Support-Ende für Microsoft-Produkte seit 14. Oktober 2025

Am 14. Oktober 2025, endete der offizielle Support für eine Reihe zentraler Microsoft-Produkte. Das bedeutet: keine Sicherheitsupdates, keine Fehlerbehebungen und kein technischer Support mehr. Wer diese Produkte weiterhin nutzt, setzt sich erhöhten Sicherheitsrisiken aus und sollte dringend handeln.

Betroffene Produkte - #wichtig

Laut Microsoft Lifecycle-Dokumentation betrifft das Support-Ende unter anderem folgende Produkte:

• Windows 10 (alle Editionen inkl. Home, Pro, Enterprise, Education, IoT, LTSB 2015, Surface Hub)
• Office 2016 und Office 2019
• Exchange Server 2016 und 2019
• Skype for Business Server 2015 und 2019
• Visio 2016 und 2019
• Project 2016 und 2019
• Visual Studio 2015
• Team Foundation Server
• SharePoint Server 2019

Was bedeutet das konkret?

• Sicherheitslücken bleiben ungepatcht
• Neue Software oder Hardware kann inkompatibel sein
• Kein technischer Support durch Microsoft

Nur für Privatnutzer im EWR, für Geschäftskunden nicht nutzbar

Microsoft bietet für Nutzer im Europäischen Wirtschaftsraum ein Jahr kostenlose Sicherheitsupdates über das ESU-Programm (Extended Security Updates) – ohne Cloud-Zwang oder Microsoft Rewards.
• Gültig bis 13. Oktober 2026
• Anmeldung über Microsoft-Konto erforderlich

Was Unternehmen jetzt tun sollten

• Migration auf aktuelle Produkte wie Windows 11, Microsoft 365, Exchange Online, SharePoint Online planen
• Hardware auf Kompatibilität prüfen
• Mitarbeiterschulungen für neue Tools einplanen
• Sicherheitsstrategie überarbeiten

[linkbutton link="https://tech-nachrichten.de/warum-ein-it-sicherheitscheck-nach-bsi-standards-unverzichtbar-ist/" label="Lesen Sie dazu auch diesen Artikel"]

Hinweis für KRITIS-Betreiber

Das BSI fordert bis spätestens heute die Einreichung einer aktualisierten Mängelliste samt Umsetzungsplan gemäß §8a BSIG. Die Vorlage ist auf der BSI-Webseite verfügbar.

Fazit

Das Support-Ende betrifft viele Systeme, die noch aktiv im Einsatz sind. Wer jetzt nicht handelt, riskiert Sicherheitsprobleme und Kompatibilitätsverluste. Eine Migration auf moderne und unterstützte Lösungen ist dringend empfohlen.

WinRAR unter Beschuss: Kritische Sicherheitslücken

WinRAR, eines der weltweit am häufigsten genutzten Packprogramme, steht erneut im Fokus der IT-Sicherheitswelt. Aktuelle Berichte decken schwerwiegende Schwachstellen auf, die nicht nur die Integrität von Systemen gefährden, sondern auch grundlegende Fragen zur Nutzung von Shareware-Software aufwerfen.

🔓 Aktuelle Sicherheitslücken in WinRAR

Im Juni 2025 wurde eine kritische Sicherheitslücke in WinRAR entdeckt, die es Angreifern ermöglicht, Schadcode aus der Ferne auszuführen. Die Schwachstelle betrifft insbesondere die Windows-Version des Programms. Ein speziell präpariertes Archiv kann WinRAR dazu verleiten, beim Extrahieren einen vom Angreifer vorgegebenen Pfad zu nutzen, wodurch beliebiger Code ausgeführt werden kann. Die Entwickler haben bereits mit der Veröffentlichung der Beta-Version 7.12 auf diese Bedrohung reagiert und die Lücke geschlossen.

Zusätzlich wurde eine weitere Schwachstelle (CVE-2025-31334) identifiziert, die es ermöglicht, den Windows-Sicherheitsmechanismus „Mark of the Web“ (MotW) zu umgehen. Dieser Mechanismus kennzeichnet Dateien aus dem Internet als potenziell gefährlich. Durch die Lücke können Angreifer diese Kennzeichnung umgehen und so Schadcode unbemerkt ausführen. Ein Update auf Version 7.11 behebt dieses Problem.

💰 WinRARs Shareware-Modell: Zwischen Testphase und Dauernutzung

WinRAR wird als Shareware vertrieben, was bedeutet, dass Nutzer das Programm 40 Tage lang kostenlos testen dürfen. Nach Ablauf dieser Frist wird eine Lizenz erforderlich, um die Software weiterhin legal zu nutzen. In der Praxis funktioniert WinRAR jedoch auch nach der Testphase ohne Einschränkungen weiter, lediglich regelmäßige Hinweise erinnern an den Kauf einer Lizenz.

Eine Einzelplatzlizenz für WinRAR kostet derzeit 35,64 Euro. Für Unternehmen und Mehrfachlizenzen gibt es gestaffelte Preise.

🆓 7-Zip: Die quelloffene Alternative

Angesichts der Sicherheitsbedenken und des Lizenzmodells von WinRAR lohnt sich ein Blick auf 7-Zip, eine kostenlose und quelloffene Alternative. 7-Zip unterstützt eine Vielzahl von Archivformaten, darunter ZIP, RAR, GZIP, TAR und das eigene 7z-Format. Besonders hervorzuheben ist die hohe Komprimierungsrate und die Möglichkeit, Archive mit AES-256-Bit-Verschlüsselung zu sichern.

Als Open-Source-Software unter der LGPL-Lizenz ist 7-Zip nicht nur kostenlos, sondern ermöglicht auch Transparenz und Sicherheit durch offenen Quellcode. Die Software ist für Windows verfügbar und bietet sowohl eine grafische Benutzeroberfläche als auch eine Kommandozeilen-Version.

✅ Fazit: Sicherheit und Transparenz bevorzugt

Die jüngsten Sicherheitslücken in WinRAR unterstreichen die Bedeutung regelmäßiger Updates und eines kritischen Blicks auf die verwendete Software. Während WinRAR durch seine Shareware-Politik und wiederkehrende Sicherheitsprobleme in die Kritik gerät, bietet 7-Zip eine sichere, transparente und kostenfreie Alternative für die Archivierung und Komprimierung von Dateien.

Für Nutzer, die Wert auf Sicherheit, Transparenz und Kostenfreiheit legen, empfiehlt sich der Umstieg auf 7-Zip.

RVTools wurden kompromittiert

Am 13 März 2025 wurde von Sicherheitsexperten entdeckt, dass die beliebten RVTools 4.7.1 mit Malware verseucht wurden. Hacker hatten vermutlich am 12. Mai 2025 die Methode Supply Chain Attack" angewendet und die version.dll im Installationspaket kompromittiert.

RVTools ist eine Software, um vmware zu dokumentieren und die Auswertungen in Excel auszugeben.

Was ist zu tun? (Insbesondere wenn Sie in den letzten Wochen die RVTools heruntergeladen haben): Prüfen Sie bitte die Installationsdatei rvtools4.7.1.msi, ob diese den korrekten Hashwert hat. Idealerweise ist dafür 7-Zip installiert. Klicken Sie dann mit der Rechten Maustaste auf die .msi, dann 7-ZIP, CRC-SHA, SHA-256:

Name: RVTools4.7.1-vmwaredoku.msi
Größe: 8377856 Bytes : 8181 KiB
SHA256: 0506126bcbc4641d41c138e88d9ea9f10fb65f1eeab3bff90ad25330108b324c

Erscheint dieser Hashwert und die hier genannten Eckdaten, ist alles ok.

Wenn nicht, entfernen Sie bitte alle installierten Versionen und lassen mit Defender und anderen Online-Virenscannern die Systemumgebung überprüfen. Insbesondere sollte dort Augenmerk auf Ausführungen der "version.dll" in Installations- und Benutzerverzeichnissen gelegt werden.

Grundsätzlich gilt: Wenn bei einem Software-Download ein SHA-256 Hashwert angegeben wird, Downloads damit gegenzuprüfen. Das ist keine 100%ige Sicherheit, aber ein Stück weit sicherer. Achten Sie bei den RVTools darauf, dass diese immer von https://robware.net heruntergeladen werden und nicht über andere Portale.

veeam Sicherheitslücke mit Score 9.9

Kurz notiert, aber #wichtig - Diesmal ist bei der CVS Meldung von veeam die vielfach von Ihnen eingesetzte Backup und Recovery Software gemeint. Darin wurde eine kritische Sicherheitslücke entdeckt und mit Version 12.3.1.1139 geschlossen.

Auch wenn Sie schon die Version 12.3 installiert haben, ist das Update auf die oben angezeigte Version dringend erforderlich - erst recht, wenn ältere Versionen mit noch mehr bekannten Sicherheitslücken installiert und in Betrieb sind.

HP Color Laserjet Pro kritische Lücken

Mit einem CVS-Score 9.2 von 10 sind einige Modelle der HP Color Laserjet Pro Serie von #Sicherheitslücken betroffen, die Codeschmuggel ermöglicht. Es existiert eine aktuelle Firmware, die diese Lücken schließt.

Da viele der Drucker potentiell mit dem Internet verbunden sind, um Updates herunterzuladen, sind Geräte, die diese herunterladen und automatisch installieren also nicht mehr gefährdet. Wer vermeiden möchte, dass der Drucker nach einem Firmware-Update streikt (bei HP schon mal passiert), sorge bitte händisch dafür, dass die aktuelle Firmware installiert wird.

#Wichtig - Ob Sie Geräte einsetzen, die betroffen sind, erfahren Sie auf dieser HP-Security Seite.

HP Universal-Druckertreiber kritisch

viele von Ihnen verwenden Drucker von #HP und damit auch den Universal #Druckertreiber (meist PCL6, 64 Bit). In der Softwareliste taucht dieser als „64 Bit HP CIO Components Installer“ auf.

#Wichtig – bereits am 18. November 2024 veröffentlichte HP eine aktualisierte Version des Treibers, erst am 29. Januar 2025 wurde der Artikel dazu publik gemacht.

Konkret weisen alle älteren Versionen als v7.3.0.25919 eine im CVS mit 9.8 bewertete kritische #Sicherheitslücke auf, die es Angreifern ermöglicht, Programmcode über Systeme, wo der Treiber installiert ist, zu installieren und auszuführen. Details hier.

Bringen Sie – falls noch nicht geschehen – bitte Ihren Universal-Druckertreiber von HP, sofern im Einsatz, auf den aktuellen Stand.

[linkbutton link="https://support.hp.com/de-de/drivers/hp-universal-print-driver-series-for-windows/model/3271558" label="HP Universaldruckertreiber Downloadseite"]

Patchday Lücke mit 9.8 und BSI-Warnung

#Wichtig - beim #Microsoft Januar 2025 #Patchday wurde eine besonders kritische Sicherheitslücke, CVE-2025-21298, geschlossen, die alle Windows und Windows Server-Versionen betrifft (damit auch Windows Server 2012 R2, der seit Oktober 2023 nur noch Sicherheitsupdates im ESU-Plan bekommt. Die Lücke ist so kritisch, dass selbst das Bundesamt eine Warnung veröffentlicht hat.

Windows OLE Sicherheitslücke:

Schweregrad: Kritisch (CVEv3 Score 9.8)

Eine gefährliche Schwachstelle wurde in Windows OLE entdeckt. Hacker können diese Lücke ausnutzen, indem sie eine speziell gestaltete E-Mail an ein Ziel senden. Sobald diese E-Mail mit einer anfälligen Version von Microsoft Outlook geöffnet oder in der Vorschau angezeigt wird, kann der Angreifer den Code auf dem Zielsystem ausführen.

Empfehlung: Um sich zu schützen, sollten Sie Microsoft Outlook so konfigurieren, dass E-Mails nur im reinen Textformat gelesen werden.

Da die Lücke bereits aktiv ausgenutzt wird, installieren Sie bitte möglichst schnell die Januar-Patches oder/und konfigurieren alle Outlook-Versionen auf "Nur-Text-Lesen". Dies kann in den Outlook-Einstellungen oder bei verwalteten Geräten als Gruppenrichtlinie in Intune verteilt werden.

Übrigens: Auch das Versenden von E-Mails im "Nur-Text-Format" macht prinzipiell den E-Mail-Verkehr sicherer. (ist man selbst infiziert, wird man nicht zur Schadcode-Schleuder). Da die meisten Unternehmen aber Logos und formatierte Texte in E-Mails verwenden, ist das Nur-Text-Versenden keine Alternative mehr. Stellt der Empfänger den Maileingang auf "Nur-Text", werden die grafischen Formatierungen dort nicht dargestellt, die Sicherheit wird aber erhöht.

Cybersicherheit – Authentifizierungs Tipps

Nicht alle Verfahren lassen die Absicherung mit einem zweiten Faktor #MFA zu. Umso wichtiger ist es, für alle Anmeldungen (egal ob am Netzwerk, in der Domäne oder bei Online-Diensten) sichere Kennwörter zu verwenden.

Nach einer aktuelle Studie von März 2024 sind zwar viele dem Aufruf gefolgt (bzw. wurden vom den Anbietern dazu gezwungen) #Kennwörter auf mindestens 8 Zeichen zu verlängern, es gibt aber noch zu viele Sites, die nicht gleichzeitig Komplexität einfordern.

Das Resultat: Nach „123456“ ist nun „12345678“ das meistverwendete Kennwort. Da wo Komplexregeln gelten, ist nun Passwort1$ das meistgefundene Kennwort. Man kann sicher davon ausgehen, dass solche Konten bereits gehackt wurden – ansonsten ist der Identitätsdiebstahl nur eine Frage der Zeit.

Vorschläge

#Wichtig - das Bundesamt für Sicherheit in der Informationstechnik empfiehlt zwar weiterhin (auch für Standard-User) 8-stellige Kennwörter, bei denen 3 von 4 Komplexitäts-Regeln erfüllt sein müssen, die allgemeine Praxis setzt aber auf 10 Stellen (sofern kein zweiter Faktor möglich ist, wie beim Active Directory zur Anmeldung im Firmennetzwerk bzw. an der Windows Domäne und einigen Websites). Für administrative Kennwörter sind mindestens 12 Stellen empfehlenswert:

• Großbuchstaben
• Kleinbuchstaben
• Zahl
• Sonderzeichen wie §$%&/.- und Leerzeichen

Die gebildeten Kennwörter dürfen in keinem Wörterbuch auftauchen (also keine ganzen Wörter enthalten, es sei denn, sie sind mit Rechtschreibfehlern gespickt).

Immer wenn Zwei-Faktor möglich ist, sollte es verwendet werden. Bei Microsoft365 (Entra-ID, ehemals Azure Active Directory: Office, Teams, Sharepoint, Exchange online) lässt sich die Anmeldung entweder kostenlos mit der Authenticator App oder im Rahmen eines Microsoft 365 Business Premium Plans auch mit „conditional access“ absichern. Hierbei wird entweder die Hardware-ID des Endgerätes als zweiter Faktor verwendet oder/und es lassen sich geografische Zugänge eingrenzen (z. B. keine Anmeldung aus dem Ausland).

Notebooks verschlüsseln

Werden Notebooks/Windows tablets verwendet, müssen diese zusätzlich (das funktioniert mit Bordmitteln) durch den Bitlocker und einer 4-6 stelligen PIN geschützt sein. Beim Einschalten des Geräts, noch bevor das Betriebssystem startet, wird dann diese PIN angefordert.

Handlungsbedarf?

Prüfen Sie Ihre verwendeten Kennwörter und ob Sie bereits MFA bei Microsoft 365 für Alle einsetzen (bzw. Conditional Access im Rahmen von Business premium Plänen).

Wenn nicht - bitte zeitnah die Sicherheit auf die aktuellen Mindest-Anforderungen bzw. best Practice bringen.

Richten Sie sich am Besten nach folgenden Regeln:

• Wenn möglich, 2-Faktor-Authentifizierung verwenden (MFA) - für Microsoft 365 ist MFA für alle Konten ab Juli 2024 Pflicht.
• Passwörter sollten grundsätzlich 10 Zeichen haben und komplex sein. Das gilt sowohl für Domänen-Anmeldungen, als auch für Internet-Seiten und App-Logins.
• Admin/Domain-Admin Passwörter sind mit mindestens 12 Zeichen und Komplexität empfohlen

Empfehlungen der Redaktion

Lesen Sie bitte auch unseren Detail-Artikel zur Kennwortsicherheit.

Kaspersky Antivirus in den USA verboten

In den Vereinigten Staaten wurde nun ein Vertriebsverbot für #Kaspersky Security-Produkte und die damit verbundenen Updates/Subscriptions verabschiedet. Es wird noch im Juli 2024 für den Abschluss von neuen Abonnements wirksam. Bisher war nur amerikanischen Behörden untersagt, Produkte dieses Herstellers zu verwenden. Das "Kauf- und Updateverbot" wurde nun auch auf andere Unternehmen und Endverbraucher ausgeweitet.

Obwohl die Kaspersky Holding LLC ihren Sitz in London hat und die Freigabe von EMEA-Signaturen in der Schweiz erfolgt, möchten wir betonen, dass es technisch ausgereifte Alternativen gibt, die ein vergleichbares Preis-Leistungs-Verhältnis bieten. Wir sind uns bewusst, dass letztendlich Gelder nach Russland fließen könnten, möchten jedoch keine politischen Argumente anführen.

Wie bereits in einem früheren Artikel erwähnt, ist (Stand 27.06.2024) der Vertrieb von Kaspersky-Software oder Updates in Deutschland und der EU derzeit nicht verboten. Das Bundesamt hat hierzu eine offizielle Stellungnahme abgegeben. Hierzu das Statement vom Bundesamt.

Für Unternehmen mit bis zu 300 Mitarbeitern ist der Defender für Business im Microsoft 365 Business Premium Plan enthalten, der auch KI-gestützten erweiterten Schutz für Endgeräte bietet. Für Server gibt es ebenfalls entsprechende Sicherheitspläne. Für größere Unternehmen stehen die Enterprise- oder M-Pläne zur Verfügung.

Unser Cloud-Vertriebsteam steht Ihnen gerne zur Verfügung, um Sie bei der Umstellung auf das Defender-Produkt auch für On-Premises-Lösungen zu beraten.

Exchange gefällig? – gefährlich?

Eine aktuelle Analyse im Internet zeigt: Von etwa 45.000 Microsoft-Exchange-Servern in Deutschland, die über das Internet via Outlook Web Access (OWA) erreichbar sind, gibt es leider immer noch viele veraltete und unsichere Versionen.

Das Bundesamt für Sicherheit in der Informationstechnik hat festgestellt, dass rund 12 % dieser Server noch mit #Exchange 2010 bzw. 2013 laufen, für die seit Oktober 2020 bzw. April 2023 keine Sicherheitsupdates mehr erhältlich sind. Außerdem sind ungefähr 28 % der Server mit den neueren Versionen Exchange 2016 oder 2019 nicht auf dem neuesten Stand und haben daher eine oder mehrere kritische Sicherheitslücken, die es einem Angreifer von außen ermöglichen, beliebige Programme auf dem angegriffenen System auszuführen (Remote Code Execution, RCE). #Wichtig - das entspricht rund 25 % aller Exchange-Server in Deutschland.

Wer Exchange Server 2010 oder 2013 einsetzt ODER Exchange Server 2016 oder 2019 nicht mit allen verfügbaren Patches einsetzt, ist entweder schon unter Kontrolle der kriminellen Banden, hat Datenabfluss und Kompromittierung nur noch nicht bemerkt oder hat ein kritisches Risiko, gehackt zu werden.

Auch wenn alle Patches auf einem Exchange Server 2019 installiert sind, bleibt das Betriebs-Risiko wegen Zero-day-Lücken immer bis zum nächsten Patchday kritisch (also bis zu einem Monat!)

Cyber-Versicherungen lassen sich entweder gar nicht erst abschließen oder verweigern die Leistung im Schadenfall. Insbesondere weil mit Rechtswirksamkeit von NIS2 auch viele KMU-Unternehmen in die KRITIS Klasse 2 fallen, ist zusätzlich mit hohen Geldbußen und Strafen zu rechnen.

BSI Veröffentlichungen

Was ist zu tun?

[faq openfirst=1]Sie haben Exchange Server 2010/2013 im Einsatz?|=|Migrieren Sie umgehend auf Exchange online.
||Sie haben Exchange Server 2016/2019 im Einsatz?|=|Installieren Sie alle verfügbaren Updates, Sicherheitspatches und CUs und migrieren Sie ebenfalls umgehend auf Exchange online.
||Sie haben schon Exchange online?|=|Microsoft kümmert sich beim Exchange online um die Updates und hat das primäre Betriebsrisiko und die Sicherstellung der Verfügbarkeit im Rahmen ihrer SLA vertraglich mit Ihnen geregelt.[/faq]

Exchange Server unbedingt patchen

#Wichtig - die zuletzt für #Exchange Server 2016 und 2019 geschlossenen, kritischen #Sicherheitslücken aus CVE-2024-21410, mit denen Angreifer leichtes Spiel haben, Exchange Server unter ihre Kontrolle zu bringen und Schadsoftware einzuschleusen, werden derzeit aktiv ausgenutzt.

Sollten Sie noch Exchange Server 2016 oder 2019 im Einsatz haben, ist das Installieren der Patches überlebenswichtig, da es sonst nur eine Frage der Zeit ist, wann Ihr Server übernommen wird.

Mehr Details und welcher Patch für welche Exchange Version installiert sein muss, finden Sie im unten verknüpften Artikel.

Kunden mit Microsoft 365 / Exchange online sind wieder einmal nicht betroffen, da Microsoft dort die Sicherheitslücken selbst und vor Veröffentlichung geschlossen hat.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410

Anydesk Server wurden gehackt

Anydesk ist eine Abonnement-Software zum Fernsteuern des (eigenen) Desktops über das Internet und wird teilweise auch für Homeoffice genutzt.

#Wichtig – Wie erst jetzt offiziell vom Anbieter bestätigt, hat es Datendiebstahl bei der Firma Anydesk gegeben, die es den Kriminellen ermöglichte, Anwendern Schadsoftware „unterzujubeln“.

Update 06.02.2024. Das BSI hat nun eine Einschätzung der Gefahrenlage herausgegeben.

Zwar wurden mittlerweile die Codesignaturen gesperrt und durch neue ersetzt, es kann aber viele Fälle geben, wo schon eine Schadsoftware auf den Endgeräten installiert wurde und schlummert. Der Hersteller empfiehlt, die Anydesk Software zu deinstallieren und nur die aktuellste Version von der Webseite herunterzuladen und zu verwenden. Außerdem sollten die betroffenen Systeme mit mehreren Virenscannern untersucht werden. Auch die Zugangspasswörter zum Online-Konto müssen geändert werden. Unklar ist noch, ob auch Zahlungsdaten gestohlen wurden aus den Online-Profilen.

Wir empfehlen, die Software zu deinstallieren, das Abonnement zu kündigen, betroffene Geräte komplett zu löschen und neu zu installieren. Für die Anwendungen die Daten zu importieren. Wohl dem, der eine Datensicherung hat – es werden allerdings aus Sicherheitsgründen keine Programme und kein Betriebssystem wiederhergestellt.

Stellen Sie dann auf andere, sicherere Lösungen – wie beispielsweise den Azure Virtual Desktop unter Windows 10 oder Windows 365 bei Microsoft um. Bei der Microsoft Lösung ist die Sicherheit bereits durch die 2-Faktor-Authentifizierung deutlich höher. Zudem kann der Azure Virtual Desktop in Azure gesichert werden. Bei Homeoffice-Einsatz muss dann auch der PC im Büro nicht eingeschaltet sein und kann Strom sparen.

Die Redaktion

Exchange Server On-Prem Risiko hoch

Wenn in Programmen Sicherheitslücken entdeckt werden, leisten viele Hersteller im Rahmen der Lebenszyklen von Software Sicherheitsupdates. Aber: Syskos bzw. Admins sind verpflichtet, diese zeitnah zu installieren. Sonst nehmen Versicherungen Kürzungen der Leistungen vor.

Aus Sicht der Geschäftsführenden oder Entscheider hat das potentielle Risiko eine höhere Bedeutung als die für den Einsatz der Software aufgewendeten Kosten. Schließlich müssen auch die administrativen Tätigkeiten bezahlt werden, da das Fachpersonal während des Patchens keine anderen Aufgaben wahrnehmen kann.

Durch Umstellung auf Exchange online verlagern Sie das operative Risiko auf die Microsoft Deutschland GmbH. Diese müssen erkannte Sicherheitslücken sofort schließen, im Schadenfall sind sie normalerweise regresspflichtig.

Microsoft hat derzeit Exchange Server 2019 (Nutzungsrechte per Kauf (mit oder ohne Wartung) auf der Produktliste. Dabei kostet der Server rund 1.000 € und pro Nutzer jeweils eine Zugriffslizenz von etwa 150 €. Hinzu kommen die Kosten für Einrichtung und die Wartungs- und Betriebskosten, sowie Hardware-Ressourcen (128++ GB RAM, 4 vCPUs, schnelle SSDs mit rund 1TB Speicher oder mehr).

#Wichtig - die Gefahr dabei: Wie aktuell (November 2023) sind vier #Sicherheitslücken mit unterschiedlichem Wirkungsgrad entdeckt worden. Eine davon wurde von Microsoft geschlossen, sie bleibt aber solange gefährlich, bis der Admin den Patch auf dem Exchange Server installiert hat.

Lösung: Lassen Sie zeitnah Ihren Microsoft #Exchange Server 201x, egal, ob er in Ihren Räumlichkeiten oder in einem Rechenzentrum (Housing) für Sie bereitgestellt wird, auf Exchange online umstellen.

Nebeneffekt. Alle derzeit verfügbaren Office 201X Versionen bekommen ab Herbst 2026 oder bereits ab Oktober 2025 keine Sicherheitsupdates mehr. Mit dem Microsoft 365 Business Premium Plan erhalten Sie neben dem vorgeschriebenen E-Mail-Archiv Viren- und Spamschutz für E-Mails, Virenschutz für das Endgerät, Exchange Online-Postfach, 1 TB Cloudspeicher (EU-Datenschutz-Grenze) pro (User-)Lizenz, alle Office-Anwendungen als installierbares Programm mit Remote-Nutzungsrechten für On-Prem und die Cloud, Sharepoint für gemeinsames Arbeiten an Dateien, die Teams-Lizenz.

Zusätzlich ist Microsoft EntraID Plan 1 enthalten, der es Ihnen ermöglicht, die bald erzwungene 2-Faktor-Authentifizierung (2FA) auch mit anderen Mitteln als der Authenticator-App auf einem Dienst-Handy durchzuführen. Details haben wir in einem separaten Artikel hier im Blog für Sie zusammengefasst.

Eine Übersicht der Funktionen hier:

https://m365maps.com/files/Microsoft-365-Business-Premium.htm

WebP - Sicherheitslücken zahlreich

Kurz notiert, aber #wichtig - In einer von zahlreichen Softwareprodukten genutzten Grafik-Bibliothek "libwebp" sind kritische Sicherheitslücken festgestellt worden. Auf einer Skala von 10 mit Risiko 10 bewertet. Die Referenz ist: CVE-2023-5129.

Eines der betroffenen Produkte ist auch Libreoffice, das einige von Ihnen beispielsweise zum Erstellen von PDF-Formularen benutzen. Aber auch einige kostenlose Grafiklösungen sind betroffen.

Grundsätzlich gilt: Aktualisieren Sie Libreoffice auf Version 7.6.2.1 und recherchieren Sie, ob weitere Software, die Sie im Einsatz haben, betroffen sein könnten. Bei Unsicherheit ist es immer eine gute Idee, alle Tools, Werkzeuge und frei Software auf dem aktuellen Stand zu haben.

(Noch unvollständige) Liste betroffener Software

auf Github

FritzBox und Repeater Sicherheitsupdates

Weil einige von Ihnen beispielsweise bei Vodafone West Business (ehemals Unitymedia) Internet-Leitungen im Einsatz haben und der Standard-Grenzrouter (bzw. Kabelmodem) AVM Fritz!box Cable 6490 oder 6691 sind, hier der Hinweis, dass AVM in allen Routern eine kritische Sicherheitslücke geschlossen hat und – auch für sehr alte Geräte das Sicherheitsupdate anbietet. Das gilt auch für Repeater wie Fritz!Box 1750E oder neuer. Updates gibt es im Übrigen nicht nur für Kabelmodems, sondern für alle Fritz-Produkte.

Die sicheren Versionen sind entweder: 7.57 oder bei ganz alten Modellen 7.31.

Da Sie das Update nur bei frei gekauften und nicht bei vom Provider im Mietverhältnis bereitgestellten Boxen über die Oberfläche installieren können, bzw. es nur dort bei der passenden Einstellung automatisch installiert wird, hier die sicherste Vorgehensweise bei Kabel-Mietboxen:

#Wichtig – machen Sie die Boxen für mindestens 5 Minuten stromlos. Stecken Sie den Stromstecker wieder ein und warten ca. 20 Minuten, bis das Update provisioniert und installiert wurde.

Wenn Sie die „Stromlos“ Aktion nicht durchführen, kann es mitunter mehrere Wochen dauern, bis Ihr Provider das Update an einem Morgen um 0600 Uhr zwangsweise installiert.

Tipp: AVM vodafone Sicherheitsupdate beschleunigen durch Box stromlos für 5 Minuten

Notepad++ Sicherheitslücke geschlossen

Weil der nützliche Editor doch sehr weit verbreitet ist, ist die folgende Meldung eine Notiz wert:

Nachdem bekannt wurde, dass im Notepad++ vier offene Sicherheitslücken klaffen, hat der Chefentwickler das Update 8.5.7 veröffentlicht. Die geschlossenen Sicherheitslücken sind CVE-2023-40031, CVE-2023-40036, CVE-2023-40164 und CVE-2023-40166. Außerdem wurde die uninstall.exe digital signiert.

Mit einer der Sicherheitslücken konnte man durch Öffnen eines präparierten Dokuments Angreifern die Ausführung von Programmen und damit die Kontrolle über Systeme erlauben.

#Wichtig - aktualisieren Sie bitte dringend alle Ihre Systeme durch Notepad++, Version 8.5.7, um auf der sicheren Seite zu sein.