Inter-VPC/VNet Connectivity: VPN vs. Peering vs. Private Links

Inter-VPC/VNet Connectivity ist eine der grundlegendsten Architekturentscheidungen in Cloud-Umgebungen – und gleichzeitig eine der häufigsten Ursachen für spätere Sicherheits- und Betriebsprobleme. Sobald Teams mehrere VPCs (AWS) oder VNets (Azure) betreiben – etwa zur Trennung von Prod/Non-Prod, für unterschiedliche Business Units, für Plattform- und Shared-Services-Zonen oder durch Multi-Account-/Multi-Subscription-Strukturen – stellt sich die Frage: Wie verbinden wir…

Session Table Exhaustion: Symptome, Ursachen und Capacity Planning

Session Table Exhaustion ist eines der heimtückischsten Betriebsprobleme in VPN-, Firewall- und Gateway-Umgebungen: Es kündigt sich oft nur durch „komische“ Symptome an, wirkt wie ein Performance- oder Authentisierungsfehler und endet dann plötzlich in massiven Verbindungsabbrüchen oder einem scheinbar „eingefrorenen“ Service. Besonders kritisch ist das Thema bei Remote-Access-VPNs (viele gleichzeitige Nutzer, viele kurze Sessions), bei Site-to-Site-Topologien…

Partner VPNs: Vertragsanforderungen, Security Controls und Rezertifizierung

Partner VPNs sind in vielen Unternehmen ein unverzichtbarer Bestandteil der Wertschöpfung: Dienstleister warten Systeme, Logistikpartner tauschen Daten aus, Zahlungsanbieter benötigen Schnittstellen, OEMs greifen auf Support-Umgebungen zu, und Outsourcing-Provider betreiben kritische Plattformen. Genau deshalb sind Partner-VPNs auch ein wiederkehrender Risikotreiber. Ein VPN schafft nicht nur „Konnektivität“, sondern faktisch eine Brücke zwischen zwei Sicherheitsdomänen mit unterschiedlichen Standards,…

Session Recording: Nachweisbarkeit für privilegierte VPN-Sessions

Session Recording ist eine der wirkungsvollsten Maßnahmen, um privilegierte VPN-Sessions nachvollziehbar, revisionssicher und in Audits belastbar zu machen. Während klassische VPN-Logs meist nur belegen, dass ein Tunnel aufgebaut wurde (wer, wann, von wo), bleibt die entscheidende Frage oft offen: Was wurde während der Sitzung tatsächlich getan? Genau diese Lücke nutzen Angreifer – und genau an…

Break-Glass Access: Notfallzugang ohne dauerhaftes Risiko

Break-Glass Access bezeichnet einen bewusst eingerichteten Notfallzugang, der dann funktioniert, wenn normale Authentisierung, zentrale Policies oder Verwaltungswege ausfallen – ohne dabei dauerhaft ein hohes Sicherheitsrisiko zu erzeugen. In modernen Enterprise-Umgebungen hängen Zugriffe oft an zentralen Komponenten wie Identity Provider (IdP), MFA, Conditional Access, PAM, zentralen PKI-Diensten, DNS oder SASE/Proxy-Ketten. Genau diese Zentralisierung ist gewollt und…

VPN Security Baseline: Hardening-Checkliste für Experten

Eine VPN Security Baseline ist die verbindliche Hardening-Grundlage für alle VPN-Gateways, Remote-Access-Profile und Site-to-Site-Verbindungen in einem Unternehmen. Sie sorgt dafür, dass Sicherheit nicht vom Zufall oder von einzelnen Administratoren abhängt, sondern reproduzierbar, auditierbar und skalierbar umgesetzt wird. Gerade VPNs sind ein bevorzugtes Ziel: Gateways sind meist öffentlich erreichbar, Fehlkonfigurationen wirken direkt auf die Angriffsfläche, und…

Kryptografie-Policy 2026: Cipher Suites, DH Groups und PFS Empfehlungen

Eine belastbare Kryptografie-Policy 2026 ist mehr als eine Liste „starker Algorithmen“. Sie ist ein verbindlicher Standard für Cipher Suites, DH Groups und PFS-Vorgaben (Perfect Forward Secrecy), der über Teams, Plattformen und Produkte hinweg konsistent funktioniert – inklusive klarer Migrationspfade für Legacy und einer Strategie für Krypto-Agilität. In der Praxis scheitert Kryptografie selten an „zu schwachen…

Deaktivieren unsicherer Protokolle: PPTP/L2TP-Altlasten sauber ablösen

Wer heute PPTP/L2TP deaktivieren und Altlasten sauber ablösen möchte, braucht mehr als einen „Port zu“-Change. Unsichere VPN-Protokolle sind selten ein isoliertes Technikproblem, sondern Ausdruck historischer Kompromisse: alte Clients, Partnerzugänge, Embedded-Geräte, „funktioniert seit Jahren“-Konfigurationen, fehlende Inventarisierung und ein Betrieb, der auf Minimierung von Änderungen optimiert wurde. Genau diese Kombination macht PPTP und viele L2TP/L2TP-over-IPsec-Deployments so gefährlich:…

Tunnel-Exposure minimieren: Ports, Services und Attack Surface reduzieren

Wer Tunnel-Exposure minimieren will, muss VPN- und Remote-Access-Infrastrukturen wie internetexponierte Produktionssysteme behandeln – nicht wie „nur ein Gateway“. Denn jeder öffentlich erreichbare Dienst ist ein potenzieller Angriffspunkt: automatisierte Scans, Credential Stuffing, Probing auf bekannte Schwachstellen, Missbrauch von Legacy-Protokollen, DDoS und gezielte Exploit-Ketten gehören heute zum Normalzustand. In der Praxis entsteht die größte Angriffsfläche nicht durch…

DDoS-Schutz für VPN Gateways: Rate Limits, Front Doors und Scrubbing

DDoS-Schutz für VPN Gateways ist heute ein Pflichtbestandteil jeder professionellen Remote-Access- und Site-to-Site-Architektur. VPN-Gateways sind nicht nur „ein Dienst unter vielen“, sondern ein kritischer Einstiegspunkt: Wenn das Gateway nicht erreichbar ist, stehen Remote Work, Incident Response, Betrieb und häufig auch Partnerzugänge still. Gleichzeitig sind VPN-Endpunkte naturgemäß internetexponiert und damit leicht auffindbar und angreifbar. Hinzu kommt…