Komplett im Set: gedrucktes Heft + digitale Ausgabe mit einer Ersparnis von 10,89 Euro.Schwachstellen findenWo und wie ist meine IT angreifbar? Um das herauszufinden, helfen vielfältige kostenlose Werkzeuge: Tools für das Attack Surface Management erkennen Angriffsflächen, die Analyse des eigenen Sourcecodes und von Dependencies findet Schwachstellen in selbst entwickelter Software, Scanner für Cloud-Umgebungen identifizieren Schwachstellen im laufenden Betrieb.Härten und schützenUnsichere Konfigurationen sind eines der wichtigsten Einfallstore für Angreifer. Systemhärtung heißt deshalb vor allem, mit den passenden Tools Lücken durch gefährliche Einstellungen zu finden und sie zu schließen, sei es auf Einzelsystemen unter Windows oder Linux oder im Active Directory. Härtung heißt aber auch, das Netzwerk abzusichern und Netzwerkverkehr auf das Nötigste zu beschränken.Angriffe erkennenViele Sicherheitsvorfälle hinterlassen Spuren in Logfiles und bleiben oft trotzdem unbemerkt. Eine zentrale Loginstanz macht diese erste Stufe der Angriffserkennung effektiver und ist mit der richtigen Software schnell umgesetzt. Wenn es um das Erkennen und Identifizieren von Malware geht, dominieren kleine, spezialisierte Werkzeuge, die sich ergänzen. Wer eine umfangreiche SIEM- und XDR-Plattform als Open Source will, kommt an Wazuh nicht vorbei.Reagieren und analysierenForensik von Einzelsystemen gilt als besonders anspruchsvoll, weil oft der Kontext der Sicherheitsvorfälle fehlt. Dennoch können auch Nichtforensiker mit den geeigneten Werkzeugen erfolgreich nach Spuren suchen. In der Cloud kommt es eher darauf an, im Dschungel der vielen Dienste Protokolldateien zusammenzuführen. Auch dabei hilft Open-Source-Software.Schwachstellen finden – in Infrastruktur, Cloud und eigener Software8 Attack Surface Management BBOT: Angriffsflächen automatisch erkennen und Risiken reduzieren14 Microsoft Cloud Microsoft-365-Audits mit Maester20 Prüfwerkzeuge Große Cloud-Umgebungen (automatisiert) prüfen28 OSS-Schwachstellenscanner Schwachstellenscans mit Nuclei32 Static Application Security Testing Sicherheitslücken mit SAST-Tools früh erkennen40 Statische Analyse Transparenz in SoftwareprojektenHärten und schützen – Systeme, Netzwerk und Active Directory44 Windows härten Windows härten mit Microsoft-Tools50 Windows-Härtung prüfen 54 Linux härten Linux-Systemhärtung mit Lynis60 ID-Dienste Kostenlose Tools fürs AD-Audit68 Network Execution NetExec: Schweizer Messer für Sicherheitstests72 Windows Shares Sensible Daten in offenen Windows-Fileshares76 Secrets Management Auf Credential-Suche mit TruffleHog80 Netzwerksicherheit Unerwünschten Netzwerkverkehr blockenAngriffe erkennen – Systeme überwachen, Malware aufspüren86 Logging Einfaches Logmanagement mit Logging Made Easy92 Open-Source-SIEM Wazuh: IT-Schutz mit Open Source98 Malwaretools Mit freien Werkzeugen auf Malwarepirsch106 Deception Angreifer täuschen: Honeypots und Co.114 Red Teaming Das Post-Exploitation-Framework EmpireReagieren und analysieren – Incident Response, Forensik und SOAR130 Einzelsystemforensik Forensik auf einzelnen Systemen – mühsam, aber unentbehrlich138 Forensik in der Breite Velociraptor: das Multitool der IT-Forensik146 Microsoft-Cloud-Forensik Automatisierte Forensik in der Microsoft-Cloud154 SOAR SOC-Automatisierung mit ShuffleRubriken3 Editorial 162 Impressum

Komplett im Set: gedrucktes Heft + digitale Ausgabe mit einer Ersparnis von 7,90 Euro. Methoden und PatternsModule, Modulithen, Microservices oder Self-contained Systems – ein guter Teil der Überlegungen von Softwarearchitektinnen und -architekten befasst sich mit dem gekonnten Schnitt eines Projekts in sinnvolle Untereinheiten, sei es in der Neuplanung oder der Aufarbeitung von Legacy-Altlasten. Hinzu kommen Fragen des API-, Event- und Evolutionsmanagements sowie neuerdings: Wie beteiligt sich die künstliche Intelligenz an der Arbeit?Soziotechnische SystemeSoftwarearchitektinnen und -architekten sind in ständigem Austausch mit anderen Menschen. Die verschiedenen Stakeholder verfolgen ihre eigenen Interessen und wollen auf Augenhöhe eingebunden sein. Neben einer guten Kommunikationsfähigkeit helfen dabei Techniken, die die Gestaltung eines Softwareprojekts strukturieren, wie Event Storming oder Collaborative Modeling.QualitätsmanagementDokumentation, Security und Qualitätssicherung sind sie bei Architektinnen und Architekten nicht sonderlich beliebt. Diese Aufgaben lenken von der eigentlichen Arbeit ab und werden oft im Nachgang als Pflichterfüllung behandelt. Grund dafür sind allerdings meist aufgeblähte und strukturlose Prozesse, nicht das Thema an sich. Setzen die Projektbeteiligten effiziente Strategien und Tools ein, reduziert sich der Aufwand auf ein Minimum.Architektur und GesellschaftSoftwarearchitektur wirkt nicht nur nach innen, im Projekt oder Unternehmen, sondern auch nach außen in die Gesellschaft – und kann dort helfen, aktuelle Herausforderungen zu bewältigen: Mit der richtigen Team-Motivation und einer geschickten Ressourcenkonfiguration lassen sich CO2-Emissionen und Energiekosten sparen. Ein Quereinsteigerprogramm bekämpft den Fachkräftemangel, und mehr Diversität führt in Teams zu besseren Ergebnissen.Methoden und Patterns8 Modularisierung mit Komponenten12 Evolutionäre Architektur18 Microservices, Monolithen und Modulithen22 Refactoring mit Mikado-Methode28 Softwareevolution mit Nachhaltigkeit38 Microservices in einem Webprojekt44 Vom Legacy-Monolithen zum Self-contained System48 Domain-driven Transformation54 LLMs in der Softwarearchitektur58 Multi-Tenant-Architektur62 Federated-API-ModellSoziotechnische Systeme68 Softwarearchitektur: Ein soziotechnisches System72 Organisation im Griff dank Team Topologies76 Collaborative Modeling schafft Verständnis96 Kommunikation mit den StakeholdernQualitätsmanagement102 Qualität messen und kommunizieren106 Kompakte Architekturdokumentation mit Canvas110 Risikoanalyse mit leichtgewichtigen Architektur-Reviews116 Schlüssel und Zertifikate in der Architektur122 Security by Design für Software mit KI-Komponenten126 Pragmatische ArchitekturdokumentationArchitektur und Gesellschaft132 Green Coding – nachhaltige Software für eine grünere Zukunft140 Wie Quereinsteiger und erste Projekte zusammenfinden144 Frauen in Tech-Teams: Divers läuft es besser150 Green Scrum – Planet Erde als StakeholderRubriken3 Editorial139 Impressum

Komplett im Set: gedrucktes Heft + digitale Ausgabe mit einer Ersparnis von über 10 Euro. Aktuelle BedrohungslageIn den letzten Jahren ist die Anzahl und Schwere der Cyberangriffe stetig gestiegen. Vor allem von Ransomware sind nicht nur große Unternehmen, sondern auch zunehmend KMU, Forschungseinrichtungen oder Kommunen betroffen. Das Augenmerk potenzieller Opfer sollte deshalb nicht mehr nur auf Schutzmaßnahmen liegen, sondern sich auch auf die Vorbereitung und die Reaktion auf den Ernstfall richten.Angriffe und DetektionWer seine IT schützen und seine Organisation vor Angriffen bewahren will, muss wissen, welche Angriffsarten es gibt und welche Techniken und Taktiken die Kriminellen dafür einsetzen. Essenziell ist außerdem, Cyberangriffe so schnell wie möglich zu erkennen, damit Experten und Sicherheitssysteme die Notbremse ziehen und den Schaden noch eingrenzen können.Incident ResponseWurde eine Organisation erfolgreich angegriffen, bricht über alle Betroffenen eine Katastrophe herein. Wichtig ist jetzt, handlungsfähig zu bleiben – zu wissen, was als Erstes zu tun und was unbedingt zu lassen ist. Unentbehrlich ist auch ein kompetenter Dienstleister, der durch die schlimme Zeit begleitet. Behördliche Anlaufstellen, die es in allen Bundesländern gibt, sind weitere gute Adressen und können unterstützen.Technische ReaktionNach einem Sicherheitsvorfall gilt es, Ausmaß und Ursache des Schadens zu bestimmen. Eine vollständige Datenanalyse kostet aber oft zu viel Zeit – die Priorisierung mithilfe einer Triage ist daher das Mittel der Wahl. Informationen aus dem MITRE-ATT&CK-Framework helfen dabei, schnell auf forensische Artefakte zu stoßen. Werkzeuge wie Velociraptor durchsuchen Systeme effizient nach Angriffsspuren.Organisatorische ReaktionWird ein Unternehmen erfolgreich angegriffen, ist die Wahrscheinlichkeit hoch, dass Daten nicht nur verschlüsselt, sondern auch abgezogen werden und in falsche Hände gelangen. Jetzt ist zum einen eine gute und transparente Kommunikation nötig, zum anderen sind rechtliche Anforderungen zu erfüllen – von Meldepflichten nach DSGVO über Datenschutzaspekte bei technischen Untersuchungen bis hin zur Frage der Rechtmäßigkeit von Lösegeldzahlungen.Wiederherstellung und NachbereitungDie Wiederherstellung und das Neuaufsetzen von Systemen sind wesentlich, um den Geschäftsbetrieb nach einem Angriff zu gewährleisten. Es braucht Klarheit im Business Continuity Management, Unternehmen sollten die nötigen Prozesse daher bereits im Vorfeld üben. Eine gute Vorbereitung kann zum Beispiel das Active Directory retten und spart wertvolle Ausfallzeit. Nach einem Angriff gilt es, aus der Krise zu lernen, um resilienter gegen kommende Angriffe zu werden.VorbereitungIncident-Response-Dienstleister und Sicherheitsexperten weisen unermüdlich darauf hin, dass Vorbereitung das A und O für einen glimpflichen Verlauf eines Cyberangriffs ist. Wer gut gerüstet ist, kann schneller, mit weniger Aufwand und vor allem weniger Kosten den Weg zurück in die Normalität des Geschäftsalltags finden. Es gibt vieles, das man vorbeugend umsetzen kann: vom Notfallplan über regelmäßig durchgeführte Krisenübungen bis hin zu einem verschlüsselungsresistenten Backup.Aktuelle Bedrohungslage8 EinführungAngriffe und Detektion16 Angriffsarten22 AngriffserkennungIncident ResponseBeispielfälle32 Erstreaktion38 IR-Dienstleister43 Kommunale IT46 Ransomwareattacke50 Angriff auf Landau Media: „Das war die größte Krise unseres Unternehmens“52 Business-Impact-Analyse als Erfolgsfaktor53 Behördliche Ermittlungen56 IR-Standards62 AnlaufstellenTechnische Reaktion66 Triage74 Velociraptor großflächig einsetzen80 Cloud-Forensik86 macOS-SicherheitOrganisatorische Reaktion92 Krisenkommunikation96 Datenverlust101 Recht106 KrisenmanagementWiederherstellung und Nachbereitung112 Active Directory119 Vorfall aufarbeiten123 Belastung durch CyberkrisenVorbereitung128 Vorbeugende Maßnahmen134 Notfallplanung138 Notfallübungen144 „Train as you fight“ in Cyberkrisenübungen147 Datensicherung154 Notfallumgebung158 CyberversicherungenRubriken3 Editorial143 Impressum

Komplett im Set: gedrucktes Heft + digitale Ausgabe mit einer Ersparnis von 16,00 Euro. Grundlagen Microsofts Active Directory ist der am meisten genutzte Verzeichnisdienst weltweit – kein Wunder, lassen sich damit die Ressourcen eines Unternehmens äußerst komfortabel verwalten. Das macht das AD aber auch zu einem beliebten Angriffsziel. Wer verstehen will, wie Cyberkriminelle den zentralen Dienst angreifen und wie man ihn absichert, muss wissen, wie das AD grundlegend funktioniert. (Seite 7) Angriffsszenarien Durch Fehler bei der Konfiguration, mangelnde Härtung oder zu großzügige Rechtevergabe im Active Directory entstehen Einfallstore für Angriffe. Cyberkriminellen kann es dann gelingen, das gesamte AD zu übernehmen, um ihre kriminellen Ziele zu verfolgen. Nur wer weiß, wie die Kriminellen vorgehen und wie die verbreiteten Angriffe funktionieren, kann sich davor schützen. (Seite 41) Azure AD / Entra ID Wenn Unternehmen Microsoft 365 oder andere Dienste aus der Azure-Cloud einsetzen, nutzen sie den Cloud-Identitätsdienst Azure AD – vielleicht ohne sich dessen überhaupt bewusst zu sein. Wie beim On-Premises Active Directory können auch hier mangelnde Härtung und Fehlkonfigurationen dazu führen, dass Angreifer einzelne Identitäten, Ressourcen oder gar das komplette Azure AD kompromittieren – und schlimmstenfalls darüber Zugriff auf das lokale AD erlangen. (Seite 162) Grundlagen 8 Ressourcenmanagement Komfortable IT-Schaltzentrale mit Schwachpunkten 16 Strukturüberblick Ein Verzeichnisdienst für alle(s) 24 Informationsbeschaffung Was jeder Domänenbenutzer alles sieht 32 Wissenspool Ausgewählte Quellen und Werkzeuge zur Sicherheit von Active Directory 36 Wörterverzeichnis Das Active-Directory-Glossar Angriffsszenarien 42 Passwörter und Hashes Wie Angreifer die Domäne kompromittieren 49 Berechtigungen Wie Angreifer sich im Active Directory Zugriff verschaffen 56 Rechtevergabe Wie Angreifer Tickets, Delegierung und Trusts missbrauchen 64 Inter-Forest und Persistenz Wie Angreifer sich über einen AD-Forest hinaus ausbreiten 72 Zertifikatsmissbrauch PetitPotam und weitere Wege, die Kontrolle über das Active Directory zu übernehmen Abwehrstrategien 84 Enterprise Access Model Active Directory mit dem Schichtenmodell schützen 90 Priviligierte Zugriffe besonders absichern 96 Priviligierte AD-Zugriffe managen 102 Gruppenrichtlinien und mehr Wie Administratoren ihr Active Directory absichern 108 Selbstaudits AD-Härtungsmaßnahmen jenseits von Group Policies 115 Incident Response und Forensik Angreifer durch Logs enttarnen 121 Deception Wie Angreifer in die Falle gelockt werden 129 Zugangsdaten Passwortsicherheit (nicht nur) im Active Directory 136 IT-Grundschutz Active Directory grundschutzkonform absichern 145 Marktübersicht Tools für die Absicherung von Microsofts Active Directory 154 IT-Forensik Angriffsspuren analysieren Azure AD 162 Grundlagen Das Azure Active Directory (Entra ID) und Azure-Dienste 168 Angriffsvektoren Angriffe auf das Azure Active Directory und auf Azure-Dienste 178 Schutzmaßnahmen Azure Active Directory und Azure-Dienste absichern 185 Zugriffsmanagement Azure Active Directory und Zero Trust 191 Forensik und Logging Angriffe auf Azure Active Directory entdecken und nachvollziehen 197 Threat Hunting Angriffe auf Microsoft 365 aufspüren Sonstiges 3 Editorial 181 Impressum 181 Inserentenverzeichnis iX-Workshops rund um das (A)AD iX veranstaltet in regelmäßigen Abständen Online-Workshops zu Active Directory und Entra ID (Azure AD). Sie richten sich an Administratorinnen und Administratoren, IT-Leiter, IT-Sicherheitsverantwortliche sowie an Security-Fachleute. In dem Workshop „Angriffsziel lokales Active Directory: effiziente Absicherung“ erfahren Sie an zwei Tagen, welche Techniken Angreifer einsetzen und welche Fehlkonfigurationen und Schwachstellen sie dabei ausnutzen. Sie lernen die wichtigsten Härtungsmaßnahmen und Werkzeuge sowie Maßnahmen zum Erkennen und Abwehren von Angriffen kennen. Der zweitägige Workshop „Angriffe auf und Absicherung von Entra ID (Azure Active Directory)“ zeigt, wie Angreifer Fehlkonfigurationen der Microsoft-Cloud sowie fehlende Härtungsmaßnahmen ausnutzen und man die AAD-Umgebung und Azure-Dienste effektiv absichert. Außerdem erfahren Sie, wie Sie Angriffe auf Ihre Entra-ID-Umgebung durch Logging und Monitoring erkennen können. Die beiden Sicherheitsschulungen halten je nach Termin Frank Ully, der viele Artikel zu diesem Sonderheft beigetragen hat, oder sein Kollege Tim Mittermeier. Beide beschäftigen sich schwerpunktmäßig mit Pentesting und offensiver Sicherheit. Alle Termine finden Sie über ix.de/zqvy.