Als zentraler Bestandteil vieler Unternehmensnetzwerke ist das Active Directory (AD) ein beliebtes Ziel für Ransomware und andere Angriffe aus dem Netz. Im iX-Workshop Angriffsziel lokales Active Directory: effiziente Absicherung erfahren Sie, wie Sie Active Directory-Umgebungen wirksam schützen.

Zunächst lernen Sie die Grundlagen von AD-Objekten und Authentifizierungsprotokollen wie Kerberos und Net-NTLM kennen. Sie erhalten Einblicke in typische Angriffswege – von der Informationssammlung über Fehlkonfigurationen bis zu Techniken wie Pass the Hash, Kerberoasting, Lateral Movement und Delegierungsangriffen. Auch verbundene Dienste wie SQL-Server und Exchange werden betrachtet.

Darauf aufbauend werden konkrete Schutzmaßnahmen vermittelt: das Aufspüren und Beheben von Schwachstellen mit Tools wie PowerView, BloodHound und PingCastle, Härtung durch Rechtevergabe, Tiering, LAPS und Schutz administrativer Konten. Zudem lernen Sie, Angriffe frühzeitig zu erkennen – durch Log- und Auditeinstellungen, zentrale Protokollauswertung, Sicherheitslösungen und Deception-Technologien wie Honeypots.

Dieser Workshop richtet sich an Administrierende, IT-Sicherheitsverantwortliche sowie an Security-Fachleute. Referent des dreitägigen Präsenz-Workshops ist Frank Ully. Als erfahrener Pentester konzentriert er sich auf relevante Entwicklungen im Bereich der offensiven IT-Sicherheit.

Absicherung von Entra ID

Geht es Ihnen um die Absicherung von Entra ID, Microsofts Active Directory in der Cloud, empfehlen wir Ihnen den Workshop Azure und Entra ID: Angriffsszenarien und Schutzmaßnahmen.

(ilk)

Neues Jahr, neue Chips: In dieser Podcast-Folge sprechen wir über die Prozessoren und andere Chips, die wir 2026 erwarten oder die schon fest versprochen sind.

Anfang Januar startet in Las Vegas wieder die CES und AMD-Chefin Lisa Su will eine Keynote präsentieren. Viele neue Ryzens sind leider nur alter Wein in neuen Schläuchen, aber für Ende 2026 hat AMD bereits Zen 6 aus der Fertigungstechnik TSMC N2 versprochen. Welche Ryzens damit kommen werden, ist aber offen, bisher war vor allem vom Serverprozessor Venice die Rede.

Bei Intel startet endlich Panther Lake alias Core Ultra 300. Für den wurden 2023/2024 gewaltige Hoffnungen geweckt, weil er die Vorteile der Intel-Fertigungstechnik 18A praktisch beweisen soll. Mittlerweile wirkt Intel eher kleinlaut.

Sehr große Erwartungen gibt es hingegen an Nova Lake, der vermutlich als Core Ultra 400 im Herbst kommt. Die Desktop-PC-Version könnte bis zu 52 Kerne haben und manche auch einen riesigen L3-Cache, um in PC-Spielen endlich die Ryzen X3D zu schlagen.

Dann gibt es noch ARM-Chips wie Qualcomm Snapdragon X2 und den N1 von Nvidia/Mediatek, aber auch LPDDR6, PCI Express 6.0 – und weniger schöne Entwicklungen wie den Preisschock bei Arbeitsspeicher und SSDs, also DRAM und NAND-Flash.

Ein bisschen schauen wir auch zurück auf 2025.

Der c’t-Redakteur Christof Windeck spricht mit seinem heise-online-Kollegen Mark Mantel über die vielen neuen Chips in Folge 2025/27 von Bit-Rauschen, der Prozessor-Podcast von c’t.

Podcast Bit-Rauschen, Folge 2025/27 :

Wir freuen uns über Anregungen, Lob und Kritik zum Bit-Rauschen. Rückmeldungen gerne per E-Mail an bit-rauschen@ct.de.

Alle Folgen unseres Podcasts sowie die c’t-Kolumne Bit-Rauschen finden Sie unter www.ct.de/Bit-Rauschen

Weitere Podcasts aus unserem Team finden Sie unter heise.de/podcasts.

Neu ist c’t4004, der Podcast zum YouTube-Kanal c’t3003.

(ciw)

Die Volksrepublik China nimmt große Sprachmodelle an die Kandare. Weil es schnell gehen soll, sind nun „vorläufige Maßnahmen“ zur öffentlichen Konsultation bis 25.1.2026 aufgelegt. Grundtenor ist, dass Künstliche Intelligenz sich als solche zu erkennen geben sowie auf Datenschutz, Wohlergehen der Nutzer und natürlich „sozialistische Kernwerte“ achten muss.

Ziel ist die Unterstützung „gesunder Entwicklung“ von KI-Diensten samt „Anwendungs-Ökosystem“, speziell zwecks Verbreitung chinesischer Kultur sowie Begleitung von Senioren. Letzteres soll offenbar Einsamkeit bekämpfen. Sozialistische Kernwerte sind stets einzuhalten, zudem sind „soziale Moral und Ethik“ zu beachten. Und Betrieb ist erst gestattet, wenn Sicherheit und Verlässlichkeit in vollem Umfang bewiesen sind.

Die neuen Maßnahmen sind nachrangig gegenüber etwaigen Gesetzen und Verordnungen und erfassen „anthropomorphe interaktive Dienste“. Das sind alle öffentlich angebotenen KI-Systeme, die in China mit Menschen durch Text, Bilder, Videos und/oder Ton kommunizieren und dabei menschliche Persönlichkeitsmuster, Denkmuster oder Kommunikationsstile simulieren. Die Volksrepublik wird solche Dienste heimlich überwachen, um „Missbrauch und Kontrollverlust“ hintanzuhalten. Zusätzlich soll sich die Branche selbst Regeln geben.

Unvernünftige Entscheidungen Verboten

Artikel 7 des konsultierten Entwurfs enthält eine lange Reihe an Verboten. Untersagt sind Generation, Verbreitung oder Bewerbung von Inhalten mit Bezug zu Glücksspiel, Obszönem, Gewalt, Beleidigung, Rufschädigung, Anstiftung zu Straftaten oder der Verletzung legitimer Rechte oder Interessen (!) Dritter. Gleichermaßen darf nichts generiert oder verbreitet werden, was nationale Interessen, die Nationale Ehre oder die Nationale Sicherheit gefährdet, die Einheit Chinas unterminiert, illegale Religionsausübung ist oder Gerüchte verbreitet, die die wirtschaftliche oder soziale Ordnung stören.

Die Systeme dürfen auch keine falschen Versprechen machen, die das Verhalten der Nutzer stark beeinflussen oder ihre sozialen Beziehungen schädigen. Verpönt sind darüber hinaus die Schädigung der physischen Gesundheit der Nutzer durch Implikation, Anstiftung zu oder Verherrlichung von Selbstschädigung oder Suizid. Parallel sollen geistige Gesundheit und persönliche Würde durch Untersagung emotionaler Manipulation und verbaler Gewalt geschützt werden. Dazu passt die Interdiktion, die digitalen Angeboten mit Zielen wie Abhängigkeit, soziale Isolation oder psychologische Kontrolle über die User zu gestalten.

Schließlich verbittet sich die Behörde auch die Sammlung vertraulicher Informationen sowie die Verleitung der Nutzer zu „unvernünftigen Entscheidungen“ durch Methoden wie algorithmische Manipulation, irreführende Information oder das Stellen emotionaler Fallen. Das Nachahmen von Familienmitgliedern ist ebenfalls tabu.

Vom Design über Training bis zur Abschaltung

Artikel 8, 9 und 21 folgende beinhalten umfangreiche Auflagen für Entwurf, Entwicklung, Betrieb und Abschaltung der KI-Dienste. Die Bandbreite reicht von Datenschutz über Betrugsbekämpfung bis zu Ethik und IT-Sicherheit. Einmal in Betrieb soll Leistung „kontinuierlich optimiert“ werden.

Vorgaben zu den für das KI-Training genutzten Daten stehen in Artikel 10 des Entwurfs: Sie müssen ebenfalls sozialistischen Werten entsprechen und die „exzellente traditionelle chinesische Kultur“ verkörpern. Gleichzeitig soll das Korpus divers sein und täglich überprüft werden. Nicht vergessen wird auf die Voraussetzung, dass die Trainingsdaten legal und nachverfolgbar zu sein haben.

Altersverifikation nur im Zweifelsfall

Die Anbieter sollen laut Artikeln 11 bis 13 ihre Nutzer dahingehend auswerten, ob sie Senioren oder minderjährig sind sowie ob sie von dem Dienst abhängig sind oder emotionale Schwierigkeiten haben. Daran müssen sich jeweils passende Maßnahmen anschließen. Minderjährige dürfen nur einen Modus mit Einschränkungen, auch zeitlicher Natur, speziellem Datenschutz und Einblicknahme für bei der Registrierung anzugebende Erziehungsberechtigte sehen. Wer zu Unrecht als minderjährig eingestuft wird, erhält ein Einspruchsrecht.

Auch Senioren sind schon bei der Registrierung dazu anzuhalten, eine Kontaktperson für Notfälle zu benennen; außerdem müssen die Betreiber im Falle des Falles soziale und psychologische Hilfe leisten. Für alle User müssen Betreiber vorgefertigte Informationen vorbereiten, die bei Erkennung von Gefahr für Leben, Gesundheit oder Eigentum des Benutzers eingeblendet werden. Schlägt ein Anwender konkret Suizid, Selbstschädigung oder „andere extreme Taten“ vor, muss sofort ein Mensch die Kommunikation übernehmen und Notfallkontakte des Anwenders informieren.

Nutzungsdaten dürfen ohne Zustimmung des jeweiligen Nutzers weder weitergegeben noch für das Training von KI genutzt werden. Die Nutzer müssen ihre Nutzungsdaten zudem löschen können.

Ich bin’s, die KI

Die Betreiber müssen deutlich machen, dass die Nutzer es mit einer KI zu haben und nicht mit einem echten Menschen. Wer als „überaus abhängig“ erkannt wird, muss daran erinnert werden. Nach zwei Stunden ununterbrochener Sitzung sind Anwender zu einer Pause zu ermuntern.

Besondere Mühe müssen sich Anbieter „emotionaler Begleiter“, also zum Beispiel von KI-Girlfriends geben. Sie müssen einfache Ausstiegsmöglichkeiten bieten und dürfen Nutzer nicht von einer Beendigung der Sitzung abzubringen suchen. Wird eine Teilfunktion entfernt, muss der Betreiber das im Voraus ankündigen. Auch bei Ausfällen ist öffentliche Information vorgeschrieben.

Nicht zuletzt muss es bei allen von der Regulierung erfassten Systemen bequeme Kanäle für die Einreichung von Hinweisen und Beschwerden geben, zu denen Bearbeitungsstatistiken zu veröffentlichen sind. Die Einreicher sind flott über das Resultat der Bearbeitung ihrer Eingabe zu verständigen.

(ds)