IT-Sicherheit
Einführung in das Opensource-SIEM Wazuh
Inhalte Automatisierte Erkennung von Angriffsversuchen, Schwachstellenanalyse und sicheres Logging – all das kann Wazuh. Das Open-Source-System positioniert sich als SIEM (Security Information and Event Management) und XDR (eXtended Detection & Response) – und das kostenlos und on-premises gehostet. Unser Experte Dominik Sigl gibt den Teilnehmern in unserer zweistündigen Webinar-Aufzeichnung einen detaillierten Einblick in Wazuh. Er erläutert die offene Architektur des Opensource-SIEM und wie es sich ins Security-Ökosystem einfügt. Anhand von Demos und praktischen Beispielen zeigt der Dozent, wie die Komponenten von Wazuh zusammenspielen, um Angriffe zu erkennen – und zu vereiteln. Einer der größten Vorteile von Wazuh ist, dass Unternehmen es selbst hosten und vermeiden können, sensible Logdaten in eine Herstellercloud zu schicken. Unser Dozent geht darauf ein, mit welchem Zeitaufwand für Installation und Pflege Admins rechnen sollten und welche Alternativen zum Eigenbetrieb es gibt. Eine Praxisanleitung für den eigenen „Proof of Concept“, einer Wazuh-Installation im eigenen Netz auf Docker-Basis, rundet das Webinar ab. So haben Sie nach dem Webinar nicht nur einen fundierten Eindruck von Wazuh, sondern können direkt in die praktische Erprobung starten. Themenschwerpunkte Was sind SIEM, SOAR, EDR und Co. - und welche Rolle spielt Wazuh? Das kann Wazuh: Praktische Demo unter Linux und WindowsArchitektur, Aufbau und KonfigurationInstallation und Betrieb: Selbst gehostet oder managed?Next Step: Ihrer eigener Proof of Concept mit Wazuh und Docker Zielgruppe Dieses Webinar richtet sich an Firewall-Admins, Systemarchitekten, Sicherheitsverantwortliche, SecOps Engineers, Netzwerkadministratoren und SOC-Mitarbeiter.
Authentifizierung im Active Directory absichern: Mit Microsofts veralteten Konzepten (über)leben
Jetzt das Webinar "Authentifizierung im Active Directory absichern: Mit Microsofts veralteten Konzepten (über)leben" im heise shop als Aufzeichnung der Live-Veranstaltung ansehen. Sicherheitslücken in NTLM und Kerberos verstehen und schließen. Mit Frank Ully Überblick Das Active Directory (AD) bildet das Herzstück fast jeder Unternehmens-IT. Dessen Sicherheit fußt auf zwei überalterten und deshalb unsicheren Techniken: der Authentifizierung via Net-NTLM und Kerberos. Obwohl Microsoft das Ende von Net-NTLM (kurz NTLM) bereits angekündigt hat, bleibt das veraltete Protokoll im Alltag allgegenwärtig – und wird Administratoren wohl noch Jahrzehnte begleiten. Da es sich leicht angreifen lässt, spielt NTLM bei Sicherheitsvorfällen oft eine entscheidende Rolle. Doch auch Kerberos, das eigentlich als sicher gilt, ist von Schwachstellen geplagt. Im September 2025 schrieb sogar ein US-Senator einen Brandbrief an die dortige Wettbewerbsbehörde, um auf die Kerberoasting-Lücke in Microsofts Implementierung des Protokolls aufmerksam zu machen. Wegen des veralteten Verschlüsselungsverfahrens RC4 lassen sich schwache Passwörter damit in kürzester Zeit offline knacken. Administratoren müssen daher genau verstehen, wo die Schwachstellen beider Protokolle liegen, welche Risiken sie für das eigene Netzwerk bedeuten und wie sie die Gefahren minimieren. Dieses dreistündige heise-Security-Webinar erklärt ihnen nicht nur, warum Kerberos und NTLM weiterhin Probleme bereiten. Referent Frank Ully demonstriert praxisnah, wie Angreifer im AD nicht nur die Kommunikation kapern (Attacker-in-the-Middle, AitM), sondern gezielt Anmeldeversuche erzwingen (Coercion). Er zeigt die verheerenden Folgen von Relaying-Angriffen auf Dateiserver, Domänencontroller und Zertifikatsdienste. Anschließend erläutert Ully die bewährten Konzepte, um sich schrittweise aus der Gefahrenzone zu bringen. Dazu präsentiert er die notwendigen Gegenmaßnahmen und erklärt, warum deren Umsetzung in der Praxis oft hakt. Das mündet in ein Konzept, mit dem Sie Ihr eigenes Netz schrittweise absichern und verbleibende Restrisiken weitestmöglich einschränken. Ob erfahrener Sicherheitsexperte oder Administrator einer gewachsenen Domäne: Nach diesem Webinar verstehen Sie die Risiken der AD-Authentifizierung und wissen, wie Sie die Lücken effizient schließen. Zielgruppe Das Webinar richtet sich an Administratoren und Sicherheitsverantwortliche in Unternehmen und Behörden aller Größen, die ein Active Directory betreiben. Themen Funktionsweise und Schwächen der Versionen von Net-NTLM Warum das Protokoll immer noch im Einsatz ist – und wo die Gefahren lauern Funktionsweise und Schwächen von Kerberos Konkrete Angriffe: Attacker-in-the-Middle, Relaying, Coercion Gegenmaßnahmen mit Priorität: SMB-Signierung, LDAP-Kanalbindung und deren Tücken Maßnahmenliste zur systematischen Härtung des AD
Microsoft Cloud: Sicherheit systematisch testen und verbessern
Jetzt das Webinar "Microsoft Cloud: Sicherheit systematisch testen und verbessern" im heise shop als Aufzeichnung der Live-Veranstaltung ansehen. M365-Baseline-Auditing mit kostenlosen Tools selbst gemacht Mit Tim Mittermeier Inhalte Die Nutzung der Microsoft-Cloud birgt Sicherheitsrisiken – gerade die Standardeinstellungen eröffnen eine Reihe von gefährlichen Einfallstoren. Das gilt ganz besonders für den häufig anzutreffenden Hybridbetrieb zusammen mit einem klassischen Active Directory. Diese Komplexität eröffnet Angreifern neue, oft übersehene Angriffswege – von einfachen Konfigurationsfehlern in M365 bis zu versteckten Privilegien-Eskalationspfaden in Entra ID. Dieses Webinar stellt einen praxiserprobten Werkzeugkasten aus drei kostenlosen Audit-Tools vor, die jeder Admin kennen sollte. Mit ihnen kann er nämlich seine (hybride) Infrastruktur systematisch durchleuchten und härten: ScubaGear auditiert den M365-Mandanten und gleicht die Entra-ID-Konfiguration gegen die vernünftige Baseline der US-Cybersecurity-Behörde CISA ab. PurpleKnight jagt gezielt nach bekannten Schwachstellen und Indikatoren für eine Kompromittierung, nicht nur in Entra ID, sondern gräbt auch im lokalen Active Directory und deckt gefährliche Lücken in der Hybrid-Konfiguration auf. EntraFalcon kartiert komplexe und oft versteckte Privilegien-Eskalationspfade in Entra ID, die Angreifer zur Übernahme des Mandanten nutzen könnten. Der Referent Tim Mittermeier erläutert zunächst die Angriffsvektoren, die Kriminelle in der Praxis gerne nutzen, um sich in Cloud- und Hybrid-Strukturen einzunisten und ihre Rechte auszuweiten. Darauf aufbauend zeigt er praktisch, wie diese Tool-Triade diese Lücken in der Praxis aufdeckt. Administratoren und Sicherheitsverantwortliche erhalten eine klare Anleitung, um die Sicherheit ihrer hybriden Microsoft-Umgebung sofort zu verbessern. Themenschwerpunkte: Selbstauditierung und Härtung Secure Cloud Business Applications (SCuBA) Project und ScubaGear Active Directory Security Assessment mit PurpleKnight Entra ID Privilege Analysis mit EntraFalcon Microsoft Azure, Entra ID und M365 Absicherung von Hybrid-Cloud-Umgebungen Zielgruppe Dieses Webinar richtet sich an: Administratoren von Microsoft 365 Tenants und allgemein Sicherheitsverantwortliche in Unternehmen, die die Microsoft-Cloud nutzen.
Wissenschaftlich Schreiben mit KI-Unterstützung
Inhalte 1. Rechtliche und ethische Vorüberlegungen KI als Schreibhelfer – was sagt meine Uni? Juristische Fallstricke beim Schreiben mit KI – was ist erlaubt? Digitale Ethik – was ist redlich? 2. KI-Tools für Themenfindung, Recherche, Gliederung KI-Recherche im Web (Perplexity) Fragestellung entwickeln (Consensus) Sichtung von wissenschaftliche Papern (OpenKnowledgeMaps) Gliederung erstellen (JenniAI) Quellenstudium (ChatPDF) KI-Tools, die von der Idee bis zum fertigen Text helfen (GoThesis) 3. Schreiben mit KI-Turbo Keine Angst vorm weißen Blatt – KI liefert Inspiration KI hilft als Tutor, die Argumentation zu schärfen KI unterstützt beim korrekten Zitieren 4. FeinschliffKI als kritischer Gegenleser KI-Check:Rechtschreibung und formale Konsistenz Abschließende Prüfung auf inhaltliche Korrektheit Die genannten Anwendungen unter KI-Tools sind Beispiele, die im Webinar ggf. durch weitere ergänzt werden können. Ihr Nutzen Sie lernen Vorteile und Grenzen des KI-Einsatzes beim wissenschaftlichen Schreiben kennen und können juristische und ethische Fragestellungen bewerten. Sie bekommen einen Einblick in die Arbeit mit allgemeinen generativen Sprachmodellen wie GPT, Claude, Gemini und lernen geeignete Prompts für das wissenschaftliche Schreiben kennen. Eine Alternative sind auf wissenschaftliches Schreiben spezialisierte KI-Tools für Recherche, Gliederung, Schreiben und Nachbearbeiten. Im Webinar wird ausgewählte Software dieser Art vorgestellt. Sie können sicher beurteilen, ob und wie KI Sie bei Ihrer eigenen wissenschaftlichen Arbeit sinnvoll unterstützen kann, welche Programme dafür am besten geeignet sind und wo Sie sie finden. Zielgruppe Studierende und Hochschulangehörige Schüler und Lehrer der gymnasialen Oberstufe Voraussetzungen Erste Erfahrungen mit allgemeinen LLMs und KI-Schreibtools sind von Vorteil, aber keine Bedingung für die Teilnahme.
MCP verstehen: So arbeiten KI-Agenten für Sie
ÜberblickDas Webinar ist der Einstieg für alle, die bereits vom Model Context Protocol gehört haben und erfahren wollen, was hinter dem Hype steckt. Wir stellen vor, was es mit agentischer KI auf sich hat, wie man sie im Alltag einsetzt und welche neuen und altbekannten Sicherheitslücken MCP aufreißt.InhalteDas Model Context ProtocolWer steckt hinter der Idee, welche Produkte nutzen MCP bereits.Wie die Kommunikation per MCP technisch funktioniert.Das geht in der PraxisPraxisbeispiele: Wie MCP die Arbeit mit Computern verändert.Windows, Webseiten, Datenquellen: Was heute schon funktioniert und was uns erwartet.Was Entwickler wissen müssenSo entsteht eine Verbindung von KI zu Ihrer Software.Programmierbeispiele mit echten Datenquellen.Welche Sicherheitsprobleme lauernDas passiert, wenn die KI Kontrolle über Rechner und Daten bekommt.Alte Lücken, jetzt mit KI: So vermeiden Sie Fallen.Ihr NutzenNach dem Seminar wissen Sie, ob und wie agentische KI Ihren Alltag verändert und wie Sie KI-Agenten Routine-Aufgaben erledigen lassen.Sie lernen, eigene MCP-Server zu programmieren und Ihre Anwendungen an KI anzubinden.Sie vermeiden drohende Sicherheits- und Datenschutzprobleme und nutzen die Technik risikobewusst.ZielgruppeAnwender, die MCP verstehen und einordnen wollen.Entwickler, die MCP darüber hinaus für ihre Arbeit nutzen wollen.VoraussetzungenErfahrung im Umgang mit großen Sprachmodellen (z. B. ChatGPT oder Claude) ist hilfreich.
Sicher online bezahlen – Angriffe erkennen, zielführend reagieren und Verluste vermeiden
Das Webinar stellt praxisnah verschiedene gängige Angriffe auf Onlinebanking und digitale Zahlungsmittel wie Kreditkarten vor. Im Fokus stehen Methoden wie Phishing-Mails, Fake-Support-Anrufe und psychologische Tricks, mit denen die Täter die Betroffenen zu Fehlern verleiten (Social Engineering). Ergänzend betrachtet der Referent Betrugsszenarien in Onlinemarktplätzen und Kleinanzeigenportalen.Sie lernen, wie Sie Angriffe identifizieren, im Ernstfall schnell handeln und Schäden begrenzen. Außerdem erfahren Sie, wie Sie Ihr Sicherheitsniveau effektiv erhöhen und Betrugsversuche in Online-Shops und Kleinanzeigen frühzeitig erkennen und abwehren.Ihr NutzenNach diesem Webinar wissen Sie, wie Sie Onlineangriffe auf Ihr Geld frühzeitig erkennen und abwehren.Sie verstehen die Denkweise und Methoden der Täter.Im Ernstfall haben Sie einen Erste-Hilfe-Kasten parat, um schnell und rechtssicher handeln zu können.Sie erkennen mit hoher Zuverlässigkeit Shops und andere Internet-Angebote wie Kleinanzeigenportale und Marktplätze, die auf Betrug aus sind.Sie helfen sich und anderen, mit Vorfällen ohne falsche Scham konstruktiv umzugehen.ZielgruppeVerbraucher, die ihren Schutz im digitalen Zahlungsverkehr aktiv verbessern wollen.VoraussetzungenErfahrung mit Onlinebanking oder digitalen Zahlungsdiensten sowie sicherer Umgang mit Internet und Smartphone.
Die Necromancer-Challenge: Lerne zu hacken
Webinar "Die Necromancer-Challenge: Lerne zu hacken", im heise shop als Aufzeichnung der Live-Veranstaltung aus dem September 2025 ansehen.Stellen Sie sich vor, Sie reisen in eine digitale Gruft – bewaffnet nur mit Kali Linux und Ihrem Tatendrang. In dieser virtuellen Gruft lauert der Necromancer. Was klingt wie ein Spiel, ist intensives Hacking-Training: Sie entdecken neue Tools, testen Angriffsszenarien und nutzen Sicherheitslücken aus – isoliert und sicher in einem internen Netzwerk. Sind Sie bereit, den Necromancer in einem finalen Duell zu besiegen? Mit Wilhelm DrehlingDer Necromancer stammt aus den Hallen eines australischen CTF-Wettbewerbs 2016 und setzt nicht auf graue Serverlandschaften, sondern auf Spielspaß und clevere Kniffe. CTF steht für „Capture the Flag“: Sie jagen elf Flaggen, wie bei einer digitalen Schnitzeljagd, bevor Sie sich dem Necromancer stellen können. Dabei stoßen Sie immer wieder an Ihre Grenzen und müssen über den Tellerrand schauen.In unserem Webinar führen wir Sie live durch alle elf Level: Sie klopfen Server mit nmap ab, knacken Passwörter im Eiltempo mit Hydra und analysieren Netzwerkverkehr mit Wireshark. Ganz ohne Fachchinesisch und CVE-Tabellen (Common Vulnerabilities and Exposures – auf Deutsch: Bekannte Schwachstellen und Anfälligkeiten) – dafür mit vielen Aha-Momenten. Am Ende wissen Sie, wie man eine CTF-Box startet und selbstbewusst jeden Angriffsschritt plant.Wir empfehlen, dem Webinar entspannt zu folgen und erst im Anschluss selbst aktiv zu werden.Inhalte1. EinleitungWo bekomme ich Webserver mit CTF-Challenges her und wie installiere ich sie?Alles sicher dank VirtualBox und internem NetzwerkDie selbstgebastelte Hacking-Umgebung funktioniert auf Windows, macOS und LinuxLernen, systematisch vorzugehen und über den Tellerrand zu schauen2. Flaggen sammelnPortscanning mit nmapPasswörter knacken mit HydraNetzwerkanalyse mit WiresharkBinaries und ZIPs untersuchenHacking-Rätsel lösen3. Weitergehende EmpfehlungenLernplattformenKali-Alternativen im ÜberblickNützliche Tipps & TricksIhr NutzenSie verstehen typische Schritte im CTF-Umfeld und wissen, wie Sie weitere VMs zum Üben einsetzen.Sie erleben live, wie man Hacking-Aufgaben angeht und löst.Sie erkennen Angriffsstrategien und lernen, Sicherheitslücken zu identifizieren.Sie erhalten einen Überblick über relevante Hacking-Tools wie nmap, netcat, aircrack, Hydra, hashcat, Wireshark, binwalk und viele mehr.ZielgruppeMenschen mit Interesse an IT-SecurityAlle, die Hacking ausprobieren möchten – ganz gleich, ob mit oder ohne VorkenntnisseVoraussetzungenWer das erste Webinar bereits kennt, erlebt hier die Fortsetzung: Necromancer ist anspruchsvoller – und komplett anders. Statt eines typischen Webservers warten kreative Herausforderungen: mal überraschend einfach, mal richtig kniffligAuch ohne spezielle Kenntnisse liefert das Webinar unterhaltsame Einblicke in die Welt des Hackens. Der Referent gibt zu Beginn einen kurzen Abriss über wichtige Grundlagen, die den Einstieg erleichtern.
Hacken für Anfänger - Offline erste Gehversuche unternehmen
Hacken für AnfängerHacker üben mit ihren Fertigkeiten auf viele Menschen eine große Faszination aus. Sie überwinden Grenzen, die man normalerweise nicht überwinden kann und manchmal auch nicht sollte. Was in Filmen und Serien wie großes Voodoo wirkt, ist in Wirklichkeit vor allem eines: Wissen und Erfahrung gezielt eingesetzt.Es spricht einiges dafür, sich mit dem Thema Hacking auseinanderzusetzen. Wer nachvollziehen kann, was bei einem Angriff passiert, kann sich auch leichter davor schützen. Und vielleicht wird aus dem neuen Hobby irgendwann sogar der Start in eine neue Karriere? Dazu muss man nicht auf die dunkle Seite wechseln. Firmen zahlen gute Gehälter an eigens engagierte Penetration-Tester, damit die ihre Unternehmenssysteme testweise angreifen.Das bietet das SeminarIm Webinar erklärt c’t-Redakteur Wilhelm Drehling, wie Sie offline in einer sicheren Umgebung erste Hacking-Gehversuche unternehmen können. Dank der eigens aufgesetzten virtuellen Trainingsumgebung laufen Sie nicht Gefahr, versehentlich Blödsinn zu treiben oder gar etwas Verwundbares anzugreifen. Sie lernen, wie Sie eine solche Umgebung aufsetzen, das Angriffswerkzeug Kali Linux einrichten und den anzugreifenden Server bereitstellen.Der Referent ergänzt die theoretischen Aspekte durch Praxis und hackt live während des Webinars den Übungsserver Mr. Robot. Dabei erklärt er die Methoden und schlüsselt auf, welche Gedankenprozesse dahinterstecken. So lernen Sie ganz nebenbei, wie Hacker vorgehen, um zum Ziel zu gelangen.Die benötigten Tools laufen unter Windows, macOS und Linux. Der Referent zeigt den Hack beispielhaft auf einem Windows-11-System.Das Webinar richtet sich an security- und technikaffine Menschen, die noch keine Erfahrungen im Hacking haben, es jedoch gerne in einer sicheren Umgebung ausprobieren wollen. Obwohl Kali-Linux zum Einsatz kommt, benötigen die Teilnehmer keine Linux-Kenntnisse. Spaß am Ausprobieren und Neues entdecken stehen im Vordergrund.Sie wollen noch tiefer in die Welt des Hackings eintauchen? Dann sichern Sie sich einen Platz im Folge-Webinar: Die Necromancer-Challenge. Diese digitale Hacking-Schnitzeljagd kombiniert Spielspaß mit cleveren Rätseln. Bevor Sie dem Necromancer im finalen Duell gegenübertreten, müssen Sie elf Aufgaben meistern – mal logisch, mal überraschend tricky. Dabei stoßen Sie an Grenzen, entdecken neue Werkzeuge und lernen, über den Tellerrand hinauszudenken.Unser ReferentWilhelm Drehling ist c't-Redakteur und gehört dem Ressort Systeme & Sicherheit an. Dort schreibt er vorwiegend über IT-Sicherheit, Kryptografie und Hacking. Wenn es ihm die Zeit erlaubt, befasst er sich mit nerdigen Themen und erklärt wie man einen Sudoku-Generator programmiert, QR-Codes per Hand dechiffriert oder Lego-Anleitungen erstellt. Leicht verdaulicher Einstieg in die Welt des Hackens Verstehen, wie Hacker denken und vorgehen Komplett sicher in einer virtuellen Testumgebung selbst hacken Schritt-für-Schritt-Skript zum Nachstellen des Hacks Die wichtigsten Techniken praxisnah und unabhängig erklärt Umgebung lässt sich auf Windows, macOS und Linux einrichten
IT-Security für Nicht-Nerds
ÜberblickNicht jede und jeder will sich mit IT-Sicherheit beschäftigen – schon gar nicht andauernd. Oft will man nur, dass Browser, Messenger und noch zwei, drei andere Apps zuverlässig laufen. Das ist verständlich, aber ohne ein Mindestmaß an Sicherheitsvorkehrungen steht man ganz schön im Regen, wenn doch etwas passiert. Das ist gar nicht so unwahrscheinlich; früher oder später wird jeder PC, jedes Smartphone und jeder Account Ziel einer Attacke – auch die eigenen. Wer dann nicht Bescheid weiß oder unachtsam ist, kann sich und anderen eine Menge Ärger einhandeln. Es führt kein Weg dran vorbei: IT-Sicherheit ist wichtig und gewisse Grundlagen sollte jeder Nutzer und jede Nutzerin beherrschen. Das gilt auch für die, die mit IT nichts am Hut haben (wollen).Die eigene IT-Sicherheit zu verbessern ist aber gar nicht so schwer und lästig, wie es vielleicht klingt. Und seltsames IT-Kauderwelsch muss man auch nicht verstehen: Im Webinar "IT-Security für Nicht-Nerds" vermittelt Dir Technikjournalist Keywan Tonekaboni an zwei Nachmittagen (17. und 24. Juni 2025) allgemeinverständlich die Grundlagen der Sicherheit im Netz. Außerdem gibt er praktische Tipps rund um Datensicherheit und -schutz im digitalen Raum, die Du im Alltag umsetzen kannst. Teilnehmende können Fragen stellen und Keywan Tonekaboni übersetzt den Security-Sprech in verständliches Deutsch.InhalteAllgemeines zur Sicherheit PCs Smartphones WLAN-Router Sicher im Netz unterwegs Phishing-Mails erkennen Web-Browser absichern Downloads aus vertrauenswürdigen Quellen Backups Grundregeln Sicherheit vor Verschlüsselungstrojanern Besserer Zugangsschutz Passwort-Manager Passkeys statt Passwörter Zwei-Faktor-Authentifizierung Virtual Private Networks Was ist das überhaupt? Wann ist VPN sinnvoll? Wovor schützen VPN nicht Dein Nutzen Du lernst, Fake-Mails besser zu erkennen. Du weißt, wie Du Deine Daten sichern kannst. Du erfährst, wie Du Deine Messenger-Dienste so sicher wie möglich nutzen kannst. Du verstehst, wie sichere Passwörter funktionieren oder wie du mit Passkeys ganz auf nervige Passwörter verzichten kannst. Zielgruppe Der Orientierungskurs richtet sich insbesondere an Personen, die sich bislang noch nicht mit der eigenen IT-Sicherheit auseinandergesetzt haben oder sich eine Auffrischung ihres Grundlagenwissens wünschen.
Microsoft Entra Dangerous Defaults
Webinar "Microsoft Entra Dangerous Defaults", im heise shop als Aufzeichnung der Live-Veranstaltung ansehen. Entra ID: Dangerous Defaults kennen, verstehen und verbessern Microsofts Cloud-Angebote in Betrieb zu nehmen ist einfach – es sicher zu betreiben erfordert jedoch Handarbeit und Wissen. So kommt die zentrale Identitäts- und Zugriffsverwaltung Entra ID gerade im Bereich Security mit einer Reihe von gefährlichen oder zumindest verbesserungswürdigen Voreinstellungen. Mit Heinrich Wiederkehr und Lennart Brauns ÜberblickEin typisches Beispiel für Microsofts laxe Voreinstellungen ist der “Application Consent”, der standardmäßig besagt, dass jeder Benutzer neue Applikationen registrieren kann und damit unter Umständen Dritten auf Unternehmensdaten gewährt. Das sollte jeder Admin wissen und in der Regel auch von “User consent” auf “Admin consent” umstellen. Das Webinar ist jedoch mehr als eine Zusammenstellung von Einstellungen, die man unbedingt ändern sollte. Die Referenten erklären die Hintergründe der einzelnen Konfigurationsmöglichkeiten und vermitteln, welche Risiken in der Standardkonfiguration entstehen können. Zusätzlich geben sie Empfehlungen, welche Konfigurationen den Idealzustand darstellen, wo man von diesen eventuell dennoch abweichen möchte und welche Abstufungsmöglichkeiten es dabei gibt. Dieses heise security Webinar richtet sich an Administratoren und Sicherheitsverantwortliche, die den Einstieg in die Microsoft-Cloud bereits vollzogen haben oder gerade dabei sind und sich um eine solide Umsetzung der Security-Policy ihres Unternehmens kümmern. Wer im Unternehmen Teams oder M365 einsetzt, der sollte diese Dinge kennen und umsetzen können. Das Webinar vermittelt das dazu nötige Verständnis um die Zusammenhänge und gibt Vorschläge für konkrete Verbesserungen. Schwerpunkte - Standardbenutzer, Sicherheitsgruppen, Gast-Zugänge- Geräte (Entra Join) und Geräte-Compliance - Applikationen (App Registration, Consent) - Azure Management Groups, Tenants - Conditional Access Zielgruppe Dieses Webinar richtet sich an: Administratoren und Sicherheitsverantwortliche, die den Einstieg in die Microsoft-Cloud bereits vollzogen haben oder gerade dabei sind und sich um eine solide Umsetzung der Security-Policy ihres Unternehmens kümmern. Wer im Unternehmen Teams oder M365 einsetzt, der sollte diese Dinge kennen und umsetzen können. Das Webinar vermittelt das dazu nötige Verständnis um die Zusammenhänge und gibt Vorschläge für konkrete Verbesserungen.
Praktische Security in Windows-Netzen: Tiering und PAWs
Webinar "Praktische Security in Windows-Netzen: Tiering und PAWs", im heise shop als Aufzeichnung der Live-Veranstaltung aus dem März 2025.Das Ebenenmodell und speziell gesicherte Admin-Arbeitsplätze sind nach wie vor die wichtigsten Bausteine jedes Sicherheitskonzepts für Windows-Netze. Sie sind auch eigentlich gut dokumentiert. Doch wer das Tiering konkret umsetzen und Privileged Access Workstations (PAWs) im Alltag einsetzen will, stößt sehr schnell auf Fragen und scheinbar unüberwindbare Probleme. Wie viele Ebenen müssen es denn wirklich sein? Wie kommt der Admin im Homeoffice an seine PAWs? Was mach ich mit meiner Cloud-IT? Diese und viele weitere Fragen beantwortet unser Webinar zu “Praktische Security in Windows-Netzen”.Unser Webinar zeigt nicht nur, dass jede Organisation, die Active Directory nutzt, ein Ebenenmodell umsetzen sollte – egal wie groß sie ist. Es liefert praktische und auf jedes Unternehmen anwendbare Leitlinien zur Aufteilung dieser Ebenen, zum Aufbau der notwendigen PAWs und deren Administration. Es hilft Ihnen auch bei der Argumentation, warum das Clean-Source-Prinzip, das PAWs erfordert, mindestens so wichtig ist wie das bekannte Least Privilege.Das Webinar richtet sich an alle Betreiber eines Active Directories und dabei besonders die Sicherheitsverantwortlichen und Systemverwalter. Es erfordert lediglich grundlegende Kenntnisse der AD-Administration; wer seine AD-Sicherheit schon lange auf eine solide Basis stellen, sich dabei aber nicht in Ideologiefragen verlieren will, ist hier genau richtig.Übrigens bleiben Tiering und PAWs auch wichtige Security-Bausteine, wenn man bereits Teile seiner IT in die Cloud ausgelagert hat; das Webinar ist deshalb auch für den oft anzufindenden Hybrid-Betrieb von On-Prem- und Cloud-IT relevant.Schwerpunkte:AD-Security-Grundlagen und das elementare Clean-Source-Prinzippraxisnahe Einführung in das Tiering-Modell und verschiedene VariantenPAWs in Theorie und Praxis, für reine On-Prem-Umgebungen und bei Cloud-NutzungTiering versus Enterprise-Access-ModellWeiterführende Quellen für den schnellen Einstieg
Wie sag ich’s meinem Chef? Erfolgreiche Gesprächsstrategien für Sicherheitsverantwortliche (Webinar-Aufzeichnung)
Webinar "Wie sag ich’s meinem Chef? Erfolgreiche Gesprächsstrategien für Sicherheitsverantwortliche", im heise shop als Aufzeichnung der Live-Veranstaltung aus Februar 2025.Die Kommunikation zwischen CISO und Geschäftsführung scheitert oft schon an der Themenwahl; die eher technisch orientierten Fachleute finden keine gemeinsame Gesprächsebene mit den Entscheidungsträgern. Hinzu kommen ungeschickt vorgebrachte Argumente und fehlendes Geschick bei der Gesprächsführung. Unsere sowohl in der Security als auch der C-Level-Kommunikation erfahrenen Referenten zeigen deshalb auf, welche Themen die Geschäftsleitung überhaupt bewegen und schlagen dann die Brücke zur Informationssicherheit. Zudem diskutieren sie, welchen Stellenwert Compliance und Co in diesem Zusammenhang haben und ob sie tatsächlich das Mittel zu einer größeren Akzeptanz der Informationssicherheit sind. Das ergänzen sie mit bewährten Techniken zur Vorbereitung und Führung eines Pitch-Gesprächs.Zielgruppe Das Webinar richtet sich an Sicherheits- und auch Datenschutzverantwortliche in Firmen, Organisationen und Behörden. Es handelt sich hierbei weder um eines der typisch technischen heise-security-Webinare noch um eine der verbreiteten Management-Schulungen. Ziel der Veranstaltung ist es es, Ihnen die notwendigen Strategien und Techniken für erfolgreiche Kommunikation zu Security-Themen zu vermitteln. ThemenschwerpunkteWas interessiert die Chefs?Informationssicherheit jenseits von TechnikVon der Compliance zum realen NutzenTechniken der zielgerichteten GesprächsführungWerkzeuge zur Visualisierung von Mehrwerten
Microsofts-Cloud-Security: Lücken und Fehler mit SCUBA selbst finden und beheben (heise Security Webinar:-Aufzeichnung)
heise Security Webinar: Microsofts-Cloud-Security: Lücken und Fehler mit SCUBA selbst finden und beheben (Webinar-Aufzeichnung aus Dezember 2024)ScubaGear ist ein kostenloses Security-Tool der US-Sicherheitsbehörde CISA, mit dem man seine eigene Microsoft-Cloud-Instanz selbst auditieren kann. Es deckt verbreitete Konfigurationsfehler, Policy-Verstöße und andere Sicherheitsprobleme systematisch auf.Das Webinar erklärt das Konzept und die Funktionsweise des Tools; es zeigt, wie man es selbst nutzen kann und sollte, um die Sicherheit seines M365-Tenants zu verbessern. Dazu gehört auch, wie man das US-amerikanische Tool in einem deutschen beziehungsweise europäischen Kontext sinnvoll einsetzt. Der Referent Tim Mittermeier erläutert dazu verschiedene Angriffsprimitive und -verfahren, die Angreifer nutzen, um sich Zugriff auf Cloud-Infrastrukturen zu verschaffen und Privilegien zu erhöhen. Darauf aufbauend erklärt er mit praktischen Beispielen, wie man solche Schwachstellen in Microsoft Entra ID und M365 mit ScubaGear – und anderen, vergleichbaren Werkzeuge – gezielt aufspüren kann.Abschließend gibt er Tipps zur Härtung der Entra-Mandanten und M365-SaaS-Applikationen. Administratoren und Sicherheitsverantwortliche erhalten damit direkt umsetzbare Hilfestellung bei der sicheren Konfiguration ihres M365-Tenants.Themenschwerpunkte Secure Cloud Business Applications (SCuBA) Project und ScubaGearMicrosoft Azure, Entra ID und M365Angriffe auf und Absicherung von Cloud-UmgebungenSelbstauditierung und Härtung
KI im Unternehmen technisch und rechtlich sicher einsetzen (Webinar-Aufzeichnung)
KI im Unternehmen technisch und rechtlich sicher einsetzen – Externe und lokale Lösungen (Webinar Aufzeichnung aus Dezember 2024)Dieses Webinar ist ein Spezialangebot des Fachdienstes heise KI PRO. Der Fachdienst hat es sich zum Ziel gesetzt, im unübersichtlichen und dynamischen Bereich generativer Ki Unternehmen Orientierung und Handlungsempfehlungen zu geben. In diesem Webinar klären wir, welche KI-Modelle für welchen Zweck geeignet sind, wann extern gehostete KI-Modelle sinnvoll sind und wann ich eher lokale Lösungen in Betracht ziehen sollte. Wir stellen die verschiedenen Betriebsvarianten vor, von den großen KI-Modellen von OpenAI und Anthropic über in Europa gehostete Modelle bis hin zu lokaler KI auf dem eigenen Rechner oder Server. Wir beschäftigen uns mit den Vor- und Nachteilen dieser Lösungen inklusive der Kosten und zeigen rechtliche Rahmenbedingungen auf, sowohl was Inhalte, also das Urheberrecht, als auch Datenschutz angeht. Außerdem werden wir einfache lokale KI-Modelle im abgeschirmten lokalen Modus auf einem PC demonstrieren und auch Themen wie RAG und Fine Tuning ansprechen. Am Ende des Webinars können Teilnehmende eine fundierte Entscheidung treffen, ob Sie einfach und mit vorhanden Cloud-Modellen ins KI-Zeitalter starten, oder ob eine umfangreiche lokale Installation notwendig ist. Die Themen im ÜberblickKI-Modelle und AnwendungsfälleKI im Unternehmen: Zahlen aus der Praxis zur Effizienz mit Text-KIExkurs: KI und UrheberrechtExtern gehostete KI-Modelle: Überblick, Vor- und Nachteile, KostenExtern, aber selbst gehostete KI-Modelle: Überblick, Vor- und Nachteile, KostenLokal gehostete KI-Modelle: Überblick, Vor- und Nachteile, KostenAdd-on: RAG – Recherche mit KI in eigenen Daten & ChatbotsAdd-on: NPU – Was können NPUs in neuen KI-PCs?Welche Betriebsvariante ist für mich geeignet?Datenschutz, Vertraulichkeit und KI-Policy: Was sollte ich rechtlich beachten?Zielgruppe Dieses Webinar richtet sich vor allem an Entscheider und Innovatoren im Unternehmen, die Orientierung dazu benötigen, welche KI-Modelle sie auf welche Weise in die Unternehmensprozesse einbinden können. Generell richten sich die Webinare des Fachdienstes heise KI PRO an alle, die KI im Unternehmen produktiv und jenseits von Experimenten einsetzen wollen, praxisnahe Orientierung benötigen und einen aktuellen, klaren und ehrlichen Blick auf die (Un-)Möglichkeiten generativer KI bekommen wollen. VoraussetzungenFür die Teilnahme an diesem Webinar sind keine besonderen Vorkenntnisse erforderlich.
heise security XXL-Webinar: Security & IoT im Unternehmenseinsatz - wie kann das gehen? (Webinar-Aufzeichnung)
heise security XXL-Webinar: "Security & IoT im Unternehmenseinsatz - wie kann das gehen? ", im heise shop als Aufzeichnung der Live-Veranstaltung aus Oktober 2024.Egal ob Multifunktionsdrucker, Überwachungskameras oder WLAN-Access-Point – Geräte mit Internet-Anbindung sind aus dem Unternehmenseinsatz kaum wegzudenken. Neben dem unbestreitbaren Nutzen stellen sie jedoch ein oftmals unterschätztes Risiko für die “herkömmliche” IT der Unternehmen dar. Diese Gefahren besser zu verstehen, sie in konkreten Fällen reell einzuschätzen und sie schließlich auch vernünftig zu adressieren – dabei hilft dieses Webinar, das sich speziell an Sicherheitsverantwortliche und Admins richtet. Dazu stellen die Referenten im ersten Teil dieses dreistündigen XXL-Webinars die typischen Schwachstellen von IoT-Geräten vor. Was gar nicht so trivial ist, denn IoT-Geräte zeichnen sich durch eine breite Palette physikalischer Schnittstellen, Protokolle und Softwareanwendungen aus. Darüber hinaus sind sie oft in größere (Cloud-)Ökosysteme eingebunden und kommen an den unterschiedlichsten Standorten zum Einsatz. Dann geht es darum, wie man die Gefahren, die von einem konkreten Gerät möglicherweise ausgehen, sinnvoll evaluieren kann – möglichst auch ohne professioneller Pen-Tester zu sein. Sprich: Wie kann man sich auch ohne detaillierte Untersuchung, einen ersten Eindruck der Sicherheit eines solchen Gerätes verschaffen? Und das alles mündet schlussendlich in Konzepte und Vorgehensweisen, die die zentrale Frage dieses Webinars beantworten: Wie lassen sich potenziell unsichere Geräte überhaupt verantwortungsvoll betreiben? Die beiden Referenten Dennis Heinze und Frieder Steinmetz schöpfen dabei aus Ihrem Fundus langjähriger Erfahrung im Bereich Pen-Testing und IoT-Hacking, die sie in diesem kompakten Webinar anschaulich und praxisrelevant aufbereiten. Damit können Sie dann Grundrisiken bei der Integration von IoT Geräten erkennen, in Kaufentscheidungen einbeziehen und auf architektureller Ebene adressieren. Das bringt das Webinar:Grundverständnis IoT-Risiken und Schwachstellen im Unternehmensumfeld – sowohl technisch als auch organisatorisch Einbeziehung von Risiken in Kaufentscheidungen Checkliste zum Erkennen von Risiken bei der IoT-Integration Architektonische Ansätze zur Risikobewältigung Konzepte für verantwortungsbewussten Betrieb unsicherer GeräteZielgruppeAdmins und allgemein Sicherheitsverantwortliche in Unternehmen
NTLM: Microsofts Erbsünde und wie Admins damit sinnvoll umgehen (heise security Webinar-Aufzeichnung)
Webinar "NTLM: Microsofts Erbsünde und wie Admins damit sinnvoll umgehen", im heise shop als Aufzeichnung der Live-Veranstaltung aus Oktober 2024.Active Directory (AD) ist das Herzstück der meisten Unternehmensnetzwerke und bei dessen Authentifizierung spielt neben Kerberos das Protokoll Net-NTLNM immer noch eine Hauptrolle. Doch das 30 Jahre alte Protokoll ist anfällig für viele Angriffe und deshalb bei konkreten Sicherheitsvorfällen oftmals ein entscheidender Faktor. Auch wenn Microsoft bereits das Ende von Net-NTLM (kurz NTLM) angekündigt hat, wird das auch auf Jahre hinaus noch so bleiben. Deshalb müssen Admins verstehen, wo es (immer noch) zum Einsatz kommt, was das für ihre Security bedeutet und wie sie die daraus resultierenden Gefahren möglichst gering halten. Dieses zweistündige heise security Webinar erklärt die konzeptionellen Schwächen von NTLM, warum diese auch weiterhin ein Problem darstellen, wie Angreifer das konkret ausnutzen und stellt schließlich Konzepte vor, sich schrittweise von diesen Problemen zu befreien. Sie erfahren dabei, wie das Authentifizierungsprotokoll Net-NTLM unter der Haube funktioniert. Anhand von praktischen Demonstrationen und Fallbeispielen zeigt der Referent Frank Ully dann, auf welche Arten sich Angreifer im AD nicht nur in die Kommunikation einschleusen (AitM), sondern gezielt Anmeldeversuche von Benutzern und Systemen erzwingen (Coercion) – und welche verheerenden Auswirkungen Relaying gegen unterschiedliche Ziele wie Dateiserver, Domänencontroller und Zertifikatsserver hat. Anschließend präsentiert er die notwendigen Gegenmaßnahmen und erklärt auch, warum diese in der Praxis oft gar nicht so einfach umzusetzen sind. Das mündet in ein Konzept, das eigene Netz schrittweise abzusichern und dabei die trotzdem vorhandenen Restrisiken weitest möglich einzuschränken. Ob Sie ein erfahrener Sicherheitsexperte sind oder als Administrator eine gewachsene Domäne geerbt haben: Nach dem Webinar werden Sie ein nuanciertes Verständnis der aktuellen Risiken von AD-Authentifizierungsprotokollen haben und wissen, wie Sie deren Lücken effizient stopfen.
ChatGPT, Midjourney & Co. in der Praxis (Webinar-Aufzeichnung)
Webinar "ChatGPT, Midjourney & Co. in der Praxis", im heise Shop als Aufzeichnung der Live-Veranstaltung aus April 2024.Die c't-Redakteure Jo Bager und Hartmut Gieselmann geben mit vielen praktischen Beispielen eine ausführliche Einführung in die Funktionsweise von ChatGPT und anderen Text-KIs sowie in ihre Fähigkeiten und Grenzen: Wie bindet man sie als Copiloten in die tägliche Arbeit ein? Wie trainieren Unternehmen eine individuelle Sprachanwendung mit eigenen Texten?Die Redakteure geben Tipps, wie Lehrkräfte die Sprachmodelle in den Unterricht einbauen und quelloffene Alternativen zu ChatGPT lokal auf dem Rechner laufen lassen können. Sie stellen außerdem KI-Tools vor, die Texte verbessern und bei der wissenschaftlichen Recherche helfen. Aber es soll nicht nur um Sprachbots gehen, sondern auch um Bildgeneratoren und andere generative KI-Dienste. Joerg Heidrich, Justiziar von Heise Medien, zeigt, welch beeindruckenden Bilder sich mit Midjourney erzeugen lassen. Er erklärt, welche Probleme mit dem Einsatz generativer KI verbunden sind, etwa beim Urheberrecht oder beim Datenschutz. Firmen müssen sich auf den Einsatz von KI vorbereiten und Richtlinien für den Umgang mit KI und ihre Mitarbeiter festlegen. Last but not least wird KI auch Veränderungen auf dem Arbeitsmarkt bewirken. Heidrich zeigt, welche Berufsfelder schon jetzt besonders betroffen sind.Die April-Edition des c't-Webinars zu "ChatGPT, Midjourney & Co. in der Praxis" geht natürlich auf die neuesten Entwicklungen beim Thema ein – etwa ChatGPT-GPTs, Google Gemini, der Windows CoPilot und Deep Fakes. Frühere Termine gaben den damaligen Stand wieder.
KI für den Unternehmenseinsatz (c't Webinaraufzeichnung)
KI für den Unternehmenseinsatz, im heise shop als Aufzeichnung der Live-Veranstaltung aus März 2024.Viele Unternehmen überlegen, ob und wie sie KI nutzen können, um Prozesse effizienter zu gestalten. Dabei stellt sich schnell heraus, dass man die KI mit vertraulichen Daten füttern muss, um maximal vom Potential der mächtigen Helfer zu profitieren. Doch egal, ob das sensible interne Firmendaten oder per DSGVO besonders geschützte, personenbezogene Daten sind – auf gar keinen Fall möchte man, dass diese in die falschen Hände geraten. Deshalb müssen sich die Verantwortlichen vorab Gedanken über einen sicheren Umgang machen. KI ist nicht gleich KIEntscheidend für die Vertrauenswürdigkeit ist die konkrete Umsetzung der genutzten KI-Dienste. Da unterscheidet sich zunächst ein selbst betriebenes Open-Source-Modell von einer Black-Box-KI in der Cloud. Aber natürlich stellt sich auch die Frage nach dem jeweils zu betreibenden Aufwand, den damit verbundenen Kosten und ob das zu den tatsächlich zu erwartenden Verbesserungen bei Sicherheit und Vertraulichkeit noch in einem vernünftigen Verhältnis steht. Hier liefert dieses Webinar entscheidenden Mehrwert für alle, die jetzt den Einsatz von KI planen. Die Referenten stellen dazu verschiedene Konzepte vor, KI im Unternehmen zu nutzen und vergleichen diese in Hinblick auf Technik, Kosten und Datenschutz. Diesen Überblick reichern sie an mit Bezugsquellen und Praxis-Tipps für die eigene Umsetzung.Im Webinar stellen die Referenten drei Konzepte vor: Extern gehostete Modelle (Software as a Service) wie ChatGPT Teilweise selbst betriebene KI: ChatGPT mit Azure OpenAI oder eigenes (Open Source) LLM wie LLama auf angemieteten Cloud-Computern (HuggingFace, AWS & Co) Komplett intern gehostete KI: Eigener Server mit GPUs im eigenen Keller oder Rechenzentrum + eigenes LLM Neben der technischen Umsetzung, dem Aufwand und den Kosten werden auch die jeweiligen Implikationen der verschiedenen Konzepte für Datenschutz und Vertraulichkeit vorgestellt und diskutiert. Außerdem gibt es Beispiele für konkrete Einsatzszenarien und reale Demos. Dabei gibt Aaron Kaplan auch seine Erfahrungen beim Anpassen der Modelle an spezielle Aufgaben weiter. Zur Abrundung stellt Joerg Heidrich noch einen Vorschlag für eine KI-Policy im Unternehmen vor. Zielgruppe: Alle Verantwortlichen und Ansprechpartner für den Einsatz von KI im Unternehmen, CTOs, Datenschutzverantwortliche, IT-Architekten
Microsofts Cloud und Entra ID + Active Directory (Webinar-Bundle)
Das Komplettpaket - heise Security Webinar-Bundle mit 24% Rabatt!Die Beschreibungen der einzelnen Webinare:1. Microsofts Cloud und Entra ID - Reale Angriffe verstehen und verhindern (heise Security Webinar-Aufzeichnung aus Februar 2024)Dreh- und Angelpunkt der Microsoft-Cloud-Nutzung etwa für Microsoft 365 ist die Benutzerverwaltung via Entra ID, die alle Informationen über Benutzer bündelt, deren Rechte verwaltet und die auch für die Authentifizierung zuständig ist. Besonders durch die Verlagerung der Authentifizierung in die Cloud, ergeben sich neue Angriffsszenarien, zu deren Vermeidung die Verifikation einer einfachen Kombination aus Benutzername und Passwort nicht mehr ausreicht. Im Webinar wird in technischer Tiefe erklärt, wie die Authentifizierung gegenüber Entra ID abläuft, wie Single Sign-On-Funktionalität umgesetzt ist und welche neuen Bedrohungen sich daraus ergeben. Dies wird im Webinar durch anschauliche Demos begleitet. Darauf aufbauend präsentieren die Referenten Konzepte, sich vor diesen Gefahren zu schützen und geben Hilfestellung bei deren Umsetzung: Zentrale, technische Maßnahmen, die für eine sichere Authentifizierung über Entra ID notwendig sind, werden erläutert und priorisiert. Der Fokus liegt dabei auf Conditional Access und Multi-Factor Authentication. Teilnehmer erhalten eine To-Do-Liste für den praktischen Einstieg in ihr eigenes Projekt zur "Absicherung von Entra ID" Zielgruppe: Technisch Verantwortliche für den sicheren Betrieb von Entra und Entra ID (Azure AD) und hybriden Umgebungen mit Entra ID (Azure AD), Cloud-Architekten mit dem Fokus auf Azure im Allgemeinen und Entra im Speziellen und IT-Sicherheitsverantwortliche auch in kleinen und mittelständischen Unternehmen.2. Active Directory - Reale Angriffe verstehen und effektiv verhindern (heise Security Webinar Aufzeichnung aus Dezember 2022)Was war, was ist und was kommt auf uns zu?Berichte zu Sicherheitsvorfällen zeigen, dass das Active Directory immer eine zentrale Rolle spielt und es den Angreifern oft fahrlässig einfach macht, die komplette IT zu übernehmen. Das Active Directory ist das Rückgrat der Unternehmens-IT und enthält kritische Daten für deren Betrieb, oft auch im Zusammenspiel mit Azure AD. Es ist zwar ruckzuck eingerichtet, doch der sichere Betrieb stellt viele vor große Herausforderungen. Dieses praxisrelevante Webinar gibt euch die Mittel an die Hand, euer eigenes AD angemessen abzusichern.Die Themenschwerpunkte:1. Konzepte, Funktionsweise und Probleme des ADDas Zusammenwirken von NTLM, Kerberos und Single-Sign-On in Verbindung mit der über ein Jahrzehnt von Microsoft verbreiteten Vorstellung vom einfachen Einsatz sind die Ingredienzen zum Verständnis, weshalb AD-Umgebungen so oft erfolgreich angegriffen werden. Im Webinar werden die technische Funktionsweise des AD sowie vermeidbare und unvermeidbare Schwachstellen in Design und Betrieb erklärt.2. So wird das AD real angegriffen – mit DemosErfolgreiche Angriffe auf das AD lassen sich in zwei zentrale Schritte aufteilen: Zunächst müssen Angreifer "einen Fuß in die Tür" bekommen. Dies geschieht typischerweise durch die Kompromittierung eines Mitgliedssystems, das vom Standardbenutzer für die alltägliche Arbeit genutzt wird. Im zweiten Schritt versuchen Angreifer, ihre Berechtigungen lokal und im AD sukzessive bis hin zu Domain-Admin-Berechtigungen auszuweiten. Im Webinar werden Demos für die relevanten Schritte vorgeführt.3. Härtung des AD – Konzepte, wie man sein AD sicherer & resilienter machtAlle zentralen Maßnahmen technischer wie organisatorischer Natur, die für den Betrieb einer sicheren AD-Umgebung notwendig sind, werden erläutert und priorisiert. Quick-Wins für den Basis- sowie für den fortgeschrittenen Level werden vorgestellt und eine To-do-Liste für den Einstieg wird bereitgestellt. Quick Wins Priorisierung der Maßnahmen (Aufwand vs. Effekt) Check- und To-do-List für den Einstieg Zielgruppe: technisch Verantwortliche für den sicheren IT-Betrieb in Unternehmen und Organisationen. Das Webinar richtet sich insbesondere auch an die IT-Verantwortlichen in kleinen und mittelständischen Unternehmen, die Active Directory einsetzen.
ChatGPT, Midjourney & Co. – Rechtliche Aspekte beim Einsatz von KI-Generatoren im beruflichen Umfeld (Webinar-Aufzeichnung)
Webinar "ChatGPT, Midjourney & Co. – Rechtliche Aspekte beim Einsatz von KI-Generatoren im beruflichen Umfeld", im heise Shop als Aufzeichnung der Live-Veranstaltung aus Dezember 2023.Texte, Code oder Bilder: KI-Generatoren kommen zunehmend mehr im beruflichen Alltag an. Doch mit der professionellen Nutzung steigt zugleich der Wunsch nach Rechtssicherheit bei der Anwendung der neuen Technologie. Das gilt insbesondere für den Bereich Urheberrecht: Darf ich KI-generierte Inhalte übernehmen und was muss ich dabei beachten? Müssen diese Inhalte gekennzeichnet werden? Und wer ist eigentlich der Autor? Und gibt es eine Möglichkeit, die eigenen Inhalte vor der Indexierung für KI zu schützen? Auch datenschutzrechtliche Fragen sind zu erklären: Welche Daten darf ich eingeben? Hat die Entscheidung der italienischen Behörden zu ChatGPT Einfluss auf mich? Auch die Frage nach einer Haftung für Ergebnisse der KI ist zu klären.In dem kompakten zweistündigen Webinar erklären die Heise-Justiziare Joerg Heidrich und Dr. Michael Koch praxisnah die bestehende Rechtslage und ihre Auswirkungen auf den beruflichen Alltag. Zielgruppe: Das Webinar richtet sich an Nutzer der neuen Technologien in Unternehmen, juristische Berater und Selbstständige aus allen Bereichen.
Security mit System auch für KMUs (Webinar-Aufzeichnung)
Webinar "Security mit System - auch für KMUS", im heise Shop als Aufzeichnung der Live-Veranstaltung aus November 2023.IT-Sicherheit wird auch für KMUs immer wichtiger. Von Ransomware bis Datenlecks gibt es alle möglichen Bedrohungen, die gefährliche finanzielle Folgen haben können. Gleichzeitig gibt es einen unendlich großen Katalog an technischen Lösungen, an Maßnahmen und Weiterbildungen - da fällt es schwer, einen Überblick zu erlangen.Das Webinar hilft IT- oder Sicherheitsverantwortlichen in kleinen und mittleren Unternehmen, ihre IT-Sicherheit systematisch zu verbessern. Dazu gehört, sich zunächst einen Überblick zu verschaffen und dann mit einer praktischen Checkliste die nächsten Schritte zu planen. Wir orientieren uns dabei am Industriestandard ISO27001, picken uns aber ganz pragmatisch die "Security-Rosinen" heraus.Zielgruppe: Technisch/organisatorisch Verantwortliche für den sicheren IT-Betrieb in Unternehmen und Organisationen, IT-Verantwortliche in kleinen und mittelständischen Unternehmen
Security Best Practices mit CryptoKit
Das Verschlüsseln und Entschlüsseln von Daten ist heutzutage wichtiger denn je – nicht nur vor dem Hintergrund der Datenschutzgrundverordnung DSGVO. Hohe Ansprüche an den Umgang mit vertraulichen Daten stellen auch das Geschäftsgeheimnisgesetz (GeschGehG) für Unternehmen sowie die wachsende Zahl an Apps, die medizinische Daten verarbeiten und speichern, welche naturgemäß ebenfalls einem sehr hohem Schutzbedarf unterliegen.Obwohl Apple 2014 Swift auf den Markt gebracht hat, waren iOS-Entwickler lange Zeit aufgeschmissen, denn mit der alten, C-basierten Kryptographie-Bibliothek CommonCrypto gab es nur ein extrem sperriges, fehlerträchtiges und kaum verwendbares Mittel, um Daten zu ver- und entschlüsseln. Mit dem 2020 erschienenen CryptoKit stellt Apple ein modernes und mächtiges Framework für kryptographische Operationen auf allen Apple-Plattformen zur Verfügung. Mit symmetrischer Kryptographie, asymmetrischer Kryptographie und Hashing enthält es alle Operationen, die man in der täglichen Anwendung braucht.Besonders schwierig wird angewandte Kryptographie immer dort, wo sie Systemgrenzen überschreitet. Lernen Sie in diesem 120-minütigen Webinar, wie Sie Kryptographie für iOS mit CryptoKit implementieren können und wie sich kryptographische Operationen systemübergreifend nutzen lassen. Anhand der Beispielimplementierung eines Challenge-Reponse-Verfahrens führt Sie das Webinar durch alle relevanten Funktionen von CryptoKit. Vom Erzeugen eines Signaturschlüssels in der Secure Enclave auf dem Device bis hin zum Ver- und Entschlüsseln und dem Austausch von Daten mit einem Backend-Server zeigt das Webinar die Implementierung von Problemen der täglichen Arbeit.
Welche neuen Datenschutzfunktionen bietet Apple?
Viele Anwender nutzen ein iPhone und/oder iPad sowohl beruflich als auch privat. Diese Geräte werden dann häufig von Systemadminstratoren betreut. Welche Daten über den Anwender dabei eine verwendete App, das Unternehmen oder gar Apple erhebt oder erheben kann, ist oft nicht bekannt. Die korrekte Anwendung der Datenschutzfunktionen ist vielen nicht geläufig und gelingt auch nicht immer problemlos. Dabei legt Apple seit Jahren großen Wert auf Datenschutz und baut diesen stetig weiter aus. Das Live-Webinar von Mac & i erläutert nicht nur die Möglichkeiten für den Schutz der Daten, sondern auch ihre Funktionsweise sowie ihren Nutzen und die Risiken. Der Referent Mark Zimmermann führt Sie durch Themen wie Differential Privacy, App-Datenschutzbericht, erklärt die Bedeutung von Begriffen wie „Hide my E-Mail“ oder „iCloud-Private-Relay“ und spricht über die Herausforderungen, die sich daraus sowohl für Unternehmen als auch für Privatpersonen ergeben können. Das 120-minütige Live-Webinar liefert ausführliche Informationen aus den Perspektiven der Anwender und Unternehmen im Umgang mit den Datenschutzfunktionen von iOS-Geräten. Sie erfahren nicht nur, welche Funktionen existieren und mit iOS 16 neu dazu gekommen sind, sondern können auch einen Blick hinter die Kulissen werfen. Live-Demos runden das Webinar ab. Außerdem beantwortet der Referent Fragen der Teilnehmenden.Die Themenschwerpunkte Was bietet Apple bis heute im Hinblick auf Datenschutz?Welche Daten hat Apple von mir?Tieferer Einblick in die Funktionalitäten des Datenschutzes (z. B. iCloud Private Relay, App Dashboard, …)Was ändert sich mit iOS 16 (Netzwerkerkennung, Geräteerkennung …)Zielgruppe System- und NetzwerkadministratorenIT-Verantwortliche in Unternehmen und DatenschützerIhre Experten Inge SchwabeMark Zimmermann
Zero Trust - Vom Buzzword zum praktischen Einsatz
Verstehen, prüfen und erst dann umsetzen Administratoren, IT- und Sicherheitsverantwortliche wurden in letzter Zeit regelrecht mit Zero-Trust-Versprechen bombardiert; kaum ein Hersteller, der seine Security-Produkte nicht mit diesem Buzzword verkaufen will. Doch Zero Trust ist nicht nur Marketing – es beschreibt eine solide Sicherheitsarchtektur, die darauf beruht, dass man vor dem Vertrauen grundsätzlich immer prüft, ob dieses auch gerechtfertigt ist. Und es gibt jetzt auch endlich Produkte, die das tatsächlich umsetzen und euch bei der Realisierung von Zero-Trust-Ideen helfen können. Doch um davon zu profitieren, muss man zuerst die Konzepte von Zero Trust verstehen. Das Zero-Trust-Webinar erklärt diese grundsätzlichen Zero-Trust-Konzepte, welche Rolle konkrete Maßnahmen wie Mikrosegmentierung, Conditional Access, TLS-Verschlüsselung und darin einnehmen und welche relevanten Produktkategorien sich daraus ergeben. Im Anschluss geht es darum, wie ihr das auf eure vorhandene IT-Infrastruktur anwenden und den für euch richtigen Einstieg in die Zero-Trust-Welt finden könnt.Die Themen im Überblick: Dieses Webinar erklärt, was es mit Zero Trust auf sich hat (und was nicht)stellt verschiedene Konzepte und Produktkategorien vorhilft bei der Bewertung des Nutzens für Ihre IT-Infrastukturunterstützt bei der Planung erster eigener Schritte in diese RichtungReferent: Stefan Strobel