzt registrieren! 6 - 7
  4. Windows 11 denglisch beheben 8
  5. NIS2-Umsetzungs-Gesetz verabschiedet 9 - 11
  6. Reminder: keine Sicherheitsupdates mehr für Windows 10 & Office 12 - 13

Exchange Online Sicherheitsmechanismen im Überblick

Jetzt auch als #Podcast

Sie oder Ihr Prüfer haben sich sicherlich schon mal gefragt, wie Microsoft (oder Ihre Admins) Ihren Exchange online absichern. Hier die ausführliche Antwort:

#Exchange Online ist Teil von Microsoft 365 und bietet ein mehrschichtiges Sicherheitskonzept, um Daten, Identitäten und Kommunikation vor Bedrohungen zu schützen. Die wichtigsten Mechanismen sind:

Identitäts- und Zugriffsmanagement

  • Multifaktor-Authentifizierung (MFA): Schützt Benutzerkonten vor Kompromittierung, selbst wenn Passwörter gestohlen werden.
  • Conditional Access: Richtlinien basierend auf Standort, Gerät und Risiko, um den Zugriff granular zu steuern.
  • Passwortrichtlinien & Überwachung: Starke Kennwortrichtlinien und Erkennung verdächtiger Anmeldeversuche.

Schutz der E-Mail-Kommunikation

  • Exchange Online Protection (EOP):
    • Anti-Spam & Anti-Phishing: Filterung verdächtiger Inhalte und Schutz vor Spoofing.
    • Anti-Malware: Mehrere Engines scannen Anhänge und Nachrichten in Echtzeit.
  • Microsoft Defender for Office 365:
    • Safe Links: Überprüfung von URLs vor dem Öffnen.
    • Safe Attachments: Anhänge werden in einer Sandbox getestet.
  • Data Loss Prevention (DLP): Erkennt und verhindert das Versenden sensibler Daten wie Kreditkarten- oder Personalausweisnummern.
  • E-Mail-Verschlüsselung: Transport Layer Security (TLS) für Daten in Transit und BitLocker für Daten im Ruhezustand.

Authentifizierung & Compliance

  • SPF, DKIM und DMARC: Schützen vor Spoofing und sichern die Domain-Reputation.
  • Audit Logging: Nachvollziehbarkeit aller Änderungen und Zugriffe für Sicherheits- und Compliance-Zwecke.
  • Revisionssichere Archivierung & eDiscovery: Für rechtliche Anforderungen und Untersuchungen.

Erweiterte Sicherheitsmaßnahmen

  • Deaktivierung von Legacy-Protokollen: POP3, IMAP und SMTP Basic Auth werden abgeschaltet, um MFA-Umgehungen zu verhindern.
  • Integration mit Microsoft Defender XDR: Erweiterte Bedrohungserkennung und automatisierte Reaktionen.
  • Zero Trust-Ansatz: Jeder Zugriff wird überprüft, unabhängig vom Standort oder Gerät.

Fazit Sicherheit

Exchange Online kombiniert starke Authentifizierung, intelligente Bedrohungsabwehr und umfassende Compliance-Funktionen. Damit wird ein Höchstmaß an Sicherheit für E-Mail-Kommunikation und Daten gewährleistet.

Wichtiger Hinweis zu Datensicherung und Archivierung

So umfassend und ausgereift die Sicherheitsmechanismen von Exchange Online auch sind, ist ein zentraler Punkt häufig missverstanden – sowohl von Anwendern als auch von Prüfern:

Exchange Online ist kein Backup-System.

Papierkorb ≠ Datensicherung

Microsoft stellt in Exchange Online ausschließlich logische Schutzmechanismen bereit, wie z. B.:

  • Gelöschte Elemente / Wiederherstellbare Elemente (Papierkorb)
  • Kurzfristige Aufbewahrungsfristen
  • Versionierung in bestimmten Szenarien

Diese Funktionen dienen nicht als vollwertige Datensicherung.
Nach Ablauf der Aufbewahrungsfristen oder bei gezielten Löschvorgängen (z. B. durch Benutzer, Administratoren, Ransomware oder Fehlkonfigurationen) sind Daten endgültig verloren.

👉 Eine klassische Datensicherung mit unabhängigen Kopien existiert in Exchange Online „ab Werk“ nicht.

Kein echtes E-Mail-Archiv ohne Zusatzfunktion

Ebenso wichtig:
Ohne zusätzliche Lizenz oder Konfiguration verfügt Exchange Online nicht über ein revisionssicheres E-Mail-Archiv im Sinne von Compliance-, Audit- oder GoBD-Anforderungen.

Empfehlung: Microsoft 365 Mailarchiv

Für die Archivierung von E-Mails empfiehlt sich das Exchange Online Archiving, das bereits in vielen Microsoft 365 Business Premium-Plänen enthalten ist.
Vorteile:

  • Revisionssichere Archivpostfächer
  • Unabhängig vom Benutzerpostfach
  • eDiscovery-fähig
  • Unterstützung gesetzlicher Aufbewahrungsfristen

➡️ Archivierung ersetzt jedoch ebenfalls kein Backup.

Empfehlung für echte Datensicherung: ConnectWise Backup

Für eine vollwertige Datensicherung von Microsoft-365-Workloads ist eine externe Backup-Lösung zwingend erforderlich.

Empfohlen wird:

ConnectWise Backup für:

  • Exchange Online
  • Microsoft Teams
  • OneDrive for Business
  • SharePoint Online

Vorteile:

  • Unabhängige Sicherung außerhalb von Microsoft 365
  • Granulare Wiederherstellung (E-Mails, Postfächer, Dateien, Sites)
  • Schutz vor Ransomware, Fehlbedienung und böswilligen Löschungen
  • Erfüllung von Audit- und Compliance-Anforderungen

Ergänzendes Fazit

Exchange Online bietet ein sehr hohes Sicherheitsniveau in Bezug auf Zugriff, Bedrohungsschutz und Compliance.
Sicherheit ersetzt jedoch keine Datensicherung.

Eine ganzheitliche und prüfungssichere Strategie besteht daher aus:

  • Exchange Online für sichere E-Mail-Kommunikation
  • Microsoft 365 Mailarchiv für revisionssichere Archivierung
  • ConnectWise Backup für echte, unabhängige Datensicherung

👉 Erst die Kombination dieser Bausteine sorgt für technische Sicherheit, rechtliche Absicherung und betriebliche Resilienz.

Adventskalender

[pbadventskalender cats=771 games=1 debug=0]

NIS2: Jetzt registrieren!

Wie immer gern als #Podcast hören.

Die EU-Richtlinie NIS-2 (Network and Information Security Directive) ist seit 2024 ein zentraler Baustein zur Verbesserung der Cybersicherheit im europäischen Wirtschaftsraum. Mit der deutschen Umsetzung im #NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurden nicht nur KRITIS-Betreiber, sondern auch zahlreiche weitere Unternehmen erstmalig reguliert.

Der entscheidende Punkt: Auch Unternehmen, die bisher nicht unter KRITIS fielen, gelten nun als „wichtige Einrichtungen“ und müssen sich registrieren.

Warum eine Registrierung Pflicht ist

Alle Unternehmen, die unter NIS-2 fallen – also sowohl „besonders wichtige Einrichtungen“ (ehemals KRITIS) als auch „wichtige Einrichtungen“ (neu betroffene Unternehmen) – sind gesetzlich verpflichtet, sich bei der gemeinsamen Registrierungsstelle von BSI und BBK zu melden.

Damit sollen die Behörden:

  • Ansprechpartner im Notfall erreichen können
  • Cybervorfälle zentral erfassen
  • Informationen, Warnungen und Pflichten zielgerichtet verschicken
  • die Einhaltung der gesetzlichen Anforderungen überwachen

Die Registrierung muss innerhalb von 3 Monaten erfolgen, nachdem ein Unternehmen feststellt oder feststellen kann, dass es unter NIS-2 fällt.

Wo müssen sich Unternehmen registrieren?

Die Registrierung erfolgt online über eine Elster ID. Ich habe dazu einen separaten Artikel geschrieben.

Dieses Portal ist die zentrale Anlaufstelle für:

  • bisherige KRITIS-Betreiber
  • alle neuen NIS-2 „wichtigen Einrichtungen“
  • NIS-2-relevante Dienstleister
  • Betreiber digitaler Dienste

Welche Daten werden benötigt?

Die Registrierung erfordert unter anderem:

  • Unternehmensname und Rechtsform
  • Adresse und Kontaktdaten
  • Name des gesetzlichen Vertreters
  • NACE-Code (wirtschaftliche Tätigkeit)
  • betroffene Sektoren und Dienste
  • öffentliche IP-Adressbereiche
  • Länder, in denen Dienste erbracht werden

Je vollständiger die Angaben, desto schneller der Registrierungsprozess.

Wer ist überhaupt betroffen?

Das Gesetz unterscheidet zwei Kategorien:

Besonders wichtige Einrichtungen

(z. B. Energie, Wasser, Gesundheitswesen, große Hersteller, bestimmte IT-Dienstleister)

Wichtige Einrichtungen

(z. B. mittelgroße Unternehmen vieler Branchen ab bestimmten Schwellenwerten)

Ein Unternehmen ist in der Regel betroffen, wenn es:

  • mehr als 50 Mitarbeiter hat und
  • über 10 Mio. € Umsatz und Bilanzsumme liegt
  • oder in einen der NIS-2-Sektoren fällt

Damit betrifft NIS-2 weit mehr Firmen als früher – vom Produktionsbetrieb über IT-Dienstleister bis hin zu Logistik, Lebensmittelwirtschaft und Chemie.

Fazit: Jetzt Klarheit schaffen und registrieren

Unternehmen, die bereits einen IT-Sicherheitscheck sowie eine Risikoanalyse mitsamt Notfallplan durchgeführt haben, verfügen in der Regel über die notwendigen Informationen, um sicher festzustellen:

  • ob sie unter die NIS-2-Richtlinie fallen,
  • welcher Kategorie („wichtige“ oder „besonders wichtige“ Einrichtung) sie zugeordnet werden
  • und ob eine Registrierung im MIP-Portal des BSI/BBK erforderlich ist.

Wenn diese Grundlagen bereits vorhanden sind, kann die Registrierung schnell und rechtssicher erfolgen.

Alle anderen Unternehmen – insbesondere solche, die bislang keine systematische IT-Dokumentation, Gap-Analyse oder Risikobewertung nach BSI-Grundschutz durchgeführt haben – sollten zunächst die nötigen Voraussetzungen schaffen. Dafür empfiehlt sich das kombinierte NIS-2 Vorbereitungspaket, bestehend aus:

🔹 IT-Sicherheitscheck und Gap-Analyse nach BSI-Grundschutz
https://tech-nachrichten.de/it-sicherheits-check/

🔹 Schulung, Risikoanalyse & Notfallkonzept nach NIS-2-Anforderungen
https://tech-nachrichten.de/schulung-notfallkonzept-risiko/

Erst auf dieser Basis kann sauber bewertet werden, ob das Unternehmen als „wichtig“ oder „besonders wichtig“ gilt – und ob eine Registrierungspflicht besteht.

Windows 11 denglisch beheben

Manchmal kommt es vor, dass das (meist in englisch) vom Hersteller vorinstallierte Windows 11 Pro nach Einstellung auf Region und Sprache Deutschland noch immer ein Mischmasch aus englischen Begriffen (z.B. im Kontextmenü oder Immersive Control panel). Um das zu beheben, gibt es ein effektives Powershell Script. Nach einem automatischen Neustart des Rechners ist alles auf deutsch:

# --- Variables ---
$targetLanguage = "de-DE" # Replace with the desired language code (e.g., "en-US", "fr-FR")
# --- Install Language Pack ---
# Ensure you have the necessary language pack on your system or a local repository
# You can use Add-WindowsCapability -Online -Name "Language.es-ES~..." for feature-on-demand languages or install the pack from a local ISO [5, 11]
# Example using Install-Language cmdlet:
Install-Language -Language $targetLanguage
# --- Set User Display Language ---
# This sets the language for the current user
Set-WinUserLanguageList $targetLanguage -Force
# --- Copy Settings to System and Welcome Screen ---
# This applies the language to the system and the welcome screen
# You may need to run this section in a separate user session for it to fully apply
# Or use a scheduled task to run it under the logged-on user [7, 9]
Copy-UserInternationalSettingsToSystem -WelcomeScreen $True
# --- Force a Restart to Apply Changes ---
# A reboot is required for the changes to take effect system-wide [1, 9]
Restart-Computer -Force

NIS2-Umsetzungs-Gesetz verabschiedet

Gerne auch wieder als #Podcast hören!

✅ Was ist passiert

Die #NIS2 Richtlinie ist auf EU-Ebene am 16. Januar 2023 in Kraft getreten. Deutschland hatte die Umsetzungsfrist bis zum 17. Oktober 2024, diese Frist wurde jedoch nicht eingehalten. Der Kabinettsentwurf des BMI („Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie …“) wurde veröffentlicht und durch das Bundeskabinett beschlossen (am 30. Juli 2025). Der Bundestag hat das Gesetz laut mehreren Quellen am 13. November 2025 beschlossen. Openkritis Zusammenfassung und Artikel der Bundesregierung

⚠️ Was heißt das in der Praxis & was kommt noch

Mit dem Beschluss des Gesetzes wird der rechtliche Rahmen in Deutschland gelegt, mit dem die Richtlinie in nationales Recht überführt wird. OpenKritis Artikel dazu. Das Gesetz sieht unter anderem vor:

  • Erweiterten Anwendungsbereich: Neben klassischen KRITIS-Betreibern sollen künftig „wichtige“ und „besonders wichtige“ Einrichtungen erfasst werden.
  • Neue Meldepflichten bei Sicherheitsvorfällen (z. B. dreistufiges Melderegime: Erstmeldung innerhalb 24 Std., Zwischenbericht, Abschlussbericht)
  • Verstärkte Befugnisse für das Bundesamt für Sicherheit in der Informationstechnik (BSI) und andere Behörden – z. B. Prüfungen, Mitteilungs- und Kontrollrechte.
  • Neue Pflichten für Unternehmen: Risikomanagement, organisatorische & technische Maßnahmen, Berücksichtigung von Lieferketten und Dienstleistern.

Der genaue Zeitpunkt des Inkrafttretens steht noch aus. Es wird davon ausgegangen, dass das Gesetz Ende 2025 oder Anfang 2026 wirksam wird.

[time_until date="01.01.2026" label="voraussichtliches Inkrafttreten NIS2UmsuCG"]

📌 Anwendungsbereich – deutlich erweitert

Bisher (IT-SiG 2.0):

  • Fokus auf KRITIS-Betreiber und einige digitale Dienste.
  • Sektorspezifische Schwellenwerte.

Neu (NIS2UmsuCG):

  • Zwei neue Kategorien:
    • Besonders wichtige Einrichtungen (Essential Entities, EE)
    • Wichtige Einrichtungen (Important Entities, IE)
  • Unternehmensgröße wird zu einem zentralen Kriterium (250+ MA oder hoher Umsatz).
  • Viel mehr Branchen und auch Zulieferer indirekt betroffen.

Auswirkung:
Eine große Zahl bisher nicht regulierter Unternehmen fällt ab sofort unter verbindliche Sicherheitsanforderungen.

📌 Sicherheitsanforderungen – viel konkreter und umfangreicher

Bisher:

  • „Stand der Technik“ ohne starke Konkretisierung.
  • Weniger klare Vorgaben für Risikomanagement.

Neu:
Klare Anforderungen, u. a.:

  • Strukturiertes Risikomanagement inkl. Lieferkette
  • Incident Response mit klar definierten Abläufen
  • Business Continuity und Disaster Recovery
  • Zero-Trust-Elemente
  • Sichere Entwicklung und Patch-Management
  • Verbindliche MFA / starke Authentifizierung
  • Dokumentierte Tech- und Orga-Maßnahmen

Auswirkung:
Mehr prüfbare und verbindliche Kriterien – vergleichbar mit ISO 27001, aber bindender.

📌 Neues Melderegime für Sicherheitsvorfälle

Bisher:

  • Meldung innerhalb 24 Stunden, wenig sanktioniert.

Neu – dreistufig:

  1. Erstmeldung innerhalb 24 Stunden
  2. Zwischenbericht nach 72 Stunden
  3. Abschlussbericht innerhalb eines Monats

Auswirkung:
Unternehmen brauchen klar definierte Meldeprozesse, Tools und Verantwortlichkeiten.

📌 4. Management-Verantwortung und Haftung

Bisher:

  • Verantwortlichkeit eher indirekt.

Neu:

  • Geschäftsführung haftet persönlich bei fahrlässiger Pflichtverletzung.
  • Pflicht zu Management-Schulungen im Bereich Cybersicherheit.
  • Behörden können Maßnahmen gegen die Unternehmensleitung richten.

Auswirkung:
Security muss auf Vorstandsebene aktiv geführt und dokumentiert werden.

📌 Deutlich höhere Bußgelder

Bisher:

  • Maximal 2 Mio. €.

Neu:

  • Besonders wichtige Einrichtungen: bis zu 10 Mio. € oder 2 % Umsatz
  • Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % Umsatz

Auswirkung:
Bußgeldniveau vergleichbar mit DSGVO – deutlich höheres Risiko.

📌 Ausgeweitete Befugnisse des BSI

Bisher:

  • Beratung, Anordnungen, Mindeststandards.

Neu:

  • Anlasslose Prüfungen möglich
  • Verbindliche technische Anordnungen
  • Eingriffsbefugnisse bis in die Lieferkette
  • Pflicht, dass Unternehmen mitwirken und Daten liefern

Auswirkung:
Unternehmen müssen jederzeit prüf- und nachweissicher sein.

📌 7. Lieferketten- / Dienstleisterpflichten

Bisher:

  • Kaum konkrete gesetzliche Vorgaben.

Neu:

  • Risikobewertung von Dienstleistern verpflichtend
  • Verbindliche Security-Vorgaben in Verträgen
  • Fokus auf Cloud, MSP, Softwarelieferanten
  • Nachweis „angemessener Sicherheit“ in der Kette

Auswirkung:
Vendor-Management und TPRM werden zentrale Pflichtaufgaben.

📌 Governance und organisatorische Vorgaben

Neu eingeführt / konkretisiert:

  • Verbindliche Sicherheitsstrategien
  • Klare Rollen & Verantwortlichkeiten
  • Audit- und Reportingpflichten
  • Regelmäßige Schulungen
  • Dokumentationspflichten für alle Maßnahmen

Auswirkung:
Organisatorische Sicherheit wird so wichtig wie technische Sicherheit.

📌 Fazit

NIS2UmsuCG verschärft und erweitert die Vorgaben des IT-SiG 2.0 erheblich:

  • Mehr betroffene Unternehmen
  • Konkretere Sicherheitsanforderungen
  • Strengere Meldepflichten
  • Persönliche Managementhaftung
  • Höhere Bußgelder
  • Deutliche Stärkung der Behördenrechte
  • Verpflichtende Einbindung der Lieferkette

Für Systemkoordinierende und IT Fachpersonal in Unternehmen bedeutet das: Die Anforderungen steigen erheblich – organisatorisch, technisch und dokumentarisch.

Reminder: keine Sicherheitsupdates mehr für Windows 10 & Office

#Wichtig - morgen ist bei #Microsoft Patch Tuesday – doch für Windows 10 (Home/Pro/Enterprise), Office 2016/2019 und Exchange Server 2019 On-Premises bedeutet das: keine regulären Sicherheitsupdates mehr.
Das Supportende ist erreicht – und damit endet auch die Versorgung mit sicherheitsrelevanten Patches für Unternehmensumgebungen.

Was endet – und seit wann?

  • Windows 10 (22H2, alle Editionen):
    Der reguläre Support endete am 14. Oktober 2025. Für Privatanwender bietet Microsoft ein Extended Security Updates-Programm (ESU) an – nicht aber für Unternehmen.
    Firmenkunden, die weiterhin Support benötigen, müssen auf Windows 11 oder Azure Virtual Desktop (AVD) migrieren.
  • Microsoft Office 2016 & 2019:
    Ebenfalls Ende des Supports am 14. Oktober 2025 – und kein ESU-Programm verfügbar. Ab sofort gibt es keine Sicherheitsfixes mehr, auch nicht für Volumenlizenz- oder On-Prem-Installationen.
  • Exchange Server 2019 On-Premises:
    Der reguläre Support ist am 14. Oktober 2025 ausgelaufen. Es gibt nur noch ein zeitlich begrenztes ESU-Programm (6 Monate) bis 14. April 2026, das individuell über Microsoft-Vertriebskontakte bereitgestellt wird – keine automatische Verlängerung oder öffentliche Downloads.

Speziell: Azure Virtual Desktop (AVD) mit Windows 10

Ein Sonderfall: In Azure Virtual Desktop-Umgebungen mit Windows 10 Multisession erhalten Systeme weiterhin sicherheitsrelevante Updates – ohne zusätzliches ESU-Abo.
Diese Ausnahme gilt nur innerhalb von Azure und nicht für lokale Windows 10-Installationen in Unternehmen.

Wichtig: Wer weiterhin Windows 10 Enterprise oder Pro lokal betreibt, erhält ab morgen keinerlei Sicherheitsupdates mehr.

Warum „ab morgen“ besonders kritisch ist

Ab dem Patch Tuesday im November 2025 erscheinen für die genannten Produkte keine regulären Sicherheitsupdates mehr.
Das bedeutet: Jedes Windows 10-, Office 2016/2019- oder Exchange 2019-System ohne Migration oder Cloud-Ausnahme bleibt dauerhaft verwundbar.
Bekannte Schwachstellen können ab morgen ungepatcht ausgenutzt werden – mit potenziell gravierenden Folgen für IT-Sicherheit und Compliance.

Gerade bei Exchange Servern warnen Sicherheitsbehörden wie das BSI vor einer zu erwartenden Welle gezielter Angriffe auf ungepatchte Systeme.

Handlungsempfehlungen (sofort umsetzen)

  1. Windows 10:
    • Sofort prüfen: Welche Systeme laufen noch auf Windows 10?
    • Migration auf Windows 11 einleiten – auch in VDI-Umgebungen.
    • Alternativ: Azure Virtual Desktop (Windows 10 Multisession) prüfen, falls Cloud-Betrieb möglich ist.
  2. Office 2016/2019:
    • Umstieg auf Microsoft 365 Apps for Enterprise oder Office 2024 LTSC planen.
    • Ältere Versionen dürfen nicht mehr produktiv eingesetzt werden.
  3. Exchange Server 2019:
    • Wenn zwingend nötig, ESU bis April 2026 über Microsoft-Kontakt beantragen.
    • Langfristig: Migration auf Exchange Online oder Exchange Subscription Edition vorbereiten.
  4. Übergangsmaßnahmen zur Risikominimierung:
    • Exponierte Dienste (z. B. OWA, EWS) absichern oder abschalten.
    • MFA erzwingen, EDR- und Logging-Regeln anpassen.
    • Backups und Netzsegmentierung überprüfen.
    • Angriffsoberflächen durch interne Pen-Tests oder Schwachstellenscans neu bewerten.

Checkliste für morgen (11. November 2025)

  • Inventar: Welche Systeme laufen noch auf Windows 10 / Office 2016/2019 / Exchange 2019?
  • Migrationspfade dokumentiert und kommuniziert?
  • Exchange-ESU ggf. beauftragt (bis April 2026)?
  • MFA und Härtungsmaßnahmen aktiv?
  • Monitoring/EDR auf bekannte Exploit-Ketten (z. B. CVE-Historie) erweitert?

Fazit

Ab morgen endet die Ära von Windows 10, Office 2016/2019 und Exchange 2019 On-Prem in der Unternehmens-IT.
Ohne Updates besteht ein erhebliches Sicherheits- und Compliance-Risiko.
Es gibt kein ESU-Programm für Unternehmen – der einzige sichere Weg ist die Migration auf Windows 11, Microsoft 365 oder Exchange Online.

Jetzt handeln – bevor die Angreifer es tun.