Alle Fachbeiträge

Microsoft Edge stand zuletzt wegen seines integrierten Passwortmanagers in der Kritik. Der Vorwurf: Gespeicherte Kennwörter wurden beim Start des Browsers in den Arbeitsspeicher geladen und dort im Klartext vorgehalten.

Microsoft hat inzwischen reagiert. Laut Microsoft werden gespeicherte Passwörter ab Edge Build 148 nicht mehr automatisch beim Browserstart in den Speicher geladen. Microsoft beschreibt die Änderung als zusätzliche Sicherheitsmaßnahme, also als sogenannte „Defense-in-Depth“-Verbesserung.

Warum dieser DeepDive mehr ist als eine Patchliste

Patchday-Übersichten gibt es viele – meistens mit CVE-Nummern, CVSS-Werten und einer langen Liste betroffener Produkte. Für den praktischen Betrieb reicht das aber selten aus. Entscheidend ist nicht nur, dass Microsoft eine Schwachstelle geschlossen hat, sondern wo sie in der eigenen Umgebung relevant wird, wie realistisch ein Angriff ist und welche Systeme zuerst abgesichert werden sollten. Genau hier setzt dieser DeepDive an: Die Mai-Updates 2026 werden nicht nur aufgelistet, sondern technisch eingeordnet – mit Blick auf Domänencontroller, DNS, Office-Dateien, Hyper‑V, SharePoint, Dynamics, Exchange und typische Unternehmensszenarien. Ziel ist eine belastbare Grundlage für die tägliche Patchmanagement-Entscheidung: Was muss sofort passieren, was kann kontrolliert in den nächsten Rollout-Ring, und wo sind zusätzliche Prüfungen oder Härtungsmaßnahmen sinnvoll?

Lange war die Situation auf macOS bei Sophos im Remote-Access-Bereich nicht ganz rund: Wer einen sicheren Fernzugriff per SSL VPN auf Basis der Sophos Firewall nutzen wollte, musste auf Drittanbieter-Lösungen wie Tunnelblick ausweichen. Mit der Veröffentlichung von Sophos Connect 2.0 für macOS ändert sich das jetzt grundlegend. Sophos stellt seit dem 9. April 2026 offiziell einen eigenen macOS-Client bereit, der SSL VPN auf macOS unterstützt. Damit sind auf der Plattform nun sowohl SSL VPN als auch IPsec direkt über den Sophos-Client nutzbar.

Mit Sophos Firewall 22.0 MR1 hat Sophos ein Maintenance Release veröffentlicht, das deutlich mehr ist als ein reines Korrekturpaket. Das Update bringt an mehreren Stellen spürbare Verbesserungen: bei der Erkennung aktiver Bedrohungen, bei der Absicherung der Plattform selbst, bei der Nachvollziehbarkeit von Änderungen und bei einzelnen technischen Details, die im Alltag durchaus relevant sind.

Gerade solche Releases sind in der Praxis wichtig. Nicht, weil sie spektakulär klingen, sondern weil sie an den Stellen nachschärfen, auf die es im laufenden Betrieb wirklich ankommt: Sicherheit, Stabilität und saubere Nachvollziehbarkeit.

Der Microsoft Patch Tuesday vom 14. April 2026 fällt ungewöhnlich groß aus. Je nach Zählweise nennen Fachquellen 163 bis 167 Schwachstellen; im deutschsprachigen Patchday-Umfeld wird meist mit 165 CVEs gearbeitet. Unstrittig sind jedoch die Kerndaten: acht kritische Schwachstellen, zwei Zero-Days und eine sehr breite Betroffenheit von Windows, Office, SharePoint, Active Directory, SQL Server und weiteren Kernkomponenten. (Security-Insider)

Künstliche Intelligenz verändert die IT-Sicherheit spürbar. Ein besonders interessantes Beispiel ist aktuell Claude Mythos von Anthropic. Nach den bisher veröffentlichten Informationen ist dieses KI-Modell in der Lage, Software-Schwachstellen deutlich effektiver zu finden, technisch einzuordnen und in ihrer Relevanz zu bewerten als frühere Modelle.

Dabei geht es nicht nur darum, dass KI künftig mehr Sicherheitslücken erkennt. Entscheidend ist, dass sich die Schwachstellensuche, Priorisierung und Absicherung insgesamt beschleunigen könnte. Genau das ist für Unternehmen, Hersteller und IT-Dienstleister ein wichtiges Signal.

In vielen Unternehmen ist die Nutzung privater Smartphones für geschäftliche Zwecke üblich und gewollt: Das Unternehmen beteiligt sich mit einem monatlichen Zuschuss am Mobilfunkvertrag, erlaubt die geschäftliche Nutzung des privaten Telefons und vermeidet so die organisatorische und praktische Belastung eines zusätzlichen Dienstgeräts. Für beide Seiten wirkt das pragmatisch: Das Unternehmen spart Hardware-Management, Mitarbeitende müssen kein zweites Telefon mit sich führen.

Warum das aber ein faktischer Kontrollverlust ist, das Unternehmen damit voll ins Risiko (und Haftung) geht - und wie man das Problem sauber und einfach löst: Das beschreibt Christian Seehafer in seinem spannenden Fachbeitrag.

Lesen Sie diesen spannenden Artikel weiter auf der Website unserer Datenschutz- und Compliance-Tochter Datiq GmbH:
https://www.datiq.de/fachbeitraege/datenschutz/byod-bei-smartphones-ist-ein-risiko

Newsletter-Versand ohne Einwilligung?

Was das EuGH-Urteil vom 13.11.2025 für Unternehmen, Vereine und Organisationen konkret bedeutet

Kurz: Seriöse, transparente Kommunikation soll einfach möglich sein – aggressive oder intransparente Werbung hingegen nicht.

Der Versand von Newslettern gehört für viele Unternehmen und Organisationen zur täglichen Praxis. Gleichzeitig war die rechtliche Lage lange unübersichtlich: Während das Wettbewerbsrecht Einwilligungen forderte, ließ das sogenannte Bestandskundenprivileg Ausnahmen zu – und zusätzlich stellte sich die Frage, ob neben dem UWG nicht auch noch eine eigene Rechtsgrundlage nach DSGVO erforderlich ist.

 Mit seinem Urteil vom 13. November 2025 (C-654/23) hat der Europäischer Gerichtshof diese Gemengelage deutlich präzisiert. Das Urteil schafft keine neuen Werbemöglichkeiten, aber es bringt dringend benötigte Klarheit für die Praxis – insbesondere für kleinere Unternehmen, Vereine und Anbieter unentgeltlicher Dienste.

Lesen Sie diesen spannenden Artikel weiter auf der Website unserer Datenschutz- und Compliance-Tochter Datiq GmbH:

https://www.datiq.de/fachbeitraege/datenschutz/eugh-urteil-2025-newsletter-versand-ohne-einwilligung-was-jetzt-gilt 

Wie Unternehmen ihre Unsicherheit erst einordnen können, statt reflexartig zu reagieren

In Gesprächen mit Unternehmen begegnet uns derzeit auffallend häufig dieselbe Frage: Müssen wir Digitale Souveränität erreichen – und wie geht das?

Unabhängig davon, ob es um Infrastruktur, Cloud-Nutzung oder Compliance geht – das Thema taucht fast zwangsläufig auf. Auffällig ist dabei weniger die Frage selbst als das, was danach folgt. Sobald man beginnt, nachzufragen, zu differenzieren und einzuordnen, entstehen kurze Pausen, nachdenkliche Blicke und das Gefühl, dass zwar eine Sorge vorhanden ist, aber noch kein klares Bild davon, worauf sie sich richtet.

Genau an diesem Punkt setzt dieser Beitrag an. Nicht, um Antworten vorzugeben oder Lösungen zu propagieren, sondern um dabei zu helfen, die eigene Einschätzung etwas feiner zu justieren. Digitale Souveränität ist ein vielschichtiger Begriff, der schnell zu Vereinfachungen einlädt. Wer ihn jedoch als Anlass versteht, die eigenen Abhängigkeiten, Risiken und Erwartungen genauer zu betrachten, gewinnt vor allem eines: Klarheit darüber, wo Handlungsbedarf besteht – und wo nicht.

Der Umgang mit dienstlichen E-Mail-Postfächern stellt Unternehmen regelmäßig vor erhebliche Herausforderungen, insbesondere wenn Beschäftigte kurzfristig ausfallen, das Arbeitsverhältnis beendet wird oder ein Konflikt im Raum steht. Bis vor wenigen Jahren war in solchen Situationen vielfach Zurückhaltung geboten, da die Zulässigkeit von Einsichtnahmen im Kontext möglicher privater Nutzung unter dem Verdacht einer Anwendbarkeit des Fernmeldegeheimnisses und einer potenziellen Strafbarkeit nach § 206 StGB stand.

Aktuelle Entwicklungen im Telekommunikationsrecht und in der datenschutzrechtlichen Auslegung führen jedoch zu einer spürbaren Verschiebung. Der Zugriff ist heute grundsätzlich zulässig, sofern er DSGVO-konform erfolgt. Gleichzeitig bleiben organisatorische Anforderungen und Grenzen bestehen, die zwingend beachtet werden müssen.

Lesen Sie diesen spannenden Artikel weiter auf der Website unserer Datenschutz- und Compliance-Tochter Datiq GmbH:

https://www.datiq.de/fachbeitraege/datenschutz/mailbox-zugriff-rechtssicher