+43 (1) 812 32 30-0 office@purple-tec.at
Was macht Microsoft mit deinen Daten?

Was macht Microsoft mit deinen Daten?

von | Okt. 2, 2025 | Allgemein, Branchen-Info, Cloud, Datenschutz, Internet, Rechtliches, Sicherheit

Microsoft-Cloud: Datenhoheit bleibt ein ungelöstes Problem

Die Versprechen von Microsoft klingen überzeugend: Daten sollen in der Region gespeichert werden, die Kunden selbst wählen können. So soll Vertrauen geschaffen werden, dass sensible Informationen nicht unkontrolliert über den Globus wandern. Doch aktuelle Enthüllungen zeigen erneut: Die Realität sieht anders aus.

Globale Zugriffe trotz regionaler Speicherung

Das Thema ist wegen einem Fall aus Schottland aufgegriffen worden. Dort kam ans Licht, dass Polizeidaten, die eigentlich nur im Vereinigten Königreich verarbeitet werden sollten, aus über 100 Ländern weltweit abrufbar waren.

Selbst wenn Daten technisch in einer bestimmten Region gespeichert sind, heißt das nicht automatisch, dass der Zugriff auch regional begrenzt ist. Microsoft gab frei heraus, dass keine vollständige Garantie für die Datenhoheit gegeben werde können. Dasselbe sagte Microsoft auch schon den französischen Senat.

Verteilte Verantwortung, intransparente Risiken

Die Enthüllungen werfen ein Schlaglicht auf ein strukturelles Problem der Hyperscaler-Clouds: Der Betrieb stützt sich auf eine Vielzahl von Subunternehmern, Service-Providern und global verteilten Teams. Laut Analyse des Sicherheitsexperten Owen Sayers haben Microsoft-Mitarbeiter:innen und Subunternehmer in 105 Staaten Zugriff auf Daten – verteilt auf 148 Firmen.

Rechtliche Risiken für Behörden

Für die betroffenen Polizeieinheiten sind die Konsequenzen erheblich: Wenn sich nicht ausschließen lässt, dass personenbezogene Daten außerhalb des Vereinigten Königreichs verarbeitet wurden, drohen rechtliche Probleme. Schon die begründete Befürchtung, dass Daten unrechtmäßig ins Ausland geflossen sind, reicht nach aktueller Rechtsprechung aus, um Schadenersatzforderungen geltend zu machen.

Microsoft verweist zwar darauf, alle geltenden Gesetze einzuhalten, geht auf die konkreten Vorwürfe jedoch nicht ein. Police Scotland betont, man arbeite eng mit Aufsichtsbehörden zusammen. Dennoch warnen Beobachter wie der frühere britische Regierungs-CISO Bill McCluggage: Solange Microsoft Daten global verteilt, bleibt unklar, wer im Ernstfall Zugriff auf welche Informationen hat.

Bedeutung über Schottland hinaus

Der Fall betrifft nicht nur die schottische Polizei. Auch andere Behörden in Großbritannien, die Microsoft-Dienste einsetzen, müssen sich nun fragen lassen, ob sie die Kontrolle über ihre Daten wirklich behalten. Gleiches gilt für die EU: Die Enthüllungen verdeutlichen einmal mehr, dass Public-Cloud-Infrastrukturen globaler Anbieter nicht dafür ausgelegt sind, sensible Daten mit voller Rechtssicherheit zu schützen.

Private Chats mit ChatGPT unabsichtlich veröffentlicht

Private Chats mit ChatGPT unabsichtlich veröffentlicht

von | Aug. 11, 2025 | Allgemein, Branchen-Info, Datenschutz, Sicherheit, Tipp

OpenAI hatte ein Experiment gestartet: Nutzer konnten über einen Share-Button in ChatGPT eine einzigartige öffentliche URL zu ihrer Konversation erstellen. Dabei gab es zusätzlich die Option „Make this chat discoverable by search engines“, also die Chats für Suchmaschinen wie z.B. Google indexierbar zu machen.

Standardmäßig wären die Links nur über die URL zugänglich gewesen, aber durch das Aktivieren dieses Kästchens wurden die Seiten von Suchmaschinen erfasst und konnten so in den Suchergebnissen auftauchen. Diese Option wurde offenbar nur selten prominent beworben und wurde von vielen Nutzern übersehen. Diese eine Checkbox hat gereicht, um private Konversationen öffentlich zu machen.

 

Somit wurden fast 4.500 Chat-Links wurden über Google auffindbar – viele enthielten sensible oder persönlich identifizierbare Informationen (Themen wie mentale Gesundheit, Beziehungen, Berufliches etc.).

OpenAI zog die Funktion daraufhin zurück: Der „discoverable“-Schalter wurde entfernt und das Unternehmen arbeitet daran, die bereits indexierten Chats aus Suchmaschinen-Ergebnissen zu entfernen. Doch aufgrund von Cache-Versionen können sie vorübergehend noch sichtbar bleiben. Sicherheitschef Dane Stuckey bezeichnete die Funktion als „short-lived experiment“, da sie zu viele Risiken für unbeabsichtigte Datenfreigabe birgt.

 

Ob auch du deine Chats öffentlich gemacht hast, kannst du kontrollieren, in dem du auf deinen User in der Ecke links unten drückst -> Einstellungen -> Datenkontrollen -> Weitergegebene Links.

Dieser Vorfall zeigt, wie einfach und schnell sensible Daten veröffentlicht werden können, wenn man nicht ganz genau liest und versteht, wo man da gerade zustimmt. Deswegen ist immer viel Vorsicht geboten, wenn es um private Daten geht.

Dein Team von Purple-Tec

Zero-Day in Microsoft SharePoint: CVE-2025-53770 bedroht Unternehmensdaten weltweit!

Zero-Day in Microsoft SharePoint: CVE-2025-53770 bedroht Unternehmensdaten weltweit!

von | Juli 22, 2025 | Allgemein, Branchen-Info, Cyber-Kriminalität, Datenklau, Datenschutz, IT Sicherheit, Ransomware, Sicherheit

Vor Kurzem wurde eine kritische 0-Day-Schwachstelle (CVE-2025-53770) bekannt, die es Angreifern erlaubt, unauthentifiziert beliebigen Code auf SharePoint-Servern auszuführen. Die Lücke betrifft On-Premises-Instanzen (2016, 2019, SE) und wird bereits aktiv ausgenutzt.

Mehr als 75 Organisationen – darunter Behörden, Energieversorger und Bildungseinrichtungen – sind betroffen.

Wer steckt hinter den Angriffen?

Hinter den Angriffen werden staatlich unterstützte Akteure aus China vermutet – namentlich Gruppen wie Linen Typhoon und Violet Typhoon. Diese Hackergruppen sind bekannt für wirtschaftlich und politisch motivierte Spionage und haben bereits Organisationen in über 15 Ländern kompromittiert, darunter Universitäten, Energiekonzerne und öffentliche Einrichtungen.

Microsoft hat am 19. Juli Patches veröffentlicht, aber laut Sicherheitsforschern nutzen viele Unternehmen die verwundbaren Versionen weiterhin produktiv – teilweise aus Unkenntnis, teilweise wegen fehlender Update-Prozesse.

Was können Unternehmen jetzt tun?

 1. Patchen. Sofort.

Installiere die von Microsoft bereitgestellten Sicherheitsupdates für SharePoint 2016, 2019 und Subscription Edition.

 2. Log-Analyse durchführen

Suche in Logs nach ungewöhnlichem Traffic.

 3. Zero-Trust-Ansatz forcieren

Wenn die SharePoint-Instanzen auch aus dem Homeoffice erreichbar sind: überdenke Netzwerkzugänge, nutze zum Beispiel VPN.

 4. Awareness 

Informiere die Geschäftsführung, Datenschutzverantwortlichen und alle notwendigen Personen – vor allem, wenn du eine Kompromittierung nicht ausschließen kannst.

Cyberangriffe passieren nicht mehr hin und wieder, sie passieren tagtäglich und überall. Achte auf deine IT-Infrastruktur, hinterfrage deine Sicherheitsrichtlinien und lass deine Mitarbeiter schulen. Falls wir dich unterstützen können, melde dich gerne bei uns.

Dein Team von Purple-Tec

Angreifer können mithilfe einer Windows Sicherheitslücke System-Rechte bekommen!

Angreifer können mithilfe einer Windows Sicherheitslücke System-Rechte bekommen!

von | Dez. 11, 2024 | Allgemein, Branchen-Info, Datenklau, Datenschutz, Internet, Sicherheit, Tipp

Angreifer können mithilfe einer Windows Sicherheitslücke System-Rechte bekommen!

Microsoft hat wieder wichtige Sicherheitsupdates über Schwachstellen im Dezember veröffentlicht. Besonders alarmierend: Eine Schwachstelle wird bereits aktiv von Angreifern ausgenutzt.

Die Sicherheitslücke mit der Bezeichnung CVE-2024-49138 (Risikostufe: hoch) wird bereits von Angreifern aktiv ausgenutzt. Betroffene Systeme sind:

  • Windows 10
  • Windows 11
  • Windows Server (einschließlich älterer Versionen bis 2008).

Durch diese Lücke bekommen Angreifer System-Rechte auf dem Gerät, welche sie mit anderen Schwachstellen kombinieren können, um den Schaden zu maximieren. Microsoft hat keine Details zu den Angriffsmethoden veröffentlicht, aber du solltest die neusten Updates und Sicherheitspatches sofort installieren und anwenden.

Was du jetzt tun solltest

Updates einspielen: Sorge dafür, dass die neuesten Patches auf allen betroffenen Systemen installiert sind.

Systeme überwachen: Mit Monitoring-Tools, kann verdächtige Aktivitäten rechtzeitig erkannt werden.

 

Halte deine Systeme immer auf den neusten Stand und bleib sicher!

Euer Team von Purple-Tec

Fehler im Bitdefender Total Security HTTPS-Scanner führt zu Sicherheitslücke!

Fehler im Bitdefender Total Security HTTPS-Scanner führt zu Sicherheitslücke!

von | Okt. 23, 2024 | Allgemein, Antiviren-Software, Bitdefender, Branchen-Info, Cyber-Kriminalität, Datenklau, Datenschutz, IT Sicherheit, Sicherheit, Tipp

Hier war das Problem in der HTTPS-Scanfunktion. Durch den Fehler konnte die Zertifikatsüberprüfung umgangen werden. Das bedeutet, dass Angreifer theoretisch in den Datenverkehr zwischen einem Nutzer und einer Website einsteigen und sensible Informationen mitlesen konnten. Diese Art von Angriff nennt man „Man-in-the-Middle“. Die Schwachstellen, die hier aufgetaucht sind, haben die Entwickler als „hoch“ eingestuft, also durchaus ernst zu nehmen.

Besonders problematisch ist, dass Angreifer durch das Erzeugen gefälschter Zertifikate (mittels sogenannter Hashkollisionen) das System austricksen konnten, damit diese gefälschten Zertifikate als echt anerkannt wurden. Dadurch erhielten sie Zugriff auf Daten, die eigentlich sicher sein sollten. Insgesamt wurden fünf Lücken in Bitdefender Total Security entdeckt, die schon durch das Update (Version 27.0.25.11) behoben sind.

Es gibt allerdings noch einige Unklarheiten: Zum Beispiel, welche Betriebssysteme konkret betroffen waren oder ob es bereits Angriffe gegeben hat. Auch gibt es noch keine Info, wie Admins herausfinden können, ob ihre Systeme schon attackiert wurden. Trotzdem sollte asap überprüft werden, ob die Software automatisch auf die Version 27.0.25.11. aktualisiert wurde, um den Sicherheitsstandard zu gewährleisten.

 

Falls du Hilfe beim Aktualisieren der Software brauchst, stehen wir dir gerne zur Verfügung! smile

Dein Team von Purple-Tec

Sicherheitslücken in Solaranlagen-Management-Plattformen und wie du dich schützen kannst!

Sicherheitslücken in Solaranlagen-Management-Plattformen und wie du dich schützen kannst!

von | Aug. 20, 2024 | Allgemein, Bitdefender, Branchen-Info, Cyber-Kriminalität, Datenklau, Datenschutz, IT Sicherheit, Sicherheit, Software, Tipp

 

Bitdefender hat Schwachstellen in den Management-Plattformen von Solaranlagen wie Solarman und Deye entdeckt, die es Angreifern ermöglicht hat, private Daten daraus auszulesen und je nach Kontotyp die Anlage sogar auszuschalten.

 

Die gefährdeten Daten waren unter anderem: Namen, E-Mail-Adressen, Telefonnummern, WLAN-Konfigurationen und Geräte-IDs. Jedoch gibt es keine Anzeichen, dass diese Sicherheitslücke auch ausgenutzt wurde!

Mit einem gut koordinierten Angriff hätten die Hacker weitreichende Stromausfälle auslösen können! Glücklicherweise haben die Hersteller schnell auf die Meldung von Bitdefender reagiert und die Sicherheitslücken geschlossen.

Aber es könnte sein, dass ähnliche Risiken bei anderen Herstellern, die die Solarman-Plattform benutzen, auftauchen können, wenn diese ihre Software nicht aktualisieren.

 

Was kannst du machen?:

  • Halte die App der Solaranlage immer auf dem neuesten Stand und installiere alle verfügbaren Firmware-Updates.
  • Verwende immer sichere Passwörter und speichere sie nie im Browser.
  • Gib in Online-Portalen nur die absolut notwendigen Informationen an.
  • Achte bei der Auswahl einer Solaranlage auf bekannte Hersteller, die schnell auf Sicherheitsmeldungen reagieren und Sicherheitslücken zeitnah ausbessern.

Es ist wichtig, die Sicherheitstipps gleich umzusetzen, um zu gewährleisten, dass die Hacker es so schwer wie möglich haben, um dein System zu hacken.

Merk dir: Der Hacker muss nur einmal Glück haben, um deine Daten zu stehlen!

 

Wenn du dir nicht sicher bist, wie es um deine IT-Sicherheit steht, kannst du dich gerne bei uns melden! :)

Dein Team von Purple-Tec

 

    Security Awareness Workshop am 26.11.2025

    Fülle bitte das Kontaktformular aus und wir setzen uns gerne mit dir in Verbindung:

    Ich bin kein Roboter. Gib den Text ein:

    captcha

      Security Awareness Workshop am 21.01.2026

      Fülle bitte das Kontaktformular aus und wir setzen uns gerne mit dir in Verbindung:

      Ich bin kein Roboter. Gib den Text ein:

      captcha

        Security Awareness Workshop am 19.02.2026

        Fülle bitte das Kontaktformular aus und wir setzen uns gerne mit dir in Verbindung:

        Ich bin kein Roboter. Gib den Text ein:

        captcha

          Security Awareness Workshop am 19.02.2026

          Fülle bitte das Kontaktformular aus und wir setzen uns gerne mit dir in Verbindung:

          Ich bin kein Roboter. Gib den Text ein:

          captcha

            Ubiquiti Training - Alle Module UI-TR-C5

            Fülle bitte das Kontaktformular aus und wir setzen uns gerne mit dir in Verbindung:

            Ich bin kein Roboter. Gib den Text ein:

            captcha

              Ubiquiti UNP Training UI-TR-C2

              Fülle bitte das Kontaktformular aus und wir setzen uns gerne mit dir in Verbindung:

              Ich bin kein Roboter. Gib den Text ein:

              captcha

                Ubiquiti UFSP & URSCA Training UI-TR-C4

                Fülle bitte das Kontaktformular aus und wir setzen uns gerne mit dir in Verbindung:

                Ich bin kein Roboter. Gib den Text ein:

                captcha

                  Ubiquiti UFSP & UWA Training UI-TR-C3

                  Fülle bitte das Kontaktformular aus und wir setzen uns gerne mit dir in Verbindung:

                  Ich bin kein Roboter. Gib den Text ein:

                  captcha

                    Ubiquiti UFSP Training UI-TR-C1

                    Fülle bitte das Kontaktformular aus und wir setzen uns gerne mit dir in Verbindung:

                    Ich bin kein Roboter. Gib den Text ein:

                    captcha

                    1