Daten und Geld6 Datenlöschdienste im Internet12 Der Markt der Datenbroker16 Dynamic Pricing24 Online-BezahldiensteSchutz vor Werbung36 Neue Spielregeln für Werbung42 12 Werbeblocker im Vergleich52 Starthilfe für Pi-hole und AdGuard Home58 Netzwerk für DNS-Filter konfigurieren66 Pi-hole oder AdGuard Home auf dem NAS70 AdGuard Home und Pi-holeSchutz vor Überwachung74 FAST-Spione im Smart TV78 Zahlen, Daten, Fakten: Werbung82 Smart TVs datensparsam betreiben90 Überwachung am Arbeitsplatz98 Überwachung am Arbeitsplatz: Spioniert mein Chef?100 Überwachung am Arbeitsplatz: Die Rechte der Arbeitnehmer106 Überwachung am Arbeitsplatz: Gegenwehr112 Statistisch heikle MassenüberwachungDie Rechtslage120 EU-Regeln für DSGVO-Bußgelder122 Anspruch auf Auskunft126 Unerwünschte E-Mail als Schaden128 Chatbots und der Datenschutz132 Rechtsfragen zu generativer KIZum Heft3 Editorial125 Impressum138 Vorschau: c’t Netzwerk-Leitfaden

Fritzbox- und Router-Tuning 6 Fritzbox- und Router-Tuning 8 Fritzbox 7690: DSL, Wi-Fi 7 und Zigbee 12 Zubehör für Fritzboxen 20 Durchsatzmessungen für Internetstrecken 28 Fritzbox: Durchsatz optimieren 34 Zweites Leben für Sophos-Firewalls 40 Heimnetzgrenzen überwinden mit OpenWrt WLAN-Beschleunigung 48 Wie Wi-Fi 7 das WLAN beschleunigt 50 Wi-Fi 7: Funktion und Auswahlkriterien 60 Wi-Fi-7: Basisstationen unter 200 Euro 66 Wi-Fi 7: Netgear Mesh-Kit Orbi RBE973S Netzwerke bauen 70 Wie man das LAN auf Trab bringt 74 Schlaue Multigigabit-Switches 80 Admin-Know-how: Ethernet-Switches 88 Switches für schnelles Ethernet 94 Multigigabit-Ethernet für Synology-NAS 101 LAN-Traber 102 Freifunk: Communities, Router, Meshing NAS-Geräte optimieren 110 NAS geschickt aufrüsten und erweitern 116 Festplatten für Netzwerkspeicher 120 NAS-Arbeitsspeicher aufrüsten 124 Synology-NAS: Daten und VMs sichern 130 FAQ Netzwerkspeicher 134 Kaufberatung: Hardware für Heimserver 142 FAQ Heimserver 148 Flexibler Barebone-PC mit Ryzen-7-CPU 152 Zwei Ugreen-Netzwerkspeicher im Test 160 Vier x86-NAS im Vergleich Zum Heft 3 Editorial 159 Impressum 170 Vorschau: c’t Photovoltaik

IT-Mythen entzaubert6 IT-Mythen im c’t-Check10 Mythen zu Windows und Linux14 Sicherheitsmythen beleuchtet18 Hardware-Mythen von Drucker bis WLANSo funktioniert KI24 Transformer: Sprach-KI mit Aufmerksamkeit32 Erklärbare KI verrät ihre Denkkonzepte38 Manipulierte Bilder sabotieren KIs44 KI erkennt EmotionenSpannendes aus der Forschung50 Das Auto lernt, auf Signale zu hören56 Künstliche Nase erkennt Gasmoleküle62 Hirnströme steuern Tastatur & Prothese68 Die Technik des James-Webb-Teleskops76 Daten des JWST interaktiv auswertenNerdwissen erklärt84 God’s Number für den Zauberwürfel92 Mal eben schnell was ausrechnen100 QR-Codes per Hand dekodieren108 Rap-Songs mit KI-Hilfe produzierenHistorische Verschlüsselungen knacken114 Nachrichten aus dem Vatikan dechiffriert120 Maximilian-Chiffren entschlüsselt126 Vigenère-Chiffre in Python programmiert132 Kasiski-Test knackt Vigenère-ChiffreZum Heft3 Editorial91 Impressum138 Vorschau: c’t Windows-Projekte

Aktuelle BedrohungslageIn den letzten Jahren ist die Anzahl und Schwere der Cyberangriffe stetig gestiegen. Vor allem von Ransomware sind nicht nur große Unternehmen, sondern auch zunehmend KMU, Forschungseinrichtungen oder Kommunen betroffen. Das Augenmerk potenzieller Opfer sollte deshalb nicht mehr nur auf Schutzmaßnahmen liegen, sondern sich auch auf die Vorbereitung und die Reaktion auf den Ernstfall richten.Angriffe und DetektionWer seine IT schützen und seine Organisation vor Angriffen bewahren will, muss wissen, welche Angriffsarten es gibt und welche Techniken und Taktiken die Kriminellen dafür einsetzen. Essenziell ist außerdem, Cyberangriffe so schnell wie möglich zu erkennen, damit Experten und Sicherheitssysteme die Notbremse ziehen und den Schaden noch eingrenzen können.Incident ResponseWurde eine Organisation erfolgreich angegriffen, bricht über alle Betroffenen eine Katastrophe herein. Wichtig ist jetzt, handlungsfähig zu bleiben – zu wissen, was als Erstes zu tun und was unbedingt zu lassen ist. Unentbehrlich ist auch ein kompetenter Dienstleister, der durch die schlimme Zeit begleitet. Behördliche Anlaufstellen, die es in allen Bundesländern gibt, sind weitere gute Adressen und können unterstützen.Technische ReaktionNach einem Sicherheitsvorfall gilt es, Ausmaß und Ursache des Schadens zu bestimmen. Eine vollständige Datenanalyse kostet aber oft zu viel Zeit – die Priorisierung mithilfe einer Triage ist daher das Mittel der Wahl. Informationen aus dem MITRE-ATT&CK-Framework helfen dabei, schnell auf forensische Artefakte zu stoßen. Werkzeuge wie Velociraptor durchsuchen Systeme effizient nach Angriffsspuren.Organisatorische ReaktionWird ein Unternehmen erfolgreich angegriffen, ist die Wahrscheinlichkeit hoch, dass Daten nicht nur verschlüsselt, sondern auch abgezogen werden und in falsche Hände gelangen. Jetzt ist zum einen eine gute und transparente Kommunikation nötig, zum anderen sind rechtliche Anforderungen zu erfüllen – von Meldepflichten nach DSGVO über Datenschutzaspekte bei technischen Untersuchungen bis hin zur Frage der Rechtmäßigkeit von Lösegeldzahlungen.Wiederherstellung und NachbereitungDie Wiederherstellung und das Neuaufsetzen von Systemen sind wesentlich, um den Geschäftsbetrieb nach einem Angriff zu gewährleisten. Es braucht Klarheit im Business Continuity Management, Unternehmen sollten die nötigen Prozesse daher bereits im Vorfeld üben. Eine gute Vorbereitung kann zum Beispiel das Active Directory retten und spart wertvolle Ausfallzeit. Nach einem Angriff gilt es, aus der Krise zu lernen, um resilienter gegen kommende Angriffe zu werden.VorbereitungIncident-Response-Dienstleister und Sicherheitsexperten weisen unermüdlich darauf hin, dass Vorbereitung das A und O für einen glimpflichen Verlauf eines Cyberangriffs ist. Wer gut gerüstet ist, kann schneller, mit weniger Aufwand und vor allem weniger Kosten den Weg zurück in die Normalität des Geschäftsalltags finden. Es gibt vieles, das man vorbeugend umsetzen kann: vom Notfallplan über regelmäßig durchgeführte Krisenübungen bis hin zu einem verschlüsselungsresistenten Backup.Aktuelle Bedrohungslage8 EinführungAngriffe und Detektion16 Angriffsarten22 AngriffserkennungIncident ResponseBeispielfälle32 Erstreaktion38 IR-Dienstleister43 Kommunale IT46 Ransomwareattacke50 Angriff auf Landau Media: „Das war die größte Krise unseres Unternehmens“52 Business-Impact-Analyse als Erfolgsfaktor53 Behördliche Ermittlungen56 IR-Standards62 AnlaufstellenTechnische Reaktion66 Triage74 Velociraptor großflächig einsetzen80 Cloud-Forensik86 macOS-SicherheitOrganisatorische Reaktion92 Krisenkommunikation96 Datenverlust101 Recht106 KrisenmanagementWiederherstellung und Nachbereitung112 Active Directory119 Vorfall aufarbeiten123 Belastung durch CyberkrisenVorbereitung128 Vorbeugende Maßnahmen134 Notfallplanung138 Notfallübungen144 „Train as you fight“ in Cyberkrisenübungen147 Datensicherung154 Notfallumgebung158 CyberversicherungenRubriken3 Editorial143 Impressum

Grundlagen Microsofts Active Directory ist der am meisten genutzte Verzeichnisdienst weltweit – kein Wunder, lassen sich damit die Ressourcen eines Unternehmens äußerst komfortabel verwalten. Das macht das AD aber auch zu einem beliebten Angriffsziel. Wer verstehen will, wie Cyberkriminelle den zentralen Dienst angreifen und wie man ihn absichert, muss wissen, wie das AD grundlegend funktioniert. (Seite 7) Angriffsszenarien Durch Fehler bei der Konfiguration, mangelnde Härtung oder zu großzügige Rechtevergabe im Active Directory entstehen Einfallstore für Angriffe. Cyberkriminellen kann es dann gelingen, das gesamte AD zu übernehmen, um ihre kriminellen Ziele zu verfolgen. Nur wer weiß, wie die Kriminellen vorgehen und wie die verbreiteten Angriffe funktionieren, kann sich davor schützen. (Seite 41) Azure AD / Entra ID Wenn Unternehmen Microsoft 365 oder andere Dienste aus der Azure-Cloud einsetzen, nutzen sie den Cloud-Identitätsdienst Azure AD – vielleicht ohne sich dessen überhaupt bewusst zu sein. Wie beim On-Premises Active Directory können auch hier mangelnde Härtung und Fehlkonfigurationen dazu führen, dass Angreifer einzelne Identitäten, Ressourcen oder gar das komplette Azure AD kompromittieren – und schlimmstenfalls darüber Zugriff auf das lokale AD erlangen. (Seite 162) Grundlagen 8 Ressourcenmanagement Komfortable IT-Schaltzentrale mit Schwachpunkten 16 Strukturüberblick Ein Verzeichnisdienst für alle(s) 24 Informationsbeschaffung Was jeder Domänenbenutzer alles sieht 32 Wissenspool Ausgewählte Quellen und Werkzeuge zur Sicherheit von Active Directory 36 Wörterverzeichnis Das Active-Directory-Glossar Angriffsszenarien 42 Passwörter und Hashes Wie Angreifer die Domäne kompromittieren 49 Berechtigungen Wie Angreifer sich im Active Directory Zugriff verschaffen 56 Rechtevergabe Wie Angreifer Tickets, Delegierung und Trusts missbrauchen 64 Inter-Forest und Persistenz Wie Angreifer sich über einen AD-Forest hinaus ausbreiten 72 Zertifikatsmissbrauch PetitPotam und weitere Wege, die Kontrolle über das Active Directory zu übernehmen Abwehrstrategien 84 Enterprise Access Model Active Directory mit dem Schichtenmodell schützen 90 Priviligierte Zugriffe besonders absichern 96 Priviligierte AD-Zugriffe managen 102 Gruppenrichtlinien und mehr Wie Administratoren ihr Active Directory absichern 108 Selbstaudits AD-Härtungsmaßnahmen jenseits von Group Policies 115 Incident Response und Forensik Angreifer durch Logs enttarnen 121 Deception Wie Angreifer in die Falle gelockt werden 129 Zugangsdaten Passwortsicherheit (nicht nur) im Active Directory 136 IT-Grundschutz Active Directory grundschutzkonform absichern 145 Marktübersicht Tools für die Absicherung von Microsofts Active Directory 154 IT-Forensik Angriffsspuren analysieren Azure AD 162 Grundlagen Das Azure Active Directory (Entra ID) und Azure-Dienste 168 Angriffsvektoren Angriffe auf das Azure Active Directory und auf Azure-Dienste 178 Schutzmaßnahmen Azure Active Directory und Azure-Dienste absichern 185 Zugriffsmanagement Azure Active Directory und Zero Trust 191 Forensik und Logging Angriffe auf Azure Active Directory entdecken und nachvollziehen 197 Threat Hunting Angriffe auf Microsoft 365 aufspüren Sonstiges 3 Editorial 181 Impressum 181 Inserentenverzeichnis iX-Workshops rund um das (A)AD iX veranstaltet in regelmäßigen Abständen Online-Workshops zu Active Directory und Entra ID (Azure AD). Sie richten sich an Administratorinnen und Administratoren, IT-Leiter, IT-Sicherheitsverantwortliche sowie an Security-Fachleute. In dem Workshop „Angriffsziel lokales Active Directory: effiziente Absicherung“ erfahren Sie an zwei Tagen, welche Techniken Angreifer einsetzen und welche Fehlkonfigurationen und Schwachstellen sie dabei ausnutzen. Sie lernen die wichtigsten Härtungsmaßnahmen und Werkzeuge sowie Maßnahmen zum Erkennen und Abwehren von Angriffen kennen. Der zweitägige Workshop „Angriffe auf und Absicherung von Entra ID (Azure Active Directory)“ zeigt, wie Angreifer Fehlkonfigurationen der Microsoft-Cloud sowie fehlende Härtungsmaßnahmen ausnutzen und man die AAD-Umgebung und Azure-Dienste effektiv absichert. Außerdem erfahren Sie, wie Sie Angriffe auf Ihre Entra-ID-Umgebung durch Logging und Monitoring erkennen können. Die beiden Sicherheitsschulungen halten je nach Termin Frank Ully, der viele Artikel zu diesem Sonderheft beigetragen hat, oder sein Kollege Tim Mittermeier. Beide beschäftigen sich schwerpunktmäßig mit Pentesting und offensiver Sicherheit. Alle Termine finden Sie über ix.de/zqvy.