IT-Security
Videokurse und Webinar-Aufzeichnungen von heise
In den Videokursen von heise academy machen ausgewählte Expertinnen und Experten fit in aktuellen IT-Themen wie IT-Security, IT-Systeme, Künstliche Intelligenz, Cloud- und Netzwerk-Technologien.
Ergänzt wird das Angebot durch Webinar-Aufzeichnungen der c't- und Mac & i-Redaktion sowie heise security. Darunter auch hilfreiche Wissensvermittlung zu Energietechnologien und Smart Home.
Einführung in Ethical Hacking
Dieser Kurs bietet einen praxisnahen Einstieg in die IT-Sicherheit mit Kali Linux, der führenden Plattform für Penetrationstests und Ethical Hacking. Sie lernen, wie Sie Kali Linux in einer virtuellen Umgebung installieren, konfigurieren und effizient nutzen. Dabei erhalten Sie einen fundierten Überblick über die integrierten Werkzeuge und deren gezielten Einsatz, etwa zum Passwortknacken, für Netzwerkscans oder Schwachstellenanalysen.Zu Beginn richten Sie eine eigene isolierte Testumgebung ein und schaffen damit die technische Grundlage, um das Aufspüren von Sicherheitslücken sicher und legal zu üben. Nach der Installation und Einrichtung von Kali Linux führt Sie der Kurs Schritt für Schritt durch die fünf Phasen des Ethical Hacking: Reconnaissance, Scanning, Gaining Access, Maintaining Access und Covering Tracks. Entlang dieser Struktur lernen Sie typische Angriffstechniken kennen und verstehen, welche Tools in den einzelnen Phasen zum Einsatz kommen und wie Sie diese in der Praxis anwenden.Grundkenntnisse in Linux sind von Vorteil, jedoch keine zwingende Voraussetzung. Für die praktische Umsetzung benötigen Sie lediglich einen Rechner mit Virtualisierungssoftware wie VirtualBox oder VMware.Länge: 07:10 Stunden Alle Video-Lektionen im Überblick: Vorstellung und Kursüberblick Herzlich willkommen zu diesem Kurs Mein physischer Host Aufbau der Testumgebung Kapitelüberblick Virtualisierungssoftware und ISO-Dateien Virtuelle Maschine erstellen Windows-Systeme erstellen Windows-Installation starten DC01 hochstufen Windows Client Domain Join Installation von app01 OWASP Juice Shop und ubusrv Service-Datei für den OWASP Juice Shop Metasploitable2 Quiz: Aufbau der Testumgebung Installation und Einrichtung von Kali Linux Kapitelüberblick Kali Linux installieren OpenVAS installieren OpenVAS vorbereiten Nessus installieren und vorbereiten Quiz: Installation und Einrichtung von Kali Linux Konfiguration und Anpassung von Kali Linux Kapitelüberblick Top Panel rechts anpassen Desktop-Kontextmenu erkunden Terminal anpassen Top Panel links anpassen Quiz: Konfiguration und Anpassung von Kali Linux Reconnaissance (Aufklärung) Kapitelüberblick 5 Phasen des Ethical Hacking Google Dorking Google Advanced Dorking Domäne untersuchen nslookup, dig, dnsenum und theHarvester Informationen sammeln mit Maltego Suchmaschine Shodan Inventarliste erstellen mit nmap Informationen über WLANs sammeln Quiz: Reconnaissance (Aufklärung) Scanning (Analyse) Kapitelüberblick Erster Port-Scan mit nmap Mit nmap Dienste und Versionen ermitteln Nmap Scripting Engine (NSE) Nmap und Dokumentation nbtscan und enum4linux Juice Shop untersuchen Zed Attack Proxy (ZAP) Schwachstellenscan mit OpenVAS Schwachstellenscan mit Nessus Quiz: Scanning (Analyse) Gaining Access (Zugriff erlangen) Kapitelüberblick Brute Forcing von Passwörtern Bessere Genauigkeit und Tarnung Password Spraying und Credential Stuffing Passwort-Authentifizierung unter Linux Kennwort ermitteln mit John Windows-Kennwörter knacken Schwachstellen ausnutzen mit Standardbefehlen Schwachstellen ausnutzen mit Metasploit Windows Defender mittels Kali Linux deinstallieren WLAN-Hacking Quiz: Gaining Access (Zugriff erlangen) Maintaining Access (Zugriff aufrechterhalten) Kapitelüberblick Meterpreter-Session einrichten Neues Benutzerkonto im Active Directory anlegen (mit Kali Linux) RDP auf DC01 mittels Meterpreter-Session aktivieren Payload in der Windows-Registry Weitere Post-Module ausführen Quiz: Maintaining Access (Zugriff aufrechterhalten) Covering/Clearing Tracks (Spuren verwischen) Kapitelüberblick Windows Defender wieder installieren Ereignisanzeige löschen Befehlsverlauf manipulieren und Zeitstempel verändern Beispiel eines Schlussberichts Diese Art von Schlussbericht ist inakzeptabel! Quiz: Covering/Clearing Tracks (Spuren verwischen) Abschluss GitHub Fazit und Kursabschluss Über den Trainer:Tom Wechsler ist seit mehr als 25 Jahren professionell in der Informatikbranche tätig. Seit 2007 arbeitet er als selbstständiger Cloud Solution Architect, Cyber Security Analyst und Trainer. Der charismatische Schweizer hat es sich zum Ziel gemacht, die komplexe Welt der Informatik anhand von Lernvideos so verständlich wie möglich zu erklären. So gelingt es ihm in seinen Kursen, auch komplexe Themen und Zusammenhänge verständlich zu vermitteln. Tom Wechslers Schwerpunkte liegen in den Bereichen Netzwerktechnik (Cisco), Microsoft Azure, Microsoft 365, Windows Server und Active Directory.So lernen Sie mit diesem Videokurs:In den Videokursen von heise academy lernen Sie IT-Themen anschaulich und verständlich. In den Videos schauen Sie den Experten bei der praktischen Arbeit zu und lassen sich dabei alles genau erklären. Das Wissen ist in kleine Lernschritte und Aufgaben unterteilt, sodass Sie den Kurs Lektion für Lektion durcharbeiten oder gezielt zu Themen springen können, die Sie interessieren. Die persönliche Lernumgebung der heise academy hält viele Funktionen für Sie bereit, die Ihnen beim Lernen helfen können:Flexibler Videoplayer mit vielen SteuerungsmöglichkeitenWissensquiz zur LernkontrolleLernhistorie und LernfortschrittLesezeichen und Notizen Volltextsuche in den VideosFrage-den-Experten-ModulÜbungsmaterial zum MitmachenResponsive Web-App und Videostreaming für alle EndgeräteTechnische Voraussetzungen:Für diesen Videokurs werden lediglich ein Browser (mit eingeschalteter JavaScript-Funktionalität) und eine Internetverbindung benötigt.
Einführung in das Opensource-SIEM Wazuh
Inhalte Automatisierte Erkennung von Angriffsversuchen, Schwachstellenanalyse und sicheres Logging – all das kann Wazuh. Das Open-Source-System positioniert sich als SIEM (Security Information and Event Management) und XDR (eXtended Detection & Response) – und das kostenlos und on-premises gehostet. Unser Experte Dominik Sigl gibt den Teilnehmern in unserer zweistündigen Webinar-Aufzeichnung einen detaillierten Einblick in Wazuh. Er erläutert die offene Architektur des Opensource-SIEM und wie es sich ins Security-Ökosystem einfügt. Anhand von Demos und praktischen Beispielen zeigt der Dozent, wie die Komponenten von Wazuh zusammenspielen, um Angriffe zu erkennen – und zu vereiteln. Einer der größten Vorteile von Wazuh ist, dass Unternehmen es selbst hosten und vermeiden können, sensible Logdaten in eine Herstellercloud zu schicken. Unser Dozent geht darauf ein, mit welchem Zeitaufwand für Installation und Pflege Admins rechnen sollten und welche Alternativen zum Eigenbetrieb es gibt. Eine Praxisanleitung für den eigenen „Proof of Concept“, einer Wazuh-Installation im eigenen Netz auf Docker-Basis, rundet das Webinar ab. So haben Sie nach dem Webinar nicht nur einen fundierten Eindruck von Wazuh, sondern können direkt in die praktische Erprobung starten. Themenschwerpunkte Was sind SIEM, SOAR, EDR und Co. - und welche Rolle spielt Wazuh? Das kann Wazuh: Praktische Demo unter Linux und WindowsArchitektur, Aufbau und KonfigurationInstallation und Betrieb: Selbst gehostet oder managed?Next Step: Ihrer eigener Proof of Concept mit Wazuh und Docker Zielgruppe Dieses Webinar richtet sich an Firewall-Admins, Systemarchitekten, Sicherheitsverantwortliche, SecOps Engineers, Netzwerkadministratoren und SOC-Mitarbeiter.
Authentifizierung im Active Directory absichern: Mit Microsofts veralteten Konzepten (über)leben
Jetzt das Webinar "Authentifizierung im Active Directory absichern: Mit Microsofts veralteten Konzepten (über)leben" im heise shop als Aufzeichnung der Live-Veranstaltung ansehen. Sicherheitslücken in NTLM und Kerberos verstehen und schließen. Mit Frank Ully Überblick Das Active Directory (AD) bildet das Herzstück fast jeder Unternehmens-IT. Dessen Sicherheit fußt auf zwei überalterten und deshalb unsicheren Techniken: der Authentifizierung via Net-NTLM und Kerberos. Obwohl Microsoft das Ende von Net-NTLM (kurz NTLM) bereits angekündigt hat, bleibt das veraltete Protokoll im Alltag allgegenwärtig – und wird Administratoren wohl noch Jahrzehnte begleiten. Da es sich leicht angreifen lässt, spielt NTLM bei Sicherheitsvorfällen oft eine entscheidende Rolle. Doch auch Kerberos, das eigentlich als sicher gilt, ist von Schwachstellen geplagt. Im September 2025 schrieb sogar ein US-Senator einen Brandbrief an die dortige Wettbewerbsbehörde, um auf die Kerberoasting-Lücke in Microsofts Implementierung des Protokolls aufmerksam zu machen. Wegen des veralteten Verschlüsselungsverfahrens RC4 lassen sich schwache Passwörter damit in kürzester Zeit offline knacken. Administratoren müssen daher genau verstehen, wo die Schwachstellen beider Protokolle liegen, welche Risiken sie für das eigene Netzwerk bedeuten und wie sie die Gefahren minimieren. Dieses dreistündige heise-Security-Webinar erklärt ihnen nicht nur, warum Kerberos und NTLM weiterhin Probleme bereiten. Referent Frank Ully demonstriert praxisnah, wie Angreifer im AD nicht nur die Kommunikation kapern (Attacker-in-the-Middle, AitM), sondern gezielt Anmeldeversuche erzwingen (Coercion). Er zeigt die verheerenden Folgen von Relaying-Angriffen auf Dateiserver, Domänencontroller und Zertifikatsdienste. Anschließend erläutert Ully die bewährten Konzepte, um sich schrittweise aus der Gefahrenzone zu bringen. Dazu präsentiert er die notwendigen Gegenmaßnahmen und erklärt, warum deren Umsetzung in der Praxis oft hakt. Das mündet in ein Konzept, mit dem Sie Ihr eigenes Netz schrittweise absichern und verbleibende Restrisiken weitestmöglich einschränken. Ob erfahrener Sicherheitsexperte oder Administrator einer gewachsenen Domäne: Nach diesem Webinar verstehen Sie die Risiken der AD-Authentifizierung und wissen, wie Sie die Lücken effizient schließen. Zielgruppe Das Webinar richtet sich an Administratoren und Sicherheitsverantwortliche in Unternehmen und Behörden aller Größen, die ein Active Directory betreiben. Themen Funktionsweise und Schwächen der Versionen von Net-NTLM Warum das Protokoll immer noch im Einsatz ist – und wo die Gefahren lauern Funktionsweise und Schwächen von Kerberos Konkrete Angriffe: Attacker-in-the-Middle, Relaying, Coercion Gegenmaßnahmen mit Priorität: SMB-Signierung, LDAP-Kanalbindung und deren Tücken Maßnahmenliste zur systematischen Härtung des AD
Entra ID – Neuerungen in Q4/2025
Microsoft entwickelt seinen cloudbasierten Identitäts- und Zugriffsverwaltungsdienst Entra ID (ehemals Azure Active Directory) kontinuierlich weiter, um den wachsenden Anforderungen gerecht zu werden. In diesem Update präsentiert Ihnen der IT-Experte Klaus Bierschenk anhand praktischer Beispiele ausgewählte Neuerungen aus dem vierten Quartal 2024. Dabei konzentriert er sich auf hybride Szenarien und Features, die großen Nutzen für Ihre Arbeit haben und die Sicherheit Ihres Tenants erhöhen – Stichwort: Zero Trust.Sie können jetzt die Autoritätsquelle von synchronisierten lokalen AD-Gruppen auf Microsoft Entra ID übertragen und damit die Zugriffssteuerung vollständig in die Cloud verlagern. Zudem schützt Sie die neue Soft-Deletion-Funktion für Cloud-Sicherheitsgruppen vor versehentlichem Datenverlust: Gelöschte Gruppen lassen sich nun innerhalb von 30 Tagen mitsamt ihrer Mitgliedschaften und Konfiguration wiederherstellen.Im Bereich der passwortlosen Authentifizierung gibt es ebenfalls Neuerungen: Sie können Passkeys jetzt gruppenspezifisch ausrollen und dabei auch externe Passkey-Anbieter einbinden. Das bietet mehr Flexibilität bei der unternehmensweiten Einführung dieser phishing-resistenten Authentifizierungsmethode.Auch bei den Lifecycle Workflows hat sich einiges getan. Mithilfe administrativer Einheiten lässt sich die Verwaltung auf bestimmte Admins beschränken, die nur für ihren jeweiligen Zuständigkeitsbereich Workflows bearbeiten können. Fehlgeschlagene Workflows können Sie nun gezielt erneut verarbeiten – entweder für einzelne Benutzer oder den gesamten Lauf. Zudem lassen sich jetzt Workflows auf Basis von Anmeldeinaktivität auslösen, um ruhende Konten automatisch zu verwalten und Sicherheitsrisiken zu minimieren.Und nicht zuletzt blicken wir auf die spannendsten Neuerungen, die auf der Ignite, der großen Technologiekonferenz von Microsoft, im November 2025 vorgestellt wurden.Unser quartalsweise erscheinendes Update informiert Sie über die neuesten Änderungen in Entra ID und bringt Sie auf den aktuellen Stand. Also bleiben Sie dran!Länge: 00:59 StundenAlle Video-Lektionen im Überblick: Entra ID – Neuerungen Q4/2025 Herzlich willkommen zu diesem KursÜbersicht über die NeuerungenWechsel der Source of Authority für GruppenSoft Delete für Gruppen und Conditional Access PoliciesGeteilte Passkeys und ProfileÜberblick zu Agent IDsNeuerungen in Lifecycle WorkflowsNeues von der Microsoft Ignite 2025Quiz: Entra ID – Neuerungen Q4/2025 Über den Trainer:Klaus Bierschenk ist seit über 20 Jahren in der IT-Branche tätig und wirkt schon lange in internationalen Identity- und Security-Projekten mit. Als Technologieberater bei CGI Deutschland liegt sein Schwerpunkt auf hybriden Themen. Dabei ist seine Begeisterung für Microsoft-Technologien ungebrochen. Klaus Bierschenkt berät IT-Betreiber bei Herausforderungen im Kontext von Microsoft Active Directory und Microsoft Entra ID. Regelmäßig tritt er als Referent in der Microsoft Azure Community auf, zudem schreibt er in seinem Technik-Blog „NothingButCloud“ und publiziert Fachartikel.So lernen Sie mit diesem Videokurs:In den Videokursen von heise academy lernen Sie IT-Themen anschaulich und verständlich. In den Videos schauen Sie den Experten bei der praktischen Arbeit zu und lassen sich dabei alles genau erklären. Das Wissen ist in kleine Lernschritte und Aufgaben unterteilt, sodass Sie den Kurs Lektion für Lektion durcharbeiten oder gezielt zu Themen springen können, die Sie interessieren. Die persönliche Lernumgebung der heise academy hält viele Funktionen für Sie bereit, die Ihnen beim Lernen helfen können:Flexibler Videoplayer mit vielen SteuerungsmöglichkeitenWissensquiz zur LernkontrolleLernhistorie und LernfortschrittLesezeichen und Notizen Volltextsuche in den VideosFrage-den-Experten-ModulÜbungsmaterial zum MitmachenResponsive Web-App und Videostreaming für alle EndgeräteTechnische Voraussetzungen:Für diesen Videokurs werden lediglich ein Browser (mit eingeschalteter JavaScript-Funktionalität) und eine Internetverbindung benötigt.
Microsoft Cloud: Sicherheit systematisch testen und verbessern
Jetzt das Webinar "Microsoft Cloud: Sicherheit systematisch testen und verbessern" im heise shop als Aufzeichnung der Live-Veranstaltung ansehen. M365-Baseline-Auditing mit kostenlosen Tools selbst gemacht Mit Tim Mittermeier Inhalte Die Nutzung der Microsoft-Cloud birgt Sicherheitsrisiken – gerade die Standardeinstellungen eröffnen eine Reihe von gefährlichen Einfallstoren. Das gilt ganz besonders für den häufig anzutreffenden Hybridbetrieb zusammen mit einem klassischen Active Directory. Diese Komplexität eröffnet Angreifern neue, oft übersehene Angriffswege – von einfachen Konfigurationsfehlern in M365 bis zu versteckten Privilegien-Eskalationspfaden in Entra ID. Dieses Webinar stellt einen praxiserprobten Werkzeugkasten aus drei kostenlosen Audit-Tools vor, die jeder Admin kennen sollte. Mit ihnen kann er nämlich seine (hybride) Infrastruktur systematisch durchleuchten und härten: ScubaGear auditiert den M365-Mandanten und gleicht die Entra-ID-Konfiguration gegen die vernünftige Baseline der US-Cybersecurity-Behörde CISA ab. PurpleKnight jagt gezielt nach bekannten Schwachstellen und Indikatoren für eine Kompromittierung, nicht nur in Entra ID, sondern gräbt auch im lokalen Active Directory und deckt gefährliche Lücken in der Hybrid-Konfiguration auf. EntraFalcon kartiert komplexe und oft versteckte Privilegien-Eskalationspfade in Entra ID, die Angreifer zur Übernahme des Mandanten nutzen könnten. Der Referent Tim Mittermeier erläutert zunächst die Angriffsvektoren, die Kriminelle in der Praxis gerne nutzen, um sich in Cloud- und Hybrid-Strukturen einzunisten und ihre Rechte auszuweiten. Darauf aufbauend zeigt er praktisch, wie diese Tool-Triade diese Lücken in der Praxis aufdeckt. Administratoren und Sicherheitsverantwortliche erhalten eine klare Anleitung, um die Sicherheit ihrer hybriden Microsoft-Umgebung sofort zu verbessern. Themenschwerpunkte: Selbstauditierung und Härtung Secure Cloud Business Applications (SCuBA) Project und ScubaGear Active Directory Security Assessment mit PurpleKnight Entra ID Privilege Analysis mit EntraFalcon Microsoft Azure, Entra ID und M365 Absicherung von Hybrid-Cloud-Umgebungen Zielgruppe Dieses Webinar richtet sich an: Administratoren von Microsoft 365 Tenants und allgemein Sicherheitsverantwortliche in Unternehmen, die die Microsoft-Cloud nutzen.
NIS-2 kommt – Rechtskonforme IT-Sicherheit umsetzen
Das Webinar "NIS-2 kommt – Rechtskonforme IT-Sicherheit umsetzen", im heise shop als Aufzeichnung der Live-Veranstaltung ansehen.Fristen, Pflichten und Maßnahmen, die jetzt anstehenMit Karsten U. Bartels LL.M.ÜberblickNIS-2 soll die Sicherheit von Netzwerken und Informationssystemen in der Europäischen Union gewährleisten – und zwar verpflichtend per Gesetz. Auch Deutschland wird dies jetzt zeitnah umsetzen; es ist also höchste Zeit sich darauf vorzubereiten. Wir erklären Ihnen, was der aktuelle Stand ist, ob und wie Sie das betrifft und vor allem: wie Sie das jetzt Erforderliche sinnvoll umsetzen. Die NIS-2-Richtlinie der EU verpflichtet zu technischen, organisatorischen und rechtlichen Maßnahmen, die die IT-Sicherheit steigern. Es gilt, IT-Sicherheitsrisiken zu bewerten, weitgehend den Stand der Technik umzusetzen, die Lieferkette abzusichern, angemessene IT-Sicherheitsvereinbarungen zu treffen und anderes mehr. Verstärkt in den Fokus gerät auch die persönliche Haftung der Vorstände und Geschäftsführerinnen und Geschäftsführer sowie deren persönliche Schulungspflichten. Vorgestellt werden auch die Sonderpflichten für Anbieter von IKT-Diensten und digitalen Infrastrukturleistungen. Hier gilt eine gesonderte NIS-2-Durchführungsverordnung der EU.Der Referent Karsten U. Bartels begleitet die Gesetzgebungsverfahren seit dem ersten IT-Sicherheitsgesetz 2014. Er wird den aktuellen Stand der Umsetzung und die sich daraus ergebenden Fristen präsentieren und erläutern, welche Unternehmen in den Anwendungsbereich des NIS-2-Umsetzunggesetzes fallen. Dem folgt eine Darstellung der neuen Pflichten, bei denen er anhand von konkreten Beispielen erläutert, wie diese zu priorisieren sind, welche Arbeitsteilung sie erfordern und wie mit verbleibenden Risiken umgegangen werden kann. Dabei wird er auch auf Lieferketten und die Rolle und Verpflichtungen im Auftraggeber-Auftragnehmerverhältnis eingehen. Abschließend wird Bartels praktische Tipps geben, wie IT-Sicherheit vertraglich gut vereinbart werden kann und eine Liste zum Vorgehen vorstellen. Themen So klären Sie, ob Sie betroffen sind Diese Pflichten und Fristen ergeben sich aus NIS-2 Das bedeutet NIS-2 für Zulieferer und IT-Dienstleister So ist der Stand der Technik zu berücksichtigen NIS-2 im Verhältnis zu ISO 27001 und IT-Grundschutz Konsequenzen für Geschäftsführung und Sicherheitsverantwortliche Checkliste zur Umsetzung
Entra ID – Neuerungen in Q3/2025
Microsoft entwickelt seinen cloudbasierten Identitäts- und Zugriffsverwaltungsdienst Entra ID (ehemals Azure Active Directory) kontinuierlich weiter, um den wachsenden Anforderungen gerecht zu werden. In diesem Update präsentiert Ihnen der IT-Experte Klaus Bierschenk anhand praktischer Beispiele ausgewählte Neuerungen aus dem dritten Quartal 2025. Dabei konzentriert er sich auf hybride Szenarien und Features, die großen Nutzen für Ihre Arbeit haben und die Sicherheit Ihres Tenants erhöhen – Stichwort: Zero Trust.Security Copilot ist jetzt allgemein in Microsoft Entra verfügbar und unterstützt Sie dabei, Ihre Identitätsumgebung sicher und effizient zu managen, und das ohne komplexe Skripte. Die Verwaltung administrativer Einheiten (AUs) lässt sich nun auch für globale Admins einschränken, was eine präzisere Kontrolle über sensible Objekte bietet. Mit den überarbeiteten Massenvorgängen können Sie große Tenants deutlich besser handeln, während die Integration von Privileged Identity Management (PIM) in Zugriffspakete die Self-Service-Verwaltung berechtigter Gruppenmitgliedschaften ermöglicht. Lifecycle Workflows wurden um wichtige Automatisierungen erweitert: proaktive Behandlung inaktiver Benutzerkonten, automatisches Widerrufen von Zugriffstokens und zeitgesteuerte Entfernung von Zugriffspaketen. E-Mail-Benachrichtigungen unterstützen jetzt HTML-Formatierung und können damit nach Bedarf angepasst werden.Unser vierteljährlich erscheinendes Update informiert Sie über die neuesten Änderungen in Entra ID und bringt Sie auf den aktuellen Stand. Also bleiben Sie dran!Länge: 00:54 StundenAlle Video-Lektionen im Überblick: Entra ID – Neuerungen Q3/2025Herzlich willkommen zu diesem KursÜbersicht über die NeuerungenSecurity Copilot und CA Optimization AgentMassenverarbeitung von ObjektenObjekte mit Restricted AUs schützenZusammenarbeit von Access Packages und PIMVier Neuerungen in Lifecycle WorkflowsQuiz: Entra ID – Neuerungen Q3/2025Über den Trainer:Klaus Bierschenk ist seit über 20 Jahren in der IT-Branche tätig und wirkt schon lange in internationalen Identity- und Security-Projekten mit. Als Technologieberater bei CGI Deutschland liegt sein Schwerpunkt auf hybriden Themen. Dabei ist seine Begeisterung für Microsoft-Technologien ungebrochen. Klaus Bierschenkt berät IT-Betreiber bei Herausforderungen im Kontext von Microsoft Active Directory und Microsoft Entra ID. Regelmäßig tritt er als Referent in der Microsoft Azure Community auf, zudem schreibt er in seinem Technik-Blog „NothingButCloud“ und publiziert Fachartikel.So lernen Sie mit diesem Videokurs:In den Videokursen von heise academy lernen Sie IT-Themen anschaulich und verständlich. In den Videos schauen Sie den Experten bei der praktischen Arbeit zu und lassen sich dabei alles genau erklären. Das Wissen ist in kleine Lernschritte und Aufgaben unterteilt, sodass Sie den Kurs Lektion für Lektion durcharbeiten oder gezielt zu Themen springen können, die Sie interessieren. Die persönliche Lernumgebung der heise academy hält viele Funktionen für Sie bereit, die Ihnen beim Lernen helfen können:Flexibler Videoplayer mit vielen SteuerungsmöglichkeitenWissensquiz zur LernkontrolleLernhistorie und LernfortschrittLesezeichen und Notizen Volltextsuche in den VideosFrage-den-Experten-ModulÜbungsmaterial zum MitmachenResponsive Web-App und Videostreaming für alle EndgeräteTechnische Voraussetzungen:Für diesen Videokurs werden lediglich ein Browser (mit eingeschalteter JavaScript-Funktionalität) und eine Internetverbindung benötigt.
Penetration Testing – Grundkurs Teil 2
Unsere zweiteilige Kursserie bietet eine fundierte und praxisnahe Einführung in verschiedene Aspekte des Penetration Testings. In diesem zweiten Teil erfahren Sie, wie Sie Schwachstellen in Active Directory aufspüren und ausnutzen, Metasploit für Sicherheitsüberprüfungen einsetzen und nach erfolgreichen Angriffen mit Kali-Linux-Tools weiterführende Informationen sammeln. Zudem lernen Sie spezielle Techniken für Penetrationstests in Webanwendungen und Cloud-Systemen kennen.Nach Abschluss dieser Kursserie sind Sie in der Lage, Penetrationstests durchzuführen, Schwachstellen in verschiedenen Systemen und Anwendungen zu identifizieren und die Sicherheit sowohl in traditionellen als auch in Cloud-Umgebungen zu gewährleisten.Die erfolgreiche Kursteilnahme setzt Kenntnisse in der Linux-Administration sowie ein grundlegendes Verständnis von Netzwerken und Protokollen wie TCP/IP voraus. Länge: 03:40 Stunden Alle Video-Lektionen im Überblick: Vorstellung und Infos zum Kurs Herzlich willkommen zu diesem KursMeine Testumgebung Exploitation und Testen von Active Directory KapitelüberblickStandortbestimmungBrute-Force-Angriff per CrackMapExecBessere Genauigkeit und TarnungSpraying von Kennwörtern und AnmeldeinformationenMehr mit CrackMapExecDomain Controller mit CrackMapExec untersuchenQuiz: Exploitation und Testen von Active Directory Pentesting mit Metasploit KapitelüberblickWas ist ein Exploit?Metasploit-EditionenMetasploit einrichten und kennenlernenWorkspaces in MetasploitSchwachstellen und ExploitsPayloadsMeterpreter SessionPayload erstellen und ausführenQuiz: Pentesting mit Metasploit Web-Testing KapitelüberblickVorbereitungenErste Untersuchung mit HakrawlerMit dirb Verzeichnisse und Dateien suchenJuice Shop mit skipfish überprüfenEinsatz von whatwebMit nikto auf Schwachstellensuche Juice Shop mit wapiti untersuchenZed Attack Proxy (ZAP)SQL-Injection mit sqlmapQuiz: Web-Testing Post-Exploitation mit Kali Tools KapitelüberblickDaten extrahieren mit sqlmapErstellen einer Meterpreter SessionBenutzerkonto mit Metasploit erstellenRemote Desktop aktivieren und Hashdump erstellenRegistrierungswert mit Metasploit setzenPowerShell Empire ListenerPowerShell Empire StagerStager auf Zielsystem übertragen und ausführenPost-Exploitation mit PowerShell EmpireQuiz: Post-Exploitation mit Kali Tools Pentesting in der Cloud KapitelüberblickEinführung in Cloud Penetration TestingMethoden für Cloud-PentestsBeispielszenario eines Cloud-PentestsMicrosoft Defender for CloudQuiz: Pentesting in der Cloud Abschluss GitHubFazit und KursabschlussÜber den Trainer: Tom Wechsler ist seit mehr als 25 Jahren professionell in der Informatikbranche tätig. Seit 2007 arbeitet er als selbstständiger Cloud Solution Architect, Cyber Security Analyst und Trainer. Der charismatische Schweizer hat es sich zum Ziel gemacht, die komplexe Welt der Informatik anhand von Lernvideos so verständlich wie möglich zu erklären. So gelingt es ihm in seinen Kursen, auch komplexe Themen und Zusammenhänge verständlich zu vermitteln. Tom Wechslers Schwerpunkte liegen in den Bereichen Netzwerktechnik (Cisco), Microsoft Azure, Microsoft 365, Windows Server und Active Directory. So lernen Sie mit diesem Videokurs: In den Videokursen von heise academy lernen Sie IT-Themen anschaulich und verständlich. In den Videos schauen Sie den Experten bei der praktischen Arbeit zu und lassen sich dabei alles genau erklären. Das Wissen ist in kleine Lernschritte und Aufgaben unterteilt, sodass Sie den Kurs Lektion für Lektion durcharbeiten oder gezielt zu Themen springen können, die Sie interessieren. Die persönliche Lernumgebung der heise academy hält viele Funktionen für Sie bereit, die Ihnen beim Lernen helfen können: Flexibler Videoplayer mit vielen SteuerungsmöglichkeitenWissensquiz zur LernkontrolleLernhistorie und LernfortschrittLesezeichen und Notizen Volltextsuche in den VideosFrage-den-Experten-ModulÜbungsmaterial zum MitmachenResponsive Web-App und Videostreaming für alle Endgeräte Technische Voraussetzungen: Für diesen Videokurs werden lediglich ein Browser (mit eingeschalteter JavaScript-Funktionalität) und eine Internetverbindung benötigt.
Sicher online bezahlen – Angriffe erkennen, zielführend reagieren und Verluste vermeiden
Das Webinar stellt praxisnah verschiedene gängige Angriffe auf Onlinebanking und digitale Zahlungsmittel wie Kreditkarten vor. Im Fokus stehen Methoden wie Phishing-Mails, Fake-Support-Anrufe und psychologische Tricks, mit denen die Täter die Betroffenen zu Fehlern verleiten (Social Engineering). Ergänzend betrachtet der Referent Betrugsszenarien in Onlinemarktplätzen und Kleinanzeigenportalen.Sie lernen, wie Sie Angriffe identifizieren, im Ernstfall schnell handeln und Schäden begrenzen. Außerdem erfahren Sie, wie Sie Ihr Sicherheitsniveau effektiv erhöhen und Betrugsversuche in Online-Shops und Kleinanzeigen frühzeitig erkennen und abwehren.Ihr NutzenNach diesem Webinar wissen Sie, wie Sie Onlineangriffe auf Ihr Geld frühzeitig erkennen und abwehren.Sie verstehen die Denkweise und Methoden der Täter.Im Ernstfall haben Sie einen Erste-Hilfe-Kasten parat, um schnell und rechtssicher handeln zu können.Sie erkennen mit hoher Zuverlässigkeit Shops und andere Internet-Angebote wie Kleinanzeigenportale und Marktplätze, die auf Betrug aus sind.Sie helfen sich und anderen, mit Vorfällen ohne falsche Scham konstruktiv umzugehen.ZielgruppeVerbraucher, die ihren Schutz im digitalen Zahlungsverkehr aktiv verbessern wollen.VoraussetzungenErfahrung mit Onlinebanking oder digitalen Zahlungsdiensten sowie sicherer Umgang mit Internet und Smartphone.
Sicherheit in Kubernetes
Kubernetes hat sich als Standard für die Container-Orchestrierung etabliert und ist damit zum Ziel von Angriffen geworden. Dieser Kurs bietet einen systematischen Überblick über die wesentlichen Sicherheitsaspekte und Werkzeuge, um Kubernetes-Umgebungen effektiv zu härten.Zunächst machen Sie sich mit der Kubernetes-Architektur vertraut und lernen, zentrale Komponenten wie das Kubelet und den API-Server abzusichern. Anschließend befassen Sie sich mit dem Berechtigungskonzept in Kubernetes sowie der Implementierung von Firewalls und der Datenverschlüsselung.Danach geht es an die Analyse von Konfigurationsdateien und Container Images mit Kubesec und Trivy sowie die Durchsetzung von Sicherheitsrichtlinien mittels Kyverno. Sie erfahren auch, wie Sie Ihre Container in einer Sandbox betreiben und mit AppArmor die Container-Berechtigungen auf Host-Ebene einschränken können. Zum Abschluss lernen Sie Falco kennen, ein Tool zur Echtzeit-Überwachung, sowie Kube-bench, das Sie bei der systematischen Überprüfung Ihrer Cluster auf Sicherheitslücken unterstützt.Für die erfolgreiche Kursteilnahme werden grundlegende Kenntnisse in der Administration von Kubernetes vorausgesetzt.Länge: 01:50 Stunden Alle Video-Lektionen im Überblick: Vorstellung und Infos zum Kurs Herzlich willkommen zu diesem Kurs Einleitung KapitelüberblickArchitektur von KubernetesWie kann ich Kubernetes installieren?Unsere Lab-UmgebungDer rote FadenFirewallsQuiz: Einleitung Kubelet KapitelüberblickTheorie: Das kubeletLabs: Das kubeletQuiz: Kubelet Berechtigungen KapitelüberblickTheorie: Berechtigungen in KubernetesLabs: Berechtigungen in Kubernetes – ÜberblickLabs: Berechtigungen in Kubernetes – AngriffLabs: Berechtigungen in Kubernetes – PräventionLabs: Berechtigungen in Kubernetes – Service Account TokenQuiz: Berechtigungen Network Policy KapitelüberblickTheorie: Firewalls im Kubernetes ClusterLabs: Firewalls im Kubernetes ClusterQuiz: Network Policy Verschlüsselung KapitelüberblickVerschlüsselung – eine EinführungTheorie: Verschlüsselung bei Verwendung der DatenLabs: Verschlüsselung bei Verwendung der DatenTheorie: Verschlüsselung der Daten im TransportLabs: Verschlüsselung der Daten im TransportTheorie: Service MeshTheorie: Verschlüsselung der Daten im RuhezustandLabs: Verschlüsselung der Daten in etcdTheorie: Verschlüsselung der etcd-BackupsLabs: Verschlüsselung der etcd-BackupsWarum sind wir mit Secrets noch nicht zufrieden?Quiz: Verschlüsselung Statische Pod-Analyse KapitelüberblickTheorie: kubesecLabs: kubesecQuiz: Statische Pod-Analyse Image Scanning KapitelüberblickTheorie: TrivyLabs: TrivyQuiz: Image Scanning Admission Plugins KapitelüberblickTheorie: Pod Security PoliciesTheorie: API-Server Admission ControlLabs: KyvernoQuiz: Admission Plugins Linux-Security-Module KapitelüberblickTheorie: Linux-Security-ModuleLabs: AppArmorQuiz: Linux-Security-Module Sandboxing KapitelüberblickTheorie: SandboxingLabs: gvisorQuiz: Sandboxing Monitoring KapitelüberblickTheorie: Kubernetes AuditingLabs: Kubernetes AuditingTheorie: FalcoLabs: FalcoQuiz: Monitoring Benchmarking KapitelüberblickTheorie: BenchmarkingLabs: BenchmarkingQuiz: Benchmarking Abschluss Fazit und KursabschlussÜber den Trainer:Hubert Ströbitzer ist Kubernetes-Trainer bei Kubermatic und unterstützt Unternehmen bei der Umsetzung von Cloud-Strategien. Als ehemaliger Backend-Entwickler mit umfassender Erfahrung in JVM-basierten Sprachen konzentriert er sich heute auf DevOps-Themen. Zudem organisiert er das „Infrastructure as a Meetup“ in Österreich und ist als Linux Foundation Trainer für die Zertifizierungen CKA (Certified Kubernetes Administrator) und CKAD (Certified Kubernetes Application Developer) tätig. Darüber hinaus wirkte er an der Entwicklung der CKA-Zertifizierungsfragen mit.So lernen Sie mit diesem Videokurs:In den Videokursen von heise academy lernen Sie IT-Themen anschaulich und verständlich. In den Videos schauen Sie den Experten bei der praktischen Arbeit zu und lassen sich dabei alles genau erklären. Das Wissen ist in kleine Lernschritte und Aufgaben unterteilt, sodass Sie den Kurs Lektion für Lektion durcharbeiten oder gezielt zu Themen springen können, die Sie interessieren. Die persönliche Lernumgebung der heise academy hält viele Funktionen für Sie bereit, die Ihnen beim Lernen helfen können:Flexibler Videoplayer mit vielen SteuerungsmöglichkeitenWissensquiz zur LernkontrolleLernhistorie und LernfortschrittLesezeichen und Notizen Volltextsuche in den VideosFrage-den-Experten-ModulÜbungsmaterial zum MitmachenResponsive Web-App und Videostreaming für alle EndgeräteTechnische Voraussetzungen:Für diesen Videokurs werden lediglich ein Browser (mit eingeschalteter JavaScript-Funktionalität) und eine Internetverbindung benötigt.
Die Necromancer-Challenge: Lerne zu hacken
Webinar "Die Necromancer-Challenge: Lerne zu hacken", im heise shop als Aufzeichnung der Live-Veranstaltung aus dem September 2025 ansehen.Stellen Sie sich vor, Sie reisen in eine digitale Gruft – bewaffnet nur mit Kali Linux und Ihrem Tatendrang. In dieser virtuellen Gruft lauert der Necromancer. Was klingt wie ein Spiel, ist intensives Hacking-Training: Sie entdecken neue Tools, testen Angriffsszenarien und nutzen Sicherheitslücken aus – isoliert und sicher in einem internen Netzwerk. Sind Sie bereit, den Necromancer in einem finalen Duell zu besiegen? Mit Wilhelm DrehlingDer Necromancer stammt aus den Hallen eines australischen CTF-Wettbewerbs 2016 und setzt nicht auf graue Serverlandschaften, sondern auf Spielspaß und clevere Kniffe. CTF steht für „Capture the Flag“: Sie jagen elf Flaggen, wie bei einer digitalen Schnitzeljagd, bevor Sie sich dem Necromancer stellen können. Dabei stoßen Sie immer wieder an Ihre Grenzen und müssen über den Tellerrand schauen.In unserem Webinar führen wir Sie live durch alle elf Level: Sie klopfen Server mit nmap ab, knacken Passwörter im Eiltempo mit Hydra und analysieren Netzwerkverkehr mit Wireshark. Ganz ohne Fachchinesisch und CVE-Tabellen (Common Vulnerabilities and Exposures – auf Deutsch: Bekannte Schwachstellen und Anfälligkeiten) – dafür mit vielen Aha-Momenten. Am Ende wissen Sie, wie man eine CTF-Box startet und selbstbewusst jeden Angriffsschritt plant.Wir empfehlen, dem Webinar entspannt zu folgen und erst im Anschluss selbst aktiv zu werden.Inhalte1. EinleitungWo bekomme ich Webserver mit CTF-Challenges her und wie installiere ich sie?Alles sicher dank VirtualBox und internem NetzwerkDie selbstgebastelte Hacking-Umgebung funktioniert auf Windows, macOS und LinuxLernen, systematisch vorzugehen und über den Tellerrand zu schauen2. Flaggen sammelnPortscanning mit nmapPasswörter knacken mit HydraNetzwerkanalyse mit WiresharkBinaries und ZIPs untersuchenHacking-Rätsel lösen3. Weitergehende EmpfehlungenLernplattformenKali-Alternativen im ÜberblickNützliche Tipps & TricksIhr NutzenSie verstehen typische Schritte im CTF-Umfeld und wissen, wie Sie weitere VMs zum Üben einsetzen.Sie erleben live, wie man Hacking-Aufgaben angeht und löst.Sie erkennen Angriffsstrategien und lernen, Sicherheitslücken zu identifizieren.Sie erhalten einen Überblick über relevante Hacking-Tools wie nmap, netcat, aircrack, Hydra, hashcat, Wireshark, binwalk und viele mehr.ZielgruppeMenschen mit Interesse an IT-SecurityAlle, die Hacking ausprobieren möchten – ganz gleich, ob mit oder ohne VorkenntnisseVoraussetzungenWer das erste Webinar bereits kennt, erlebt hier die Fortsetzung: Necromancer ist anspruchsvoller – und komplett anders. Statt eines typischen Webservers warten kreative Herausforderungen: mal überraschend einfach, mal richtig kniffligAuch ohne spezielle Kenntnisse liefert das Webinar unterhaltsame Einblicke in die Welt des Hackens. Der Referent gibt zu Beginn einen kurzen Abriss über wichtige Grundlagen, die den Einstieg erleichtern.
Penetration Testing – Grundkurs Teil 1
Wie effektiv ein System wirklich abgesichert wurde, stellt sich erst bei einem Penetration Test heraus. Mit diesem Grundkurs gelingt Ihnen der Einstieg in die Welt des Pentestings. Sie lernen die wichtigsten Konzepte, Tools und Techniken kennen, um Netzwerke und Systeme auf Sicherheitslücken zu überprüfen und Schwachstellen zu identifizieren. Länge: 04:27 Stunden Alle Video-Lektionen im Überblick: Vorstellung und Infos zum Kurs Herzlich willkommen zu diesem Kurs Was ist ein Pentest? Kapitelüberblick Was ist ein Pentest? Bedeutung eines Penetrationstests Bedeutung der Pentest-Methoden Penetration Testing Execution Standard (PTES) MITRE ATT&CK Cyber Kill Chain Pentest-Vertrag Dokumentation Pentest-Labor einrichten Kapitelüberblick Ziel und Zweck Hypervisor auswählen Virtuelle Netzwerkkonfiguration Verschiedene ISO-Dateien Kali Autopilot Hack The Box und TryHackMe Basis-Toolset Kapitelüberblick Kali Linux – eine Auffrischung Starten mit dem Befehl nmap Inventar mit nmap erstellen IP-Liste mit nmap untersuchen Searchsploit und nmap Portbereich anpassen Bericht mit nmap und xsltproc erstellen Nmap Scripting Engine (NSE) DMitry (Deepmagic Information Gathering Tool) DNSenum WhatWeb theHarvester PowerShell-Scripting in Windows Kapitelüberblick PowerShell – eine Auffrischung Alias in der PowerShell Get Member PowerShell-Hilfe aktualisieren Invoke-WebRequest Bash-Scripting in Linux Kapitelüberblick Bash – eine Auffrischung Argumente anzeigen Mit Variablen arbeiten Benutzereingabe Schleife und Array Aufgaben automatisieren mit einem Skript Python-Scripting Kapitelüberblick SYN-Flood-Angriff mit Python Banner Grabbing mit Python Portscan per Python-Skript durchführen Verzeichnisse und Dateien des FTP-Servers auflisten Einfaches nmap-Beispiel mit Python Häufig verwendete Kali-Tools Kapitelüberblick Einsatz von Nikto Zed Attack Proxy (ZAP) SQL-Injection mit Burp Suite Greenbone Vulnerability Manager (GVM) Exploit mit einem Python-Skript Metasploit vorbereiten und Exploit suchen Payload auswählen und Modul ausführen John the Ripper Abschluss GitHub Fazit und Kursabschluss Über den Trainer: Tom Wechsler ist seit mehr als 25 Jahren professionell in der Informatikbranche tätig. Seit 2007 arbeitet er als selbstständiger Cloud Solution Architect, Cyber Security Analyst und Trainer. Der charismatische Schweizer hat es sich zum Ziel gemacht, die komplexe Welt der Informatik anhand von Lernvideos so verständlich wie möglich zu erklären. So gelingt es ihm in seinen Kursen, auch komplexe Themen und Zusammenhänge verständlich zu vermitteln. Tom Wechslers Schwerpunkte liegen in den Bereichen Netzwerktechnik (Cisco), Microsoft Azure, Microsoft 365, Windows Server und Active Directory. So lernen Sie mit diesem Videokurs: In den Videokursen von heise academy lernen Sie IT-Themen anschaulich und verständlich. In den Videos schauen Sie den Experten bei der praktischen Arbeit zu und lassen sich dabei alles genau erklären. Das Wissen ist in kleine Lernschritte und Aufgaben unterteilt, sodass Sie den Kurs Lektion für Lektion durcharbeiten oder gezielt zu Themen springen können, die Sie interessieren. Die persönliche Lernumgebung der heise academy hält viele Funktionen für Sie bereit, die Ihnen beim Lernen helfen können: Flexibler Videoplayer mit vielen SteuerungsmöglichkeitenWissensquiz zur LernkontrolleLernhistorie und LernfortschrittLesezeichen und Notizen Volltextsuche in den VideosFrage-den-Experten-ModulÜbungsmaterial zum MitmachenResponsive Web-App und Videostreaming für alle Endgeräte Technische Voraussetzungen: Für diesen Videokurs werden lediglich ein Browser (mit eingeschalteter JavaScript-Funktionalität) und eine Internetverbindung benötigt.
Entra ID – Neuerungen in Q2/2025
Microsoft entwickelt seinen cloudbasierten Identitäts- und Zugriffsverwaltungsdienst Entra ID (ehemals Azure Active Directory) kontinuierlich weiter, um den wachsenden Anforderungen gerecht zu werden. In diesem Update präsentiert Ihnen der IT-Experte Klaus Bierschenk anhand praktischer Beispiele ausgewählte Neuerungen aus dem ersten Quartal 2025. Dabei konzentriert er sich auf hybride Szenarien und Features, die großen Nutzen für Ihre Arbeit haben und die Sicherheit Ihres Tenants erhöhen – Stichwort: Zero Trust.Conditional Access wird intelligenter und transparenter: Ein neuer Optimierungs-Agent hilft Ihnen, Schwachstellen in Ihren Richtlinien proaktiv aufzudecken und zu beheben. Gleichzeitig vereinfacht das neue Audience Reporting in den Anmeldeprotokollen die Analyse und Fehlersuche bei der Auswertung von Richtlinien. Ein weiterer Agent steht nun zur Verfügung, der für Sie die Wirkungsweise der Conditional Access Policies untersucht. Und mithilfe der neuen Deployment Logs für Global Secure Access können Sie den Status von Konfigurationsänderungen leichter nachverfolgen und Fehler aufspüren.Darüber hinaus wird die Verwaltung von Identitäten effizienter und sicherer. Sie haben nun die Möglichkeit, benutzerdefinierte Sicherheitsattribute direkt aus HR-Systemen automatisiert zu provisionieren. Zudem können Sie Sicherheitslücken sofort schießen, wenn Mitarbeitende das Unternehmen verlassen oder die Abteilung wechseln, indem Sie über Lifecycle Workflows alle Refresh Tokens widerrufen. Für mehr Sicherheit sorgt auch die Umstellung von Entra Connect Sync auf eine anwendungsbasierte Authentifizierung, die Passwörter durch Zertifikate ersetzt.Unser quartalsweise erscheinendes Update informiert Sie über die neuesten Änderungen in Entra ID und bringt Sie auf den aktuellen Stand. Also bleiben Sie dran!Länge: 00:49 StundenAlle Video-Lektionen im Überblick: Entra ID – Neuerungen Q2/2025Herzlich willkommen zu diesem KursÜbersicht über die NeuerungenAudience Reporting in Conditional Access PoliciesProvisionierung von Custom-Security-AttributenConditional Access Optimization AgentNeue Authentifizierung mit Entra Connect SyncDeployment Logs, Refresh Tokens in Lifecycle Workflows und Conditional Access Policy ImpactÜber den Trainer:Klaus Bierschenk ist seit über 20 Jahren in der IT-Branche tätig und wirkt schon lange in internationalen Identity- und Security-Projekten mit. Als Technologieberater bei CGI Deutschland liegt sein Schwerpunkt auf hybriden Themen. Dabei ist seine Begeisterung für Microsoft-Technologien ungebrochen. Klaus Bierschenkt berät IT-Betreiber bei Herausforderungen im Kontext von Microsoft Active Directory und Microsoft Entra ID. Regelmäßig tritt er als Referent in der Microsoft Azure Community auf, zudem schreibt er in seinem Technik-Blog „NothingButCloud“ und publiziert Fachartikel.So lernen Sie mit diesem Videokurs:In den Videokursen von heise academy lernen Sie IT-Themen anschaulich und verständlich. In den Videos schauen Sie den Experten bei der praktischen Arbeit zu und lassen sich dabei alles genau erklären. Das Wissen ist in kleine Lernschritte und Aufgaben unterteilt, sodass Sie den Kurs Lektion für Lektion durcharbeiten oder gezielt zu Themen springen können, die Sie interessieren. Die persönliche Lernumgebung der heise academy hält viele Funktionen für Sie bereit, die Ihnen beim Lernen helfen können:Flexibler Videoplayer mit vielen SteuerungsmöglichkeitenWissensquiz zur LernkontrolleLernhistorie und LernfortschrittLesezeichen und Notizen Volltextsuche in den VideosFrage-den-Experten-ModulÜbungsmaterial zum MitmachenResponsive Web-App und Videostreaming für alle EndgeräteTechnische Voraussetzungen:Für diesen Videokurs werden lediglich ein Browser (mit eingeschalteter JavaScript-Funktionalität) und eine Internetverbindung benötigt.
Microsoft SQL Server: Datenbankdesign, Sicherheit und erweiterte Methoden
Unsere dreiteilige Kursreihe bietet eine umfassende und praxisnahe Einführung in das Datenbankmanagement mit Microsoft SQL Server, einem leistungsstarken Tool zum Verarbeiten und Analysieren von Daten:Einführung in Datenbankmanagement mit Microsoft SQL ServerMicrosoft SQL Server: Fortgeschrittene MethodenMicrosoft SQL Server: Datenbankdesign, Sicherheit und erweiterte MethodenZu Beginn des dritten und letzten Teils der Reihe vermittelt der Data Scientist Fabio Basler Ihnen die grundlegenden Konzepte und Methoden des Datenbankdesigns. Sie erfahren, was ein Sternschema ist, wie Sie über sog. Schlüssel Tabellen verknüpfen und Datensätze eindeutig identifizieren und wie Sie Constraints einsetzen, um die Integrität und Konsistenz Ihrer Daten zu gewährleisten.Darüber hinaus widmen wir uns fortgeschrittenen Methoden der Datenbearbeitung und Abfrageoptimierung, einschließlich Indizes, Variablen, regulärer Ausdrücke und benutzerdefinierter Sichten.Zum Schluss bringt Ihnen Fabio Basler die Grundlagen der Sicherheit in SQL Server näher und zeigt, wie Sie SQL nahtlos mit anderen Anwendungen und Programmiersprachen (Excel, Power BI, Python und R) integrieren, um Daten zu bearbeiten, auszuwerten und zu visualisieren.Praktische Übungsaufgaben auf Basis einer Projektdatenbank begleiten Sie durch diesen Kurs und helfen Ihnen dabei, das Gelernte direkt anzuwenden und zu festigen.Länge: 03:45 Stunden Alle Lektionen im Überblick:Vorstellung und Infos zum Kurs Herzlich willkommen zu diesem Kurs Einführung in MS SQL und Grundlagen der Datenbanken KapitelüberblickTipps für den Start mit SMSSVorstellung der Projektdaten und DatenimportQuiz: Einführung in MS SQL und Grundlagen der Datenbanken Datenbankdesign KapitelüberblickTheorie: Datenbankdesign, Sternschema, Fakten, Dimensionen Datenbankmodellierung mit ProjektdatenDatenbankdiagramm in Microsoft SQL erstellenTheorie: Primär- und FremdschlüsselSchlüssel definieren und nachträglich erstellenConstraints einsetzenQuiz: Datenbankdesign Sichten KapitelüberblickTheorie: SichtenEinführungSichten über die Benutzeroberfläche erstellenVerschachtelte Sichten erstellenAufgabe: SichtenLösung: SichtenQuiz: Sichten Fortgeschrittene Methoden – Indizes, Variablen und reguläre Ausdrücke KapitelüberblickTheorie: IndizesIndizes erstellen und löschenIndizes über mehrere TabellenIndextypen und PraxistippsGrundlegendes zu VariablenVariablen in WHERE-KlauselnVariablen in Gruppierungen mit HAVINGFunktionsübersichtFunktionen erstellenAufgabe: Variablen und FunktionenLösung: Variablen und FunktionenTheorie: Reguläre AusdrückeReguläre AusdrückeQuiz: Fortgeschrittene Methoden – Indizes, Variablen und reguläre Ausdrücke Sicherheit in SQL Server KapitelüberblickTheorie: BerechtigungskonzeptVorstellung der AnmeldetypenAnmeldungen und Benutzer anlegenRollen und Berechtigungen für Tabellen und Spalten10 Abschlusstipps für Sicherheit und BerechtigungenQuiz: Sicherheit in SQL Server SQL und andere Anwendungen KapitelüberblickSQL und Excel: Anbindung der DatenSQL und Excel: Power Pivot und DatenauswertungSQL und Power BI: Anbindung der Daten und VisualisierungSQL und Python: Anbindung der DatenSQL und Python: DatenauswertungSQL und R: Anbindung der DatenSQL und R: DatenauswertungQuiz: SQL und andere Anwendungen Abschluss Fazit und KursabschlussÜber den Trainer:Fabio Basler hat schon zu Beginn seines Studiums eine große Leidenschaft für die Methoden der Statistik und Data Science entwickelt. Über mehrere Semester hinweg konnte er als Tutor zahlreiche Studierende erfolgreich auf ihre Prüfungen und den Berufsalltag vorbereiten. Fabio Basler arbeitet als Datenanalyst in einem großen Industriekonzern. Mit großer Freude am Unterrichten gibt er sein Wissen in Online-Kursen und Seminaren weiter.So lernen Sie mit diesem Videokurs:In den Videokursen von heise academy lernen Sie IT-Themen anschaulich und verständlich. In den Videos schauen Sie den Experten bei der praktischen Arbeit zu und lassen sich dabei alles genau erklären. Das Wissen ist in kleine Lernschritte und Aufgaben unterteilt. Sie können den Kurs Lektion für Lektion durcharbeiten oder gezielt zu Themen springen, die Sie interessieren. Die persönliche Lernumgebung der heise academy hält viele Funktionen für Sie bereit, die Ihnen beim Lernen helfen können:Flexibler Videoplayer mit vielen SteuerungsmöglichkeitenWissensquizzes zur LernkontrolleLernhistorie und LernfortschrittLesezeichen und Notizen Volltextsuche in den VideosFrage-den-Experten-ModulÜbungsmaterial zum MitmachenResponsive Web-App und Videostreaming für alle EndgeräteTechnische Voraussetzungen:Für diesen Videokurs wird lediglich ein Browser (mit eingeschalteter JavaScript-Funktionalität) und eine Internetverbindung benötigt.
Hacken für Anfänger - Offline erste Gehversuche unternehmen
Hacken für AnfängerHacker üben mit ihren Fertigkeiten auf viele Menschen eine große Faszination aus. Sie überwinden Grenzen, die man normalerweise nicht überwinden kann und manchmal auch nicht sollte. Was in Filmen und Serien wie großes Voodoo wirkt, ist in Wirklichkeit vor allem eines: Wissen und Erfahrung gezielt eingesetzt.Es spricht einiges dafür, sich mit dem Thema Hacking auseinanderzusetzen. Wer nachvollziehen kann, was bei einem Angriff passiert, kann sich auch leichter davor schützen. Und vielleicht wird aus dem neuen Hobby irgendwann sogar der Start in eine neue Karriere? Dazu muss man nicht auf die dunkle Seite wechseln. Firmen zahlen gute Gehälter an eigens engagierte Penetration-Tester, damit die ihre Unternehmenssysteme testweise angreifen.Das bietet das SeminarIm Webinar erklärt c’t-Redakteur Wilhelm Drehling, wie Sie offline in einer sicheren Umgebung erste Hacking-Gehversuche unternehmen können. Dank der eigens aufgesetzten virtuellen Trainingsumgebung laufen Sie nicht Gefahr, versehentlich Blödsinn zu treiben oder gar etwas Verwundbares anzugreifen. Sie lernen, wie Sie eine solche Umgebung aufsetzen, das Angriffswerkzeug Kali Linux einrichten und den anzugreifenden Server bereitstellen.Der Referent ergänzt die theoretischen Aspekte durch Praxis und hackt live während des Webinars den Übungsserver Mr. Robot. Dabei erklärt er die Methoden und schlüsselt auf, welche Gedankenprozesse dahinterstecken. So lernen Sie ganz nebenbei, wie Hacker vorgehen, um zum Ziel zu gelangen.Die benötigten Tools laufen unter Windows, macOS und Linux. Der Referent zeigt den Hack beispielhaft auf einem Windows-11-System.Das Webinar richtet sich an security- und technikaffine Menschen, die noch keine Erfahrungen im Hacking haben, es jedoch gerne in einer sicheren Umgebung ausprobieren wollen. Obwohl Kali-Linux zum Einsatz kommt, benötigen die Teilnehmer keine Linux-Kenntnisse. Spaß am Ausprobieren und Neues entdecken stehen im Vordergrund.Sie wollen noch tiefer in die Welt des Hackings eintauchen? Dann sichern Sie sich einen Platz im Folge-Webinar: Die Necromancer-Challenge. Diese digitale Hacking-Schnitzeljagd kombiniert Spielspaß mit cleveren Rätseln. Bevor Sie dem Necromancer im finalen Duell gegenübertreten, müssen Sie elf Aufgaben meistern – mal logisch, mal überraschend tricky. Dabei stoßen Sie an Grenzen, entdecken neue Werkzeuge und lernen, über den Tellerrand hinauszudenken.Unser ReferentWilhelm Drehling ist c't-Redakteur und gehört dem Ressort Systeme & Sicherheit an. Dort schreibt er vorwiegend über IT-Sicherheit, Kryptografie und Hacking. Wenn es ihm die Zeit erlaubt, befasst er sich mit nerdigen Themen und erklärt wie man einen Sudoku-Generator programmiert, QR-Codes per Hand dechiffriert oder Lego-Anleitungen erstellt. Leicht verdaulicher Einstieg in die Welt des Hackens Verstehen, wie Hacker denken und vorgehen Komplett sicher in einer virtuellen Testumgebung selbst hacken Schritt-für-Schritt-Skript zum Nachstellen des Hacks Die wichtigsten Techniken praxisnah und unabhängig erklärt Umgebung lässt sich auf Windows, macOS und Linux einrichten
IT-Security für Nicht-Nerds
ÜberblickNicht jede und jeder will sich mit IT-Sicherheit beschäftigen – schon gar nicht andauernd. Oft will man nur, dass Browser, Messenger und noch zwei, drei andere Apps zuverlässig laufen. Das ist verständlich, aber ohne ein Mindestmaß an Sicherheitsvorkehrungen steht man ganz schön im Regen, wenn doch etwas passiert. Das ist gar nicht so unwahrscheinlich; früher oder später wird jeder PC, jedes Smartphone und jeder Account Ziel einer Attacke – auch die eigenen. Wer dann nicht Bescheid weiß oder unachtsam ist, kann sich und anderen eine Menge Ärger einhandeln. Es führt kein Weg dran vorbei: IT-Sicherheit ist wichtig und gewisse Grundlagen sollte jeder Nutzer und jede Nutzerin beherrschen. Das gilt auch für die, die mit IT nichts am Hut haben (wollen).Die eigene IT-Sicherheit zu verbessern ist aber gar nicht so schwer und lästig, wie es vielleicht klingt. Und seltsames IT-Kauderwelsch muss man auch nicht verstehen: Im Webinar "IT-Security für Nicht-Nerds" vermittelt Dir Technikjournalist Keywan Tonekaboni an zwei Nachmittagen (17. und 24. Juni 2025) allgemeinverständlich die Grundlagen der Sicherheit im Netz. Außerdem gibt er praktische Tipps rund um Datensicherheit und -schutz im digitalen Raum, die Du im Alltag umsetzen kannst. Teilnehmende können Fragen stellen und Keywan Tonekaboni übersetzt den Security-Sprech in verständliches Deutsch.InhalteAllgemeines zur Sicherheit PCs Smartphones WLAN-Router Sicher im Netz unterwegs Phishing-Mails erkennen Web-Browser absichern Downloads aus vertrauenswürdigen Quellen Backups Grundregeln Sicherheit vor Verschlüsselungstrojanern Besserer Zugangsschutz Passwort-Manager Passkeys statt Passwörter Zwei-Faktor-Authentifizierung Virtual Private Networks Was ist das überhaupt? Wann ist VPN sinnvoll? Wovor schützen VPN nicht Dein Nutzen Du lernst, Fake-Mails besser zu erkennen. Du weißt, wie Du Deine Daten sichern kannst. Du erfährst, wie Du Deine Messenger-Dienste so sicher wie möglich nutzen kannst. Du verstehst, wie sichere Passwörter funktionieren oder wie du mit Passkeys ganz auf nervige Passwörter verzichten kannst. Zielgruppe Der Orientierungskurs richtet sich insbesondere an Personen, die sich bislang noch nicht mit der eigenen IT-Sicherheit auseinandergesetzt haben oder sich eine Auffrischung ihres Grundlagenwissens wünschen.
Entra ID – Neuerungen in Q1/2025
Microsoft entwickelt seinen cloudbasierten Identitäts- und Zugriffsverwaltungsdienst Entra ID (ehemals Azure Active Directory) kontinuierlich weiter, um den wachsenden Anforderungen gerecht zu werden. In diesem Update präsentiert Ihnen der IT-Experte Klaus Bierschenk anhand praktischer Beispiele ausgewählte Neuerungen aus dem ersten Quartal 2025. Dabei konzentriert er sich auf hybride Szenarien und Features, die großen Nutzen für Ihre Arbeit haben und die Sicherheit Ihres Tenants erhöhen – Stichwort: Zero Trust.Entra ID Protection erkennt jetzt Passwort-Spray-Versuche in Echtzeit während des Anmeldevorgangs, noch bevor ein Angreifer erfolgreich sein kann. Dies ermöglicht eine umgehende Reaktion und Blockierung, was die Sicherheit deutlich erhöht. Zudem erfahren Sie, wie Sie die Kostenfalle beim Einsatz von Security Copilot umgehen können, ohne auf diese neue Technologie wegen der hohen Verbrauchskosten verzichten zu müssen.Auch im Bereich Conditional Access hat sich wieder einiges getan. Für sensible Aktionen kann nun eine Neuauthentifizierung erzwungen werden, selbst bei bestehender Sitzung. Die Auswirkungen der CA-Richtlinien lassen sich direkt im Admin Center grafisch auswerten, ohne Log Analytics bemühen zu müssen. Und Sie können kritische Objekte wie Microsoft-365-Gruppen vor dem unwiderruflichen Löschen schützen.Darüber hinaus wird die Verwaltung von Benutzern durch die Möglichkeit zur Massenbearbeitung im Entra Admin Center vereinfacht. Und für Mitarbeiter ohne festen PC-Arbeitsplatz ist nun eine schnelle und unkomplizierte Anmeldung an der Microsoft Cloud per QR-Code möglich. Unser quartalsweise erscheinendes Update informiert Sie über die neuesten Änderungen in Entra ID und bringt Sie auf den aktuellen Stand. Also bleiben Sie dran!Länge: 00:59 StundenAlle Video-Lektionen im Überblick: Entra ID – Neuerungen Q1/2025 Herzlich willkommen zu diesem KursÜbersicht über die NeuerungenMehrbenutzerbearbeitung und „Every Time“-AuthentifizierungBenutzeranmeldung über QR-CodeProtected Actions für Hard DeletionsErweiterte Überwachung in Entra Connect SyncSecurity Copilot für Lifecycle WorkflowsNeues zu Password-Spray-Schutz, CAPs und Graph PermissionsQuiz: Entra ID – Neuerungen Q1/2025 Über den Trainer:Klaus Bierschenk ist seit über 20 Jahren in der IT-Branche tätig und wirkt schon lange in internationalen Identity- und Security-Projekten mit. Als Technologieberater bei CGI Deutschland liegt sein Schwerpunkt auf hybriden Themen. Dabei ist seine Begeisterung für Microsoft-Technologien ungebrochen. Klaus Bierschenkt berät IT-Betreiber bei Herausforderungen im Kontext von Microsoft Active Directory und Microsoft Entra ID. Regelmäßig tritt er als Referent in der Microsoft Azure Community auf, zudem schreibt er in seinem Technik-Blog „NothingButCloud“ und publiziert Fachartikel.So lernen Sie mit diesem Videokurs:In den Videokursen von heise academy lernen Sie IT-Themen anschaulich und verständlich. In den Videos schauen Sie den Experten bei der praktischen Arbeit zu und lassen sich dabei alles genau erklären. Das Wissen ist in kleine Lernschritte und Aufgaben unterteilt, sodass Sie den Kurs Lektion für Lektion durcharbeiten oder gezielt zu Themen springen können, die Sie interessieren. Die persönliche Lernumgebung der heise academy hält viele Funktionen für Sie bereit, die Ihnen beim Lernen helfen können:Flexibler Videoplayer mit vielen SteuerungsmöglichkeitenWissensquiz zur LernkontrolleLernhistorie und LernfortschrittLesezeichen und Notizen Volltextsuche in den VideosFrage-den-Experten-ModulÜbungsmaterial zum MitmachenResponsive Web-App und Videostreaming für alle EndgeräteTechnische Voraussetzungen:Für diesen Videokurs werden lediglich ein Browser (mit eingeschalteter JavaScript-Funktionalität) und eine Internetverbindung benötigt.
Microsoft Entra Dangerous Defaults
Webinar "Microsoft Entra Dangerous Defaults", im heise shop als Aufzeichnung der Live-Veranstaltung ansehen. Entra ID: Dangerous Defaults kennen, verstehen und verbessern Microsofts Cloud-Angebote in Betrieb zu nehmen ist einfach – es sicher zu betreiben erfordert jedoch Handarbeit und Wissen. So kommt die zentrale Identitäts- und Zugriffsverwaltung Entra ID gerade im Bereich Security mit einer Reihe von gefährlichen oder zumindest verbesserungswürdigen Voreinstellungen. Mit Heinrich Wiederkehr und Lennart Brauns ÜberblickEin typisches Beispiel für Microsofts laxe Voreinstellungen ist der “Application Consent”, der standardmäßig besagt, dass jeder Benutzer neue Applikationen registrieren kann und damit unter Umständen Dritten auf Unternehmensdaten gewährt. Das sollte jeder Admin wissen und in der Regel auch von “User consent” auf “Admin consent” umstellen. Das Webinar ist jedoch mehr als eine Zusammenstellung von Einstellungen, die man unbedingt ändern sollte. Die Referenten erklären die Hintergründe der einzelnen Konfigurationsmöglichkeiten und vermitteln, welche Risiken in der Standardkonfiguration entstehen können. Zusätzlich geben sie Empfehlungen, welche Konfigurationen den Idealzustand darstellen, wo man von diesen eventuell dennoch abweichen möchte und welche Abstufungsmöglichkeiten es dabei gibt. Dieses heise security Webinar richtet sich an Administratoren und Sicherheitsverantwortliche, die den Einstieg in die Microsoft-Cloud bereits vollzogen haben oder gerade dabei sind und sich um eine solide Umsetzung der Security-Policy ihres Unternehmens kümmern. Wer im Unternehmen Teams oder M365 einsetzt, der sollte diese Dinge kennen und umsetzen können. Das Webinar vermittelt das dazu nötige Verständnis um die Zusammenhänge und gibt Vorschläge für konkrete Verbesserungen. Schwerpunkte - Standardbenutzer, Sicherheitsgruppen, Gast-Zugänge- Geräte (Entra Join) und Geräte-Compliance - Applikationen (App Registration, Consent) - Azure Management Groups, Tenants - Conditional Access Zielgruppe Dieses Webinar richtet sich an: Administratoren und Sicherheitsverantwortliche, die den Einstieg in die Microsoft-Cloud bereits vollzogen haben oder gerade dabei sind und sich um eine solide Umsetzung der Security-Policy ihres Unternehmens kümmern. Wer im Unternehmen Teams oder M365 einsetzt, der sollte diese Dinge kennen und umsetzen können. Das Webinar vermittelt das dazu nötige Verständnis um die Zusammenhänge und gibt Vorschläge für konkrete Verbesserungen.
Kali Linux – Grundkurs Teil 2
Kali Linux ist die bevorzugte Distribution für Penetrationstests und Sicherheitsanalysen. Unsere zweiteilige Kursserie bietet eine umfassende Einführung in die Grundlagen von Kali Linux und erklärt, wie Sie es effektiv einsetzen, um damit Sicherheitslücken zu identifizieren und zu beheben.Im zweiten Teil unserer Kursserie erfahren Sie, wie Sie mithilfe spezialisierter Tools Schwachstellen in Systemen und Netzwerken aufspüren. Wir nehmen Methoden in den Blick, die es ermöglichen, die Stärke von Passwörtern zu untersuchen und schwache Passwörter zu knacken. Außerdem lernen Sie, wie Sie Exploits und andere Techniken anwenden, um erkannte Sicherheitslücken praktisch zu testen und eine fundierte Risikobewertung vorzunehmen.Am Ende der Kursserie sind Sie in der Lage, eigenständig grundlegende Penetrationstests durchzuführen und die Sicherheit Ihrer IT-Infrastruktur zu erhöhen.Die erfolgreiche Kursteilnahme setzt grundlegende Erfahrungen mit Linux-Systemen und der Shell sowie ein Verständnis der Grundlagen von Netzwerken und Protokollen wie TCP/IP voraus.Länge: 02:42 Stunden Alle Video-Lektionen im Überblick: Vorstellung und Infos zum Kurs Herzlich willkommen zu diesem Kurs Meine Testumgebung Scannen auf Schwachstellen Kapitelüberblick Einführung in die Schwachstellenanalyse nikto Zed Attack Proxy (ZAP) Burp Suite startklar machen SQL-Injection Greenbone-Scanner installieren GVM (Greenbone Vulnerability Manager): Scanner anpassen GVM: Scan starten GVM: Troubleshooting dirb Quiz: Scannen auf Schwachstellen Passwort-Cracking Kapitelüberblick Linux-Authentifizierung Kennwort und Salt rockyou.txt-Datei Wortliste mit chrunch Wortliste mit rsmangler Wortliste mit cewl Mit John the Ripper (JtR) Linux-Kennwörter ermitteln Mit JtR Windows-Kennwörter ermitteln Hydra im praktischen Einsatz NFS Enumeration und SSH Quiz: Passwort-Cracking Ziele ausnutzen Kapitelüberblick Python exploit Exploiting Linux Exploiting Windows Kali-Autopilot Easter Egg Quiz: Ziele ausnutzen Abschluss GitHub Fazit und Kursabschluss Über den Trainer:Tom Wechsler ist seit mehr als 20 Jahren professionell in der Informatikbranche tätig. Seit 2007 arbeitet er als selbstständiger Cloud Solution Architect, Cyber Security Analyst und Trainer. Der charismatische Schweizer hat es sich zum Ziel gemacht, die komplexe Welt der Informatik anhand von Lernvideos so verständlich wie möglich zu erklären. So gelingt es ihm in seinen Kursen, auch komplexe Themen und Zusammenhänge verständlich zu vermitteln. Tom Wechslers Schwerpunkte liegen in den Bereichen Netzwerktechnik (Cisco), Microsoft Azure, Microsoft 365, Windows Server und Active Directory.So lernen Sie mit diesem Videokurs:In den Videokursen von heise academy lernen Sie IT-Themen anschaulich und verständlich. In den Videos schauen Sie den Experten bei der praktischen Arbeit zu und lassen sich dabei alles genau erklären. Das Wissen ist in kleine Lernschritte und Aufgaben unterteilt, sodass Sie den Kurs Lektion für Lektion durcharbeiten oder gezielt zu Themen springen können, die Sie interessieren. Die persönliche Lernumgebung der heise academy hält viele Funktionen für Sie bereit, die Ihnen beim Lernen helfen können:Flexibler Videoplayer mit vielen SteuerungsmöglichkeitenWissensquiz zur LernkontrolleLernhistorie und LernfortschrittLesezeichen und Notizen Volltextsuche in den VideosFrage-den-Experten-ModulÜbungsmaterial zum MitmachenResponsive Web-App und Videostreaming für alle EndgeräteTechnische Voraussetzungen:Für diesen Videokurs werden lediglich ein Browser (mit eingeschalteter JavaScript-Funktionalität) und eine Internetverbindung benötigt.
Praktische Security in Windows-Netzen: Tiering und PAWs
Webinar "Praktische Security in Windows-Netzen: Tiering und PAWs", im heise shop als Aufzeichnung der Live-Veranstaltung aus dem März 2025.Das Ebenenmodell und speziell gesicherte Admin-Arbeitsplätze sind nach wie vor die wichtigsten Bausteine jedes Sicherheitskonzepts für Windows-Netze. Sie sind auch eigentlich gut dokumentiert. Doch wer das Tiering konkret umsetzen und Privileged Access Workstations (PAWs) im Alltag einsetzen will, stößt sehr schnell auf Fragen und scheinbar unüberwindbare Probleme. Wie viele Ebenen müssen es denn wirklich sein? Wie kommt der Admin im Homeoffice an seine PAWs? Was mach ich mit meiner Cloud-IT? Diese und viele weitere Fragen beantwortet unser Webinar zu “Praktische Security in Windows-Netzen”.Unser Webinar zeigt nicht nur, dass jede Organisation, die Active Directory nutzt, ein Ebenenmodell umsetzen sollte – egal wie groß sie ist. Es liefert praktische und auf jedes Unternehmen anwendbare Leitlinien zur Aufteilung dieser Ebenen, zum Aufbau der notwendigen PAWs und deren Administration. Es hilft Ihnen auch bei der Argumentation, warum das Clean-Source-Prinzip, das PAWs erfordert, mindestens so wichtig ist wie das bekannte Least Privilege.Das Webinar richtet sich an alle Betreiber eines Active Directories und dabei besonders die Sicherheitsverantwortlichen und Systemverwalter. Es erfordert lediglich grundlegende Kenntnisse der AD-Administration; wer seine AD-Sicherheit schon lange auf eine solide Basis stellen, sich dabei aber nicht in Ideologiefragen verlieren will, ist hier genau richtig.Übrigens bleiben Tiering und PAWs auch wichtige Security-Bausteine, wenn man bereits Teile seiner IT in die Cloud ausgelagert hat; das Webinar ist deshalb auch für den oft anzufindenden Hybrid-Betrieb von On-Prem- und Cloud-IT relevant.Schwerpunkte:AD-Security-Grundlagen und das elementare Clean-Source-Prinzippraxisnahe Einführung in das Tiering-Modell und verschiedene VariantenPAWs in Theorie und Praxis, für reine On-Prem-Umgebungen und bei Cloud-NutzungTiering versus Enterprise-Access-ModellWeiterführende Quellen für den schnellen Einstieg
Kali Linux – Grundkurs Teil 1
Kali Linux ist die bevorzugte Distribution für Penetrationstests und Sicherheitsanalysen. Unsere zweiteilige Kursserie bietet eine umfassende Einführung in die Grundlagen von Kali Linux und erklärt, wie Sie es effektiv einsetzen, um Sicherheitslücken zu identifizieren und zu beheben.In diesem ersten Teil unserer Kursserie machen wir uns zunächst an die Einrichtung einer isolierten Umgebung, um Sicherheitstests mit Kali Linux durchzuführen, ohne den laufenden Betrieb zu gefährden. Anschließend erhalten Sie einen Überblick über die Benutzeroberfläche von Kali Linux und machen sich mit den wichtigsten Funktionen und Werkzeugen vertraut.Nachdem die Vorbereitungen abgeschlossen sind, geht es an die Informationsbeschaffung. Dabei lernen Sie Methoden und Techniken kennen, um relevante Daten über Zielsysteme und Netzwerke zu sammeln, die für den weiteren Testprozess notwendig sind.Die erfolgreiche Kursteilnahme setzt grundlegende Erfahrungen mit Linux-Systemen und der Shell sowie ein Verständnis der Grundlagen von Netzwerken und Protokollen wie TCP/IP voraus.Länge: 03:18 Stunden Alle Video-Lektionen im Überblick: Vorstellung und Infos zum Kurs Herzlich willkommen zu diesem Kurs Aufbau einer Testumgebung Kapitelüberblick Meine Testmaschine Downloads Installation von Kali Linux und Kali Purple Metasploitable vorbereiten Juice Shop auf App01 installieren Installation von Rocky Linux Kali Linux aktualisieren Quiz: Aufbau einer Testumgebung Einführung in Kali Kapitelüberblick Terminal anpassen Top Panel rechts anpassen Desktop erkunden Ein Blick auf die verschiedenen Applikationen Panel anpassen Dokumentation Quiz: Einführung in Kali Sammeln von Informationen Kapitelüberblick Einführung in das Sammeln von Informationen dmitry dnsenum shodan whatweb Einführung in nmap Erstellen eines Inventars Offene Ports Auffinden von Systemanfälligkeiten nmap: Benutzerdefinierten Port-Bereich festlegen nmap: Ausgabeformat und Bericht Nmap-Skripting-Engine Einführung in Maltego Maltego in Aktion TheHarvester Quiz: Sammeln von Informationen Abschluss GitHub Fazit und Kursabschluss Über den Trainer:Tom Wechsler ist seit mehr als 20 Jahren professionell in der Informatikbranche tätig. Seit 2007 arbeitet er als selbstständiger Cloud Solution Architect, Cyber Security Analyst und Trainer. Der charismatische Schweizer hat es sich zum Ziel gemacht, die komplexe Welt der Informatik anhand von Lernvideos so verständlich wie möglich zu erklären. So gelingt es ihm in seinen Kursen, auch komplexe Themen und Zusammenhänge verständlich zu vermitteln. Tom Wechslers Schwerpunkte liegen in den Bereichen Netzwerktechnik (Cisco), Microsoft Azure, Microsoft 365, Windows Server und Active Directory.So lernen Sie mit diesem Videokurs:In den Videokursen von heise academy lernen Sie IT-Themen anschaulich und verständlich. In den Videos schauen Sie den Experten bei der praktischen Arbeit zu und lassen sich dabei alles genau erklären. Das Wissen ist in kleine Lernschritte und Aufgaben unterteilt, sodass Sie den Kurs Lektion für Lektion durcharbeiten oder gezielt zu Themen springen können, die Sie interessieren. Die persönliche Lernumgebung der heise academy hält viele Funktionen für Sie bereit, die Ihnen beim Lernen helfen können:Flexibler Videoplayer mit vielen SteuerungsmöglichkeitenWissensquiz zur LernkontrolleLernhistorie und LernfortschrittLesezeichen und Notizen Volltextsuche in den VideosFrage-den-Experten-ModulÜbungsmaterial zum MitmachenResponsive Web-App und Videostreaming für alle EndgeräteTechnische Voraussetzungen:Für diesen Videokurs werden lediglich ein Browser (mit eingeschalteter JavaScript-Funktionalität) und eine Internetverbindung benötigt.
Wie sag ich’s meinem Chef? Erfolgreiche Gesprächsstrategien für Sicherheitsverantwortliche (Webinar-Aufzeichnung)
Webinar "Wie sag ich’s meinem Chef? Erfolgreiche Gesprächsstrategien für Sicherheitsverantwortliche", im heise shop als Aufzeichnung der Live-Veranstaltung aus Februar 2025.Die Kommunikation zwischen CISO und Geschäftsführung scheitert oft schon an der Themenwahl; die eher technisch orientierten Fachleute finden keine gemeinsame Gesprächsebene mit den Entscheidungsträgern. Hinzu kommen ungeschickt vorgebrachte Argumente und fehlendes Geschick bei der Gesprächsführung. Unsere sowohl in der Security als auch der C-Level-Kommunikation erfahrenen Referenten zeigen deshalb auf, welche Themen die Geschäftsleitung überhaupt bewegen und schlagen dann die Brücke zur Informationssicherheit. Zudem diskutieren sie, welchen Stellenwert Compliance und Co in diesem Zusammenhang haben und ob sie tatsächlich das Mittel zu einer größeren Akzeptanz der Informationssicherheit sind. Das ergänzen sie mit bewährten Techniken zur Vorbereitung und Führung eines Pitch-Gesprächs.Zielgruppe Das Webinar richtet sich an Sicherheits- und auch Datenschutzverantwortliche in Firmen, Organisationen und Behörden. Es handelt sich hierbei weder um eines der typisch technischen heise-security-Webinare noch um eine der verbreiteten Management-Schulungen. Ziel der Veranstaltung ist es es, Ihnen die notwendigen Strategien und Techniken für erfolgreiche Kommunikation zu Security-Themen zu vermitteln. ThemenschwerpunkteWas interessiert die Chefs?Informationssicherheit jenseits von TechnikVon der Compliance zum realen NutzenTechniken der zielgerichteten GesprächsführungWerkzeuge zur Visualisierung von Mehrwerten
Entra ID – Neuerungen in Q4/2024
Microsoft entwickelt seinen cloudbasierten Identitäts- und Zugriffsverwaltungsdienst Entra ID (ehemals Azure Active Directory) kontinuierlich weiter, um den wachsenden Anforderungen gerecht zu werden. In diesem Update präsentiert Ihnen der IT-Experte Klaus Bierschenk anhand praktischer Beispiele ausgewählte Neuerungen aus dem vierten Quartal 2024. Dabei konzentriert er sich auf hybride Szenarien und Features, die großen Nutzen für Ihre Arbeit haben und die Sicherheit Ihres Tenants erhöhen – Stichwort: Zero Trust.Auch im letzten Quartal des Jahres 2024 wartet Microsoft mit einer Reihe nützlicher Neuerungen auf. Klaus Bierschenk stellt Ihnen den Security Copilot vor, der als Public Preview nun in Microsoft Entra integriert ist. Zudem erkunden wir gemeinsam Microsoft Security Exposure Management, das eine zentrale Übersicht über alle Ressourcen und potenzielle Bedrohungen bietet und damit Unternehmen eine ganzheitliche Bewertung ihrer Sicherheitsrisiken ermöglicht. Ab September 2025 sollen die Legacy-Einstellungen für die Multi-Faktor-Authentifizierung (MFA) und Self-Service-Kennwortzurücksetzung (SSPR) nicht mehr unterstützt werden. Mit dem neuen Assistenten ist nun eine automatische Migration auf die Authentifizierungsmethoden in Entra ID möglich. Die Betrugswarnung für MFA-Requests wird im März 2025 eingestellt. Klaus Bierschenk erklärt Ihnen im Detail, wie Sie die Umstellung vornehmen und worauf dabei zu achten ist.Unser quartalsweise erscheinendes Update informiert Sie über die neuesten Änderungen in Entra ID und bringt Sie auf den aktuellen Stand. Also bleiben Sie dran!Länge: 00:57 StundenAlle Video-Lektionen im Überblick: Entra ID – Neuerungen Q4/2024 Herzlich willkommen zu diesem Kurs Übersicht über die Neuerungen Migrationsassistent für MFA- und SSPR-Richtlinie Änderung bei Policy für Betrugswarnung Microsoft Security Exposure Management Security Copilot einrichten Security Copilot: Praxisbeispiel Zusammenfassung kleinerer Neuerungen Quiz: Entra ID – Neuerungen Q4/2024 Über den Trainer:Klaus Bierschenk ist seit über 20 Jahren in der IT-Branche tätig und wirkt schon lange in internationalen Identity- und Security-Projekten mit. Als Technologieberater bei CGI Deutschland liegt sein Schwerpunkt auf hybriden Themen. Dabei ist seine Begeisterung für Microsoft-Technologien ungebrochen. Klaus Bierschenkt berät IT-Betreiber bei Herausforderungen im Kontext von Microsoft Active Directory und Microsoft Entra ID. Regelmäßig tritt er als Referent in der Microsoft Azure Community auf, zudem schreibt er in seinem Technik-Blog „NothingButCloud“ und publiziert Fachartikel.So lernen Sie mit diesem Videokurs:In den Videokursen von heise academy lernen Sie IT-Themen anschaulich und verständlich. In den Videos schauen Sie den Experten bei der praktischen Arbeit zu und lassen sich dabei alles genau erklären. Das Wissen ist in kleine Lernschritte und Aufgaben unterteilt, sodass Sie den Kurs Lektion für Lektion durcharbeiten oder gezielt zu Themen springen können, die Sie interessieren. Die persönliche Lernumgebung der heise academy hält viele Funktionen für Sie bereit, die Ihnen beim Lernen helfen können:Flexibler Videoplayer mit vielen SteuerungsmöglichkeitenWissensquiz zur LernkontrolleLernhistorie und LernfortschrittLesezeichen und Notizen Volltextsuche in den VideosFrage-den-Experten-ModulÜbungsmaterial zum MitmachenResponsive Web-App und Videostreaming für alle EndgeräteTechnische Voraussetzungen:Für diesen Videokurs werden lediglich ein Browser (mit eingeschalteter JavaScript-Funktionalität) und eine Internetverbindung benötigt.
Microsofts-Cloud-Security: Lücken und Fehler mit SCUBA selbst finden und beheben (heise Security Webinar:-Aufzeichnung)
heise Security Webinar: Microsofts-Cloud-Security: Lücken und Fehler mit SCUBA selbst finden und beheben (Webinar-Aufzeichnung aus Dezember 2024)ScubaGear ist ein kostenloses Security-Tool der US-Sicherheitsbehörde CISA, mit dem man seine eigene Microsoft-Cloud-Instanz selbst auditieren kann. Es deckt verbreitete Konfigurationsfehler, Policy-Verstöße und andere Sicherheitsprobleme systematisch auf.Das Webinar erklärt das Konzept und die Funktionsweise des Tools; es zeigt, wie man es selbst nutzen kann und sollte, um die Sicherheit seines M365-Tenants zu verbessern. Dazu gehört auch, wie man das US-amerikanische Tool in einem deutschen beziehungsweise europäischen Kontext sinnvoll einsetzt. Der Referent Tim Mittermeier erläutert dazu verschiedene Angriffsprimitive und -verfahren, die Angreifer nutzen, um sich Zugriff auf Cloud-Infrastrukturen zu verschaffen und Privilegien zu erhöhen. Darauf aufbauend erklärt er mit praktischen Beispielen, wie man solche Schwachstellen in Microsoft Entra ID und M365 mit ScubaGear – und anderen, vergleichbaren Werkzeuge – gezielt aufspüren kann.Abschließend gibt er Tipps zur Härtung der Entra-Mandanten und M365-SaaS-Applikationen. Administratoren und Sicherheitsverantwortliche erhalten damit direkt umsetzbare Hilfestellung bei der sicheren Konfiguration ihres M365-Tenants.Themenschwerpunkte Secure Cloud Business Applications (SCuBA) Project und ScubaGearMicrosoft Azure, Entra ID und M365Angriffe auf und Absicherung von Cloud-UmgebungenSelbstauditierung und Härtung