[English]Nutzer, die Windows und Linux über Secure Boot auf Rechnern verwenden, dürften seit dem 13. August 2024 ein Problem haben. Microsoft hat mit dem August 2024 Patchday etwas am Boot-Prozess geändert und Boot-Einträge von DBX auf Secure Boot Advanced Targeting (SBAT) umgestellt. Als Folge starten Linux-Installationen auf den betreffenden Systemen nicht mehr im Secure Boot-Modus. Die bedeutet imho, den Secure Boot-Modus abschalten und auf aktualisierte Linux-Distributionen warten.

SBAT durch August 2024-Updates

Ich habe es nur am Rande wahrgenommen, Microsoft hat bei den Updates für Windows im August 2024 Secure Boot Advanced Targeting (SBAT) für alle unterstützten Windows Versionen eingeführt. In den betreffenden Supportbeiträgen heißt es dazu:

[Secure Boot Advanced Targeting (SBAT) and Linux Extensible Firmware Interface (EFI)] This update applies SBAT to systems that run Windows. This stops vulnerable Linux EFI (Shim bootloaders) from running. This SBAT update will not apply to systems that dual-boot Windows and Linux. After the SBAT update is applied, older Linux ISO images might not boot. If this occurs, work with your Linux vendor to get an updated ISO image.

Diese Updates führen Secure Boot Advanced Targeting (SBAT) auf Windows-Systemen ein. Ziel ist es, zu verhindern, dass anfällige Linux EFI (Shim-Bootloader) ausgeführt werden. Microsoft schreibt dabei: “Dieses SBAT-Update gilt nicht für Systeme, die Windows und Linux im Dual-Boot-Modus ausführen” und warnt gleichzeitig: “Nach der Anwendung des SBAT-Updates lassen sich ältere Linux-ISO-Images möglicherweise nicht mehr booten. Wenden Sie sich in diesem Fall an Ihren Linux-Anbieter, um ein aktualisiertes ISO-Image zu erhalten.”

Lesermeldungen über Boot-Probleme

In diesem Kommentar fragte FFred nach Informationen nach den Folgen der Einführung von Secure Boot Advanced Targeting (SBAT), und Bolko verwies auf einen Beitrag bei heise, wo Probleme mit dem Booten von Linux-Systemen thematisiert wurden. Leser Paul meldete sich in diesem Kommentar und berichtete von Boot-Problemen.

Sowas habe ich heute NACH dem Augustupdate KB5041580 (W10) mit meinem Ventoy USB-Stick (UEFI, Version 1.0.98) festgestellt, der VOR diesem Update n0ch bei eingeschaltetem Secure-Boot funktionierte.
Beim Bootversuch vom USB-Stick kam eine Fehlermeldung, die ich so zum ersten mal sah:
———————–
Verifying shim SBAT data failed: Security Policy Violation
Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation
———————–
Die Meldung erschien für gut 5 Sekunden auf schwarzem Hintergrund und dann schaltete sich der Rechner aus.
Nach dem Ausschalten von Secure-Boot ging es dann.
Da hat ihm das Windowsupdate wohl seinen Sicherheitsschlüssel aus dem BIOS weggeputzt, vermute ich.

Blog-Leser Peter hat sich zum 18. August 2024 mit diesem Kommentar gemeldet und schreibt, dass SBAT nach dem August 2024-Update – im Gegensatz zu obiger Microsoft-Aussage – auch im Dual Boot-Betrieb ausgeführt werde. Auch er erhielt die Meldung “Verifying shim SBAT data failed: Security Policy Violation” und der Rechner schaltet sich aus. Einzige Lösung ist, Secure Boot für die Maschine abzuschalten.

Noch eine Meldung mit Workaround

Ich hatte bereits einen Blog-Beitrag zum Thema auf dem Schirm, als noch die Mail von Blog-Leser Tibor eintraf, der nach Installation des Windows 11-Updates beim Start des Systems mit der Fehlermeldung:

Verifying shim SBAT data failed: Security Policy Validation

beglückt wurde. Der betreffende Rechner hat sich nach Sekunden abgeschaltet. Er betreibt auf seinem Rechner Linux Mint 20.3 und Windows 11 im Dual Boot. Als er dann zum Thema recherchierte, kam er dem oben skizzierten Grund auf die Spur und schrieb:

Recherchen zu diesem Begriff machten mich völlig fassungslos: Microsoft hat in meinem UEFI BIOS mit aktiviertem Secure Boot
und TPM herumgepfuscht, sodass ich nun nur noch Windows 11 mit aktiviertem Secure Boot starten konnte.
Ohne Secure Boot ging beides!

Nach langem Suchen hat er zwei Lösungen in Foren gefunden und diese dann für sich kombiniert. Das hat ihm letztendlich (in seinem Fall) geholfen:

1. Disable Secure Boot
2. Boot linux mint 22 from Boot stick
3. open a terminal
4. Delete the SBAT policy with:
    sudo mokutil –set-sbat-policy delete
    sudo mokutil –list-sbat-revocations (sollte nur 1 eintrag sein)
5. Reboot and re-enable secure boot in your BIOS.
6. Reboot your PC and log back into Ubuntu to update the SBAT policy with
    sudo mokutil –set-sbat-policy latest

Der Leser schrieb dazu noch, dass es Ankündigungen von Microsoft dazu bereits gab. Aber niemand hatte wohl auf dem Radar, dass sich das so heftig auswirkt. Der Leser merkte noch an, dass bei einigen älteren PC´s mit 3. Generation Intel-CPU noch nicht mal die obige Fehlermeldung angezeigt wird. Stattdessen verabschiedet sich das Gerät in eine Bootschleife. Er sieht die Linux Community teilweise in der Schuld, da dort immer wieder zum Abschalten von Secure Boot geraten werde.

Alpträume wahr geworden

Wenn ich es richtig in Erinnerung habe, warnten Entwickler aus der Linux-Community bereits vor mehr als 14 Jahren, dass Microsofts Secure Boot der Kill-Switch sei, um Linux auf Windows-Rechnern still zu legen. Aus der Windows-Ecke hieß es immer, dass die Linux-Entwickler ja nur einen gültigen Secure Boot-Lader bereitstellen müssten. In Folge wurden solche Lader für Linux entwickelt, so dass Systeme mit Secure Boot sowohl Windows als auch Linux booten konnten.

Nun ist also ein solches Szenario wahr geworden – heise hat es hier beschrieben. Bisher wurden die benötigten Signaturen zum Booten in der DBX-Datenbank des BIOS/UEFI abgelegt. Heise schreibt, dass diese Datenbank bei einigen BIOS-Systemen zu klein für viele Signatur-Einträge sei. Mit den August 2024-Updates wurde nun von Microsoft das von der Open-Source-Community entwickelte Secure Boot Advanced Targeting (SBAT) nachgerüstet – eine Erklärung zum UEFI shim-Boot-Loader findet sich hier.

Mit den August 2024-Updates hat Microsoft begonnen, die in der UEFI DBX-Datenbank hinterlegten Keys für die Boot-Lader zu sperren. Nun seien es die Linux-Boot-Loader Shim und Grub, die einen Systemstart verweigern, weil die Integrität des Secure Boot nicht mehr gewährleistet ist, erklärt heise. Auf Hacker News gibt es hier noch einen Erklärungsversuch. Momentan ist unklar, welche Linux-Distributionen betroffen sind. Aktuell heißt es zur Lösung aber wohl “Secure Boot abschalten und auf eine aktualisierte Linux-Distribution warten”, um das Problem zu lösen.

Alles Probleme, die der Nutzer nicht braucht. Und ob die Systeme durch Secure Boot und obige Schlenker wirklich sicherer werden, darf bezweifelt werden.

Ähnliche Artikel:
Microsoft Security Update Summary (9. Juli 2024)
Patchday: Windows 10/Server-Updates (13. August 2024)
Patchday: Windows 11/Server 2022-Updates (13. August 2024)
Windows Server 2012 / R2 und Windows 7 (13. August 2024)

[English]Noch eine kleine Nachlese vom August 2023 Patchday (Blog-Leser haben angeregt, das mal in einem separaten Beitrag aufzubereiten). Zum 13. August 2024 wurde die 0-day-Schwachstelle CVE-2024-38063 in Windows bekannt. Es handelt sich um eine Remote-Code-Execution-Schwachstelle in der TCP/IP-Implementierung von Windows steckt. Angreifer können über IPv6-Pakete einen Host kompromittieren und dort Code ausführen. Weben der Bewertung mit dem CVEv3 Score 9.8 (critical, “Exploitation More Likely”) empfiehlt Redmond Administratoren momentan IPv6 zu deaktivieren, hat aber auch Sicherheitsupdates für Windows bereitgestellt. Hier sollten Administratoren also reagieren.

TCP-IP-Schwachstelle CVE-2024-38063

Ich hatte die 0-day-Schwachstelle CVE-2024-38063 in Windows nach einem Hinweis von Tenable kurz im Blog-Beitrag Microsoft Security Update Summary (9. Juli 2024) aufgegriffen. Es handelt sich um eine Remote Code Execution-Schwachstelle (RCE) in der Windows TCP/IPv6-Implementierung, verursacht durch einen Integer Underflow-Fehler. Diese RCE-Schwachstelle wurde mit einem CVEv3 Score 9.8 als äußerst kritisch und die als “Exploitation More Likely” eingestuft.

Das Problem: Ein Angreifer kann diese Sicherheitslücke ohne Authentifizierung und ohne Benutzeraktion remote ausnutzen, indem er wiederholt speziell gestaltete IPv6-Pakete an einen Windows Host sendet. Microsoft hat in CVE-2024-38063  ausgeführt, dass nur nur IPv6-Pakete zur Ausnutzung dieser Sicherheitslücke missbraucht werden können und empfiehlt IPv6 zu deaktivieren.

Die Schwachstelle wurde von XiaoWei vom Kunlun-Labor entdeckt (Tweet auf x) und dann an Microsoft gemeldet. Details zu dieser Schwachstelle wurden bisher nicht veröffentlicht. Die Kollegen von Bleeping Computer haben noch ein Statement von Dustin Childs, Head of Threat Awareness bei der Zero Day Initiative von Trend Micro, zitiert. Dustin Childs bezeichnet die Schwachstelle als “wormable”, ein Angreifer könnte also seinen Schadcode im Netzwerk auf weitere Rechner verbreiten.

Proof of Concept verfügbar

Ergänzung: Robel Campbell, Principal Security Researcher at Blackpoint Cyber, hat auf X einen Tweet abgesetzt, in dem er angibt, durch Lektüre der RFCs und der Teile über optionale Header in IPv6-Paketen einen PoC entwickeln konnte. Der Proof of Concept-Exploit (POC) verursacht einen Absturz.

Die Fehlerprüfung sei im PoC-Fall nicht sehr detailliert. Im Wesentlichen erzeugt der Unterlauf (Integer Underflow) einen großen Wert, der in einer Schleife verwendet wird, die schließlich Daten außerhalb der Grenzen schreibt und einen Absturz verursacht. Campbell kann sich vorstellen, dass dies durch Heap-Massagetechniken und die Beschädigung benachbarter Objekte im Heap für Angriffe eingesetzt werden kann. Der PoC ist aber quick-n-dirty, und Campbell gibt an, dass er den Absturz nur einmal auslösen konnte. Der Crash Dump habe ihm nicht wirklich nicht viel zur Analyse geholfen. Administratoren sollten also zügig reagieren.

Updates von Microsoft

Microsoft hat zum 13. August 2024 eine Reihe von Sicherheitsupdates für betroffene Windows-Systeme bereitgestellt. Nachfolgend habe ich mal die betreffenden Pakete herausgezogen, die unter CVE-2024-38063 gelistet werden.

Ich habe mal in die Supportartikel für die obigen Beiträge geschaut, in keinem Knowledge-Base-Artikel ist die Schwachstelle CVE-2024-38063 erwähnt. Es ist also unklar, ob die Schwachstelle geschlossen ist, sobald die obigen genannten Update-Pakete installiert sind.

Weitere Handlungsanweisungen

In den Kommentaren hier im Blog sowie im Beitrag Windows Server 2019/Windows 10 Enterprise 2019 LTSC: Performance-Probleme mit Update KB5041578 deutet sich ja an, dass August 2024-Updates u.U. wegen Problemen nicht installiert werden können. Von Microsoft gibt es daher die Empfehlung, IPv6 zu deaktivieren, um den Angriffsvektor zu entschärfen. Hier bin ich ad-hoc etwas unsicher ob der Folgen, denn im Supportbeitrag hier schreibt Microsoft:

Internet Protocol version 6 (IPv6) is a mandatory part of Windows Vista and Windows Server 2008 and newer versions. We do not recommend that you disable IPv6 or its components. If you do, some Windows components may not function. We recommend using Prefer IPv4 over IPv6 in prefix policies instead of disabling IPV6.

Oder in ganz kurz: IPv6 wird ab Windows Vista bzw. den Server-Varianten gebraucht. Bei abgeschaltetem IPv6 ist mit Fehlfunktionen zu rechnen. Muss ich so im Raum stehen lassen.

An dieser Stelle noch einige weitere Hinweise zu dieser Thematik. Es gibt Administratoren, die messerscharf geschlossen haben “gut, dann deaktiviere ich IPv6 in der Firewall, und Ruhe ist”. In einem Tweet auf X antwortet der Entdecker der Schwachstelle auf eine entsprechende Frage, dass Fehler ausgelöst wird, bevor die Firewall das Paket filtert. Das ist also schon mal nichts.

Hier im Blog gibt es diese Diskussion zur Abschaltung von IPv6, wo jemand fragt, ob das Entfernen der Markierung des Kontrollkästchens für IPv6 bei der Protokollbindung der Netzwerkkarte reicht. Die Kommentarlage ist so, dass dies wohl nicht ausreichend sein soll. Um den IPv6-Stack abzuschalten, lässt sich im Registrierungsschlüsse:

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters

der DWORD-Wert DisabledComponents auf den Wert REG_DWORD 0x000000ff (255) setzen, um IPv6 in Windows zu deaktivieren. Alternativ kann man die Protokollbindung für IPv6 per Gruppenrichtlinie deaktivieren. Mark Heitbrink hat auf gruppenrichtlinien.de diesen Beitrag mit ausführlichen Erklärungen zum Thema veröffentlicht. Vielleicht hilft es etwas weiter.

Ähnliche Artikel:
Microsoft Security Update Summary (9. Juli 2024)
Patchday: Windows 10/Server-Updates (13. August 2024)
Windows Server 2019/Windows 10 Enterprise 2019 LTSC: Performance-Probleme mit Update KB5041578

Es ist der nächste Schlag gegen Cyberkriminelle. Strafverfolger aus den USA (FBI), Großbritannien und Deutschland ist es gelungen, die Infrastruktur der Ransomwaregruppe Radar/Dispossessor zu zerschlagen. Bei der Operation wurde umfangreiches Beweismaterial sichergestellt und die Strafverfolger konnten die Identität von 12 mutmaßlichen Mitglieder dieser Gruppe ermitteln. Inzwischen läuft die Fahndung nach diesen mutmaßlichen Tätern.

FBI gibt Zerschlagung bekannt

Das FBI Cleveland gibt in dieser Meldung vom 12. August 2024 bekannt, dass es gelungen sei, die Infrastruktur der kriminellen Ransomware-Gruppe mit dem Online-Namen “Brain” (“Radar/Dispossessor”) zu zerschlagen. Dabei wurden drei US-Server, drei Server in Großbritannien, und 18 deutsche Server der Gruppe ermittelt und beschlagnahmt. Gleiches gilt für acht kriminelle Domains in den USA und eine kriminelle Domain in Deutschland, die von der Gruppe benutzt wurde.

Die Generalstaatanwaltschaft Bamberg schreibt in dieser Pressemitteilung dass in Deutschland 17, in Großbritannien drei und in den USA fünf Server beschlagnahmt und acht kriminell genutzte Domains unschädlich gemacht wurden. Die genutzte IT-Infrastruktur der international agierenden Kriminellen wurde beschlagnahmt und damit vom Netz genommen. Der Fokus liegt nun darauf, weitere Tatverdächtige zu identifizieren und Erkenntnisse zu anderen geschädigten Unternehmen zu gewinnen. Wodurch sich diese Diskrepanz ergibt, ist mir aktuell unklar.

Die Ermittlungen führten, laut Generalstaatanwaltschaft Bamberg, zu insgesamt zwölf identifizierten Tätern aus der Ukraine, Russland, Kenia, Serbien, Litauen, und den Vereinigten Arabischen Emiraten. Einem der Täter werden konkrete Taten in der Bundesrepublik Deutschland vorgeworfen, ein internationaler Haftbefehl durch das Amtsgericht Bamberg wurde erlassen. Die weiteren Tatverdächtigen verübten ihre Straftaten zum Nachteil außerdeutscher Geschädigter, weshalb deren Strafverfolgung in den jeweiligen Ländern betrieben wird. Die ZCB wirft den Tatverdächtigen die banden- und gewerbsmäßige Erpressung, sowie die Bildung einer kriminellen Vereinigung vor.

Ransomwaregruppe Radar/Dispossessor

Mir war die Ransomware-Gruppe bisher nicht aufgefallen. Laut Strafverfolger gründete sich die Gruppe im August 2023. Seit ihrer Gründung hat sich Radar/Dispossessor aber schnell zu einer international agierenden Ransomware-Gruppe entwickelt. Die Cyberkriminellen zielen auf kleine bis mittelgroße Unternehmen und Organisationen aus den Bereichen Produktion, Entwicklung, Bildung, Gesundheitswesen, Finanzdienstleistungen und Transportwesen.

Ursprünglich konzentrierte sich die Untersuchung des FBI Cleveland auf angegriffene Einrichtungen in den Vereinigten Staaten. Dann wurden 43 Unternehmen aus Ländern wie Argentinien, Australien, Belgien, Brasilien, Honduras, Indien, Kanada, Kroatien, Peru, Polen, dem Vereinigten Königreich, den Vereinigten Arabischen Emiraten und Deutschland als Opfer der Angriffe entdeckt. Bei seinen Ermittlungen hat das FBI eine Vielzahl von Websites identifiziert, die mit Brain und seinem Team in Verbindung stehen.

Die Radar Ransomware-Gruppe verfolgt das gleiche duale Erpressungsmodell wie andere Ransomware-Varianten. Zusätzlich zur Verschlüsselung der Opfersysteme werden die Daten der Opfer vorher exfiltriert, um Lösegeld zu fordern. Die Ransomware identifiziert neue Opfer und greift sie an, während sie die bestehenden Opfer erneut schädigt, schreibt das FBI.

Radar/Dispossessor nutzte anfällige Computersysteme, schwache Passwörter und eine fehlende Zwei-Faktor-Authentifizierung, um Unternehmen als Opfer zu identifizieren und dann anzugreifen. Sobald die Kriminellen Zugang zu den Systemen hatten, verschafft sie sich Administratorrechte und konnten problemlos auf die Dateien zugreifen.

Die eigentliche Ransomware wurde dann für die Verschlüsselung verwendet. Dadurch konnten die Unternehmen nicht mehr auf ihre eigenen Daten zugreifen. Wenn sich das angegriffene Unternehmen nicht mit dem kriminellen Akteur in Verbindung setzte, kontaktierte die Gruppe proaktiv andere Mitarbeiter des Unternehmens, entweder per E-Mail oder per Telefon. Die E-Mails enthielten auch Links zu Videoplattformen, auf denen die zuvor gestohlenen Dateien präsentiert wurden. Dies geschah immer mit dem Ziel, den Erpressungsdruck zu erhöhen und die Zahlungsbereitschaft zu steigern.

Schließlich kündigten die Angreifer die Kompromittierung auf einer separaten Leak-Seite an und setzten einen Countdown bis zur öffentlichen Freigabe der Opferdaten, falls kein Lösegeld gezahlt würde. The Hacker news hat hier noch einige Informationen zur Ransomware-Gruppe veröffentlicht.

Auf X bin ich auf diesen Tweet gestoßen. Die britische Polizei hat einen Mann mit dem Namen J.P. Morgan (ist ein Alias-Name) verhaftet. J.P. Morgan gilt als einer der Hauptakteure hinter der Reveton Ransomware Group, dem Ransomware Cartel und dem Angler Exploit Kit, mit denen weltweit Millionen von Dollar erpresst wurden.

Für deutsche Arbeitnehmer, wie für Arbeitnehmer weltweit, ist ihre Arbeitszeit ein immer wichtiger werdender Faktor, zumal die Work-Life-Balance sehr oft im Mittelpunkt steht. Dies galt schon immer für Frauen, die auch Mütter sind, und gilt nun zunehmend für alle Arbeitnehmer.

Dieses Thema der Arbeitszeit stellt sich besonders bei der Einstellung sowie bei der Beendigung des Arbeitsverhältnisses, wenn Überstunden noch nicht vergütet wurden. Die rechtlichen Bestimmungen zur Arbeitszeit sind vor diesem Hintergrund relevant.

Die Arbeitszeit eines Arbeitnehmers hängt von seinem Arbeitsvertrag, Betriebsvereinbarungen und Tarifverträgen sowie von persönlichen Merkmalen ab. Zum Beispiel gelten Sonderregeln für bestimmte Wirtschaftszweige, für leitende Angestellte, für Nachtarbeit, für Minderjährige oder Schwangere.

Arbeiten Deutsche mehr als Franzosen?

Die Arbeitszeit in Deutschland unterliegt denselben durch die eurpäische Union festgelegten Normen wie die Arbeitszeit in Frankreich – dennoch unterscheiden sich die Regelungen durchaus von denen des französischen Arbeitsrechts. So kennt das deutsche Arbeitsrecht zum Beispiel nicht das System der jährlichen Tagespauschalen und die Arbeitnehmer arbeiten oft, aber nicht immer, 40 Stunden pro Woche. Die europäische Statistik von Eurostat bezieht jedoch viel breitere Kriterien mit ein als nur die Gruppe von Arbeitnehmern in Vollzeit und geht davon aus, dass die Deutschen 2023 im Durchschnitt 34 Stunden pro Woche gearbeitet haben, wohingegen die Franzosen 36 Stunden pro Woche arbeiteten. Die Arbeitsbedingungen in Deutschland, die an die Arbeitszeiten gebunden sind, sind folglich objektiv nur schwer mit denen zu vergleichen, die die Franzosen oder andere Europäer kennen. Es ist kompliziert, zu sagen, wer in Europa am meisten arbeitet. So ist auch ein Vergleich der Arbeitszeit weltweit äußerst gewagt.

Welche Zeiten gelten als Arbeitszeit? Welche Zeiten muss der Arbeitgeber bezahlen?

Nicht jede im Zusammenhang mit dem Arbeitgeber verbrachte Zeit gilt als Arbeitszeit und nicht jede Arbeitszeit muss in der gleichen Höhe vergütet werden. Die Tatsache, dass der deutsche Gesetzgeber den Begriff der Arbeitszeit nicht klar definiert hat, bereitet in dieser Hinsicht Probleme. Manche Arbeitszeiten werden geringer, andere höher vergütet.

Das Arbeitszeitgesetz (ArbZG) regelt die höchst zulässige Arbeitszeit. Der Zweck dieses Gesetzes ist es, dafür zu sorgen, dass die Arbeitnehmer ausreichend Gelegenheit zur Erholung haben. Das Arbeitszeitgesetz schützt leitende Angestellte nicht. Leitende Angestellte sind jedoch nicht völlig ungeschützt. Arbeitsverträge dürfen keine Arbeitszeiten verlangen, die die allgemeine menschliche Leistungsfähigkeit oder das, was vernünftigerweise verlangt werden kann, übersteigen, und müssen mit den Grundrechten (Schutz der Menschenwürde, Recht auf physische und psychische Unversehrtheit) vereinbar sein.

Für schwangere oder stillende Frauen gelten hingegen die strengeren Schutzvorschriften vom Mutterschutzgesetz.

Diese Arbeitszeit im Sinne des Arbeitszeitgesetzes ist zu unterscheiden von derjenigen Arbeitszeit, die der Arbeitgeber voll vergüten muss. D. h. es gibt Zeiten, die zwar bei der Berechnung der höchst zulässigen Arbeitszeit berücksichtigt werden müssen, für welche jedoch der Arbeitnehmer nicht dieselbe Vergütung wie für den vollen Arbeitseinsatz bekommt.

Die Arbeitszeit im Sinne des Arbeitszeitgesetzes ist der Zeitraum, in dem der Arbeitnehmer dem Arbeitgeber seine Arbeitskraft zur Verfügung stellen muss.

Berechnet wird die Arbeitszeit grundsätzlich als die Dauer vom Beginn bis zum Ende der Arbeit ohne die Ruhepausen. Nicht unter Ruhepausen fallen Kurzpausen wie z. B. für das Aufsuchen der Toilette. Kurzpausen werden zur Arbeitszeit hinzugezählt. Kurzpausen müssen ebenso wie Betriebspausen, z. B. aus technischen Gründen, vergütet werden.

Dies gilt jedoch nicht für Raucherpausen. Im Allgemeinen muss die Arbeit unterbrochen werden, um rauchen zu können, und wenn dies der Fall ist, sind Zigarettenpausen nicht Teil der Arbeitszeit.

Zur Arbeitszeit i. S. d. Arbeitszeitgesetzes gehört die Arbeitsbereitschaft. Sie ist zu vergüten, wobei die Höhe der Vergütung von der Vergütung eines vollen Arbeitseinsatzes abweichen kann. Die Arbeitsbereitschaft bedeutet i. d R. einen Wechsel zwischen einem körperlichen und geistigen Bereitsein und vollem Arbeitseinsatz.

Zeiten im Bereitschaftsdienst sind zumindest mit dem Mindestlohn zu vergüten. Beim Bereitschaftsdienst muss der Arbeitnehmer sich an einer bestimmten Stelle aufhalten, um bei Bedarf die Arbeit aufzunehmen. Er ist nicht verpflichtet, wach zu sein, solange er nicht gebraucht wird.

Rufbereitschaft ist hingegen keine Arbeitszeit i. S. d. Arbeitszeitgesetzes. Bei der Rufbereitschaft darf der Arbeitnehmer selbst den Ort wählen, an dem er sich aufhält, solange er auf Abruf zur Arbeit bereit ist. Sie ist auch nicht wie Arbeitszeit zu vergüten. Der Arbeitnehmer wird für die tatsächlichen Einsatzzeiten vergütet und zusätzlich erhält der Arbeitnehmer in der Regel eine Zusatzpauschale. Ob und in welchem Umfang Rufbereitschaftsdienste bezahlt werden, hängt von den Bestimmungen des Arbeitsvertrags oder eines Tarifvertrags ab.

Die Wegezeiten zwischen der Wohnung des Arbeitnehmers und dem Betrieb sind i. d. R. keine Arbeitszeit. Etwas anderes gilt für Betriebswege, also z. B. den Weg vom Hauptbetrieb zu einer entfernt gelegenen Filiale. Betriebswege sind Arbeitszeit i. S. d. Arbeitszeitgesetzes und wie Arbeitszeit zu vergüten.

Dienstreisezeiten für während der betriebsüblichen Arbeitszeit zurückgelegte Wege sind Arbeitszeit im Sinne des Arbeitszeitgesetzes und voll vergütungspflichtig.

Wenn der Arbeitgeber die Anweisung gibt, während der freien Zeit mit dem Auto auf eine Dienstreise zu fahren, wird diese Zeit ebenfalls als Arbeitszeit betrachtet. In diesem Fall hat der Arbeitnehmer nicht die Möglichkeit, sich während der Fahrt auszuruhen. Stattdessen muss er sich auf den Straßenverkehr konzentrieren.

Eine Zug- oder Flugreise nach der Arbeit gilt ebenfalls als Arbeitszeit, wenn ein Arbeitnehmer während der Reisezeit auf Anweisung seines Vorgesetzten arbeitet – z.B. E-Mails beantwortet oder eine Besprechung vorbereitet. Wenn es keine Arbeitsanweisung gibt, kann der Arbeitnehmer die Reise nach seinen Bedürfnissen gestalten. Daher werden solche Reisen nicht als Arbeitszeit angesehen.

Ebenso wird ein Hotelaufenthalt während einer Geschäftsreise nicht als Arbeitszeit angesehen.

Achtung: Arbeitsverträge oder Tarifverträge können ausdrücklich vorsehen, dass Reisezeiten, die über die reguläre Arbeitszeit hinausgehen, vergütet werden müssen.

Nachtarbeit ist eine besondere Arbeitszeit im Sinne des Arbeitszeitgesetzes. Für Nachtarbeit sieht das Gesetz vor, dass der Arbeitgeber einen angemessenen Ausgleich gewährt. Nachtarbeit ist Arbeit, die mehr als zwei Stunden der Nachtzeit (i. d. R. von 23 bis sechs Uhr) umfasst. Der Ausgleich kann in bezahlten freien Tagen oder einem Zuschlag auf das Bruttoarbeitsentgelt bestehen.

Ob Umkleidezeiten vor oder nach der Arbeit oder Wegezeiten auf dem Betriebsgelände zur konkreten Arbeitsstelle zur Arbeitszeit gezählt werden, hängt davon ab, wie dies im Tarifvertrag oder in einer Betriebsvereinbarung geregelt ist. Besteht keine Regelung, die diese Zeiten ausschließt, sind Umkleidezeiten zum An- und Ablegen der erforderlichen Unternehmensuniform vergütungspflichtige Arbeitszeiten.

Wonach bestimmt sich die Arbeitszeit in Deutschland?

Der Arbeitgeber und der Arbeitnehmer legen die Arbeitszeit im Sinne einer Stundenanzahl gemeinsam im Arbeitsvertrag einvernehmlich fest. Dabei müssen sie gegebenenfalls Einschränkungen von gegebenenfalls anwendbaren Tarifverträgen beachten.

Der Arbeitgeber darf allein die Lage der Arbeitszeit bestimmen, d. h. die Verteilung der Arbeit auf die Wochentage, Beginn und Ende der Arbeitszeit und die Lage der Pausen. Es sei denn, die Lage der Arbeitszeit ist im Arbeitsvertrag genau festgelegt oder ergibt sich aus einer Betriebsvereinbarung, einem Tarifvertrag oder gesetzlichen Einschränkungen.

Gibt es einen Betriebsrat, hat dieser bei der Bestimmung der Lage der Arbeitszeit Mitbestimmungsrechte.

Falls weder im Arbeitsvertrag noch im Tarifvertrag eine konkrete Arbeitszeit festgelegt ist, ist im Zweifel von einer Vollzeit von einer 5-Tage-Woche mit 8 Stunden täglich (also Regel-Arbeitszeit von 40 Stunden pro Woche) auszugehen und zu beachten, welche Arbeitszeiten im Betrieb üblich sind.

In der Regel verteilt sich die Arbeitszeit auf die Werktage von Montag bis Freitag, je nach Tätigkeit von Montag bis Samstag. In Deutschland ist die Arbeit an Sonn- und Feiertagen nur erlaubt, wenn sie erforderlich ist, d.h. nicht an einem Werktag erbracht werden kann. Wenn ein Arbeitnehmer ausnahmsweise am Sonntag arbeiten muss, muss er einen anderen Ruhetag zum Ausgleich erhalten. Dieser alternative Ruhetag muss innerhalb von zwei Wochen nach dem Sonntag, an dem er gearbeitet hat, liegen. Ein vergleichbarer Mechanismus besteht für den Fall, dass der Arbeitnehmer ausnahmsweise an einem Feiertag arbeiten muss.

Bei schwangeren oder stillenden Arbeitnehmerinnen müssen weitere Voraussetzungen erfüllt sein.

Im deutschen Recht gibt es keine gesetzliche monatliche Bemessung der Arbeitszeit. Anders als in Frankreich, wo eine gesetzliche monatliche Arbeitszeit von 151,67 Stunden gilt. Allerdings kann der Arbeitsvertrag eine monatliche Arbeitszeit vorsehen, solange die gesetzlichen Höchstarbeitszeiten eingehalten werden.

Höchstarbeitszeiten

Grundsätzlich bestimmt sich die Höchstarbeitszeit nach dem Arbeitszeitgesetz (ArbZG). Dieses Gesetz beruht auf der europäischen Richtlinie 2003/88/EG über bestimmte Aspekte der Arbeitszeitgestaltung und dient dem Schutz der Arbeitnehmer im Europäischen Wirtschaftsraum (EWR). Außerdem kann durch einen Tarifvertrag, eine Bewilligung von Ausnahmen durch die Aufsichtsbehörde oder eine Rechtsverordnung der Bundesregierung von den gesetzlichen Höchstgrenzen abgewichen werden, so dass der Arbeitgeber sie überschreiten darf.

Unter Anwendung des Arbeitszeitgesetzes darf die werktägliche Arbeitszeit nicht mehr als acht Arbeitsstunden in Deutschland betragen. Bei einer Woche mit sechs Werktagen ergibt sich eine wöchentliche gesetzliche Höchstarbeitszeit von 48 Stunden. Für Minderjährige (Personen unter 18 Jahren) beträgt die gesetzliche Höchstarbeitszeit 40 Stunden.

Es ist jedoch möglich, dass der Arbeitnehmer zehn Stunden am Tag arbeitet, vorausgesetzt, die werktägliche Arbeitszeit über sechs Kalendermonate oder 24 Wochen überschreitet im Durchschnitt nicht acht Stunden. Ein Arbeitnehmer darf also bis zu 60 Stunden pro Woche arbeiten, solange er in einem Zeitraum von bis zu sechs Monaten bzw. 24 Wochen im Durschnitt nicht länger als acht Stunden arbeitet.

Bei einer Überschreitung von 8 Stunden täglich spricht man von Mehrarbeit.

Regelmäßige Nachtarbeit darf ebenfalls grundsätzlich acht Stunden pro Werktag nicht überschreiten. Nachtarbeitnehmer können ausnahmsweise bis zu zehn Stunden pro Werktag arbeiten, wenn sie in einem Zeitraum von einem Monat oder vier Wochen im Durchschnitt nicht länger als acht Stunden im Einsatz sind. Ein Tarifvertrag kann es außerdem im Fall von Arbeitsbereitschaft ermöglichen, dass der Arbeitnehmer über zehn Stunden hinaus tätig ist und dies sogar ohne Ausgleich oder mit einem längeren Ausgleichszeitraum.

Ruhepausen

Ruhepausen zählen im Gegensatz zu Kurzpausen nicht zur Arbeitszeit.

Bei einer Arbeitszeit von bis zu sechs Stunden, muss der Arbeitgeber dem Arbeitnehmer keine Ruhepausen gewähren.

Wenn die Arbeitszeit hingegen insgesamt mehr als sechs und bis zu neun Stunden dauert, muss die Arbeit durch im Voraus feststehende Ruhepausen von mindestens 30 Minuten unterbrochen werden.

Beträgt die Arbeitszeit über neun Stunden, sind dem Arbeitnehmer 45 Minuten Ruhepause zu gewähren. Die Ruhepausen können auch in Zeitabschnitten von jeweils mindestens 15 Minuten genommen werden.

Für Schicht- und Verkehrsbetriebe gelten Ausnahmen. In diesen Bereichen kann durch einen Tarifvertrag von der gesetzlichen Regelung abgewichen werden. Die Gesamtdauer der Ruhepause kann in Kurzpausen von angemessener Dauer aufgeteilt werden.

Nach der Beendigung der täglichen Arbeitszeit bis zum nächsten Arbeitsbeginn muss der Arbeitnehmer i. d. R. eine ununterbrochene Ruhezeit von mindestens 11 Stunden haben.

Von dieser Regel gelten allerdings für viele Beschäftigte Ausnahmen, nämlich für Arbeitnehmer in Krankenhäusern und Pflegeeinrichtungen, in der Gastronomie oder im Transportwesen für Kraftfahrer. Die Ruhezeit kann um bis zu eine Stunde gekürzt werden, wenn die Kürzung innerhalb eines Zeitraums von einem Kalendermonat oder vier Wochen ausgeglichen wird durch Verlängerung einer anderen Ruhezeit auf mindestens zwölf Stunden. Durch einen Tarifvertrag ist auch eine Kürzung der Ruhezeit um zwei Stunden möglich.

Stillpause

Für stillende Mütter gibt es eine besondere bezahlte Pause, die sog. Stillpause. Diese ist im Mutterschutzgesetz geregelt. Arbeitnehmerinnen können während der ersten 12 Monate nach der Entbindung ihres Babys einen Anspruch auf Stillpausen geltend machen. Der Arbeitgeber muss sie dann für mindestens 60 Minuten pro Tag bezahlt freistellen. Die stillenden Arbeitnehmerinnen können die Arbeit entweder einmal täglich für 60 Minuten bzw. zweimal täglich für 30 Minuten unterbrechen. Alternativ nutzen manche Arbeitnehmerinnen diese Stunde, um früher nach Hause zu gehen. Das Recht auf (unbezahlte) Ruhepausen besteht außerdem.

Arbeitszeiterfassung

Nach dem derzeit geltenden deutschen Recht ist der Arbeitgeber verpflichtet, nur die Arbeitszeit der Arbeitnehmer aufzuzeichnen, die über die vorgesehene tägliche Arbeitszeit hinausgeht. Diese Bestimmung steht jedoch nicht mehr im Einklang mit dem europäischen Recht.

Der Europäische Gerichtshof fordert in einer Entscheidung vom 14. Mai 2019, dass jeder Arbeitgeber ein System einrichten muss, mit dem die tägliche Arbeitszeit jedes Arbeitnehmers aufgezeichnet werden kann. Das Bundesarbeitsgericht griff diese Entscheidung im Jahr 2022 auf und geht nunmehr ebenfalls davon aus, dass der Arbeitgeber diese Pflicht hat.

In der Folge veröffentlichte der deutsche Gesetzgeber einen Gesetzentwurf mit folgendem Inhalt: Der Arbeitgeber ist verpflichtet, Beginn, Ende und Dauer der täglichen Arbeitszeit der Arbeitnehmer am Tag der Arbeitsleistung elektronisch aufzuzeichnen. Ein Tarifvertrag oder eine Betriebsvereinbarung kann hingegen bestimmen, dass die Aufzeichnung auch in nicht-elektronischer Form erfolgen kann. Der Gesetzentwurf sieht auch Übergangsfristen für den Arbeitgeber vor.

Derzeit ist noch nicht klar, ob und wann der Gesetzentwurf verabschiedet wird. In der Zwischenzeit bleibt die derzeitige Gesetzeslage in Kraft.

Überstunden

Überstunden fallen an, wenn die auf das Arbeitsverhältnis geltende Arbeitszeit überschritten wird, die durch den Arbeitsvertrag oder eine Kollektivvereinbarung (Tarifvertrag oder Betriebsvereinbarung) festgelegt ist.

Der Arbeitnehmer ist, mit Ausnahme von Not- und Katastrophenfällen, nur dann verpflichtet, Überstunden zu leisten, wenn der Arbeitsvertrag oder der Tarifvertrag bzw. die Betriebsvereinbarung dies vorsehen oder vorsehen, dass der Arbeitgeber einseitig Überstunden anordnen darf. Der Arbeitnehmer hat seinerseits keinen Anspruch auf Leistung von Überstunden.

In der Regel muss der Arbeitgeber dem Arbeitnehmer die Überstunden mit dem Regel-Stundenlohn vergüten, vorausgesetzt, er hat die Überstunden angeordnet. Im Einzelfall kann diese Vergütung über dem üblichen Vergütungssatz liegen.

Alternativ zu einer Vergütung kann der Arbeitgeber Freizeitausgleich gewähren.

Teilzeit

Wenn der Arbeitnehmer seine Arbeitszeit reduzieren möchte, ohne dass er hierfür einen besonderen vom Gesetz anerkannten Grund wie z. B. Kinderbetreuung (Elternzeit) oder die Pflege eines Angehörigen (Pflegezeit/ Familienpflegezeit) hat, kann der Arbeitgeber dessen Wünschen ablehnen, falls betriebliche Gründe entgegenstehen. Ein betrieblicher Grund liegt insbesondere vor, wenn die Verringerung der Arbeitszeit die Organisation, den Arbeitsablauf oder die Sicherheit im Betrieb wesentlich beeinträchtigt oder unverhältnismäßige Kosten verursacht.

In den ersten sechs Monaten des Arbeitsverhältnisses darf der Arbeitnehmer noch keine Reduzierung seiner Arbeitszeit beantragen.

Die Möglichkeiten für den Arbeitnehmer, seinen Wunsch auf Teilzeit durchzusetzen, sei es auf unbestimmte Zeit oder für einen befristeten Zeitraum, hängen außerdem von der Anzahl der Mitarbeiter im Betrieb und ggf. von der Anzahl weiterer Teilzeitmitarbeiter ab.

Die Teilzeit ist keine Sackgasse. Für Mitarbeiter in Teilzeit, die ihre Arbeitszeit (wieder) verlängern wollen, sieht das Gesetz ein Vorzugsbehandlung bei der Besetzung von Stellen vor.

Verschiedene Arbeitszeitmodelle

• Manche Arbeitgeber bieten ihren Mitarbeitern Gleitzeit an. Der Arbeitnehmer darf in diesem Fall innerhalb bestimmter täglicher Gleitspannen die Arbeit beginnen und beenden. In der Regel sieht eine Gleitzeitregelung vor, dass der Mitarbeiter zu bestimmten Kernzeiten tätig ist. Geht die Freiheit des Arbeitnehmers so weit, dass seine Arbeitszeit nicht kontrolliert wird, spricht man Vertrauensarbeitszeit. Diese Vertrauensarbeitszeit wird weiterhin erlaubt sein, auch wenn die Pflicht zur (elektronischen) Zeiterfassung eingeführt wird.

• Manche Stellen werden von i. d. R. zwei sich ergänzenden Teilzeitkräften besetzt (Job Sharing).

• Die Arbeitszeit muss nicht gleichmäßig auf eine Woche verteilt sein. Jahresarbeitszeit sieht vor, dass die Arbeitszeit über einen Zeitraum von einem Jahr geplant wird, z. B. ausgerichtet an saisonalen Bedarf.

• Ansparkonten ermöglichen dem Arbeitnehmer Überstunden anzusparen und eine Auszeit zu nehmen (Sabbatical) oder früher in den Ruhestand zu treten. Bei Arbeitszeitkonten sind Vorkehrungen zur Sicherung der Ansprüche des Arbeitnehmers zu treffen für den Fall einer Insolvenz des Unternehmens.

Fragen / Antworten:

Françoise Berton, französische Rechtsanwältin

Alle Urheberrechte vorbehalten

Bild: magele-picture

[English]Ich stelle mal ein Thema hier im Blog ein, was noch “ein paar Tage Zeit hat”, aber arg unangenehme Folgen haben könnte. Im Herbst 2026 läuft ein Zertifikat in Windows aus, welches im UEFI dafür sorgt, dass der Secure Boot ausgeführt werden kann. Zu diesem Zeitpunkt war das Zertifikat 15 Jahre gültig, aber alle Maschinen, die nicht aktualisiert werden, werden zum Stichtag nicht mehr im Secure Boot-Modus starten können.

Windows und das Secure Boot CA

Ich bin die Tage über nachfolgenden Tweet von Gunnar Haslinger auf das Thema gestoßen und stelle es heute mal hier im Blog zur Information ein.

Der Sachverhalt, um des es geht, ist mir wenigen Worten beschrieben. Microsoft nutzt ein UEFI-Zertifikat, welches sich in einer Datenbank befindet. Das von Microsoft in Windows propagierte Secure Boot greift auf dieses Zertifikat zu, um die Integrität zu prüfen. Secure Boot hängt also von der Gültigkeit dieses Zertifikats ab. Ist das Zertifikat in der Datei bootmgfw.efi auf der UEFI-Partition ungültig, kann die Maschine nicht mehr im Secure Boot starten.

Das Windows Production PCA 2011

Das bisher verwendete Zertifikat wurde aber vor langer Zeit, konkret im Jahr 2011, ausgestellt und läuft am Montag, den 19. Oktober 2026, nach 15 Jahren Gültigkeit, aus. Maschinen, die Secure Boot verwenden und bis zu diesem Zeitpunkt nicht aktualisiert wurden, können dann nicht mehr starten. Das dürfte vor allem Windows-Systeme betreffen, die keine Updates per Internet erhalten.

Das Black Lotus-Problem

Mit den Sicherheitsupdates von Mai 2023 hat Microsoft ja versucht, die Schwachstelle im Secure Boot, die durch die Hackergruppe BlackLotus und deren UEFI-Bootkit ausgenutzt wird, zu schließen. Die Schwachstelle CVE-2023-24932 bezieht sich auf eine Sicherheitslücke in dem in Windows-Betriebssystemen verwendeten Secure Boot, die das Ausführen nicht vertrauenswürdiger Software während des Startvorgangs ermöglicht.

Ich hatte im Blog-Beitrag BlackLotus UEFI-Bootkit überwindet Secure Boot in Windows 11 berichtet. Und im Beitrag Windows und das (BlackLotus) Secure Boot-Desaster: Wie ist bei euch der Status? bin ich auf die Problematik eingegangen, dass Administratoren manuell eingreifen müssen, um den Secure Boot abzusichern.

Neues Windows UEFI CA 2023

Um das Problem mit dem auslaufenden Zertifikat zu lösen, hat Microsoft das Update KB5025885 zur Absicherung bereitgestellt (siehe KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus) vom Mai 2023). Es gibt zudem einen Supportbeitrag zum Update KB5025885, in dem sich der Hinweis findet, doch das Windows-Sicherheitsupdate vom 9. Juli 2024 oder ein späteres kumulatives Sicherheitsupdate unter Windows zu installieren, um die benötigten Absicherungen gegen Black Lotus zu bereitzustellen.

In diesem Blog-Beitrag findet sich auch der Hinweis, dass mit dem Update ein neues Zertifikat (Windows UEFI CA 2023) bereitgestellt wird, um das alte Windows Production PCA 2011 zu ersetzen. Administratoren in Unternehmensumgebungen finden im Supportbeitrag zu KB5025885 entsprechende Hinweise, welche Schritte zusätzlich auszuführen sind. Wer seine Windows-Systeme mit einem Schutz vor Black Lotus und der Secure Boot-Schwachstelle CVE-2023-24932 versieht, ist auch auf das oben skizzierte Szenario eines auslaufenden UEFI-Zertifikats vorbereitet.

Im Laufe des Jahres 2024 führt Microsoft dann verschiedene Härtungsmaßnahmen aus, die ich im Blog-Beitrag Update zur Windows-Härtung in 2024/2025 – Stand März 2024 angerissen habe.

Ähnliche Artikel:
BlackLotus UEFI-Bootkit überwindet Secure Boot in Windows 11
KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)
Update zur Windows-Härtung in 2024/2025 – Stand März 2024

[English]Wie haltet ihr es eigentlich mit der Zertifizierung von Zugriffsrechten für die Benutzer? Zugriffs-Zertifizierung beschreibt die unabhängige Prüfung der Zugriffsrechte durch einen Auditor. Dieser untersucht, ob die den Benutzern gewährten Rechte wirklich notwendig sind. Ein gründlicher Prozess zur Zertifizierung des Benutzerzugriffs stellt sicher, dass die digitale Identität jedes Mitarbeiters nur die Berechtigungen hat, welche für die Erfüllung seiner Aufgaben nötig sind. So wird auch die Sicherheit der internen Daten gewährleistet. Mir ist kürzlich ein Text von Omada zugegangen, der sich mit dieser Fragestellung befasst. Ich stelle die Informationen mal hier im Blog ein.

Wenn die Belegschaft wächst und sich immer weiter ausdehnt, können sich die Zugriffsanforderungen im Handumdrehen ändern. Unternehmen sollten darauf achten, dass sie ihren Mitarbeitern, externen Auftragnehmern, Prüfern oder Saisonarbeitern nicht überhastet zu viele Zugriffsrechte für die Erfüllung ihrer Aufgaben einräumen, die gar nicht erforderlich sind. Meint jedenfalls Stephen Lowing, VP Marketing bei Omada.

Um ernsthafte Sicherheitsrisiken und versäumte Audits zu vermeiden, sollte jedes Unternehmen regelmäßige Zugriffs-Zertifizierungen durchführen. Dieser Artikel klärt, welche Bereiche im Unternehmen man hierbei besonders priorisieren sollte und welche Vorteile Zugriffs-Zertifizierungen IT-Sicherheitsverantwortlichen bieten können.

Wichtige Bereiche für die Zugriffskontrolle

Eine Liste über aktive Zugriffs-Berechtigungen und ein Plan zum Entfernen von Zugangsrechten, die nicht mehr benötigt werden, sind das Herzstück eines erfolgreichen IGA-Programms (Identity Governance and Administration). Dabei gibt es eine große Anzahl von Variablen, die bestimmen, welche Zugangsrechte und Berechtigungen gewährt werden sollten:

1. Geschäftsressourcen

Verschiedene Personen benötigen Zugang zu verschiedenen Arten von Anwendungen, sei es Infrastruktur wie Azure oder AWS, Datenbanken, Kommunikationsanwendungen wie Teams und Slack, CRMs wie Salesforce oder ITSM-Tools wie ServiceNow.

Ebenfalls gilt es zu beachten: Bestimmte Anwendungen sind nur für bestimmte Gruppen der Belegschaft erforderlich, während einige von ihnen von allen benötigt werden. Ein Beispiel für einen solchen gemeinsamen Nenner: Höchstwahrscheinlich benötigen alle Mitarbeiter in einer Organisation Zugang zu einem E-Mail-System.

2. Arbeitsorte

Je nachdem, wo die Mitarbeiter arbeiten, benötigen sie Zugang zu verschiedenen Dingen, beispielsweise zu physischen Standorten wie Büros. Ebenfalls denkbar ist, dass sie sich über verschiedene VPN-Standorte, geografische Untergruppen von Anwendungen oder bestimmte Kundendaten anmelden müssen, um die lokalen Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO) einzuhalten.

3. Funktion oder Status des Arbeitsplatzes

Die Arbeitsplatzfunktion ist meist an die Rolle im Unternehmen gebunden. Eine Person, die an einem Fließband arbeitet, hat beispielsweise Zugriff auf fertigungsbezogene Systeme, während ein Back-Office-Mitarbeiter ganz andere Berechtigungen für die Finanz- und Buchhaltungsanwendungen des Unternehmens hat.

Eine weitere Variable könnte die Art des Beschäftigungsverhältnisses sein: Vollzeitbeschäftigte sollten andere Zugriffsrechte erhalten als Zeitarbeitskräfte und Zugang zu Ressourcen wie betrieblichen Leistungen haben. Es ist immer wichtig, Rollen und Kontexte als kritische Komponente für die kontinuierliche Verwaltung und Regelung von Zugriffsrechten zu identifizieren.

Diese Variablen, die oft kontextabhängig sind, können auch auf der Grundlage von Ereignissen gewährt werden: entweder regelmäßig auftretende und geplante oder solche, die kurzfristig eintreten. Beispiele dafür sind:

• Audits: Wenn eine Prüfung ansteht, müssen Unternehmen nachweisen können, dass nur bestimmte Personen Zugang zu bestimmten Systemen haben. Möglicherweise müssen sie auch zusätzliche Personen mit Zugriff auf Datenbanken und verschiedene Anwendungen beauftragen, um die für ein bestimmtes Audit benötigten Daten zu sammeln.

• Hochsaison: Vor allem im Einzelhandel herrscht um die Feiertage herum oft Hochsaison. Allerdings findet diese in verschiedenen Branchen zu unterschiedlichen Zeiten statt und kann mit der Einstellung zusätzlicher Mitarbeiter zur kurzfristigen Unterstützung zusammenfallen, was zu einem Anstieg der Zahl der Zeitarbeiter führt.

In diesen Zeiten haben IT-Teams alle Hände voll zu tun, da den Mitarbeitern der Zugang zu bestimmten Ressourcen mit hoher Priorität zugewiesen wird. Umso wichtiger ist es dann, diesen Zugang wieder zu entziehen, wenn die Saison vorbei ist.

Vorteile einer regelmäßigen Zertifizierung des Zugriffsmanagements

Mit einer regelmäßigen Zertifizierung der Zugriffsverwaltung können Unternehmen überprüfen, ob die richtigen Personen weiterhin Zugriff auf die richtigen Ressourcen haben, um ihre Aufgaben zu erledigen – und gleichzeitig inaktive und stillgelegte Konten identifizieren.

Es ist unverzichtbar, die korrekte Zugriffszuweisung für die verschiedenen Geschäftsrollen zu validieren, damit die Sicherheits- und Compliance-Risiken im Unternehmen minimiert werden können.

Kampagnen zur Zugriffs-Zertifizierung

Unternehmen brauchen die Möglichkeiten, kontinuierlich zu zertifizieren. Nur so können Zugriffsrechte sicher verwaltet werden und sichergestellt werden, ob diese überhaupt weiterhin benötigt werden.

Bei der Erstellung von Zertifizierungskampagnen sollten Organisationen Folgendes anstreben:

• Daten darüber sammeln, wer auf was, wann, warum, wie oft usw. zugreift

• Umfragen einrichten, die für Geschäftsanwender schnell zu beantworten und für Administratoren schnell einzurichten sind

• Detaillierte Daten sammeln, um intelligentere Geschäftsentscheidungen treffen zu können

• Interpretation der Ergebnisse auf eine Art und Weise, die für Sicherheits- und Risikomanagement-Teams leicht umsetzbar ist, sodass die geringsten Rechte gewahrt bleiben

• Nachweis der Konformität gegenüber Prüfern

• Automatisierung von Prozessen, die zuvor manuell durchgeführt wurden

Zugriffs-Zertifizierungskampagnen sind eine Möglichkeit für Unternehmen, Berechtigungen zu prüfen und formell zu bestätigen, dass die Zugriffsrechte von Einzelpersonen angemessen sind. Konzeptionell gesehen zielen diese Kampagnen darauf ab, nicht mehr benötigten Zugang zu entfernen, oder den Zugang zu Ressourcen dauerhaft zu genehmigen, die zuvor ad hoc gewährt wurden.

Wer Zertifizierungskampagnen ernst nimmt und regelmäßig durchführt, stellt nicht nur die Compliance-Treue und Einhaltung gesetzlicher Regularien sicher, sondern schützt auch wertvolle Kunden- und Unternehmensdaten. Selbst wenn Cyberkriminelle im schlechtesten Falle Login-Daten erlangen und korrumpieren, werden ihnen so durch zuvor geringstmöglich vergebene Zugriffsrechte frühzeitig die Wege abgeschnitten.

[English]Microsoft hat gerade die allgemeine Verfügbarkeit seiner Lösungen Microsoft 365 Backup und Microsoft 365 Backup Storage bekannt gegeben. Microsoft 365 Backup ermöglicht die Sicherung und Wiederherstellung von Daten von OneDrive, SharePoint und Exchange.

Ankündigung der allgemeinen Verfügbarkeit

Ich bin über nachfolgenden Tweet auf die betreffende Ankündigung Microsofts gestoßen, die Ende Juli 2024 im Techcommunity-Beitrag Microsoft Announces General Availability of Microsoft 365 Backup and Microsoft 365 Backup Storage näher beschrieben wird.

Im Beitrag heißt es, dass Microsoft 365 entwickelt wurde , um hohe Verfügbarkeit, Notfallwiederherstellung, Sicherheit und Datenschutz zu gewährleisten – gut, das ist eine reine Marketing-Aussage. Wegen der steigenden Anzahl an Ransomware-Angriffen wünschen sich die Kunden, laut Microsoft, erweiterte Self-Service-Wiederherstellungsfunktionen über längere Zeiträume. Daher führt Microsoft seine beiden Lösungen Microsoft 365 Backup und die zugrundeliegende, auf Entwickler ausgerichteten Microsoft 365 Backup Storage-Plattform allgemein ein.

Microsoft 365 Backup

Laut Microsoft soll Microsoft 365 Backup leistungsstarke Sicherungs- und Wiederherstellungsfunktionen für kritische aktiven Daten bieten und Unternehmen ermöglichen, die Geschäftskontinuität aufrechtzuerhalten. Das soll um Größenordnungen schneller als mit herkömmlichen migrationsbasierten Sicherungsmethoden erfolgen, verspricht Redmond.

Microsoft 365 Backup, Quelle: Microsoft

Mit dem Produkt soll eine ultraschnelle Wiederherstellung von OneDrive-, SharePoint- und Exchange-Daten ermöglicht werden. Diese Backups werden innerhalb der Vertrauensgrenze von Microsoft 365 aufbewahrt. Daher geht Microsoft davon aus, dass die Gefahr von Sicherheitsverletzungen und übermäßigem Zugriff auf Anwendungsdaten begrenzt , ist.

Microsoft 365 Backup soll für Business Continuity sorgen und gleichzeitig schnelle Backups mit häufigen Wiederherstellungspunkten und niedrigen durchschnittlichen Wiederherstellungszeiten im Massenbetrieb bieten. Microsoft gibt einen 20-fach schnellere Sicherung als herkömmliche Methoden zur Sicherung und Wiederherstellung großer Mengen von Microsoft 365-Daten, und beruft sich auf interne Forschungen aus 2024.

Microsoft 365 Backup wird über das Microsoft 365 Admin Center angeboten und ist als eigenständige Pay-as-you-go (PAYGO)-Lösung ohne zusätzliche Lizenzanforderungen erhältlich.

Microsoft 365 Backup Storage

Diese Lösung  gibt Backup-Entwicklern von Drittanbietern die Möglichkeit, Kunden die gleichen Vorteile der nativen Microsoft 365 Backup-Lösung über eine eigene integrierte Anwendung zur Verfügung zu stellen. Microsoft 365 Backup Storage ermöglicht es unabhängigen Softwareanbietern (ISVs), Anwendungen zu entwickeln, die die Microsoft 365 Backup Storage APIs nutzen, um Sicherungen vorzunehmen.

Die Nutzer dieser Lösungen sollen alle Vorteile von Microsoft 365 Backup nutzen können und zusätzlich von Anwendungen profitieren, die von Anbietern bereitgestellt werden. Microsoft führt veeam, Veritas, rubrik und Commfault als Partner auf, die entsprechende Lösungen anbieten können.

[English]Mit den Sicherheitsupdates, die Microsoft zum 9. Juli 2024 für Windows ausgerollt hat, gibt es Probleme mit Remote-Verbindungen. Mir liegen einige Berichte vor, dass der Remotedesktop Gateway Dienst unter einigen Windows-Versionen (Windows Server 2019, Windows Server 2022) kaputt ist und regelmäßig abstürzt. Jetzt hat Microsoft offiziell diese Probleme mit Remote-Verbindungen bestätigt.

Remote Desktop Gateway-Dienst kaputt

Die Sicherheitsupdates vom 9. Juli 2024 verursachen definitiv Kollateralschäden beim Remote Desktop Gateway-Dienst. Blog-Leser Christian hatte sich in diesem Kommentar gemeldet und schreibt, dass er das kumulative Update KB5040442 auf einem 2022er Server wieder deinstallieren musste. Auch im Internet finden sich solche Beschreibungen wie Remote Desktop Gateway frequent disconnects after KB5040430 im Microsoft Answers-Forum.

Ich hatte die diversen Nutzermeldungen und eine Beschreibung des Sachverhalts im Blog-Beitrag Windows Juli 2024-Updates machen Remote-Verbindungen kaputt herausgezogen. Und ich hatte im Beitrag Workaround für kaputten Windows Remote Desktop Gateway-Dienst nach Juli 2024-Updates eine Möglichkeit beschrieben, wie man das Problem umschiffen kann.

Microsoft bestätigt die Probleme

Im Microsoft Answers-Forumenpost Remote Desktop Gateway frequent disconnects after KB5040430 findet sich inzwischen der Hinweis, dass Microsoft das Problem für verschiedene Updates bestätigt habe.

Die Kollegen von Bleeping Computer haben zudem die beiden nachfolgend genannten Updates als betroffen angegeben (in den KB-Artikeln ist es jedenfalls als Problem aufgeführt).

In den Known Issues-Abschnitten dieser Updates hat Microsoft nun die Information zum auftretenden Remote-Desktop-Problem eingestellt. Dort heißt es, dass die betreffenden Updates für Windows Server die Remotedesktop-Konnektivität in einem Unternehmen beeinträchtigen können. Das tritt wohl nur auf, wenn das Legacy-Protokoll (Remote Procedure Call over HTTP) in Remote Desktop Gateway verwendet wird. Dies kann dazu führen, dass Remotedesktopverbindungen unterbrochen werden.

Microsoft schreibt, dass das Problem intermittierend, z. B. alle 30 Minuten,auftreten kann. In diesem Intervall gehen die Anmeldesitzungen verloren und die Benutzer müssen sich erneut mit dem Server verbinden. IT-Administratoren können dies als Beendigung des TSGateway-Dienstes verfolgen, der mit dem Ausnahmecode 0xc0000005 nicht mehr reagiert.

Workarounds von Microsoft

Microsoft beschreibt in seinen Support-Beiträgen zwei Workarounds, um die Abstürze und Probleme zu verhindern – das sind aber genau die Workarounds, die ich im Beitrag Workaround für kaputten Windows Remote Desktop Gateway-Dienst nach Juli 2024-Updates erwähnt habe:

• Option 1: Verbindungen über die Pipe und den Port \pipe\RpcProxy\3388 durch das RD Gateway verbieten. Dieses Verfahren erfordert die Verwendung von Verbindungsanwendungen, wie z. B. einer Firewall-Software.
• Option 2: Den Schlüssel HKCU\Software\Microsoft\Terminal Server Client\RDGClientTransport für den RDGClientTransport in der Registrierung der Client-Geräte entfernen, indem dessen DWORD-Wert auf 0x0 gesetzt wird.

Details zu den Workarounds finden sich in den oben verlinkten Supportbeiträgen der betreffenden Juli 2024-Updates. Microsoft arbeitet an einer Lösung für das Problem und will diese mit einem der nächsten Updates bereitstellen.

Ähnliche Artikel:
Microsoft Security Update Summary (9. Juli 2024)
Patchday: Windows 10/Server-Updates (9. Juli 2024)
Patchday: Windows 11/Server 2022-Updates (9. Juli 2024)
Windows Server 2012 / R2 und Windows 7 (9. Juli 2024)

Windows Juli 2024-Updates machen Remote Verbindungen kaputt
Workaround für kaputten Windows Remote Desktop Gateway-Dienst nach Juli 2024-Updates

Windows 11 Update KB5040442 verursacht Probleme mit Outlook 2021
Windows 10/11 Updates (z.B. KB5040442) triggern Bitlocker-Abfragen (Juli 2024)
Windows Update Juli 2024: Gibt es Probleme mit Radius-Authentifizierungen?
Juli 2024-Sicherheitsupdate KB5040427 lässt Windows 10/Server LPD-Druckdienst abstürzen
Microsofts Fixes für diverse Windows-Bugs (Juli 2024)

Microsoft bestätigt Bitlocker-Abfragen durch Windows Juli 2024-Updates

Der Hoster Domainfactory hat wohl damit begonnen, zahlende Kunden darüber zu informieren, dass inaktive Postfächer nach einer bestimmten Zeit gelöscht werden. Das Ganze soll ab dem 14. September 2024 starten und betrifft alle Postfächer, die für 30 Tage nicht genutzt wurden, um neue oder alte E-Mails zu lesen oder per SMTP Mails zu versenden.

Wer ist Domainfactory?

Bei Domainfactory handelt es sich um einen in München residierenden Webhoster, der zu GoDaddy gehört. Das 2000 gegründete Unternehmen bietet neben Webpaketen auch E-Mail-Postfächer anbietet. Details sind auf der Webseite df.eu des Unternehmens einsehbar. Für mehr als 220.000 Kunden verwaltet das Unternehmen über 1,3 Millionen Domains, heißt es auf dieser Seite.

Bezüglich der E-Mail-Postfächer führt Domainfactory nun die Änderung ein, dass inaktive Postfächer auch für zahlenden Kunden gelöscht werden sollen.

Erste Meldung in Foren

Mir ist die erste Meldung über diese Änderung im ComputerBase-Forum untergekommen, wo ein Benutzer zum 7. Juli 2024 in einem Eintrag auf die Änderungen hinwies.

Hallo zusammen,

Domainfactory scheint inaktive Postfächer löschen zu wollen. Um das zu verhindern soll man sich einloggen und alles ist gut.
Das Ganze soll aber in einem Rhythmus von 30 Tagen geschehen.

Nun habe ich viele Emailadressen bei Domainfactory – die meisten sind aber nur Weiterleitungen. Eine Email-Domain läuft über Microsoft Exchange, hat aber ein Postfach bei DF – keine Lust mich hier jetzt alle 30 Tage sinnlos einzuloggen.

Jemand auch davon betroffen? Was wäre denn derzeit für WordPress Hosting eine gute Alternative? Ist auf dem Gebiet vielleicht sogar jemand spezialisiert und würde mir beim Umzug helfen 🙂

Als Quelle gibt der betreffende Nutzer diese Domainfactory-Supportseite an. Erste Kunden sind wohl am 8. Juli 2024 (irrtümlich) per E-Mail über inaktive Postfächer informiert worden. Als inaktiv gilt ein Postfach, wenn sich der Nutzer innerhalb der letzten 30 Tage:

• sich nicht angemeldet haben, um neue E-Mails zu lesen oder auf alte E-Mails über POP/IMAP/Webmail zuzugreifen;
• und sich nicht eingeloggt haben, um eine E-Mail über die Domainfactory SMTP-Server zu versenden.

heißt es auf der Supportseite. Um sicherzustellen, dass Ihr Postfach nicht als “inaktiv” betrachtet und gelöscht wird, müssen sich Nutzer innerhalb der nächsten 60 Tage und danach mindestens alle 30 Tage an ihrem Postfach anmelden. Das geht über POP/IMAP/Webmail zum Mailabruf oder über SMTP zum Versenden von E-Mails.

Wer dies versäumt, läuft in echte Probleme. Sobald ein Postfach als inaktiv eingestuft wird, wird Domainfactory alle E-Mails und alle anderen Inhalte und Daten, die mit dem Postfach verbunden sind (einschließlich Kontakte, Kalender und Aufgaben), aus den DF-Systemen entfernen, d.h. löschen.

Betroffene sollen per Mail vor der Löschung über das inaktive Konto und  die Folgen informiert werden. Die Entfernung inaktiver Postfächer diene der Aufrechterhaltung und Optimierung der Performance der Domainfacotry-E-Mail-Systeme heißt es. Zudem unterstütze dies die Migration der E-Mail-Produkte von der alten MyMail-Plattform zur aktuellen E-Mail-Plattform. Domainfactory beruft sich auf die AGB als vertragliche Grundlage zur Löschung inaktiver Postfächer.

Kunden sind sauer

Im ComputerBase-Forum äußern sich Kunden ziemlich angepisst und geben an, dieser Vertragsänderung widersprochen zu haben. Ein Nutzer, seit  15 Jahren Kunde, meint dazu, dass der monatlich Geld für eine Hosting-Leistung bezahle, die sowohl seine Webseite als auch seine E-Mail Postfächer beinhaltet. Ihm nun vorzuschreiben, wie er seine Postfächer zu nutzen habe, findet er unmöglich.

Auf dieser Seite erhält der Hoster recht schlechte Kritiken, wobei sich Kunden über verschwundene Mails und Postfächer beklagen. Das scheint mit der Migration auf das neue Mail-System zusammen zu hängen. Laut diesem Kommentar migriert Domainfactory zu Open Xchange – möglicherweise bestimmen sich die Lizenzkosten über die Zahl der Postfächer. Auf der Google-Rezensionsseite gibt es seit einer Woche ebenfalls einen Eintrag mit Kritik, wobei auf das Thema inaktive E-Mail-Konten hingewiesen wird. Und bei Trustpilot gibt es ebenfalls sehr negative Kritiken.

Golem, die das Thema hier aufgegriffen haben, schreiben, dass die Änderung ab dem 14. September 2024 greifen soll und beziehen sich auf eine der Reaktion vorliegende Benachrichtungs-Mail. Die Umstellung dürfte zahlreiche Dienstleister treffen, die Hosting samt E-Mail-Funktionen für Kunden über diesen Hoster bereitstellen. Da ist Ärger vorprogrammiert – und beim Wechsel des Anbieters droht Aufwand.

Dieser Beitrag wurde unter Mail abgelegt und mit Mail verschlagwortet. Setze ein Lesezeichen auf den Permalink.

[English]Durch ein fehlerhaftes Update der CrowdStrike Falcon-Software wurden zum 19. Juli 2024 um die 8,5 Millionen Windows-Rechner lahm. Der Vorfall gilt bereits als die bisher weltweit der größte Computerpanne, und dürfte Milliarden Schaden verursachte haben. Seit Freitag kämpfen Administratoren damit, die ausgefallenen Systeme zu reparieren und es laufen “Aufräumarbeiten”. Ein Blog-Leser hat mich bereits zum Wochenende kontaktiert, weil ihm als Administrator einige Nebenwirkungen aufgefallen sind, die bisher öffentlich so noch nicht angesprochen wurden. Auch nach der Reparatur des BlueScreen-Verhaltens sind ggf. Falcon Sensor-Agenten nicht mehr arbeitsfähig.  Ich stelle mal einige Informationen im Blog-Beitrag zusammen.

Der CrowdStrike-Vorfall

Am 19. Juli 2024 kam es weltweit zu zahlreichen Störungen an IT-Systemen mit Windows. Der Betrieb an Flughäfen stand, Banken konnten nicht mehr arbeiten, Züge fielen aus, und Firmen schickten ihre Mitarbeiter nach Hause (z.B. Tegut), weil die IT-Systeme nicht mehr gingen. Auch deutsche Kommunen, Firmen und Banken waren betroffen. Ich hatte zeitnah im Beitrag Ausfall von Microsoft 365 und weltweite Störungen – wegen CrowdStrike-Update, was zum BSOD führt? berichtet.

Es war aber kein Cyberangriff, sondern ein fehlerhaftes Update für eine EDR-Sicherheitslösung des US-Anbieters CrowdStrike, die Windows-Systeme mit einem BlueScreen abstürzen ließen. Eine erste Analyse, was passiert sein könnte, findet sich in meinem Blog-Beitrag CrowdStrike-Analyse: Wieso eine leere Datei zum BlueSceen führte.

In diesem Tweet zitiert jemand, dass das fehlerhafte Update neu beobachtete, bösartige “named pipes”, die von gängigen C2-Frameworks bei Cyberangriffen verwendet werden, ins Visier nehmen sollte. Ich hatte hier im Blog zeitnah berichtet und den Vorfall in diversen Beiträgen nachbearbeitet (siehe Links am Artikelende).

Neue CrowdStrike-Probleme/Nebenwirkungen?

Ein Blog-Leser hat mich per E-Mail kontaktiert, weil er als Administrator auch für CrowdStrike verantwortlich ist und von dem Vorfall betroffen war. Ihm sind im CrowdStrike-Fall neue Probleme bzw. Nebenwirkungen aufgefallen. Der Leser schrieb mir, dass das Unternehmen eine großen Teil seiner Landschaft wieder in Betrieb habe.

Als er sich aber in der CrowStrike-Console die Server des Unternehmens angesehen hat, musste er feststellen, dass sich ca. 10% der Server seit Freitag nicht mehr gemeldet haben (obwohl die Server selbst laufen). Falls das CrowdStrike-Icon in der CrowStrike-Console aktiviert wurde, zeigt das Icon diesen Fehler.

Die Konsole meldet, dass der Treiber gestoppt wurde, obwohl der Dienst läuft. Sprich: Die CrowdStrike Falcon Sensoren liefern keine Rückmeldungen an die Konsole.

Agent nicht mehr arbeitsfähig

Nach einem Upgrade der Version funktioniert es wieder aber was ist die Ursache? Der Leser hat dann geforscht und ist dem Problem auf die Spur gekommen. Der CrowdStrike-Support meldet folgendes.

File not found: %SYSTEMROOT%\system32\drivers\CrowdStrike\csagent.sys

it seems that CSAgent.sys has been renamed to CSAgent.sys.old:

CSAgent.sys.old               09.07.2024 14:50:46       7.15.18513.0  

The reason why an upgrade solved it, it is probably because that also triggered a repair and renamed CSAgent.sys.old to its original name.

Current suggestion is to check the the impacted Channel File has been removed from the System and then rename the CSAgent.sys.old back to its original name CSAgent.sys and reboot the host.

Bedeutet also, auch wenn der BlueScreen (BSOD) unter Windows auf Grund des fehlerhaften Updates repariert wurde, ist der Falcon Sensor-Agent ggf. nicht lauffähig. Betroffene Server lassen sich aber ganz gut in der CrowdStrike-Console über die Abfrage “last seen” filtern. Server sollten sich ja durch ihren Dauerbetrieb regelmäßig melden.

Schwierigkeit bei Clients

Der Leser schrieb noch, dass es bei Clients anders aussieht, da diese unregelmäßig online sind und sich daher nicht regelmäßig melden. Er stellte die Frage: “Wer will da jetzt noch herausfinden, welcher Client wurde repariert, und meldet sich aber nicht?” Das ist eher schwierig.

Sofern das oben erwähnte Icon aktiviert wurde, könnten die User selbst nachsehen, ob die Falcon-Software am Client arbeitet. In seiner Mail merkte der Leser noch an, dass er erst am gestrigen Montag mit der Client-Reparatur beginne und dort das als Prüfschritt mit einbauen will. Danke an den Leser für die Hinweise – noch jemand mit dieser Beobachtung?

Ähnliche Artikel:
Weltweiter Ausfall von Microsoft 365 (19. Juli 2024)
Ausfall von Microsoft 365 und weltweite Störungen – wegen CrowdStrike-Update, was zum BSOD führt?
Wieso weltweit zahlreiche IT-Systeme durch zwei Fehler am 19. Juli 2024 ausfielen
CrowdStrike-Analyse: Wieso eine leere Datei zum BlueSceen führte
Nachlese des CrowdStrike-Vorfalls, der bisher größten Computerpanne aller Zeiten
CrowdStrike-Vorfall: Sensor-Ausfall als bisher unbekannte Nebenwirkung?