Alle Fachbeiträge

Am 13. Mai 2025 hat Microsoft 78 Sicherheitslücken geschlossen, darunter fünf aktiv ausgenutzte Zero-Day-Schwachstellen. Als "Zero-Day" werden Schwachstellen bezeichnet, für die zum Zeitpunkt der Entdeckung noch kein Patch existiert – und die deshalb ein besonders hohes Risiko darstellen, weil sie bereits aktiv ausgenutzt werden, bevor der Hersteller reagieren konnte.

Die Updates betreffen Windows, Office, Azure, Visual Studio und andere Produkte. Im Folgenden werden besonders relevante Schwachstellen vorgestellt – ausschließlich basierend auf verifizierten Quellen.

Ziel dieses DeepDive-Beitrags ist es, technisch interessierten Lesern, Administratoren und Sicherheitsteams eine fundierte Einordnung der einzelnen Schwachstellen zu ermöglichen. Durch die gezielte Auswahl relevanter CVEs, ihre Beschreibung und Einschätzung erhalten Leser nicht nur einen Überblick, sondern auch konkrete Anhaltspunkte, welche Patches besonders kritisch sind und wo unmittelbarer Handlungsbedarf bestehen könnte.

Im Mai 2025 wurden wieder zahlreiche sicherheitsrelevante Updates von Microsoft und weiteren Herstellern veröffentlicht. Der monatliche Patchday gehört längst zu den zentralen Elementen eines sicheren IT-Betriebs. Dieser Beitrag bietet einen kompakten Überblick über die wichtigsten Änderungen, ihre Auswirkungen und was Comp4U Kunden jetzt wissen müssen.

Mit der Version 21.5 des Sophos Firewall OS (SFOS) bringt Sophos im Laufe des Juni 2025 ein umfangreiches Funktionsupdate auf den Markt. Comp4U nimmt als Teil eines exklusiven Partnerkreises ausgewählter Sophos-Partner am Early Access Program (EAP1) teil und konnte die neuen Funktionen bereits in realen Testszenarien evaluieren.

Ab dem 27. Mai 2025 beginnt Meta, der Mutterkonzern von Facebook, Instagram und WhatsApp, damit, öffentliche Inhalte seiner Nutzerinnen und Nutzer für das Training eigener KI-Modelle zu verwenden. Das betrifft unter anderem Posts, Kommentare, Profilbilder und andere öffentlich sichtbare Inhalte. Wer dem nicht aktiv widerspricht, stimmt dieser Nutzung automatisch zu. Wie kann man wirksam widersprechen? 

Schatten-IT bezeichnet die Nutzung von nicht genehmigten Hard- und Softwarelösungen in Unternehmen – oft aus Bequemlichkeit oder weil offizielle IT-Prozesse als zu langsam oder unflexibel empfunden werden. Dazu gehören beispielsweise private Cloud-Dienste (Google Drive, Dropbox), nicht autorisierte Messaging-Apps oder eigenständig installierte Software.

Viele Unternehmen hoffen, dass der Datenschutz mit der neuen Bundesregierung einfacher wird oder sogar an Bedeutung verliert. Die Annahme, dass weniger Bürokratie automatisch geringere Anforderungen bedeutet, ist jedoch trügerisch. 

In Europa wächst die Sorge, dass Daten, die sich auf Systemen amerikanischer Anbieter befinden, nicht immer frei zugänglich oder unter europäischer Kontrolle bleiben könnten. 

APIs (Application Programming Interfaces) sind die unsichtbaren Helfer moderner IT-Systeme. Sie ermöglichen den Datenaustausch zwischen Programmen, erleichtern die Automatisierung und sind ein fester Bestandteil von Webanwendungen und Cloud-Diensten. Doch genau diese Schnittstellen sind auch ein beliebtes Ziel für Cyberangriffe – oft mit dramatischen Folgen. In diesem Beitrag zeigen wir, warum API-Sicherheit essenziell ist, welche Bedrohungen bestehen und wie Unternehmen ihre APIs effektiv schützen können.

IT-Sicherheit beginnt mit einem einfachen, aber entscheidenden Grundsatz: Systeme müssen aktuell gehalten werden. Sicherheitslücken entstehen oft nicht, weil ein Angriff besonders ausgeklügelt ist – sondern weil bekannte Schwachstellen nicht rechtzeitig geschlossen wurden. Ein professionelles Patch-Management ist daher unerlässlich. Doch in der Praxis zeigt sich immer wieder, dass „aktuell“ nicht immer gleichbedeutend mit „sicher“ ist.

Viele Unternehmen sind sich bewusst, dass klassische Sicherheitskonzepte nicht mehr ausreichen. Angriffe passieren nicht nur von außen, sondern auch innerhalb des Netzwerks – sei es durch kompromittierte Benutzerkonten, infizierte Endgeräte oder gezielte Insider-Bedrohungen. Doch obwohl „Zero Trust“ als eines der wichtigsten IT-Sicherheitskonzepte gilt, wird es oft falsch verstanden.