Entdecke unseren Tech-Podcast

🚀 Du willst morgens beim Kaffee, auf dem Weg zur Arbeit oder unterwegs im Auto über die neuesten Tech-Trends informiert sein? Dann ist unser Tech-Podcast auf tech-nachrichten.de genau das Richtige für dich! 🎧

Jede Woche bringen wir dir kompakte, verständliche und relevante Themen aus der Welt der Technologie – von Sicherheit über KI bis zu spannenden Entwicklungen aus IT & Digitalwirtschaft. Unsere Episoden sind ideal für alle, die wissen wollen, was gerade passiert, ohne sich durch endlose News-Feeds zu kämpfen.

👉 Ob du lieber direkt im Browser anhörst oder den Podcast bequem per RSS abonnierst – beides ist möglich:

• Podcast-Seite: https://tech-nachrichten.de/podcasts/
• 🛜 RSS-Feed: https://tech-nachrichten.de/tag/podcast/feed

Mit dem RSS-Feed hast du die neueste Folge automatisch in deiner Lieblings-Podcast-App – perfekt für unterwegs oder im Auto. Für Android ist die Open-Source App "AntennaPod" aus dem Google Play Store eine gute Wahl: https://antennapod.org/de/. Für IOS ist apple podcasts vorinstalliert.

Mach Schluss mit langweiligen Fahrten – mach dein Auto zur Tech-Wissens-Zone! 🛣️🎙️

Jetzt reinhören & abonnieren!

Neues Windows-Startlayout ab März 2026

Mit dem Funktions-Update vom Februar 2026 (Preview) und dem breiten Rollout im März 2026 hat Microsoft das Startmenü erneut überarbeitet. Die sichtbarste Änderung: Im angehefteten Bereich werden nur noch 16 statt bisher 24 Icons gleichzeitig angezeigt.

Was zunächst wie eine kleine Designanpassung wirkt, hat in der Praxis spürbare Auswirkungen – insbesondere in Unternehmensumgebungen mit standardisierten Layouts oder vielen produktiv genutzten Anwendungen.

Reduzierung der sichtbaren Pins: 24 → 16

Bislang konnten im oberen Bereich des Startmenüs 24 angeheftete Apps direkt sichtbar platziert werden (3 Reihen à 8 Icons). Mit dem neuen Layout sind es nun nur noch 16 Icons (2 Reihen à 8).

Alle weiteren angehefteten Anwendungen verschwinden zunächst aus dem sichtbaren Bereich.

Eine Anpassung dieser Begrenzung ist derzeit nicht möglich:

Keine Option in den Einstellungen
Keine funktionierenden GPOs
Keine wirksamen Registry-Keys

Selbst bekannte Anpassungen zur Startlayout-Steuerung greifen hier offenbar nicht mehr. Die Begrenzung scheint direkt im UI-Design verankert zu sein.

„Alle anzeigen“ – Smartphone-Logik am Desktop

Im Test zeigt sich jedoch eine interessante Alternative: Im Startbereich kann auf „Alle anzeigen“ geklickt werden.

Daraufhin verändert sich die Darstellung deutlich. Alle angehefteten Elemente erscheinen in einer scrollbaren Liste. Die Optik erinnert stark an App-Trays von Smartphones. Auf einen Klick sind somit 64! Icons sichtbar.

Unterhalb der Pins folgen:

Die zuletzt aufgerufenen Dateien
Eine Listenansicht mit Icon und Beschreibung
Alle Einträge und Gruppen im Startmenü

Statt Seitenumbrüchen oder fixen Rastern setzt Microsoft nun klar auf Scrollen statt Blättern. Das wirkt moderner – vor allem auf Touch-Geräten – verändert aber die gewohnte Desktop-Navigation deutlich.

Wird die „Alle anzeigen“-Einstellung gespeichert?

Im Test bleibt die Einstellung erhalten. Nach Abmeldung und erneuter Anmeldung blieb „Alle anzeigen“ aktiv. Erst nach einem manuellen Klick auf „Weniger anzeigen“ springt das Layout wieder zurück.

Ein kompletter Neustart des Rechners wurde noch nicht getestet. Sollte die Einstellung jedoch dauerhaft benutzerbezogen gespeichert bleiben, wäre das eine praktikable Lösung für Nutzer mit vielen Pins. In diesem Fall könnte „Alle anzeigen“ faktisch zur neuen Standardempfehlung für Power-User werden.

Auswirkungen für Unternehmen und Administratoren

Gerade in Unternehmensumgebungen ist die Änderung nicht trivial.

Vordefinierte Startlayouts verlieren an Übersichtlichkeit. Mehr als 16 strategisch platzierte Apps sind nicht mehr direkt sichtbar. Anpassungen per GPO oder Registry greifen nicht mehr wie gewohnt.

Positiv betrachtet sorgt das neue Design für eine einheitlichere Benutzeroberfläche und eine konsistente Bedienlogik zwischen Desktop- und Touch-Geräten. Dennoch bedeutet die Änderung für strukturierte Arbeitsumgebungen mit vielen geschäftskritischen Anwendungen eine gewisse Umgewöhnung.

Tipp auch für 24H2 und Startmenü vor der Änderung

Eine praktikable Alternative für Power-User ist es, sich eine eigene zentrale Startstruktur aufzubauen. Über C:\Windows\explorer.exe shell:AppsFolder lassen sich sämtliche installierten Anwendungen anzeigen. Dort kann per Rechtsklick eine Verknüpfung erstellt werden. Diese Verknüpfungen lassen sich anschließend gesammelt in einen eigenen Benutzerordner – beispielsweise „userstart“ – kopieren. Verbindet man diesen Ordner dann mit der Taskleiste (Rechtsklick auf Taskleiste → Symbolleisten → Neue Symbolleiste auswählen), erhält man eine kompakte, individuell strukturierbare Schnellstartumgebung. Empfehlenswert ist dabei die Darstellung auf „Mittlere Symbole“, um eine gute Balance zwischen Übersichtlichkeit und Platzbedarf zu erreichen. So entsteht eine flexible Alternative zum eingeschränkten Startmenü-Layout.

Fazit

Microsoft verschiebt das Startmenü weiter in Richtung „Mobile UX“. Weniger fixe Raster, mehr Scroll-Logik und deutlich reduzierte Konfigurationsmöglichkeiten prägen das neue Layout.

Die Reduzierung auf 16 sichtbare Pins wirkt zunächst restriktiv. Die „Alle anzeigen“-Funktion kann das jedoch abfedern – vorausgesetzt, die Einstellung bleibt dauerhaft gespeichert.

Ob das neue Layout langfristig als Verbesserung wahrgenommen wird, hängt stark vom individuellen Nutzungsverhalten ab. Für Anwender mit wenigen angehefteten Apps ändert sich kaum etwas. Für Power-User und strukturierte Unternehmensumgebungen ist die Anpassung hingegen deutlich spürbar.

Ihre IT läuft. Aber ist sie auch verantwortbar?

Wissen Sie, wie sicher Ihre IT aktuell wirklich ist?

Viele Unternehmen gehen davon aus, dass ihre IT funktioniert – und das tut sie meist auch.

Relevant wird IT‑ #Sicherheit dann, wenn Verantwortung, Haftung oder Entscheidungen ins Spiel kommen: gegenüber Aufsichtsbehörden, Versicherungen, Kunden oder intern gegenüber der Geschäftsführung.

Unser IT‑Sicherheitscheck nach BSI‑Standards liefert Ihnen eine klare, verständliche Standortbestimmung Ihrer IT‑Sicherheit. Ohne unnötigen Aufwand.

✅ Pauschalpreis ✅ Remote ✅ IT-Dokumentation ✅ Ergebnisbericht für die Geschäftsführung

IT‑Sicherheitscheck (Erstprüfung): 2.475 € pauschal · 2 Tage · Remote

[linkbutton link="https://tech-nachrichten.de/it-sicherheits-check/" label="Management‑Sicherheitsstatus anfordern"]

Wofür dieser IT‑Sicherheitscheck gedacht ist

Der IT‑Sicherheitscheck unterstützt Sie dabei,

• den aktuellen Sicherheitsstand Ihrer IT realistisch einzuordnen
• Risiken verständlich und priorisiert zu sehen
• fundierte Entscheidungen zu treffen, ohne sich mit Technik befassen zu müssen
• Sicherheit nachvollziehbar zu dokumentieren

Er ist keine Zertifizierung, sondern eine pragmatische Entscheidungsgrundlage.

Was Sie am Ende in der Hand haben

• Eine Dokumentation Ihrer IT-Umgebung (Hardware und Software)
• Einen kompakten, verständlichen Ergebnisbericht
• Eine klare Einordnung der Risiken

Der Bericht ist so aufgebaut, dass er direkt von der Geschäftsführung genutzt werden kann, die Dokumentation kann von den Syskos oder Dienstleistern umgesetzt werden.

Warum wir den Check immer vollständig durchführen

Ein IT‑Sicherheitscheck nach BSI folgt festen Strukturen.
Eine verkürzte Variante würde die Aussagekraft reduzieren, nicht den Aufwand.
Deshalb prüfen wir IT‑Sicherheit vollständig oder gar nicht – für klare und belastbare Ergebnisse.

Weitere Leistungen

Detaillierte Informationen, Leistungsbeschreibungen und Bestellmöglichkeiten finden Sie auf den jeweiligen Unterseiten:

[linkbutton link="https://tech-nachrichten.de/schulung-notfallkonzept-risiko" label="Notfallplan und Risikoanalyse nach BSI Standards"] [linkbutton link="https://tech-nachrichten.de/folgeaudit-itscheck-notfallplan/" label="Folge-Audit für IT-Sicherheitscheck und Notfallplan/Risikoanalyse"]

Alle Leistungen sind pauschal kalkuliert und transparent dargestellt.

Nächster Schritt

Wenn Sie eine klare Einschätzung Ihrer IT‑Sicherheitslage benötigen, sprechen Sie mit uns.
IT‑Sicherheitscheck nach BSI: 2.475 € pauschal · klar · vollständig · entscheidungsrelevant

[linkbutton link="https://tech-nachrichten.de/it-sicherheits-check/" label="Management‑Sicherheitsstatus anfordern"]

Alle Leistungen werden remote durchgeführt. Es entstehen keine versteckten Zusatzkosten.

SQL Server Management Studio 21/22 noch nicht einsetzen

[tts]Microsoft entwickelt das SQL Server Management Studio (SSMS) stetig weiter. Mit den Versionen 21 und 22 wurden einige Modernisierungen eingeführt, die auf den ersten Blick nach einem sinnvollen Fortschritt aussehen. In der Praxis zeigt sich jedoch: SSMS 21/22 ist derzeit für viele administrative Aufgaben noch nicht zuverlässig genug und sollte in produktiven Umgebungen mit Vorsicht betrachtet werden.

Besonders kritisch ist dabei ein Bereich, der in vielen Unternehmen zum täglichen Standard gehört: der SQL Server Agent.

Das Hauptproblem: Fehler beim Bearbeiten von SQL Server Agent Aufgaben

Ein zentrales Problem in SSMS 21/22 betrifft das Bearbeiten von SQL Server Agent Jobs. Gerade beim Öffnen, Bearbeiten oder Speichern von Aufgaben und deren Steps treten immer wieder Probleme auf. Dazu gehören unter anderem Fehlermeldungen beim Speichern, unvollständig geladene Eigenschaften oder fehlerhaft dargestellte Konfigurationen.

Das klingt zunächst nach einem typischen „kleinen UI-Bug“, kann aber schnell ernst werden. Denn SQL Server Agent Jobs sind in vielen Umgebungen das Rückgrat der Automatisierung. Sie steuern Backups, Wartungspläne, Datenimporte, Reporting-Prozesse oder Sicherheitsaufgaben. Wenn ein Tool hier nicht stabil arbeitet, steigt die Gefahr, dass Änderungen nicht korrekt übernommen werden oder Jobs unbeabsichtigt verändert werden.

Warum das im Alltag problematisch ist

SSMS ist nicht nur ein SQL-Editor, sondern das wichtigste Verwaltungswerkzeug für Datenbankadministratoren und IT-Betrieb. In produktiven Umgebungen müssen Änderungen schnell, sauber und nachvollziehbar durchführbar sein. Wenn grundlegende Funktionen wie die Job-Verwaltung nicht fehlerfrei funktionieren, führt das zu unnötigem Mehraufwand, längeren Wartungsfenstern und im schlimmsten Fall zu Ausfällen oder fehlerhaften Abläufen.

Gerade in Zeiten, in denen Datenbanken häufig ein kritischer Bestandteil der gesamten Infrastruktur sind, ist es schlicht keine gute Idee, mit einem instabilen Management-Tool zu arbeiten.

Empfehlung: SSMS 20.x bleibt aktuell die beste Wahl

Wer heute eine stabile und bewährte Umgebung benötigt, sollte weiterhin auf SSMS 20.x setzen. Diese Version bietet die nötige Zuverlässigkeit im täglichen Betrieb, insbesondere bei der Verwaltung von SQL Server Agent Aufgaben. Viele Administratoren nutzen SSMS 20.x weiterhin bewusst, weil es in der Praxis stabil läuft und keine bösen Überraschungen verursacht.

Kurz gesagt: Wer produktiv arbeiten will, fährt mit SSMS 20.x aktuell deutlich besser.

Englisch oder Deutsch? Beides möglich

Ein zusätzlicher Tipp: Die englische Version von SSMS wirkt in vielen Fällen etwas schlanker und ist oft angenehmer in der täglichen Nutzung, insbesondere wenn man Fehlermeldungen oder Workarounds recherchieren muss. Die meisten Microsoft-Dokumentationen und Community-Beiträge beziehen sich auf englische Menüs und Begriffe, wodurch die Fehlersuche deutlich schneller geht.

Die deutsche Version ist aber ebenfalls nutzbar und absolut in Ordnung, vor allem in Teams, die konsequent deutschsprachig arbeiten.

Fazit: SSMS 21/22 derzeit lieber nur zum Testen

SSMS 21 und 22 werden langfristig sicher die Zukunft sein. Aktuell gibt es aber noch zu viele Probleme in wichtigen Verwaltungsfunktionen, insbesondere rund um den SQL Server Agent. Wer auf Stabilität angewiesen ist, sollte deshalb vorerst auf SSMS 20.x setzen und SSMS 21/22 höchstens in Testumgebungen evaluieren.

Für produktive Systeme gilt damit momentan eine klare Empfehlung: SSMS 20.x verwenden und SSMS 21/22 erst dann einführen, wenn die bekannten Schwächen vollständig behoben sind.

Cloud‑Passwortmanager: Zero Knowledge reicht nicht

Passwortmanager gelten seit Jahren als eine der wichtigsten Basistechnologien für IT‑Sicherheit – gerade in Organisationen mit vielen Nutzerkonten, Cloud‑Diensten und mobilen Arbeitsplätzen. Umso aufmerksamer sollte man werden, wenn Sicherheitsforscher nun zeigen, dass selbst Cloud‑basierte Passwortmanager mit Zero‑Knowledge‑Versprechen unter bestimmten Bedingungen angreifbar sind.

Genau das haben Forscher der ETH Zürich bei einer Untersuchung mehrerer verbreiteter Passwortmanager aufgezeigt. Ihre Ergebnisse sorgen aktuell für Diskussionen – auch, weil sie ein zentrales Sicherheitsversprechen infrage stellen: Dass Anbieter selbst im Kompromittierungsfall keinen Zugriff auf Passwörter haben können. [heise.de]

Was wurde untersucht – und warum ist das relevant?

Die Forscher haben drei weit verbreitete Cloud‑basierte Passwortmanager analysiert: Bitwarden, LastPass und Dashlane. Die Auswahl erfolgte nicht zufällig, sondern aufgrund ihrer hohen Verbreitung und ihres Marktanteils. Ziel war es zu prüfen, ob die versprochene Ende‑zu‑Ende‑Verschlüsselung („Zero Knowledge“) auch unter realistischen Angriffsannahmen standhält.

Das Ergebnis:
Unter bestimmten Voraussetzungen – insbesondere bei einer vollständigen Kompromittierung der Server‑Infrastruktur – lassen sich Angriffe konstruieren, bei denen Passwörter oder ganze Tresore wiederhergestellt werden können. In mehreren Angriffsszenarien ist zusätzlich eine Interaktion der Nutzer erforderlich, etwa durch manipulierte Antworten des Servers.

Wichtig: Es geht nicht um einen einfachen Remote‑Hack oder eine triviale Ausnutzung durch beliebige Angreifer. Dennoch zeigen die Ergebnisse, dass das Sicherheitsmodell komplexer ist, als viele Marketingaussagen vermuten lassen.

Warum das Zero‑Knowledge‑Prinzip hier an Grenzen stößt

Cloud‑Passwortmanager werben damit, dass der Anbieter selbst keinen Zugriff auf die gespeicherten Geheimnisse hat. Die Studie zeigt jedoch:
Sobald ein Angreifer die Serverlogik kontrolliert, kann er unter Umständen Einfluss auf Schlüsselableitungen, Objektintegrität oder Wiederherstellungsmechanismen nehmen.

Die Forscher sprechen davon, dass dadurch das Zero‑Knowledge‑Modell faktisch unterlaufen wird, weil die Integrität der verschlüsselten Daten nicht mehr vollständig garantiert ist.

Für Systemkoordinatoren ist das ein entscheidender Punkt:
Verschlüsselung schützt Daten nur dann zuverlässig, wenn alle beteiligten Komponenten – Client, Server, Protokolle und Prozesse – korrekt zusammenspielen.

Responsible Disclosure – und unterschiedliche Bewertungen

Die betroffenen Hersteller wurden bereits frühzeitig informiert und erhielten Zeit, die gemeldeten Schwachstellen zu bewerten und zu beheben. Laut Heise haben die Anbieter unterschiedlich reagiert:

• Ein Großteil der identifizierten Probleme wurde inzwischen behoben
• Einige Punkte werden von Herstellern als bewusste Designentscheidungen bewertet
• Die Einschätzung des Risikos reicht von „mittel“ bis „niedrig“, abhängig vom Bedrohungsmodell [heise.de]

Aus administrativer Sicht ist das nicht ungewöhnlich: Sicherheitsforschung und Produktrealität treffen hier aufeinander. Dennoch bleibt die Erkenntnis, dass Cloud‑Vertrauen immer ein kalkuliertes Risiko darstellt.

Was bedeutet das konkret für Unternehmen und Syskos?

Für den Alltag in IT‑Betrieb, Verwaltung oder Mittelstand heißt das nicht, dass Passwortmanager „unsicher“ oder überflüssig sind. Im Gegenteil: Sie bleiben ein zentrales Sicherheitswerkzeug. Aber der Umgang damit sollte reifer werden.

Wichtige Lehren aus der Studie:

1. Cloud ≠ automatisch Zero Trust
   Auch bei Zero‑Knowledge‑Architekturen bleibt der Anbieter Teil der Sicherheitskette.
2. Client‑Sicherheit ist entscheidend
   Mehrere Angriffsszenarien setzen Nutzerinteraktion voraus – geschulte Anwender und saubere Endgeräte bleiben essenziell.
3. Updates und Reaktionsfähigkeit zählen
   Wie schnell Anbieter auf Meldungen reagieren, ist ein wichtiges Auswahlkriterium.
4. Notfall‑ und Wiederherstellungsfunktionen kritisch prüfen
   Genau diese Mechanismen sind oft funktional notwendig – aber sicherheitstechnisch heikel.

Cloud oder Self‑Hosted? Eine alte Frage, neu bewertet

Für viele Organisationen stellt sich erneut die Frage:
Cloud‑Passwortmanager oder selbst betriebene Lösungen?

Self‑Hosted‑Varianten reduzieren die Abhängigkeit von externen Infrastrukturen, erhöhen aber gleichzeitig die Betriebsverantwortung. Cloud‑Dienste bieten Komfort und Skalierbarkeit, verlangen jedoch Vertrauen in Architektur und Anbieter.

Die Studie liefert kein pauschales Urteil, aber sie liefert Argumente dafür, diese Entscheidung bewusst und risikoorientiert zu treffen – nicht allein auf Basis von Marketingversprechen.

Fazit: Mehr Realismus, weniger Sicherheitsmythen

Die Untersuchung der ETH Zürich zeigt vor allem eines:
IT‑Sicherheit ist kein Zustand, sondern ein kontinuierlicher Aushandlungsprozess zwischen Komfort, Architektur und Bedrohungsmodellen.

Passwortmanager bleiben unverzichtbar – aber sie sind kein Allheilmittel. Für Systemkoordinatoren bedeutet das, Sicherheitsversprechen kritisch zu hinterfragen, Herstellerreaktionen zu beobachten und das eigene Schutzkonzept regelmäßig zu überprüfen.

Oder anders gesagt:
Zero Knowledge ist ein wichtiges Prinzip – aber kein Ersatz für professionelles Risikomanagement.

---

Quelle & weiterführende Lektüre:
Heise Online: Schwachstellen in Cloud‑basierten Passwort‑Managern
[heise.de]

Karneval für Anfänger mit Tom und Lisa

Karneval steht vor der Tür – und während Lisa schon innerlich die Konfetti-Kanone lädt, fragt sich Tom, warum Menschen freiwillig in Kostümen durch die Gegend laufen und dabei „Alaaf“ rufen.

In „Karneval für Anfänger“ prallen zwei Welten aufeinander:
Karnevals-Liebe trifft auf völlige Ahnungslosigkeit – und genau daraus entsteht ein herrlich ehrlicher (und ziemlich lustiger) Crashkurs für alle, die Karneval bisher erfolgreich ignoriert haben.

🎧 #Podcast ist hier im Beitrag angeheftet – einfach reinhören und mitlachen!

Fehlermeldung Standortdienste in Word behoben

Viele Microsoft-365-Nutzer kennen das Problem: Beim Öffnen und Auto-Speichern einer Word-Datei aus SharePoint oder OneDrive for Business erschien plötzlich ein störendes Popup – insbesondere dann, wenn die Standortdienste im Betriebssystem deaktiviert waren.

Die gute Nachricht: Microsoft hat das Problem nun auch im Monthly Enterprise Channel und im aktuellen Kanal behoben.

Das Problem

Beim Öffnen von Dokumenten aus der Cloud (SharePoint / OneDrive for Business) zeigte Word ein wiederkehrendes Hinweis- oder Fehlermeldungsfenster an, sofern die Windows-Standortdienste deaktiviert waren.

Das Verhalten war dabei besonders irritierend, weil kein offensichtlicher funktionaler Zusammenhang zwischen Dokumentenöffnung und Standortdaten bestand, das Popup den Arbeitsfluss unterbrach und die Meldung auch in sicherheitsbewussten Umgebungen auftrat, in denen Standortdienste bewusst deaktiviert sind.

Gerade in Unternehmensumgebungen mit restriktiven Datenschutz- oder Hardening-Vorgaben sorgte das regelmäßig für Support-Tickets.

Die Lösung

Mit folgender Version ist das Problem behoben:

Microsoft® Outlook® für Microsoft 365 MSO (Version 2512 Build 16.0.19530.20226) 64 Bit

Ab dieser Build-Version tritt das Popup nach aktuellem Stand nicht mehr auf – auch dann nicht, wenn die Standortdienste weiterhin deaktiviert sind.

Die Korrektur ist inzwischen im Monthly Enterprise Channel ausgerollt.

Technischer Hintergrund (Einordnung)

Microsoft 365 Apps greifen bei Cloud-Dokumenten auf verschiedene Kontextinformationen zu. Offenbar führte eine interne Abfrage im Zusammenhang mit Cloud- oder Compliance-Funktionen dazu, dass bei deaktivierten Standortdiensten eine Meldung ausgelöst wurde – obwohl für das eigentliche Öffnen der Datei keine Standortinformationen erforderlich waren.

Mit dem aktuellen Build wurde dieses Verhalten korrigiert.

Was Administratoren jetzt tun sollten

Administratoren sollten prüfen, ob betroffene Clients mindestens auf Version 2512 (Build 16.0.19530.20226) aktualisiert wurden. Falls das Problem weiterhin auftritt, empfiehlt es sich, den Updatekanal zu kontrollieren (Monthly Enterprise Channel), Office-Updates manuell anzustoßen und den Versionsstand unter „Datei → Konto → Info zu Word“ zu überprüfen.

In gehärteten Umgebungen müssen Standortdienste somit nicht wieder aktiviert werden, um das Popup zu vermeiden.

Fazit

Ein kleines, aber nerviges Problem ist endlich behoben. Besonders für Unternehmen mit restriktiven Datenschutz- oder Security-Vorgaben ist das eine willkommene Verbesserung. Wer von der Meldung betroffen war, sollte jetzt den Versionsstand prüfen – und kann sich voraussichtlich vom Popup verabschieden.

IBM‑Db2‑Sicherheitslücken

IBM hat mehrere kritische #Sicherheitslücken im Datenbanksystem IBM Db2 veröffentlicht, die unter bestimmten Umständen lokale Angreifer in die Lage versetzen können, ihre Rechte auszuweiten – im schlimmsten Fall bis hin zu Root‑Rechten. Laut heise sind derzeit über 17 Schwachstellen bekannt, darunter zwei mit hoher Kritikalität, die es Angreifern mit Dateisystemzugriff ermöglichen, privilegierte Operationen auszuführen oder Root‑Zugriff zu erlangen. [heise.de]

Was genau ist betroffen?

Die Schwachstellen betreffen verschiedene Db2‑Versionen, inklusive älterer Releases, die nicht mehr im Support stehen und somit keine Sicherheitsupdates mehr erhalten. Für unterstützte Versionen wie Db2 11.5.9 stehen spezielle Patches (z. B. Special Build #66394) zur Verfügung. Diese beheben insbesondere Privilege‑Escalation‑Lücken sowie diverse Denial-of-Service‑Probleme, die durch manipulierte SQL‑Abfragen ausgelöst werden können.

Bin ich betroffen, wenn Db2 nur im internen LAN läuft?

Viele Unternehmen setzen Db2 ohne externe Erreichbarkeit und ausschließlich intern ein – zum Beispiel als Datenbank für d.3 / d.velop documents Version 8. Die gute Nachricht: Wenn der Db2‑Server nicht aus dem Internet erreichbar ist, sinkt das Risiko deutlich.

Allerdings gilt: Die kritischsten Lücken erfordern lokalen Zugriff auf den Server. Das bedeutet, dass ein Angreifer bereits im internen Netz oder auf dem System aktiv sein müsste, um die Schwachstellen auszunutzen. Das schützt zwar vor externen Angriffen, aber nicht vor:

• infizierten Arbeitsplätzen im LAN.
• kompromittierten Dienstkonten.
• internen Angreifern.
• Malware, die sich lateral im Netzwerk bewegt.

Kurz gesagt: Nicht aus dem Internet erreichbar bedeutet nicht automatisch sicher.

Was bedeutet das für d.3‑Systeme mit IBM Db2?

Ein wichtiger Punkt: d.velop hat angekündigt, die Unterstützung für IBM Db2 ab 2026 vollständig einzustellen. Bereits heute steht Db2 für Neuinstallationen nicht mehr zur Verfügung, und Bestandskunden erhalten nur noch bis Ende 2026 Support. Eine Migration auf Microsoft SQL‑Server wird ausdrücklich empfohlen. [Wichtige N….dok - GWS]

Damit ergibt sich ein doppelter Handlungsdruck:

1. Aktuelle Sicherheitslücken beheben
2. Frühzeitig die Migration auf SQL‑Server planen, da Db2 perspektivisch nicht mehr unterstützt wird

Wie hoch ist das Risiko für meine bestehende d.3‑Installation?

Bewertung für typische d.3‑Umgebungen im LAN:

Du bist wahrscheinlich betroffen, wenn:

• Du eine ungepatchte oder ältere Db2‑Version einsetzt.
• Dein d.3‑System weiterhin auf Db2 basiert (Version 8 ist häufig betroffen).
• Dienstkonten oder Anwendungen mit zu hohen Rechten laufen.
• es potenzielle interne Angriffswege gibt (z. B. über RDP, SMB, Schwachstellen in Drittsoftware).

Du bist weniger betroffen, wenn:

• Deine Db2‑Version gepatcht und im Support ist.
• Der Server gehärtet ist und nach Prinzip „Least Privilege“ betrieben wird.
• Das System vollständig isoliert ist.
• Du bereits auf Microsoft SQL‑Server migriert hast.

Klare Empfehlung

Kurzfristig

• Prüfen, welche Db2‑Version eingesetzt wird.
• Verfügbare Sicherheitsupdates umgehend installieren.
• Dienst‑ und Systemkonten prüfen und bereinigen.
• Serverhärtung durchführen (Firewall, AV, lokale Richtlinien).

Mittelfristig

• Migration von Db2 auf SQL‑Server planen, da der Hersteller‑Support endet
• Prüfen, welche d.3‑Komponenten bereits SQL‑Server voraussetzen

Langfristig

• Moderne Web‑Technologien (z. B. d.3 One) nutzen.
• Abhängigkeit von abgekündigten Technologien vermeiden.
• Sicherheitsrisiken reduzieren, die durch veraltete Datenbanksysteme entstehen.

Fazit

Auch wenn dein d.3‑System auf Basis von IBM Db2 nur intern im LAN betrieben wird, kann eine lokale Angriffsfläche bestehen bleiben – besonders, wenn ältere oder ungepatchte Versionen im Einsatz sind. Die aktuelle Entwicklung sowie das bevorstehende Supportende von Db2 bei d.velop machen klar: Eine Migration auf SQL‑Server ist nicht nur sicherer, sondern perspektivisch zwingend notwendig.

Prüfung zum Webcast IT-Sicherheit

In diesem Test geht es um grundlegende Sicherheitsmaßnahmen zur Stärkung der Resilienz für Ihr Unternehmen. Diese #Prüfung hilft Ihnen, Ihre erlernten Fähigkeiten unter Beweis zu stellen.

[personal_quiz items=16 cats="edv"]

Webcast - IT-Security 2026

Ein IT-Sicherheitscheck nach BSI-Standards hilft Unternehmen, ihre IT-Struktur systematisch zu analysieren, Schwachstellen zu erkennen und die Einhaltung aktueller regulatorischer Anforderungen zu bewerten. Da sich Bedrohungslagen, Technologien und gesetzliche Vorgaben stetig verändern, ist eine regelmäßige Überprüfung – insbesondere nach längerer Zeit oder bei Veränderungen in der IT-Landschaft – sinnvoll. Der Check liefert eine praxisnahe Analyse, konkrete Handlungsempfehlungen und einen verständlich aufbereiteten Prüfbericht als Entscheidungsgrundlage für Management und Stakeholder. Regelmäßige Folgeprüfungen unterstützen zudem eine nachhaltige und strukturierte Weiterentwicklung der IT-Sicherheit.

Seminarinhalte (Auswahl) und Ziele	#Webcast bzw. Online #Schulung mit den Themen: • Aktuelle Sicherheitslage und Gefahrenklassen. • Mindest-Anforderungen von Gesetzgeber, Versicherungen und Verbänden. • Typische Angriffs-Szenarien. • Strategie und Maßnahmen. • NIS2, BSI-Grundschutz-Empfehlungen IDW Prüfungsstandard ISA DE 315. • Notfallplan und Risiko-Analyse.
Zielgruppe	Systemkoordinierende, Geschäftsleitung, Entscheider
Voraussetzungen	Resilienz und IT-Sicherheit für Ihr Unternehmen stärken
Zeitrahmen	Dauer: 1 Stunde, von 13:00 bis 14:00 Uhr. (ca. 45 Minuten Vortrag und 15 Minuten Diskussion)
Kosten	die Teilnahme ist kostenfrei
Bemerkungen	Remote via Teams Sitzung (Link und Anleitung nach Anmeldung)
Prüfung	Testen Sie auch Ihre Mitarbeitenden auf User Awareness

Podcast, Präsentation, Video

Das Video können Sie beim Webcast auf gws.ms ansehen. hier der Link dorthin.

[ddownload id="109063"]