Security Coverage messen: Minimale Telemetrie pro OSI-Layer

Security Coverage messen ist in modernen IT-Landschaften eine der wichtigsten Aufgaben für Security- und Operations-Teams – und gleichzeitig eine der am häufigsten falsch verstandenen. Viele Organisationen sammeln riesige Mengen an Logs, können aber trotzdem nicht beantworten, ob kritische Angriffsflächen wirklich überwacht sind. Andere haben strenge Policies, aber keine belastbare Telemetrie, um Verstöße, Drift oder Umgehungen…

MITRE ATT&CK auf Network-Telemetrie mappen: Realistische Use Cases

Das Thema MITRE ATT&CK auf Network-Telemetrie mappen klingt zunächst nach „Framework trifft Logs“ – in der Praxis entscheidet es jedoch darüber, ob Ihr SOC/NOC echte Angriffe früh erkennt oder nur Rauschen produziert. Viele Teams kennen MITRE ATT&CK als Matrix mit Taktiken und Techniken, scheitern aber beim operativen Transfer: Welche Netzwerkdaten sind wirklich geeignet? Welche Techniken…

Logging Requirements pro Layer definieren (für SIEM & IR)

„Logging Requirements pro Layer definieren“ ist eine der wirkungsvollsten Maßnahmen, um ein SIEM sinnvoll zu betreiben und Incident Response (IR) im Ernstfall schnell handlungsfähig zu machen. In vielen Umgebungen existieren zwar zahlreiche Logquellen, aber ohne klare Anforderungen entstehen typische Probleme: Die wichtigsten Ereignisse fehlen (blinde Flecken), Logs sind nicht korrelierbar (fehlende IDs, uneinheitliche Felder), die…

Segmentierungsstrategie: VLAN vs. VRF vs. Microsegmentation (wann was?)

Eine saubere Segmentierungsstrategie: VLAN vs. VRF vs. Microsegmentation ist heute mehr als „Netzwerk aufteilen“. Sie entscheidet darüber, wie groß der Blast Radius eines Vorfalls ist, wie sicher sich Mandanten trennen lassen, wie gut sich Zugriffe kontrollieren und nachweisen lassen – und wie teuer der Betrieb langfristig wird. In der Praxis scheitert Segmentierung selten an der…

Blast Radius eines Angriffs messen: Impact-Bewertung mit OSI

Den Blast Radius eines Angriffs messen bedeutet, den tatsächlichen Wirkungsbereich eines Sicherheitsvorfalls schnell und belastbar zu bestimmen: Welche Systeme sind betroffen, welche Datenpfade wurden berührt, welche Konten oder Schlüssel könnten kompromittiert sein, und welche Geschäftsprozesse stehen unter Risiko? In vielen Incidents scheitert diese Impact-Bewertung nicht an fehlenden Tools, sondern an fehlender Struktur. Teams springen zwischen…

Control-Point-Strategie: Wo Firewall/IDS/WAF am effektivsten sind

Eine durchdachte Control-Point-Strategie entscheidet darüber, ob Firewall, IDS und WAF echten Sicherheitsgewinn liefern – oder nur Kosten, Komplexität und Fehlalarme erzeugen. Viele Organisationen kaufen leistungsfähige Produkte, platzieren sie aber an den falschen Stellen: zu weit „außen“ ohne Kontext, zu weit „innen“ ohne Sichtbarkeit, oder redundant übereinander, sodass niemand mehr versteht, welche Kontrolle eigentlich greift. Effektive…

Policy-as-Code für Network Security: Produktionssicherer Workflow

Ein Policy-as-Code für Network Security-Ansatz verwandelt Firewall-, Netzwerk- und Zugriffsregeln von „klickbaren Einzelkonfigurationen“ in versionierten, testbaren und auditierbaren Code. Das ist nicht nur ein Trend aus der Cloud-Welt, sondern eine direkte Antwort auf reale Betriebsrisiken: unklare Regelzuständigkeiten, inkonsistente Änderungen, schwer nachvollziehbare Freigaben, hohe MTTR im Incident und teure Fehlkonfigurationen. Wer Network-Security-Policies wie Software behandelt, gewinnt…

OSI-Modell für Security Engineers: Leitfaden zum Mapping von Security Controls L1–L7

Das OSI-Modell für Security Engineers ist mehr als ein Lehrbuchkonzept: Es ist ein praktischer Leitfaden, um Security Controls konsistent zu planen, zu priorisieren und in Incident-Analysen sauber zuzuordnen. In vielen Organisationen entstehen Sicherheitslücken nicht, weil einzelne Maßnahmen fehlen, sondern weil Kontrollen „an der falschen Stelle“ sitzen: Eine starke WAF hilft wenig, wenn Layer-3-Routing falsch segmentiert…

Change-Review-Checkliste für Firewall/WAF: Outages durch Rules vermeiden

Eine robuste Change-Review-Checkliste für Firewall/WAF ist einer der schnellsten Wege, um vermeidbare Outages durch Regeln zu reduzieren. In vielen Umgebungen entstehen Störungen nicht durch „komplexe Angriffe“, sondern durch gut gemeinte Änderungen: ein zu breites Deny, ein falsch gesetztes NAT, eine WAF-Regel mit unerwarteten False Positives, eine Priorität, die bestehende Regeln überschattet, oder ein Rollout ohne…

OSI-basiertes Network Threat Modeling: Schnell die Attack Surface bestimmen

OSI-basiertes Network Threat Modeling ist ein pragmatischer Ansatz, um in kurzer Zeit die Attack Surface (Angriffsfläche) eines Netzwerks zu bestimmen und Sicherheitsmaßnahmen zielgerichtet zu priorisieren. Anstatt Threat Modeling ausschließlich aus Applikationssicht zu betreiben, strukturiert dieser Leitfaden die Analyse entlang der OSI-Schichten L1–L7: Wo existieren Eingänge (Interfaces), welche Protokolle und Zustände sind exponiert, welche Trust-Boundaries werden…