Die native Version von Sysmon in Windows kommt. Microsoft hat Insider-Vorschau-Versionen von Windows veröffentlicht, in denen das Feature nun aktiviert werden kann.

In den aktuellen Windows-Insider-Vorschau-Versionen im Developer-Kanal (Build-Nummer 26300.7733, KB5074178) und im Beta-Kanal (Build 26220.7752, KB5074177) bringt das Betriebssystem Windows 11 die Sysmon-Funktion nativ zu Windows. „Mit der Sysmon-Funktion können Sie Systemereignisse erfassen, die bei der Erkennung von Bedrohungen helfen können, und Sie können benutzerdefinierte Konfigurationsdateien verwenden, um die Ereignisse zu filtern, die Sie überwachen möchten“, erklärt Microsoft in den Versionsankündigungen. „Die mitgeschnittenen Ereignisse werden in das Windows-Ereignisprotokoll geschrieben, sodass sie mit Sicherheitsanwendungen und einer Vielzahl von Anwendungsfällen verwendet werden können“, erörtern die Entwickler weiter.

Native Sysmon-Unterstützung aktivieren

Standardmäßig ist Sysmon deaktiviert und muss explizit angeschaltet werden. Das geht entweder über die „Einstellungen“ – „System“ – „Optionale Features“ und dort unter „Verwandte Einstellungen“ – „Mehr Windows-Funktionen“, was die Dialog-Box in altbekannter Optik mit dem Namen „Windows-Features aktivieren oder deaktivieren“ öffnet und dort dem Anhaken von „Sysmon“. In der Eingabeaufforderung oder in der PowerShell klappt das zudem durch den Aufruf von Dism /Online /Enable-Feature /FeatureName:Sysmon. Um die Installation abzuschließen, muss an PowerShell oder Eingabeaufforderung noch der Aufruf sysmon -i abgesetzt werden. Die Entwickler von Microsoft weisen explizit darauf hin, dass diejenigen, die Sysmon bereits von der Webseite geladen und installiert haben, diese Fassung zuvor deinstallieren müssen. Die Dokumentation ist jedoch noch nicht fertig, die „wird bald zu Windows hinzugefügt“.

Bei Sysmon („Systemmonitor“) handelt es sich um ein mächtiges Werkzeug, das bei der Diagnose von Problemen hilfreich ist. Sysmon protokolliert diverse Systemaktivitäten, etwa Prozesserstellung, das Laden von Treibern oder Bibliotheken sowie von Netzwerkverbindungen. „Auf diese Weise können Sie schädliche oder anomale Aktivitäten erkennen und verstehen, wie Angreifer und Schadsoftware in Ihrem Netzwerk agieren“, erklärt Microsoft auf der Sysmon-Webseite.

Die Windows-Vorschau-Version hat zudem noch Unterstützung für die Niederlande für den Sprachzugriff und minimale Fehlerkorrekturen für kleine Problemchen erhalten. Mark Russinovich, Entwickler von Sysmon und den anderen Sysinternals-Werkzeugen, hatte die Sysmon-Integration im vergangenen November bereits angekündigt.

(dmk)

Im Messenger Signal können Nutzer und Nutzerinnen ab sofort Nachrichten in Chats festpinnen. Die Dauer ist flexibel, der Platz dafür ist jedoch begrenzt, wie Signal mitteilt. „Die am häufigsten gestellten Fragen, Restaurant-Reservierungen oder Urlaubs-Reiserouten sind schon ganz oben im Kopf, nun können sie ganz oben auch im Chat sein“, rührt Signal die Werbetrommel für die Funktion „fixierte Nachrichten“.

Signal: Nachrichten fixieren

Die Funktion kommt mit den Signal-Versionen für Android (Version 7.71), iOS (Version 7.93) und Desktop (Version 7.87) auf die Geräte. „In den jüngsten Versionen von Signal, die derzeit verteilt werden, kannst du deine wichtigsten Nachrichten ganz oben in deinen persönlichen und Gruppen-Chats festpinnen“, erklären die Entwickler. Um eine Nachricht zu fixieren, muss man lange auf die Nachricht oder das Bild, die Umfrage oder Datei drücken und dadurch das Kontextmenü öffnen. Der neue Unterpunkt heißt auf Deutsch „Fixieren“ und hat als Symbol eine Stecknadel vorangestellt.

Sobald eine Nachricht fixiert ist, sehen auch andere Mitglieder des Chats diese Nachricht als angepinnt. Bis zu drei Nachrichten können in einem Chat fixiert sein. Gruppen-Admins können einstellen, wer die Erlaubnis zum festpinnen erhält.

Nutzer können wählen, ob eine Nachricht für 24 Stunden, 7 Tage, 30 Tage oder für immer angepinnt bleiben soll. Nach Ablauf des Zeitraums wird die Nachricht automatisch wieder losgelöst. Durch Antippen des Stecknadel-Symbols neben der fixierten Nachricht lässt sie sich ebenfalls lösen. Wenn bereits drei Nachrichten festgepinnt sind, wirft Signal die bereits am längsten festgepinnte Nachricht raus, um Platz für die neue Nachricht zu schaffen.

Nicht für alle sichtbar

Signal versichert, dass die gepinnte Nachricht nur dann sichtbar ist, wenn User diese bereits in ihrem Nachrichtenverlauf haben. Wer also erst nach Eintrudeln der fixierten Nachricht in einen Chat dazukommt oder die Originalnachricht gelöscht hat, bekommt die festgepinnte Nachricht nicht zu sehen. Getreu dieser Logik werden auch verschwindende Nachrichten aus der Fixierung gelöst, wenn ihr Timer ausläuft und die Nachricht aus dem Chat entfernt wird.

Mitte Dezember gerieten WhatsApp und Signal in die Medien, da es möglich war, anhand von Laufzeiten für Nachrichtenbestätigungen Informationen über Nutzer ausfindig zu machen. Dagegen helfen jedoch bestimmte Einstellungen.

(dmk)

Der jüngste Anlauf, eine Vorratsdatenspeicherung in Deutschland einzuführen, könnte womöglich gegen EU-Recht verstoßen. So lautet der Tenor aus vielen zivilgesellschaftlichen Organisationen, die in den letzten Wochen Stellung zum Gesetzentwurf bezogen haben.

Diesen hatte das Bundesjustizministerium (BMJV) im Dezember vorgestellt. Demnach sollen Netzbetreiber die IP-Adressen und Port-Nummern ihrer Nutzer:innen anlasslos drei Monate lang speichern. Außerdem sollen sich mit einer Sicherungsanordnung auch weitere Verkehrsdaten von Nutzer:innen einfrieren lassen, wenn ein Verdacht von Straftaten mit erheblicher Bedeutung vorliegt.

Die Tür für den erneuten Anlauf hat der Europäische Gerichtshof (EuGH) geöffnet. Im Jahr 2024 hatten die Richter:innen entschieden, die verdachtsunabhängige Speicherung von IP-Adressen unter bestimmten Bedingungen zuzulassen. Zuvor hatte sich der EuGH in mehreren Urteilen stets gegen diese Form anlassloser Massenüberwachung gestellt. Diese Kehrtwende hat in vielen EU-Ländern, aber auch auf EU-Ebene, neue Diskussionen um Vorratsdatenspeicherung ausgelöst.

EU-weite Lösung bevorzugt

Schon allein deshalb sei ein nationaler Alleingang fragwürdig, schreibt die Digital-NGO Digitale Gesellschaft in ihrer Stellungnahme. „Der Vorschlag läuft quer zu einem gerade angelaufenen Gesetzgebungsverfahren von der EU-Kommission zur Harmonisierung europäischer Regeln zur Vorratsdatenspeicherung“, so die Bürgerrechtler. Lieber sollte sich die Bundesregierung „auf europäischer Ebene für zielgerichtete Maßnahmen statt Massenüberwachung“ einsetzen, empfiehlt die NGO.

Auch inhaltlich spart die Digitale Gesellschaft nicht mit Kritik. In Bezug auf ein älteres EuGH-Urteil würde die vorgeschlagene Speicherfrist von drei Monaten den Maßstäben des Gerichtshofs nicht entsprechen. In seinem letzten Urteil hatte der EuGH keine Zeitspanne benannt. Er führte aus, dass das nun erlaubte Vorhalten von IP-Adressen zeitlich auf das absolut Notwendige begrenzt werden müsse sowie keine detaillierten Einblicke in das Privatleben betroffener Personen erlauben dürfe.

Aufgeweichtes „Quick Freeze“

Dem Deutschen Anwaltverein (DAV) zufolge habe das BMJV die Öffnung für die Speicherung von IP-Adressen „in einem Maße überdehnt, die nicht mehr mit den grundrechtsschützenden Intentionen des Gerichtshofs in Einklang steht“. Da jegliche wirksame Begrenzung der Verwendungszwecke fehle, sei „jedenfalls die vorgeschlagene Vorratsdatenspeicherung europarechtswidrig“.

Neben der anlasslosen Speicherung von IP-Adressen, mit denen sich die Anschlussinhaber:innen herausfinden lassen, will das BMJV mit der Sicherungsanordnung eine Form von „Quick Freeze“ einführen. Hierbei werden nach einer Anordnung auch sogenannte Verkehrsdaten wie eine Liste abgehender Anrufe oder verschickter SMS-Nachrichten eingefroren. Betroffen wären auch Standortdaten, mit denen sich Bewegungsprofile erstellen lassen. Das entspricht grob dem gescheiterten Ansatz der Ampelregierung, die in der vergangenen Legislaturperiode eine grundrechtsschonendere Alternative zur Vorratsdatenspeicherung etablieren wollte.

Doch im aktuellen Entwurf schleift das nun SPD-geführte Justizministerium einige Schutzvorkehrungen. So soll für das Einfrieren der Daten eine simple Anordnung von Ermittlungsbehörden reichen. Erst beim zweiten Schritt, wenn es um das „Auftauen“ der Daten für weitere Ermittlungen geht, wäre eine unabhängige gerichtliche Prüfung notwendig.

Zudem plant das BMJV, die Eingriffsschwelle abzusenken, womit mehr einzufrierende Daten erfasst würden. Damit würde den Ermittlungsbehörden ermöglicht, schreibt der DAV, „genau wie bei der Vorratsdatenspeicherung, für einen Zeitraum von bis zu sechs Monaten retrograde Standortdaten zu erheben und detaillierte Bewegungsprofile zu erstellen“.

Andere Ansätze existieren

Aus Sicht der Gesellschaft für Informatik (GI) ist die flächendeckende, anlasslose Einführung einer IP-Adressenspeicherung vollständig auszuschließen, da sonst jede Person unter Generalverdacht gestellt würde. Zudem müsse grundsätzlich gefragt werden, ob „eine zusätzliche Form der staatlichen Überwachung durch eine Speicherung von Verkehrsdaten überhaupt erforderlich ist“. Aktivitäten ließen sich „bereits durch private Datenabflüsse im Alltag zum Teil rekonstruieren“, so die GI.

Für andere Ansätze plädiert der Digitalverband D64. Als „grundrechtsschonende und zielgerichtete Ermittlungsinstrumente“ schlägt der Verband eine sauber geregelte „Quick Freeze“-Lösung oder eine Login-Falle vor. Auch die Digital-NGO Digitalcourage verweist auf das Quick-Freeze-Verfahren, welches „rechtsstaatlich, verhältnismäßig und bereits heute möglich“ sei.

Kritik am Vorstoß des BMJV übt auch die Wirtschaft. So weist etwa eco, der Verband der Internetwirtschaft, auf potenzielle neue Speicherpflichten für bislang datensparsame Messenger wie Signal hin. „Mit dem geänderten § 100g der Strafprozessordnung (StPO) wird neben den bereits verpflichteten Anbietern bei der Erhebung von Verkehrsdaten klargestellt, dass dieser zusätzlich auch für Anbieter von nummernunabhängigen interpersonellen Kommunikationsdiensten (NI-ICS) gilt“, heißt es in der Stellungnahme des Verbands.

Dem Entwurf deutlich wohlgesonnener sind die von den Speicherpflichten besonders betroffenen Netzbetreiber. Allerdings warnt etwa VATM, der Verband der Anbieter von Telekommunikations- und Mehrwertdiensten, vor Unschärfen im derzeitigen Referentenentwurf. „Wird – wie im Entwurf vorgesehen – der Startpunkt einer Session gespeichert, ist eine Zuordnung einer IP-Adresse zu einem Endkunden nicht nur für drei Monate möglich, sondern faktisch für die gesetzliche Speicherfrist zuzüglich der Dauer der Session“, führt der Verband aus. Demnach könnten in der Praxis auch nach fünf oder sechs Monaten noch Zuordnungen vorgenommen werden. „Dies widerspricht dem Ziel einer strikt zeitlich begrenzten Speicherung.“