Purple-Tec IT Services

NIS2 Basisprüfung

von Willy | Jan. 26, 2026 | Allgemein, Branchen-Info, IT Sicherheit, Sicherheit, Tipp

Die NIS2-Richtlinie ist offiziell am 12.12.2025 vom österreichischen Nationalrat beschlossen worden. Jetzt liegt es an den Unternehmen zu prüfen, ob sie und/oder ihre Lieferanten betroffen sind und welche Maßnahmen umzusetzen sind.

Genau hier setzen wir mit unserer Basisprüfung an.

NIS2 verlangt unter anderem, dass Unternehmen ihre Informationssicherheit strukturiert überprüfen, Risiken kennen, technische und organisatorische Maßnahmen setzen und diese auch nachvollziehbar dokumentieren.

Unsere ITQ-Basisprüfung prüft genau diese Grundlagen. Wir schauen uns gemeinsam an, wie es aktuell um eure IT-Sicherheit steht, wo Risiken liegen und welche Maßnahmen bereits umgesetzt sind. Dabei geht es in erster Linie nicht um ein Zertifikat, sondern um einen realistischen Blick auf eure Systeme und Prozesse.

Das Ergebnis ist eine klare, verständliche Bewertung eures Sicherheitsniveaus inklusive konkreter Handlungsempfehlungen. Damit habt ihr nicht nur intern eine solide Entscheidungsgrundlage, sondern auch eine nachvollziehbare Dokumentation, die im Kontext von NIS2 entscheidend ist.

Ein Punkt, der im Zusammenhang mit NIS2 oft unterschätzt wird, ist das Thema Lieferkette. Unternehmen sind zunehmend dafür verantwortlich, dass auch ihre Dienstleister und Lieferanten angemessene Sicherheitsstandards einhalten. Genau hier überschneiden sich NIS2 und das Lieferkettengesetz sehr deutlich.

Mit unserer Basisprüfung könnt ihr nicht nur eure eigene Organisation prüfen lassen, sondern auch eure Lieferanten hinsichtlich IT-Sicherheit auditieren lassen. Das schafft Transparenz, reduziert Risiken in der Lieferkette und zeigt klar, dass ihr eurer Sorgfaltspflicht nachkommt. Für viele Unternehmen ist das ein entscheidender Schritt, um Haftungsrisiken zu minimieren und regulatorisch auf der sicheren Seite zu sein.

Was uns dabei wichtig ist: Die Prüfung bleibt praxisnah. Kein unnötiger Formalismus, keine endlosen Checklisten ohne Mehrwert. Stattdessen ein strukturierter Überblick, der euch wirklich weiterhilft.

Cybersecurity Report 2026

von Willy | Jan. 22, 2026 | Allgemein, Branchen-Info, Cyber-Kriminalität, Datenschutz, Sicherheit

Die Experten von Hornetsecurity haben 72 MILLIARDEN (72.000.000.000) E-Mails in 2025 analysiert und haben ihre Erkenntnisse in einem Webinar zusammengefasst.

Hier Auszüge aus der Webinar Beschreibung:

Leicht zugängliche KI-Tools verändern die Bedrohungslandschaft radikal mit einem Malware-Anstieg von 130,92 % und einer deutlichen Zunahme gezielter Ransomware-Angriffe.

Und die Sprecherin Dr. Yvonne Bernard wird über folgende Themen sprechen:

• Wie KI Cyberangriffe beschleunigt und professionalisiert – von Phishing über Business Email Compromise bis hin zu hochgradig personalisierten Kampagnen.
• Warum Ransomware 2026 wieder massiv an Fahrt aufnimmt und welche Branchen und Unternehmensgrößen besonders im Fokus stehen.
• Welche Trends sich aus sechs Milliarden analysierten E-Mails pro Monat ableiten lassen, inklusive konkreter Beispiele neuer Angriffsmuster.
• Wie CISOs „Resilienz statt Perfektion“ als neuen Verteidigungsstandard etablieren und was das für Ihre Sicherheitsarchitektur, Budgets und Prozesse bedeutet.

Hier ist der Link zum Anmelden

https://www.hornetsecurity.com/de/webinare/cybersecurity-report-2026-webinar/?partnerid=001W7000008P6NQIA0

Wir freuen uns auf euch. :)

Bitdefender PHASR

von Willy | Jan. 19, 2026 | Allgemein, Bitdefender, Branchen-Info, Datenschutz, Purple-Tec persönlich, Sicherheit

Wie verhinderst du, dass Angreifer legitime Tools ausnutzen, um ihren Angriff zu tarnen?

Wie gehst du mit den unterschiedlichen Nutzungsbedürfnissen deiner User um?

Wie viel Zeit „verschwendet“ dein Team mit False Positives Alarmen?

Wenn du diese Fragen nicht beantworten kannst, schreib uns gleich eine kurze Nachricht!

Bitdefender hat über 700.000 Vorfälle analysiert und festgestellt, dass 84% der größeren Angriffe auf „Living-off-the-Land“-Taktiken beruhen, bei denen legitime Admin-Dienstprogramme missbraucht werden, um unsichtbar zu bleiben.

Hier kommt PHASR ins Spiel. PHASR analysiert das Nutzerverhalten und weiß welcher Nutzer welche Programme regelmäßig benutzt. Alle nicht benötigten Programme werden gesperrt, sodass sie nicht von Hackern ausgenutzt werden können. So entsteht eine dynamische Sicherheitsrichtlinie, die sich das Nutzungsverhalten eines jeden Benutzers anpasst.

Das bedeutet für dich:

Keine unflexiblen statischen Regeln mehr
Kein Chaos mehr mit Ausnahmen zu definierten Regeln
Reduziert die Angriffsfläche um 95%
Reduziert die unnötigen Risiken um 30% in 30 Tagen
Leicht in die bestehende Cybersecurity Landschaft zu integrieren

Mach dir jetzt gleich ein persönliches Gespräch mit uns aus!

Euer Team von Purple-Tec

#itsicherheit #ransomware #itsecurity #bitdefender #PHASR

Persönliche Beratung buchen

Öffentliches Whatsapp Teilnehmerverzeichnis

von Willy | Jan. 15, 2026 | Allgemein, Branchen-Info, Datenklau, Datenschutz, Purple-Tec persönlich, Sicherheit

Ein Forschungsteam aus Österreich hat neue Forschungsergebnisse zu WhatsApp veröffentlicht: Das gesamte öffentliche Mitgliederverzeichnis war temporär im Internet abrufbar ohne starke Schutzmechanismen.

Das Forschungsteam konnte dadurch Telefonnummern und öffentlich sichtbare Profildaten herunterladen, darunter auch kryptografische Schlüssel. Insgesamt sind sie auf über 3,5 Milliarden WhatsApp-Konten gestoßen. Gemessen an der Anzahl betroffener Nutzer handelt es sich damit vermutlich um den größten bekannten Datenabfluss dieser Art.

Die Forscher sind keine Unbekannten: Teile des Teams haben sich bereits in der Vergangenheit intensiv mit WhatsApp beschäftigt und unter anderem untersucht, welche Informationen des Diensts trotz Ende-zu-Ende-Verschlüsselung öffentlich sind oder wie sich die Verschlüsselung unter bestimmten Umständen herabstufen lässt.

Ab September 2024 wurden die Schwachstellen mehrfach gemeldet aber passiert ist wenig. Erst als die unkoordinierte Veröffentlichung eines wissenschaftlichen Papers angedroht wurde, ist Bewegung in die Sache gekommen. Aus den frei zugänglichen Daten lassen sich überraschend viele Informationen ziehen, die für einzelne Nutzer sogar gefährlich werden können.

Problematisch sind die Informationen nicht nur für die User, sondern auch für Meta selbst. Die Daten erlauben unter anderem Rückschlüsse darauf, wie viele WhatsApp-Nutzer es pro Land gibt, wie sie sich auf Android und iOS verteilen, wie hoch die Abwanderung ist und wem welche Telefonnummer gehört.

Meta selbst spricht von „Scraping“ und betont, dass die im Rahmen der Studie gesammelten Daten gelöscht worden sind. Es gebe keine Hinweise auf einen Missbrauch durch Dritte, und selbstverständlich seien Nachrichteninhalte weiterhin Ende-zu-Ende-verschlüsselt. Gleichzeitig bedankt sich das Unternehmen bei den Forschern für die Zusammenarbeit im Bug-Bounty-Programm und verweist auf neue Anti-Scraping-Maßnahmen, deren Wirksamkeit durch die Studie bestätigt worden sei.

Besonders aufmerksam sind die Forscher auf Länder, in denen WhatsApp offiziell verboten war bzw. ist geworden. Trotz bestehender Verbote fanden die Forscher Millionen aktiver Konten z.B. im Iran, in Myanmar oder sogar in Nordkorea. Für Nutzer in solchen Regionen kann allein die Zuordnung einer Telefonnummer zu WhatsApp gefährlich werden.

Auch öffentliche Profilinformationen spielen eine große Rolle. Rund ein Drittel der Nutzer hat Angaben im „Info“-Feld hinterlegt, die sehr persönlich sein können: politische Ansichten, Religion oder Hinweise auf Drogenkonsum. Dazu kommen Profilbilder, die bei über der Hälfte aller User öffentlich einsehbar sind. In vielen Fällen lassen sich daraus weitere Informationen

Die technische Grundlage der Abfragen war das WhatsApp Teilnehmerverzeichnis. Dieses muss für WhatsApp User grundsätzlich zugänglich sein, da man wissen muss, wen man über die App erreichen kann. Üblicherweise erfolgt das über den Abgleich des eigenen Adressbuchs. Dass jedoch das gesamte Verzeichnis nahezu unbegrenzt abgefragt werden konnte, ist als Kernproblem identifiziert worden.

Die Forscher haben ihre Ergebnisse unter dem Titel „Hey there You are using WhatsApp Enumerating Three Billion Accounts for Security and Privacy“ veröffentlicht. Für User fällt die konkrete Empfehlung überschaubar aus. Profilfoto und Infofeld sollten kritisch überprüft werden.

Für Meta sind mehrere technische Empfehlungen ausgesprochen worden, darunter strengere Begrenzungen von Serverabfragen, eine stärkere Abschottung von Profilinformationen und eine Vereinheitlichung der Codebasis. Erste Maßnahmen sind bereits umgesetzt worden, etwa bei der Schlüsselwiederverwendung und beim Abruf von Profilbildern.

Unterm Strich zeigt auch diese Untersuchung wieder sehr deutlich: Ende-zu-Ende-Verschlüsselung schützt Inhalte, aber nicht automatisch alle Metadaten. Und genau dort lohnt es sich für User, genauer hinzusehen.

Was macht Microsoft mit deinen Daten?

von Willy | Okt. 2, 2025 | Allgemein, Branchen-Info, Cloud, Datenschutz, Internet, Rechtliches, Sicherheit

Microsoft-Cloud: Datenhoheit bleibt ein ungelöstes Problem

Die Versprechen von Microsoft klingen überzeugend: Daten sollen in der Region gespeichert werden, die Kunden selbst wählen können. So soll Vertrauen geschaffen werden, dass sensible Informationen nicht unkontrolliert über den Globus wandern. Doch aktuelle Enthüllungen zeigen erneut: Die Realität sieht anders aus.

Globale Zugriffe trotz regionaler Speicherung

Das Thema ist wegen einem Fall aus Schottland aufgegriffen worden. Dort kam ans Licht, dass Polizeidaten, die eigentlich nur im Vereinigten Königreich verarbeitet werden sollten, aus über 100 Ländern weltweit abrufbar waren.

Selbst wenn Daten technisch in einer bestimmten Region gespeichert sind, heißt das nicht automatisch, dass der Zugriff auch regional begrenzt ist. Microsoft gab frei heraus, dass keine vollständige Garantie für die Datenhoheit gegeben werde können. Dasselbe sagte Microsoft auch schon den französischen Senat.

Verteilte Verantwortung, intransparente Risiken

Die Enthüllungen werfen ein Schlaglicht auf ein strukturelles Problem der Hyperscaler-Clouds: Der Betrieb stützt sich auf eine Vielzahl von Subunternehmern, Service-Providern und global verteilten Teams. Laut Analyse des Sicherheitsexperten Owen Sayers haben Microsoft-Mitarbeiter:innen und Subunternehmer in 105 Staaten Zugriff auf Daten – verteilt auf 148 Firmen.

Rechtliche Risiken für Behörden

Für die betroffenen Polizeieinheiten sind die Konsequenzen erheblich: Wenn sich nicht ausschließen lässt, dass personenbezogene Daten außerhalb des Vereinigten Königreichs verarbeitet wurden, drohen rechtliche Probleme. Schon die begründete Befürchtung, dass Daten unrechtmäßig ins Ausland geflossen sind, reicht nach aktueller Rechtsprechung aus, um Schadenersatzforderungen geltend zu machen.

Microsoft verweist zwar darauf, alle geltenden Gesetze einzuhalten, geht auf die konkreten Vorwürfe jedoch nicht ein. Police Scotland betont, man arbeite eng mit Aufsichtsbehörden zusammen. Dennoch warnen Beobachter wie der frühere britische Regierungs-CISO Bill McCluggage: Solange Microsoft Daten global verteilt, bleibt unklar, wer im Ernstfall Zugriff auf welche Informationen hat.

Bedeutung über Schottland hinaus

Der Fall betrifft nicht nur die schottische Polizei. Auch andere Behörden in Großbritannien, die Microsoft-Dienste einsetzen, müssen sich nun fragen lassen, ob sie die Kontrolle über ihre Daten wirklich behalten. Gleiches gilt für die EU: Die Enthüllungen verdeutlichen einmal mehr, dass Public-Cloud-Infrastrukturen globaler Anbieter nicht dafür ausgelegt sind, sensible Daten mit voller Rechtssicherheit zu schützen.

Private Chats mit ChatGPT unabsichtlich veröffentlicht

von Willy | Aug. 11, 2025 | Allgemein, Branchen-Info, Datenschutz, Sicherheit, Tipp

OpenAI hatte ein Experiment gestartet: Nutzer konnten über einen Share-Button in ChatGPT eine einzigartige öffentliche URL zu ihrer Konversation erstellen. Dabei gab es zusätzlich die Option „Make this chat discoverable by search engines“, also die Chats für Suchmaschinen wie z.B. Google indexierbar zu machen.

Standardmäßig wären die Links nur über die URL zugänglich gewesen, aber durch das Aktivieren dieses Kästchens wurden die Seiten von Suchmaschinen erfasst und konnten so in den Suchergebnissen auftauchen. Diese Option wurde offenbar nur selten prominent beworben und wurde von vielen Nutzern übersehen. Diese eine Checkbox hat gereicht, um private Konversationen öffentlich zu machen.

Somit wurden fast 4.500 Chat-Links wurden über Google auffindbar – viele enthielten sensible oder persönlich identifizierbare Informationen (Themen wie mentale Gesundheit, Beziehungen, Berufliches etc.).

OpenAI zog die Funktion daraufhin zurück: Der „discoverable“-Schalter wurde entfernt und das Unternehmen arbeitet daran, die bereits indexierten Chats aus Suchmaschinen-Ergebnissen zu entfernen. Doch aufgrund von Cache-Versionen können sie vorübergehend noch sichtbar bleiben. Sicherheitschef Dane Stuckey bezeichnete die Funktion als „short-lived experiment“, da sie zu viele Risiken für unbeabsichtigte Datenfreigabe birgt.

Ob auch du deine Chats öffentlich gemacht hast, kannst du kontrollieren, in dem du auf deinen User in der Ecke links unten drückst -> Einstellungen -> Datenkontrollen -> Weitergegebene Links.

Dieser Vorfall zeigt, wie einfach und schnell sensible Daten veröffentlicht werden können, wenn man nicht ganz genau liest und versteht, wo man da gerade zustimmt. Deswegen ist immer viel Vorsicht geboten, wenn es um private Daten geht.

Dein Team von Purple-Tec