Ein sauberes Threat Model für moderne Authentifizierung und Autorisierung beginnt heute fast immer bei OAuth 2.0 und OpenID Connect (OIDC). Beide Standards sind etabliert, werden aber in der Praxis häufig „missbraucht“ – nicht aus böser Absicht, sondern weil Teams Flows vermischen, Defaults übernehmen oder einzelne Schutzmechanismen (State, PKCE, Nonce, Audience, Token-Bindung) als optional behandeln. Genau…
SSRF (Server-Side Request Forgery) gehört zu den gefährlichsten Schwachstellen in Cloud-Umgebungen, weil sie eine scheinbar harmlose Funktion (z. B. „URL prüfen“, „Bild von einer URL laden“, „Webhook auslösen“) in einen internen Netzwerk-Proxy verwandeln kann. Besonders kritisch wird SSRF, wenn der betroffene Workload Zugriff auf Cloud-Metadaten hat: Cloud-Provider stellen über lokale Metadata-Services Informationen und temporäre Zugangsdaten…
DNS Tunneling ist eine Technik, bei der Daten über DNS-Anfragen und -Antworten transportiert werden, um Sicherheitskontrollen zu umgehen oder Exfiltration zu ermöglichen. Weil DNS in nahezu jedem Netzwerk „immer funktionieren muss“, wird es häufig weniger streng gefiltert und überwacht als HTTP(S). Genau das macht DNS Tunneling so attraktiv: Ein kompromittierter Host kann Daten in Subdomains…
Cache Poisoning bezeichnet Angriffe, bei denen ein Angreifer einen Cache mit manipulierten oder falschen Inhalten „vergiftet“, sodass nachfolgende Nutzer oder Systeme statt der korrekten Daten eine vom Angreifer kontrollierte Antwort erhalten. In der Praxis begegnet Ihnen Cache Poisoning vor allem in zwei Welten: als DNS-Cache-Poisoning (falsche Namensauflösung) und als Web-Cache-Poisoning (falsche HTTP-Antworten im CDN/Reverse-Proxy/Shared Cache).…
E-Mail-Security (SMTP) ist für Incident Response (IR) oft der schnellste Weg, um den Ursprung, die Reichweite und die technische Mechanik eines Angriffs zu verstehen. Während Endpoint- und Web-Telemetrie häufig erst nachgelagert Hinweise liefert, entsteht im Mailfluss bereits eine sehr dichte Spur: Verbindungsdaten, Authentifizierungsresultate, Zustellpfade, Inhaltsmerkmale, Policy-Entscheidungen und nachgelagerte Benutzeraktionen. Genau diese Telemetrie ist nützlich, weil…
Layer-7-Logging ist in der Forensik der Unterschied zwischen „wir vermuten“ und „wir können belegen“. Während Layer-3/4-Daten (IP, Port, Flow) vor allem zeigen, dass zwei Endpunkte kommuniziert haben, liefert Layer-7-Logging den Kontext: wer hat welche Aktion in welcher Anwendung ausgeführt, mit welcher Identität, über welchen Pfad, mit welchem Ergebnis. Genau deshalb sind Pflichtfelder entscheidend: Forensik scheitert…
Data Exfil über HTTPS ist für Security-Teams besonders unangenehm, weil der Datenabfluss im Normalfall „wie ganz normales Web“ aussieht: Port 443, etablierte Cloud-Dienste, verschlüsselte Payloads und oft sogar legitime Zertifikate. Trotzdem hinterlässt Data Exfil über HTTPS sichtbare Signale – nicht im Klartextinhalt, aber in Metadaten, Mustern und Kontextdaten rund um TLS, HTTP und das Verhalten…
SIEM + NDR zusammenführen ist für viele Security-Teams der schnellste Weg, aus „vielen Logs“ tatsächlich verwertbare Detektion zu machen. Während ein SIEM Ereignisse aus Identität, Endpunkten, Cloud, Anwendungen und Infrastruktur zentralisiert, liefert ein NDR (Network Detection & Response) die verhaltensbasierte Sicht auf den Netzwerkverkehr: Flows, DNS, TLS-Metadaten, Ost-West-Kommunikation und Anomalien, die in klassischen Logquellen oft…
Incident Response bei Web Attacks: Vom WAF-Alert zur Evidence beginnt in der Realität selten mit einem „klaren Angriff“, sondern mit einem Alarm, der zunächst nur eines sagt: Eine Anfrage hat ein Regelset getriggert. Ob es sich um einen echten Angriff, einen Scanner, eine Fehlkonfiguration oder um legitimen Traffic handelt, entscheidet sich erst durch saubere Evidenzgewinnung…
Ein API Gateway als Control Point ist für moderne Plattformen mehr als nur „ein Reverse Proxy vor den Services“. Es ist die Stelle, an der Sie technische und organisatorische Leitplanken durchsetzen: Authentisierung und Autorisierung, Rate Limiting, Request-Validierung, Observability, Verschlüsselung, Schutz vor Abuse und eine konsistente Governance über viele Teams hinweg. Gerade in Microservice- und Cloud-Umgebungen…
Got questions? Ideas? Fill out the form below & our specialist will contact you.